Programa de Formación de la Academia de Software Libre

                                        Nivel : Desarrolladores en...
Programa de Formación de la Academia de Software Libre

                                        Nivel : Desarrolladores en...
Programa de Formación de la Academia de Software Libre

                                        Nivel : Desarrolladores en...
Programa de Formación de la Academia de Software Libre

                                        Nivel : Desarrolladores en...
Programa de Formación de la Academia de Software Libre

                                         Nivel : Desarrolladores e...
Programa de Formación de la Academia de Software Libre

                                         Nivel : Desarrolladores e...
Programa de Formación de la Academia de Software Libre

                                           Nivel : Desarrolladores...
Programa de Formación de la Academia de Software Libre

                                        Nivel : Desarrolladores en...
Programa de Formación de la Academia de Software Libre

                                        Nivel : Desarrolladores en...
Programa de Formación de la Academia de Software Libre

                                            Nivel : Desarrolladore...
Programa de Formación de la Academia de Software Libre

                                      Nivel : Desarrolladores en S...
Upcoming SlideShare
Loading in …5
×

Unidad 2 norma_iso17799

1,171 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,171
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Unidad 2 norma_iso17799

  1. 1. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web UNIDAD 5: Norma ISO 17799 Objetivo Terminal de la Unidad Aplicar las normas ISO17799 y las leyes por las cuales se rige la auditoría informática. Temas • Norma 17799 • Otras normas: ISO 13335, ISO 15408 • Leyes relacionadas con seguridad informática Norma 17799 Debido al avance progresivo de la tecnología y al nacimiento de las diferentes necesidades de cada compañía, un importante número de profesionales se dedicaron a analizar y diseñar normas para la administración de las diferentes plataformas informáticas. El British Standard en 1995 desarrolló la norma para la Administración de Seguridad de los Sistemas de Información (BS7799). En su primera edición, recibió muchas críticas por simplista, poco flexible y porque existían varios temas a los que las grandes compañías tenían asignados todos sus recursos y presupuesto, principalmente el cambio de milenio. Luego, en mayo de 1999, se publica la segunda versión y es adoptada por Australia, Nueva Zelanda, Los Países Bajos, Noruega, Sudáfrica y Suecia. Luego de un proceso de benchmarking realizado por la International Standard Organization (ISO), se transformó en la norma ISO 17799. Luego de un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El ISO/IEC 17799 ofrece recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión en el campo de la seguridad de la información. La seguridad de la Información se define en el estándar como la preservación de la confidencialidad, garantizando que sólo quienes estén autorizados pueden acceder a la información; integridad garantizando que la información y sus métodos de proceso son exactos y completos; y disponibilidad garantizando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. Uno de los objetivos principales de la norma ISO 17799, es proteger la confidencialidad, integridad y disponibilidad de la información escrita, almacenada, y transferida. Desde su publicación se presenta como una norma técnica de seguridad de la información reconocida a nivel mundial. Marco de las recomendaciones Las recomendaciones de la norma son neutrales en cuanto a la tecnología. Así por Pág. 1 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  2. 2. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web ejemplo, la norma discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan, lo que conlleva a que algunos detractores de la norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor real. La flexibilidad e imprecisión es intencional por cuanto es difícil contar con una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo tecnológico. El enfoque se basa más en un método efectivo para diseñar, comunicar y mantener las políticas y procedimientos de seguridad, frente a las necesidades actuales, donde: > Los usuarios necesitan políticas de seguridad claras y disponibles. > Los administradores necesitan técnicas de seguridad y control. > Los administradores de seguridad necesitan un entorno flexible para mantener y comunicar las políticas de seguridad. > Los recursos tecnológicos deben estar disponibles para todos los usuarios. > Debe contarse con métodos para garantizar la integridad, seguridad, validez y disponibilidad de la información. Las once áreas de control de ISO 17799 Tal y como se mencionó con anterioridad, la norma técnica ISO 17799 ofrece una serie de estándares reconocidos mundialmente sobre las áreas que se muestran en la Figura N° 1. Figura 5.1. Las 10 áreas que abarca la norma 17799. Tomado de: http://www.pc- news.com/detalle.asp?sid=&id=11&Ida=2019 Política de seguridad: se necesita una política que refleje las expectativas de la organización en materia de seguridad con el fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y Pág. 2 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  3. 3. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web evaluación. Organización de la seguridad: sugiere el diseño de una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. Esta sección considera las políticas generales de la organización y detalla cómo se debe administrar la seguridad de la información dentro de la compañía. De la misma forma, define cómo mantener la seguridad de las instalaciones de procesamiento de información y los activos informáticos accedidos por terceros, tales como proveedores, clientes, etc. Control y clasificación de los recursos de información: detalla los elementos de la compañía, como los servidores, PCs, medios magnéticos, información impresa, documentos, etc., que deben ser considerados para establecer un mecanismo de seguridad, manteniendo una protección adecuada, y garantizando que reciban un nivel adecuado de protección. En este sentido, los activos deben ser clasificados en: confidenciales, privados, de uso interno y de uso público. Para cada clasificación se deben implantar los mecanismos adecuados de seguridad de acuerdo a su importancia. Seguridad del personal: establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y confidencialidad de la información que manejan. También determina cómo incide el papel que desempeñan los empleados como corresponsables de la seguridad de la información. En esta sección se busca minimizar los riesgos ocasionados por el personal, tales como hurto y manipulación de la información, fraudes y mal uso de la plataforma tecnológica. Su propósito es crear conciencia en los usuarios sobre los riesgos que pueden amenazar la información, para lo cual se toman en cuenta los mecanismos y medios para informar y capacitar periódicamente a todos los usuarios, como el personal interno de la compañía el y personal que brinde servicios, de todas las políticas, y establecer los mecanismos de prevención, identificación, notificación y corrección de posibles incidentes de seguridad. Seguridad física y ambiental: este responde a la necesidad de proteger las áreas, los equipos y los controles generales. El objetivo principal es la prevención de accesos no autorizados a las instalaciones de la compañía, con especial atención a todos los sitios en los cuales se procesa información, como los centros de cómputo, PC de usuarios críticos, equipos de los proveedores de servicios, etc., y las áreas en las cuales se recibe o se almacena la información, ya sea magnética o impresa; sensitiva como fax, áreas de envío y recepción de documentos, archivadores, etc., de esta forma minimizando los riesgos por pérdidas de información, hurto, daño de equipos y evitando la interrupción de las actividades productivas. Manejo de las comunicaciones y las operaciones: este define las políticas y procedimientos para garantizar la correcta operación de las instalaciones de procesamiento, como los servidores y equipos de comunicación. A continuación se enumeran los objetivos de esta sección: 1. Garantizar la protección y el funcionamiento correcto de las instalaciones de procesamiento de la información. 2. Minimizar el riesgo de falla de los sistemas. Pág. 3 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  4. 4. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web 3. Proteger la integridad del software y la información. 4. Conservar la integridad y disponibilidad del procesamiento y transmisión de la información. 5. Garantizar la protección de la información en las redes y de la infraestructura de soporte. 6. Evitar los daños a los recursos de información e interrupciones en las actividades de la compañía. Control de acceso: este establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para protegerlos contra los abusos internos e intrusos externos. De la misma forma, establece los diferentes tipos de accesos o privilegios a los recursos informáticos, como el sistema operativo, las aplicaciones, el correo electrónico, la Internet, las comunicaciones, las conexiones remotas, etc., que requiere cada empleado de la compañía y el personal externo que brinda servicios, en concordancia con sus responsabilidades. Esto permitirá identificar y evitar acciones o actividades no autorizadas, garantizando los servicios informáticos. Desarrollo y mantenimiento de los sistemas: se establece la necesidad de implantar medidas de seguridad y aplicación de controles de seguridad en todas las etapas del proceso de desarrollo y mantenimiento de los sistemas de información. Además, toma en cuenta los mecanismos de seguridad que deben implantarse en el proceso de adquisición de todos los sistemas o aplicaciones de la compañía, como la protección de archivos, programas, base de datos, políticas de cifrado, etc., para evitar pérdidas, modificaciones, o eliminación de los datos, asegurando así la confidencialidad e integridad de la información. Gestión de incidentes de seguridad: para la comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Manejo de la continuidad del negocio: este considera el análisis de todos los procesos y recursos críticos del negocio, y define las acciones y procedimientos a seguir en casos de fallas o interrupción de los mismos, evitando la pérdida de información y la cancelación de los procesos productivos del negocio, lo que podría provocar un deterioro de la imagen de la compañía, una posible pérdida de clientes o incluso una dificultad severa que impida continuar operando. Conformidad: esta imparte las instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799, se corresponde con otras leyes, reglamentos, obligaciones contractuales o cualquier requerimiento de seguridad, tales como propiedad intelectual, auditorias, contrato de servicios, etc. Esta sección también requiere una revisión de las políticas de seguridad, al cumplimiento y a las consideraciones técnicas; asimismo, busca garantizar que las políticas de seguridad se encuentren de acuerdo con la infraestructura tecnológica de la compañía. Además, existen políticas de cifrado que especifican todos los criterios que se deben tomar en cuenta para determinar qué tipo de información se debe almacenar en un formato ilegible, o método de cifrado, para evitar que personas no autorizadas puedan Pág. 4 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  5. 5. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web acceder a la misma, así como también las políticas de comercio electrónico que establecen todas las consideraciones que se deben adoptar si la compañía cuenta con presencia en la Internet, y cuenta con prácticas de comercio electrónico. Al considerar las áreas que cubre esta norma técnica, si una organización no ha adoptado un programa de protección definido de la información, ISO 17799 puede servir de parámetro para que lo defina, e incluso, puede servirle de guía para configurar la política de seguridad de cualquier empresa. En general, las mejores prácticas son simplemente la mejor manera de cumplir con un proceso de negocio. Algunos de los beneficios perseguidos por las organizaciones al adoptar, mantener y comunicar un marco de referencia son: • Presentan una ventaja significativa desde la perspectiva de la seguridad y control sobre aquellas que carecen de dicho marco de referencia. • Si se utiliza un criterio estándar para la configuración y administración de los sistemas de la organización, se puede minimizar la posibilidad de que una debilidad en uno de estos pueda comprometer los controles de acceso de los restantes, a pesar de que éstos cuenten con medidas de seguridad robustas, explotando sus vínculos habituales. • Al adoptar los estándares y marcos de referencia comunes, la organización puede construir una arquitectura de seguridad que permita minimizar las brechas que se puedan registrar entre las amenazas detectadas y los controles existentes, mitigando el riesgo asociado a una eventual ocurrencia de dicha amenaza. • Las partes interesadas, como es Auditoria Interna y Administradores del Seguridad, pueden ser apoyadas por la existencia de un marco de referencia en el área de TI, facilitando su entendimiento respecto a los roles, políticas y estándares y la tarea de lograr el cumplimiento de los mismos. • Se le facilita a la organización la simplificación, estandarización y automatización de los servicios de seguridad. Otras normas: ISO 13335, ISO 15408 ISO 15408 Es un Estándar Internacional creado en conjunto por Estados Unidos, Canadá, Francia, Alemania e Inglaterra, para reemplazar al obsoleto “Libro Naranja”, llamado también Trusted Computer System Evaluation Criteria; que fue un Libro creado por el Ministerio de Defensa norteamericano para certificar el nivel de seguridad de los sistemas operativos para sus computadores desde el año 1983. La ISO o Organización Internacional para la Estandarización, y la IEC o Comisión Electrotécnica Internacional, a través de sus comisiones técnicas desarrollaron la ISO 15408, conocida también como Common Criteria, con la participación de otras instituciones patrocinadoras gubernamentales y no gubernamentales. Objetivos: Los objetivos de la ISO 15408, son: Pág. 5 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  6. 6. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web • Definir un criterio común para la especificación del nivel de seguridad de sistemas y productos de Tecnología de Información (TI) de diverso tipo. • Definir un conjunto de requerimientos común para las funciones de seguridad de productos del área. • Permitir efectuar un análisis de evaluación de seguridad independiente, para distintos objetos de TI. • Proporcionar una guía para el desarrollo de productos o sistemas de TI con funciones de seguridad. • Contar con una guía para la adquisición y configuración de productos de tecnología y seguridad. Partes que la componen Este estándar se divide en tres partes, que son: Parte 1 Modelo General Parte 2 Requisitos Funcionales: que definen el comportamiento de seguridad deseado frente a las amenazas que se encuentran presentes en el entorno de operación del TOE (Target Of Evaluation). Por ejemplo, los requisitos para la identificación, no rechazo, auditabilidad de la seguridad y otros. Parte 3 Requisitos para Aseguramiento: son requisitos para otorgar una certeza razonable de la Seguridad del Sistema. Son las propiedades del TOE que dan la confianza de que la seguridad que el TOE dice proporcionar es efectiva, y se implementa de forma correcta. ISO 13335 El objetivo de este estándar es el de ofrecer una serie de guías, no soluciones, sobre los aspectos para administrar la seguridad de TI. Está dirigido a las funciones responsables de administrar la seguridad, ellas deben poder aplicar esta guía para sus entornos específicos de trabajo. Objetivos Los objetivos principales de esta guía son: • Definir y describir los conceptos asociados con Seguridad de TI. • Identificar las relaciones que deben existir entre la administración de seguridad en TI con la administración general de TI. • Presentar modelos definidos para analizar e implementar una estructura adecuada de seguridad en TI. • Ofrecer una guía general de referencia para evaluar e implementar la seguridad de TI. Pág. 6 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  7. 7. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web Elementos que la componen El estándar está compuesto de las siguientes partes: • Parte 1: Conceptos y Modelos de Seguridad en TI. • Parte 2: Planificación y Administración de la Seguridad de TI. • Parte 3: Técnicas de Administración de Seguridad de TI. • Parte 4: Selección de Salvaguardas. • Parte 5: Guías de Administración para Seguridad de redes. Las partes descritas se refieren a: Parte 1: ofrece los conceptos fundamentales y los modelos para describir la administración de seguridad en TI. Este material esta orientado para los responsables de la seguridad de TI y responsables de seguridad a nivel negocio. Parte 2: describe los aspectos de planificación y administración. Relevante para gerentes con responsabilidad relacionada con la organización de los sistemas de TI, estos pueden ser: • Responsables del diseño, implementación, testeo y operación de sistemas de TI. • Gerentes propietarios de sistemas de información. Parte 3: describe las técnicas relevantes orientadas para aquellas personas involucradas con actividades de administración y gerencia durante el ciclo de vida del proyecto, como son la planificación, el diseño, la implementación, el testeo, y la adquisición u operación. Parte 4: ofrece las pautas para la selección de salvaguardas, y cómo estas pueden ser soportadas con el uso de un modelo básico y los respectivos controles. Describe cómo estas salvaguardas complementan las técnicas descritas en la Parte 3 y cómo los métodos adicionales de evaluación pueden ser utilizados para la selección de las salvaguardas. Parte 5: ofrece las pautas con respecto a las redes y comunicaciones para aquellos responsables por su seguridad. Considera la identificación y análisis de factores que pueden ser considerados al momento de establecer los requerimientos de seguridad de una red. También incluye un borrador para identificar las áreas de salvaguarda. Leyes relacionadas con la Seguridad Informática Ley Especial sobre Delitos Informáticos: Esta ley tiene por objetivo la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías, en los términos previstos en dicha ley. Esta ley tipifica los delitos y establece las penas con sus circunstancias agravantes y atenuantes; así como también las penas accesorias, entre las clases de delitos que establece se encuentran: Pág. 7 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  8. 8. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web 1. Contra los sistemas que utilizan tecnologías de información: acceso indebido; sabotaje o daño a sistemas; sabotaje o daño culposo; acceso indebido o sabotaje a sistemas protegidos; posesión de equipos o prestación de servicios de sabotaje; espionaje informático y falsificación de documentos. 2. Delitos contra la propiedad: hurto, fraude, obtención indebida de bienes o servicios; apropiación o manejo fraudulento de tarjetas inteligentes o instrumentos análogos; provisión indebida de bienes o servicios; posesión de equipo para falsificaciones. 3. Delitos contra la privacidad de las personas y de las comunicaciones: la violación de la privacidad de la data o información de carácter personal; violación de la privacidad de las comunicaciones y la revelación indebida de data o información de carácter personal. 4. Delitos contra niños, niñas o adolescentes: la difusión o exhibición de material pornográfico; exhibición pornográfica de niños o adolescentes. 5. Delitos contra el orden económico: apropiación de propiedad intelectual; oferta engañosa, entre otras disposiciones comunes. Los delitos contra los sistemas que utilizan tecnología de información son los siguientes: a) El acceso indebido a un sistema, penado con prisión de uno a cinco años y multa de 10 a 50 unidades tributarias (UT); b) El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a prisión de cinco a diez años y multa de 500 a 1.000 UT si para su comisión se utiliza un virus o medio análogo. Si se trata de sabotaje o daño culposo, la pena se reduce entre la mitad y dos tercios. Si se trata de sabotaje o acceso indebido a sistemas protegidos, la pena aumenta entre la tercera parte y la mitad. c) La posesión de equipos o prestación de servicios para actividades de sabotaje, penado con prisión de tres a seis años y multa de 300 a 600 UT. d) El espionaje informático, que incluye la obtención, difusión y revelación de información, hechos o conceptos contenidos en un sistema, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. El aumento será de la mitad a dos tercios si se pone en peligro la seguridad del Estado, la confiabilidad de la operación de las personas afectadas o si como resultado de la revelación alguna persona sufre un daño. e) La falsificación de documentos mediante el uso de tecnologías de información o la Pág. 8 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  9. 9. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web creación, modificación o alteración de datos en un documento, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un perjuicio para otro, el aumento será de la mitad a dos tercios. Así mismo los delitos contemplados contra la propiedad son: a) El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o intangible de carácter patrimonial, sustrayéndolo a su tenedor mediante el acceso, interceptación, interferencia, manipulación o uso de un sistema que utilice tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. b) El fraude realizado mediante el uso indebido de tecnologías de información, penado con prisión de tres a siete años y multa de 300 a 700 UT. c) La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes; tarjetas de crédito, de débito o de identificación que garanticen el acceso a un sistema reservado u otras similares, penado con prisión de dos a seis años y multa de 200 a 600 UT. d) El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o incorporación indebida de datos a registros, listas de consumo o similares, penado con prisión de cinco a diez años y multa de 500 a 1.000 UT. La misma pena será impuesta a quienes sin tomar parte en los hechos descritos se beneficien de resultados obtenidos. e) La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco años y multa de 10 a 50 UT. La misma pena se impondrá a quien reciba o adquiera dichas tarjetas. f) Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas de que dicho instrumento ha sido falsificado, está vencido o ha sido alterado, penado con prisión de dos a seis años y multa de 200 a 600 UT. g) La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y multa de 300 a 600 UT. Para el caso de los delitos contra la privacidad de las personas y las comunicaciones, se tienen los siguientes: a) La violación de la privacidad de la data o información de carácter personal que se encuentre en un sistema que use tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si como consecuencia del delito descrito resulta un perjuicio para el titular de la información o para un tercero. b) La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis años de prisión y una multa de 200 a 600 UT. Pág. 9 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  10. 10. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web c) La revelación indebida de datos o información obtenidos por los medios descritos en los literales a) o b) anteriores, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si el delito se cometió con fines de lucro o si resulta en un perjuicio para otro. Adicionalmente, para los delitos contra niños y adolescentes se tienen: a) La difusión o exhibición de material pornográfico sin la debida advertencia para que se restrinja el acceso a menores de edad, penado con prisión de dos a seis años y multa de 200 a 600 UT. b) La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT. Por último tipo contempla los delitos contra el orden económico, que son los siguientes: a) La apropiación indebida de propiedad intelectual mediante la reproducción, divulgación, modificación o copia de un software, penado con prisión de uno a cinco años y multa de 100 a 500 UT. b) La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la información, penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin perjuicio de la comisión de un delito más grave. Además de las penas principales indicadas antes se impondrán, sin perjuicio de las establecidas en el Código Penal, las siguientes penas adicionales: (i) El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en los artículos 10 y 19 de la Ley; la posesión de equipos o prestación de servicios de sabotaje y posesión de equipos para falsificaciones. (ii) Trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos los artículos 6 y 8 de la Ley; por el acceso indebido y favorecimiento culposo del sabotaje o daño. (iii) La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o del desempeño en una institución o empresa privada. (iv) La suspensión del permiso, registro o autorización para operar o para ejercer cargos directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por el período de tres años después de cumplida o conmutada la Pág. 10 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  11. 11. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web sanción principal, si para cometer el delito el agente se valió de o hizo figurar a una persona jurídica. (v) Además, el tribunal podrá disponer la publicación o difusión de la sentencia condenatoria por el medio que considere más idóneo. Pág. 11 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799

×