Año 3 - N° 10 | Octubre 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Las Leyes
 
 
 
“La Seguridad es una práctica que debe ser responsabilidad de todos”
Entrevista a Arean Hernando Velasco Melo
Velasco, Calle & D'Alleman. Abogados | Asociado a I-SEC Legal Colombia



¿Cuál es su visión sobre el estado actual de la Seguridad de la Información en Colombia?

Las grandes organizaciones en Colombia empiezan a ser conscientes del tránsito de la seguridad informática a la seguridad de la información. Ello implica que el problema de seguridad deja de ser una responsabilidad exclusiva del área de sistemas o de tecnologías para convertirse en un tema estratégico de suma importancia que involucra a los directivos y desde allí, se extiende tanto a los usuarios internos como a los externos.

La norma ISO 27001 y las buenas prácticas en ella incorporadas empiezan a ser un referente para definir la gestión de la seguridad de la información; no obstante ello, es tímida la vocación a trabajar esta problemática con un equipo interdisciplinario, en particular a comprender que el reto de la seguridad trasciende la esfera misma de la tecnología e involucra disciplinas como el Derecho mismo, cuya función es contribuir a disminuir y/o administrar los riesgos jurídicos que pesan sobre la información.

¿Qué recomendaciones o consejos les daría a los usuarios?

El punto de partida tanto para usuarios internos como externos de una organización o de la tecnología en sí misma, es entender que la seguridad es una práctica que debe ser responsabilidad de todos.

En este orden de ideas, se requiere trabajar en una cultura orientada hacia la seguridad de la información, que haga consciente a cada individuo de los riesgos implícitos en el uso de las tecnologías de la información y las comunicaciones.

A manera de ejemplo, se puede citar algunos de los riesgos que surgen al suministrar los datos personales a terceros que no informan ni garantizan los usos legítimos que se deben dar a los mismos, en desarrollo de garantías universales como el derecho a la intimidad, al hábeas data y a la autodeterminación informática; asimismo, es creciente el número de transacciones bancarias que se realizan por Internet sin tomar las precauciones necesarias para evitar que los datos sean capturados por delincuentes que posteriormente defraudan a los ciudadanos.

En esta línea de pensamiento, obsérvese como aumentan periódicamente los casos de fraudes bancarios, siendo el perjudicado la mayor de las veces el usuario del sistema financiero. Entonces surge la pregunta ante esta realidad y atendiendo las importantes ganancias del sistema bancario: ¿por qué no mudan los bancos el débil sistema de login y password en las transacciones en Internet y en cajeros electrónicos a sistemas más robustos como los biométricos o los soportados en firma digital de clave asimétrica?

Es aquí donde la cultura de los ciudadanos de esta era digital, y la unión de estos, como grupo de interés de las organizaciones, contribuye a que las prácticas tendientes a proteger la información sean reales por parte de quienes custodian o tratan información de cualquier naturaleza, incluido el Estado mismo.

¿Qué tan inseguro es Internet? ¿Cómo se hace para no caer en la paranoia?

El mundo es una realidad de opuestos, por tanto existe la seguridad y por supuesto la inseguridad, e Internet no es ajeno a este contexto. La seguridad de Internet en una parte está determinada por la cultura de seguridad de los usuarios y la prudencia de éstos al hacer uso de esta tecnología.

Siendo la inseguridad y la incertidumbre constantes en la vida humana, debe propenderse por sus actores el establecer prácticas o mecanismos que doten de seguridad las transacciones que se realizan por la red.

Una discusión interesante surge alrededor del interrogante de por qué no crece el comercio electrónico en el medio Colombiano y Latinoamericano. Sin duda son muchas las causas, pero una puntual es la desconfianza del consumidor en este canal virtual de negocios, y esa desconfianza se ve acentuada por legislaciones pobres en los Derechos y garantías de los consumidores, así como en la aplicación tardía de las leyes existentes.

Esta coyuntura debe movilizar a los oferentes de bienes y servicios en la red hacia la autorregulación de sus prácticas, así como a establecer compromisos frente a los consumidores para que en caso de insatisfacción, quejas o devoluciones por mala calidad, defectos de fabricación y desistimiento del negocio jurídico de acuerdo con la ley, tales garantías puedan cumplirse de manera ágil, oportuna y real. Una buena práctica es propender por mecanismo extrajudiciales de resolución de disputas, que además de responder a las reclamaciones de los consumidores, regulen también la problemática de la jurisdicción y legislación aplicable a las diferencias surtidas en Internet.

Una muestra interesante de autorregulación y de generación de confianza en las transacciones es Internet es la marca AENOR para buenas prácticas en el comercio electrónico en España.

¿Es una utopía un “mundo” sin hackers y sin ciberdelitos?

Sin duda es una utopía pensar en un mundo sin hackers, sin crakers y sin ciberdelitos. La razón es sencilla: la virtualidad es un espacio de interacción humana tan real como el mundo físico.

El problema radica en que el ciberespacio sigue siendo un mundo desconocido, para el cual aún no esta preparada la mayoría de la población, lo que genera que la ignorancia digital sea aprovechada para la comisión de ilícitos.

¿Cree que existe en “vacío legal” en Latinoamérica sobre Delitos Informáticos?

Existen dos tendencias al respecto de la legalización, una que considera que los delitos tipificados actualmente son aplicables a los ciberdelitos, entendiendo que la tecnología no es más que un medio de comisión de los mismos, así entonces, un fraude logrado por medios electrónicos en una cuenta bancaria no es más que un hurto; y otra corriente, que considera la necesidad de tipificar nuevas conductas como delitos, bajo el entendido de que las actuales formas penales no permiten tipificar como delitos comportamientos que sin duda configuran hechos de debe ser catalogados como infracciones penales.

En mi sentir, hay que encontrar un punto medio entre las dos tendencias existentes, entendiendo que sin duda se requiere interpretar y actualizar algunos tipos penales a la era digital, así como crear nuevos tipos que permitan tipificar conductas que hoy día no pueden ser sancionadas por el Estado como consecuencia de su no tipificación en la ley.

¿Qué es lo que está faltando a nivel legislación?

Más que a nivel de legislación, pienso que a nivel de sistema judicial y de operadores jurídicos hace falta comprensión de los incidentes informáticos que tienen vocación penal. Una vez que se tenga una comprensión más amplia de los ciberdelitos podrá legislarse de forma que existan mejores herramientas para contrarrestar los delitos informáticos. Es importante, como mencionada, que los operadores jurídicos que actúan en materia penal, como jueces, fiscales, investigadores y abogados tengan una comprensión de cómo opera la tecnología, pues para abordar esta problemática no basta el Derecho únicamente.

Las estadísticas muestran cada vez con más fuerza un elevado índice de ataques internos. ¿Qué políticas se pueden implementar para paliar esta tendencia?

Es una realidad que la mayoría de ataques a los sistemas de información y a las redes de comunicaciones tienen un origen interno, o han sido producto de prácticas de ingeniería social que particularmente tienen como foco los usuarios internos de una organización.

Considero que la adopción de un sistema de gestión de seguridad de la información, como lo propone la norma ISO 27001, contribuye de manera importante a reducir los riesgos sobre los activos de información de un ente empresarial.

La experiencia en implantación de ISO 27001, en lo referente al componente de cumplimiento que impacta muchos de los dominios de este estándar, determina la necesidad de que exista una política referida exclusivamente al tema de seguridad de la información, desde la cual se tracen los objetivos, acciones, actividades y controles que permitan en una organización disminuir y administrar los riesgos que pesan sobre sus activos de información, previo el correspondiente análisis de riesgos. Existe un gran debate en torno a la privacidad del correo electrónico.

¿Considera correcto que un directivo lea los e-mails de sus empleados?

El punto de partida a la respuesta al interrogante planteado está en el derecho a la intimidad de que gozan todas las personas, el cual consiste en la garantía a mantener una esfera privada en su vida, la cual es protegida en la mayoría de constituciones políticas del mundo. Con base en este postulado se desarrolla un delito que castiga el acceso a la correspondencia de los individuos.

Por tanto, la organización que acceda de manera ilegal e irregular al email de los empleados incurre, en primer lugar, en la violación del postulado constitucional del Derecho a la Intimidad, y en segundo lugar, incurre en un delito, toda vez que el email por sus características y finalidades, tiene como equivalente en el mundo físico la correspondencia.

Algunas organizaciones han considerado que por tratarse de herramientas suministradas por ellas a los empleados, tratándose de la cuenta de correo electrónico institucional, para la ejecución de sus labores, tal condición las habilita para acceder sin autorización a correo electrónico de éstos. Esta creencia es absolutamente errada, al punto que vía derechos de tutela o amparo, los jueces han sentenciado y ratificado la prevalencia del derecho a la intimidad.

No obstante lo anterior, la intimidad encuentra como contrapeso el derecho, también constitucional a la información. Con base en esta confrontación de derechos constitucionales, habrá en cada caso en particular, con base en el principio de proporcionalidad, evaluar bajo qué circunstancias podría accederse al correo electrónico de los empleados, pues debe entenderse, que bajo ninguna circunstancia, puede ser el correo electrónico una patente de corzo para vulnerar derecho de terceros, cometer ilícitos, hurtar información, transmitir información privilegiada, atacar sistemas informáticos, etc.

En conclusión, creo que los empleadores tienen el derecho a regular el uso de las herramientas que suministran a los empleados para que estos desempeñen sus funciones, en este caso, el correo electrónico; advirtiendo que tal regulación debe hacerse atendiendo los derechos y garantías de que gozan los ciudadanos, pues tal condición no se pierde al ingresar al lugar de trabajo.

Es la política de seguridad de la información, así como el sistema mismo de gestión de tal activo, un mecanismo para que las organizaciones den respuesta a los cuestionamientos que emanan de este debate.

Si bien Internet ofrece grandes beneficios para los usuarios, ¿qué es lo peor que trae aparejado su uso?

El mayor riesgo derivado del uso de Internet es la perdida de la intimidad que experimentan hoy día los individuos. Este riesgo es menor en países que gozan de legislaciones adecuadas que protegen los datos personales de sus ciudadanos, siendo la Unión Europea, el referente más importante en esta materia, y en el caso latinoamericano, Argentina, país que cuenta con una norma bastante idéntica a la directiva 95/46/CE.

Internet y los sistemas de información cuya funcionalidad es la minería de datos, conducen a establecer perfiles de comportamiento y consumo de los ciudadanos, que permiten acceder a esferas privadas del individuo, como sus más íntimos hábitos, los cuales son comercializados de manera indiscriminada, sin el menor respeto, y peor aún, sin el conocimiento de los mismos individuos, quienes ignoran las potencialidades de tales herramientas informáticas. Esta información, en sentencias de la corte constitucional colombiana, ha sido considerada como datos sensibles del individuo, respecto de los cuales debe predicarse una mayor protección y respecto.

Estos riesgos se materializan por (i) la ausencia de legislaciones de protejan, The rigth to be let alone, en palabras Warren y Brandeis, (ii) porque los ciudadanos no desconocen lo que se hacen con sus datos personales, y (iii) porque los ciudadanos desconocen los derechos que tienen sobre sus datos personales.

¿Cómo se imagina la situación de los delitos informáticos dentro de 10 años?

En ese plazo habrá una mayor sofisticación en la forma como se cometen tales delitos, toda vez que los ciber-delincuentes tendrán grados de educación y destreza cada vez más superiores. Pero de otra parte, la sociedad tendrá un mejor entendimiento sobre la forma como operan los delincuentes; asimismo, existirán herramientas más robustas que hagan más difícil la comisión de los delitos.

Para neutralizar los delitos del futuro se requiere que las organizaciones y los operadores jurídicos como jueces, fiscales, investigadores forenses y abogados, se empiecen a formar y a preparar en el análisis y captura de la evidencia digital de los ataques a los sistemas de información y redes de comunicaciones, pues de otra forma será imposible luchar contra la ciber-delincuencia.


  
Arean Hernando Velasco Melo
Abogado de la Universidad del Norte de Barranquilla (Colombia).
Master en Informática y Derecho de la Universidad Complutense de Madrid (España). Especialista en Regulación de Telecomunicaciones de la Universidad Externado de Colombia. Estudios de Negociación Avanzada en Harvard Law School. Consultor en Derecho de Tecnologías de la Información y las Comunicaciones, y en Seguridad de la Información. Socio de la firma Velasco, Calle & D´Alleman. Abogados.
Para mayor información:
www.iustic.net
avelasco@iustic.net

 

 

Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales