El derecho informático y la gestión de la seguridad de la información una perspectiva con base en la norma ISO 27 001
| Autor | Arean Hernando Velasco Melo |
| Cargo | Abogado de la Universidad del Norte de Barranquilla |
| Páginas | 335-366 |
Arean Hernando Velasco Melo: Abogado de la Universidad del Norte de Barranquilla. Magíster en Informática y Derecho de la Universidad Complutense de Madrid (España). Especialista en Regulación y Gestión de las Telecomunicaciones de la Universidad Externado de Colombia. Estudios de Negociación Avanzada en Harvard Law School. Estudios de Propiedad Intelectual en la OMPI. Asesor y consultor en temas de Derecho de Tecnologías de la Información y las Comunicaciones y en Seguridad de la Información. Miembro de la firma Velasco, Calle & D´Alleman. Abogados. www.iustic.net
Page 335
El impacto de las Tecnologías de la Información y las Comunicaciones -TIC- no es ajeno al Derecho, por el contrario, cada día los avances de la tecnología imponen mayores retos a los operadores jurídicos, a los cuales hay que responder desde la legislación nacional -si ésta existe -, la legislación internacional, el derecho comparado, la autonomía de la voluntad privada, las mejores prácticas existentes en la industria y las normas que permitan dar un tratamiento uniforme a problemáticas que experimentan las organizaciones, cualquiera que sea la latitud en que estén ubicadas.
Para enfrentar de manera adecuada los retos que las TIC plantean al Derecho se requiere como punto de partida por el operador jurídico, la comprensión de los aspectos tecnológicos que, desde la informática, las telecomunicaciones y la convergencia, están presentes en el tráfico de bienes y servicios, así como en la e-conomía, pues sin esta comprensión es difícil entender los problemas que giran en torno al desarrollo de software, integración de sistemas informáticos, diseño de hardware, voz IP, servicios y redes de telecomunicaciones, propiedad intelectual de intangibles digitalizables, bases de datos, servicios convergentes, entre otras problemáticas.
Adicional a ello, se requiere el estudio de las relaciones entre las TIC y el Derecho. De esta reflexión ha hecho carrera la existencia de un área encargada de la regulación del fenómeno informático y telemático que ha sido denominada Derecho Informático, término adoptado por tratadistas como Emilio Suñe, Michel Vivant, Julio Núñez, Miguel Davara, entre otros.
Al respecto afirma el profesor Suñe (2000):
El Derecho de la informática, por seguir aportando razones singulares que avalan su autonomía, tiene mucho de Derecho Global, al tratarse de un Derecho muy internacionalizado, probablemente por el tipo de comunidades humanas que están en su base. La regulación jurídica de Internet, por ejemplo, plantea problemas globales, que requieren soluciones globales. Las grandes multinacionales del sector teleinformático, que lo dominan casi todo por completo, no pueden -ni quieren- adap-Page 336tarse a regulaciones estatales injustificadamente diversas y dispersas, cuando el mercado no es nacional, sino global (p. 7).
El desarrollo en nuestro país de normas jurídicas que respondan a los problemas que surgen del fenómeno de las TIC´s es mínimo. La Ley 527 de 1999 constituye uno de los pocos desarrollos importantes en este sentido. Esta situación genera un grado importante de inseguridad e incertidumbre no sólo para las organizaciones, sino para también los ciudadanos, en su condición de usuarios, consumidores y titulares de datos personales.
La información se ha convertido no sólo en un activo valioso, sino también estratégico en las organizaciones. Las bondades de los sistemas de información, por ejemplo, al procesar información económica de las empresas permite predecir los riesgos financieros de las mismas, con una precisión tal, que podría incluso diagnosticarse, en términos de tiempo, la fecha en la que un ente empresarial puede estar en situación de insolvencia o iliquidez.
La información puede ser protegida de muchas maneras. Desde el Derecho pudiera pensarse que se logra contar con un adecuado nivel de protección, con la encriptación, teniendo en cuenta que la mayor de las veces la compresión del tema tecnológico es poca; sin embargo, la encriptación es un mecanismo para otorgar a la información atributos de confidencialidad, integridad, autenticidad, y dependiendo del mecanismo de encriptación, podría reputarse el no repudio. En la protección de la información intervienen diferentes disciplinas, desde la informática, la gerencial, la logística, la matemática hasta la jurídica, entre muchas otras.
El objetivo de este artículo es analizar cómo el Derecho participa en la gestión de la protección de la información, máxime cuando este tema es para las organizaciones uno de los que mayor preocupación genera para las áreas directivas. La participación del Derecho en la protección de la información no es un querer arbitrario de los operadores jurídicos, es el resultado de un estudio profundo y concienzudo del sector real de la economía, al punto que organizaciones como la OCDE han formulado Page 337 recomendaciones en este sentido, las cuales hoy día están consignadas en la ISO 27 001.
Así pues, el punto de partida de este estudio será acudir a los conceptos de Información y Seguridad, para lo cual se tendrá en cuenta las definiciones otorgadas por el Diccionario de la Real Academia de la Lengua Española, ello con el fin de partir de conceptos básicos.
En este orden de ideas, se ha de entender como "información" la "Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada" (Diccionario de la Real Academia de la Lengua Española, última edición).
De otra parte, la "Seguridad" "Se aplica también a ciertos mecanismos que aseguran algún buen funcionamiento, precaviendo que este falle, se frustre o se violente" (Diccionario de la Real Academia de la Lengua Española, última edición).
De estas definiciones se puede concluir el valor que tiene la información como resultado de un conocimiento especializado en un área determinada, que a su vez requiere de ciertos mecanismos para garantizar su buen funcionamiento, en aras de protegerlo y asegurar su permanencia frente a los actos violentos que se pueden perpetrar contra la información.
Anteriormente la seguridad de la información estaba entendida como la aplicación de un conjunto de medidas de orden físico y lógico a los sistemas de información, para evitar la pérdida de la misma, siendo ésta una tarea de responsabilidad exclusiva de los departamentos de informática de las organizaciones.
Cambiar la perspectiva del problema de la seguridad de la información que pueden tener los responsables de ésta en las organizaciones no es una tarea fácil; para ello es importante acudir a criterios objetivos que demuestren la importancia que tiene el Derecho en esta problemática, y demostrar cómo el tema, por ejemplo, de los incidentes informáticos puede tener una vocación judicial, siempre y cuando las evidencias de los mismos hayan sido adecuadamente recabadas.
Page 338
Hoy día, el Derecho es un invitado importante en la gestión de la información; en este sentido, es la herramienta ideal para aportar una serie de recomendaciones y controles jurídicos, en ocasiones matizados por la tecnología, para la gerencia adecuada de aquellos activos tangibles e intangibles que involucren información relevante y valiosa para una organización, sea esta pública o privada.
Tratándose de proyectos informáticos o telemáticos, que la mayoría de las veces son desarrollados por terceros para una organización, es importante tener en cuenta que éstos no pueden ejecutarse al margen de las políticas generales de seguridad del ente empresarial. En la medida en que se trata de terceras personas que tienen acceso a las redes, sistemas informáticos, infraestructura e información estratégica de la compañía, se debe tener presente que estos terceros, al interactuar con la organización, deben asumir una serie de obligaciones, cargas y deberes, así como los riesgos y responsabilidades que conlleva el indebido tratamiento de la información para el titular de tales activos; sin esta concepción holística del tema, es frágil cualquier sistema de gestión de la seguridad de la información.
La seguridad siempre ha sido una preocupación para el hombre, los deseos de proteger la información de una manera segura no es una preocupación exclusiva de esta era; por el contrario, a lo largo de la historia del hombre se han usado diversos mecanismos para alcanzar este cometido.
La trascendencia de la seguridad de la información en las organizaciones públicas o privadas radica en que: (i) el volumen de información crece día a día; (ii) la información es un intangible con un valor bastante apreciable en la economía actual; (iii) la información es una ventaja estratégica en el mercado, que la convierte en algo atractivo para la competencia, como elemento generador de riqueza, (iv) la frecuencia de los ataques a los activos de una organización es cada vez mayor, cualquiera que sea el medio al que se acuda, y (v) no existe una cultura de seguridad en los usuarios de la información, lo que conduce Page 339 a que las organizaciones empiecen a incorporar prácticas seguras de protección de la información, advirtiendo que este proceso habrá de impactar la cultura de la organización; aspecto que requiere de tiempo y compromiso, empezando por la dirección de la misma.
El origen reciente de la seguridad la información, entendida como un proceso que se debe gestionar, nace en el Reino Unido, donde el Departamento de Industria y Comercio y las empresas del sector...
Para continuar leyendo
Solicita tu prueba