Docstoc

SERVIDORES

Document Sample
SERVIDORES Powered By Docstoc
					            República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Universitaria
                Universidad Nueva Esparta




                SERVIDORES




                  PRESENTADO POR:

                 CECILIA BELESACA




                   ASESORADO POR:

                ERASMO RODRÍGUEZ




                CARACAS, JULIO 2012
                                    INTRODUCCIÓN

       Un servidor es un tipo de software que realiza ciertas tareas en nombre de los
usuarios. El término servidor ahora también se utiliza para referirse al ordenador físico en
el cual funciona ese software, una máquina cuyo propósito es proveer datos de modo que
otras máquinas puedan utilizar esos datos.

       Este uso dual puede llevar a confusión. Por ejemplo, en el caso de un servidor web,
este término podría referirse a la máquina que almacena y maneja los sitios web, y en este
sentido es utilizada por las compañías que ofrecen hosting o hospedaje. Alternativamente,
el servidor web podría referirse al software, como el servidor de http de Apache, que
funciona en la máquina y maneja la entrega de los componentes de los páginas web como
respuesta a peticiones de los navegadores de los clientes.

       Los archivos para cada sitio de Internet se almacenan y se ejecutan en el servidor.
Hay muchos servidores en Internet y muchos tipos de servidores, pero comparten la función
común de proporcionar el acceso a los archivos y servicios.
                    ALCANCE DE LA FUNCIÓN A INVESTIGAR

       Entendamos que dar un servicio no se trata solo de tener una idea y hacer que otros
la ejecuten; es tener las personas claves para ejecutarlo; por esta razón, se debe brindar
especial atención en la selección de nuestro personal, alinearlos hacia los objetivos
empresariales y sobretodo saber comunicarles qué se espera de ellos.



       Una de las mejores vías para mostrarle a nuestro personal la mejor manera de
realizar un procedimiento dado es a través de este manual, ya que es posible indicarle al
encargado una información actualizada, confiable y sobre todo que contenga todo lo
relacionado al tema que trata, en nuestro caso Servidores.



       Éste manual le permitirá al empleado hacer de su conocimiento lo límites de sus
responsabilidades y de las funciones que desempeña. El objetivo primordial sería, describir
con claridad todas las actividades de la empresa, de manera de evitar funciones y
responsabilidades compartidas que no sólo redundan en pérdidas de tiempo sino también en
la dilución de responsabilidades y en algunos casos el mal funcionamiento del área.
                       LIMITACIONES DE LOS SERVIDORES



       Entre las principales limitaciones que podemos encontrar en la elaboración de este
manual sería que evidentemente va a haber un costo, en nuestro caso no tanto monetario
sino de tiempo, que indiscutiblemente hay que invertir. Este manual exige una permanente
revisión que permita mantener la información actualizada, dado que la pérdida de vigencia
acarrea su inutilidad. Adicionalmente se podría decir que el no incorporar lo elementos
propios de la organización informal, que evidentemente existe, en este manual podría
ocasionar algún retardo en los procedimientos que se realicen en la organización.



       Además es muy difícil definir el nivel óptimo de síntesis o de detalle a efectos de
que sean útiles y suficientemente flexibles. Su utilidad se ve limitada o es nula cuando la
organización se compone de un número reducido de personas y, por lo tanto, la
comunicación es muy fluida y el volumen de tareas reducido.
       PROCEDIMIENTOS INVOLUCRADOS/ SECUENCIA/ NIVELES DE
                                    AUTORIZACIÓN



       Que Niveles de Seguridad existen en Software Libre, siendo este de Código Abierto
u Open Source debería existir a nivel de Aplicaciones (Sistema Informático de cualquier
módulo: logística, presupuesto, planillas, etc) y en Base de Datos se estan ofreciendo
concretamente.



       Enfoque Integral de la Seguridad



       Para reducir al mínimo los riesgos en materia de seguridad se requiere de un
enfoque que aborde el tema de un modo integral. Nuestros procesos de seguridad fueron
diseñados a partir de una clara identificación de las posibles amenazas a nuestros sistemas.



       Las vulnerabilidades en materia de seguridad son el resultado de los varios puntos
de interacción que una aplicación sostiene con el mundo exterior y de los numerosos
usuarios que pueden interactuar usando estas interfaces. En un mismo momento, sus
clientes, sus revendedores, su personal, nuestro personal, usuarios de internet anónimos y
servidores asociados estarán interactuando, todos a la vez, con nuestros sistemas. Cada uno
de estos actores necesitará contar con niveles de acceso diferentes y con derechos y
permisos diferenciados.



       Logros en Seguridad



       Privacidad - La información alojada en nuestros sistemas sólo será accesible para
los usuarios autorizados
       Integridad - Los datos y la información dentro de nuestra infraestructura no puede
ser interferida por ningún usuario no autorizado



       Protección de Datos - Los datos alojados en nuestros sistemas no pueden ser
dañados, borrados o destruidos



       Identificación y Autenticación - Asegura que cada usuario que ingresa al sistema es
quien dice ser, eliminando cualquier posibilidad de suplantación de identidad



       Protección del Servicio de Red - Asegura que el equipamiento de la red está
protegido contra la acción de piratas informáticos o los ataques dirigidos a dejar el servicio
fuera de línea



       Modelo de Seguridad Integral



       Nuestras plataformas y procesos de seguridad deben apoyarse en múltiples niveles
de seguridad: Sistemas y Equipamiento de Seguridad1 combinados con Procedimientos y
Prácticas de Seguridad2 y Procesos de Auditoría, de modo de asegurar niveles de seguridad
insuperables para cada uno de los servicios que brindamos. La plataforma aborda la
seguridad a 7 niveles diferentes



       Nivel 1 - Datacenter Security



       Las asociaciones sobre las que se asienta nuestro centro de datos global son el
resultado de un riguroso proceso de análisis. La seguridad y la estabilidad son dos de las
variables más importantes consideradas en dicho proceso. Todos los centros de datos están
equipados con cámaras de vigilancia, dispositivos de identificación biométrica, políticas de
acceso con autorización, acceso limitado a los centros de datos, personal de seguridad y
otras equipamientos, procesos y operaciones de seguridad similares. Lo que nos separa del
resto de las empresas del mercado es que nuestro proceso de análisis incorpora además una
medida de la proactividad demostrada por el centro de datos hacia las prácticas de
seguridad. Esto es medido evaluando prácticas anteriores, estudios de caso de clientes y la
cantidad de tiempo dedicado por el centro de datos a la investigación y el estudio de los
temas de seguridad.



       Nivel 2 - Network Security



       Nuestra infraestructura global incorpora mitigadores de ataques de denegación de
servicio distribuido (DDOS), sistemas de detección de intrusos y Firewalls, tanto a nivel
perimetral como a nivel de racks. Nuestros sistemas han enfrentado frecuentes ataques de
piratas informáticos e intentos de DDOS (a veces hasta 3 en un mismo día) sin verse
afectados.



       Protección contra Ataques de Denegación de Servicio Distribuido (DDOS)

       Por estos días la Denegación de Servicio es la mayor fuente de pérdidas financieras
originadas en el cyber-crimen. El objetivo de los ataques DDOS es interrumpir sus
actividades de negocios, dejando fuera de operación su sitio web, su e-mail o sus
aplicaciones web. Esto se consigue atacando los servidores o la red que aloja estos servicios
y sobrecargando intencionalmente algunos recursos clave como el ancho de banda, la CPU
o la memoria. Las motivaciones típicas que están detrás de este tipo de ataques son la
extorsión, la demostración de habilidades para violar medidas de seguridad, acciones
políticas y competencia desleal, entre otros. Virtualmente cualquier organización que se
conecta a internet es vulnerable a este tipo de ataques. El impacto que puede producir en
una empresa el hecho de ser víctima de un ataque DDOS sostenido y prolongado es
devastador, ya que lleva a la pérdida de beneficios, insatisfacción de los clientes y pérdidas
de productividad, originados en la no disponibilidad o el deterioro del servicio. Por si fuera
poco, en la mayoría de los casos, un ataque DDOS lo enfrentará a la mayor factura por
superación del ancho de banda contratado que haya visto en su vida.



       Nuestro sistema de protección para Denegaciones de Servicio protegerá todos sus
servicios de internet (sus sitios web, su e-mail y sus aplicaciones web críticas) contra
ataques DoS y DDOS, a través de una sofisticada tecnología de última generación que se
pone en marcha automáticamente en cuanto se produce un ataque de este tipo. El sistema de
filtrado de DDOS bloquea prácticamente todo el tráfico fraudulento y asegura el flujo del
tráfico legítimo con la mayor flexibilidad posible sin comprometer la seguridad. En el
pasado, nuestros sistemas han permitido que varios sitios web hayan seguido funcionando
sin ninguna interrupción, ni alteración en su desempeño, aún cuando recibían ataques
simultáneos por más de 300 Mbps.



       Protección Firewall



       Nuestro sistema de protección firewall, activo las 24 horas del día, asegura el
perímetro y constituye una primera línea de defensa inmejorable. Utiliza tecnologías de
inspección avanzada y muy flexible para proteger sus datos, bloqueando los accesos no
autorizados a la red. Asegura una conectividad controlada entre los servidores que alojan
sus datos y la internet a través de la aplicación de políticas de seguridad diseñadas por
expertos en la materia.



       Sistema de Detección de Intrusos de Red



       Nuestro sistema de detección de intrusos de red y de prevención y administración de
vulnerabilidades proporciona una protección rápida, certera y exhaustiva contra ataques
intencionales, anomalías de tráfico, gusanos (worms) "desconocidos", spyware, adware,
virus de red, aplicaciones falsas de anti-spyware (rogue applications) y otras variantes de
los denominados "zero-day exploits" (aplicaciones maliciosas que intentan aprovecharse de
vulnerabilidades recién descubiertas en un programa o un sistema). Nuestro sistema usa
procesadores de red de alto rendimiento y de última generación que son capaces de realizar
miles de comprobaciones de flujo de paquetes de datos simultáneamente, sin que esto
afecte de modo perceptible el desempeño de la red. A medida que los paquetes de datos
pasan a través de nuestros sistemas son exhaustivamente examinados para determinar
cuáles son legítimos y cuáles potencialmente peligrosos. Este método de protección
instantánea es el modo más eficaz de asegurarse de que los ataques no alcanzarán sus
objetivos.



       Nivel 3 - Host Security



       Estandarización de Hardware. Se debe estandarizar nuestro equipamiento trabajando
únicamente con proveedores que cuenten con una trayectoria probada en el cumplimiento
de altos estándares de seguridad y con servicios de apoyo de calidad. La mayor parte de
nuestra infraestructura y la de los centros de datos asociados utilizan equipamiento de
Cisco, Juniper, HP y Dell, entre otros.



       Sistema de Detección de Intrusos Basado en Host



       Con la aparición de aplicaciones que son capaces de superar los sistemas de defensa
perimetral de bloqueo de puertos, se ha vuelto esencial la incorporación de los
denominados Sistemas de Detección de Intrusos Basados en Host (o HIDS, por su sigla en
inglés), los que se enfocan en el monitoreo y el análisis interno de los sistemas. Nuestro
HIDS ayuda a la detección y el señalamiento de cambios en los archivos de configuración
del sistema, tanto si son accidentales o producto de un intento de ataque o de la presencia
de intrusos en la red. Para ello realiza revisiones en las que emplea algoritmos heurísticos,
utiliza la información de registro del host y monitorea permanentemente la actividad del
sistema. La rápida detección de este tipo de cambios reduce el riesgo de daños potenciales y
los tiempos requeridos para la resolución de eventuales problemas, lo que a su vez reduce el
impacto de este tipo de situaciones, mejorando los niveles de seguridad y la disponibilidad
del sistema.



       Nivel 4 - Software Security



       Las aplicaciones deben correr sobre todo tipo de sistemas con todo tipo de software
de administración de servidores. Los Sistemas Operativos incluidos abarcan diversas
versiones de Linux, BSD y Windows. Las opciones de software de servidor incluyen
muchas de las versiones de Apache, IIS, Resin, Tomcat, Postgres, MySQL, MSSQL, Qmail,
Sendmail y Proftpd, entre otras. A pesar de la diversidad de plataformas y configuraciones
con las que opera adecuadamente nuestro sistema, le ofrecemos las mayores garantías de
seguridad, en base a nuestro enfoque orientado en los procesos.



       Revisiones programadas de actualizaciones, correcciones de errores y parches de
seguridad

       Todos los servidores son configurados para realizar actualizaciones automáticas de
modo de garantizar que los últimos parches de seguridad están instalados y que las nuevas
vulnerabilidades en materia de seguridad son abordadas tan pronto como es posible. La
mayor parte de los accesos no autorizados a las redes se producen por el aprovechamiento
de vulnerabilidades, errores de configuración o ataques de virus para los que se cuenta con
medidas de seguridad disponibles para evitarlos. CERT afirma que los sistemas y las redes
son generalmente impactados por estos eventos dado que no han implementado
adecuadamente los parches existentes para contrarrestar estas amenazas.



       Conocer la importancia de contar con procesos de administración que aseguren la
disponibilidad de parches y actualizaciones de seguridad de un modo eficiente y oportuno.
En la medida que se expande el espectro de sistemas operativos y de software de
administración de servidores, es cada vez más probable que cada nueva versión presente
posibles fallas de seguridad. La información sobre temas de seguridad se renueva
diariamente. Hemos desarrollado procesos de seguridad consistentes y un confiable entorno
de revisión e información sobre nuevas vulnerabilidades, que aseguran que todos nuestros
sistemas están permanentemente actualizados en esta materia.



       Revisiones de seguridad periódicas



       Los sistemas son sometidos a revisiones frecuentes que utilizan las últimas
herramientas disponibles para determinar si nuestros servidores sufren de alguna de las
vulnerabilidades conocidas. Para ello se utilizan métodos de verificación que usan las bases
de datos más completas y actualizadas en términos de vulnerabilidades conocidas. Esto nos
permite una protección proactiva de nuestros servidores contra ataques externos y asegura
su continuidad de funcionamiento, al identificar agujeros de seguridad antes de que se
produzcan los ataques potenciales



       Procesos de testeo previos a las actualizaciones



       Las actualizaciones de los programas son muy frecuentes. Las empresas que
desarrollan software cuentan con sus propios procedimientos de testeo de las nuevas
versiones de sus productos para verificar su integridad, antes de su lanzamiento al mercado.
No obstante, el fabricante no puede testear la inter-operabilidad de su nuevo producto con
otros programas y en diferentes entornos y configuraciones. Por ejemplo, una nueva versión
de una base de datos puede ser probada por su vendedor, pero el impacto de implementarla
en un sistema de producción que utiliza muchos otros programas (clientes de FTP,
servidores de correo y servidores web, entre otros) no puede ser directamente determinado.
Nuestro equipo de administración del sistema analiza el impacto de las diversas
actualizaciones de los programas utilizados y, si alguna de ellas es identificada como
potencialmente riesgosa, se realiza una prueba beta antes de su implementación definitiva.



       Nivel 5 - Application Security
       Todas las aplicaciones usadas en la plataforma son diseñadas por nuestros propios
equipos técnicos. No sub-contratamos servicios de desarrollo. Cualquier producto o
componente desarrollado por terceros pasa por completos procedimientos de prueba y
entrenamiento, en los que se analizan todos los detalles de la nueva herramienta y se
transfiere a los integrantes de nuestro equipo todos los conocimientos necesarios sobre su
arquitectura y su implementación. Esto permite un control absoluto sobre cada una de las
variables involucradas en cada producto en particular. Las aplicaciones son diseñadas
usando nuestro propio Proceso de Ingeniería de Productos que utiliza un enfoque proactivo
hacia los asuntos de seguridad. Cada aplicación es desglosada en sus diversos componentes,
como por ejemplo la Interfaz de Usuario, el Núcleo de la API, el Backend de Base de
Datos, etc. Cada capa de la arquitectura del sistema tiene sus propios chequeos de
seguridad, además de los chequeos de seguridad realizados por las capas de abstracción
superiores. Toda la información crítica es almacenada en formato encriptado. Nuestras
prácticas de ingeniería y desarrollo aseguran el mayor nivel de seguridad para todas las
aplicaciones.



       Nivel 6 - Personnel Security



       El eslabón más débil de toda cadena de seguridad es siempre el de las personas que
lo llevan adelante: el personal, el equipo de desarrollo, los vendedores y, en general,
cualquier persona que cuente con privilegios especiales de acceso a un sistema
determinado. Nuestro Enfoque Integral de Seguridad intenta minimizar los riesgos
originados en el factor humano. La información es divulgada sólo a las personas que tienen
necesidad de conocerla ("need-to-know basis"). Las autorizaciones de acceso a la
información son retiradas cuando cesa la necesidad de mantenerlas activas. Nuestro
personal es especialmente entrenado en las características de las medidas de seguridad y en
la importancia crítica de respetarlas.
       Los antecedentes y la formación de cada empleado con privilegios de
administración en cualquiera de nuestros servidores son rigurosamente verificados. Las
empresas que no aplican este tipo de chequeos ponen en riesgo la información crítica de sus
clientes. Por más dinero que se invierta en un sistema de seguridad, una sola decisión
equivocada de una persona a la que se le ha otorgado privilegios de acceso al sistema
mayores a los que está capacitado para manejar adecuadamente, puede causar un daño
mucho mayor que cualquier ataque externo.



       Nivel 7 - Security Audit Processes



       En una plataforma de servidores globalmente distribuidos, los procesos de auditoría
son imprescindibles para asegurar la disciplina en la aplicación de los procedimientos
establecidos. ¿Los parches de seguridad son regularmente aplicados en todos los
servidores? ¿Las rutinas de respaldo están siendo ejecutadas en forma permanente? ¿Los
respaldos remotos están rotando como fueron planificados? ¿Se están verificando los
antecedentes de todo el personal? ¿El equipamiento de seguridad está enviando alertas
oportunas como está establecido? Estos y otros aspectos son verificados regularmente a
través de un proceso "fuera de línea" que incluye: investigación, encuestas, pruebas de
penetración (hackeo ético) y entrevistas, entre otras herramientas. Nuestros procedimientos
de auditoría nos permiten detectar defectos en los sistemas de seguridad antes de que sean
advertidos por usuarios externos.
                            PERIOCIDAD DE EVALUACIÓN



       Dado que el Manual se elabora en un tiempo determinado, con información
recolectada en ese momento y debido a los constantes cambios que se presentan, tanto a lo
interno como a lo externo de las organizaciones, este puede quedar obsoleto, sino se le da el
mantenimiento necesario y si no se le actualiza conforme a los movimientos que se van
presentando.



       Por lo tanto se debe estar revisando y actualizando constantemente para que su vida
útil sea mayor y pueda ser una herramienta efectiva para la organización. Con el fin de
mantener el presente Manual actualizado a continuación se presentan una serie de
recomendaciones.



               Se deberá revisar mínimo una vez cada año, con el fin de determinar si los
cambios ocurridos durante este periodo han afectado la forma de llevar a cabo el
procedimiento.
               Cuando se presente algún cambio interno que amerite la transformación del
procedimiento en cuanto a sus políticas, normas, personas que intervienen, en los
formularios utilizados o en la forma en que se lleva a cabo, se debe proceder a corregir de
inmediato el Manual.
               El responsable de revisar y de actualizar el manual cada año será la Junta
Directiva de la organización o en su efecto la persona que designen para esta labor.
               Cada Socio o miembro de la Junta Directiva deberá informar o dar a conocer
cualquier cambio que noten en la forma que se realizan las tareas, con el fin de corregirlo
en el Manual de Procedimientos.
               Cuando se requiera incluir un nuevo procedimiento en el Manual se hará uso
de un formato establecido
                               BASAMENTOS LEGALES


                      Ley Especial Contra los Delitos Informáticos
                                          Título I
                                   Disposiciones Generales

Artículo 1.- Objeto de la ley. La presente ley tiene por objeto la protección integral de los
sistemas que utilicen tecnologías de información, así como la prevención y sanción de los
delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos
mediante el uso de dichas tecnologías, en los términos previstos en esta ley.

Artículo 2.- Definiciones. A los efectos de la presente ley y cumpliendo con lo previsto en
el art. 9 de la Constitución de la República Bolivariana de Venezuela, se entiende por:

a. Tecnología de Información: rama de la tecnología que se dedica al estudio, aplicación y
procesamiento de data, lo cual involucra la obtención, creación, almacenamiento,
administración, modificación, manejo, movimiento, control, visualización, distribución,
intercambio, transmisión o recepción de información en forma automática, así como el
desarrollo y uso del “hardware”, “firmware”, “software”, cualesquiera de sus componentes
y todos los procedimientos asociados con el procesamiento de data.

b. Sistema: cualquier arreglo organizado de recursos y procedimientos diseñados para el
uso de tecnologías de información, unidos y regulados por interacción o interdependencia
para cumplir una serie de funciones específicas, así como la combinación de dos o más
componentes interrelacionados, organizados en un paquete funcional, de manera que estén
en capacidad de realizar una función operacional o satisfacer un requerimiento dentro de
unas especificaciones previstas.

c. Data: hechos, conceptos, instrucciones o caracteres representados de una manera
apropiada para que sean comunicados, transmitidos o procesados por seres humanos o por
medios automáticos y a los cuales se les asigna o se les puede asignar significado.
d. Información: significado que el ser humano le asigna a la data utilizando las
convenciones conocidas y generalmente aceptadas.

e. Documento: registro incorporado en un sistema en forma de escrito, video, audio o
cualquier otro medio, que contiene data o información acerca de un hecho o acto capaces de
causar efectos jurídicos.

f. Computador: dispositivo o unidad funcional que acepta data, la procesa de acuerdo con
un programa guardado y genera resultados, incluidas operaciones aritméticas o lógicas.

g. Hardware: equipos o dispositivos físicos considerados en forma independiente de su
capacidad o función, que forman un computador o sus componentes periféricos, de manera
que pueden incluir herramientas, implementos, instrumentos, conexiones, ensamblajes,
componentes y partes.

h. Firmware: programa o segmento de programa incorporado de manera permanente en
algún componente de hardware.

i. Software: información organizada en forma de programas de computación,
procedimientos y documentación asociados, concebidos para realizar la operación de un
sistema, de manera que pueda proveer de instrucciones a los computadores así como de
data expresada en cualquier forma, con el objeto de que éstos realicen funciones
específicas.

j. Programa: plan, rutina o secuencia de instrucciones utilizados para realizar un trabajo en
particular     o   resolver   un   problema    dado    a   través   de    un   computador.


k. Procesamiento de data o de información: realización sistemática de operaciones sobre
data o sobre información, tales como manejo, fusión, organización o cómputo.


l. Seguridad: Condición que resulta del establecimiento y mantenimiento de medidas de
protección que garanticen un estado de inviolabilidad de influencias o de actos hostiles
específicos que puedan propiciar el acceso a la data de personas no autorizadas o que
afecten    la   operatividad   de   las   funciones    de   un   sistema   de   computación.


m. Virus: programa o segmento de programa indeseado que se desarrolla incontroladamente
y que genera efectos destructivos o perturbadores en un programa o componente del
sistema.

n. Tarjeta inteligente: rótulo, cédula o carnet que se utiliza como instrumento de
identificación, de acceso a un sistema, de pago o de crédito y que contiene data,
información o ambas, de uso restringido sobre el usuario autorizado para portarla.


o. Contraseña (password): secuencia alfabética, numérica o combinación de ambas,
protegida por reglas de confidencialidad utilizada para verificar la autenticidad de la
autorización expedida a un usuario para acceder a la data o a la información contenidas en
un sistema.

p. Mensaje de datos: cualquier pensamiento, idea, imagen, audio, data o información,
expresados en un lenguaje conocido que puede ser explícito o secreto (encriptado),
preparados dentro de un formato adecuado para ser transmitido por un sistema de
comunicaciones.

Artículo 3.- Extraterritorialidad. Cuando alguno de los delitos previstos en la presente ley
se cometa fuera del territorio de la República, el sujeto activo quedará sujeto a sus
disposiciones si dentro del territorio de la República se hubieren producido efectos del
hecho punible y el responsable no ha sido juzgado por el mismo hecho o ha evadido el
juzgamiento o la condena por tribunales extranjeros.

Artículo 4.- Sanciones. Las sanciones por los delitos previstos en esta ley serán principales
y accesorias.

Las sanciones principales concurrirán con las accesorias y ambas podrán también concurrir
entre sí, de acuerdo con las circunstancias particulares del delito del cual se trate, en los
términos indicados en la presente ley
Artículo 5.- Responsabilidad de las personas jurídicas. Cuando los delitos previstos en esta
Ley fuesen cometidos por los gerentes, administradores, directores o dependientes de una
persona jurídica, actuando en su nombre o representación, éstos responderán de acuerdo
con su participación culpable.

La persona jurídica será sancionada en los términos previstos en esta Ley, en los casos en
que el hecho punible haya sido cometido por decisión de sus órganos, en el ámbito de su
actividad, con sus recursos sociales o en su interés exclusivo o preferente



                                         Título II
                                       De los delitos
                                        Capítulo I
      De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información

Artículo 6.- Acceso indebido. El que sin la debida autorización o excediendo la que hubiere
obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de
información, será penado con prisión de uno a cinco años y multa de diez a cincuenta
unidades tributarias

Artículo 7.- Sabotaje o daño a sistemas. El que destruya, dañe, modifique o realice
cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de
información o cualquiera de los componentes que lo conforman, será penado con prisión de
cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.

Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la
información contenida en cualquier sistema que utilice tecnologías de información o en
cualquiera de sus componentes.

La pena será de cinco a diez años de prisión y multa de quinientas a mil unidades
tributarias, si los efectos indicados en el presente artículo se realizaren mediante la
creación, introducción o transmisión, por cualquier medio, de un virus o programa análogo.
Artículo 8.- Sabotaje o daño culposos. Si el delito previsto en el artículo anterior se
cometiere por imprudencia, negligencia, impericia o inobservancia de las normas
establecidas, se aplicará la pena correspondiente según el caso, con una reducción entre la
mitad y dos tercios.

Artículo 9.- Acceso indebido o sabotaje a sistemas protegidos. Las penas previstas en los
artículos anteriores se aumentarán entre una tercera parte y la mitad cuando los hechos allí
previstos o sus efectos recaigan sobre cualquiera de los componentes de un sistema que
utilice tecnologías de información protegido por medidas de seguridad, que esté destinado a
funciones públicas o que contenga información personal o patrimonial de personas
naturales o jurídicas

Artículo 10.- Posesión de equipos o prestación de servicios de sabotaje. El que, con el
propósito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema que utilice
tecnologías de información, importe, fabrique, posea, distribuya, venda o utilice equipos,
dispositivos o programas; o el que ofrezca o preste servicios destinados a cumplir los
mismos fines, será penado con prisión de tres a seis años y multa de trescientas a
seiscientas unidades tributarias.

Artículo 11.- Espionaje informático. El que indebidamente obtenga, revele o difunda la data
o información contenidas en un sistema que utilice tecnologías de información o en
cualquiera de sus componentes, será penado con prisión de cuatro a ocho años y multa de
cuatrocientas a ochocientas unidades tributarias.

La pena se aumentará de un tercio a la mitad, si el delito previsto en el presente artículo se
cometiere con el fin de obtener algún tipo de beneficio para sí o para otro.


El aumento será de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la
confiabilidad de la operación de las instituciones afectadas o resultare algún daño para las
personas naturales o jurídicas como consecuencia de la revelación de las informaciones de
carácter reservado.
Artículo 12.- Falsificación de documentos. El que, a través de cualquier medio, cree,
modifique o elimine un documento que se encuentre incorporado a un sistema que utilice
tecnologías de información; o cree, modifique o elimine datos del mismo; o incorpore a
dicho sistema un documento inexistente, será penado con prisión de tres a seis años y multa
de trescientas a seiscientas unidades tributarias.

Cuando el agente hubiere actuado con el fin de procurar para sí o para otro algún tipo de
beneficio, la pena se aumentará entre un tercio y la mitad

El aumento será de la mitad a dos tercios si del hecho resultare un perjuicio para otro.



                                          Capítulo II
                             De los Delitos Contra la Propiedad

Artículo 13.- Hurto. El que a través del uso de tecnologías de información, acceda,
intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de
comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter
patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico
para sí o para otro, será sancionado con prisión de dos a seis años y multa de doscientas a
seiscientas unidades tributarias.

Artículo 14.- Fraude. El que, a través del uso indebido de tecnologías de información,
valiéndose de cualquier manipulación en sistemas o cualquiera de sus componentes o en la
data o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas
que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno,
será penado con prisión de tres a siete años y multa de trescientas a setecientas unidades
tributarias.


Artículo 15.- Obtención indebida de bienes o servicios. El que, sin autorización para
portarlos, utilice una tarjeta inteligente ajena o instrumento destinado a los mismos fines, o
el que utilice indebidamente tecnologías de información para requerir la obtención de
cualquier efecto, bien o servicio o para proveer su pago sin erogar o asumir el compromiso
de pago de la contraprestación debida, será castigado con prisión de dos a seis años y multa
de doscientas a seiscientas unidades tributarias.

Artículo 16.- Manejo fraudulento de tarjetas inteligentes o instrumentos análogos. El que
por cualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o
información contenidas en una tarjeta inteligente o en cualquier instrumento destinado a los
mismos fines; o el que, mediante cualquier uso indebido de tecnologías de información,
cree, capture, duplique o altere la data o información en un sistema con el objeto de
incorporar usuarios, cuentas, registros o consumos inexistentes o modifique la cuantía de
éstos, será penado con prisión de cinco a diez años y multa de quinientas a mil unidades
tributarias.

En la misma pena incurrirá quien, sin haber tomado parte en los hechos anteriores,
adquiera, comercialice, posea, distribuya, venda o realice cualquier tipo de intermediación
de tarjetas inteligentes o instrumentos destinados al mismo fin, o de la data o información
contenidas en ellos o en un sistema.

Artículo 17.- Apropiación de tarjetas inteligentes o instrumentos análogos. El que se
apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se hayan
perdido, extraviado o hayan sido entregados por equivocación, con el fin de retenerlos,
usarlos, venderlos o transferirlos a persona distinta del usuario autorizado o entidad
emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades
tributarias.

La misma pena se impondrá a quien adquiera o reciba la tarjeta o instrumento a que se
refiere el presente artículo.

Artículo 18- Provisión indebida de bienes o servicios. El que a sabiendas de que una tarjeta
inteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado, se
haya indebidamente obtenido, retenido, falsificado, alterado, provea a quien los presente de
dinero, efectos, bienes o servicios o cualquier otra cosa de valor económico, será penado
con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.
Artículo 19.- Posesión de equipo para falsificaciones. El que sin estar debidamente
autorizado para emitir, fabricar o distribuir tarjetas inteligentes o instrumentos análogos,
reciba, adquiera, posea, transfiera, comercialice, distribuya, venda, controle o custodie
cualquier equipo de fabricación de tarjetas inteligentes o de instrumentos destinados a los
mismos fines o cualquier equipo o componente que capture, grabe, copie o transmita la data
o información de dichas tarjetas o instrumentos, será penado con prisión de tres a seis años
y multa de trescientas a seiscientas unidades tributarias.

                                         Capítulo III
                    De los delitos contra la privacidad de las personas
                                  y de las comunicaciones

Artículo 20.- Violación de la privacidad de la data o información de carácter personal. El
que por cualquier medio se apodere, utilice, modifique o elimine, sin el consentimiento de
su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo,
que estén incorporadas en un computador o sistema que utilice tecnologías de información,
será penado con prisión de dos a seis años y multa de doscientas a seiscientas unidades
tributarias.


La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos
anteriores resultare un perjuicio para el titular de la data o información o para un tercero.


Artículo 21.- Violación de la privacidad de las comunicaciones. El que mediante el uso de
tecnologías de información, acceda, capture, intercepte, interfiera, reproduzca, modifique,
desvíe o elimine cualquier mensaje de datos o señal de transmisión o comunicación ajena,
será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades
tributarias.


Artículo 22.- Revelación indebida de data o información de carácter personal. El que
revele, difunda o ceda, en todo o en parte, los hechos descubiertos, las imágenes, el audio o,
en general, la data o información obtenidos por alguno de los medios indicados en los
artículos precedentes, aún cuando el autor no hubiese tomado parte en la comisión de
dichos delitos, será sancionado con prisión de dos a seis años y multa de doscientas a
seiscientas unidades tributarias.

Si la revelación, difusión o cesión se hubieren realizado con un fin de lucro o si resultare
algún perjuicio para otro, la pena se aumentará de un tercio a la mitad.



                                       Capítulo IV
                     De los delitos contra niños, niñas o adolescentes


Artículo 23.- Difusión o exhibición de material pornográfico. El que por cualquier medio
que involucre el uso de tecnologías de información, exhiba, difunda, transmita o venda
material pornográfico o reservado a personas adultas, sin realizar previamente las debidas
advertencias para que el usuario restrinja el acceso a niños, niñas y adolescentes será
sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades
tributarias.
Artículo 24.- Exhibición pornográfica de niños o adolescentes. El que por cualquier medio
que involucre el uso de tecnologías de información, utilice a la persona o imagen de un
niño, niña o adolescente con fines exhibicionistas o pornográficos, será penado con prisión
de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.


                                       Capítulo V
                         De los delitos contra el orden económico

Artículo 25.- Apropiación de propiedad intelectual. El que sin autorización de su
propietario y con el fin de obtener algún provecho económico, reproduzca, modifique,
copie, distribuya o divulgue un software u otra obra del intelecto que haya obtenido
mediante el acceso a cualquier sistema que utilice tecnologías de información, será
sancionado con prisión de uno a cinco años y multa de cien a quinientas unidades
tributarias.
Artículo 26.- Oferta engañosa. El que ofrezca, comercialice o provea de bienes o servicios
mediante el uso de tecnologías de información y haga alegaciones falsas o atribuya
características inciertas a cualquier elemento de dicha oferta de modo que pueda resultar
algún perjuicio para los consumidores, será sancionado con prisión de uno a cinco años y
multa de cien a quinientas unidades tributarias, sin perjuicio de la comisión de un delito
más grave.

                                           Título III
                                    Disposiciones comunes


Artículo 27.- Agravantes. La pena correspondiente a los delitos previstos en la presente Ley
se incrementará entre un tercio y la mitad:


1º Si para la realización del hecho se hubiere hecho uso de alguna contraseña ajena
indebidamente      obtenida,    quitada,      retenida   o   que   se    hubiere    perdido.


2º Si el hecho hubiere sido cometido mediante el abuso de la posición de acceso a data o
información reservada o al conocimiento privilegiado de contraseñas en razón del ejercicio
de un cargo o función.

Artículo 28.- Agravante especial. La sanción aplicable a las personas jurídicas por los
delitos cometidos en las condiciones señaladas en el artículo 5 de esta Ley, será únicamente
de multa, pero por el doble del monto establecido para el referido delito.

Artículo 29.- Penas accesorias. Además de las penas principales previstas en los capítulos
anteriores, se impondrán, necesariamente sin perjuicio de las establecidas en el Código
Penal, las accesorias siguientes:

1º El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y
cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en los
artículos 10 y 19 de la presente ley.

2º El trabajo comunitario por el término de hasta tres años en los casos de los delitos
previstos en los artículos 6 y 8 de esta Ley.
3º La inhabilitación para el ejercicio de funciones o empleos públicos, para el ejercicio de
la profesión, arte o industria, o para laborar en instituciones o empresas del ramo por un
período de hasta tres (3) años después de cumplida o conmutada la sanción principal
cuando el delito se haya cometido con abuso de la posición de acceso a data o información
reservadas o al conocimiento privilegiado de contraseñas en razón del ejercicio de un cargo
o función públicos, del ejercicio privado de una profesión u oficio o del desempeño en una
institución o empresa privadas, respectivamente.

4º La suspensión del permiso, registro o autorización para operar o para el ejercicio de
cargos directivos y de representación de personas jurídicas vinculadas con el uso de
tecnologías de información hasta por el período de tres (3) años después de cumplida o
conmutada la sanción principal, si para cometer el delito el agente se hubiere valido o
hubiere hecho figurar a una persona jurídica.

Artículo 30.- Divulgación de la sentencia condenatoria. El Tribunal podrá disponer,
además, la publicación o difusión de la sentencia condenatoria por el medio que considere
más idóneo.

Artículo 31.- Indemnización Civil. En los casos de condena por cualquiera de los delitos
previstos en los Capítulos II y V de esta Ley, el Juez impondrá en la sentencia una
indemnización en favor de la víctima por un monto equivalente al daño causado.

Para la determinación del monto de la indemnización acordada, el Juez requerirá del auxilio
de expertos.

                                        Título IV
                                  Disposiciones Finales


Artículo 32.- Vigencia. La presente Ley entrará en vigencia, treinta días después de su
publicación en la Gaceta Oficial de la República Bolivariana de Venezuela


Artículo 33. - Derogatoria. Se deroga cualquier disposición que colida con la presente Ley.
Dada, firmada y sellada en el Palacio Federal Legislativo, sede de la Asamblea Nacional, en
Caracas a los seis días del mes de septiembre de dos mil uno. Año 191° de la Independencia
y 142° de la Federación.




                                       Willian Lara

                                        Presidente


                                     Leopoldo Puchi

                                  Primer Vicepresidente


                                    Gerardo Saer Pérez

                                 Segundo Vicepresidente



                           Eustoquio Contreras Vladimir Villegas

                                 Secretario Subsecretario
                                BIBLIOGRAFÍA




 Chiavenato, Idalberto. Introducción a la Teoría General de la Administración. 3ra.
   Edición. Edit. McGraw-Hill. 1992.

 Von Bertalanffy, Ludwig. Teoría General de Sistemas. Petrópolis, Vozes. 1976.

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:12
posted:7/26/2012
language:
pages:27