Por: Juan Francisco Rosario Gratereaux
Desde la aparición de los grandes sistemas aislados
hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas
derivados de la seguridad de la información han ido también cambiando,
evolucionando esto conlleva aumentar la sofisticación en el ataque y la
complejidad de la solución.
En República Dominicana contamos con la ley 53-07 de Delitos
y Crímenes de Alta Tecnología donde nos informa lo siguiente con relación a
nuestro presente tema "La integridad de los sistemas de información y
sus componentes, la información o los datos, que se almacenan o transmiten a
través de éstos, las transacciones y acuerdos comerciales o de cualquiera otra
índole que se llevan a cabo por su medio y la confidencialidad de éstos, son
todos bienes jurídicos protegidos."
Por igual la ley 53-07 en el artículo 6 Párrafo I nos informa
lo siguiente con relación a las penas - "Uso de Datos por Acceso
Ilícito. Cuando de dicho acceso ilícito resulte la supresión o la modificación
de datos contenidos en el sistema, o indebidamente se revelen o difundan datos
confidenciales contenidos en el sistema accesado, las penas se elevarán desde
un año a tres años de prisión y multa desde dos hasta cuatrocientas veces el
salario mínimo".
Por lo que vemos es algo sumamente delicado el concepto de
robos de informaciones por parte de las personas tanto morales como físicas, el
mundo de la tecnología ya paso de ser solo un mundo de ingeniero o técnicos del
área de la telecomunicaciones a abogados especialistas en materia de la
información y seguridad de alta tecnología.
La seguridad es un concepto asociado a la certeza, falta de
riesgo o contingencia. Podemos entender como seguridad un estado de cualquier
sistema o tipo de información (informático o no) que nos indica que ese sistema
o información está libre de peligro, daño o riesgo. Entendiéndose como peligro
o daño todo aquello que pueda afectar a su funcionamiento directo o a los
resultados que se obtienen.
La Seguridad de la Información tiene como fin la protección
de la información y de los sistemas de la información del acceso, uso,
divulgación, interrupción o destrucción no autorizada. Son medidas técnicas,
organizativas y legales que permiten a la organización asegurar la
confidencialidad, integridad y disponibilidad.
Hasta la aparición y difusión del uso de los sistemas
informáticos, toda la información de interés de una empresa, organización y
oficinas públicas se guardaba en papel y se almacenaba en grandes cantidades de
abultados archivadores. Datos de los clientes o proveedores de la organización,
o de los empleados quedaban registrados en un simple papel, con todos los
problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo
este volumen de información reduciendo el espacio ocupado, pero, sobre todo,
facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en
el procesado de dicha información y mejoras en la presentación de dicha
información.
Pero aparecen otros problemas ligados a esas facilidades. Si
es más fácil transportar la información también hay más posibilidades de que
desaparezca.
La seguridad informática consiste en la implantación de un
conjunto de medidas técnicas destinadas a preservar la confidencialidad, la
integridad y la disponibilidad de la información, pudiendo, además, abarcar
otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el
no repudio. En general, cualquier empresa privada y oficina pública de
cualquier ámbito de actuación requiere que cierta información no sea accedida
por diferentes motivos.
Por otra parte, determinadas empresas a menudo desarrollan
diseños que deben proteger de sus competidores. La sostenibilidad de la empresa
así como su posicionamiento en el mercado puede depender de forma directa de la
implementación de estos diseños y, por ese motivo, deben protegerlos mediante
mecanismos de control de acceso que aseguren la confidencialidad de esas
informaciones.
El último informe del estándar para la seguridad de la
información ISO/IEC 27001 por la International Organization for Standardization
(ISO) y por la comisión International Electrotechnical Commission (IEC) “La
tecnología debe buscar metodología para proteger la información de los usuarios
al hacer esto se logra evitar las duplicidades y robos de identidades, toda
empresa y oficina pública debe mantener un control en cuanto a las
informaciones confidenciales”.
Para la International Organization for Standardization (ISO)
define la seguridad de la siguiente manera "la seguridad consiste en
mantener el equilibrio adecuado". Con esta definición tan simple
entendemos que no tiene sentido conseguir la confidencialidad para un archivo
si es a costa de que ni tan siquiera el usuario administrador pueda acceder a
él, ya que se está negando la disponibilidad.
Debemos diseñar una política de seguridad en la que se
establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o
minimizar los efectos si se llegan a producir. El objetivo de la Política de Seguridad
de Información de una empresa de servicios es, por un lado, mostrar el
posicionamiento de la organización con relación a la seguridad, y por otro lado
servir de base para desarrollar los procedimientos concretos de seguridad.
En ambientes de empresas de servicios suele ser siempre
prioritaria la confidencialidad de la información frente a la disponibilidad.
Aunque alguien pueda acceder a ella o incluso pueda eliminarla no podrá conocer
su contenido y reponer dicha información será tan sencillo como recuperar una
copia de seguridad.
La importancia que tiene la seguridad de la información y el
poder que implica manejar información es un tema muy delicado que no está en el
conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor
importancia a su información que publican en la red y de qué forma lo hacen y
más aún, muchos no diferencian lo privado de lo público, no por que no quieran
o porque no saben cómo diferenciar una cosa de la otra, simplemente es por
ignorancia.
Las empresas deben ser más responsables con este tema de
la asignación de password por defecto a sus empleados, usuarios y clientes ya
que pueden poner en peligro toda la información que los usuarios o empleados
depositan en ellas.
Es necesario incrementar el diálogo de las empresas privadas
e instituciones públicas de consumidores con la Administración y parece
deseable que exista una especialización en materia de privacidad por parte de
algunas organizaciones de consumidores. Es necesario buscar una colaboración
activa entre usuarios, asociaciones, gestores de redes sociales y
Administraciones públicas, para identificar los principales problemas y buscar
su solución.
Conclusiones Internet presenta nuevos caminos: mercados,
posibilidades de socialización, relaciones nuevas y comercios bilaterales. Las
tecnologías de la información, han supuesto un avance decisivo para la sociedad
incluso para la criminología electrónica. El uso de la red y de todas sus
aplicaciones debe hacerse sobre el conocimiento, la información y la
responsabilidad.
Un buen asesoramiento y una completa formación son fundamentales para combatir la criminología electrónica. La seguridad es cosa de “todos” y empieza por “nosotros”.
Comentarios
Publicar un comentario