DELITOS INFORMTICOS

DELITOS INFORMTICOS
No existe una definicin universal de Delito Informtico, sin embargo muchos han
sido los expertos que se han ocupado del tema, y aunque no exista una definicin
han formulado varios conceptos basndose en realidades concretas. Sin existir una
definicin especifica el estudioso espaol Carlos Sarzana, en su obra Criminalit e
tecnologa, define como Delito Informtico "Cualquier comportamiento crimingeno
en el cual la computadora ha estado involucrada como material o como objeto de la
accin crimingena, o como mero smbolo"
A continuacin los criterios doctrinales de algunos tratadistas al respecto:

Rafael Fernndez Calvo define al "delito Informtico" como la realizacin de

una accin que, reuniendo las caractersticas que delimitan el concepto de
delito, se ha llevado a cabo utilizando en elemento informtico o telemtico
contra los derechos y libertades de los ciudadanos definidos en el ttulo 1 de
la Constitucin Espaola".

Mara de la Luz Lima dice que el "delito electrnico" "en un sentido amplio es
cualquier conducta crimingena o criminal que en su realizacin hace uso de
la tecnologa electrnica ya sea como mtodo, medio o fin y que, en un
sentido estricto, el delito Informtico, es cualquier acto ilcito penal en el que
las computadoras, sus tcnicas y funciones desempean un papel ya sea
como mtodo, medio o fin".

Julio Tllez Valds conceptualiza al "delito Informtico" en forma tpica y

atpica, entendiendo por la primera a "las conductas tpicas, antijurdicas y
culpables en que se tienen a las computadoras como instrumento o fin" y por
las segundas "actitudes ilcitas en que se tienen a las computadoras como
instrumento o fin"

Con estos antecedentes podemos definir Delito Informtico como aquellas

conductas ilcitas susceptibles de ser sancionadas por el derecho penal, que hacen
uso indebido de cualquier medio Informtico implicando actividades criminales.

TIPOS DE DELITOS INFORMTICOS

La ONU (Organizacin de Naciones Unidas),
informticos, que se detallan a continuacin:

reconoce

3 tipos de

delitos

Fraudes cometidos mediante manipulacin de computadoras

Manipulacin de los datos de entrada: es nombrado tambin como

sustraccin de datos y es el tipo de delito informtico ms comn, porque es
fcil de cometer y difcil de descubrir.

La manipulacin de programas: este tipo de delito informtico se trata de

modificar los programas existentes en el sistema o en insertar nuevos
programas o rutinas. Es muy difcil de descubrir y su presencia pasa
inadvertida porque el personaje que los crea o introduce en el sistema posee
conocimientos tcnicos de informtica y programacin.

Manipulacin de los datos de salida: se efecta fijando un objetivo al

funcionamiento del sistema informtico.

Fraude efectuado por manipulacin informtica: este delito se

aprovecha de las continuas repeticiones automticas de algunos procesos de
cmputo. Que est basada en el principio de que 10,66 es igual a 10,65
pasando 0,01 centavos a la cuenta del ladrn n veces.

Manipulacin de los datos de entrada

Como objeto: se alteran los datos de los documentos almacenados en forma

computarizada.

Como instrumento: los computadores pueden utilizarse tambin para

efectuar falsificaciones de documentos de uso comercial.

Daos o modificaciones de programas o datos computarizados

Sabotaje informtico: es el acto de borrar, suprimir o modificar sin

autorizacin funciones o datos de computadora con intencin de obstaculizar
el funcionamiento normal del sistema.

Acceso no autorizado a servicios y sistemas informticos: estos

accesos se pueden realizar por diversos motivos, desde la simple curiosidad
hasta el sabotaje o espionaje informtico.

Reproduccin no autorizada de programas informticos de

proteccin legal: esta puede entraar una prdida econmica sustancial
para los propietarios legtimos. Algunas jurisdicciones han tipificado como
delito esta clase de actividad y la han sometido a sanciones penales. El
problema ha alcanzado dimensiones transnacionales con el trfico de esas
reproducciones no autorizadas a travs de las redes de telecomunicaciones
modernas. Al respecto, se considera, que la reproduccin no autorizada de
programas informticos no es un delito informtico debido a que el bien
jurdico a tutelar es la propiedad intelectual.

Clasificacin segn el Convenio sobre la

Ciberdelincuencia de 1 de Noviembre de 2001
Con el fin de definir un marco de referencia en el campo de las tecnologas y los
delitos para la Unin Europea, en Noviembre de 2001 se firm en Budapest el
Convenio de Ciberdelincuencia del Consejo de Europa. En este convenio se
propone una clasificacin de los delitos informticos en cuatro grupos:

1. Delitos contra la confidencialidad, la integridad y la disponibilidad

de los datos y Sistemas Informticos:

Acceso ilcito a sistemas informticos.

Interceptacin ilcita de datos informticos.
Interferencia en el funcionamiento de un sistema informtico.
Abuso de dispositivos que faciliten la comisin de delitos.

Ejemplos:
El robo de Identidades
La conexin a Redes no autorizadas
La utilizacin de Spyware y de Keylogger

2. Delitos informticos:

Falsificacin informtica mediante la introduccin, borrado o supresin de

datos Informticos.
Fraude informtico mediante la introduccin, alteracin o borrado de datos
informticos, o la interferencia en sistemas informticos.

Ejemplos:
El borrado Fraudulento
La Corrupcin de Ficheros
Introduccin de Ficheros Fraudulentos

3. Delitos relacionados con el Contenido:

Produccin, oferta, difusin, por medio de un sistema informtico o posesin

de dichos contenidos en un sistema informtico o medio de almacenamiento
de datos.

Ejemplos:
Adquisicin de contenidos de pornografa infantil

4. Delitos relacionados con infracciones de la propiedad intelectual y

derechos afines:

Acto de hacer disponible, transmitir o copiar el trabajo de un auto o un

productor a travs de Internet sin permiso o pago.

Ejemplos:
Venta de cds conteniendo fonogramas / cine / software a travs de internet.
Sitios web de descarga directa o indirecta: foros, ftp, web de enlaces a
ficheros, etc
Intercambio de archivos en redes P2P

LEGISLACIN NACIONAL E INTERNACIONAL

NACIONAL
Chile fue el primer pas latinoamericano en sancionar una Ley contra Delitos
Informticos. La ley 19223 publicada en el Diario Oficial el 7 de junio de 1993
seala que la destruccin o inutilizacin de un sistema de tratamiento de
informacin puede ser castigado con prisin de un ao y medio a cinco.
Como no se estipula la condicin de acceder a ese sistema, puede encuadrarse a
los autores de virus. Si esa accin afectara los datos contenidos en el sistema, la
prisin se establecera entre los tres y los cinco aos.
El hacking, definido como el ingreso en un sistema o su interferencia con el nimo
de apoderarse, usar o conocer de manera indebida la informacin contenida en
ste, tambin es pasible de condenas de hasta cinco aos de crcel; pero ingresar
en ese mismo sistema sin permiso y sin intenciones de ver su contenido no
constituye delito.
Dar a conocer la informacin almacenada en un sistema puede ser castigado con
prisin de hasta tres aos, pero si el que lo hace es el responsable de dicho sistema
puede aumentar a cinco aos. Esta ley es muy similar a la inglesa aunque agrega la
proteccin a la informacin privada.

LEY 19.223 LEY DE DELITOS INFORMTICOS

Toda tipificacin de delitos pretende proteger bienes jurdicos. Los bienes jurdicos
son inters relevantes de las personas en tanto sujetos sociales, considerados
especialmente valiosos y consecuentemente, dignos de proteccin penal frente a
conductas que los daan o ponen en peligro.
Para la ley 19.223 un nuevo bien jurdico surgido del uso de las nuevas
tecnologas: La calidad, la pureza e idoneidad de la informacin como tal,
contenida en un sistema automatizado de tratamiento de la misma y de los
productos que de su operacin se obtengan.
Adicionalmente protege otros bienes como: El Patrimonio, en los fraudes
informticos; La Privacidad, intimidad y confidencialidad de los datos como el
espionaje informtico, La Seguridad y fiabilidad del trafico jurdico y probatorio en el
caso de las falsificaciones de datos probatorios va medios informticos; El Derecho
de propiedad sobre la informacin y sobre los elementos fsicos, materiales de un
sistema informtico, en el caso de delitos de daos.

Artculos de La ley 19.223

Artculo 1.- El que maliciosamente destruya o inutilice un sistema de tratamiento
de informacin o sus partes o componentes, o impida, obstaculice o modifique su
funcionamiento, sufrir la pena de presidio menor en su grado medio a mximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el
sistema, se aplicar la pena sealada en el inciso anterior, en su grado mximo.
Artculo 2.- El que con el nimo de apoderarse, usar o conocer indebidamente de la
informacin contenida en un sistema de tratamiento de la misma, lo intercepte,
interfiera o acceda a l, ser castigado con presidio menor en su grado mnimo a
medio.
Artculo 3.- El que maliciosamente altere, dae o destruya los datos contenidos en
un sistema de tratamiento de informacin, ser castigado con presidio menor en su
grado medio.
Artculo 4.- El que maliciosamente revele o difunda los datos contenidos en un
sistema de informacin, sufrir la pena de presidio menor en su grado medio. Si
quien incurre en estas conductas es el responsable del sistema de informacin, la
pena se aumentar en un grado.
En estos artculos se pueden detectar 2 grandes figuras delictuales:
Los artculos 1 y 3 se refieren al Sabotaje Informtico, comprende aquellas
conductas atendiendo al objeto que se afecta o atenta con el delito, que puede ser
un sistema de tratamiento de la informacin o de sus partes componentes, el
funcionamiento de un sistema de tratamiento de la informacin, y/o los datos
contenidos en un sistema automatizado de tratamiento de la informacin. El
atentado a estos objetos puede ser a travs de su destruccin, inutilizacin,
obstaculizacin o modificacin.
La penalidad para las figuras del artculo 1, las penas asignadas van desde 541
das a 5 aos en el caso de conductas de destruccin e inutilizacin de un sistema
de tratamiento de informacin o de sus partes o componentes, y a las conductas de
impedimento, obstaculizacin o modificacin de su funcionamiento y de 3 aos y un
da a 5 aos para las conductas que traigan como consecuencia la destruccin de
los datos.
Para las figuras del artculo 3 la pena asignada ir de 541 das a 3 aos para las
conductas de destruccin, dao o alteracin maliciosa de los datos.
Los artculos 2 y 4 de la Ley hace referencia al Espionaje Informtico, que
comprende aquellas figuras delictivas que atienden al modo operativo que se
ejecuta y que pueden ser, delitos de apoderamiento, uso o conocimiento indebido
de la informacin cometidos interfiriendo, interceptando o accediendo al sistema de
tratamiento de datos. Estas figuras se describen en el artculo 2 de la Ley, y se

refiere a lo que comnmente se conoce como Hacking. Para estos casos las penas
asignadas van desde 61 das a 3 aos.
EL artculo 4 de la Ley comprende los delitos de revelacin indebida y difusin de
datos contenidos en un sistema de tratamiento de la informacin, para estos
efectos las penas van desde los 541 das hasta 3 aos, en caso de que la persona
que incurre en estas conductas es el encargado del sistema, la pena sube de 3 aos
y un da a 5 aos.
No existen limitaciones con respecto a quienes pueden querellarse, ya que lo puede
hacer cualquier persona que haya sido vctima de estas conductas. Es importante
destacar que los delitos informticos son delitos de accin pblica, lo que significa
que no se requiere de la existencia de un querellante para que se realice la
investigacin, basta con la denuncia y los fiscales estn obligados a investigar y
perseguir la responsabilidad penal.

INTERNACIONAL
El delito informtico implica actividades criminales que los pases han tratado de
encuadrar en figuras tpicas de carcter tradicional, tales como robos, hurtos,
fraudes, falsificaciones, perjuicios, estafas y sabotajes. Sin embargo, debe
destacarse que el uso de las tcnicas informticas ha creado nuevas posibilidades
del uso indebido de computadores lo que ha creado la necesidad de regulacin por
parte del derecho.
Tratados Internacionales
En los ltimos aos se ha perfilado en el mbito internacional un cierto consenso en
las valoraciones poltico-jurdicas de los problemas derivados del mal uso que se
hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se
modifiquen los derechos penales nacionales.
El GATT, se transform en lo que hoy conocemos como la Organizacin Mundial de
Comercio (OMC), por consecuencia todos los acuerdos que se suscribieron en el
marco del GATT, siguen estando vigentes. En el Art. 61 se establece que para los
casos de falsificacin dolosa de marcas de fbrica o de comercio o de piratera
lesiva del derecho de autor a escala comercial se establecern procedimientos y
sanciones penales adems de que "Los recursos disponibles comprendern la pena
de prisin y/o la imposicin de sanciones pecuniarias suficientemente disuasorias"

El convenio de Berna
La convencin sobre la Propiedad Intelectual de Estocolmo
La Convencin para la Proteccin y Produccin de Fonogramas de 1971
La Convencin Relativa a la Distribucin de Programas y Seales

En 1983, la Organizacin de Cooperacin y Desarrollo Econmico (OCDE) inici un

estudio de las posibilidades de aplicar leyes penales en el plano internacional contra
el
uso
indebido
de
los
programas
computacionales.
En 1992 la Asociacin Internacional de Derecho Penal, adopt diversas
recomendaciones respecto a los delitos informticos, entre ellas que, en la medida
que el Derecho Penal no sea suficiente, deber promoverse la modificacin de la
definicin de los delitos existentes o la creacin de otros nuevos, si no basta con la
adopcin de otras medidas.
Se entiende Delito como: "accin penada por las leyes por realizarse en perjuicio de
algo o alguien, o por ser contraria a lo establecido por aqullas".
Como resultado de esto la OCDE public un estudio sobre delitos informticos y de
la normativa jurdica en donde se resean las normas legislativas vigentes.
Adicionalmente elabor un conjunto de Normas para la Seguridad de los Sistemas
de informacin, para que los distintos pases tuvieran las bases para normar la
seguridad de los sistemas informticos.
Quienes cometen estos actos delictuales son capaces de efectuar el crimen y no
dejar huella, como consecuencia de esto muchas veces es imposible determinar
cmo se realiz el delito. Existen delitos que no han sido catalogados en gran parte
del mundo y que gracias a las caractersticas de la informtica se han podido llevar
a cabo.
La legislacin sobre sistemas informticos debera perseguir acercarse lo ms
posible a los distintos medios de proteccin ya existentes, pero creando una nueva
regulacin basada en los aspectos del objeto a proteger: La Informacin.
Se debe tener en cuenta lo siguiente:

No es la computadora la que atenta contra el hombre, es el hombre el que

encontr una nueva herramienta, quizs la ms poderosa hasta el momento,
para delinquir.

No es la computadora la que afecta nuestra vida privada, sino el

aprovechamiento que hacen ciertos individuos de los datos que ellas
contienen.

La humanidad no est frente al peligro de la informtica sino frente a

individuos sin escrpulos con aspiraciones de obtener el poder que significa
el conocimiento.

Por eso la amenaza futura ser directamente proporcional a los adelantos de las
tecnologas Informticas.
La proteccin de los sistemas informticos puede abordarse desde distintos
perspectivas: civil, comercial o administrativa.

Lo que se deber intentar es que ninguna de ellas sea excluyente con las dems y,
todo lo contrario, lograr una proteccin global desde los distintos sectores para
alcanzar cierta eficiencia en la defensa de estos sistemas informticos.

Clasificacin
Julio Tllez Valdez en su libro Derecho Informtico clasifica a los delitos en base a
dos criterios:
1. Como instrumento o medio: se tienen a las conductas criminales que se
valen de las computadoras como mtodo, medio o smbolo en la comisin del
ilcito.
Ejemplos:
Falsificacin de documentos va computarizada: tarjetas de crditos, cheques,
etc.
Variacin de la situacin contable.
Planeamiento y simulacin de delitos convencionales como robo, homicidio y
fraude.
Alteracin el funcionamiento normal de un sistema mediante la introduccin
de cdigo extrao al mismo: virus, bombas lgicas, etc.
Intervencin de lneas de comunicacin de datos o teleprocesos.

2. Como fin u objetivo: se enmarcan las conductas criminales que van

dirigidas en contra de la computadora, accesorios o programas como entidad
fsica.
Ejemplos:
Instrucciones que producen un bloqueo parcial o total del sistema.
Destruccin de programas por cualquier mtodo.
Atentado fsico contra la computadora, sus accesorios o sus medios de
comunicacin.
Secuestro de soportes magnticos con informacin valiosa, para ser utilizada
con fines delictivos.
Este mismo autor sostiene que las acciones delictivas informticas presentan las
siguientes caractersticas:
1
2

Slo una determinada cantidad de personas (con conocimientos tcnicos por

encima de lo normal) pueden llegar a cometerlos.
Son conductas criminales del tipo "cuello blanco": no de acuerdo al inters
protegido (como en los delitos convencionales) sino de acuerdo al sujeto que

3
4
5
6
7
8
9

los comete. Generalmente este sujeto tiene cierto status socioeconmico y la

comisin del delito no puede explicarse por pobreza, carencia de recursos,
baja educacin, poca inteligencia, ni por inestabilidad emocional.
Son acciones ocupacionales, ya que generalmente se realizan cuando el
sujeto atacado se encuentra trabajando.
Son acciones de oportunidad, ya que se aprovecha una ocasin creada por el
atacante.
Provocan prdidas econmicas.
Ofrecen posibilidades de tiempo y espacio.
Son muchos los casos y pocas las denuncias, y todo ello por la falta de
regulacin y por miedo al descrdito de la organizacin atacada.
Presentan grandes dificultades para su comprobacin, por su carcter
tcnico.
Tienden a proliferar, por lo se requiere su urgente regulacin legal.

Mara Luz Lima, por su parte, presenta la siguiente clasificacin de "delitos

electrnicos":
1

Como Mtodo: Conductas criminales en donde los individuos utilizan

mtodos electrnicos para llegar a un resultado ilcito.

Como Medio: Conductas criminales en donde para realizar un delito

utilizan una computadora como medio o smbolo.

Como Fin: Conductas criminales dirigidas contra la entidad fsica del objeto
o mquina electrnica o su material con objeto de daarla.

En el contexto internacional, son pocos los pases que cuentan con una legislacin
apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran
Bretaa, Holanda, Francia, Espaa y Chile.
Estados Unidos
Este pas adopt en 1994 del Acta Federal de Abuso Computacional (18 U.S.C.
Sec.1030) que modific al Acta de Fraude y Abuso Computacional de 1986.
Con la finalidad de eliminar los argumentos hipertcnicos acerca de qu es y que no
es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva
acta proscribe la transmisin de un programa, informacin, cdigos o comandos que
causan daos a la computadora, a los sistemas informticos, a las redes,
informacin, datos o programas. La nueva ley es un adelanto porque est
directamente en contra de los actos de transmisin de virus.
El Acta de 1994 diferencia el tratamiento a aquellos que de manera temeraria
lanzan ataques de virus y quienes lo realizan con la intencin de hacer estragos.
Definiendo dos niveles:

Los que intencionalmente causan un dao por la transmisin de un virus, el castigo

de hasta 10 aos en prisin federal ms una multa.
Los que lo transmiten slo de manera imprudencial la sancin flucta entre una
multa y un ao en prisin.
La nueva ley constituye un acercamiento ms responsable al creciente problema de
los virus informticos, especficamente no definiendo a los virus sino describiendo el
acto para dar cabida en un futuro a la nueva era de ataques tecnolgicos a los
sistemas informticos en cualquier forma en que se realicen. Diferenciando los
niveles de delitos, la nueva ley da lugar a que se contemple qu se debe entender
como acto delictivo.
Asimismo, en materia de estafas electrnicas, defraudaciones y otros actos dolosos
relacionados con los dispositivos de acceso a sistemas informticos, la legislacin
estadounidense sanciona con pena de prisin y multa, a la persona que defraude a
otro mediante la utilizacin de una computadora o red informtica.
Alemania
Este pas sancion en 1986 la Ley contra la Criminalidad Econmica, que contempla
los siguientes delitos:

Espionaje de datos.

Estafa informtica.

Alteracin de datos.

Sabotaje informtico.

Austria
La Ley de reforma del Cdigo Penal, sancionada el 22DIC87, en el artculo 148,
sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero
influyendo en el resultado de una elaboracin de datos automtica a travs de la
confeccin del programa, por la introduccin, cancelacin o alteracin de datos o
por actuar sobre el curso del procesamiento de datos. Adems contempla sanciones
para quienes comenten este hecho utilizando su profesin de especialistas en
sistemas.
Gran Bretaa
Debido a un caso de hacking en 1991, comenz a regir en este pas la Computer
Misuse Act (Ley de Abusos Informticos). Mediante esta ley el intento, exitoso o no,
de alterar datos informticos es penado con hasta cinco aos de prisin o multas.

Esta ley tiene un apartado que especfica la modificacin de datos sin autorizacin.
Los virus estn incluidos en esa categora.
El liberar un virus tiene penas desde un mes a cinco aos, dependiendo del dao
que causen.
Holanda
El 1 de Marzo de 1993 entr en vigencia la Ley de Delitos Informticos, en la cual
se
penaliza
el
hacking,
el
preacking
(utilizacin
de servicios de
telecomunicaciones evitando el pago total o parcial de dicho servicio),
la ingeniera social (arte de convencer a la gente de entregar informacin que en
circunstancias normales no entregara), y la distribucin de virus.
La distribucin de virus est penada de distinta forma si se escaparon por error o si
fueron liberados para causar dao.
Si se demuestra que el virus se escap por error, la pena no superar el mes de
prisin; pero, si se comprueba que fueron liberados con la intencin de causar dao,
la pena puede llegar hasta los cuatro aos de prisin.
Espaa
En el Nuevo Cdigo Penal de Espaa, el art. 263 establece que el que causare daos
en propiedad ajena. En tanto, el artculo 264-2) establece que se aplicar la pena de
prisin de uno a tres aos y multa... a quien por cualquier medio destruya, altere,
inutilice o de cualquier otro modo dae los datos, programas o documentos
electrnicos ajenos contenidos en redes, soportes o sistemas informticos.
El nuevo Cdigo Penal de Espaa sanciona en forma detallada esta categora
delictual (Violacin de secretos/Espionaje/Divulgacin), aplicando pena de prisin y
multa, agravndolas cuando existe una intensin dolosa y cuando el hecho es
cometido por parte funcionarios pblicos se penaliza con inhabilitacin.
En materia de estafas electrnicas, el nuevo Cdigo Penal de Espaa, en su artculo
248, solo tipifica las estafas con nimo de lucro valindose de alguna manipulacin
informtica, sin detallar las penas a aplicar en el caso de la comisin del delito.
Venezuela
En el ao 2001 se promulg la Ley Especial contra los delitos Informticos por
Asamblea Nacional de la Repblica Bolivariana de Venezuela.
De los Delitos Contra los Sistemas que Utilizan Tecnologas de Informacin, De los
Delitos Contra la Propiedad, De los delitos contra la privacidad de las personas y de
las comunicaciones, De los delitos contra nios, nias o adolescentes, De los delitos

contra el orden econmico, argumentados en cinco captulos respectivamente. En

las disposiciones comunes se abordan elementos importantes como las agravantes,
las penas accesorias, la divulgacin de la sentencia condenatoria, entre otros
elementos.

EN QU CONSISTEN LAS AMENAZAS HUMANAS

Las amenazas a los sistemas informticos son eventos o situaciones provocadas,
esto con la nica finalidad de causar alteraciones en la informacin que maneja la
organizacin. Provocando con este hecho prdida de informacin importante o,
incluso prdidas materiales, llegando hasta afectar el prestigio de las empresas con
sus clientes.
La mayor parte del tiempo, se considera que las amenazas son externas a los
sistemas, se deben tomar medidas para acceder a proteccin en contra de estas,
pero es bien sabido que controlarlas o eliminarlas es casi imposible.
Las amenazas se clasifican segn sus orgenes, y existen 5 grandes categoras:

Amenazas
Amenazas
Amenazas
Amenazas
Amenazas

de Software
de Hardware
de Red
por desastres naturales
Humanas

En la actualidad, las ms presentes y consistentes son las amenazas del tipo

humanas. Es la fuente principal de amenaza para los sistemas de informacin y, a
su vez, los ms difciles de detectar y controlar. Las organizaciones deben invertir
grandes cantidades de dinero y recursos, tanto materiales, como de mano de obra,
para lograr mantener a salvo su informacin de este tipo de amenazas.
Estas amenazas pueden venir de una persona interna a la empresa o externa (ex
empleados), que pueden manejar o tener conocimiento de informacin confidencial
y eso utilizarlo en contra de la Organizacin.

GESTION DE RIESGOS
Administracin de Riesgos es el proceso de identificar vulnerabilidades y amenazas
a los recursos de informacin utilizados por una organizacin para alcanzar sus
objetivos, y decidir cuales controles, si alguno, deben aplicar para reducir el riesgo a
un nivel aceptable, basado en el valor del recurso de informacin para la
organizacin.
El objetivo es saber cules activos de tecnologa estn sujetos a mayores riesgos y
representaran un impacto grave para la empresa si fuese afectado de manera
negativa.
La Gestin de Riesgo en la Seguridad Informtica ofrece a las organizaciones
sociales latinoamericanas algunos mtodos y herramientas sencillas, con el
propsito de reconocer la importancia y la urgente necesidad de incorporar la
Seguridad Informtica en sus procesos operativos institucionales, para proteger y
garantizar no solamente el cumplimiento de sus misiones institucionales, sino
tambin la privacidad y los derechos de sus activistas, aliados y sobre todo de sus
beneficiarios (grupo meta).
La informacin y los materiales ofrecidos, estn basados en una experiencia
prctica centroamericana, que facilita el proceso de sensibilizacin sobre la
Seguridad Informtica y la gestin de los riesgos relacionados con el manejo de
datos e informacin. Tambin proporciona informacin sobre herramientas tcnicas,
sencillas y accesibles, para la seguridad digital.
Administracin de Riesgos es el proceso de identificar vulnerabilidades y amenazas
a los recursos de informacin utilizados por una organizacin para alcanzar sus
objetivos, y decidir cuales controles, si alguno, deben aplicar para reducir el riesgo a
un nivel aceptable, basado en el valor del recurso de informacin para la
organizacin.
El objetivo es saber cules activos de tecnologa estn sujetos a mayores riesgos y
representaran un impacto grave para la empresa si fuese afectado de manera
negativa.

Aspectos Generales para Gestin de Riesgos

La estrategia para la administracin de riesgo tecnolgico debe estar

alineada con la estrategia del negocio y la cultura organizacional.
Considerar una estructura adecuada para la administracin de riesgo
tecnolgico, la cual debera estar alineada dentro del sistema de gobierno de
TI y Gobierno Corporativo.
Desarrollar un proceso y estructura para reportar riesgos que permitirn a la
Alta Gerencia evaluar el nivel y estado de los riesgos tecnolgicos.
Adoptar estrategias para la mitigacin y/o transferencia de exposicin al
riesgo a raz de eventos de riesgos tecnolgicos.

Cuantificar el riesgo tecnolgico como componente importante de la

estructura integrada de administracin de riesgo.

Proceso General de Gestin de Riesgos de la Informacin

Consideraciones Prcticas
Incluir los roles y responsabilidades de Riesgo Tecnolgico dentro de las
descripciones del trabajo individual del personal.
Integrar la gestin de riesgos como parte del proceso de evaluacin de
rendimiento del personal puede ayudar a crear conciencia sobre temas de
riesgo tecnolgico.
Establecer un mecanismo para el entrenamiento y comunicacin sobre los
roles y responsabilidades para asegurar que el personal y la gerencia puedan
estar completamente enterados y actualizados.
Revisiones regulares de auditora interna sobre el proceso de administracin
de riesgo tecnolgico.
Proceso General de Gestin de Riesgos de Tecnologa
1 Identificacin y documentacin: Esta etapa tiene como objetivo lograr un
entendimiento y mejor conocimiento sobre el entorno de tecnologa de la
Organizacin. Se recomienda elaborar un inventario de todos los activos de
tecnologa debidamente categorizados.
2

Evaluacin del riesgo: En esta etapa tiene como objetivo identificar el nivel
de exposicin al riesgo de cada uno de los activos identificados. Se deben
identificar amenazas y vulnerabilidades, hacer descripcin del riesgo,
determinar probabilidad e impacto y calificar en nivel de riesgo inherente.
Los riesgos de tecnologa de informacin podran afectar la efectividad,
seguridad e integridad de la informacin de la organizacin y/o sus clientes.

Evaluacin de Mitigantes: Tiene como objetivo tomar en consideracin la

eficiencia de los controles existentes para mitigar riesgos identificados. Cada
activo que es evaluado debe contar con los controles adecuados para mitigar
los riesgos. Se debe recomendar controles adicionales de ser necesarios de
acuerdo al nivel de eficiencia del diseo y funcionamiento de los controles
actuales.

Implementacin de Salvaguardas: Esta etapa tiene como objetivo establecer

medidas de prevencin y mitigacin de riesgos adicionales para los activos
de tecnologa. Se debe considerar asignar un nivel de prioridad a cada activo
de tecnologa y establecer el orden de importancia de cada activo y el orden
de las actividades requeridas para la proteccin de los activos de tecnologa
de la informacin.