You are on page 1of 18

DELITOS INFORMÁTICOS

en su obra Criminalitá e tecnología. es cualquier acto ilícito penal en el que las computadoras. sin embargo muchos han sido los expertos que se han ocupado del tema. en un sentido estricto. medio o fin y que. que hacen uso indebido de cualquier medio Informático implicando actividades criminales.  María de la Luz Lima dice que el "delito electrónico" "en un sentido amplio es cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método. y aunque no exista una definición han formulado varios conceptos basándose en realidades concretas. . reuniendo las características que delimitan el concepto de delito. define como Delito Informático "Cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción criminógena. antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin" y por las segundas "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin" Con estos antecedentes podemos definir Delito Informático como aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal. entendiendo por la primera a "las conductas típicas. o como mero símbolo" A continuación los criterios doctrinales de algunos tratadistas al respecto:  Rafael Fernández Calvo define al "delito Informático" como la realización de una acción que.DELITOS INFORMÁTICOS No existe una definición universal de Delito Informático. sus técnicas y funciones desempeñan un papel ya sea como método. se ha llevado a cabo utilizando en elemento informático o telemático contra los derechos y libertades de los ciudadanos definidos en el título 1 de la Constitución Española". el delito Informático. Sin existir una definición especifica el estudioso español Carlos Sarzana.  Julio Téllez Valdés conceptualiza al "delito Informático" en forma típica y atípica. medio o fin".

 Fraude efectuado por manipulación informática: este delito se aprovecha de las continuas repeticiones automáticas de algunos procesos de cómputo. que se detallan a continuación: reconoce 3 tipos de delitos Fraudes cometidos mediante manipulación de computadoras  Manipulación de los datos de entrada: es nombrado también como sustracción de datos y es el tipo de delito informático más común.66 es igual a 10. informáticos. Manipulación de los datos de entrada  Como objeto: se alteran los datos de los documentos almacenados en forma computarizada.  Manipulación de los datos de salida: se efectúa fijando un objetivo al funcionamiento del sistema informático. Es muy difícil de descubrir y su presencia pasa inadvertida porque el personaje que los crea o introduce en el sistema posee conocimientos técnicos de informática y programación. porque es fácil de cometer y difícil de descubrir.  La manipulación de programas: este tipo de delito informático se trata de modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas.01 centavos a la cuenta del ladrón n veces. Que está basada en el principio de que 10.65 pasando 0.TIPOS DE DELITOS INFORMÁTICOS La ONU (Organización de Naciones Unidas). .  Como instrumento: los computadores pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial.

Al respecto. suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Abuso de dispositivos que faciliten la comisión de delitos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. Delitos contra la confidencialidad. Interferencia en el funcionamiento de un sistema informático. En este convenio se propone una clasificación de los delitos informáticos en cuatro grupos: 1. en Noviembre de 2001 se firmó en Budapest el “Convenio de Ciberdelincuencia del Consejo de Europa”. Interceptación ilícita de datos informáticos. desde la simple curiosidad hasta el sabotaje o espionaje informático. Clasificación según el “Convenio sobre la Ciberdelincuencia” de 1 de Noviembre de 2001 Con el fin de definir un marco de referencia en el campo de las tecnologías y los delitos para la Unión Europea.Daños o modificaciones de programas o datos computarizados  Sabotaje informático: es el acto de borrar.  Acceso no autorizado a servicios y sistemas informáticos: estos accesos se pueden realizar por diversos motivos. se considera.  Reproducción no autorizada de programas informáticos de protección legal: esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. la integridad y la disponibilidad de los datos y Sistemas Informáticos:     Acceso ilícito a sistemas informáticos. .

ftp.Ejemplos:  El robo de Identidades  La conexión a Redes no autorizadas  La utilización de Spyware y de Keylogger 2. etc  Intercambio de archivos en redes P2P . Ejemplos:  Venta de cds conteniendo fonogramas / cine / software a través de internet. Ejemplos:  El borrado Fraudulento  La Corrupción de Ficheros  Introducción de Ficheros Fraudulentos 3. web de enlaces a ficheros. alteración o borrado de datos informáticos.  Sitios web de descarga directa o indirecta: foros. Ejemplos:  Adquisición de contenidos de pornografía infantil  4. borrado o supresión de datos Informáticos. Delitos relacionados con el Contenido:  Producción. oferta. Delitos relacionados con infracciones de la propiedad intelectual y derechos afines:  Acto de hacer disponible. Fraude informático mediante la introducción. transmitir o copiar el trabajo de un auto o un productor a través de Internet sin permiso o pago. por medio de un sistema informático o posesión de dichos contenidos en un sistema informático o medio de almacenamiento de datos. o la interferencia en sistemas informáticos. difusión. Delitos informáticos:   Falsificación informática mediante la introducción.

Esta ley es muy similar a la inglesa aunque agrega la protección a la información privada. La Seguridad y fiabilidad del trafico jurídico y probatorio en el caso de las falsificaciones de datos probatorios vía medios informáticos. en el caso de delitos de daños. la pureza e idoneidad de la información como tal. materiales de un sistema informático. Como no se estipula la condición de acceder a ese sistema. dignos de protección penal frente a conductas que los dañan o ponen en peligro. LEY 19. La Privacidad. la prisión se establecería entre los tres y los cinco años.223 “LEY DE DELITOS INFORMÁTICOS” Toda tipificación de delitos pretende proteger bienes jurídicos. intimidad y confidencialidad de los datos como el espionaje informático. Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta tres años. El hacking. Adicionalmente protege otros bienes como: El Patrimonio. usar o conocer de manera indebida la información contenida en éste. contenida en un sistema automatizado de tratamiento de la misma y de los productos que de su operación se obtengan”. en los fraudes informáticos.223 “un nuevo bien jurídico surgido del uso de las nuevas tecnologías: La calidad. El Derecho de propiedad sobre la información y sobre los elementos físicos. La ley 19223 publicada en el Diario Oficial el 7 de junio de 1993 señala que la destrucción o inutilización de un sistema de tratamiento de información puede ser castigado con prisión de un año y medio a cinco. Para la ley 19.LEGISLACIÓN NACIONAL E INTERNACIONAL NACIONAL Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. . pero si el que lo hace es el responsable de dicho sistema puede aumentar a cinco años. definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse. Los bienes jurídicos son interés relevantes de las personas en tanto sujetos sociales. pero ingresar en ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito. Si esa acción afectara los datos contenidos en el sistema. considerados especialmente valiosos y consecuentemente. puede encuadrarse a los autores de virus. también es pasible de condenas de hasta cinco años de cárcel.

interceptando o accediendo al sistema de tratamiento de datos. Si quien incurre en estas conductas es el responsable del sistema de información... En estos artículos se pueden detectar 2 grandes figuras delictuales: Los artículos 1° y 3° se refieren al Sabotaje Informático.El que maliciosamente altere. será castigado con presidio menor en su grado medio. daño o alteración maliciosa de los datos. será castigado con presidio menor en su grado mínimo a medio. Para las figuras del artículo 3° la pena asignada irá de 541 días a 3 años para las conductas de destrucción. lo intercepte. La penalidad para las figuras del artículo 1°. o impida. la pena se aumentará en un grado. obstaculice o modifique su funcionamiento. que puede ser un sistema de tratamiento de la información o de sus partes componentes.Artículos de La ley 19. interfiera o acceda a él. se aplicará la pena señalada en el inciso anterior. delitos de apoderamiento. Artículo 3°.. usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma.223 Artículo 1°. Los artículos 2° y 4° de la Ley hace referencia al Espionaje Informático.El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes. y/o los datos contenidos en un sistema automatizado de tratamiento de la información. inutilización. y a las conductas de impedimento. obstaculización o modificación de su funcionamiento y de 3 años y un día a 5 años para las conductas que traigan como consecuencia la destrucción de los datos.El que maliciosamente revele o difunda los datos contenidos en un sistema de información. obstaculización o modificación. y se . las penas asignadas van desde 541 días a 5 años en el caso de conductas de destrucción e inutilización de un sistema de tratamiento de información o de sus partes o componentes. el funcionamiento de un sistema de tratamiento de la información. uso o conocimiento indebido de la información cometidos interfiriendo. dañe o destruya los datos contenidos en un sistema de tratamiento de información.El que con el ánimo de apoderarse. Artículo 2°. en su grado máximo. Artículo 4°. Estas figuras se describen en el artículo 2° de la Ley. sufrirá la pena de presidio menor en su grado medio. El atentado a estos objetos puede ser a través de su destrucción. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema. que comprende aquellas figuras delictivas que atienden al modo operativo que se ejecuta y que pueden ser.. comprende aquellas conductas atendiendo al objeto que se afecta o atenta con el delito. sufrirá la pena de presidio menor en su grado medio a máximo.

INTERNACIONAL El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional. Tratados Internacionales En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras. No existen limitaciones con respecto a quienes pueden querellarse. Sin embargo. para estos efectos las penas van desde los 541 días hasta 3 años. 61 se establece que para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de autor a escala comercial se establecerán procedimientos y sanciones penales además de que "Los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias"     El convenio de Berna La convención sobre la Propiedad Intelectual de Estocolmo La Convención para la Protección y Producción de Fonogramas de 1971 La Convención Relativa a la Distribución de Programas y Señales . estafas y sabotajes. Es importante destacar que los delitos informáticos son delitos de acción pública. por consecuencia todos los acuerdos que se suscribieron en el marco del GATT. El GATT. perjuicios. Para estos casos las penas asignadas van desde 61 días a 3 años. la pena sube de 3 años y un día a 5 años. en caso de que la persona que incurre en estas conductas es el encargado del sistema. se transformó en lo que hoy conocemos como la Organización Mundial de Comercio (OMC). falsificaciones. siguen estando vigentes. hurtos. lo que significa que no se requiere de la existencia de un querellante para que se realice la investigación. en algunos casos. En el Art. fraudes. se modifiquen los derechos penales nacionales. EL artículo 4° de la Ley comprende los delitos de revelación indebida y difusión de datos contenidos en un sistema de tratamiento de la información.refiere a lo que comúnmente se conoce como “Hacking”. ya que lo puede hacer cualquier persona que haya sido víctima de estas conductas. debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de computadores lo que ha creado la necesidad de regulación por parte del derecho. tales como robos. lo cual ha dado lugar a que. basta con la denuncia y los fiscales están obligados a investigar y perseguir la responsabilidad penal.

En 1983. adoptó diversas recomendaciones respecto a los delitos informáticos. sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.  No es la computadora la que afecta nuestra vida privada. Se debe tener en cuenta lo siguiente:  No es la computadora la que atenta contra el hombre. Existen delitos que no han sido catalogados en gran parte del mundo y que gracias a las características de la informática se han podido llevar a cabo. si no basta con la adopción de otras medidas. para que los distintos países tuvieran las bases para normar la seguridad de los sistemas informáticos. entre ellas que. pero creando una nueva regulación basada en los aspectos del objeto a proteger: La Información. en la medida que el Derecho Penal no sea suficiente. Como resultado de esto la OCDE publicó un estudio sobre delitos informáticos y de la normativa jurídica en donde se reseñan las normas legislativas vigentes. para delinquir. La protección de los sistemas informáticos puede abordarse desde distintos perspectivas: civil. o por ser contraria a lo establecido por aquéllas". como consecuencia de esto muchas veces es imposible determinar cómo se realizó el delito. Quienes cometen estos actos delictuales son capaces de efectuar el crimen y no dejar huella. Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías Informáticas. La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes. comercial o administrativa. Se entiende Delito como: "acción penada por las leyes por realizarse en perjuicio de algo o alguien. . la Organización de Cooperación y Desarrollo Económico (OCDE) inició un estudio de las posibilidades de aplicar leyes penales en el plano internacional contra el uso indebido de los programas computacionales. Adicionalmente elaboró un conjunto de Normas para la Seguridad de los Sistemas de información. quizás la más poderosa hasta el momento.  La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento. es el hombre el que encontró una nueva herramienta. deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos. En 1992 la Asociación Internacional de Derecho Penal.

para ser utilizada con fines delictivos. todo lo contrario.  Planeamiento y simulación de delitos convencionales como robo. Son conductas criminales del tipo "cuello blanco": no de acuerdo al interés protegido (como en los delitos convencionales) sino de acuerdo al sujeto que . sus accesorios o sus medios de comunicación.  Atentado físico contra la computadora. accesorios o programas como entidad física. etc. cheques. etc. Como instrumento o medio: se tienen a las conductas criminales que se valen de las computadoras como método.  Alteración el funcionamiento normal de un sistema mediante la introducción de código extraño al mismo: virus. Este mismo autor sostiene que las acciones delictivas informáticas presentan las siguientes características: 1 2 Sólo una determinada cantidad de personas (con conocimientos técnicos por encima de lo normal) pueden llegar a cometerlos. bombas lógicas. Ejemplos:  Instrucciones que producen un bloqueo parcial o total del sistema.  Intervención de líneas de comunicación de datos o teleprocesos. 2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de la computadora.Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y. Ejemplos:  Falsificación de documentos vía computarizada: tarjetas de créditos. Clasificación Julio Téllez Valdez en su libro Derecho Informático clasifica a los delitos en base a dos criterios: 1.  Variación de la situación contable. homicidio y fraude.  Destrucción de programas por cualquier método. lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos. medio o símbolo en la comisión del ilícito.  Secuestro de soportes magnéticos con información valiosa.

a los sistemas informáticos. Tienden a proliferar. información. Definiendo dos niveles: . La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus. 3 Como Fin: Conductas criminales dirigidas contra la entidad física del objeto o máquina electrónica o su material con objeto de dañarla. y todo ello por la falta de regulación y por miedo al descrédito de la organización atacada. Son acciones ocupacionales. ni por inestabilidad emocional. Ofrecen posibilidades de tiempo y espacio. Estados Unidos. se destacan. Alemania. datos o programas. Austria. Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus. ya que se aprovecha una ocasión creada por el atacante. Son acciones de oportunidad. Holanda. El Acta de 1994 diferencia el tratamiento a aquellos que de manera temeraria lanzan ataques de virus y quienes lo realizan con la intención de hacer estragos. María Luz Lima. por su parte. Sec. por su carácter técnico. Gran Bretaña. Entre ellos.1030) que modificó al Acta de Fraude y Abuso Computacional de 1986. 2 Como Medio: Conductas criminales en donde para realizar un delito utilizan una computadora como medio o símbolo. Provocan pérdidas económicas. Estados Unidos Este país adoptó en 1994 del Acta Federal de Abuso Computacional (18 U. por lo se requiere su urgente regulación legal. carencia de recursos. Generalmente este sujeto tiene cierto status socioeconómico y la comisión del delito no puede explicarse por pobreza. un caballo de Troya y en que difieren de los virus. un gusano.C. Francia. poca inteligencia. información. ya que generalmente se realizan cuando el sujeto atacado se encuentra trabajando. España y Chile. la nueva acta proscribe la transmisión de un programa. Presentan grandes dificultades para su comprobación. códigos o comandos que causan daños a la computadora.3 4 5 6 7 8 9 los comete. son pocos los países que cuentan con una legislación apropiada.S. baja educación. a las redes. En el contexto internacional. Son muchos los casos y pocas las denuncias. presenta la siguiente clasificación de "delitos electrónicos": 1 Como Método: Conductas criminales en donde los individuos utilizan métodos electrónicos para llegar a un resultado ilícito.

Asimismo. cancelación o alteración de datos o por actuar sobre el curso del procesamiento de datos. La nueva ley constituye un acercamiento más responsable al creciente problema de los virus informáticos. sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa. comenzó a regir en este país la Computer Misuse Act (Ley de Abusos Informáticos). Los que lo transmiten sólo de manera imprudencial la sanción fluctúa entre una multa y un año en prisión. Además contempla sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas. Diferenciando los niveles de delitos. Austria La Ley de reforma del Código Penal. el castigo de hasta 10 años en prisión federal más una multa. sancionada el 22DIC87. Mediante esta ley el intento. específicamente no definiendo a los virus sino describiendo el acto para dar cabida en un futuro a la nueva era de ataques tecnológicos a los sistemas informáticos en cualquier forma en que se realicen. de alterar datos informáticos es penado con hasta cinco años de prisión o multas.  Sabotaje informático. exitoso o no. la legislación estadounidense sanciona con pena de prisión y multa. a la persona que defraude a otro mediante la utilización de una computadora o red informática. . defraudaciones y otros actos dolosos relacionados con los dispositivos de acceso a sistemas informáticos.Los que intencionalmente causan un daño por la transmisión de un virus. que contempla los siguientes delitos:  Espionaje de datos. Alemania Este país sancionó en 1986 la Ley contra la Criminalidad Económica. en materia de estafas electrónicas.  Estafa informática.  Alteración de datos. Gran Bretaña Debido a un caso de hacking en 1991. en el artículo 148. la nueva ley da lugar a que se contemple qué se debe entender como acto delictivo. por la introducción.

si se comprueba que fueron liberados con la intención de causar daño. agravándolas cuando existe una intensión dolosa y cuando el hecho es cometido por parte funcionarios públicos se penaliza con inhabilitación. soportes o sistemas informáticos. En materia de estafas electrónicas. altere. aplicando pena de prisión y multa. el art. programas o documentos electrónicos ajenos contenidos en redes. De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información. De los delitos contra niños. en su artículo 248. Los virus están incluidos en esa categoría. 263 establece que el que causare daños en propiedad ajena.. el artículo 264-2) establece que se aplicará la pena de prisión de uno a tres años y multa.Esta ley tiene un apartado que específica la modificación de datos sin autorización. niñas o adolescentes.. inutilice o de cualquier otro modo dañe los datos. sin detallar las penas a aplicar en el caso de la comisión del delito. la pena no superará el mes de prisión. y la distribución de virus. a quien por cualquier medio destruya. La distribución de virus está penada de distinta forma si se escaparon por error o si fueron liberados para causar daño. De los delitos contra la privacidad de las personas y de las comunicaciones. solo tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación informática. En tanto. el nuevo Código Penal de España. Holanda El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos. De los Delitos Contra la Propiedad. el preacking (utilización de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio). dependiendo del daño que causen. la ingeniería social (arte de convencer a la gente de entregar información que en circunstancias normales no entregaría). De los delitos . Si se demuestra que el virus se escapó por error. Venezuela En el año 2001 se promulgó la Ley Especial contra los delitos Informáticos por Asamblea Nacional de la República Bolivariana de Venezuela. la pena puede llegar hasta los cuatro años de prisión. pero. El liberar un virus tiene penas desde un mes a cinco años. El nuevo Código Penal de España sanciona en forma detallada esta categoría delictual (Violación de secretos/Espionaje/Divulgación). en la cual se penaliza el hacking. España En el Nuevo Código Penal de España.

contra el orden económico. las penas accesorias. argumentados en cinco capítulos respectivamente. la divulgación de la sentencia condenatoria. En las disposiciones comunes se abordan elementos importantes como las agravantes. . entre otros elementos.

Las amenazas se clasifican según sus orígenes. para lograr mantener a salvo su información de este tipo de amenazas. los más difíciles de detectar y controlar. llegando hasta afectar el prestigio de las empresas con sus clientes. se deben tomar medidas para acceder a protección en contra de estas. La mayor parte del tiempo. a su vez. Provocando con este hecho pérdida de información importante o. Es la fuente principal de amenaza para los sistemas de información y. Las organizaciones deben invertir grandes cantidades de dinero y recursos. incluso pérdidas materiales. las más presentes y consistentes son las amenazas del tipo “humanas”. que pueden manejar o tener conocimiento de información confidencial y eso utilizarlo en contra de la Organización. esto con la única finalidad de causar alteraciones en la información que maneja la organización. pero es bien sabido que controlarlas o eliminarlas es casi imposible. Estas amenazas pueden venir de una persona interna a la empresa o externa (ex empleados). . y existen 5 grandes categorías:      Amenazas Amenazas Amenazas Amenazas Amenazas de Software de Hardware de Red por desastres naturales Humanas En la actualidad. tanto materiales. se considera que las amenazas son externas a los sistemas.EN QUÉ CONSISTEN LAS AMENAZAS HUMANAS Las amenazas a los sistemas informáticos son eventos o situaciones provocadas. como de mano de obra.

GESTION DE RIESGOS “Administración de Riesgos es el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para alcanzar sus objetivos. y decidir cuales controles. aliados y sobre todo de sus beneficiarios (grupo meta). y decidir cuales controles. sino también la privacidad y los derechos de sus activistas. para proteger y garantizar no solamente el cumplimiento de sus misiones institucionales. están basados en una experiencia práctica centroamericana. El objetivo es saber cuáles activos de tecnología están sujetos a mayores riesgos y representarían un impacto grave para la empresa si fuese afectado de manera negativa. Desarrollar un proceso y estructura para reportar riesgos que permitirán a la Alta Gerencia evaluar el nivel y estado de los riesgos tecnológicos. la cual debería estar alineada dentro del sistema de gobierno de TI y Gobierno Corporativo. con el propósito de reconocer la importancia y la urgente necesidad de incorporar la Seguridad Informática en sus procesos operativos institucionales. El objetivo es saber cuáles activos de tecnología están sujetos a mayores riesgos y representarían un impacto grave para la empresa si fuese afectado de manera negativa. sencillas y accesibles. basado en el valor del recurso de información para la organización”. La información y los materiales ofrecidos. si alguno. deben aplicar para reducir el riesgo a un nivel aceptable. que facilita el proceso de sensibilización sobre la Seguridad Informática y la gestión de los riesgos relacionados con el manejo de datos e información. La Gestión de Riesgo en la Seguridad Informática ofrece a las organizaciones sociales latinoamericanas algunos métodos y herramientas sencillas. También proporciona información sobre herramientas técnicas. . basado en el valor del recurso de información para la organización”. “Administración de Riesgos es el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para alcanzar sus objetivos. si alguno. deben aplicar para reducir el riesgo a un nivel aceptable. Considerar una estructura adecuada para la administración de riesgo tecnológico. Aspectos Generales para Gestión de Riesgos     La estrategia para la administración de riesgo tecnológico debe estar alineada con la estrategia del negocio y la cultura organizacional. para la seguridad digital. Adoptar estrategias para la mitigación y/o transferencia de exposición al riesgo a raíz de eventos de riesgos tecnológicos.

. Cuantificar el riesgo tecnológico como componente importante de la estructura integrada de administración de riesgo.

Se recomienda elaborar un inventario de todos los activos de tecnología debidamente categorizados. 2 Evaluación del riesgo: En esta etapa tiene como objetivo identificar el nivel de exposición al riesgo de cada uno de los activos identificados. 3 Evaluación de Mitigantes: Tiene como objetivo tomar en consideración la eficiencia de los controles existentes para mitigar riesgos identificados. Proceso General de Gestión de Riesgos de Tecnología 1 Identificación y documentación: Esta etapa tiene como objetivo lograr un entendimiento y mejor conocimiento sobre el entorno de tecnología de la Organización. seguridad e integridad de la información de la organización y/o sus clientes.Proceso General de Gestión de Riesgos de la Información Consideraciones Prácticas  Incluir los roles y responsabilidades de Riesgo Tecnológico dentro de las descripciones del trabajo individual del personal. Se debe considerar asignar un nivel de prioridad a cada activo de tecnología y establecer el orden de importancia de cada activo y el orden de las actividades requeridas para la protección de los activos de tecnología de la información. Los riesgos de tecnología de información podrían afectar la efectividad. hacer descripción del riesgo. Se debe recomendar controles adicionales de ser necesarios de acuerdo al nivel de eficiencia del diseño y funcionamiento de los controles actuales.  Revisiones regulares de auditoría interna sobre el proceso de administración de riesgo tecnológico. Cada activo que es evaluado debe contar con los controles adecuados para mitigar los riesgos.  Integrar la gestión de riesgos como parte del proceso de evaluación de rendimiento del personal puede ayudar a crear conciencia sobre temas de riesgo tecnológico.  Establecer un mecanismo para el entrenamiento y comunicación sobre los roles y responsabilidades para asegurar que el personal y la gerencia puedan estar completamente enterados y actualizados. Se deben identificar amenazas y vulnerabilidades. 4 Implementación de Salvaguardas: Esta etapa tiene como objetivo establecer medidas de prevención y mitigación de riesgos adicionales para los activos de tecnología. determinar probabilidad e impacto y calificar en nivel de riesgo inherente. .