Conceptos básicos en buenas

practicas en gestión de TI y seguridad

de la información

Elaborado por:

Victor Alfonso Fontalvo Ardila

Ingeniero Electrónico
Aspirante a máster en seguridad de la información
Índice de contenido

1. Introducción...........................................................................................................................................3
2. Buenas practicas en la gestión de servicios de TI..................................................................................5
2.1 ITIL.................................................................................................................................................6
2.2 COBIT.............................................................................................................................................6
2.3 CMMI-SVC.....................................................................................................................................7
2.4 ISO 20000........................................................................................................................................8
2.5 Beneficios del uso de buenas practicas en la gestión de servicios de TI.........................................8
3. Gestión de servicios de negocio (BSM).................................................................................................9
3.1 Beneficios de implementar BSM..................................................................................................10
4. Seguridad informática..........................................................................................................................11
4.1 Análisis y gestión de riesgos.........................................................................................................12
4.1.1 Gestión de continuidad del negocio (BCM)...........................................................................14
4.1.2 Gestión de la continuidad del servicio de TI (ITSCM)..........................................................14
4.2 Seguridad perimetral y de punto final...........................................................................................14
4.3 Riesgos legales..............................................................................................................................15
4.4 Delitos informáticos......................................................................................................................16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

1. Introducción
La dinámica del mercado actual ha hecho que las organizaciones tengan que adaptarse a
las diversas necesidades que demandan los clientes los cuales cada día suben sus
expectativas respecto a los productos y servicios que reciben. Esto ha provocado que las
organizaciones deban mejorar la eficacia y la eficiencia en la prestación de servicios
mediante la mejora de sus procesos de negocio.
Es evidente que en la actualidad las tecnologías de la información (TI) juegan un rol
fundamental en los diversos procesos de negocio de la gran mayoría de las
organizaciones razón por la cual las TI deben verse como un activo estratégico y no solo
como un activo operativo.
Para garantizar el uso eficiente de los recursos informáticos y convertir las TI en un activo
estratégico, se deben implementar buenas practicas en la gestión de los servicios de TI
que están definidas por diversos marcos de trabajo como ITIL, CMMI o normas
internacionales como la ISO 20000. Solo de esta manera las organizaciones encontraran
el camino de la mano de las TI hacia la mejora continua de sus procesos y servicios.
Aun cuando son muchas las ventajas que las organizaciones obtienen mediante el uso de
las TI, hay que considerar que su uso implica riesgos que deben ser gestionados mediante
las diversas técnicas, marcos de trabajo y normas internacionales existentes en seguridad
informática que garanticen que las TI sean un aliado en la consecución de los objetivos de
negocio. En caso de no gestionar debidamente los riesgos generados por el uso de las TI,
estas se convertirán mas en un problema que en una solución para la organización.

3 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

2. Buenas practicas en la gestión de servicios de TI

“Las buenas practicas son un conjunto de procedimientos en un ámbito profesional,
probados y generalmente aceptados en la industria, que sirven para aportar valor al
negocio”. En el ámbito de la gestión de servicios de TI las buenas prácticas pueden
provenir de muchas fuentes, marcos públicos de trabajo como ITIL, COBIT y CMMI,
normas como la ISO/IEC 20000.

Dentro de una organización el área de TI debe verse como un proveedor 1 de los servicios
de TI2 necesarios para la consecución de los objetivos de negocio. Estos servicios deben
tener la capacidad de adaptarse a los cambios, ser fiables, consistentes, de alta calidad y
a costos aceptables y coherentes con la realidad de la organización.

Puesto que “la calidad de un sistema o un producto está altamente influenciada por la
calidad del proceso empleado para desarrollarlo y mantenerlo 3” se debe evitar que el área
de TI opere de forma improvisada fuera de los marcos de trabajo estandarizados
mencionados anteriormente. Todo esto con el fin de entregar servicios eficaces y eficientes
a los usuarios internos y externos.4

Para garantizar la calidad, la eficiencia y la eficacia en la entrega de servicios de TI es

necesario además alinear todos lo elementos que intervienen en el sistema, las personas,
los productos, los procesos y los proveedores. Si se cuenta con una infraestructura de
ultima tecnología pero no se dispone del personal de TI con los conocimientos necesarios
para administrarla o en caso de disponer de la tecnología y del personal de TI cualificado
pero no disponer de un modelo de proceso estándar o si se dispone de todo lo anterior

1 Los servicios de TI pueden ser proporcionados por el área de TI interna de la organización o por prestadores de servicios
externos (outsourcing).
2 Los servicios de TI pueden ser tan diversos como: Internet, VPN's, servidor de aplicaciones, sistema de información
(ERP), Conexiones remotas a bases de datos, seguridad informática, etc.
3 Carnegie Mellon. (2013). CMMI para Servicios, Versión 1.3. España: CMMI Institute.
4 Los clientes externos son los funcionarios de la organización y los externos los clientes.

4 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

pero el personal que entrega y el que hace uso de los servicios de TI no se rige por los
procedimientos establecidos en los modelos estándar, son escenarios en los que se
obtendrán servicios de TI deficientes que dificultan alcanzar los resultados deseados.

2.1 ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la
Información (ITIL1) se ha convertido en el estándar mundial de de facto en la Gestión de
Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base
ha demostrado ser útil para las organizaciones en todos los sectores a través de su
adopción por innumerables compañías como base para consulta, educación y soporte de
herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la
OGC, pero es de libre utilización.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la
Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha
dado como resultado una necesidad creciente de servicios informáticos de calidad que se
correspondan con los objetivos del negocio, y que satisfagan los requisitos y las
expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo
de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada
como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el
sistema está a disposición de los usuarios y, en caso de fallos o modificaciones
necesarias, es soportado por los procesos de mantenimiento y operaciones.

2.2 COBIT
Cobit2 es un conjunto de mejores prácticas para el manejo de información creado por la
Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto
de Administración de las Tecnologías de la Información (ITGI) en 1992.
Cobit es un marco de referencia para la dirección de IT, así como también de herramientas

1 ITIL (Information Technology Infrastructure Library).

2 COBIT (Control Objectives for Information and related Technology).

5 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

de soporte que permite a la alta dirección reducir la brecha entre las necesidades de
control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de
políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit
enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor
obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia
de Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los

sistemas de información y en la información que estos produzcan. Cobit permite entender
como dirigir y gestionar el uso de tales sistemas así como establecer un código de buenas
practicas a ser utilizado por los proveedores de sistemas. Cobit suministra las
herramientas para supervisar todas las actividades relacionadas con IT.

2.3 CMMI-SVC
El modelo de CMMI1 para servicios es un modelo de capacidad que ofrece el marco de
referencia adecuado para administrar y entregar los servicios ofertados, proporcionando
guía para aplicar las mejores prácticas en una organización que provee servicios.
El modelo de CMMI-SVC cubre las actividades requeridas para establecer, entregar y
administrar uno o varios servicios.

El CMMI-SVC pretende mejorar la inversión realizada en los proyectos de mejora de

procesos ampliando su aplicación a otras áreas de la organización; de tal manera que
permita que la operación de los diferentes modelos operen de forma síncrona con otras
iniciativas existentes.

En conclusión CMMI-SVC es una nueva constelación dentro de la suite de CMMI que

pretende cubrir las necesidades de la industria de servicios y reconoce que éstos son un
catalizador en el crecimiento económico mundial, y la necesidad de establecer un marco

1 CMMI (Capability Maturity Model Integration).

6 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

de referencia que proporcione guía para desarrollar y mejorar las prácticas de provisión de
servicios de las organizaciones como un medio para mejorar la satisfacción del cliente, el
desempeño y la rentabilidad de las organizaciones que proveen servicios.

2.4 ISO 20000

La serie ISO/IEC2 20000-Service Management normalizada y publicada por las
organizaciones ISO e IEC el 14 de diciembre de 2005, es el estándar reconocido
internacionalmente en gestión de servicios de TI. La serie 20000 proviene de la adopción
de la serie BS 15000 desarrollada por la entidad de normalización británica, la BSI 3.

La ISO 20000 utiliza un enfoque exhaustivo de la gestión de servicios de TI y define un

conjunto de procesos necesarios para ofrecer un servicio efectivo. Recoge desde
procesos básicos relacionados con la gestión de la configuración y la gestión del cambio
hasta procesos que recogen la gestión de incidentes y problemas. La norma adopta un
enfoque de proceso para el establecimiento, la implementación, operación, monitorización,
revisión, mantenimiento, y mejora del sistema de gestión de servicios de TI.

2.5 Beneficios del uso de buenas practicas en la gestión de servicios de

TI
• Se asegura que los objetivos de TI estén alineados con los objetivos del negocio, lo
que constituye un aporte de valor.
• Se reducen los costos de TI y se mejora la calidad en la entrega de los servicios de TI.
• Los riesgos asociados al uso de servicios de TI son gestionados de forma eficiente.
• Es posible cuantificar el verdadero valor de los servicios de TI.
• Hace posible la gobernabilidad de TI 1.
• Se fortalecen las lineas de comunicación entre el área de TI y demás áreas de la

2 ISO/IEC (International Organization for Standardization/International Electrotechnical Commission).

3 BSI (British Standards Institution).
1 COBIT define la gobernabilidad de TI como la responsabilidad que tiene la dirección y los niveles superiores de la
gerencia para asegurar que el sistema de Tecnologías de la Información (TI) de su organización apoyan en forma efectiva
los objetivos y estrategia de la organización.

7 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

organización.
• Se garantiza el cumplimiento de las regulaciones existentes en el área de TI.
• Se logra una mayor flexibilidad lo que permite la introducción de cambios en el
negocio a la velocidad que el cliente necesita.
• Se minimiza el impacto sufrido por la empresa y sus clientes ante fallas inesperadas
en el servicio.
• La toma decisiones se realiza con base en indicadores de negocio y de TI.
• Al tener servicios de TI mas eficientes, se aumenta la satisfacción del cliente.

3. Gestión de servicios de negocio (BSM1)

BSM es una disciplina que hace explicita la relación entre los componentes de la
infraestructura informática: hardware, líneas de comunicación, bases de datos, etc y los
servicios de negocio a los que dan soporte: ventas, facturación o producción, de manera
que permite al personal responsable de las TI enfocarse en los procesos de negocio de la
empresa en lugar de en una colección de componentes tecnológicos interrelacionados.

Por ejemplo: en lugar de enfocarse en el estado de servidores, impresoras o redes, BSM

proporciona una visión integrada del estado de los procesos de compra online, las líneas
de producción, o las aplicaciones de gestión de pagos.

Expertos de la industria coinciden en señalar que, al concentrarse en el impacto que una

incidencia puede tener en un servicio de negocio, más que en las incidencias técnicas
aisladas, el personal de informática puede ser más efectivo, los niveles de servicio
mejoran, las decisiones de inversión pueden efectuarse en forma más inteligente y los
costes operacionales se ven reducidos.

Una perspectiva BSM implica poder gestionar de forma centralizada la infraestructura IT y

1 BSM (Business Service Management).

8 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

establecer correlaciones entre ésta y la actividad del negocio. Mientras que la

monitorización de la infraestructura IT se enfoca en áreas tales como sistemas,
aplicaciones, seguridad y rendimiento, la gestión de los procesos de negocio monitoriza
datos operativos e indicadores clave (KPIs2).

3.1 Beneficios de implementar BSM

➢ BSM reduce notablemente el tiempo de no disponibilidad porque permite al
personal informático centrarse prioritariamente en resolver las incidencias que
implican un elevado riesgo de afectar la capacidad de la empresa de funcionar
correctamente.
➢ Los sistemas BSM mejoran las comunicaciones en la empresa. A través de
herramientas de modelado, una solución BSM hace evidentes las relaciones entre
servicios generadores de beneficio y la infraestructura tecnológica que los soporta,
por lo que ayuda a la alta dirección a comprender y valorar el trabajo del
departamento informático.
➢ BSM ayuda a los operadores a priorizar su trabajo, al ayudarles a evaluar el
impacto en el negocio que puede suponer un fallo en un componente.
➢ La identificación de las dependencias entre los procesos de negocio y los
elementos tecnológicos ayuda a mostrar el impacto real en el negocio de una no
disponibilidad o ralentización, lo que ayuda al departamento de informática a
priorizar tareas de acuerdo con las necesidades del negocio.
➢ Los sistemas BSM mejoran también la predictibilidad (cómo la tecnología impacta
en el negocio, y cómo nuevos servicios pueden impactar en la infraestructura
tecnológica).
➢ Los sistemas BSM mejoran la satisfacción del usuario final y proporcionan mejores
tasas de satisfacción y fidelidad de clientes, lo cual a su vez aumenta el retorno de
la inversión en BSM.
➢ El departamento de informática puede demostrar los resultados obtenidos en

2 KPI (Key Performance Indicator) es una medida del nivel del desempeño de un proceso.

9 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

términos de negocio, mejorando su credibilidad y posición en la empresa.

➢ BSM permite la creación de servicios especiales o diferenciados que pueden tener
un diferente "precio" interno basado en los niveles de servicio. Para empresas que
posicionan el departamento de informática como un centro de negocio (o empresas
de outsourcing1) esto es extremadamente relevante para justificar los diferentes
precios existentes e incrementar las oportunidades de negocio.
➢ Por encima de todo lo anterior, un enfoque BSM ayuda a obtener un mayor retorno
de las inversiones realizadas con anterioridad en soluciones de gestión de
aplicaciones y sistemas, ya que permite integrarlas en el sistema y generar vistas
unificadas.

4. Seguridad informática
El uso de tecnologías de la información y comunicaciones (TIC) supone unos beneficios
evidentes para todos; pero también da lugar a ciertos riesgos que deben gestionarse
prudentemente con medidas de seguridad que sustenten la confianza de los usuarios de
los servicios.

“La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros.
Cotidianamente realizamos innumerables acciones expuestas a diferentes riesgos:
conducimos el auto, montamos bici, volamos en avión, conducimos el auto por la noche,
bebemos el agua del grifo, pagamos con tarjeta de crédito en el restaurante, en fin, son
tantas las cosas que hacemos sujetas a riesgos que no podrían enumerarse todas. Y a
pesar de todo, las seguimos haciendo. Sabemos que podemos tener un accidente en el
auto, pero confiamos en nuestra pericia como conductores, en la tecnología de los
modernos automóviles, en las carreteras y hasta nos confiamos del que viene de frente.
Ponerse el cinturón o llevar un airbag de serie no evitará un accidente, pero mitigara el
daño en caso de producirse. No beber antes de conducir o circular de día puede reducir el

1 El outsourcing es un sistema de contratación externa de servicios y procesos que no hacen parte del core principal del
negocio, que permite a las empresas la concentración de los esfuerzos en las actividades esenciales a fin de obtener
competitividad y resultados tangibles.

10 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

riesgo de accidente. Como se ve la seguridad gira en torno a la Gestión de riesgos.

Sabemos que ni los autos, ni los aviones son 100% seguros y, a pesar de todo, seguimos
usándolos a diario. Esto sucede por que de forma inconsciente, realizamos un sencillo
análisis de riesgo y decidimos seguir adelante o no. No caminamos de noche por un
callejón oscuro del peor barrio de la ciudad ní entramos en la casa de un desconocido. A
veces nos equivocamos en la evaluación de riesgos, a veces se producen fallos técnicos,
a veces nos hemos precipitado y no hemos reflexionado previamente. La vida puede verse
como una continua toma de decisiones en la que se evalúa el riesgo y se actúa en
consecuencia.

Los sistemas informáticos están expuestos a amenazas de todo tipo. Primero se deben
identificar, para poder evaluarlas y decidir que medidas de seguridad se adoptarán para
mitigar el riesgo que suponen. Decidir si vale la pena implantar una contramedida o si es
mejor aceptar el riesgo tal cual. Eliminar el riesgo por completo es Imposible. Se puede
reducir a niveles aceptables, que permitan convivir con él 1”.

La seguridad de la información requiere un enfoque holístico, que implique la participación

coordinada de tecnología, personas y operaciones. Su objetivo no es conseguir sistemas
100% seguros, sino sistemas tan seguros como sea necesario para proteger los activos
con un nivel que se corresponda con la expectativas.

4.1 Análisis y gestión de riesgos

Antes de implementar un sistema de seguridad de la información, se debe tener claridad
respecto a que se debe proteger, contra que se va a proteger para luego determinar como
se va a proteger en función de las expectativas y los objetivos organizacionales. Esto
surge de un análisis de riesgos.

Por medio del análisis de riesgos, una organización obtiene el conocimiento de a que está
1 Marañón, G. Á., & García, P. P. P. (2004). Seguridad informática para empresas y particulares. McGraw-Hill
Interamericana de España.

11 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

expuesta, le permite identificar los riesgos que le podrían impedir lograr sus objetivos de
negocio, determinando su magnitud e identificando las áreas que requieren medidas de
salvaguarda1 o controles en función del riesgo detectado.

El análisis de riesgos permite determinar cómo es, cuánto vale y que tan protegido se
encuentra el sistema. En coordinación con los objetivos, estrategia y política de la
Organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de
seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Dirección. Al conjunto de estas actividades se le denomina Proceso
de Gestión de Riesgos.

La implantación de las medidas de seguridad requiere una organización gestionada y la

participación informada de todo el personal que trabaja con el sistema de información. Es
este personal el responsable de la operación diaria, de la reacción ante incidencias y de la
monitorización en general del sistema para determinar si satisface con eficacia y eficiencia
los objetivos propuestos.

Este esquema de trabajo debe ser repetitivo pues los sistemas de información rara vez
son inmutables; más bien se encuentran sometidos a evolución continua tanto propia
(nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica
en la que se aprende de la experiencia y se adapta al nuevo contexto.

Para realizar el proceso de análisis y gestión de riesgos se pueden utilizar como referencia
marcos de trabajo como MAGERIT2 o normas internacionales como la ISO 31000 3.
A continuación se describen dos procesos que están directamente relacionados con el

1 Salvaguarda: mecanismos utilizados para mitigar los riesgos que implica una amenaza.
2 MAGERIT: Es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada
por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las
Tecnologías de la Información.
3 ISO 31000: El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de
riesgos y el proceso implementado en el nivel estratégico y operativo.

12 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

análisis y la gestión de los riesgos en la organización:

4.1.1 Gestión de continuidad del negocio (BCM)

La gestión de continuidad del negocio cubre el análisis de riesgos y la administración para
que la organización pueda predeterminar la capacidad de producción mínima necesaria o
la provisión de servicio en todo momento. La BCM tiene como objetivo reducir los riesgos
a un nivel aceptable y desarrolla planes para restaurar las actividades del negocio si se
interrumpen por un desastre.

4.1.2 Gestión de la continuidad del servicio de TI (ITSCM)

Es el proceso encargado de manejar los desastres que afectan a los servicios de TI y de
mantener los servicios para permitir que el negocio siga operando.

La gestión de la continuidad del servicio de TI es parte de toda la gestión de continuidad

del negocio y depende de la información que recibe del proceso BCM (actualmente
SGCN1). La disponibilidad de los servicios de TI se garantiza al combinar las medidas de
reducción de riesgo (p. Ej. Instalando sistemas fiables) y al proporcionar opciones de
recuperación (p. Ej. Sistemas de backup y sistemas redundantes). Una exitosa
implementación requiere la compresión de toda la organización, el compromiso de la
gestión y la cooperación de toda la organización. En particular, el soporte visible de la alta
dirección y los directores es critica para la efectividad del ITSCM 2.

4.2 Seguridad perimetral y de punto final

“Si piensas que la tecnología puede resolver sus problemas de seguridad, entonces no
entiende los problemas de seguridad ni entiende la tecnología.”3
El perímetro de una red de computadores es la frontera virtual existente entre la red
interna de la organización y otras redes donde la mas habitual es Internet. De todos los
incidentes de seguridad que pueden presentarse, la mayoría provienen del perímetro

1 SGCN: Sistema de gestión de continuidad del negocio, actualmente basado en la norma ISO 22301.
2 Bon, J. van, Jong, A. de, Kolthof, A., Pieper, M., Tjassing, R., Veen, A. van der, & Verheijen, T. (2008). Fundamentos de
ITIL®. Van Haren.
3 Bruce Scheneier, “Secrets And Lies. Digital Security In a Networked World”, 2000.

13 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

puesto que es la frontera entre una red “segura” (la de la organización) y una red no
segura (Internet), en la cual se mueven muchos agentes maliciosos que tienen como
objetivo ingresar de forma no autorizada en las organizaciones principalmente con fines
económicos. Para entender mejor este concepto hagamos la analogía con nuestro hogar
que sera nuestra red privada y el exterior es la red publica (Internet). En los tiempos en
que vivimos el dejar las puertas abiertas puede constituir un problema de seguridad puesto
que intrusos pueden ingresar en nuestro hogar y apropiarse de nuestras pertenencias.
Para solucionar este problema pues aseguramos nuestro hogar con una puerta y ventanas
seguras que aseguren nuestro hogar que es seguro del exterior que es inseguro. Lo
mismo pasa en nuestra red de trabajo, debemos asegurarnos de dar seguridad a nuestro
perímetro para lo que podemos utilizar diversas soluciones como son: Firewalls, IDS, IPS,
VPN, etc o dispositivos como los UTM's que integran todos los anteriores.

La seguridad de punto final son aquellas medidas que se toman para asegurar los equipos
de computo frente a las diversas amenazas que puedan surgir. A diferencia de la
seguridad perimetral que protege el perímetro de la red, la seguridad de punto final se
encargada de dar seguridad dentro de ese perímetro es decir dentro de la red.
Supongamos que un funcionario de la organización, introduce una memoria usb que esta
infectada con algún agente malicioso, los equipos de seguridad perimetral no tendrán
como detectar esa amenaza puesto que solo se encargan de vigilar el perímetro, es
entonces cuando entran en juego las medidas de protección de punto final como pueden
ser los antivirus, antimalware, aplicaciones firewall, etc.

4.3 Riesgos legales

Con el fin de evitar problemas de carácter legal que puedan materializarse en sanciones
que vayan en detrimento del patrimonio de la organización, se debe tener en cuenta el
marco legal y regulatorio del uso responsable de las TIC.
El Riesgo Legal es la posibilidad de pérdidas económicas debido a la inobservancia o
aplicación incorrecta o inoportuna de disposiciones legales o normativas, instrucciones

14 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

emanadas de los organismos de control o sentencias o resoluciones jurisdiccionales o

administrativas adversas y a la falta de claridad o redacción deficiente en los textos
contractuales que pueden afectar la formalización o ejecución de actos, contratos o
transacciones. Así mismo el riesgo legal puede derivarse de situaciones de orden jurídico
que afecten la titularidad o disponibilidad de los activos, en detrimento de su valor.
En colombina podemos encontrar como normativa legal y regulatoria en el uso de las TIC 1
la ley 1266 de 2008 (Habeas Data), la ley 1581 de 2012 (Ley Estatutaria General de
Protección de Datos Personales), Código penal art. 270, entre otros, que establecen la
responsabilidad de las empresas con el uso de la información de carácter personal de los
usuarios, además de las consecuencias penales de usar software no licenciado.

4.4 Delitos informáticos

Los delitos informáticos se pueden definir como todas aquellas conductas delictivas en las
que las TIC’s sean el medio utilizado para atacar y lesionar distintos bienes jurídicos, o
bien sean estas el objeto de dicha acción delictiva.
Se caracterizan principalmente por:
➢ Son delitos difíciles de demostrar ya que, en muchos casos, es complicado
encontrar las pruebas.
➢ Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones
estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo
informático y sin estar presente físicamente en el lugar de los hechos.
➢ Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más
la identificación y persecución de los mismos.
Dentro de los delitos informáticos podemos encontrar las difamación, robo de información
privada para estafas, de información financiera o de información comercial, amenazas,
“extorsión”, suplantación de páginas Web, piratería, falsificación de documentos privados
para hacer estafas, denegación del servicio y secuestro de servidores. En Colombia se
han presentado casos donde el propietario pierde el control de su página web hasta el

1 TIC: Tecnologías de la Información y las Comunicaciones

15 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática

punto de no poderle hacer modificaciones, hasta el momento que le llega un correo

electrónico informándole que se apoderaron de su máquina y que debe pagar cierta suma
de dinero para devolverle la administración del sitio.

16 de 16