Protjase del riesgo de robo de datos controlando el uso de dispositivos de

almacenamiento extrables como unidades USB, reproductores MP3, unidades ZIP,

etc.
ZENworks Endpoint Security Management incluye un completo conjunto de funciones
integradas de gestin y aplicacin de medidas de seguridad que le permiten controlar
los dispositivos de almacenamiento extrables de uso comn.

Sistema proteccin frente al riesgo de robo de datos. Permite habilitar, inhabilitar

o configurar como de solo lectura cualquier dispositivo de almacenamiento de archivos
extrable (USB, disquetes, CD/DVD, unidades ZIP, reproductores de .mp3, memoria flash,
SCSI y tarjetas PCMCIA).

Controles pormenorizados de dispositivos de almacenamiento extrables con

listas de aprobacin que permiten a los administradores controlar el uso de los
dispositivos USB.

Prohibicin de operaciones sin registro de auditora mediante el bloqueo de

dispositivos de almacenamiento locales capaces de copiar datos sin dejar un
seguimiento de la auditora.

Controles de unidades de escritura ptica (DVD/CD) y disquetes que permiten

autorizar, denegar o configurar acceso de solo lectura a las unidades, segn la ubicacin
del usuario y el estado de la seguridad.

Proteccin y Seguridad
Los equipos de computo no estn exentos de presentar algn problema, ya que estos
constan de un sinfn de piezas y como tal estas se pueden descargar o no queda
descartado un desastre, o algn siniestro, si esto pasa nuestro equipo de computo puede
sufrir algn dao y este dao orillar a la perdida del equipo de computo o peor aun de la
perdida total de la informacin esta puede ser por ejemplo el reporte que se tiene que
entregar al jefe lunes, las fotos del bautizo, etc. en todos los casos la perdida es
importante (valiosa por su clasificacin, su aprecio o por el valor monetario que refleja).
Los riesgos adems de

naturales, pueden atribuirse

amenazas

de

usuario

malintencionados por parte de los piratas, estos buscan ingresan a su informacin sin su
consentimiento, as mismo estos pueden crear programas ejecutables llamados virus y
gusanos que pueden provocar algn dao a su equipo o principalmente a su informacin,
a su red (si cuenta con ella), si no cuenta con una proteccin adecuada.

Pero se que puede hacer para implementar la seguridad o proteccin de los

equipos

Como se vio anteriormente los riesgos pueden variar de equipo a equipo, pero
afortunadamente, si se toman algunas medidas se puede reducir considerablemente
estos riesgos, como son:

Restriccin del acceso a su equipo , cuando se almacena informacin

considera confidencial, y se requiere que solo un usuario ingrese en esta para
poder modificar o tener acceso a los datos. Una forma seria dejar el equipo de
cmputo bajo llave y guardar esta en un lugar seguro, pero esta medida no
funciona al 100%, no hay que olvidar que se puede tener acceso a este por medio
de la red. La forma ms recomendable de evitar el ingreso a la informacin
sin nuestro consentimiento es utilizar un usuario y una contrasea para el
equipo de computo , y de esta forma se limita el acceso a la informacin y al
equipo de computo, se recomiendan contraseas fciles de recordar, es
importante no utilizar el nombre de uno, informacin que alguien pueda saber de
usted, como medida de seguridad adicional no deje la contrasea en papeles que
alguien pueda ver.

Bloqueo del equipo , Si se esta trabajando en el equipo de computo y tiene la

necesidad de dejar solo este, es importante que se bloque el equipo (para que
nadie ingrese en el) y esto lo podes lograr si se teclea simultneamente ctrl.+alt.
+supr. y en bloquear el equipo aceptar , no se podr desbloquear a menos que
ingrese la contrasea del usuario, cuando se requiere desbloquear el equipo
nicamente tendr que ingresar la contrasea de su usuario y un enter y se podr
hacer uso del equipo de computo nuevamente.

Ejecucin de software antivirus , otra forma en que el equipo de computo corre

peligro es mediante los virus informticos y estos son peligrosos si se ejecuta
con un equipo de computo desprotegido y los virus son una gran molestia y no
hay que olvidar que pueden causar un gran dao a la informacin almacenada, lo
que puede pasar es que se tenga que reinstalar el software del equipo o la
perdida total de la informacin, pero para evitar este ese final se recomienda
tener instalado un antivirus, este debe de estar actualizado al da, y no

olvidar la fecha de caducidad del antivirus , as mismo es importante

configurarlo de acuerdo a las necesidades de cada usuario y revisar con el
antivirus el equipo por lo menos una vez a la semana (o bajo el criterio del
usuario), importante no olvidar que aunque se tenga el mejor antivirus si no esta
actualizado al da (ya que en estos momento puede haber un nuevo virus y esta a
escasos segundos de que el equipo se infecte ), no nos esta protegiendo el
equipo de computo y la informacin que hay en el.

Apertura de datos adjuntos de correo electrnico , pero la propagacin de

virus informticos es principalmente por medio del correo electrnico (archivos
adjuntos), los archivos adjuntos pueden llegar a ser los programas que ejecute el
virus en el equipo de cmputo.

Observa los siguiente podrs checa si tus archivos adjuntos son algn virus.

Si tu mensaje de correo electrnico viene de algn remitente que no conoces,

elimnalo , pero si el remitente lo conoces pero dudas del contenido verifica la
extensin del archivo adjunto ya que este se puede ejecutar, mejor pregunta al
remitente si el archivo que te mando es confiable si no mejor por seguridad elimnalo.

Descarga de archivos desde Internet , cuando se navega en Internet podemos

encontrar informacin interesante pero no nada ms esto, podemos encontrar
algn virus informtico, gusanos, troyanos, etc.

Para evitar esto es importante verificar los archivos, programas, fotos, o las ventanas
emergente etc. que se descargan de Internet para evitar llevarse una sorpresa, pero si
ha encontrado una aplicacin es importante que la descargue en su disco duro, y
verifique la extensin de la misma, adems de escner el archivo descargado con un
antivirus como prevencin es un proceso tardado pero mejor tardado que infectado
usted que opina? Y si al escanearlo el antivirus no le marco nada en especial o usted
crees que el archivo o software es confiable, puede proceder con la inhalacin

Creacin de copias de seguridad , cuando la informacin se considera

confidencial o importante debe de asegurar crear una copia de seguridad y
esta debe de ser resguardada en un lugar seguro, ya que si se dao el equipo se
contara con otra copia de su informacin.

As mismo es importante respaldar la informacin del equipo de cmputo de forma

peridicamente, para evitar contrariedades y los usuarios se lleven un susto, al
considerar que si informacin esta perdida, el periodo de respaldo de esta bajo el criterio
del usuario, ya que nada mas el sabr que tan importante es su informacin

Es importante invertir un poco de tiempo a la revisin del equipo de computo o de los

archivos, as como desconfiar del contenido de los correos electrnicos, a tener que
formatear el equipo de computo o tener que acudir con un experto para tratar de
recuperar algo de informacin, que dar como resultado un gasto que no se tenia
contemplado o peor aun la perdida de informacin importante.

La importancia de la normatividad para el acseso ala TIC.

Importancia La importancia de las TICs es relevante en el mundo que vivimos.
Actualmente ya son muchas las voces que desde la red claman por una
democratizacin de estas tecnologas. Son medios Las Tic son utilizados en la las
educacin para tecnologas optimizar la de la utilizacin de los informacin y
recursos comunicacin tecnolgicos en la LAS TIC labor pedaggica. Son recursos
que integran tecnologas para
IMPORTANCIA DE LAS TIC El problema es que an No se logra captar la importancia
real del son pocas las voces que tema, sus tienen acceso a la consecuencias y la
Internet, por tanto el peso incidencia que tendr especifico de estos en la calidad de
vida a futuro. reclamos se relativiza
Importancia Actualmente ya son de las TICs es muchas las voces relevante en el
que desde la red mundo que claman por una vivimos. democratizacin de estas
tecnologas. Son medios Las Tic son utilizados en la las educacin para tecnologas
optimizar la de la utilizacin de los informacin y recursos comunicacin
tecnolgicos en la LAS TIC labor pedaggica.
Productividad y competitividad Es necesario complementar tales resultados con los
ms recientes hallazgos de ciertos estudios, los cuales apoyan la nocin de que el
acceso, uso y adopcin de las TICs por parte de las PYMES centroamericanas,
constituye una importante innovacin que podra mejorar su productividad y
competitividad, siempre y cuando se adopten otras polticas que combatan los
obstculos o restricciones que enfrentan estas empresas para su desarrollo, en
cada uno de estos pases.

Instalacin elctrica
Para su funcionamiento los ordenadores necesitan electricidad y sta es una de las
principales reas a tener en cuenta en la seguridad fsica.
Posibles riesgos que se pueden presentar en el tema elctrico:
Picos y Ruidos Electromagnticos
Cableado
o Interferencia: estas modificaciones pueden estar generadas por
cables de alimentacin de maquinaria pesada o por equipos de radio o
microondas. Los cables de fibra ptica no sufren este tipo de
problemas que pueden alterar los datos que viajan a travs de l.
o Corte del cable: la conexin se rompe y los datos dejan de circular
por el cable.
o Daos en el cable: con el uso se pueden daar el propio cable o su
apantallamiento, que es lo que preserva la integridad de los datos
transmitidos, con lo cual las comunicaciones dejan de ser fiables.
Cableado de alto nivel de seguridad Pisos de Placas Extrables.
Sistema de Aire Acondicionado.
Emisiones Electromagnticas.
Ergometra
"La Ergonoma es una disciplina que se ocupa de estudiar la forma en que interacta el
cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa
interaccin sea lo menos agresiva y traumtica posible."
La ergonoma estudia la adaptacin de los mtodos, objetos, maquinarias, herramientas
e instrumentos o medios y las condiciones de trabajo a la anatoma, fisiologa y
psicologa del operador. Su objetivo fundamental es la proteccin de los trabajadores
contra problemas como el agotamiento, las sobrecargas y el envejecimiento prematuro.
Las principales consecuencias de una mala ergonoma del puesto de trabajo son:

Trastornos seos y/o musculares

Trastornos visuales
La salud mental
Ambiente luminoso
Ambiente Climtico

DERECHOS DE PROPIEDAD INTELECTUAL

LEGISLACIN NACIONAL - MXICO
Reglamento de la Ley Federal del Derecho de Autor

REGLAMENTO DE LA LEY FEDERAL DEL DERECHO DE AUTOR

ERNESTO ZEDILLO PONCE DE LEN, Presidente de los Estados Unidos Mexicanos, en

ejercicio de la facultad que me confiere la fraccin I del artculo 89 de la Constitucin
Poltica de los Estados Unidos Mexicanos, y con fundamento en los artculos 13, 34 y 38
de la Ley Orgnica de la Administracin Pblica Federal, he tenido a bien expedir el
siguiente

REGLAMENTO DE LA LEY FEDERAL DEL DERECHO DE AUTOR

TTULO I: DISPOSICIONES GENERALES
CAPTULO NICO
Artculo 1 o.- El presente ordenamiento tiene por objeto reglamentar las disposiciones de
la Ley Federal del Derecho de Autor. Su aplicacin, para efectos administrativos,
corresponde a la Secretara de Educacin Pblica a travs del Instituto Nacional del
Derecho de Autor y, en los casos previstos por la Ley, al Instituto Mexicano de la
Propiedad Industrial.
Artculo 2 o.- Para los efectos de este Reglamento se entender por:
I.

Ley: La Ley Federal del Derecho de Autor;

II.

Secretara: La Secretara de Educacin Pblica;

III.

Secretario: El Secretario de Educacin Pblica;

IV.

Instituto: El Instituto Nacional del Derecho de Autor;

V.

Director General: El Director General del Instituto Nacional del Derecho de Autor;

VI.

Registro: El Registro Pblico del Derecho de Autor;

VII.

Diario Oficial: El Diario Oficial de la Federacin;

VIII.

Cdigo Penal: El Cdigo Penal para el Distrito Federal en Materia de Fuero Comn
y para toda la Repblica en Materia de Fuero Federal;

IX.

Cdigo Civil: El Cdigo Civil para el Distrito Federal en Materia Comn y para toda
la Repblica en Materia Federal;

X.

Reserva: La Reserva de Derechos al Uso Exclusivo;

XI.

Sociedades: Las Sociedades de Gestin Colectiva.

Artculo 3 o.- Los trmites y procedimientos que se realicen ante el Instituto, sern
objeto de pago de derechos conforme a las cuotas que para cada caso se seale en la
Ley Federal de Derechos.
Artculo 4 o.- Salvo disposicin legal o reglamentaria en contrario, todo trmite
contemplado en la Ley o en este Reglamento tendr un plazo de respuesta oficial de diez
das hbiles.
Transcurrido sin respuesta el plazo aplicable, se entender la resolucin en sentido
negativo al promovente.

TTULO II: DEL DERECHO DE AUTOR

CAPTULO I: DEL DERECHO MORAL
Artculo 5 o.- El ejercicio de los derechos morales por parte del Estado Mexicano
corresponde a la Secretara a travs del Instituto.
Artculo 6 o.- El propietario del soporte material de una obra literaria y artstica no ser
responsable, en ningn caso, por el deterioro o destruccin de la obra o de su soporte
material causado por el simple transcurso del tiempo o por efecto de su uso habitual.
Artculo 7 o.- La preservacin, restauracin o conservacin de obras literarias y
artsticas podr realizarse mediante acuerdo entre el autor y el propietario del soporte
material o del ejemplar nico, segn el caso.

CAPTULO II: DEL DERECHO PATRIMONIAL

Artculo 8 o.- Para los efectos de la Ley y de este Reglamento, se entiende por regalas la
remuneracin econmica generada por el uso o explotacin de las obras,
interpretaciones o ejecuciones, fonogramas, videogramas, libros o emisiones en
cualquier forma o medio.

Artculo 9 o.- El pago de regalas al autor, a los titulares de derechos conexos y a sus
causahabientes se har en forma independiente a cada uno de quienes tengan derecho
segn la modalidad de explotacin de que se trate.
Artculo 10 o.- Las regalas por ejecucin, exhibicin o representacin pblica de obras
literarias y artsticas se generarn en favor de los autores y titulares de derechos
conexos, as como de sus causahabientes, cuando sta se realice con fines de lucro
directo o indirecto.
Artculo 11.- Se entiende realizada con fines de lucro directo, la actividad que tenga por
objeto la obtencin de un beneficio econmico como consecuencia inmediata del uso o
explotacin de los derechos de autor, derechos conexos o reservas de derechos, la
utilizacin de la imagen de una persona o la realizacin de cualquier acto que permita
tener un dispositivo o sistema cuya finalidad sea desactivar los dispositivos electrnicos
de proteccin de un programa de cmputo.
Se reputar realizada con fines de lucro indirecto su utilizacin cuando resulte en una
ventaja o atractivo adicional a la actividad preponderante desarrollada por el agente en
el establecimiento industrial, comercial o de servicios de que se trate.
No ser condicin para la calificacin de una conducta o actividad el hecho de que se
obtenga o no el lucro esperado.
Artculo 12.- Para efectos de lo dispuesto por el artculo 133 de la Ley, se considera
comunicacin directa al pblico de fonogramas:
I.

II.
III.

La ejecucin pblica efectuada de tal manera que una pluralidad de personas

pueda tener acceso a ellos, ya sea mediante reproduccin fonomecnica o
digital, recepcin de transmisin o emisin, o cualquier otra manera;
La comunicacin pblica mediante radiodifusin, o
La transmisin o retransmisin por hilo, cable, fibra ptica u otro procedimiento
anlogo.

El pago a que se refiere el artculo 133 de la Ley deber hacerse independientemente a

cada una de las categoras de titulares de derechos de autor y derechos conexos que
concurran en la titularidad de los derechos sobre la forma de explotacin de que se
trate.
Las disposiciones de este artculo sern aplicables, en lo conducente, a las obras
cinematogrficas y audiovisuales.
Artculo 13.- No se considera comunicacin directa al pblico la reproduccin, directa o
indirecta, total o parcial, del fonograma en copias o ejemplares, su primera distribucin
mediante venta o de cualquier otra manera o su modificacin o adaptacin en otro
fonograma.

Artculo 14.- Para los efectos de la Ley, se consideran ilcitas las copias de obras, libros,
fonogramas, videogramas, que han sido fabricadas sin la autorizacin del titular de los
derechos de autor o de los derechos conexos en Mxico o en el extranjero, segn el
caso.
Las facultades a que se refieren los artculos 27, fraccin V, 125, fraccin II, y 131,
fraccin II, de la Ley, slo podrn ejercitarse cuando se trate de la importacin de copias
ilcitas.
Artculo 15.- El usuario final de buena fe no estar obligado al pago de daos y
perjuicios por la utilizacin de seales de satlite codificadas portadoras de programas
conforme al artculo 145, fraccin I, de la Ley, siempre que no persiga fines de lucro.

TTULO III: DE LA TRANSMISIN DE DERECHOS

CAPTULO I: DISPOSICIONES GENERALES
Artculo 16.- Los actos, convenios y contratos por los que se transmitan derechos
patrimoniales sobre obra futura, debern precisar las caractersticas detalladas de la
obra, los plazos y condiciones de entrega, la remuneracin que corresponda al autor y el
plazo de vigencia.
Artculo 17.- Los actos, convenios y contratos por los que se transmitan, conforme a lo
dispuesto en la Ley, derechos patrimoniales por un plazo mayor de 15 aos, debern
expresar siempre la causa especfica que as lo justifique e inscribirse en el Registro.
Se podr pactar un trmino mayor de 15 aos cuando se trate de:
I.

II.

Obras que, por su extensin, la publicacin implique una inversin muy superior a
la que comnmente se pague por otras de su clase;
Obras musicales que requieran un periodo ms largo de difusin;

III.

Aportaciones incidentales a una obra de mayor amplitud, tales como prlogos,

presentaciones, introducciones, prolegmenos y otras de la misma clase;

IV.

Obras literarias o artsticas, incluidas las musicales, que se incorporen como

parte de los programas de medios electrnicos a que se refiere el artculo 111 de
la Ley, y

V.

Las dems que por su naturaleza, magnitud de la inversin, nmero de ejemplares

o que el nmero de artistas intrpretes o ejecutantes que participen en su
representacin o ejecucin no permitan recuperar la inversin en ese plazo.

Artculo 18.- En los actos, convenios y contratos por los que se transmitan derechos
patrimoniales de autor se deber hacer constar en forma clara y precisa la participacin
proporcional que corresponder al autor o la remuneracin fija y determinada, segn el

caso. La misma regla regir para todas las transmisiones de derechos posteriores
celebradas sobre la misma obra.
Artculo 19.- La remuneracin compensatoria por copia privada es aquella que
corresponde al autor, al titular de derechos conexos o sus causahabientes por la copia o
reproduccin realizada en los trminos del artculo 40 de la Ley.
Artculo 20.- La remuneracin compensatoria por copia privada podr ser recaudada por
los autores, titulares de derechos conexos y sus causahabientes, personalmente o por
conducto de una sociedad.
Artculo 21.- Se entiende por sincronizacin audiovisual, la incorporacin simultnea,
total o parcial, de una obra musical con una serie de imgenes que produzcan la
sensacin de movimiento.
Artculo 22.- La persona que trabe embargo o ejercite accin prendaria sobre los frutos
o productos que se deriven del ejercicio de los derechos patrimoniales de autor, podr
solicitar a la autoridad judicial que autorice la explotacin de la obra cuando el titular se
niegue a hacerlo sin causa justificada.

CAPTULO II: DEL CONTRATO DE EDICIN DE OBRA LITERARIA

Artculo 23.- Se presumir que el editor carece de ejemplares de una obra para atender
la demanda del pblico, cuando durante un lapso de seis meses no haya puesto a
disposicin de las libreras tales ejemplares.
Artculo 24.- El autor o el titular de los derechos patrimoniales, para garantizar el
derecho de preferencia del editor para la nueva edicin, deber notificar los trminos de
la oferta recibida, mediante aviso por escrito al editor, quien tendr un plazo de quince
das para manifestar su inters en la realizacin de la nueva edicin. De no hacerlo as,
se entender renunciado su derecho, quedando libre el autor para contratar la nueva
edicin con quien ms convenga a sus intereses.
Artculo 25.- El aviso de terminacin del contrato de edicin de obra literaria deber ser
realizado en forma fehaciente.
Artculo 26.- Las normas previstas en este Captulo sern aplicables a los contratos de
edicin de obra musical, representacin escnica, radiodifusin, produccin audiovisual
y publicitario en lo que no se opongan a su naturaleza o a las disposiciones de la Ley.

TTULO IV: DE LA PROTECCIN AL DERECHO DE AUTOR

CAPTULO I: DISPOSICIONES GENERALES

Artculo 27.- Las obras derivadas de las obras annimas, podrn ser explotadas en tanto
no se d a conocer el nombre del autor de la obra primigenia o no exista un titular de
derechos patrimoniales identificado.
Corresponder a las autoridades judiciales la determinacin de las regalas cuando el
autor o el titular de los derechos patrimoniales reivindique la titularidad de la obra y no
exista acuerdo entre las partes; sin embargo, las cantidades percibidas de buena fe por
el autor de la obra derivada o por un tercero quedarn a favor de stos.
Artculo 28.- El autor de una obra derivada, no requerir autorizacin del titular de los
derechos sobre la obra primigenia para entablar demanda en relacin con sus
aportaciones originales protegidas en los trminos del artculo 78 de la Ley.
Artculo 29.- Cuando la traduccin se haga a su vez sobre una traduccin, el traductor
deber mencionar el nombre del autor y el idioma de la obra original, as como el nombre
del primer traductor y el idioma de la traduccin en que se base.
Artculo 30.- En el caso de obras hechas en coautora, se debern mencionar los
nombres de la totalidad de los coautores, aun cuando sea la mayora la que haga uso o
explote la obra.

CAPTULO II: DE LAS OBRAS FOTOGRFICAS, PLSTICAS Y GRFICAS

Artculo 31.- Los ejemplares de una obra grfica en serie deben tener la firma del autor,
el nmero de ejemplares de la serie y el nmero consecutivo que le corresponde a la
copia.
Los ejemplares pertenecientes a las series que hayan sido realizados por el autor que
hubiere fallecido antes de firmarlos podrn serlo por el cnyuge suprstite o, en su
defecto, por familiares consanguneos en primer grado, siempre y cuando sean titulares
patrimoniales. En caso de ser varios debern designar a uno de ellos.
Artculo 32.- Las pruebas de autor, de impresor y las que se realicen con la intencin de
que estn fuera del comercio, slo se podrn poner a la venta cuando la totalidad de la
serie est agotada y hayan transcurrido, por lo menos, cinco aos desde su realizacin.
Artculo 33.- La inscripcin en el Registro de una obra que contenga el retrato o
fotografa de una persona, no implica la autorizacin que para su uso o explotacin exige
el artculo 87 de la Ley.

CAPTULO III: DE LA OBRA CINEMATOGRFICA Y DE LA AUDIOVISUAL

Artculo 34.- Los contratos de produccin audiovisual debern prever la participacin
proporcional o la remuneracin fija en favor de los autores o titulares sealados en el
artculo 97 de la Ley, la que regir para cada acto de explotacin de la obra audiovisual.

Cuando no se contemple en el contrato alguna modalidad de explotacin, sta se

entender reservada en favor de los autores de la obra audiovisual.
Lo dispuesto en el presente artculo es aplicable, en lo conducente, a las actuaciones e
interpretaciones que se incluyan en la obra audiovisual.
Artculo 35.- Corresponde a los autores de la obra audiovisual y a los artistas
intrpretes y ejecutantes que en ella participen, una participacin en las regalas
generadas por la ejecucin pblica de la misma.

CAPTULO IV: DE LOS PROGRAMAS DE COMPUTACIN Y LAS BASES DE DATOS

Artculo 36.- Se entiende por espectro electromagntico lo establecido en la fraccin II
del artculo 3o. de la Ley Federal de Telecomunicaciones.
Artculo 37.- Son medios electrnicos aquellos que hagan posible el acceso remoto al
pblico de obras literarias y artsticas por medio del espectro radioelctrico o las redes
de telecomunicacin.

TTULO V: DE LAS LIMITACIONES DEL DERECHO DE AUTOR

CAPTULO I: DE LA LIMITACIN POR CAUSA DE UTILIDAD PBLICA
Artculo 38.- El procedimiento para obtener la autorizacin a que se refiere el artculo
147 de la Ley puede iniciarse de oficio o a peticin de parte. En el primer caso el
procedimiento ser iniciado por la Secretara a travs del Instituto.
Artculo 39.- La declaratoria de limitacin del derecho de autor por causa de utilidad
pblica proceder cuando, a juicio del Ejecutivo Federal, concurran las siguientes
circunstancias:
I.

Que la obra o sus copias sean necesarias para el adelanto de la ciencia, la

cultura y la educacin nacionales segn el dictamen que expida el Instituto;

II.

Que la obra no cuente con editor o titular de los derechos patrimoniales de autor
identificado, o que existiendo ste, se niegue sin causa justificada a reproducir y
publicar la obra, y

III.

Que no exista una obra sucednea para el adelanto de la rama de la ciencia, la

cultura o la educacin nacionales de que se trate.

Artculo 40.- Cuando el procedimiento se inicie a peticin de parte, el solicitante

deber:

I.

II.

Proporcionar al Instituto los elementos que acrediten que su solicitud se adecua

a lo dispuesto por la Ley y por este Reglamento;
Sealar el nmero de ejemplares de que constara la edicin;

III.

Determinar el posible precio, as como el uso o destino que tendran los

ejemplares reproducidos, y

IV.

Garantizar la remuneracin compensatoria correspondiente al total de la edicin

y consignarla a disposicin del titular del derecho patrimonial.

Recibida la solicitud, el Instituto contar con un plazo de treinta das para admitirla o
desecharla.
El Instituto podr prevenir al solicitante para que subsane cualquier omisin o presente
pruebas omitidas dentro de un plazo de diez das. Transcurrido este trmino, el Instituto
contar con un plazo de treinta das para admitir o desechar la solicitud.
Artculo 41.- El procedimiento ante el Instituto se tramitar conforme a las siguientes
bases:
I.

Se emplazar personalmente al titular de los derechos patrimoniales de la obra

sobre la cual se pretenda autorizar la publicacin o traduccin, informndole el
inicio del procedimiento;

II.

El interesado contar con un plazo de quince das para manifestar lo que a su

derecho convenga y adjuntar pruebas que obren en su poder, y

III.

Una vez integrado el expediente, el Instituto, previo estudio del mismo, deber
emitir un dictamen sobre la procedencia de la autorizacin.

En caso de ignorarse el domicilio del titular de los derechos patrimoniales, surtir

efectos de notificacin personal una publicacin del oficio de inicio del procedimiento en
el Diario Oficial.
Artculo 42.- El dictamen de procedencia que emita la Secretara a travs del Instituto
contendr, por lo menos:
I.

Las caractersticas de la obra y los datos sobre la titularidad de los derechos

morales, as como la de los patrimoniales, si es el caso, y

II.

El anlisis por el cual se considere que la solicitud cumple con los requisitos de
procedencia.

Artculo 43.- El Ejecutivo Federal, considerando los resultados del dictamen, podr
expedir el Decreto por el que se declare la limitacin al derecho patrimonial por causa de
utilidad pblica, el cual se publicar en el Diario Oficial. Este Decreto contendr, entre
otros:

I.

El ttulo de la obra;

II.

El nombre del titular de los derechos morales, as como el de los patrimoniales, si

es el caso;

III.

El nmero de ediciones y de ejemplares autorizados, su precio, as como el uso o

destino de los mismos, y

IV.

La remuneracin compensatoria en favor del titular de derechos patrimoniales, la

cual no podr ser inferior a la que para la clase de edicin y de obra de que se
trate sea comn pagar en el mercado.

El Decreto que autoriza la edicin o traduccin de la obra se sujetar a las disposiciones

de los tratados y convenios internacionales en materia de derechos de autor y derechos
conexos suscritos y ratificados por Mxico.

CAPTULO II: DE LA LIMITACIN A LOS DERECHOS PATRIMONIALES

Artculo 44.- No constituye violacin al derecho de autor la reproduccin de obras
completas o partes de una obra, fonograma, videograma, interpretacin o ejecucin o
edicin, siempre que se realice sin fines de lucro y con el objeto exclusivo de hacerla
accesible a invidentes o sordomudos; la excepcin prevista en este artculo comprende
las traducciones o adaptaciones en lenguajes especiales destinados a comunicar las
obras a dichas personas.
Artculo 45.- Las limitaciones a que se refiere el artculo 151 de la Ley sern vlidas
siempre que no afecten la explotacin normal de la actuacin, fonograma, videograma o
emisin de que se trate y no se cause un perjuicio a los titulares de los derechos.
Artculo 46.- Las obras hechas al servicio oficial de la Federacin, las entidades
federativas o los municipios, se entienden realizadas en los trminos del artculo 83 de
la Ley, salvo pacto expreso en contrario en cada caso.

TTULO VI: DE LOS DERECHOS SOBRE LOS SMBOLOS PATRIOS Y LAS CULTURAS
POPULARES
CAPTULO NICO
Artculo 47.- La reproduccin, comunicacin pblica o cualquier otra forma de uso, as
como el ejercicio de los derechos morales sobre los smbolos patrios debern apegarse
a lo dispuesto en la Ley sobre el Escudo, la Bandera y el Himno Nacionales.
Artculo 48.- Las obras literarias o artsticas de arte popular o artesanal cuyo autor no
sea identificable, podrn ser:

I.

Expresiones verbales, tales como cuentos populares, leyendas, tradiciones,

poesa popular y otras similares;

II.

Expresiones musicales, tales como canciones, ritmos y msica instrumental

populares;

III.

Expresiones corporales, tales como danzas y rituales;

IV.

Expresiones tangibles tales como:

V.

a.

Las obras de arte popular o artesanal tradicional, ya sean obras pictricas

o en dibujo, tallas en madera, escultura, alfarera, terracota, mosaico,
ebanistera, forja, joyera, cestera, vidrio, lapidaria, metalistera,
talabartera, as como los vestidos tpicos, hilados, textiles, labores de
punto, tapices y sus similares;

b.

Los instrumentos musicales populares o tradicionales, y

c.

La arquitectura propia de cada etnia o comunidad, y

Cualquier expresin originaria que constituya una obra literaria o artstica o de

arte popular o artesanal que pueda ser atribuida a una comunidad o etnia
originada o arraigada en la Repblica Mexicana.

TTULO VII: DE LOS DERECHOS CONEXOS

CAPTULO NICO: Artculo 49.- Las interpretaciones y ejecuciones, fonogramas,
videogramas, libros y emisiones, estn protegidas en los trminos previstos por la Ley,
independientemente de que incorporen o no obras literarias y artsticas.
Artculo 50.- El agotamiento del derecho a que se refiere el ltimo prrafo del artculo
118 de la Ley, se circunscribir nicamente a las modalidades de explotacin
expresamente autorizadas por el artista intrprete o ejecutante.
La fijacin, comunicacin pblica o reproduccin de la fijacin de la interpretacin
realizada en exceso de la autorizacin conferida facultar al artista intrprete o
ejecutante para oponerse al acto de que se trate, adems de exigir los daos y
perjuicios causados.
Artculo 51.- Corresponde a los artistas intrpretes o ejecutantes estarn facultados
para exigir la reparacin del dao moral y el pago de daos y perjuicios, cuando la
utilizacin de una interpretacin o ejecucin se realice en contravencin a lo dispuesto
por el artculo 117 de la Ley.
Artculo 52.- Corresponde a los artistas intrpretes o ejecutantes una participacin en
las cantidades que se generen por la ejecucin pblica de sus interpretaciones y

ejecuciones fijadas en fonogramas. Lo dispuesto en el presente artculo se deber hacer

constar en los contratos de interpretacin o ejecucin.

TTULO VIII: DE LOS REGISTROS

CAPTULO I: DISPOSICIONES COMUNES A REGISTRO Y RESERVAS
Artculo 53.- Las solicitudes o promociones que se presenten ante el Instituto, debern
realizarse por duplicado en los formatos oficiales que se publiquen en el Diario Oficial,
acompaados de los anexos que los mismos indiquen. La autoridad no podr requerir
ms anexos que los establecidos en la Ley, en este Reglamento, en el formato respectivo
o en las disposiciones fiscales aplicables al caso.
Artculo 54.- En caso de no ser necesaria la forma oficial, el escrito deber contener:
I.

Nombre del solicitante;

II.

Domicilio para or y recibir notificaciones dentro del territorio de los Estados

Unidos Mexicanos;

III.

Documentos que acrediten la personalidad del solicitante, de sus apoderados o

representantes legales; en caso de ser persona moral, los documentos que
acrediten su legal existencia;

IV.

Peticin del solicitante, redactada en trminos claros y precisos;

V.
VI.
VII.

Hechos y consideraciones de derecho en que el solicitante funde su peticin;

Comprobante de pago de derechos, y
En su caso, traduccin al espaol de los documentos que se acompaen escritos
en idioma distinto.

Artculo 55.- Las solicitudes o promociones no debern contener tachaduras o

enmendaduras. Una vez admitidas a trmite, no podrn ser modificadas por el
solicitante. Cada solicitud o promocin corresponder a un asunto.
Las solicitudes y promociones remitidas por correo, servicios de mensajera u otros
equivalentes se tendrn como efectivamente entregadas cuando cuenten con sello del
Instituto, en el que conste la fecha y hora de recepcin.
Los anexos podrn ser copias simples, en cuyo caso se deber pagar la cuota que por su
cotejo con los originales corresponda, salvo las excepciones en que se requieran stos.
Artculo 56.- El Instituto decretar de oficio la caducidad de los trmites y solicitudes
en las que el interesado, debiendo hacer alguna promocin, no la haya realizado durante

un lapso de tres meses siempre que no exista otro plazo previsto al efecto en la Ley o en
este Reglamento.

CAPTULO II: DEL REGISTRO PBLICO DEL DERECHO DE AUTOR

Artculo 57.- En el Registro se podrn inscribir, adems de lo previsto en el artculo 163
de la Ley:
I.
II.

Los poderes otorgados conforme a la Ley y a este Reglamento;

Los contratos que celebren las sociedades con los usuarios
representacin que tengan con otras de la misma naturaleza;

los

de

III.

Las actas y documentos mediante los que la sociedad designe a sus rganos de
administracin y de vigilancia, sus administradores y apoderados;

IV.

Los testimonios de las escrituras notariales de la constitucin o modificacin de

la sociedad, y

V.
VI.

Los videogramas, fonogramas y libros.

Las resoluciones judiciales o administrativas que en cualquier forma confirmen,
modifiquen o extingan la titularidad de los derechos de autor o de los derechos
conexos.

Artculo 58.- El Registro contar con un plazo de quince das, a partir de la admisin de
la solicitud, para dictar la resolucin que proceda o expedir las constancias o duplicados
que se le soliciten. Para el caso del registro de documentos relativos a las asambleas de
las sociedades de gestin colectiva o a sus estatutos, el plazo se extender por cuarenta
y cinco das.
Artculo 59.- El Registro se considera de buena fe y la inscripcin comprender los
documentos que, bajo protesta de decir verdad, presenten los promoventes.
Las inscripciones y anotaciones hechas ante el Registro son declarativas y establecen
una presuncin legal de titularidad en favor de quien las hace, pero no son constitutivas
de derechos.
Artculo 60.- En caso de ser varias las obras acompaadas a una solicitud, sern
consideradas como coleccin de obras bajo un mismo ttulo para efectos de su registro.
Artculo 61.- Los documentos procedentes del extranjero que se presenten para
comprobar la titularidad de los derechos de autor o los derechos conexos, no requerirn
legalizacin para efectos de su registro. Su traduccin, veracidad y autenticidad sern
responsabilidad del solicitante.

Artculo 62.- Hecha la inscripcin, el interesado contar con un trmino de treinta das
para reclamar la entrega del certificado correspondiente; agotado este trmino, deber
solicitar su entrega extempornea.
Artculo 63.- Cuando por prdida, destruccin o mutilacin del original sea imposible la
expedicin de copias certificadas, proceder, a solicitud del autor, del titular de los
derechos patrimoniales o de autoridad competente, la expedicin de un duplicado del
certificado de inscripcin o de la constancia de registro.
El duplicado se realizar de acuerdo con los datos, documentos e informes que dieron
origen a la inscripcin.
Artculo 64.- Los certificados de registro debern mencionar, por lo menos:
I.
II.

Tipo de certificado de que se trate;

Nmero de inscripcin;

III.

Fundamentos legales que motiven la inscripcin;

IV.

Fecha en que se emite el certificado;

V.

VI.
VII.

Tratndose de contratos, convenios y poderes, nombre de las partes, carcter

con que se ostentan y el objeto del contrato;
Cargo del funcionario autorizado para firmar el certificado, y
Nombre y firma autgrafa del funcionario autorizado para tal efecto.

Artculo 65.- Los interesados podrn solicitar la correccin de errores de transcripcin

o de otra ndole directamente imputables al Registro, en un plazo no mayor a tres meses
despus de la expedicin del certificado.
Artculo 66.- Cuando medie algn aviso de iniciacin de juicio, averiguacin previa o
procedimiento administrativo, en materia de derechos de autor o derechos conexos, el
Registro tendr la obligacin de hacer constar tal circunstancia mediante una anotacin
provisional en sus asientos.
Una vez notificada la sentencia ejecutoriada, el Registro deber realizar las anotaciones
definitivas que procedan.
Artculo 67.- Proceder la anotacin marginal cuando a peticin del autor o titular de los
derechos patrimoniales, se requiera:
I.
II.

Modificar el ttulo de la obra;

Hacer mencin de un autor o colaborador omitido en la solicitud de registro;

III.

Sealar al titular de los derechos patrimoniales o agregar al titular omitido en la

solicitud de registro;

IV.

Modificar la vigencia establecida en el contrato;

V.

Cambiar la denominacin o razn social del titular del derecho patrimonial de

autor y del mandante en el caso de la inscripcin de un poder;

VI.

Cambiar la denominacin de la Sociedad, previa autorizacin que emita el

Instituto;

VII.
VIII.
IX.

X.
XI.

XII.

Revocar el poder otorgado;

Aclarar si la obra es primigenia o derivada;
Manifestar la fusin de personas morales titulares de los derechos patrimoniales
de autor;
Modificar los estatutos de las Sociedades;
Suprimir un nombre que por error se haya manifestado como autor, colaborador,
titular o parte en el certificado de registro, y
Las dems que por analoga puedan incluirse.

Cuando se trate de modificaciones sobre los datos registrados que se indican en las
fracciones I, II, III, IV, VIII y XI slo podrn realizarse con el consentimiento de todos los
interesados en el registro. Asimismo, slo podrn modificarse conceptos o datos de
fondo cuando exista el consentimiento de todos los interesados en el registro.
A falta del consentimiento unnime de los interesados la anotacin marginal slo podr
efectuarse por resolucin judicial.
La anotacin marginal surtir efectos a partir de la fecha de su inscripcin.
Artculo 68.- Los contratos tipo o de formato son aquellos que son idnticos entre s en
todas sus clusulas, variando slo sus datos particulares.
Artculo 69.- El procedimiento de cancelacin o correccin por error se iniciar de oficio
de la siguiente manera:
I.

El Registro notificar personalmente al afectado los motivos y fundamentos que

tenga para cancelar o corregir la inscripcin correspondiente, concedindole un
plazo de 15 das para que manifieste por escrito lo que a su derecho convenga, y

II.

Transcurrido el trmino, y previo estudio de los antecedentes relativos, se dictar

la resolucin administrativa que proceda, la que se notificar al interesado en el
domicilio que hubiere sealado en la solicitud de registro.

CAPTULO III: DE LAS RESERVAS DE DERECHOS AL USO EXCLUSIVO

Artculo 70.- Las reservas podrn otorgarse en forma independiente sobre uno o varios
de los gneros objeto de proteccin a que se refiere el artculo 173 de la Ley; en los
casos de las publicaciones peridicas, ser sin perjuicio de las atribuciones que en esta
materia tiene la Secretara de Gobernacin.
El Instituto informar a la Secretara de Gobernacin de todas las resoluciones que
emita relativas a reservas otorgadas sobre publicaciones peridicas y har saber a los
interesados que debern cumplir con las disposiciones administrativas en la materia.
Artculo 71.- Para efectos del artculo 173, fraccin III, de la Ley, no son objeto de
reserva las caractersticas fsicas y psicolgicas reales de una persona determinada.
Artculo 72.- Para los efectos del Inciso b) de la fraccin I del artculo 188 de la Ley se
entiende por genrico:
I.

II.

Las palabras indicativas o que en el lenguaje comn se emplean para designar

tanto a las especies como al gnero en el cual se pretenda obtener la reserva, de
conformidad con el artculo 173 de la Ley;
Las palabras descriptivas del gnero en el cual se solicite la reserva;

III.

Los nombres o denominaciones de las ramas generales del conocimiento;

IV.

Los nombres o denominaciones de los deportes o competencias deportivas,

cuando pretendan aplicarse a publicaciones peridicas, difusiones peridicas o
promociones publicitarias, y

V.

Los artculos, las preposiciones y las conjunciones.

Artculo 73.- Para efectos de lo dispuesto en el artculo 188, fraccin I, inciso e), de la
Ley, ser necesario el consentimiento expreso del interesado, cuando la solicitud
correspondiente comprenda, conjunta o aisladamente, la reproduccin del rostro de una
persona determinada, su expresin corporal, facciones o rasgos generales, de tal
manera que se pueda apreciar que se trata de la misma persona, aun cuando su rostro,
expresin, facciones o rasgos generales fueran modificados o deformadas y su nombre
sustituido por uno ficticio.
Artculo 74.- Para los efectos de la fraccin II del artculo 231 de la ley, no constituir
infraccin en materia de comercio la utilizacin de la imagen de una persona sin la
autorizacin correspondiente, cuando se realice con fines informativos o periodsticos o
en ejercicio del derecho de libertad de expresin.
Artculo 75.- Son notoriamente conocidos los ttulos, nombres, denominaciones o
caractersticas que por su difusin, uso o explotacin habituales e ininterrumpidos en el

territorio nacional o en el extranjero, sean identificados por un sector determinado del

pblico.
Artculo 76.- Para la obtencin de una reserva de derechos, se podr solicitar al
Instituto un dictamen previo sobre su procedencia, de acuerdo con lo dispuesto en el
artculo 188 de la Ley.
Hecha la solicitud, el Instituto expedir el dictamen correspondiente en un plazo de
quince das. Tratndose de promociones publicitarias y personajes, el plazo se extender
por treinta das ms.
El resultado del dictamen previo tiene carcter informativo y no confiere al solicitante
derecho alguno de preferencia, ni implica obligacin para el Instituto en el otorgamiento
de la reserva.
Artculo 77.- La fecha y hora en que sea presentada una solicitud de reserva,
determinar la prelacin entre las solicitudes.
Artculo 78.- Los titulares de las reservas debern comunicar al Instituto:
I.

El cambio de domicilio para or y recibir documentos y notificaciones;

II.

La modificacin del nombre, denominacin o razn social del titular, y

III.

Las
transmisiones
de
los
derechos
que
amparen
los
correspondientes, para que puedan surtir efectos frente a terceros.

certificados

El aviso deber presentarse por escrito y relacionarse con el nmero de reserva

correspondiente. Recibido el aviso, el Instituto realizar las anotaciones marginales que
procedan y expedir el certificado correspondiente en un plazo que no exceder de
quince das.
Artculo 79.- Una vez transcurrido el plazo de vigencia de la reserva, operar de pleno
derecho su caducidad, sin necesidad de declaracin administrativa, cuando no haya sido
renovada.
Artculo 80.- En la solicitud de declaracin administrativa de nulidad o cancelacin
deber indicarse:
I.
II.
III.

Nmero y ttulo, nombre o denominacin de la reserva objeto del procedimiento;

Hechos en que se funde la peticin, numerados y narrados sucintamente, y
Fundamentos de derecho, citando los preceptos legales o principios jurdicos
aplicables.

Con la solicitud de declaracin administrativa, se debern presentar los documentos y

constancias en que se funde la accin y las pruebas correspondientes, as como las

copias de traslado respectivas. Hecha la solicitud, el Instituto contar con un plazo de

quince das para admitirla o desecharla.
Artculo 81.- Admitida la solicitud de declaracin administrativa de nulidad o
cancelacin, el Instituto notificar al titular afectado, concedindole un plazo de 15 das
para que manifieste por escrito lo que a su derecho convenga, oponga excepciones y
defensas y presente pruebas.
La notificacin se realizar en el domicilio indicado en la solicitud de reserva respectiva
o en el ltimo que se haya manifestado, segn constancia que exista en el expediente.
Artculo 82.- Cuando el domicilio del titular afectado se modifique sin que el Instituto
tenga conocimiento de ello, la notificacin a que se refiere el artculo anterior se
realizar por edictos mediante publicacin en el Diario Oficial por tres das consecutivos,
a costa del promovente.
Artculo 83.- En el procedimiento de declaracin administrativa de nulidad o
cancelacin de reserva, se admitirn toda clase de pruebas excepto la testimonial y
confesional, as como las que sean contrarias a la moral o al derecho.
Artculo 84.- Cuando se ofrezca como prueba algn documento que obre en los archivos
del Instituto, el interesado deber precisar el expediente en el cual se encuentra, para
que se agregue al procedimiento respectivo.
Artculo 85.- En los procedimientos de declaracin administrativa, los incidentes de
previo y especial pronunciamiento se resolvern al emitirse la resolucin que proceda.

TTULO IX: DE LOS NMEROS INTERNACIONALES NORMALIZADOS

CAPTULO I: DISPOSICIONES GENERALES
Artculo 86.- El Instituto es el encargado de otorgar en Mxico el Nmero Internacional
Normalizado del Libro y el Nmero Internacional Normalizado para Publicaciones
Peridicas a que se refiere la fraccin IV del Artculo 53 de la Ley.
Artculo 87.- Se entiende por ficha catalogrfica el conjunto de datos proporcionados
por el editor o solicitante, que permiten identificar un determinado ttulo o edicin de un
ttulo o una determinada publicacin seriada, segn el caso, los que sern requeridos en
el formato respectivo.
Artculo 88.- Para la obtencin del Nmero Internacional Normalizado del Libro o del
Nmero Internacional Normalizado para Publicaciones Peridicas se deber
proporcionar la ficha catalogrfica del ttulo o edicin del ttulo o de la publicacin
seriada para la cual se solicita. Admitida la solicitud, el Instituto dictar la resolucin
que proceda en un plazo de cinco das.
Artculo 89.- El Instituto deber:

I.

Asignar los prefijos a cada editor, para el caso del Nmero Internacional
Normalizado del Libro;

II.

Validar el contenido de la ficha catalogrfica que le proporcione el editor o

solicitante;

III.

Validar los Nmeros Internacionales Normalizados del Libro y los Nmeros

Internacionales Normalizados para Publicaciones Peridicas que otorgue;

IV.

Mantener los archivos maestros;

V.

Enviar cada ao a la Agencia Internacional del Nmero Internacional Normalizado

del Libro, una lista actualizada de los editores nacionales, y

VI.

Enviar cada ao al Centro Internacional del Sistema de Publicaciones Peridicas

una lista actualizada de los Nmeros Internacionales Normalizados para
Publicaciones Peridicas otorgados por el Instituto.

Artculo 90.- No se otorgar el Nmero Internacional Normalizado del Libro o el Nmero

Internacional Normalizado para Publicaciones Peridicas para las siguientes
publicaciones:
I.

II.

Material impreso efmero, como calendarios, programas de teatro

conciertos, material publicitario, folletera, y otras publicaciones afines;

de

Carteles;

III.

Reproducciones artsticas y carpetas de arte sin portada ni texto;

IV.

Publicaciones sin texto;

V.

Fonogramas, excepto los sealados en la fraccin V de los artculos 95 y 101 de

este Reglamento;

VI.

Publicaciones seriadas como peridicos o revistas aunque s se otorgue a los

anuarios y series monogrficas, para el caso del Nmero Internacional
Normalizado del libro, y

VII.

Libros o ediciones de folletos de ms de cinco pginas que no se publiquen

peridicamente, para el caso del Nmero Internacional Normalizado para
publicaciones peridicas.

Artculo 91.- El Instituto podr realizar con terceros convenios de coordinacin que
tengan por objeto otras formas de otorgamiento del Nmero Internacional Normalizado
del Libro o del Nmero Internacional Normalizado para Publicaciones Peridicas.
Artculo 92.- El Instituto podr publicar cuando considere conveniente, de acuerdo con
el volumen de lo otorgado:

I.

Los Nmeros Internacionales Normalizados del Libro y los ttulos o ediciones de

los ttulos que les correspondan, y

II.

Los Nmeros Internacionales Normalizados para Publicaciones Peridicas y los

ttulos de las publicaciones seriadas que les correspondan.

ervicios de Tecnologas de Informacin y Comunicaciones (TIC)

Derivado del incremento en la demanda de servicios, trmites, informacin, sitios Web y

aplicaciones ms inovadoras por parte de la ciudadana, aunado a la necesidad de
incrementar el uso y aprovechamiento de las Tecnologas de la Informacin y
Comunicaciones por parte del Gobierno del Distrito Federal, la Contralora General se ha
dado a la tarea de mejorar la infraestructura de comunicaciones a Internet, brindar
servicios de desarrollo de sistemas a la medida, as como implementar servidores
virtuales a los entes pblicos que as lo necesiten para sus diferentes propsitos.

Publicacin de Sitios y Sistemas Web

La Contralora General ha proporcionado la infraestructura para la publicacin de 7
nuevos sitios Web a travs del Centro de Datos.
Con el uso de los servicios de hospedaje interno se beneficia a los entes pblicos que lo
requieren mediante alta disponibilidad, seguridad perimetral, autonoma de actualizacin
as como el ahorro del costo de contratacin con proveedores externos y gasto en
hardware, as como la mitigacin de fuga o robo de informacin confidencial o de datos
personales.

Cantida
d

Dominio

Contralora General

www.anticorrupcion.df.gob.mx
www.anticorrupcionparapeques.df.go
b.mx
www.cge.df.gob.mx
www.todossomossoluciones.df.gob.m
x

Oficiala Mayor

www.licitaciontransparente.df.gob.m
x
www.cdmx.df.gob.mx

Dependencia

Secretara del Trabajo y Fomento al

1
Empleo

www.trabajo.df.gob.mx

Portal de Capacitacin en Derechos

1
Humanos

www.pdh.df.gob.mx

Robustecimiento de infraestructura de Internet

Derivado del incremento en el uso de internet para las actividades inherentes de las
unidades de gobierno de la APDF y del creciente uso de los ciudadanos de los servicios
ofrecidos por este medio, se robustecieron los enlaces de internet incrementando su
capacidad y seguridad con un costo promedio 40% menor, de la misma forma se
fortaleci la seguridad perimetral y con ello se beneficia a ms de 6000 usuarios de
servicios de internet, correo electrnico y 128 sitios y sistemas web publicados de ms
de 80 entes pblicos, adems de habilitar la posibilidad del uso de nuevas tecnologas.

Sistema de Control de Gestin

Con el fin de lograr abatir costos y reaprovechar los Sistemas desarrollados por la
Contralora General y derivado del anlisis de solicitudes por parte de los Entes de la
APDF para contar con un Sistema de Control de Gestin, se determino realizar algunos
ajustes al Sistema con el fin de que cuente con un mdulo que permite intercambiar
informacin entre las instancias implementadas, para lograr una completa
interoperabilidad.
El Sistema permite el registro, control y seguimiento de toda la documentacin relativa a
oficios que se recibe y emite en un rea de gobierno.
En la presente administracin el Sistema ha sido instalado en 9 reas del Gobierno del
Distrito Federal y est en proceso de instalacin en otras 10 reas.
El Sistema permite llevar a cabo el registro detallado de cada documento que se recibe,
turnarlo electrnicamente para su atencin y, posteriormente, incorporar la respuesta de

parte del funcionario responsable de atender el asunto. En todas las etapas del proceso
permite adjuntar archivos en formato electrnico con lo cual se elimina la necesidad del
uso del papel.
Cuenta con control de acceso por usuario, niveles de seguridad, alertas por correo
electrnico en el turnado de asuntos, buscador flexible, envo de copias de conocimiento
va electrnica y reportes para el seguimiento. Adems puede comunicarse va
electrnica con sistemas similares.
Corre sobre plataforma web, es decir, nicamente se necesita un navegador para su
acceso. Fue desarrollado de manera interna por la Direccin General de Gobernabilidad
de Tecnologas de la Informacin y Comunicaciones con software libre, lo que implica
que no se requiere la compra de licencias para su implementacin.

Caractersticas

Configurable. Cuenta con un mdulo de administracin mediante el cual es

posible personalizar catlogos, estructura, permisos de acceso, etc.

Escalable. Puede adaptarse para su uso por un rea en particular o por todas las
reas que conforman una Dependencia.

Seguro. Mantiene control estricto de la visibilidad de los asuntos de acuerdo a los

permisos que se tengan asignados dentro del sistema.

Flexible. Permite mltiples configuraciones respecto del

informacin, de acuerdo a las necesidades particulares de cada rea.

Auditable. Cuenta con el registro de pistas de auditora para las principales

operaciones del Sistema.

acceso

de

la

ISO/IEC 27037: Plantea una nueva forma de hacer Anlisis Forense?

Submitted by comunicaciones on Fri, 03/07/2014 - 18:14
Quienes nos dedicamos al anlisis forense y la investigacin digital conocemos bien las
mejores prcticas basadas en documentos publicados por el NIST, el departamento de
Justicia de los Estados Unidos y el FBI entre otros pero hasta el momento no exista una
norma de alcance global como la ISO/IEC 27037 Gua para la Identificacin,

recoleccin, adquisicin y preservacin de evidencia digital , proveniente del tronco

de normativa de Seguridad Informatica ISO 27000.
Para responder al interrogante del ttulo, haremos un breve paseo por la norma.
Marco de Referencia
El alcance de la norma define los dispositivos y las funcionalidades que son incluidas en
la misma, a saber: dispositivos de almacenamiento masivo, Smartphones, GPS, sistemas
de videovigilancia y CCTV, computadoras conectadas en red, dispositivos con conexin
de red basadas en TCP/IP o cualquier otro protocolo y deja abierta la puerta a
dispositivos con caractersticas y funcionalidades similares a los ya descriptos.
Luego, la norma incluye dos pargrafos que a mi juicio son muy importantes: un glosario
de trminos y definiciones y uno de abreviaturas. Disponer de este tipo de referencia es

de enorme valor a la hora de redactar nuestros dictmenes periciales. Entre los trminos
incluidos hay dos que son relevantes pues por primera vez se definen los roles del
profesional involucrado en esta etapa del cmputo forense:

DEFR Digital Evidence First Responder: es el individuo autorizado, entrenado y

calificado para actuar en el primer momento en la escena del hecho que posee la
experticia para manipular, recolectar y adquirir evidencia digital.

DES Digital Evidence Specialist : es un individuo que posee el conocimiento

especializado y la experticia para resolver situaciones tcnicas vinculadas con el
manejo de evidencia digital y efectuar el anlisis forense requerido.
Reconocemos en el DEFR al perito que concurre a la escena del hecho mientras que
el DES, que tambin posee la experticia del DEFR, es quien efecta el anlisis forense y
produce el dictamen pericial.
Resulta claro que el conocimiento y experticia del DES es mucho mayor que el del DEFR,
pero es importante reconocer la importancia delDEFR ya que al ser quien realiza la
adquisicin de la evidencia digital, de l depende la validez del elemento probatorio al
que est sujeta la etapa de anlisis forense posterior, por aquel principio del fruto del
rbol envenenado...
Evidencia Digital
Los analistas forenses sabemos que la evidencia digital es frgil y que su incorrecta
manipulacin puede producir contaminacin de la misma, alterando su contenido. La
norma establece los principios de relevancia, confiabilidad y suficiencia as como
tambin las siguientes etapas para el manejo de la evidencia digital: Identificacin,
Recoleccin, Adquisicin y Preservacin. Seala que DEFR y DES debern documentar
todas sus acciones, las que se regirn por los siguientes principios:

Minimizar el manejo de la evidencia digital

Documentar cualquier accin que implique un cambio irreversible

Adherirse a las regulaciones y leyes locales

No extralimitarse en sus funciones

La norma reconoce que en ocasiones se trabaja directamente con la evidencia original
pudindose efectuar tareas que impliquen cambios irreversibles, pero a la vez establece

con claridad que el analista forense debe supeditarse a las regulaciones vigentes en su
territorio y al mandato de autoridad judicial.
Veamos con un poco mas de detalle cuales son los principios establecidos en la norma

Relevancia: este es un concepto jurdico que indica que la evidencia digital debe
estar relacionada con los hechos investigados.

Confiabilidad: la evidencia debe ser confiable por lo que debe ser repetible y
auditable por un tercero que usando el mismo principio de operacin aplicado llegue a
idnticos resultados.

Suficiencia: la evidencia recolectada debe ser suficiente para sustentar los

hallazgos obtenidos por el analista forense, es lo que denomino recoleccin efectiva .
Acorde con los principios expuestos, la norma define los siguientes procesos para el
manejo de la evidencia digital:

Identificacin: es el reconocimiento de donde se halla la evidencia digital, sea

esta fsica o lgica.

Recoleccin: frecuentemente el DEFR deber tomar la decisin de recolectar la

evidencia y trasladarla al laboratorio para su adquisicin, en funcin del tiempo y los
recursos informticos disponibles en la escena del hecho, sustentado por el mandato
judicial. En cualquier caso, deber documentar su decisin fundamentndola y estar
preparado para defenderla en una corte.

Adquisicin: es el proceso de copia forense que el DEFR realizar obteniendo

una copia binaria exacta del contenido lgico o fsico de los objetos involucrados en la
investigacin. La norma establece que la copia debe ser verificada con un "mtodo de
verificacin probado" evitando expresarse sobre la utilizacin de algn HASH en
particular.

Preservacin: la evidencia digital deber ser preservada para asegurar su

integridad durante todo el proceso. Esto incluye el embalaje, que en algunos casos tiene
requerimientos especiales, por ejemplo un telfono celular deber ser almacenado en
una bolsa de Faraday.
La norma introduce tambin el concepto de Cadena de Custodia (CoC por sis siglas en
ingls) y establece cuales son los elementos mnimos que esta debe contener:

Un identificador univoco de la evidencia

Quin accede a la evidencia, en qu momento y en qu ubicacin fsica

El pasaje de la evidencia de un sitio a otro y tareas realizadas

Cualquier cambio inevitable potencial en evidencia digital ser registrado con el

nombre del responsable y la justificacin de sus acciones
Tambin se consideran las precauciones en la escena del hecho, como proceder con los
equipos encontrados en la misma y los roles, responsabilidades y competencias del
personal destacado en la escena.
Siguiendo los lineamientos de la serie de normas ISO 27000, el documentar las acciones,
decisiones y omisiones es fundamental, en especial cuando el incidente informtico
incluye evidencia digital que podra introducirse en mbito judicial.
Ya adentrndonos en la norma se brindan recomendaciones para la recoleccin y
adquisicin

de

dispositivos

digitales

que

se

encuentran

apagados,

encendidos,

conectados en red as como tambin se dedica un captulo a la recoleccin, adquisicin

y preservacin de sistemas de videovigilancia basados en computadoras o embebidos.
Conclusiones
Al llegar a este punto el lector seguramente ya conoce la respuesta al interrogante del
ttulo: ISO/IEC 27037: plantea una nueva forma de hacer Anlisis Forense?
Efectivamente, esta norma no cambia las reglas del juego conocidas, pero sienta un
precedente para el uso de un lenguaje comn propio de la actividad forense informtica,
en especial en el mbito judicial donde los interlocutores no tienen conocimiento del
vocabulario tcnico y su significacin, as como tampoco de los procesos empleados en
el manejo de la Evidencia Digital.
Por lo expuesto precedentemente creo que esta norma debera ser adoptada y
eventualmente adaptada por los organismos de normalizacin locales y regionales en
aras de una mejor interrelacin entre profesionales informticos y operadores judiciales.
Para nosotros, los analistas forenses, la norma ordena muchas de las actividades y
conductas que seguimos cotidianamente y que constituyen las mejores prcticas
forenses, haciendo hincapi en tres cosas: documentar, documentar y documentar.

PLANEACION DE SEGURIDAD EN REDES

Es importante tener una poltica de seguridad de red bien concebida y efectiva que
pueda proteger la inversin y los recursos de informacin de la compaa. Vale la pena
implementar una poltica de seguridad si los recursos y la informacin que la
organizacin tiene en sus redes merecen protegerse. La mayora de las organizaciones
tienen en sus redes informacin delicada y secretos importantes; esto debe protegerse
del acceso indebido del mismo modo que otros bienes valiosos como la propiedad
corporativa y los edificios de oficinas.

La mayora de los diseadores de redes por lo general empiezan a implementar

soluciones de firewall antes de que se haya identificado un problema particular de
seguridad de red. Quiz una de las razones de esto es que idear una poltica de
seguridad de red efectiva significa plantear preguntas difciles acerca de los tipos
de servicios de Inter.-redes y recursos cuyo acceso se permitir a los usuarios, y
cuales tendrn que restringirse debido a los riesgos de seguridad.
Si actualmente sus usuarios tienen acceso irrestricto a la red, puede ser difcil
aplicar una poltica que limite ese acceso. Tambin debe tomar en cuenta que la
poltica de seguridad que Usted debe usar es tal, que no disminuirla la capacidad
de su organizacin. Una poltica de red que impide que los usuarios cumplan
efectivamente con sus tareas, puede traer consecuencias indeseables: los

usuarios de la red quiz encuentren la forma de eludir la poltica de seguridad, lo

cual la vuelve inefectiva.
Una poltica de seguridad en redes efectiva es algo que todos los usuarios y
administradores
de redes pueden aceptar y estn dispuestos a aplicar.

POLITICA DE SEGURIDAD DEL SITIO

Una organizacin puede tener muchos sitios, y cada uno contar con sus propias redes. S
la organizacin es grande, es muy probable que los sitios tengan diferente
administracin de red, con metas y objetivos diferentes. Si esos sitios no estn
conectados a travs de una red interna, cada uno de ellos puede tener sus propias
polticas de seguridad de red. Sin embargo, si los sitios estn conectados mediante una
red interna, la poltica de red debe abarcar todos los objetivos de los sitios
interconectados.
En general, un sitio es cualquier parte de una organizacin que posee computadoras y
recursos
relacionados con redes. Algunos, no todos, de esos recursos son los siguientes:

Estaciones de trabajo.

Computadoras host y servidores.

Dispositivos de interconexin gateway, routers, bridges, repetidores.

Servidores de terminal.

Software para conexin de red y de aplicaciones.

Cables de red

La informacin de archivos y bases de datos.

La poltica de seguridad del sitio debe tomar en cuenta la proteccin de estos

recursos. Debido a que el sitio est conectado a otras redes, la poltica de
seguridad del sitio debe considerar las necesidades y requerimientos de seguridad
de todas las redes interconectadas.
Este es un punto importante en el que es posible idear una poltica de seguridad que
salvaguarde sus intereses pero que sea daina para los de otros. Un ejemplo de esto
sera el uso deliberado de direcciones IP, detrs del gateway de las firewall que ya estn
siendo usadas por alguien ms. En este los ataques que se hicieran contra su red
mediante la falsificacin de las direcciones IP de su red, se desviarn a la organizacin a
la que pertenecen las direcciones IP que usted est usando. Debe evitarse esta
situacin, ya que su inters es ser un `buen ciudadano' de Internet.

La RFC 1244 aborda con considerable detalle la poltica de seguridad del sitio. Muchas
de las cuestiones de poltica de seguridad de este captulo estn basadas en las
cuestiones planteadas por esa RFC.
PLANTEAMIENTO DE LA POLITICA DE SEGURIDAD

Definir una poltica de seguridad de red significa elaborar procedimientos y planes que
Salvaguarden los recursos de la red contra perdida y dao. Uno de los enfoques posibles
para elaborar dicha poltica es examinar lo siguiente:

Qu recursos esta usted tratando de proteger?

De quines necesita proteger los recursos?

Qu tan posibles son las amenazas?

Qu tan importante es el recurso?

Qu medidas puede implementar para proteger sus bienes de forma econmica y

oportuna!?

Examine peridicamente su poltica de seguridad de red para ver si han cambiado los
objetivos y las circunstancias de la red.
La figura siguiente muestra una hoja de trabajo que puede ayudarle a canalizar sus ideas
conforme estos lineamientos.

La columna Numero de recursos de red es un numero de red de identificacin

interna de los recursos que van a ser protegidos (s se aplica).

La columna Nombre del recurso de red es la descripcin en lenguaje comn de los

recursos. La importancia del recurso puede estar en una escala numrica del O al 10,
o en expresiones `Vagas de lenguaje natural como bajo, alto, medio, muy alto, etctera.

La columna Tipo de usuario del que hay que proteger al recurso puede tener
designaciones como interno, externo, invitado o nombres de grupos como usuarios
de contabilidad, asistentes corporativos, etctera.

La columna Posibilidad de una amenaza' puede estar en una escala numrica del O al
10, o en expresiones `Vagas de lenguaje natural como baja, alta, media, muy alta,
etctera.

La columna Medidas que se implementarn para proteger el recurso de red puede

tener valores tales como `permisos de sistema operativo para archivos y directorios;
pistas/alertas de auditoria' para servicios de red; routers de seleccin y firewalls
para hosts y dispositivos para conectividad de red; y cualquier otra descripcin del
tipo de control de seguridad.

En general, el costo de proteger las redes de una amenaza debe ser menor que el
de recuperacin en caso de que se viera afectado por una amenaza de seguridad.
Si usted no tiene el conocimiento suficiente de lo que esta protegiendo y de las
fuentes de la amenaza, puede ser difcil alcanzar un nivel aceptable de seguridad.

No dudar en contar con la ayuda de otros con conocimientos especializados respecto de

los bienes de la red y de las posibles amenazas en su contra.

Es importante hacer que en el diseo de la poltica de seguridad participe la gente

adecuada.
Quiz usted ya tenga grupos de usuarios que podran considerar que su
especialidad es la implementacin de la poltica de seguridad de red. Estos grupos
podrn incluir a quienes estn implicados en el control de auditoria, grupos de
sistemas de informacin de universidades y organizaciones que manejan la
seguridad fsica. Si usted desea que la poltica de seguridad tenga apoyo
universal, es importante hacer participar a estos grupos, de modo que usted
obtenga su cooperacin y aceptacin de la poltica de seguridad de red.

COMO ASEGURAR LA RESPONSABILIDAD HACIA LA POLTICA DE SEGURIDAD

Un aspecto importante de la poltica de seguridad de red es asegurar que todos
conozcan su propia responsabilidad para mantener la seguridad. Es difcil que una
poltica de seguridad se anticipe a todas las amenazas posibles. Sin embargo, las
polticas s pueden asegurar que para cada tipo de problema haya alguien que lo pueda
manejar de manera responsable. Puede haber muchos niveles de seguridad relacionados
con la poltica de seguridad. Por ejemplo, cada usuario de la red debe ser responsable de
cuidar su contrasea. El usuario que permite que su contrasea se vea comprometida
incrementa la posibilidad de comprometer otras cuentas y recursos. Por otra parte, los

administradores de la red y del sistema son responsables de administrar la seguridad

general de la red.

ANALISIS DE RIESGO
Cuando usted crea una poltica de seguridad de red, es importante que comprenda
que la razn para crear una poltica es, en primer lugar, asegurar que los esfuerzos
dedicados a la seguridad impliquen un costo razonable. Esto significa que usted
debe conocer cuales recursos vale la pena proteger, y cuales son ms importantes
que otros. Tambin debe identificar la fuente de amenazas de la que usted esta
protegiendo a los recursos de la red. A pesar de toda la publicidad acerca de los
intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la
mayora de las organizaciones, las verdaderas perdidas causadas por los usuarios
internos son mucho mayores.
El anlisis de riesgo implica determinar lo siguiente:

Que necesita proteger?

De que necesita protegerlo?

Cmo protegerlo?
Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida. No
debe terminar en una situacin en la que gaste ms en proteger algo que es de menor
valor para usted. En el anlisis de riesgo hay que determinar los siguientes dos factores:
1. Estimacin del riesgo de perder el recurso (Ri)
2. Estimacin de la importancia del recurso (Wi)
Puede asignarse un valor numrico como paso para cuantificar el riesgo de perder un
recurso. Por ejemplo, puede asignarse un valor de 0 a 10 al riesgo (Ri) de perder un
recurso, en donde 0 representa que no hay riesgo y 10 representa l ms alto riesgo. De
igual modo, a la importancia de un recurso ( Wi) se le puede asignar un valor del 0 al 10,
en donde 0 representa que no tiene importancia y 10 representa la mxima importancia.
El riesgo evaluado del recurso ser el producto del valor del riesgo y de su importancia
(tambin llamada peso). Esto puede escribirse como sigue:

WRi= Ri*Wi
Wri = Riesgo evaluado del recurso i
Ri = Riesgo del recurso i
Wi = Peso (importancia) del recurso i
Considere la figura que se muestra es una red simplificada con un router, un servidor y
un bridge.
Suponga que los administradores de la red y del sistema hayan encontrado las siguientes
estimaciones del riesgo y de la importancia de los dispositivos de red.

R3=10
W3=1

Diagrama de una red simplificada, con evaluaciones de peso Y riesgo. Bridge:

Router

R1=6

W1=.7
Bridge

R2=6

W2=.3
Servidor

R3=10

W3=1
El clculo de los riesgos evaluados de estos dispositivos se muestra a continuacin
Router
WR1 = R1 * W1 = 6*0.7 = 4.2
Bridge
WR2 = R2 * W2 = 6*0.3 = 1.8
Servidor
WR3 = R3 * W3 = 10 * 1 = 10
La evaluacin de la amenaza y los riesgos no debe ser una actividad de una sola vez;
debe realizarse con regularidad, como se defina en la poltica de seguridad del sitio. El
Servicio de Pesca y Fauna de Estados Unidos ha documentado las cuestiones implicadas
en la realizacin de evaluaciones de amenazas y riesgos. El URL del documento de
evaluacin de amenazas y riesgos es http://www.fws.gov/-pullenl/security/rpamp.html.
Otros factores que hay que considerar al estimar el riesgo de un recurso de red son su
disponibilidad, integridad y confidencialidad. La disponibilidad de un recurso es la
medida de qu tan importante es tenerlo disponible todo el tiempo. La integridad de un
recurso es la medida de que tan importante es que este o los datos del mismo sean
consistentes.
Esto es de particular importancia para los recursos de bases de datos. La
confidencialidad se aplica a recursos, tales como archivos de datos, a los cuales se
desee restringir el acceso.

IDENTIFICACION DE RECURSOS
Al realizar el anlisis de riesgo, usted debe identificar todos los recursos que corran el
riesgo de sufrir una violacin de seguridad. Los recursos como el hardware son bastante
obvios para incluirlos en este clculo, pero en muchas ocasiones se ignoran recursos
tales como las personas que en realidad utilizan los sistemas. Es importante identificar a
todos los recursos de la red que puedan ser afectados por un problema de seguridad.

La RFC 1244 enlista los siguientes recursos de red que usted debe considerar al calcular
las amenazas a la seguridad general
HARDWARE: procesadores, tarjetas, teclados, terminales, estaciones de trabajo,
computadoras personales, impresoras, unidades de disco, lneas de comunicacin,
servidores terminales, routers.
2. SOFTWARE: programas fuente, programas objeto, utileras, programas de diagnostico,
sistemas operativos, programas de comunicaciones.
3. DATOS: durante la ejecucin, almacenados en lnea, archivados fuera d lnea,
respaldos, registros de auditoria, bases de datos, en trnsito a travs de medios de
comunicacin.
4. PERSONAS: usuarios, personas necesarias para operar los sistemas.
5.
DOCUMENTACION:
administrativos locales.

Sobre

programas,

hardware,

sistemas,

procedimientos

6. SUMINISTROS: papel, formularios, cintas, medios magnticos.

IDENTIFICACION DE LAS AMENAZAS

Una vez que se han identificado los recursos que requieren proteccin, usted debe
identificar las amenazas a las que estn expuestos. Pueden examinarse las amenazas
para determinar que posibilidad de perdida existe. Tambin debe identificar de que
amenazas esta usted tratando de proteger a sus recursos.
En la siguiente seccin se describen unas cuantas de las posibles amenazas.

DEFINICION DEL ACCESO NO AUTORIZADO

El acceso a los recursos de la red debe estar permitido a los usuarios autorizados. Esto
s llama acceso autorizado. Una amenaza comn que afecta a muchos sitios es el
acceso no autorizado a las instalaciones de cmputo. Este acceso puede tomar muchas
formas, como el uso de la cuenta de otro usuario para tener acceso a la red y sus
recursos. En general, se considera que el uso de cualquier recurso de la red sin permiso
previo es un acceso no autorizado. La gravedad del acceso no autorizado depende del
sitio y de la naturaleza de la perdida potencial. En algunos sitios, el solo hecho de
conceder acceso a un usuario no autorizado puede causar daos irreparables por la
cobertura negativa de los medios.
Algunos sitios, debido a su tamao y visibilidad, pueden ser objetivos ms frecuentes
que otros. El Equipo de Respuesta de Emergencias de Computo (CERT) ha hecho la
observacin de que, en general, las universidades de prestigio, los sitios del gobierno y
las zonas militares parecen atraer ms intrusos. En la seccin Equipo de respuesta de
seguridad, puede encontrarse mayor informacin acerca de CERT, as como sobre otras
organizaciones similares.

RIESGO DE REVELACION DE INFORMACIN

La revelacin de informacin, ya sea voluntaria o involuntaria, es otro tipo de amenaza.
Usted debe determinar el valor y delicadeza de la informacin guardada en sus
computadoras. En el caso de vendedores de hardware y software, el cdigo fuente, los

detalles de diseo, los diagramas y la informacin especifica de un producto representan

una ventaja competitiva.
Los hospitales, las compaas de seguros y las instituciones financieras mantienen
informacin confidencial, cuya revelacin puede ser perjudicial para los clientes y la
reputacin de la empresa. Los laboratorios farmacuticos pueden tener aplicaciones
patentadas y no pueden arriesgarse a perdidas causadas por robos.
A nivel del sistema, la revelacin de un archivo de contraseas de un sistema Unix puede
volverlo vulnerable a accesos no autorizados en el futuro. Para muchas organizaciones,
un vistazo, a una propuesta o un proyecto de investigacin que represente muchos aos
de trabajo puede darle a su competidor una ventaja injusta.
Muchas veces, la gente supone que los accesos no autorizados de terceros a las redes y
computadoras son realizadas por individuos que trabajan por su cuenta. No siempre es
as. Los peligros del espionaje industrial gubernamental sistemtico son realidades
desafortunadas de la vida.
Adems, cuando se logra uno de estos accesos no autorizados, por lo general la
informacin fluye por Internet en muy poco tiempo. Hay grupos de noticias y canales de
difusin, en Internet (IRC) en los que los usuarios comparten la informacin que lograron
extraer de estas intromisiones.

NEGACION DEL SERVICIO

Las redes vinculan recursos valiosos, como computadoras y bases de datos, y
proporcionan servicios de los cuales depende la organizacin. La mayora de los
usuarios depende de estos servicios para realizar su trabajo con eficacia. Si no estn
disponibles estos servicios, hay una prdida correspondiente de productividad. Un
ejemplo clsico de esto es el incidente del gusano de Internet, que ocurri el 2 y 3 de
noviembre de 1988, en el que se volvieron inservibles un gran numero de computadoras
de la red.
Es difcil predecir la forma en que se produzca la negacin del servicio. Los siguientes
son algunos ejemplos de cmo la negacin de servicios puede afectar una red.

La red puede volverse inservible por un paquete extraviado.

La red puede volverse inservible por inundacin de trafico.

La red puede ser fraccionada al desactivar un componente importante, como el router

que enlaza los segmentos de la red.

Un virus puede alentar o invalidar un sistema de cmputo al consumir los recursos

del sistema.

Los dispositivos reales que protegen a la red podrn alterar el funcionamientose.

Usted debe determinar que servicios son absolutamente esenciales y, para cada uno de
ellos, determinar el efecto de su perdida. Tambin debe contar con polticas de
contingencia para recuperarse de tales perdidas.

USO Y RESPONSABILIDADES DE LA RED

Existen numerosas cuestiones que deben abordarse al elaborar una poltica de

seguridad:
1. Quin esta autorizado para usar los recursos?
2. Cul es el uso adecuado de los recursos?
3. Quin esta autorizado para conceder acceso y aprobar el uso?
4. Quin puede tener privilegios de administracin del sistema?
5. Cules son los derechos y las responsabilidades del usuario?
6. Cules son los derechos y las responsabilidades del administrador del sistema, en
comparacin con los de los usuarios!
7. Qu hace usted con la informacin delicada?

IDENTIFICACION DE QUIEN ESTA AUTORIZADO PARA USAR LOS RECURSOS DE LA

RED
Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de la red. No
es necesario enlistar a cada usuario. La mayora de estos pueden dividirse en grupos
como usuarios de contabilidad, abogados corporativos, ingenieros, etctera. Tambin
debe tomar en cuenta una clase llamada usuarios externos esta se compone de los
usuarios que tengan acceso a su red desde otras partes, como estaciones de trabajo
autnomas y otras redes; pueden no ser empleados, o bien, pueden ser empleados que
tengan acceso a la red desde sus hogares o durante un viaje.

IDENTIFICACION DEL USO ADECUADO DE LOS RECURSOS

Una vez determinados los usuarios autorizados a tener acceso a los recursos de la red,
usted debe establecer los lineamientos del uso aceptable de dichos recursos. Los
lineamientos dependen de la clase de usuarios, como desarrolladores de software,
estudiantes, profesores, usuarios externos, etctera. Debe tener lineamientos aparte
para cada clase. La poltica debe establecer que tipo de uso es aceptable y cual es
inaceptable, as como que tipo de uso esta restringido. La poltica que usted elabore
ser la Poltica de Uso Aceptable (AUP) de esa red. Si el acceso a un recurso de la red
esta restringido, debe considerar el nivel de acceso que tendr cada clase de usuario.
Su AUP debe establecer con claridad que cada usuario es responsable de sus acciones.
La responsabilidad de cada usuario existe al margen de los mecanismos de seguridad
implantados. No tiene caso construir costosos mecanismos de seguridad con firewalls si
un usuario puede revelar la informacin copiando archivos en disco o cinta y poner los
datos a disposicin de individuos no autorizados.
Aunque parezca obvio, la AUP debe establecer claramente que no esta permitido irrumpir
en las cuentas o pasar por alto la seguridad. Esto puede ayudar a evitar cuestiones
legales planteadas por empleados que pasan por alto la seguridad de la red y despus
aseguran que no se les informa o capacita adecuadamente acerca de la poltica de la
red. A continuacin se muestran los lineamientos que deben escribirse al desarrollar la
AUP:

Se permite introducirse en las cuentas?

Se permite descifrar las contraseas?

Se permite interrumpir servicios?

Los usuarios deben suponer que, si un archivo tiene permiso general de lectura, eso
los autoriza a leerlo?

Debe permitirse que los usuarios modifiquen archivos que no sean suyos, aun cuando
dichos usuarios tengan permiso de escritura?

Los usuarios deben compartir cuentas?

A menos que usted tenga requerimientos especiales, la respuesta a estas preguntas, en
la mayora de las organizaciones, debe ser no. Adems, quiz usted quiera incorporar en
sus polticas una declaracin respecto al software registrado y patentado. En general,
los procedimientos del uso de red deben ser tales que se dificulte que los usuarios bajen
software no autorizado de la red. En la mayora de los pases occidentales, copiar
software en forma ilegal esta penado por la ley. Las organizaciones grandes tienen
polticas muy estrictas respecto a las licencias, debido al riesgo de demandas judiciales
y el dao causado por la publicidad de los incidentes.
Muchos productos de software con licencia para redes determinan su uso y restringen el
nmero de usuarios que pueden tener acceso a la red. Sin embargo, algunos acuerdos de
licencia quiz requieran que usted vigile su uso para que no se viole el acuerdo.
Quiz se desee incluir informacin con respecto al software con derechos de autor o con
licencia en su AUP. Los siguientes son ejemplos de los puntos que necesita abordar:
1 No se puede reproducir el software con derechos de autor y con licencia, a menos que
se exprese en forma explcita.
2 Indicar mtodos de trasmitir informacin acerca de la situacin del software con
derechos de autor y con licencia.
3 Conceda el beneficio de la duda a la precaucin. Si tiene dudas, no lo copie.
Si la AUP no establece claramente lo que esta prohibido, ser difcil demostrar que un
usuario ha violado la poltica. Los miembros de los llamados equipos tigre pueden estar
exentos de esta poltica, ya que son responsables de sondear las debilidades de
seguridad de las redes. Debe identificarse claramente a los miembros de los equipos
tigre. En ocasiones, quiz se tenga que tratar con usuarios que sean miembros auto
designados de estos equipos y que quieran sondear los puntos dbiles de la seguridad,
con fines de investigacin o para demostrar algo.
La AUP debe abordar las siguientes cuestiones acerca de los sondeos de seguridad:

Est permitido el vandalismo en el mbito de usuarios?

Qu tipo de actividades de sondeos de seguridad se permiten?

Qu controles deben implantarse para asegurar que los sondeos no se salgan de

control?

Qu controles deben implantarse para proteger a otros usuarios de la red para que
no sean victimas de las actividades de sondeos de seguridad?

Quin debe tener permiso de realizar sondeos de seguridad, y cul es el procedimiento

para la obtencin del permiso para realizar esas pruebas!
Si quiere permitir sondeos legtimos de seguridad, debe tener segmentos separados de
red y hosts en la red para esas pruebas. En general, es muy peligroso probar gusanos y
virus.
Si debe realizar esas pruebas, seria tanto hacerlo en una red activa. En cambio, debe
aislar fsicamente a los hosts y a los segmentos de red que se utilicen para la prueba, y
despus de cada prueba volver a cargar, por completo y con cuidado, todo el software.
Evaluar los puntos dbiles de la seguridad y tomar las medidas adecuadas puede ser
eficaz para repeler ataques de hackers. Algunas organizaciones recurren a asesores
externos para que evalen la seguridad de sus servicios. Como parte de esta evaluacin,
ellos tendr el derecho de realizar vandalismo. La poltica debe tener margen para
estas situaciones.

QUIEN ESTA AUTORIZADO PARA CONCEDER ACCESO Y APROBAR EL USO

La poltica de seguridad de red debe identificar quien esta autorizado para conceder
acceso a sus servicios. Tambin se debe determinar que tipo de acceso puede conceder
dichas personas. Si no puede controlar a quien se le d acceso a sistema, ser difcil
controlar quien use la red. Si puede identificar a las personas encargadas de conceder
acceso a la red, puede rastrear qu tipo de acceso o control se ha otorgado. Esto es til
para identificar las causas de las fallas de seguridad como resultado de que se hayan
concedido privilegios excesivos a ciertos usuarios.
Quiz necesite considerar los siguientes factores al determinar quin conceder acceso a
los servicios de la red:

Se otorgara el acceso a los servicios desde un punto central?

Que mtodos se usan para crear cuentas y finalizar accesos?

Si la organizacin es grande y descentralizada, quiz haya muchos puntos centrales, uno
en cada departamento, que sea el responsable de la seguridad de su red departamental.
En este caso, se necesitar tener lineamientos globales acerca de los tipos de servicios
que se le permitirn a cada clase de usuario. En general, mientras ms centralizada este
la administracin de la red, es ms fcil mantener la seguridad. Por otra parte, la
administracin centralizada puede crear problemas cuando los departamentos deseen
tener mayor control sobre sus recursos de red. El grado correcto de centralizacin o
descentralizacin depender de factores que est mas all del alcance de este anlisis.
Por supuesto, los administradores del sistema necesitaran tener acceso especial a la
red, pero quiz haya otros usuarios que requieran de ciertos privilegios. La poltica de
seguridad de la red debe abordar esta cuestin. Una poltica universal que restrinja

todos los privilegios, si bien es ms segura, quiz impida que ciertos usuarios legtimos
realicen su trabajo. Se necesita un enfoque ms equilibrado.
El reto es equilibrar el acceso restringido a los privilegios especiales para hacer ms
segura la red, con el otorgamiento de acceso a las personas que necesitan esos
privilegios para realizar sus tareas. En general, se debe conceder solo los privilegios;
suficientes para cumplir con las tareas necesarias.
Algunos administradores de sistemas se van por la va fcil y asignan mas privilegios de
los que necesita el usuario, para que estos no los vuelvan a molestar. Asimismo, el
administrador del sistema quiz no comprenda las sutilezas de la asignacin de
seguridad y se vaya por el lado de conceder ms privilegios. La capacitacin y la
educacin ayudan a evitar este tipo de problemas. Las personas que tengan privilegios
deben ser responsables y rendir cuentas ante alguna autoridad identificada dentro de la
propia poltica de seguridad. Algunos sistemas podrn tener mecanismos de auditorias
personales, que pueden usarse para que los usuarios con privilegios no abusen de la
confianza.

ADVERTENCIA
Si las personas a las que les conceden privilegios no son responsables ni rinden
cuentas, usted corre el riesgo de crear fallas en el sistema de seguridad y de
conceder arbitrariamente los permisos a los usuarios. Por lo general, tales
sistemas son difciles de administrar.
Si existe gran nmero de administradores de red y de sistemas es difcil llevar la cuenta
de que permisos se han concedido para los recursos de la red. Puede seguirse una
manera formal de solicitudes de otorgamiento. Una vez que el usuario hace la solicitud y
esta es autorizada por el supervisor del usuario, el administrador del sistema debe
documentar las restricciones de seguridad o de acceso a las que esta sujeto el usuario.
Tambin debe examinar el procedimiento que seguir para crear cuentas nuevas y asignar
permisos. En el caso menos restrictivo, las personas que estn autorizadas para otorgar
acceso deben poder ir directamente al sistema y crear una cuenta a mano o mediante
mecanismos suministrados por el proveedor. Estos mecanismos le dan mucha confianza
a la persona que los ejecuta, la cual, por lo general, tiene gran cantidad de privilegios,
como el usuario raz (Root) en Unix. En esas circunstancias, necesita seleccionar a
alguien confiable para llevar a cabo esa tarea.
Debe elaborar procedimientos especficos para la creacin de cuentas. En Unix existen
numerosas formas que pueden usarse para crear cuentas. Sin importar el procedimiento
que usted decida seguir, este debe estar bien documentado para evitar confusiones y
reducir errores. Como resultado de errores cometidas por el administrador del sistema
pueden producirse puntos vulnerables en la seguridad. Si tiene procedimientos bien
documentados, eso le ayudar a reducir los errores.

COMO DISEAR UNA POLITICA DE RED

Estos procedimientos tambin permiten capacitar fcilmente a futuros administradores
de sistemas acerca de las peculiaridades de un sistema determinado. Otra cuestin que
hay que considerar es seleccionar un procedimiento de creacin de cuentas de usuario
que sea l ms sencillo y fcil de entender. Esto asegura que se cometen menos errores

y que sea ms probable que lo sigan los administradores del sistema (como debe ocurrir
normalmente).
Tambin debe tener una poltica para seleccionar la contrasea inicial. El momento de
otorgar la contrasea inicial es muy vulnerable para la cuenta de usuario. Las polticas
como aquellas donde la contrasea inicial sea igual al nombre del usuario, o que se
quede en blanco, pueden dejar al descubierto las cuentas. Asimismo, evite establecer la
contrasea inicial como una funcin del nombre de usuario, o parte de este, o alguna
contrasea generada por un algoritmo que pueda adivinarse con facilidad. La seleccin
de la contrasea inicial no debe ser tan obvia.
El CERT Equipo de Respuesta a Emergencias de Cmputo (CERT, Computer Emergency
Response Team), en avisos publicados calcula que 80 por ciento de todos los problemas
de seguridad en redes son creados por contraseas inseguras.
Algunos usuarios empiezan a usar su cuenta mucho tiempo despus de haber sido
creada; otros nunca se registran. En esas circunstancias, si no es segura la contrasea
inicial, la cuenta y el sistema son vulnerables. Por esta razn, usted debe tener una
poltica para desactivar las cuentas en las que no haya habido acceso durante cierto
periodo. El usuario se ve obligado a pedir que se le active su cuenta.
Tambin es un error permitir que los usuarios sigan usando su contrasea inicial en
forma indefinida. Si el sistema lo permite, usted debe obligar al usuario a cambiar de
contrasea la primera vez que se registre. Muchos sistemas cuentan con una poltica de
caducidad de contraseas, lo cual es til para protegerlas. Tambin hay utileras Unix,
que pueden usarse para probar la seguridad de las contraseas como las siguientes:
Password es una aplicacin para analizar contraseas. Puede encontrarse en ftp:
llftp.dartmouth.edu/pub/security/passwd+.atr.
Npasswd es un reemplazo compatible para el comando password. Incorpora un sistema
de verificacin de contraseas que inhabilita las contraseas sencillas.
Npasswd puede encontrarse en ftp:llrtp.usa.edulpub/security/npaccwd.tar.gz.

DETERMINACION DE LAS RESPONSABILIDADES DEL USUARIO

La poltica de seguridad de la red debe definir los derechos y las responsabilidades de
los usuarios que utilizan los recursos y servicios de la red. La siguiente es una lista de
los aspectos que usted puede abordar respecto de las responsabilidades de los usuarios:
1. Lineamientos acerca del uso de los recursos de red, tales como que los usuarios estn
restringidos
2. Que constituye un abuso en trminos de usar recursos de red y afectar el desempeo
del sistema y de la red.
3. Esta permitido que los usuarios compartan cuentas o permitan a otros usar la suya.
4. Pueden los usuarios revelar su contrasea en forma temporal, para permitir que otros
que trabajen en un proyecto tengan acceso a sus cuentas.
5. Poltica de contrasea de usuario: con que frecuencia deben cambiar de contrasea
los usuarios y que otras restricciones o requerimientos hay al respecto.

6. Los usuarios son responsables de hacer respaldos de sus datos o es esto

responsabilidad del administrador del sistema.
7. Consecuencias para los usuarios que divulguen informacin que pueda estar
patentada. Que acciones legales u otros castigos pueden implantarse.
8. Una declaracin sobre la privacidad del correo electrnico (Ley de Privacidad en las
Comunicaciones Electrnicas)
9. Una poltica respecto a correo o publicaciones controversiales en las listas de correo
o grupos de discusin.
10. Una poltica sobre comunicaciones electrnicas, tales como falsificacin de correo.
La Asociacin de Correo Electrnico (EMA, Electrnica Mail Asociacin) recomienda que
todo sitio debe tener una poltica acerca de la proteccin de la privacidad de los
empleados.
Las organizaciones deben establecer polticas que no se limiten a correo electrnico,
sino que tambin abarque otros medios, como discos, cintas y documentos impresos. La
EMA sugiere cinco criterios para evaluar cualquier poltica:
1. La poltica cumple con la ley y con las obligaciones hacia otras empresas?
2. La poltica compromete innecesariamente los intereses del empleado, del patrn o
de otras empresas!
3. La poltica es funcional, prctica y de posible cumplimiento?
4. La poltica aborda apropiadamente todas las formas de comunicacin y
mantenimiento de archivo en la oficina!
5. La poltica fue anunciada por anticipado y aceptada por todos los interesados?

DETERMINACIONES DE LAS RESPONSABILIDADES DE LOS ADMINISTRADORES DE

SISTEMAS
Muchas veces, el administrador del sistema necesita recabar informacin del directorio
privado de un usuario para diagnosticar problemas del sistema. Los usuarios, por otra
parte, tienen el derecho de conservar su privacidad. Existe, por lo tanto, una
contradiccin entre el derecho del usuario a la privacidad y las necesidades del
administrador del sistema. Cuando se presentan amenazas a la seguridad de la red, el
administrador del sistema tendr mayor necesidad de recabar informacin de los
archivos, incluidos los del directorio base de los usuarios.
La poltica de seguridad de la red debe especificar el grado al que el administrador del
sistema pueda examinar los directorios y archivos privados de los usuarios para
diagnosticar problemas del sistema e investigar violaciones de la seguridad. Si la
seguridad de la red esta en riesgo, la poltica debe permitir mayor flexibilidad para que el
administrador corrija los problemas de seguridad. Otros aspectos relacionados que
usted debe abordar son los siguientes:
1. Puede el administrador revisar o leer los archivos de un usuario por alguna razn.

2. Los administradores de la red tienen el derecho de examinar el trfico de la red o del

host.
3. Cules son las responsabilidades legales de los usuarios, los administradores del
sistema y de la organizacin por tener acceso no autorizado a los datos privados de
otras personas.

QUE HACER CON LA INFORMACION DELICADA

Usted debe determinar que tipo de datos delicados pueden almacenarse en un sistema
especfico. Desde el punto de vista de la seguridad, la informacin en extremo delicada,
como nminas y planes, debe estar restringida a unos cuantos hosts y administradores
de sistemas.
Para concederle a un usuario acceso a un servicio de un host, usted debe considerar que
otros servicios e informacin se proporcionan y a los cuales el usuario podr tener
acceso. Si el usuario no tiene necesidad de manejar informacin delicada, no debe tener
una cuenta en un sistema que contenga dicho material.
Tambin debe considerar si existe una seguridad adecuada en el sistema para proteger
la informacin delicada. En general, usted no desear que los usuarios guarden
informacin muy delicada en un sistema que usted no planee asegurar bien. Por otra
parte, asegurar un sistema puede implicar hardware, software y costos adicionales de
administracin, por lo cual puede no ser rentable asegurar datos en un host que no sea
muy importante para la organizacin o los usuarios.
La poltica tambin debe tomar en cuenta el hecho de que usted necesita decirle a los
usuarios que podrn guardar informacin delicada que servicios son apropiados para el
almacenamiento de dichos datos.

PLAN DE ACCION CUANDO SE VIOLE LA POLITICA DE SEGURIDAD

Cada vez que se viola la poltica de seguridad, el sistema esta sujeto a amenazas. Si no
se producen cambios en la seguridad de la red cuando esta sea violada, entonces debe
modificarse la poltica de seguridad para eliminar aquellos elementos que no sean
seguros.

La poltica de seguridad y su implementacin deben ser lo menos obstructivas

posible. Si la poltica de seguridad es demasiado restrictiva, o esta explicada
inadecuadamente, es muy probable que sea violada o desactivada.
Al margen del tipo de poltica que se implemente, algunos usuarios tienen la tendencia a
violarla. En ocasiones las violaciones a la poltica son evidentes; otras veces estas
infracciones no son detectadas. Los procedimientos de seguridad que usted establezca
deben reducir al mnimo la posibilidad de que no se detecte una infraccin de seguridad.
Cuando usted detecte una violacin a la poltica de seguridad, debe determinar si esta
ocurri debido a la negligencia de un individuo, a un accidente o error, por ignorancia de
la poltica vigente o si deliberadamente la poltica fue pasada por alto. En este ltimo
caso, la violacin quizs haya sido efectuada no solo por una persona, sino por un grupo
que a sabiendas realiza un acto en violacin directa de la poltica de seguridad. En cada
una de estas circunstancias, la poltica de seguridad debe contar con lineamientos
acerca de las medidas que se deben tomar.

Debe llevarse a cabo una investigacin para determinar las circunstancias en torno a la
violacin de seguridad, y cmo y por que ocurri. La poltica de seguridad debe contener
lineamientos acerca de las acciones correctivas para las fallas de seguridad. Es
razonable esperar que el tipo y severidad de la accin dependen de la gravedad de la
violacin.

RESPUESTA A LAS VIOLACIONES DE LA POLTICA

Cuando ocurre una violacin, la respuesta puede depender del tipo de usuario
responsable del acto. Las violaciones a la poltica pueden ser cometidas por gran
variedad de usuarios; algunos pueden ser locales y otros externos. Los usuarios locales
son llamados usuarios internos y los externos, usuarios forneos. Por lo general, la
distincin entre ambos tipos estn basada en los lmites de red, administrativos, legales
o polticos. El tipo de limite determina cual debe ser la respuesta a la violacin de la
seguridad. Los ejemplos de respuestas pueden ir desde una reprimenda o advertencia
verbal, una carta formal o la presentacin de cargos judiciales.
Usted necesita definir la accin segn el tipo de violacin. Estas acciones requieren ser
definidas con claridad, con base en el tipo de usuario que haya violado la poltica de
seguridad de computo. Los usuarios internos y externos de su red deben estar
conscientes de la poltica de seguridad.
Si hay usuarios externos que utilicen legalmente la red, es responsabilidad de usted
verificar que esas personas conozcan las polticas que se han establecido. Esto es de
particular importancia si usted tiene que emprender acciones legales en contra de los
transgresores.
Si se ha producido una perdida significativa, quiz usted tendr que tomar acciones mas
drsticas. Si todo esto implica una publicidad negativa, quizs usted prefiera arreglar la
falla de seguridad y no emprender accin judicial.
El documento de la poltica de seguridad tambin debe contener procedimientos para
manejar cada tipo de incidente de violacin. Debe llevarse un registro apropiado de tales
violaciones, el cual ha de revisarse peridicamente para observar tendencias y tal vez
ajustar la poltica de seguridad para que dicha poltica tome en cuenta cualquier nuevo
tipo de amenaza.

RESPUESTA A LAS VIOLACIONES DE LA POLITICA POR USUARIOS LOCALES

Se podra tener una violacin de la poltica de seguridad en la que el agresor sea un
usuario interno. Esto podr ocurrir en las siguientes situaciones:

Un usuario local viola la poltica de seguridad de un sitio local.

Un usuario local viola la poltica de seguridad de un sitio remoto.

En el primer caso, debido a que se viola la poltica de seguridad interna, usted tendr
mas control sobre el tipo de respuesta ante esta violacin de seguridad. En el segundo
caso, un usuario local ha violado la seguridad de la poltica de seguridad de otra
organizacin.
Esto podr ocurrir a travs de una conexin como Internet. Esta situacin se complica
por el hecho de que esto implicada otra organizacin, y cualquier respuesta que usted

tome tendr que discutirse con la organizacin cuya poltica de seguridad fue violada por
un usuario local de usted. Tambin deber consultar con el abogado de su empresa o con
especialistas en seguridad legal de computo.

ESTRATEGIAS DE RESPUESTA
Existen dos tipos de estrategias de respuesta ante incidentes de seguridad:

Proteja y contine

Persiga y demande
Si los administradores de la poltica de seguridad sienten que la compaa es bastante
vulnerable, quizs se decidan por la estrategia de proteger y continuar. El objetivo de
esta poltica es proteger de inmediato a la red y restablecerla a su situacin normal,
para que los usuarios puedan seguir usndola. Para hacer esto, usted tendr que
interferir activamente con las acciones del intruso y evitar mayor acceso. A esto debe
seguir el anlisis del dao causado.
En ocasiones no es posible restablecer la red de inmediato a su funcionamiento normal;
quizs tenga que aislar sus segmentos y apagar sistemas, con el objeto de evitar ms
accesos no autorizados en el sistema.
La desventaja de este procedimiento es que los intrusos saben que ya fueron detectados
y tomaran medidas para evitar que sean rastreados. Asimismo, el intruso puede
reaccionar a su estrategia de proteccin atacando el sitio con otro mtodo; por lo
menos, es probable que el intruso contiene su vandalismo en otro sitio.
La segunda estrategia -perseguir y demandar- adopta el principio de que el objetivo
principal es permitir que los intrusos contienen sus actividades mientras usted los vigila.
Esto debe hacerse en forma lo ms discreta posible, de modo que los intrusos no se den
cuenta de que usted los esta vigilando. Deben registrarse las actividades de los intrusos,
para que haya pruebas disponibles en la fase de demanda de esta estrategia. ste es el
enfoque recomendado por las dependencias judiciales y los fiscales, ya que rinde
evidencias que pueden usarse para demandar a los intrusos.
La desventaja es que el intruso seguir robando informacin o haciendo otros daos, y
de todos modos usted estar sujeto a demandas legales derivadas del dao al sistema y
la perdida de informacin.
Una forma posible de vigilar a los intrusos sin causarle dao al sistema, es construir una
crcel. Una crcel, en este caso, se refiere a un ambiente simulado para que lo usen
los intrusos, de modo que puedan vigilarse sus actividades. El ambiente simulado
presenta datos falsos, pero el sistema esta configurado de tal modo que se registran las
actividades del intruso.
Para construir una crcel, se necesita acceso al cdigo fuente del sistema operativo y
alguien interno con talento de programacin que sepa simular ese ambiente. Lo mas
seguro es construir la crcel sacrificando una maquina en un segmento aislado de la red,
para reducir el riesgo de contaminacin hacia otros segmentos y sistemas por las
actividades de los intrusos. Tambin es posible construir la crcel mediante un ambiente
simulado de software; sin embargo, esto es ms difcil de preparar.

En un sistema Unix, el mecanismo de root puede ser muy til para preparar la crcel.
Este mecanismo confina irrevocablemente los procesos a una sola rama del sistema de
archivos.
Para todos los fines prcticos, la raz de esta rama del sistema de archivos parece la raz
del sistema de archivos para el proceso. Este mecanismo evita el acceso a archivos de
dispositivo y al archivo de contraseas reales (/etc/passwd).
Si usted no desea que otros usuarios se conecten con la mquina sacrificada, tendrn
que actualizar peridicamente el archivo utmp, que contiene el registro de los usuarios
conectados, de modo que la crcel parezca real. Tambin debe eliminar las utileras que
revelen que la crcel es un ambiente simulado. Ejemplos de estas utileras son netstat,
ps, who y w.
Alternativamente, usted puede proporcionar versiones falsas de estas utileras, para
hacer que el ambiente simulado parezca real.

Arquitectura general de una crcel.

Una vez que tenga suficientes evidencias contra un intruso, quiz desee demandarlo.
Sin embargo, los pleitos judiciales no son siempre los mejores resultados. Si el intruso
es un usuario interno o un invitado, como un estudiante, las acciones disciplinarias
adecuadas pueden ser igualmente eficaces, sin necesidad de los costos adicionales de
la demanda judicial y la correspondiente publicidad.
La poltica de seguridad de red debe contemplar estas opciones y ofrecer lineamientos
acerca de cuando deben ejercerse.
La siguiente lista puede usarse como lineamiento para ayudar a determinar cuando el
sitio debe usar una poltica de proteger y continuar, y cuando una de perseguir y
demandar.
La estrategia de proteger y continuar puede usarse en las siguientes circunstancias:

Si los recursos de la red no estn bien protegidos de los intrusos.

Si la continua actividad del intruso pudiera resultar en daos y riesgos financieros

considerables.

Si el costo de la demanda es demasiado elevado, o si no existe voluntad o posibilidad de

demandar.

Si existen considerables riesgos para los usuarios actuales de la red.

Si en el momento del ataque no se conocen los tipos de usuario de una gran red interna.

Si el sitio esta sujeto a demandas judiciales por parte de los usuarios. Esto se aplica a
las compaas de seguros, bancos, formas de seguridad, proveedores de red, etc.
En las siguientes circunstancias puede seguir la estrategia de perseguir y demandar.

Si los recursos del sistema estn bien protegidos.

Si el riesgo de la red es incrementado por los disturbios creados por las intrusiones
presentes y futuras.

Si se trata de un ataque concentrado y ya ha ocurrido antes.

Si el sitio es muy notorio y ha sido vctima de ataques anteriores.

Si el hecho de no demandar acarrear ms intrusiones.

Si el sitio esta dispuesto a arriesgar los recursos de la red permitiendo que contine la
intrusin.

Si puede controlarse el acceso del intruso.

Si las herramientas de vigilancia estn bien desarrolladas para crear registros

adecuadas y recabar evidencias para la demanda.

Si cuenta con personal capacitado interno para construir rpidamente herramientas

especializadas.

Si los programadores, administradores del sistema y de la red son tan listos y

conocedores acerca del sistema operativo, utileras del sistema y los sistemas para que
valga la pena el juicio.

Si la administracin de la empresa tiene disposicin a demandar.

Si los administradores del sistema saben que tipo de evidencias presentar en un juicio y
pueden crear los registros adecuados de las actividades del intruso.

Si hay contactos establecidos con agencias judiciales conocedoras.

Si existe un representante del sitio versado en las cuestiones legales relevantes.

Si el sitio esta preparado para las posibles acciones legales que emprendieran los
usuarios si sus datos o sistemas se vieran comprometidos durante la demanda.

Si se dispone de buenos respaldos.