Para esta
primera publicación, quiero adentrarme en la base fundamental que estable y
regula el comportamiento y de las personas y sus acciones en materia de
seguridad informática, vale decir, las leyes que rigen el contexto de la
seguridad de la información y de sus sistemas en nuestro país y por otra parte
dejar planteados otros temas inherentes a la seguridad de la información y sus
sistemas.
Como es bien
sabido, la masificación de las TICs a traido consigo una serie de trastornos a
la vida de las personas, la mayoría de ellas se traducen en grandes beneficios
como ahorro de tiempo en trámites, además del gran provecho que la aparición de
estas han significado para las organizaciones que ofrecen sus bienes y/o
servicios mediante plataformas tecnológicas, lo que ha permitido entrar en el
mundo globalizado y competitivo en el que hoy vivimos y que genera grandes
posibilidades de negocios y de redes de relaciones entre personas y
organizaciones.
Pero por otro
lado, la cara menos amigable de las tecnologías dice relación con la proliferación
de delitos relacionados a estas y por ende se hace necesario regular su uso. Es
de esa manera que nace la necesidad de normar las conductas y del bien o mal
hacer en materia de seguridad de la información y los sistemas de procesamiento
de esta. Es por ello, que en Chile en junio de 1993, aparece la primera de las
leyes relacionadas con dicho tema, la Ley N.° 19.223, que “Tipifica
las figuras penales relativas a la informática" la que a base de
solo cuatro artículos de ley que ilustran las figuras penales en materia de
delitos informáticos(daño informático, espionaje
informático, sabotaje informático, revelación y divulgación de datos).
En agosto de 1999 se publica la Ley N.° 19.628 que “Dicta
pautas en materia del tratamiento de los datos de carácter personal en
registros o bancos de datos por organismos públicos o por particulares”, que permite al titular de datos personales tener control sobre
la información que le concierne, aun cuando ella sea tratada por terceros en
alguna actividad económica o por el Estado.
En abril de año 2002 aparece la Ley N.° 19.799 sobre “Firma
electrónica y documentos electrónicos”, que busca fundamentalmente
incentivar al comercio electrónico a través del establecimiento de
ciertos principios como la neutralidad tecnológica, la compatibilidad
internacional y equivalencia del soporte electrónico al soporte en papel.
Por otra parte, en materia de nuevas tecnologías y propiedad
intelectual, en noviembre de 2003 se realizaron modificaciones que buscaron,
junto con adecuar nuestra normativa interna al TLC con EE.UU, reflejar los
efectos que las TICs han producido en ese ámbito. En ese contexto, se modifica
la Ley N.° 19.496 que “Establece
normas sobre protección de los Consumidores”, a la que se le introdujo
normas relativas al ámbito informático y su interrelación con los consumidores
y usuarios, como por ejemplo, el derecho de retracto en la contratación
electrónica, el "spam" y reglas especiales en materia de competencia.
Si bien es cierto, contamos con normativas (leyes) que rigen el
comportamiento y las acciones de las personas e instituciones que interactúan
con sistemas de información y sus componentes tecnológicos, y que penalizan las
acciones dolosas o involuntarias que generen perjuicio a personas, su
información personal, sistemas y/o plataformas informáticas, no es menos cierto
que la globalización de mercados, la súper-interconexión de los usuarios y
sistemas informáticos, además de la proliferación de nuevas plataformas móviles
y las redes sociales, hacen cada vez mas intrincada la labor de la seguridad de
la información. Por ende se hacen necesarias, por una parte, la constante
revisión y actualización de nuestra legislación y por otro lado, logar la
adopción de estándares de seguridad asociados al tratamiento de la información
y los sistemas de procesamiento de esta.
Consecuente con lo anterior y con la finalidad de mitigar los
posibles efectos de acciones de inescrupulosos (ataques, intrusiones,
fraudes, etc.) o errores por parte de los usuarios, que vulneren la
seguridad de la información y de los sistemas de procesamiento de esta, se hace
fundamental tomar acciones que permitan mitigar estos riesgos latentes. Para
ello, debemos propender hacia la implementación y sensibilización de las buenas
prácticas o estándares, con lo que sin lugar a dudas mitigaremos en gran parte
los riesgos de seguridad, tanto para los sistemas de procesamiento, la
información contenida en estos y por ende para las personas.
Si bien es cierto una parte importante de la seguridad de la
información está dada por el marco regulatorio asociado a esta, otra parte es la
implementación de fronteras físicas y lógicas (infraestructura) que impidan por
ejemplo las intrusiones y, la tercera parte y probablemente la más
importante, es la adopción de una metodología de trabajo probada que nos
oriente hacia las buenas prácticas y que nos brinde un marco conceptual, de
aplicación y control de nuestros sistemas en el amplio espectro.
Bueno amigos, espero que esta presentación sea de utilidad para
conocer nuestro marco regulatorio en materia de seguridad informática y que
además permita dejar abierta una puerta hacia nuevos temas como lo son
infraestructura de seguridad, normativa y estándares y por qué no, tendencias
tecnológicas, entre otros.
Autor: Miguel
Ángel Ripoll Toro
Analista de
Sistemas
Gestión, Soporte
y Seguridad de las TICs.
No hay comentarios:
Publicar un comentario