deontología informática y legislación evidencias

Pu

eb

la -

Ma

y 1

3,

20

15

Deontología informática y legislación

Fichas de lecturas

MateriaDeontología informática y

legislación

EnsayistaHeber Romero Téllez

[email protected]

MaestroDr. Enrique MartínezT[xxxxxxx][email protected]

CPDS (Colegio de Posgrado en Desarrollo de Software)

Pu

eb

la -

Ma

y 1

3,

20

15


ÉTICA INFORMÁTICA EN LA SOCIEDAD DE LA INFORMACIÓN

RESUMEN:El propósito de este trabajo es realizar un análisis crítico de las conformidades y desavenencias encontradas en estudios anteriores sobre los cambios producidos por la utilización de las Tecnologías de Información y Comunicación en la sociedad actual. En esta investigación de tipo bibliográfica y documental, los planteamientos realizados forman parte de una revisión teórica de puntos de vista de expertos en el ámbito mundial, se indican los principales rasgos que caracterizan los hallazgos sobre problemas éticos en el área Informática. Las conclusiones destacan tanto las debilidades sobre la perspectiva individualista, que se apoya en la concepción de quien adquiere mayor poder es solo aquel que manipula la tecnología; como la valoración de las potencialidades que existen en la concepción global relativa a la consideración de las tecnologías informáticas como herramientas oportunas para minimizar la complejidad de la que los valores éticos y morales.

Palabras clave: Ética informática, tecnologías de información y comunicación, problemas éticos y morales, sociedad de la información.

ABSTRAC:

Keywords: Computer ethics, information and communication technologies, ethical and moral issues, information society.

INTRODUCCIÓNCon base en la producción acelerada de nuevas tecnologías informáticas nacidas de la llamada Sociedad de la Información y del Conocimiento, que han provocado serios problemas de carácter ético-moralistas en detrimento de la gerencia del conocimiento y la creatividad del individuo; este artículo evidencia algunas sugerencias en beneficio de la utilización responsable de las Tecnologías de Información y Comunicación que permitirán motorizar la búsqueda de soluciones para lograr el bienestar social de la comunidad y de las organizaciones en general.Al respecto, el impacto de las Nuevas Tecnologías de Información y Comunicación en la conducta de los seres humanos ha sido estudiado, en la sociedad y en las organizaciones, así como también los problemas y


Pu

eb

la -

Ma

y 1

3,

20

15


dilemas éticos que se producen, y cómo afectan las relaciones sociales, los valores morales y éticos, normas y aptitudes.Es importante destacar, que la Cultura Informática en sí, no es el tema central de este artículo, sin embargo guarda cierta relación con las implicaciones éticas que se evidencian en la utilización de las TIC en las organizaciones.Las conclusiones de este trabajo permitieron formular lineamientos estratégicos para el uso responsable de lasTIC por parte de los usuarios, profesionales y las organizaciones, con el fin de promover a nivel gerencial, un análisis del componente ético para la toma de decisiones, y así minimizar el impacto generado por éstas sobre los valores morales y éticos de los individuos y de las organizaciones.

Ética informática.En la actualidad los cambios generados por los avances tecnológicos, afectan el comportamiento y las acciones del individuo, conduciendo al planteamiento de nuevas normas o disciplinas para solucionar y dar respuestas a los problemas generados por las Tecnologías de Información y Comunicación. Para entenderConvenientemente la Ética Informática, es imprescindible conceptualizar individualmente los términos ética e informática.La ética es entendida por Valls (2000), como una disciplina filosófica definida en principios directivos para orientara las personas en la concepción de la vida, el hombre, la moral, los juicios, y los hechos; que reflexiona de forma sistemática y metódica sobre el sentido, validez y licitud de los actos humanos individuales y sociales en la historia, también, se ocupa de la fundamentación racional del comportamiento moral del hombre y de encontrar las convergencias axiológicas racionalmente justificables para todo ser humano.Por otra parte, la informática, en este trabajo se entiende como “la ciencia que estudia el fenómeno de la información, los sistemas de información y el procesamiento, transferencia y utilización de la información, mediante computadoras y las telecomunicaciones como herramientas para el beneficio de la humanidad" Hajna (1989:86).Los índices relativamente recientes que pueden observarse en la Tabla 1, sobre la cantidad y porcentaje de usuarios TIC’s en el mundo, muestran un mejor comportamiento; los datos dejan en evidencia que las TIC´s han venido penetrando cada vez más nuestras sociedades, están cambiando el mundo y continuarán haciéndolo en un futuro.De allí lo importante de una nueva ética con responsabilidad social que sirva de de guía para rescatar los valores en la utilización de las tecnologías informáticas, es allí donde deben coincidir los beneficios potenciales de la ética y la informática.Es necesario entonces plantear una nueva forma de gerenciar incorporando las nuevas tecnologías de información y comunicación con


Pu

eb

la -

Ma

y 1

3,

20

15


base en el negocio, de manera que, estas permitan mejorar la ejecución de los procesos básicos del negocio y el desempeño de las funciones gerenciales para manejar eficientemente los costos que se produzcan en servicios de información y así fomentar al mismo tiempo la credibilidad de estos servicios por parte de los clientes potenciales(Mc Leod, 2000).Según Joyanes (1997) el desarrollo de la ética aplicada a la informática, es una vía para combatir estos delitos informáticos.Existe la necesidad imperante de restablecer el contexto social, en una sociedad de la información global, compleja y vulnerable. Una de las tareas más importantes de esta ética es plantear la formulación de nuevas normas y leyes que protejan la información privada y los procesos de trabajo, ya que se presentarán situaciones que ameritarán soluciones éticas o profesionales para las organizaciones de esta nueva sociedad.Tal y como señala Castells (1999), se están cambiando los valores morales y éticos, forjando una cultura informática de la virtualidad real. Estas macrotransformaciones son resultado de la interacción de procesos en la “Era de la Información, informacionalización, globalización, interconexión, construcción de identidad, crisis del patriarcado y del Estado-nación”.Por ello, es importante reconocer que los problemas que se generan en la sociedad de hoy pueden tener solución y que el valor de la ética será capaz de influir e intervenir en la toma de decisiones más adecuadas, que existen criterios éticos y que la ética informática es la ética de la lógica de la vida.

Ética de la información.

Según Capurro (2005), la definición de ética de la información se remonta aproximadamente a la década de 1970 cuando los equipos de computación comenzaron a utilizarse en el campo de la información de carácter científico-técnico, surgiendo incógnitas con respecto al almacenamiento y accesibilidad a documentos generados, localizados en bases de datos de tipo bibliográficas. Luego este concepto se amplió con el uso masivo de la Red Internet, por los problemas éticos generados.Según Floridi (2000) la Ética de la Información, se ocupa de dos aspectos importantes, los cuales se indican a continuación:

Problemas conceptuales que surgen en la aplicación de preexistir teorías, conceptos, normas tradicionales.

Defensa del destino teórico en el campo de la moral, la deontología del estado moral de la entidad información, la metodología ética, el papel de la información en el razonamiento moral, la epistemología moral y las decisiones en los contextos dominados por las nuevas tecnologías y la epistémica de la


Pu

eb

la -

Ma

y 1

3,

20

15


responsabilidad. La pregunta principal, qué es bueno para una entidad informativa y para el ambiente de la información

Cabe destacar, que el mismo autor señala la existencia de cuatro Leyes Morales de la ética de la información para garantizar el bienestar de cada entidad informativa y la infosfera:

Nunca se tiene que producir ausencia de información semántica en la infosfera.

Debe prevenirse la entropía en la infosfera. Se tiene que eliminar la entropía en la infosfera. Se debe garantizar el bienestar, la cantidad, calidad y variedad

de la información en la infosfera.Según Floridi(2000) adopta la ética de la información:

La uniformidad: todo se procesa, se tratan los funcionamientos, cambios, acciones y eventos como procesos de información, pero el proceso no será tomado como tal, sino se seleccionará lo más significativo de la actividad.

La reflexividad de procesos de información: cualquier proceso de información necesariamente genera y es responsable de la información.

La inevitabilidad de procesos de información: la ausencia de información también es un proceso de información.

La uniformidad de ser: una entidad es un paquete consistente de información, que puede nombrarse y la ética trata cada entidad como una entidad de información.

La uniformidad de agencia: un agente es cualquier entidad, capaz de definir fenómenos para la producción de información y que puede afectar la infosfera. No todas las entidades de información son agentes.

La uniformidad de no ser: no ser, es la ausencia o negación de cualquier información o lo que se denomina entropía de información, esta es una cantidad específica de desorden, degradación o aleatoriedad en un sistema de energía productiva de información, es el ruido.

La uniformidad del ambiente: la infosfera es el ambiente constituido por la totalidad de las entidades, incluyendo los agentes, los procesos, sus conveniencias y relaciones.

Problemas éticos en la utilización de las tecnologías informáticas en las organizaciones.

Los problemas éticos han sido estudiados durante muchos años, se han realizado conferencias en el ámbito internacional en los problemas éticos de tecnología de información, interviniendo los Países Bajos, Reino Unido, EEUU, Italia, entre otros. La ética de la información está basada en la fundación filosófica de ética informática, esta ética informática es calificada como una disciplina filosófica, que según Floridi (2000) comparte con otras disciplinas filosóficas la


Pu

eb

la -

Ma

y 1

3,

20

15


tradición analítica, tres rasgos importantes la caracterizan: es lógicamente argumentativa, con perjuicio para el razonamiento analógico, se conecta con tierra empíricamente, con perjuicio para el análisis de los guiones y por último endosa un problema que resuelve el acercamiento.Por lo tanto, la utilización de las tecnologías de información y la comunicación de punta, pueden ser aplicadas en la guerra de la información a nivel estratégico, desarrollando una visión y una capacidad real, realizando por ejemplo, simulaciones de la realidad, a través de la combinación de técnicas de computación, ya que los objetivos de esta guerra son apoderarse de las “decisiones que están en la mente del oponente, y el espacio de la batalla en la mente humana también es la zona de ilusión” (Stein, 2000:4).Los sistemas de información conectados a las autopistas de información son considerados cada día más como armas estratégicas, las cuales son imprescindibles en la preparación del camino a las organizaciones para que éstas penetren el mercado de su competencia y pueden mantenerse en él, no como organizaciones de supervivencia sino como organizaciones vitales. Por ende las organizaciones deben estar preparadas para la guerra de información, los autores Álvarez y Rodríguez (1998) afirman que el actual equilibrio de poder como también la balanza competitiva puede ser codificado en dependencia de quien tome la delantera en la guerra de información.

Códigos deontológicos de la tecnología informática.

Existen códigos y normas éticas para el uso de las tecnologías de información y comunicación, especialmente los computadores, los cuales dependen de la organización, empresa o institución. Las asociaciones de profesionales de informática y algunas empresas relacionadas con la informática han desarrollado códigos de conducta profesional (ACM9,IEEE10, BCS11, IFIP12). Estos códigos tienen distintas funciones:

El usuario de los recursos computacionales o de comunicación tiene la responsabilidad de usarlos de manera ética, profesional y con apego a la ley.

Las normas éticas para una profesión, exigen al profesional no solo la responsabilidad sobre los aspectos técnicos del producto, sino también de las consecuencias económicas, sociológicas y culturales del mismo.

La velocidad del desarrollo de las tecnologías de la información hacen que los códigos o normas éticas sirvan de ayuda a los cuerpos legislativos, administrativos y judiciales; como un instrumento flexible o como suplemento a las medidas legales y políticas que en general se aprueban en un período de tiempo muy largo y en desfase con el avance de las TIC’s.

Las normas éticas sirven para hacer al usuario consciente de los problemas y estimula un debate para designar responsabilidades.


Pu

eb

la -

Ma

y 1

3,

20

15


Estas normas tienen una función sociológica ya que dan una identidad a los informáticos como grupo que piensa de una determinada manera; es símbolo de sus estatus profesional y parte de su definición como profesionales.

Estas normas sirven también como fuente de evaluación pública de una profesión y son una llamada a la responsabilidad que permiten que la sociedad sepa qué pasa en esa profesión; aumenta la reputación del profesional y la confianza del público.

Estas normas permiten armonizar legislaciones o criterios divergentes existentes (o ausentes, en su caso) en los países individuales.

Los códigos son un paso en la concienciación de las sociedades y organizaciones que quieren mejorar situaciones en las que los impactos sociales del desarrollo tecnológico no se tienen en cuenta.No tienen que duplicar lo que ya existe en la ley. La ley trata de la legalidad de las prácticas sociales, es normativa por definición y se impone con sanciones. Los códigos, en cambio, tratan del comportamiento según principios éticos, su normatividad es no más mostrar una declaración de intenciones sobre la “misión” de una institución y la coerción real con que se imponen es pequeña, aunque en algunos casos se incluyen expulsiones de la asociación en cuestión. La ley es el acercamiento de más poder normativo y asigna con claridad los derechos, responsabilidades y deberes de cada uno.

Influencia de las tecnologías de información y comunicación en los individuos y en la gerencia.

Este mundo digital o cibermundo ha logrado que los seres humanos hayan perdido poco a poco, su contacto entre sí.Joyanes (1997) afirma que la transición hacia el mundo digital ha afectado al individuo, y lo ha convertido en un ser con un carácter más deshumanizador y superficial, y lo ha obligado en alguna medida a incorporarse al ciberespacio que sustituye el mundo real por uno virtual, tal como se puede observar en el siguiente gráfico en algunos sectores del mundo la incorporación a Internet ha sido mayor o menor por distintas causas.La revolución tecnológica ha originado cambios sociales en las personas, en valores de los ciudadanos, en las relaciones, en los grupos, en las instituciones, organizaciones y por ende en la sociedad; ha reorganizado nuestras vidas, lugares de trabajo, hogares, privacidad, identidad, la conducta moral del hombre en la sociedad de la post-información.La organización debe estar preparada para auto dirigirse en este siglo XXI con concepciones actualizadas, gerenciarse en mundos virtuales, con la información, la comunicación y las nuevas tecnologías. Este es uno de los retos de la nueva gerencia, ya que en la actualidad se


Pu

eb

la -

Ma

y 1

3,

20

15


trabaja con bancas virtuales, empresas globales y virtuales, saber y gerencia virtuales, cambio de los roles, de los procesos de trabajo y de los valores organizacionales.De esta forma, las Tecnologías de Información y Comunicación como señala Zavarce (1998), pueden servir de ancla para construir estrategias competitivas o también para apoyar estrategias de cambio, establecimiento de nuevos modelos organizacionales que respondan al proceso y manejo del cambio y nuevos principios en su modo de trabajar, este cambio puede ser incremental o paradigmático.

Lineamientos estratégicos gerenciales para el uso responsable de la tecnología informática computacional.

En cuanto a tecnologías se refiere, se deben conservar los niveles de utilización que actualmente se evidencian en la mayoría de las organizaciones, como lo son: los elementos del escritorio digital y las herramientas de comunicación. Sin embargo, es imprescindible prestar atención a los puntos débiles que existen en las organizaciones sobre la base de nuevas tecnologías emergentes que aún no han sido incorporadas. Para lograr un equilibrio y un máximo uso de las tecnologías informáticas, se plantean los siguientes lineamientos:Los medios de producción de información deben ser incorporados, mediante líneas telefónicas que permitan la utilización de la tecnología de buzón de voz.

La programación de presentaciones en la modalidad de foros o charlas que orienten sobre la utilización efectiva de las TIC’s.

La planificación de dinámicas de grupo para los integrantes de la organización a fin de elevar el nivel de apoyo en la toma de decisiones, y conducirá por consiguiente a aumentar el nivel de divulgación del conocimiento de los códigos éticos para la utilización de la tecnología informática, esto significaría un excelente aporte al crecimiento intelectual individual y del grupo en general.

Sensibilizar al personal de la organización en el buen uso y aprovechamiento de las tecnologías existentes, a fin de facilitar la incorporación de nuevas tecnologías emergentes.

Planificar cursos de extensión para el conocimiento de los sistemas de comunicación en tiempo real y los sistemas de análisis y colaboración, que además de posibilitar el aprendizaje de estas herramientas, ayuden a despertar en cada uno de los integrantes de la organización la necesidad de utilizarlas y al mismo tiempo puedan descubrir los beneficios potenciales que estas pueden proveer.

Evaluar la posibilidad de adoptar una modalidad que pueda ser incorporada al control del personal de la organización, esquema que motivaría a la posible reducción de algunos problemas éticos como: retrasos, inasistencias y anormalidades que en general


Pu

eb

la -

Ma

y 1

3,

20

15


pudieran estar afectando el desempeño laboral y la calidad del servicio de la organización.

Definir políticas de información, comunicación y divulgación de la utilización de las TIC’s a través de una gerencia efectiva de Tecnologías de Información y Comunicación, a fin de orientar su manejo adecuado.

Promover la formulación de un Programa de Automatización Global (PAG) sobre la base de un Sistema de Gestión de Tecnologías de Información y Comunicación que según Silva (2001), el éxito del mismo depende de la claridad de la gerencia y del componente ético organizacional.

El PAG debe promover la adquisición de tecnologías de vanguardia, como las computadoras de bolsillo, interfaces inteligentes, y otros elementos que deben ser incorporados en la organización, y que pueden ser muy útiles como herramientas de apoyo en los procesos. Este programa deberá aprovechar al mismo tiempo, la actual disposición del empresariado a participar en actividades de vinculación, y en consecuencia crear condiciones apropiadas de motivación empresarial para asegurar mejores senderos de viabilidad externa al recurso humano y producción tecnológica.

Conclusiones

En definitiva, se puede afirmar que las tecnologías de la información y las comunicaciones pueden ser utilizadas de muchas formas y que en algunas de ellas, sobre todo en las de tipo social, los países en desarrollo pueden verse beneficiados por la generalización de estas tecnologías; sin embargo, de momento, en su utilización para actividades económicas los resultados no son tan favorables como se pretende indicar y existen muchas situaciones contraproducentes que deberían evitarse.En el caso específico de los países en vías de desarrollo, es necesario que antes de seguir fomentando el uso generalizado de las TISC e incentivar a la población para que se acostumbre a utilizarlas en el ámbito económico,Se cree la adecuada infraestructura técnica, legal y económica que permita utilizarlas para garantizar un verdadero desarrollo económico en estos países y que no se conviertan en un nuevo mecanismo de colonización económica.


Pu

eb

la -

Ma

y 1

3,

20

15


El derecho informático y la gestión de la seguridad de la información

El derecho informático y la gestión de la seguridad de la información

RESUMEN:Este artículo pretende informar sobre la existencia y diversas modalidades que incluye el Derecho informático y crear conciencia acerca de la posición que deben tomar los diversos actores económicos en la era de la información para asegurar una adecuada política de seguridad de la información que, ante la falta de una legislación nacional sobre el tema, debe basarse en los estándares internacionales, el derecho comparado y autonomía de la voluntad. La metodología empleada para explicar las diversas áreas de impacto es la seguida por la norma ISO 27001 y en referencia a la investigación de Arean Hernando Velasco Melo en el dominio que hace referencia al cumplimiento y que comprende: La protección de datos personales; la contratación de bienes informáticos y telemáticos; el derecho laboral y prestación de servicios, respecto de la regulación de aspectos tecnológicos; los servicios de comercio electrónico; la propiedad intelectual, y el tratamiento de los incidentes informáticos.

Palabras claves: Tics, información, seguridad, derecho informático.

ABSTRAC:This article seeks to provide information about the existence and various disciplines of Information Technology Law and to créate awareness about the position to be taken by the various economic players in the information age to ensure an adequate information security policy that, in the absence of a national regulation on the matter, has to be based on international standards, comparative law and the autonomy of will. The methodology employed to explain the various areas of impact is that of the ISO 27001 standard in its domain about Compliance which includes: The protection of personal data, the contracting of IT goods and computer data transmission; labor law and provision of services, regarding the regulation of technological aspects; electronic commerce services; intellectual property rights, and the treatment of IT incidents.

Key words: TIC’s, information, security, Information & Communications Technology Law.


Pu

eb

la -

Ma

y 1

3,

20

15


INTRODUCCIÓNEl impacto de las Tecnologías de la Información y las Comunicaciones –TIC– no es ajeno al Derecho, por el contrario, cada día los avances de la tecnología imponen mayores retos a los operadores jurídicos, a los cuales hay que responder desde la legislación nacional –si ésta existe –, la legislación internacional, el derecho comparado, la autonomía de la voluntad privada, las mejores prácticas existentes en la industria y las normas que permitan dar un tratamiento uniforme a problemáticas que experimentan las organizaciones, cualquiera que sea la latitud en que estén ubicadas.Para enfrentar de manera adecuada los retos que las TIC plantean al Derecho se requiere como punto de partida por el operador jurídico, la comprensión de los aspectos tecnológicos que, desde la informática, las telecomunicaciones y la convergencia, están presentes en el tráfico de bienes y servicios, así como en la e-economía, pues sin esta comprensión es difícil entender los problemas que giran en torno al desarrollo de software, integración de sistemas informáticos, diseño de hardware, voz IP, servicios y redes de telecomunicaciones, propiedad intelectual de intangibles digitalizados, bases de datos, servicios convergentes, entre otras problemáticas.Adicional a ello, se requiere el estudio de las relaciones entre las TIC y el Derecho. De esta reflexión ha hecho carrera la existencia de un área encargada de la regulación del fenómeno informático y telemático que ha sido denominada Derecho Informático, término adoptado por tratadistas como Emilio Suñe, Michel Vivant, Julio Núñez, Miguel Davara, entre otros.El desarrollo en nuestro país de normas jurídicas que respondan a los problemas que surgen del fenómeno de las Tics es mínimo. La Ley 527 de 1999 constituye uno de los pocos desarrollos importantes en este sentido. Esta situación genera un grado importante de inseguridad e incertidumbre no sólo para las organizaciones, sino para también los ciudadanos, en su condición de usuarios, consumidores y titulares de datos personales.La información se ha convertido no sólo en un activo valioso, sino también estratégico en las organizaciones. Las bondades de los sistemas de información, por ejemplo, al procesar información económica de las empresas permite predecir los riesgos financieros de las mismas, con una precisión tal, que podría incluso diagnosticarse, en términos de tiempo, la fecha en la que un ente empresarial puede estar en situación de insolvencia o iliquidez.La información puede ser protegida de muchas maneras. Desde el Derecho pudiera pensarse que se logra contar con un adecuado nivel de protección, con la encriptación, teniendo en cuenta que la mayor de las veces la compresión del tema tecnológico es poca; sin embargo, la encriptación es un mecanismo para otorgar a la información atributos de confidencialidad, integridad, autenticidad, y dependiendo del


Pu

eb

la -

Ma

y 1

3,

20

15


mecanismo de encriptación, podría reputarse el no repudio. En la protección de la información intervienen diferentes disciplinas, desde la informática, la gerencial, la logística, la matemática hasta la jurídica, entre muchas otras.El objetivo de este artículo es analizar cómo el Derecho participa en la gestión de la protección de la información, máxime cuando este tema es para las organizaciones uno de los que mayor preocupación genera para las áreas directivas. La participación del Derecho en la protección de la información no es un querer arbitrario de los operadores jurídicos, es el resultado de un estudio profundo y concienzudo del sector real de la economía, al punto que organizaciones como la OCDE ha formulado recomendaciones en este sentido, las cuales hoy día están consignadas en la ISO 27001.Así pues, el punto de partida de este estudio será acudir a los conceptos de Información y Seguridad, para lo cual se tendrá en cuenta las definiciones otorgadas por el Diccionario de la Real Academia de la Lengua Española, ello con el fin de partir de conceptos básicos.En este orden de ideas, se ha de entender como “información” la “Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada”.De otra parte, la “Seguridad” “Se aplica también a ciertos mecanismos que aseguran algún buen funcionamiento, precaviendo que este falle, se frustre o se violente”.De estas definiciones se puede concluir el valor que tiene la información como resultado de un conocimiento especializado en un área determinada, que a su vez requiere de ciertos mecanismos para garantizar su buen funcionamiento, en aras de protegerlo y asegurar su permanencia frente a los actos violentos que se pueden perpetrar contra la información.Anteriormente la seguridad de la información estaba entendida como la aplicación de un conjunto de medidas de orden físico y lógico a los sistemas de información, para evitar la pérdida de la misma, siendo ésta una tarea de responsabilidad exclusiva de los departamentos de informática de las organizaciones.Cambiar la perspectiva del problema de la seguridad de la información que pueden tener los responsables de ésta en las organizaciones no es una tarea fácil; para ello es importante acudir a criterios objetivos que demuestren la importancia que tiene el Derecho en esta problemática, y demostrar cómo el tema, por ejemplo, de los incidentes informáticos puede tener una vocación judicial, siempre y cuando las evidencias de los mismos hayan sido adecuadamente recabadas.Tratándose de proyectos informáticos o telemáticos, que la mayoría de las veces son desarrollados por terceros para una organización, es importante tener en cuenta que éstos no pueden ejecutarse al margen de las políticas generales de seguridad del ente empresarial. En la medida en que se trata de terceras personas que tienen acceso a las redes, sistemas informáticos, infraestructura e información


Pu

eb

la -

Ma

y 1

3,

20

15


estratégica de la compañía, se debe tener presente que estos terceros, al interactuar con la organización, deben asumir una serie de obligaciones, cargas y deberes, así como los riesgos y responsabilidades que conlleva el indebido tratamiento de la información para el titular de tales activos; sin esta concepción holística del tema, es frágil cualquier sistema de gestión de la seguridad de la información.

AntecedentesLa seguridad siempre ha sido una preocupación para el hombre, los deseos de proteger la información de una manera segura no es una preocupación exclusiva de esta era; por el contrario, a lo largo de la historia del hombre se han usado diversos mecanismos para alcanzar este cometido.La trascendencia de la seguridad de la información en las organizaciones públicas o privadas radica en que: (i) el volumen de información crece día a día; (ii) la información es un intangible con un valor bastante apreciable en la economía actual; (iii) la información es una ventaja estratégica en el mercado, que la convierte en algo atractivo para la competencia, como elemento generador de riqueza, (iv) la frecuencia de los ataques a los activos de una organización es cada vez mayor, cualquiera que sea el medio al que se acuda, y (v) no existe una cultura de seguridad en los usuarios de la información, lo que conduce a que las organizaciones empiecen a incorporar prácticas seguras de protección de la información, advirtiendo que este proceso habrá de impactar la cultura de la organización; aspecto que requiere de tiempo y compromiso, empezando por la dirección de la misma.El origen reciente de la seguridad la información, entendida como un proceso que se debe gestionar, nace en el Reino Unido, donde el Departamento de Industria y Comercio y las empresas del sector privado trabajaron de manera conjunta en esta problemática, lo cual dio origen a la norma BS7799 en el primer lustro de la década pasada; norma que no pretendía ser más que un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.A finales de la década pasada esta norma fue actualizada y complementada, lo cual dio como resultado una norma que establecía las recomendaciones para que una empresa evalúe y certificará su sistema de gestión de seguridad de la información. Esta nueva versión de la norma se convirtió en la norma ISO 17999 de diciembre de 2000, la cual estaba alineada con las directrices de la OCDE (Organización para la Cooperación y el Desarrollo Económico) en materia de privacidad, seguridad de la información y Criptología, hecho de gran trascendencia, pues le otorgaba un carácter global a la norma. En el 2002, la norma adquiere la denominación de ISO 27001, luego de una nueva actualización.


Pu

eb

la -

Ma

y 1

3,

20

15


ProblemaLa seguridad informática ha hecho tránsito de un esquema caracterizado por la implantación de herramientas de software, que neutralicen el acceso ilegal y los ataques a los sistemas de información, hacia un modelo de gestión de la seguridad de la información en el que prima lo dinámico sobre lo estacional.Para lograr niveles adecuados de seguridad se requiere el concurso e iteración de las disciplinas que tengan un impacto en el logro de este cometido, teniendo siempre presente que un sistema de gestión no garantiza la desaparición de los riesgos que se ciernen con mayor intensidad sobre la información.Entonces, el problema es determinar cómo desde una disciplina como el Derecho se contribuye a la gestión de la seguridad de la información.Los enfoques de intervención jurídica podrían ser muchos; de hecho no existe limitación alguna, para que una organización adopte las medidas que considere pertinentes con el fin de neutralizar un riesgo.Sin embargo, el Derecho Informático se convierte en un enfoque adecuado de intervención, teniendo en cuenta que los temas que plantea el profesor Suñe (2000, p. 15 y ss.) en sus estudios están subsumidos en la norma ISO 27001. Al respecto, advierte que son temas propios del Derecho Informático: a) Contratación Informática; b) Derecho a la intimidad y libertades; c). Flujo transnacional de datos; d). Propiedad Intelectual del software; y e) Otros temas del Derecho Informático (delitos penales, valor probatorio de los soportes informáticos, transmisión de datos).El Derecho Informático comprende entonces las múltiples iteraciones entre las TIC y el Derecho, de donde surgen aspectos propios como la contratación de intangibles digitalizados, la propiedad intelectual sobre ellos, el comercio electrónico, la protección de datos personales, el tratamiento jurídico de los incidentes informáticos, los aspectos tecnológicos que impactan las relaciones laborales y la prestación de servicios.El fenómeno de la convergencia introduce en este nuevo sector del derecho aspectos propios del derecho de las telecomunicaciones, como son la voz sobre IP, la Televisión sobre IP, los servicios de valor agregado y servicios telemáticos que empiezan a ser unificados con las TIC bajo en nombre de servicios convergentes.El desarrollo cada vez más acelerado de la tecnología, y el incremento de la penetración de Internet en la vida social, económica y cultural, además de los beneficios que reflejen para la sociedad, incrementarán los retos para los operadores jurídicos en materia de seguridad de la información y de regulación de estos fenómenos.La ISO 27001 es una herramienta de gestión estratégica que conduce a lograr la protección de la información, bien en un contexto en el cual la empresa pretenda alcanzar una certificación, o bien que sólo pretenda incorporar buenas prácticas de seguridad de la información,


Pu

eb

la -

Ma

y 1

3,

20

15


no sólo en sus procesos internos, sino también en sus procesos externos.

Aspectos jurídicosLa norma consagra un conjunto significativo de dominios que pretenden establecer un ciclo de seguridad lo más completo posible, advirtiendo que no todos ellos tienen impacto jurídico. Desde ya es importante mencionar que el enfoque que se propone se alimenta tanto de normatividad nacional como internacional, así como de otras fuentes del Derecho, en razón de la escasa legislación que existe.La norma ISO 27001, contempla diez dominios:1. Política de Seguridad de la Información2. Organización de la Seguridad de la Información3. Gestión de Activos4. Seguridad de Recursos Humanos5. Seguridad Física y del Entorno6. Gestión de Comunicaciones y Operaciones7. Control de Acceso8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información9. Gestión de Incidentes de la Seguridad de la Información10. CumplimientoEstos dominios están compuestos por un conjunto de subdominios y sus correspondientes controles, los cuales han de ser abordados adoptando un modelo PHVA (Planificar, Actuar, Verificar y Actuar).El enfoque basado en procesos para la gestión de la seguridad de la información, presentado en esta norma, estimula a los usuarios a hacer énfasis en la importancia de:a) Comprender los requisitos de seguridad de la información del negocio, y la necesidad de establecer la política y objetivos en relación con la seguridad de la información.b) Implementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización.c) El seguimiento y revisión del desempeño y eficacia del SGSI, y d) La mejora continua basada en la medición del objetivos. La comprensión de la finalidad y de los procesos involucrados en la aplicación de la norma ISO 27 001 es un requisito fundamental para la adecuada contribución desde el Derecho al Sistema de Gestión de Seguridad de la Información en una organización, tema que no puede obviar el operador jurídico que como consultor intervenga.Al respecto se identifican seis grandes temas desde la perspectiva jurídica: La protección de datos personales; la contratación de bienes informáticos y telemáticos; el derecho laboral y prestación de servicios, respecto de la regulación de aspectos tecnológicos; los servicios de comercio electrónico; la propiedad intelectual y el tratamiento de los incidentes informáticos.


Pu

eb

la -

Ma

y 1

3,

20

15


Para el éxito de las recomendaciones jurídicas en materia de seguridad de la información es clave que las mismas estén alineadas con la estrategia y política general que la organización adopte en esta materia.De los dominios consignados en la norma ISO 27001 se tendrán en cuenta para efectos de las relaciones entre el Derecho y las TIC los siguientes tópicos:

Política de seguridad de la InformaciónEl punto de partida para la gestión de la seguridad de la información dentro de una organización se encuentra en la política de seguridad que se formule; esta carta de navegación habrá de definir el marco tecnológico, gerencial, logístico y jurídico dentro del cual se administren los activos de información.En un medio en el cual la legislación aplicable a los problemas propios de las Tecnologías de la Información y las Comunicaciones es escasa cobra mayor importancia el contenido y desarrollo de la política que en esta materia formule una organización. Adicionalmente, la presencia de las compañías en diferentes sectores económicos implica el cumplimiento de una serie de disposiciones legales, lo que supone dificultades al deber armonizar estas disciplinas particulares con las novedosas tendencias del Derecho Informático.Desde esta perspectiva, la política de seguridad que formule una organización puede ser el punto de encuentro de todas las disposiciones legales y reglamentos a que pueda estar sometida una organización en desarrollo de su actividad económica en diferentes países.Cuando la ley no existe o se presentan vacíos en su alcance, corresponde a la política de seguridad servir de guía a la organización en el cumplimiento de sus obligaciones, deberes o cargas. Esta situación ofrece un espacio interesante de autorregulación, en la medida que la organización podrá incorporar las mejores prácticas o estándares en una determinada materia; situación, que por demás, facilitará el cumplimiento de la normatividad que deba acatar en diferentes países en los cuales tenga presencia, siempre que las mismas no sean contradictorias.Adoptar un estándar o una práctica foránea, que no esté normada en un país, implica un cumplimiento más allá de la ley, lo cual en nada perjudica a la organización, sino, por el contrario, puede generar un beneficio importante tanto para ella como para sus grupos de interés.El reto para los encargados de proteger la información en una organización es comprender que la política de la seguridad tiene la necesidad de considerar aspectos tecnológicos que impactan la ciencia jurídica, y viceversa; por tanto, de manera permanente habrá de revisarse y ajustarse en las guías o directrices que desarrollan la política de seguridad, la evolución del derecho predicable a los asuntos jurídicos y tecnológicos allí contemplados.


Pu

eb

la -

Ma

y 1

3,

20

15


La formulación de la política de seguridad en cada organización seguramente habrá de ser diferente, pues la misma debe ser formulado sobre la base de los múltiples riesgos que pesen sobre la información, así como sobre la clase de activos involucrados, y las personas que tengan acceso a la información; factores que no pueden ser dejados al margen de una adecuada gestión de seguridad de la información.

Protección de Datos PersonalesEste tema, de gran trascendencia para los seres humanos en la sociedad de la información, aún tiene poca relevancia en el medio latinoamericano, a pesar de constituir un derecho fundamental contenido en la mayoría de las constituciones políticas del mundo1. De forma lamentable en el continente americano, con excepción de Argentina, los países no cuentan con una ley que regule de manera integral el derecho fundamental a la intimidad y al habeas data, que permita garantizar las libertades públicas de los nacionales de cada país, y en esa medida ser vistos como lugares seguros para la transferencia y tratamiento internacional de datos.En este orden de ideas, para ilustrar la problemática de la intimidad y el habeas data ha de entenderse el concepto de dato de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”, los cuales pueden ser generales, como nombre, domicilio y documento de identidad; hasta información sensible como ideología política, estado de salud, tendencias sexuales, credo religioso, grupo étnico, entre otros.En la economía actual, los datos de carácter personal están sometidos a tratamientos o procedimientos técnicos que permitan recabarlos, modificarlos, bloquearlos, cancelarlos, cederlos o transferirlos a terceros, así como definir perfiles de distinta naturaleza según la información que se desee obtener, acudiendo para ello a programas de minería de datos, que terminan entregando información valiosa sobre los hábitos de consumo de un individuo.La ausencia de una norma como la europea antes mencionada, en un determinado país, conduce a que gran parte de las bases de datos en poder de entidades públicas como privadas sean explotadas de manera ilegítima, a partir del abuso, ignorancia o desconocimiento de los derechos que tienen los individuos sobre la información confiada.Lo anterior no pretende limitar el uso de las bases de datos, sino llamar la atención sobre la posibilidad de explotar la información dentro de unos parámetros legítimos, que atiendan los principios de consentimiento, finalidad, calidad, veracidad, conservación, entre otros, que caracterizan el tratamiento responsable de la información personal.Los deberes, cargas, obligaciones, riesgos y sanciones7 que puedan pesar sobre los titulares de las bases de datos personales no desaparecen por encargar a terceros el tratamiento de tales datos, por el contrario, pueden incrementar el valor de estas por no haber tomado


Pu

eb

la -

Ma

y 1

3,

20

15


las medidas adecuadas. Igualmente, los terceros a los cuales se encomiende el tratamiento de bases de datos con información personal son responsables por el uso ilegítimo que hagan de los mismos, y en consecuencia serán responsables de los perjuicios que irroguen a los individuos titulares de los datos personales.El no dotar a las bases de datos personales de la seguridad y medidas de protección adecuadas por parte de las organizaciones que las poseen, en primer lugar implica un desconocimiento de lo dispuesto en la norma ISO 27 001; segundo, la violación a un derecho constitucional, el cual puede ser garantizado a través de acciones de tutela, con el riesgo de indemnizar los perjuicios causados; tercero, es una limitante en el comercio internacional, pues los países europeos y algunos latinoamericanos impiden la transferencia internacional de datos con países o empresas que no garanticen un nivel adecuado de protección de datos, y por último, las sanciones que tienden a imponerse por violación a este derecho fundamental de la protección de datos personales y habeas data son muy cuantiosas en términos económicos.

Contratación de bienes informáticos y servicios telemáticosEl Derecho Privado tiene sus fuentes más importantes en los códigos civiles y en los códigos de comercio de cada país, normas que por su antigüedad obviamente no prevén la contratación de bienes informáticos y servicios telemáticos. La contratación típica está estructurada sobre una economía de bienes tangibles, los cuales no representan problemática desde la perspectiva de las tecnologías de la información y las comunicaciones.Las características propias de los proyectos informáticos conducen a regulaciones no contempladas por la legislación positiva, que encuentran su fuente de regulación en la autonomía de la voluntad privada; esta realidad ratifica la concepción atípica9 de los contratos sobre bienes intangibles susceptibles de digitalización.Por tanto, la regulación de estos contratos debe ser suplida por la voluntad de las partes, los principios generales de contratación, el derecho internacional y demás fuentes, de manera que cada uno de los aspectos de la relación jurídica a ejecutar entre las partes sea definido y consignado en el cuerpo del contrato y sus anexos respectivos, advirtiendo la importancia de regular de manera independiente las diferentes prestaciones jurídicas que puedan estar vinculadas al contrato principal.Ante esta realidad se aconseja que exista un proceso de comunicación clara entre las áreas involucradas en la contratación de intangibles digitales, en aras de que las inversiones en tecnología para la organización sean seguras. Los operadores jurídicos de la organización, responsables de la contratación de esta clase de bienes y servicios, han de tener en cuenta que la adquisición, desarrollo y


Pu

eb

la -

Ma

y 1

3,

20

15


mantenimiento de obras digitalizadas requieren de regulaciones apropiadas a la naturaleza incorpórea del objeto contratado,En este tópico de la seguridad de la información vale cuestionarse sobre lo siguiente: ¿Cómo verificar la estabilidad de la red? ¿Cuáles son los parámetros aceptables de acuerdo con la tecnología y la robustez de la misma? ¿Cuáles son los niveles de servicios pactados? ¿Son éstos suficientes acorde con la naturaleza del negocio? El protocolo de los equipos de comunicaciones ¿es suficiente para seguridad de la información que se trasmite, o se requiere adoptar medidas de seguridad adicionales? ¿Cuáles pueden ser los factores exógenos que disminuyan la eficiencia de las comunicaciones?Estos asuntos han de ser regulados en los contratos telemáticos, advirtiendo que la mayoría de ellos son de corte tecnológico, pero no por ello, se insiste, deben ser desatendidos en la relación contractual, salvo que dentro de la organización no exista preocupación por la seguridad de la información y por la gestión que la misma empresa o terceros le proporcionen.

Políticas Laborales y Prestación de Servicios por TercerosLas relaciones laborales son aspectos también comprendidos en el alcance de la norma ISO 27 001. En este sentido, existe un dominio específico –A.8. – denominado Seguridad de los Recursos Humanos, el cual establece un conjunto de controles que se deben tener representesantes, durante y después de la terminación de la contratación laboral Este componente involucra las relaciones de servicios con terceros, advirtiendo que las obligaciones aplican no sólo a las personas jurídicas o naturales con quienes se contrata, sino también a las relaciones laborales con sus empleados o relaciones de servicios con sus subcontratistas; ello con el fin de dotar de seguridad todo el ciclo de personas involucradas con los activos de información de una organización.Existen problemáticas nada pacíficas respecto del uso de herramientas de trabajo como el correo electrónico de la organización por parte de los empleados, en el sentido de establecer si la información allí contenida puede ser auditada por la empresa, o si tiene carácter personal, o cuál es el justo medio que pueda dar una respuesta justa a la problemática.La tecnología permite al administrador del sistema tener conocimiento sobre los sitios de la red que un usuario visita durante su jornada laboral o de servicios, puede establecer el tiempo que éste ha estado navegando un contenido determinado; entonces, se pregunta si esta vigilancia atenta contra los derechos de la persona ¿Se vulnera la intimidad del empleado? ¿El empleado está incumpliendo con sus obligaciones? ¿Esta es una justa causa para imponer la suspensión o la terminación de la relación? La respuesta está determinada en la definición de las políticas laborales y sus desarrollos que adopte una organización en relación con sus empleados o con los contratistas.


Pu

eb

la -

Ma

y 1

3,

20

15


El uso de las herramientas tecnológicas es un proceso cultural, en el sentido que las personas desconocen los riesgos que devienen de su uso. De hecho, las fallas de seguridad o la pérdida de la información, la mayoría de las veces obedecen al desconocimiento de los riesgos que conlleva el uso inadecuado de las mismas por parte de los mismos operadores de la organización.Es deber de la organización capacitar al personal sobre los riesgos inherentes al uso de las tecnologías de la información y las comunicaciones, dar a conocer la importancia que los activos de la información tienen, comunicar los riesgos que pesan sobre la información, las prácticas de ingeniería social de la que se aprovechan los hackers y crackers para atentar contra la seguridad de la organización; aspectos que exigen el trabajo en equipo entre los diferentes actores para consolidar un sistema eficaz de gestión de la seguridad de la información.Del análisis de riesgos que se hace como punto de partida de la aplicación de la norma ISO 27 001, corresponde al operador jurídico sugerir los tópicos que se deben tener presentes en los contratos laborales y en los contratos de prestación de servicios, en lo que se refiere al manejo, administración, uso, entrega y devolución de los activos de información a los que se otorga acceso, así como a las consecuencias derivadas de la perdida, hurto, alteración o modificación de la información entregada y confiada a estas personas.Las reflexiones expuestas constituyen sólo la punta de iceberg de muchos otros temas que desde la tecnología impactan las relaciones laborales o de prestación de servicios, los cuales han de ser identificados y regulados, con el fin de poder cumplir la finalidad que esta materia proponen los tres objetivos concebidos por la norma ISO 27 001.

Servicios de Comercio ElectrónicoPara efectos de la norma ISO 27 001, el comercio electrónico debe entenderse más allá del intercambio electrónico de bienes y servicios, sea éste directo o indirecto; ha de entenderse dentro de esta acepción la transmisión de información por vías electrónicas, sean éstas públicas como Internet o privadas como una Intranet, EDI, Swift, entre otras.La preocupación para las organizaciones, en términos de seguridad de la información, respecto de las transacciones que operan a través de canales electrónicos, es que éstas cuenten con los atributos de integridad, disponibilidad, confidencialidad, y no repudio, atributo, este último, que se logra con la implementación de herramientas como las firmas digitales de clave pública y privada, de carácter asimétrico.El crecimiento del comercio electrónico en Colombia no es representativo, situación que atiende a la escasa confianza del consumidor en los medios electrónicos a través de los cuales se surten


Pu

eb

la -

Ma

y 1

3,

20

15


las transacciones de bienes y servicios. Sumado a lo anterior, existe un desconocimiento en el consumidor sobre la existencia de protocolos seguros que permiten minimizar los riesgos al suministrar información, sea esta personal o económica.De otra parte, se requiere crear en el consumidor la confianza en este nuevo canal de negocios; para ello éste debe sentir las misma tranquilidad que percibe cuando adquiere bienes o servicios en el mundo real; sin embargo, los portales o sitios virtuales, incluso de grandes organizaciones, guardan silencio sobre información tan básica como puede ser la ubicación geográfica de la misma, sobre el responsable de atender las peticiones, quejas y reclamos de los consumidores, sobre los mecanismos o escenarios en los cuales se puedan ventilar las diferencias nacidas de la adquisición de bienes y servicios relacionadas con las garantías de estos, entre otros aspectos.Las mismas organizaciones proveedoras de bienes y servicios por vías electrónicas tienen la capacidad y los medios para autorregular su comportamiento económico. En este orden de ideas, en el portal de las organizaciones se puede: informar acerca de las condiciones generales de contratación, la responsabilidad que asume el proveedor, dar a conocer los derechos que tiene el consumidor, generar la factura electrónica correspondiente, establecer las condiciones para la materialización de las garantías, informar sobre En este sentido, se han adoptado sellos que generan confianza en el consumidor, los cuales son divulgados en los portales Web, de suerte que el consumidor al adquirir bienes y servicios sabe de antemano que cualquier disputa puede ser resuelta de manera ágil, oportuna y en forma vinculante para el proveedor.En Europa Continental los gremios han avanzado en la adopción de códigos de conducta empresarial, que buscan dotar de seguridad a las actividades de comercio electrónico, incorporando en algunos de ellos procedimientos de solución de controversias que delegan en terceros la decisión final, obligándose previamente las empresas titulares de los portales a someterse a las decisiones que se adopten por árbitros o amigables componedores.

Propiedad IntelectualEn la era industrial, los activos productivos de carácter tangibles pueden ser asegurados mediante pólizas, de suerte que en el evento de un siniestro el propietario puede afectar la póliza de seguros para recuperar su inversión; hoy día, en la era de la sociedad de la información, los activos productivos son intangibles, incorpóreos, entonces, ¿cómo protegerlos? Uno de los mecanismos que sirven para proteger este tipo de bienes es la propiedad intelectual.En materia de protección del software es importante tener en cuenta que algunas legislaciones, como la europea, establecen que también es objeto de protección la documentación preparatoria de los programas de


Pu

eb

la -

Ma

y 1

3,

20

15


ordenador, consideración que aclara uno de los aspectos que pueden ser fuente de controversia en el sector, máxime cuando existen incumplimientos o terminaciones anticipadas de los contratos informáticos.La protección de los bienes intangibles susceptibles de digitalización encuentra vacíos importantes en la regulación aplicable en términos de propiedad intelectual, pues la asimilación que las leyes hacen a obras literarias para efectos de protección plantea cuestionamientos importantes sobre su eficacia.En materia de seguridad de la información se requiere imprimir claridad a los contratos de desarrollo de aplicaciones informáticas en lo que respecta a la titularidad de los derechos de propiedad intelectual, los cuales en ocasiones son vagos, abstractos o no son formalizados.Ergo, la propiedad intelectual, en sus modalidades de Derechos de Autor y Propiedad Industrial, son temas transversales a la seguridad de la información corporativa, la cual exige de medidas que aseguren la protección de la misma.Una organización, además de velar por asegurar la titularidad de los derechos patrimoniales sobre las obras informáticas encargadas, debe preocuparse también porque sus sistemas de información tengan las licencias correspondientes; preocupación que debe extenderse a exigir que sus proveedores cuenten con las licencias de uso de los programas informáticos, que soportan la prestación de los servicios informáticos contratados.A pesar de que la norma ISO 27 001 hace referencia a derechos de propiedad intelectual, es importante tomar medidas de seguridad respecto de información que puede no estar cobijada por esta regulación, secretos empresariales de la organización.Las normas de propiedad intelectual establecen cuáles bienes son sujetos de protección, cuáles derechos asisten a sus titulares, la duración de la protección y demás aspectos inherentes a su seguridad jurídica.Ahora bien, además de las normas de propiedad intelectual es importante en el desarrollo de proyectos informáticos tener presente que la relación entre las partes debe atender los principios de buena fe y lealtad contractual, en el sentido que debe evitarse incurrir en prácticas que la ley considera como contrarias a la sana y leal competencia.En consecuencia, las normas sobre competencia desleal se convierten en herramientas de protección de la seguridad de la información de las organizaciones, complementando así la protección que deriva de las normas nacionales y comunitarias sobre propiedad intelectual.

Tratamiento Legal de los Incidentes InformáticosEl concepto de seguridad informática es de reciente data, y tal vez fue en los últimos 15 años en los que adquirió un nombre propio. El


Pu

eb

la -

Ma

y 1

3,

20

15


fenómeno de atacar las redes de comunicaciones se inicia en los albores del siglo XX, cuando piratas del mundo eléctrico/ electrónico empezaron a vulnerar los sistemas de terceros, tras la aparición de las líneas de comunicaciones telegráficas Una de las mayores preocupaciones de las organizaciones, y en particular de los responsables del área informática, es el tratamiento de los incidentes informáticos, es decir, de aquellas situaciones que atentan, vulneran o destruyen información valiosa de la organización, además del impacto psicológico y económico que puede generar en el mercado accionario o en los accionistas cuando se informa sobre intrusiones y pérdidas14 de información en un ente empresarial.Los delitos cometidos por este ex delincuente informático –quien hoy es un experto consultor en seguridad, después de purgar varios años de prisión– reflejan no sólo los tipos de conductas que configuran un incidente informático, sino también la posibilidad de que cualquier empresa sea víctima de un ataque a sus activos, sistemas o redes de información.En los asuntos de competencia del Derecho en materia de incidentes informáticos, descritos en el dominio A.13.2.3., se invita a que las organizaciones sean proactivas en la recolección de la evidencia de los mismos; en este sentido, el control establece que cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica acciones legales “la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para la evidencia establecidas en la jurisdicción competente”.Se puede decir que un “incidente de seguridad” consiste en una conducta criminal o no desarrollada por un individuo contra sistemas de información, redes de comunicaciones, activos de información, con el fin de alterar, copiar, simular, hurtar, destruir, indisponer, bloquear y/o sabotear éstos. Estos comportamientos pueden ser desplegados por intrusos informáticos, extorsionistas, terroristas, espías industriales, usuarios de los sistemas o de las redes, ex empleados y millones de adolescentes con conocimientos meridianos en ataques informáticos.Para el cumplimiento de la norma en materia de recolección de las pruebas de un incidente es importante tener en cuenta que tales actividades requieren del apoyo de la informática forense15. Ante la sospecha de la comisión de un incidente informático, el análisis forense permitirá capturar, procesar e investigar información procedente de sistemas informáticos, mediante la aplicación de una metodología que permita dar mismidad y autenticidad a la prueba a ser utilizada en una causa judicial.El problema de la recolección de incidentes informáticos radica en aplicar protocolos que permitan un tratamiento probatorio conforme a la ley, de manera que la prueba obtenida tenga la legalidad requerida para ser aceptada en una causa judicial, sea ésta de naturaleza penal, civil, administrativa o disciplinaria.


Pu

eb

la -

Ma

y 1

3,

20

15


En términos gráficos, el tratamiento que se debe realizar respecto de la comisión de un incidente informático demanda aplicar técnicas equivalentes a las practicadas para buscar la evidencia de un delito cometido en el mundo real.Ahora bien, un incidente informático puede o no tener carácter judicial, y una organización seguramente definirá por razones estratégicas hacer pública o no su condición de víctima de un ataque a sus activos de información. Así mismo, la definición de si un incidente informático tiene carácter judicial es determinada por la tipicidad legal de la conducta del infractor; para el efecto habrá de contrastarse la misma contra los tipos penales consagrados en la legislación de cada país.Los sistemas acusatorios permiten que los particulares puedan participar en la recolección de la evidencia de la comisión de determinados hechos potencialmente punibles, previo cumplimiento de los requisitos que exige la ley procesal. Esta facultad es fundamental en materia de oportunidad y pericia a la hora de recabar la evidencia de un incidente de naturaleza informática.Al respecto es importante conocer las medidas que en el marco del sistema acusatorio de cada país existan para que los mismos particulares, en este caso las organizaciones afectadas, puedan recabar las pruebas de los hechos punibles cometidos, teniendo en cuenta la cadena de custodia, entre otras herramientas, que asegure las características originales de los elementos físicos de la prueba del incidente, desde la protección de la escena, recolección, embalaje, transporte, análisis, almacenamiento, preservación, recuperación y disponibilidad final de éstos, identificando al responsable en cada una de sus etapas y los elementos que correspondan al caso investigado.En materia de gestión de la seguridad de la información, éste es quizás uno de los mayores retos que enfrenta una organización, en particular, por la facilidad y creciente tendencia a atentar contra los sistemas de información, así como el desconocimiento y la escasa formación en la recolección de la evidencia de los incidentes informáticos.

CONCLUSIONESEl siglo XXI, caracterizado por la sociedad de la información, implica que todas las organizaciones, sean éstas públicas o privadas, nacionales o transnacionales, cualquiera que sea el sector económico en que desarrollen su objeto social, están relacionadas con la tecnología informática, sea que adquieran o desarrollen activos de información; realidad que hace que la seguridad sea algo que demande su permanente atención.Las Tecnologías de la Información y las Comunicaciones reclaman del Derecho respuestas innovadoras y globales respecto de los retos que le son intrínsecos; por tanto, los operadores jurídicos deben estar


Pu

eb

la -

Ma

y 1

3,

20

15


capacitados y entrenados para apoyar a la sociedad en la solución de las problemáticas propias de la relación Informática-Derecho.El Derecho, como administrador de riesgos, se encarga de dotar de seguridad los diferentes activos de información de una organización; desde esa perspectiva se requiere una gestión jurídica permanente de los riesgos, amenazas y vulnerabilidades, como medio para adoptar las medidas y controles que disminuyan los mismos.Así como en la sociedad el Derecho es el agente regulador de la convivencia entre los seres humanos, la Norma ISO/NTC 27 001 imparte las reglas y parámetros para que las organizaciones reglamenten y autorregulen la gestión de sus activos de información de manera segura.

ReferenciasLibrosÁLVAREZ, G. y otros. Seguridad Informática para empresas y particulares. Madrid: McGraw-Hill.CALDER, A. (2006). Nueve claves para el Éxito. Una visión general de la implementación de la norma NTC-ISO/IEC 27001. Icontec.CALLE, S. (2002). El contrato informático sobre bienes inmateriales susceptibles de digitalización. Tesina de grado, Universidad Complutense de Madrid.JORDANO, J.B. (1953). Los contratos atípicos (p. 20). Madrid: Instituto Editorial Reus.SUÑE, E. (2000). Tratado de Derecho Informático. Introducción y Protección de datos personales (1ª ed., vol. I, p. 7). Editorial Universidad Complutense de Madrid.RevistasCANO, J. (2007). Inseguridad Informática y Computación Anti forense: Dos conceptos emergentes de la Seguridad de la Información. Information System Control Journal, vol. 4,OLLATILU, O. (2006). Identifity Theft and Corporations’ Due Diligence. Information Systems Control Journal, vol. 6.Leyes y normasDecisión 351 de 1993 CAN. Artículo 3Directiva 96/9/CELey Orgánica 15/1999 de Protección de Datos Personales. EspañaLey 256 de 1996Norma ISO 27 001SentenciasSentencia T-46 de 1997


Pu

eb

la -

Ma

y 1

3,

20

15


Mapa mental, Reformas estructurales de México vs Ing.

En Cs. De la Computación


legislación


[email protected]



Pu

eb

la -

Ma

y 1

3,

20

15



Pu

eb

la -

Ma

y 1

3,

20

15


Ensayo deontología informática y legislación


legislación


[email protected]




Pu

eb

la -

Ma

y 1

3,

20

15


RESUMEN:En este ensayo sintetizaremos lo que resulta ser la deontología informática así como las bases para apegarse lo más ético posible a lo que satisfaciendo el desarrollo personal, profesional y económico, rendirá una satisfacción a otra parte implicada, dentro de los márgenes de lo legal, asumiendo que lo legal en este caso implicara para un concepto y extracto de las normas Mexicanas a las cuales se harán referencias.

Palabras claves: Deontología, informática, legislación, derecho informático.

ABSTRAC:In this trial we synthesize what turns out to be the computer ethics and the basis to stick as closely as possible to what ethical satisfying the personal, professional and economic development, will yield a satisfying other party involved within the margins of legality, assuming it legal in this case involve a concept and to extract Mexican standards to which reference will be made.

Key words: Professional ethics, information technology, legislation, computer law.

INTRODUCCIÓNEn momentos en los que por necesidad, requiero y acudo a por algún medio a un profesional, espero que pueda establecer, un balance entre el insumo que me otorgara y la gratificación que obtendrá, del mismo modo espero que entregue la calidad y satisfacción que yo espero al margen de satisfacer mi necesidad.

Un profesional de la Informática o Computación, participa directamente en el desarrollo tecnológico de nuestra sociedad, ya sea como clientes, empleados, compañeros e incluso el profesionalismo mismo.

DESARROLLOCuando cualquier persona profesional, busca productos o servicios, esperara que aquel que los entrega, este no solo capacitado, si no dispuesto a otorgar servicios de calidad, entregando en el marco de lo legal, lo justamente indicado, para poder alcanzar un equilibrio en lo que respecta a su desempeño personal, profesional y económico, satisfaciendo las necesidades que el que requiere el producto o servicio.


Pu

eb

la -

Ma

y 1

3,

20

15


Con respecto a lo anterior, la sociedad establece una relación así como buenos comportamientos y relaciones de los colectivos de profesionales, esperando aporten bienes y servicios de calidad.

El área de la informática, lleva varios años desarrollándose, y ha ido creciendo desmesuradamente, sin que nadie regule su ejercicio, cosa que ha dificultado establecer y delimitar parámetros no técnicos ni científicos, si no éticos, ya que si bien pudiera ser en estos momentos una situación más complicada la ausencia de esas regulaciones, ha permitido el crecimiento de ciertas conductas o prácticas poco éticas, que a menudo causan mala fama por culpa de algunos profesionales poco éticos.

De lo anterior enmarcaremos que no es la finalidad de esta síntesis llegar a regular, o de definir con exactitud los marcos legales de la informática, si no hablar en un contexto general sobre ciernas normativas y comportamientos del profesional, así como lo establecido en lo ético1.Y esto es un tema que 1976 Walter Maner2 observó, desde la ética médica, cómo problemas éticos tradicionales se veían alterados significativamente con el uso de ordenadores y que el uso de ordenadores realmente generaba problemas éticos completamente nuevos que no hubieran existido si los ordenadores no se hubieran inventado, y es por eso que el creo un término denominado Computer ethics3.

Hacer prevalecer en todo momento el interés general por delante del particular.Antes de sumergirnos en lo deontológico, mencionaremos que realmente la ética en un carácter general, está orientadas a lo que es correcto y bueno, y no se encuentra recogida en normas o en códigos, y está relacionada con el pensamiento propio.

A diferencia de la ética, la deontología, es un conjunto de normas que indicas como debe de actuar un profesional, de un área determinada, y están aprobadas dichas normas por un colectivo de profesionales, y está ubicada entre lo moral y el derecho por lo cual se puede identificar con lo legal.

Y en este caso es importante señalar que todo esto va dirigido a ofrecer, un servicio o insumo de calidad, teniendo en cuenta el no depreciar los intereses mutuos, y sin dañar a los terceros.

Como diría Moor4, los ordenadores son “lógicamente maleables” pues pueden moldearse para realizar cualquier actividad que pueda caracterizarse en términos de entradas, salidas y operaciones lógicas,


Pu

eb

la -

Ma

y 1

3,

20

15


es por eso que el uso que se les da depende completamente, de la ética moral del profesional que genera insumos o servicios en los mismos.

Sociedad y normas básicasEn el caso de la informática, no existe un código normativo único, ya que pude variar por la situación geográfica incluso dentro de un mismo margen social. Por lo cual no se debe dejar atrás que todo profesional está comprometido a los siguientes elementos5:

1. Contribuir conjuntamente al bienestar de la sociedad y de la humanidad.2. Evitar el daño a otros.3. Honestidad y confiabilidad.4. Ser justo y actuar para no discriminar.5. Respetar los derechos de propiedad de patentes, y derechos de autor.6. Reconocer la propiedad intelectual.7. Respetar la intimidad de otros.8. Respetar la confidencialidad.

Evitar que para alcanzar el desarrollo personal o económico, atentar contra el desarrollo personal, o bienes y funciones de alguien más ya sea implícito, e incluso si atentase contra la normatividad sin que nadie pudiera verlo.Entregar a la sociedad y a la humanidad un producto de calidad que ayude al desarrollo mutuo, a lo cual se infiere el hecho de no causar daños colaterales a nadie.

ProfesiónUno de los factores más importantes, es el de querer llegar a una plena satisfacción y balance entre lo que es el desarrollo personal y económico, lo cual en resumen es hacer lo que uno disfruta haciendo, en el margen de lo justamente pagado por el insumo, producto o servicio ofrecido.Del mismo modo existe el compromiso del profesional de mantenerse actualizado tanto para poder seguir ofreciendo un producto de calidad como estar en el margen de lo correcto ante la ley para no caer en realizar actos indebidos por desconocimiento.Así como estar comprometidos, a formar parte en las decisiones de construcción, que como especialistas, se podrá desistir de seguir adelante si la integridad de algún tercero fuese comprometida en la construcción de un producto, y del mismo modo si se realizó un acuerdo, intentar respetarlo en tiempo y forma, que realizando esto, se mantendrá la confianza del solicitante hacia el profesional, y no se comprometerá el uso final que el solicitante planea para dicho servicio o producto.Por lo cual se proponen los siguientes lineamientos5:


Pu

eb

la -

Ma

y 1

3,

20

15


1. Alcanzar la mayor calidad, efectividad y dignidad en los procesos y productos del trabajo profesional.

2. Adquirir y mantener la capacitación profesional.3. Conocer y respetar las leyes existentes relacionadas con el trabajo

profesional.4. Aceptar y proporcionar la adecuada revisión profesional.

Los proyectosEn este caso, al hablar de proyectos y trabajo en conjunto, se tendrá que verificar los lineamientos que rigen a cada proyecto, ya sea por la temática legal como la moral del uso que se le dará como producto final.No solo validar que el producto final sea un elemento de calidad, si no que aporte un bien moral a la sociedad.Tomando en cuenta las aplicaciones potenciales de la tecnología informática parecen ilimitadas, pero la computadora representa en si en lo más próximo a la herramienta universal, se debe de potencializar el alcance que esto otorga al profesional del acceso a los datos personales.Por lo cual se proponen los siguientes lineamientos5:

1. Proporcionar evaluaciones completas y extensas de los sistemas informáticos y sus consecuencias, incluyendo el análisis de riesgos.

2. Respetar los contratos, acuerdos y las responsabilidades asignadas.3. Mejorar la comprensión por la sociedad de la informática y sus

consecuencias.4. Acceder a los recursos de comunicación e informática sólo cuando se

esté autorizado a hacerlo.

Tratamiento de la información y deber del secretoCon respecto a la información, que al ser una parte muy sensible para el profesional como el solicitante del producto y servicio, en este caso nos tocara hacer un análisis, del tratamiento de dicha información, tomando en cuenta que se nos confía directa o indirectamente datos sensibles, y patrimonio que no es de nuestra propiedad, por lo cual cuando el solicitante no advierta, que se utilizara su información, es responsabilidad del profesional indicarle, que se dará tratamiento a una parte de su información e indicar que parte se tratara así como los medios para resguardarla y mantenerla segura.También tenemos que contemplar que si el solicitante advirtió esta situación, y autorizo el uso de cierto sector de su información uno como profesional, tendrá que apegarse a dicha petición, analizando si es lo más correcto y si así no lo fuera indicarlo a la brevedad de lo posible, para no causar algún daño moral al solicitante.Los siguientes puntos los sugiero desde un ámbito generalizado para este tema.


Pu

eb

la -

Ma

y 1

3,

20

15


1. Advertir al responsable de la asociación sobre los riesgos que asumen.2. Almacenar registros confidenciales en portátiles plantea riesgos aún

mayores.3. Recomendar la utilización de comunicaciones seguras y encriptar los

datos. Control de acceso a los ordenadores.4. Puedes diseñar un sistema económico pero vulnerable.5. Puedes decidir no realizar el trabajo y posiblemente perder (tu

trabajo, el proyecto, etc.).6. Pero puedes convencer a la asociación de la importancia de las medidas

de seguridad.7. Llegar a un acuerdo sobre las medidas más importantes que se deben

tomar.8. ¿Qué medidas de seguridad son “suficientes”? encriptación, control de

acceso, monitorización de usuarios9. Debe protegerse la privacidad de los mensajes.

o Los mensajes no serán leídos por ninguna persona, sino que se procesarán automáticamente con un sistema de análisis de textos.

o Los usuarios estarán informados de este sistema.o Las palabras o frases relacionadas con anuncios, los usuarios que

accedieron a determinados anuncios, los anuncios mostrados a determinados usuarios.

10. Debe determinarse:11. Qué información es necesario almacenar, qué información estará

asociada a usuarios particulares, cuánto tiempo estará almacenada cómo se protegerá (de ataques, etc.).

12. Podría utilizarse esta información para garantizar un trato no discriminatorio a los clientes.

13. Podría utilizarse la información o el programa desarrollado para otros fines en los que la información demográfica sea relevante (análisis automático de riesgos, estudios médicos, etc.)

14.

Juicio

Nos referimos a un profesional, aquel que tiene tanto los conocimientos teóricos, la experiencia y la moral para poder otorgar una opinión de valor para solucionar diversas problemáticas, del mismo modo, tenemos que tener en cuenta, que el compromiso de otorgar un juicio es una responsabilidad muy grande, por las consecuencias de otorgar una opinión.De esta manera, acercarnos a lo que entregara un crecimiento profesional satisfactorio, y no a una limitante de no hacer por no comprometerse.

Dirección y Gestión

Y no solo, tomemos la responsabilidad del profesional técnico, sino que es un conjunto de un grupo de personas en las que el informático toma un papel muy importante desde luego, pero también el responsable


Pu

eb

la -

Ma

y 1

3,

20

15


de llevar la gestión de la operación y objetivos del grupo, tendrá no solo que ser responsable por la calidad de los insumos otorgados a los solicitantes, sino también a mantener un buen ambiente entre las partes, y comprender así como formar parte de la creación de un plan personal de crecimiento, para otorgar la realización profesional de su equipo, en el ámbito técnico y moral, para tener el balance que cada elemento requiere.Por lo cual se proponen los siguientes lineamientos5:

1. Articular las responsabilidades sociales de los miembros de una unidad organizativa y fomentar su aceptación.

2. Gestionar personal y recursos para diseñar y construir sistemas de información que mejoren la calidad, efectividad y dignidad de la vida laboral.

3. Reconocer y apoyar los usos adecuados y autorizados de los recursos informáticos y de comunicaciones de la organización.

4. Garantizar que los usuarios y aquellos que se verán afectados por el sistema informático han articulado claramente sus necesidades.

Cliente y EmpresarioEn esta parte trataremos un tema de lo justo, no intentaremos definir la justicia6 si no que en los términos de que como el cliente como el profesional, tendrán que entender que ambos necesitan llegar al balance entre satisfacción de mitigar una necesidad contra el crecimiento personal profesional y económico.

Es por eso que se deben establecer contratos, que no busquen favorecer solo a una parte o dañar a alguna otra.

1. Articular y apoyar las políticas que protegen la dignidad de los usuarios y de quienes se vean afectados por el sistema.

2. Crear condiciones para que los miembros de la organización aprendan los principios y limitaciones de los sistemas informáticos.

Relación entre profesionales y respeto los mismos

Del mismo modo ser un profesional implica trabajar con símiles para poder crear un producto, y nunca atentar contra un símil o un solicitante con el hecho de obtener un beneficio.

Hablaremos de lo que a otros les ha costado esfuerzo e investigación, como lo es la propiedad del software y propiedad intelectual. Es algo muy importante tomar en cuenta que el respeto a los derechos humanos y la propiedad implican el no caer en violaciones del copyright.


Pu

eb

la -

Ma

y 1

3,

20

15


Si llegase a darse una situación en la cual y por el compromiso que implica ser un profesional, será tener el compromiso de abordar los siguientes temas:

1. En primer lugar, hay que informar al responsable superior.2. Es posible que la dirección del centro desconozca este hecho.3. Supongamos que la dirección no toma ninguna medida.4. Los códigos éticos de IEEE y ACM indican claramente que la propiedad y

el copyright debe respetarse en cualquier

Delitos informáticos

El no cumplir con alguno de los elementos deontológicos mencionados, no solo caerá en un, tema antiético, si no en base al margen podría caer en temas legales, que tendrán consecuencias graves.

Por lo cual mencionare algunos de los delitos informáticos más precisos: Virus, Troyanos, Ataques o intrusión, DoS, Privacidad, Fallos en el control de la información (Personal), omisión de alguno de los anteriores.

CONCLUCIÓNPor lo aclarado anteriormente podemos inferir a que en esta profesión tan velozmente actualizada, se deberá estar en continuo acuerdo para, regular normas y otorgar un comportamiento tanto ético y deontológico.Así como garantizar que los productos o servicios que otorgamos son de calidad y no afectan la integridad o los bienes de nadie más, respetando los lineamientos de los derechos humanos.Siempre antes de poder concretar un contrato con algún solicitante, evaluar, el uso que se le dará al proyecto, o incluso el uso que podría darse, aunque así no fuese planteada la solución, ya que podríamos llegar al escenario de generar un servicio o producto que fuera social y moralmente correcto, cuando todos los usuarios que tuvieran alcance al mismo, fueran moralmente correctos, por lo cual al saber que nos encontramos en una sociedad con mucha diversidad de pensamiento, podría ser que el insumo por el alcance fuera incorrecto. Así como respetar la integridad y patrimonio de cualquier persona, ya sea solicitante, símil profesional, o algún tercero.Apegarse a las normas morales, realmente resultara fácil, para todo profesional que piensa en su crecimiento integro, que a lo largo del tiempo, abrirá puertas y generara un camino por el cual podrá dirigir los medio de los cual es responsable, por un camino ético.

ReferenciasCitas1 Diccionario R.A.E., (2a edición): Parte de la filosofía que trata de la moral y de las obligaciones del hombre. adj. Recto, conforme a la moral. Conjunto de normas morales que rigen la conducta humana. Ética profesional.


Pu

eb

la -

Ma

y 1

3,

20

15


2 Norbert Wiener (creador del término cibernética) fue el primero en estudiar la ética informática entre 1948 y 1963.3 Área de estudio que examina “los problemas éticos agravados, transformados o creados por la tecnología informática”.5 Jesús Correas Fernández, Introducción a la ética e informática (p. 15).6 Justicia: Principio moral que inclina a obrar y juzgar respetando la verdad y dando a cada uno lo que le corresponde, con el juicio de no dañar a nadie.LibrosÁLVAREZ, G. y otros. Seguridad Informática para empresas y particulares. Madrid: McGraw-Hill.CALDER, A. (2006). Nueve claves para el Éxito. Una visión general de la implementación de la norma NTC-ISO/IEC 27001. Icontec.CALLE, S. (2002). El contrato informático sobre bienes inmateriales susceptibles de digitalización. Tesina de grado, Universidad Complutense de Madrid.JORDANO, J.B. (1953). Los contratos atípicos (p. 20). Madrid: Instituto Editorial Reus.SUÑE, E. (2000). Tratado de Derecho Informático. Introducción y Protección de datos personales (1ª ed., vol. I, p. 7). Editorial Universidad Complutense de Madrid.Sara Baase “A Gift of Fire. Social, Legal and Ethical Issues, for Computing and the Internet”. 3rd Edition. Pearson Education.James H. Moor “What is Computer Ethics?”, en Metaphilosophy, vol. 16, issue 4. Octubre, 1985.LinksStanford Encyclopedia of Philosophy. Computer and Information Ethics. ( http://plato.stanford.edu/entries/ethics-computer/ )Metafilosofia ( http://www.sc.ehu.es/jiwdocoj/codeacm.htm )RevistasCANO, J. (2007). Inseguridad Informática y Computación Anti forense: Dos conceptos emergentes de la Seguridad de la Información. Information System Control Journal, vol. 4,OLLATILU, O. (2006). Identifity Theft and Corporations’ Due Diligence. Information Systems Control Journal, vol. 6.Leyes y normasCódigo ético de ACM.http://www.acm.org/about/code-of-ethics.Norma ISO 27 001SentenciasSentencia T-46 de 1997


deontología informática y legislación evidencias

Documents