Para esta primera publicación, quiero adentrarme en la base fundamental que estable y regula el comportamiento y de las personas y sus acciones en materia de seguridad informática, vale decir, las leyes que rigen el contexto de la seguridad de la información y de sus sistemas en nuestro país y por otra parte dejar planteados otros temas inherentes a la seguridad de la información y sus sistemas.

Como es bien sabido, la masificación de las TICs a traido consigo una serie de trastornos a la vida de las personas, la mayoría de ellas se traducen en grandes beneficios como ahorro de tiempo en trámites, además del gran provecho que la aparición de estas han significado para las organizaciones que ofrecen sus bienes y/o servicios mediante plataformas tecnológicas, lo que ha permitido entrar en el mundo globalizado y competitivo en el que hoy vivimos y que genera grandes posibilidades de negocios y de redes de relaciones entre personas y organizaciones.

Pero por otro lado, la cara menos amigable de las tecnologías dice relación con la proliferación de delitos relacionados a estas y por ende se hace necesario regular su uso. Es de esa manera que nace la necesidad de normar las conductas y del bien o mal hacer en materia de seguridad de la información y los sistemas de procesamiento de esta. Es por ello, que en Chile en junio de 1993, aparece la primera de las leyes relacionadas con dicho tema, la Ley N.° 19.223, que “Tipifica las figuras penales relativas a la informática" la que a base de solo cuatro artículos de ley que ilustran las figuras penales en materia de delitos informáticos(daño informático, espionaje informático, sabotaje informático, revelación y divulgación de datos).

En agosto de 1999 se publica la Ley N.° 19.628 que “Dicta pautas en materia del tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares”, que permite al titular de datos personales tener control sobre la información que le concierne, aun cuando ella sea tratada por terceros en alguna actividad económica o por el Estado.

En abril de año 2002 aparece la Ley N.° 19.799 sobre “Firma electrónica y documentos electrónicos”, que busca fundamentalmente incentivar al comercio electrónico a través del establecimiento de ciertos principios como la neutralidad tecnológica, la compatibilidad internacional y equivalencia del soporte electrónico al soporte en papel.

Por otra parte, en materia de nuevas tecnologías y propiedad intelectual, en noviembre de 2003 se realizaron modificaciones que buscaron, junto con adecuar nuestra normativa interna al TLC con EE.UU, reflejar los efectos que las TICs han producido en ese ámbito. En ese contexto, se modifica la Ley N.° 19.496 que “Establece normas sobre protección de los Consumidores”, a la que se le introdujo normas relativas al ámbito informático y su interrelación con los consumidores y usuarios, como por ejemplo, el derecho de retracto en la contratación electrónica, el "spam" y reglas especiales en materia de competencia.

Si bien es cierto, contamos con normativas (leyes) que rigen el comportamiento y las acciones de las personas e instituciones que interactúan con sistemas de información y sus componentes tecnológicos, y que penalizan las acciones dolosas o involuntarias que generen perjuicio a personas, su información personal, sistemas y/o plataformas informáticas, no es menos cierto que la globalización de mercados, la súper-interconexión de los usuarios y sistemas informáticos, además de la proliferación de nuevas plataformas móviles y las redes sociales, hacen cada vez mas intrincada la labor de la seguridad de la información. Por ende se hacen necesarias, por una parte, la constante revisión y actualización de nuestra legislación y por otro lado, logar la adopción de estándares de seguridad asociados al tratamiento de la información y los sistemas de procesamiento de esta.

Consecuente con lo anterior y con la finalidad de mitigar los posibles efectos de acciones de inescrupulosos (ataques, intrusiones, fraudes, etc.) o errores por parte de los usuarios, que vulneren la seguridad de la información y de los sistemas de procesamiento de esta, se hace fundamental tomar acciones que permitan mitigar estos riesgos latentes. Para ello, debemos propender hacia la implementación y sensibilización de las buenas prácticas o estándares, con lo que sin lugar a dudas mitigaremos en gran parte los riesgos de seguridad, tanto para los sistemas de procesamiento, la información contenida en estos y por ende para las personas.

Si bien es cierto una parte importante de la seguridad de la información está dada por el marco regulatorio asociado a esta, otra parte es la implementación de fronteras físicas y lógicas (infraestructura) que impidan por ejemplo  las intrusiones y, la tercera parte y probablemente la más importante, es la adopción de una metodología de trabajo probada que nos oriente hacia las buenas prácticas y que nos brinde un marco conceptual, de aplicación y control de nuestros sistemas en el amplio espectro.

Bueno amigos, espero que esta presentación sea de utilidad para conocer nuestro marco regulatorio en materia de seguridad informática y que además permita dejar abierta una puerta hacia nuevos temas como lo son infraestructura de seguridad, normativa y estándares y por qué no, tendencias tecnológicas, entre otros.

Autor: Miguel Ángel Ripoll Toro

Analista de Sistemas

Gestión, Soporte y Seguridad de las TICs.