Buenas Prácticas en Ciberseguridad para Empresas:

Recomendación de las denominadas Buenas Prácticas en Ciberseguridad:

• Realizar copias de seguridad regularmente.
• Utilizar contraseñas seguras y diferentes para cada cuenta.
• Mantener todo el software actualizado.
• Instalar un antivirus y un firewall.
• Tener cuidado al abrir correos electrónicos y archivos adjuntos de remitentes desconocidos.
• No compartir información personal en redes sociales.
• Formar a los empleados en materia de Ciberseguridad.

Siguiendo estas buenas prácticas, las empresas pueden mejorar su seguridad informática y protegerse de los ciberataques.

Explicación y Argumentación Básica en un Escrito de Promoción de Pruebas de un Proceso Penal por medio del cual esté relacionado el Código Hash proveniente de un Medio Informático

En un escrito de promoción de pruebas, es recomendable profundizar algunos aspectos de tipo jurídico y técnico, cuando debemos puntualizar aspectos trascendentales en la aportación de hechos al proceso que sean relevantes jurídicamente hablando. Y a tales fines legales, se debe:

1. Identificar el archivo o dato digital:

 

• Describir el tipo de archivo (documento, imagen, audio, video, etc.).

• Indicar la ubicación del archivo (carpeta, dispositivo de almacenamiento, etc.).

• Si es posible, proporcionar el nombre del archivo.

2. Calcular el Código Hash del archivo:

• Utilizar una función hash reconocida (MD5, SHA1, SHA256, etc.).
• Indicar qué algoritmo de Hash se ha utilizado.
• Proporcionar el valor del Código Hash.
• Valor del Código Hash calculado.
• Software utilizado para calcular el Código Hash.
• Testimonio de la persona (perito) que calculó el Código Hash. 

3. Demostrar la Pertinencia y Necesidad del Código Hash:

• Explicar cómo el archivo o dato digital se relaciona con los hechos controvertidos del caso.

• Argumentar cómo el Código Hash puede contribuir a esclarecer la verdad y determinar la responsabilidad penal del imputado.

4. Asegurar la autenticidad del Código Hash:

• Indicar cómo se ha obtenido el Código Hash (de manera lícita y con las debidas garantías procesales).

• Detallar las medidas tomadas para preservar la integridad del archivo (cadena de custodia).

• Ofrecer la posibilidad de realizar pericias informáticas para verificar la autenticidad del Código Hash.

5. Almacenamiento de la prueba:

• Lugar de almacenamiento de la prueba.
• Condiciones de almacenamiento (temperatura, humedad, etc.).
• Medidas de seguridad de conservación para la prueba.

Ejemplo de Argumentación por parte del Representante Fiscal del Ministerio Público:

"Se solicita la incorporación como prueba electrónica del archivo 'documento.docx' encontrado en el computador del imputado. 

Este archivo contiene información relevante para el caso, como la planificación del delito. 

El Código Hash del archivo es MD5: 5d41402abc4b2a76b9719d911017c592. 

La prueba es pertinente porque demuestra la participación del imputado en el delito. 

La prueba es auténtica ya que se ha obtenido de forma lícita y se ha preservado su integridad mediante la cadena de custodia. 

Se adjunta el archivo 'documento.docx' y se ofrece la posibilidad de realizar una pericia informática para verificar la autenticidad del Código Hash."

Consideraciones:

El Código Hash debe calcularse sobre la prueba original, sin modificaciones.

El Código Hash debe ser verificado en cada etapa de la cadena de custodia.

Es importante utilizar un algoritmo de Hash seguro y confiable.

Se debe mantener un registro de todas las personas que han tenido acceso a la prueba.

Objeto del Código Hash en un Proceso Penal:

El objeto del Código Hash en un proceso penal es demostrar la integridad y autenticidad de un archivo o de un dato digital.

-------------------

De obligatoria lectura sobre lo anterior, tenemos el artículo 187 del Código Orgánico Procesal Penal Vigente: 

"Todo funcionario o funcionaria que colecte evidencias físicas debe cumplir con la cadena de custodia, entendiéndose por ésta, la garantía legal que permite el manejo idóneo de las evidencias digitales, físicas o materiales, con el objeto de evitar su modificación, alteración o contaminación desde el momento de su ubicación en el sitio del suceso o lugar del hallazgo, su trayectoria por las distintas dependencias de investigaciones penales, criminalísticas y forenses, la consignación de los resultados a la autoridad competente, hasta la culminación del proceso.

La cadena de custodia comprende el procedimiento empleado en la inspección técnica del sitio del suceso y del cadáver si fuere el caso, debiendo cumplirse progresivamente con los pasos de protección, fijación, colección, embalaje, rotulado, etiquetado, preservación y traslado de las evidencias a las respectivas dependencias de investigaciones penales, criminalísticas y ciencias forenses, u órganos jurisdiccionales.

Los funcionarios o funcionarias que colectan evidencias físicas deben registrarlas en la planilla diseñada para la cadena de custodia, a fin de garantizar la integridad, autenticidad, originalidad y seguridad del elemento probatorio, desde el momento de su colección, trayecto dentro de las distintas dependencias de investigaciones penales, criminalísticas y ciencias forenses, durante su presentación en el debate del juicio oral y público, hasta la culminación del proceso.

La planilla de registro de evidencias físicas deberá contener la indicación, en cada una de sus partes, de los funcionarios o funcionarias, o personas que intervinieron en el resguardo, fijación fotográfica o por otro medio, colección, embalaje, etiquetaje, traslado, preservación, análisis, almacenaje y custodia de evidencias físicas, para evitar y detectar cualquier modificación, alteración, contaminación o extravío de estos elementos probatorios.

Los procedimientos generales y específicos, fundados en los principios básicos de la cadena de custodia de las evidencias físicas, estarán regulados por un manual de procedimiento único, de uso obligatorio para todas las instituciones policiales del territorio nacional, que practiquen entre sus labores, el resguardo, fijación fotográfica o por otro medio, colección, embalaje, etiquetaje, traslado, preservación, análisis, almacenaje y custodia de evidencias físicas, con la finalidad de mantener un criterio unificado de patrones criminalísticos. El referido Manual de Procedimientos en Materia de Cadena de Custodia de Evidencias Físicas, es competencia del Ministerio del Poder Popular para Relaciones Interiores y Justicia en coordinación con el Ministerio Público."

Tips de Ciberseguridad para una Empresa en Venezuela

La importancia de la Ciberseguridad para una empresa en Venezuela, radica en muchos aspectos, entre ellos, proteger la información confidencial, los datos personales y los sistemas informáticos de la empresa, entre otros.-

Desde el punto de vista contractual en pretendidos temas de Ciberseguridad, para las empresas relacionadas en el circuito económico que desarrollan, se necesita una actividad en específico que sea aprobada por escrito por las partes involucradas, tanto para clientes como proveedores. Sería recomendable firmar un contrato en forma separada o mediante un anexo a la documentación que ya utilizan y hacerlo parte del denominado uso o la costumbre mercantil, para evitar sorpresas o asuntos desagradables que puedan presentarse y a tales fines, es principalmente para lograr la adaptación a un mundo electrónico y digital frente a ciberataques que avanzan a pasos agigantados. Hay que especificar los servicios de Ciberseguridad que estarán en juego, cuando exista una remota posibilidad de comisión de hechos punibles civiles y/o penales, por eso es fundamental tener en cuenta, actividades como:

• Análisis de riesgos y vulnerabilidades.
• Implementación de medidas de seguridad técnicas y organizativas.
• Monitorización y respuesta a incidentes de seguridad.
• Formación y concienciación a todo el personal relevante desde la denominada junta directiva hasta mandos medios como son los puestos de gerencia, así como personal administrativo y obrero en materia de ciberseguridad.

                

Así que las obligaciones de implementar las medidas de seguridad, mantener la confidencialidad de la información de la empresa y notificar a la empresa de cualquier incidente de seguridad que pueda afectar a sus sistemas informáticos, es la biblia elemental para prestar asistencia a la empresa en la gestión de incidentes de seguridad informática.

Obligaciones de la empresa en su gerencia de seguridad o de sistemas:

Facilitar al proveedor o cliente, el acceso a la información precisa y con los sistemas informáticos necesarios para la prestación del servicio con estricta diferenciación mediante password en las entradas remotas.

Notificar al proveedor de cualquier cambio en su entorno informático que pueda afectar a la seguridad.

Cumplir con las recomendaciones de seguridad mediante organigramas.

Responsabilidades:

Definir la responsabilidad en caso de que se produzca un incidente de seguridad.

Establecer la responsabilidad de la empresa por los daños y perjuicios causados por un incidente de seguridad.

El proveedor deberá demostrar su cumplimiento, lo cual sería prudente hacerlo con los estándares internacionales de Ciberseguridad, mediante:

El Respeto de la Privacidad:

Incluir una cláusula que regule el tratamiento de datos personales por parte del proveedor o cliente.

Asegurar que el proveedor cumple con la normativa constitucional y legal venezolana en materia de protección de datos.

Software y Hardware:

Definir los derechos de propiedad intelectual sobre el software y las aplicaciones utilizadas por la empresa.

Establecer las condiciones de uso del software y las aplicaciones.

Hacer un inventario completo donde se incluya:

• Hardware, software, redes y datos.
• Sistemas de información, aplicaciones y bases de datos.
• Cualquier otro componente del sistema informático de la empresa.

Establecer las medidas para proteger los sistemas informáticos, como:

• Implementación de medidas de seguridad técnicas y organizativas.
• Monitorización de los sistemas informáticos.
• Realización de copias de seguridad.
• Implementación de un plan de respuesta a incidentes de seguridad.

Un Plan de Respuesta a Incidentes de Seguridad debe incluir:

• Definición de roles y responsabilidades: Identificar a las personas responsables de cada paso del plan.
• Comunicación: Definir cómo se comunicará la empresa con los empleados, clientes y otras partes interesadas en caso de un incidente de seguridad.
• Contención: Detallar las medidas que se tomarán para contener el incidente de seguridad y evitar que se extienda.
• Investigación: Definir cómo se investigará el incidente de seguridad para determinar la causa y el impacto.
• Recuperación: Detallar las medidas que se tomarán para restaurar los sistemas informáticos y los datos de la empresa.
• Prevención: Definir las medidas que se tomarán para evitar que se repita un incidente de seguridad similar.

En relación con los sistemas informáticos:

• Implementar las medidas de seguridad técnicas y organizativas necesarias para proteger los sistemas informáticos de la empresa.
• Monitorizar los sistemas informáticos de la empresa para detectar cualquier actividad anómala.
• Realizar copias de seguridad de los sistemas informáticos de la empresa.
• Implementar un plan de respuesta a incidentes de seguridad.

Control de Acceso:

Definir los criterios para el acceso a las diferentes áreas de trabajo de la empresa.

Establecer las medidas de seguridad para el control de acceso físico y virtual.

Dos Estándares Internacionales de Ciberseguridad:

Incluir una cláusula que obligue al proveedor a cumplir con los últimos estándares internacionales de Ciberseguridad, como ejemplos, podemos citar políticas de otros países que podemos adaptar al territorio venezolano y que son, estas dos, las más comúnmente usadas actualmente:

NIST Cybersecurity Framework: Un marco de trabajo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos que proporciona una guía para la gestión de riesgos de seguridad cibernética. El NIST Cybersecurity Framework se compone de cinco funciones:

• Identificar
• Proteger
• Detectar
• Responder
• Recuperar

Cada función se divide en categorías y subcategorías que contienen prácticas específicas de seguridad cibernética.

ISO/IEC 27001: Un estándar internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). La ISO/IEC 27001 se basa en un ciclo de mejora continua que incluye:

• Planificación
• Implementación
• Verificación
• Actuación
• Mejora

Es bastante conveniente hacer al principio, las denominadas auditorías. Efectivamente habría que someterse a auditorías independientes para verificar su cumplimiento en una simple analogía con los estándares.

Beneficios:

El cumplimiento de parámetros en donde esté relacionada la Ciberseguridad por parte del proveedor o el cliente, proporcionará a la empresa los siguientes beneficios:

• Mejora de la seguridad de la información: Reducción del riesgo de sufrir un incidente de seguridad.
• Mayor confianza: Mayor confianza de los clientes, socios y otras partes interesadas en la seguridad de la información de la empresa.
• Cumplimiento legal: Cumplimiento de las leyes y regulaciones aplicables en materia de ciberseguridad.

Un Asunto Trascendental es el Tratamiento de la Confidencialidad:

En todas las operaciones delicadas, es clave incluir una cláusula de confidencialidad que obligue a las partes a mantener la confidencialidad de la información intercambiada.

Se debe definir qué se entiende por información confidencial, incluyendo:

• Información comercial, financiera, técnica o de cualquier otra naturaleza.
• Datos personales de empleados, clientes, proveedores o cualquier otra persona.
• Cualquier otra información que la empresa considere confidencial como por ejemplo, una fórmula secreta.

Establecer las medidas para proteger la información confidencial, como:

• Almacenamiento seguro de la información.
• Control de acceso a la información.
• Uso de mecanismos de cifrado.
• Prohibición de la divulgación de la información a terceros.

Sobre los Datos Personales:

Como les indiqué anteriormente sería conveniente incluir una cláusula que regule el tratamiento de datos personales, de acuerdo a la Constitución de la República Bolivariana de Venezuela, en su artículo 60, el cual establece el derecho a la protección del honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. Esa Protección de Datos Personales de la República Bolivariana de Venezuela, parte de la base de aseguramiento que los proveedores de una empresa cumplen con los principios de licitud, consentimiento, calidad, finalidad, proporcionalidad, responsabilidad, seguridad y confidencialidad en el tratamiento de los datos personales. Del mismo modo, la Ley Especial Contra los Delitos Informáticos y la Ley Sobre Protección a la Privacidad de las Comunicaciones son piezas fundamentales que debemos tener siempre muy presente. 

Recomendaciones adicionales:

Se recomienda que la empresa consulte con un abogado especializado en derecho informático para obtener asesoramiento legal específico para su caso.

Se recomienda que la empresa implemente las mejores prácticas en materia de ciberseguridad para proteger sus sistemas informáticos y los datos de sus empleados, clientes y otras partes interesadas.