Aspectos Legales y ticos de la Seguridad Informtica

La seguridad informtica, no slo en Mxico sino a nivel mundial, es uno de los

temas que mayor auge comienza a tener en la actualidad, visto ya sea desde las
necesidades de promoverla as como de implementarla. Lo anterior atiende a
centrar esta disertacin en una premisa importante: la seguridad informtica no
implica en forma nica y especfica a Internet, la seguridad informtica se refiere a
todo lo que hace referencia a la preservacin, respeto y buen manejo de la
informacin. Para ello, es de vital importancia aclarar que el valor protegido, tanto
tangible como intangible, ser siempre la informacin. Sin embargo, el tema de
preservar, respetar y manipular en la forma ms correcta a la informacin, al da
de hoy no es un tema fcil de entender, dado que se tiene pensado en el mayor de
los casos, que la seguridad informtica es un tema que slo debe aplicarse a
casos especficos y no a un todo empresarial, Vg: a. la importancia de proteger
los archivos electrnicos de un alto ejecutivo en una empresa vs. la falta de
importancia de proteger los archivos electrnicos de la persona encargada de
llevar el registro de entrada y salida del personal. b. la constante actualizacin de
programas antivirus en las computadoras personales de los altos ejecutivos en
una empresa vs. la ausencia de un programa antivirus en las computadoras
personales de las secretarias de dichos ejecutivos. La autora del presente
artculo pertenece a la Lic. Ivonne Valeria Muoz Torres, por lo cual queda
prohibido realizar el uso de ste con nimo o inters de lucro o sin realizar la
respectiva peticin de autorizacin a la autora para su uso o difusin. Cualquier
uso no autorizado previamente por la autora constituir una violacin a lo
establecido por la Ley Federal del Derecho de Autor as como a otras normas de
derecho nacional e internacional vigentes. 2 Ambos ejemplos nos permiten
entender la forma en que es visto, en muchos de los casos, el cmo deben ser
implementados algunos de los controles en materia de seguridad de la
informacin, ahora veamos las consecuencias de pensar en esta forma: a. el
viernes 20 de febrero una descarga de alto voltaje recae en la empresa, como
consecuencia, el procesador y disco duro de la computadora personal del Director
de Recursos Humanos sufren daos y por ende pierde su informacin, sin
embargo la consecuencia no es grave dado que su informacin s tena
implementado un sistema de respaldo, permitindole as no comprometer la
integridad y disponibilidad de la misma. Por otra parte, como consecuencia de la
descarga, la computadora del encargado de mantener un registro electrnico del
control de entradas y salidas del personal as como de personas externas a la
empresa, tambin sufre daos y la informacin se pierde. qu suceder con el
control de asistencias del personal?, cmo determinar quin asisti que das y en
qu horario?, en caso de una investigacin por robo, en base a qu registro se
podr saber quin accedi a las instalaciones de la empresa?, quin ser el
responsable ante la ausencia de esta informacin: el encargado del control o el
encargado de sistemas? Ms importante an: a quin despedir por esta

negligencia? b. El lunes 04 de enero a las 9 h, un nuevo virus ataca a las

computadoras, en esa hora es cuando las secretarias de los altos ejecutivos de
una empresa estn revisando agendas y ajustando las actividades de la semana
laboral. Una de las computadoras de las secretarias es infectada por el nuevo
virus, obviamente sin tener conocimiento de que dicho hecho sucede dado que no
tiene instalado un antivirus. Al momento de intercambiar informacin con las
dems secretarias y con su propio jefe, ella infecta las computadoras de las otras
secretarias y afortunadamente la computadora de su jefe no es afectada. Las
consecuencias de ejecutar el virus son fatales dado que empieza a borrar la
informacin as como el acceso a ciertos programas en la computadora, 3
situacin que sucede en todas las computadoras de las secretarias de los altos
ejecutivos de la empresa. Consecuencia fatal: al inicio de una semana laboral, el
rea operativa ms importante de una empresa es detenida en sus actividades
an cuando la toma de decisiones permanece intacta, sin embargo cmo
pueden ejecutarse las decisiones si el rea operativa es inoperable? De los dos
ejemplos anteriores, mismos que reflejan consecuencias mnimas, (existen ms
graves, como el robo de informacin, fraudes, revelacin de secretos, difamacin,
etc.) surge la pregunta ms utilizada en el tema: quin es el responsable de que
sucedan estos hechos? Para abrir las opciones en esta respuesta, la abordare
desde dos puntos de vista: uno ser el de los aspectos ticos y el otro de los
aspectos legales, no sin antes mencionar que an cuando separare los puntos de
vista, se debe dejar claro que la tica y el derecho son dos temas que siempre van
unidos. Aspectos ticos Los medios y el fin, la premisa principal cuando de tica
se habla. El fin justifica los medios o los medios justifican el fin, ambas frases son
las que salen a relucir cuando estamos frente a un conflicto tico. Con la intencin
de no entrar en teoras filosficas, partamos de una definicin objetiva de lo que la
palabra tica significa de acuerdo a lo que la Real Academia Espaola indica: Parte de la filosofa que trata de la moral y de las obligaciones del hombre. Conjunto de normas morales que rigen la conducta humana. 1 1 Real Academia
Espaola. http://www.rae.es/ Fuente consultada: 10 de Marzo de 2005. 4 De ah
que cuando nos enfrentamos a un conflicto tico no es ms que cuando uno
mismo est en una situacin que compromete por una parte a su moral y por la
otra a sus obligaciones, es decir, el ser y el deber ser. Lo que siempre menciono
con respecto a este tema, es que indudablemente los valores ticos no son
universales, sera imposible asegurar que existe un manual nico que enliste
como debe ser la tica de todos los seres humanos, es por ello que ante las
preguntas: quin me dice s soy tico o no? y quin me ensea como ser
tico?, existe para la primer pregunta slo una respuesta: uno mismo; mientras
que para la segunda pregunta, la respuesta es que los valores ticos los vamos
aprendiendo de nuestro entorno (familia, trabajo y ncleo social) an as,
retornando al yo, es uno mismo quien construye su propia tica y por ende, la
aplica en forma distinta ante casos especficos. Para lo que respecta al tema de
seguridad informtica, el cmo ser tico es definido desde varios aspectos,

principalmente por los Cdigos de tica estipulados por Instituciones dedicadas al

tema de la Seguridad Informtica2 e incluso por Autoridades3 (no
gubernamentales, precisamente) dedicadas al tema de las Tecnologas de
Informacin. En el tema de Seguridad Informtica, el Consorcio para la
Certificacin Internacional de Seguridad en Sistemas de Informacin (ISC2
International Information Systems Security Certification Consortium) emite una de
las ms importantes certificaciones en el tema de Seguridad Informtica, conlleva
como requisito indispensable el compromiso y conocimiento del Cdigo de tica
establecido por el Consorcio4 . Dentro de los cnones a seguir, se indica lo
siguiente: - Proteger a la sociedad, a la comunidad y a la infraestructura - Actuar
en forma honorable, honesta, justa, responsable y legal 2 ISC2 International
Information Systems Security Certification Consortium https://www.isc2.org/ 3
Request for Comments Editor http://www.rfc-editor.org/ 4 Cdigo de tica de ISC2
https://www.isc2.org/cgi/content.cgi?category=12 5 - Proveer servicios diligentes y
competitivos a sus superiores - Actuar siempre protegiendo y promoviendo el
crecimiento de la profesin Con respecto a Autoridades no Gubernamentales que
establecen polticas y costumbres en materia de Tecnologas de Informacin, el
Request for Comments 1087: tica e Internet5 , generado desde enero de 1989
por DARPANET (Defense Advanced Research Projects Agency, Internet Activities
Board) define, a contrario sensu, lo que se entiende como un comportamiento no
tico en Internet de la siguiente forma: - Conseguir accesos no autorizados a los
recursos de Internet - Entorpecer el uso intencionalmente de Internet - Gasto de
recursos en forma innecesaria - Destruir la integridad de la informacin basada en
computadoras - Comprometer la privacidad de los usuarios Aspectos legales En lo
que respecta al mundo jurdico, es obvio que las personas en ningn momento se
encuentran sujetos a normas morales, la situacin requiere de un ambiente de
obligatoriedad especificada a travs de disposiciones y sanciones, es decir: las
normas jurdicas. La relacin entre la Seguridad Informtica y el Derecho, se cie
a las preocupaciones existentes en materia de implementacin, todas ellas en
torno de los siguientes cuestionamientos: a. qu pasa si mis programas de
cmputo no tienen una licencia de uso? b. cmo puedo hacer responsable al
personal de proteger la integridad de la informacin? 5 RFC 1087 http://www.rfceditor.org/cgibin/rfcdoctype.pl?loc=RFC&letsgo=1087&type=ftp&file_format=txt 6 c.
en qu forma puedo evitar que la informacin confidencial de la empresa no sea
revelada a terceros? d. cmo protejo mis secretos industriales? e. cmo
responsabilizo a mi personal cuando les entrego una computadora para que
trabajen con ella? f. Etctera La situacin a resolver con los aspectos legales
son slo dos: 1. Promover una cultura jurdica en materia de TI que en
consecuencia impacte en un robustecimiento de las normas jurdicas existentes al
da de hoy, y 2. Fortalecer la normatividad interna de las empresas con apego
siempre a derecho Seguridad de la Informacin vs Sociedad de la Informacin
informacin o datos? sociedad y seguridad? Hace no muchos aos que el
concepto information society empezaba a orse en el mundo de las TIC, en su

momento orientado a embanderar una lucha ideolgica y poltica con el fin de

incrementar la brecha digital y en consecuencia la brecha de conocimiento.
Actualmente es viable asegurar que en pases como el nuestro, la brecha digital
se ha visto enriquecida y ampliada, fortaleciendo as el concepto de Information
Society. En materia de seguridad, cmo ha afectado este avance? 7 A. La brecha
digital era angosta y por ende, el nmero de usuarios con acceso a datos era ms
controlable, reduciendo as un ndice de riesgos. B. La brecha digital es amplia, y
por ende, el nmero de usuarios con acceso a datos en menos controlable,
incrementando as un ndice de riesgos. El desajuste que conlleva esta evolucin,
se ve reflejado actualmente en los nuevos campos de estudio y reflexin
analizados por la Information Society, especficamente en la Cumbre Mundial de la
Sociedad de la Informacin (World Summit on the Information Society). Los
tpicos en materia de seguridad de la informacin, que se estn estudiando por
parte del Working Group On Internet Governance, incluidos en el Cluster 2 of
WGIG Key Issues relating to the use of the Internet y en el Cluster Three
Assessment Report, son los siguientes : Spam Cybersecurity, Cybercrime,
Security of network and information systems, Critical infrastructure protection
Applicable jurisdiction, Cross border coordination, Exemption for ISPs of third
party liabilities National policies & regulations Intelectual Property Rights Ecommerce Los puntos en comn con respecto a dichos temas y por obvias
razones, revisados con la lupa jurdica, son: la jurisdiccin, los sistemas legales de
cada 8 pas, la existencia y a su vez la inexistencia de legislacin y por supuesto la
parte de cultura del usuario, que obviamente forma parte de la Sociedad de la
Informacin. Nuestra participacin en este proceso de discusin, queda sujeta a
ver los resultados despus de la siguiente Cumbre a llevarse a cabo a finales del
presente ao, momento en el que las acciones independientes de cada gobierno
sern las de adecuarse y/o tomar las mejores prcticas de lo recomendado por los
grupos de trabajo que la conforman. O igual, a esperar a que sigan discutindose
estos temas en el corazn de los trabajos de la Cumbre y a su vez, promoviendo
la generacin de un marco jurdico robusto en nuestros pases. Conclusin El
derecho y la tica, en conjunto, son una herramienta que permite fortalecer la
implementacin de estrategias de seguridad informtica. En qu momento
interacta la tica? En el momento en que se determina que la seguridad
informtica es un tema que involucra a todos los miembros de una organizacin y
no slo a ciertos puestos especficos dentro de la misma. La tica se refleja en la
responsabilidad de considerarse parte de un proceso que tiene como fin nico el
preservar y conservar la integridad y buen manejo de la informacin frente al
mundo actual lleno de tecnologa y, por ende, de riesgos que comprometen a la
informacin. En qu momento interacta el derecho? En el momento en que son
implementados los procedimientos estipulados en la legislacin vigente, ya sea en
los procesos como en los marcos normativos internos de las empresas. 9 Saba
usted que el dao a la informacin (vista esta como un bien mueble) puede
ser causa de una rescisin laboral justificada -? la revelacin de un secreto

industrial es un delito? el hecho de no contar con licencias en sus programas de

cmputo puede afectarle con una multa equivalente a 5,000 das de SMGV6 o
hasta de 10,000 das de SMGV en Mxico? la firma electrnica avanzada le
permitir tener un ambiente legal seguro en sus transacciones realizadas a travs
de medios electrnicos? es visible como el concepto de Information Society no es
ajeno al de Information Security, en si, el segundo es parte intrnseca del primero
ya que todos al formar parte de la Information Society adquirimos no slo
privilegios, sino tambin obligaciones, muchas de ellas (sino es que todas) deben
estar encuadradas en un marco jurdico que convierta a el uso de las TICs en una
prctica segura, tal y como lo hacemos cuando salimos a convivir en una sociedad
tangible, misma que se encuentra regida por normas de conducta (tanto morales,
sociales como jurdicas) Piense ticamente y actu legalmente si lo que usted
realmente desea es dar soluciones de seguridad informtica a su empresa NO
se arrepentir. 6 SMGV Salario Mnimo General Vigente 10 Cul es el marco
jurdico que en materia de seguridad informtica existe en Mxico? A manera de
sntesis, en la siguiente tabla se resumen las normas jurdicas, entre otras, que en
Mxico permiten darle un soporte legal a la implementacin y seguimiento de
estrategias de Seguridad Informtica: - Delitos informticos - Comercio electrnico
- Proteccin de programas de cmputo - Responsabilidad de personal de TI Intercepcin de comunicaciones - Estndares de Seguridad Fsica y Lgica Firma electrnica - Confidencialidad de la informacin - Secretos industriales Cdigo Civil - Cdigo Federal de Procedimientos Civiles - Cdigo de Comercio Ley Federal de Proteccin al Consumidor - Reglamento de Prestadores de
Servicios de Certificacin - Reglas del Reglamento de Prestadores de Servicios de
Certificacin - NOM 151 SCFI 2002 - Cdigo Penal Federal - Cdigos penales
estatales (D.F., Sinaloa, otros) - Ley Federal del Derecho de Autor - Ley de
Seguridad Nacional - Ley Federal contra la Delincuencia Organizada - Ley Federal
del Trabajo - Ley Federal de Responsabilidades Administrativas de los Servidores
Pblicos - Acuerdo que establece las normas que determinan como obligatoria la
presentacin de las declaraciones de situacin patrimonial de los servidores
pblicos, a travs de medios de comunicacin electrnica. - Ley de Propiedad
Industrial - Ley Federal de Telecomunicaciones 11 - Ley Federal de Transparencia
y Acceso a la Informacin Pblica Gubernamental *La autora es Licenciada en
Derecho (UAM, 1999) titulndose con el trabajo: Reconocimiento y certificacin de
la firma electrnica ante Notario Pblico. Maestra en Comercio Electrnico
(ITESM, 2004) titulndose con la tesis: La importancia de la seguridad informtica
para el sano desarrollo del comercio electrnico en Mxico - Propuesta legal.
Desde agosto de 2002 es profesora del Diplomado en Seguridad Informtica en
los Campus: Ciudad de Mxico, Estado de Mxico, Hidalgo y Santa Fe, as como
en las versiones especiales para la Comisin Nacional Bancaria y de Valores de
Mxico y la Comisin Nacional Bancaria y de Seguros de Honduras, impartiendo
el mdulo de Aspectos Legales y ticos en la Seguridad Informtica. Es autora de
los rediseos educativos de las materias: Informtica Jurdica (2002) y Legislacin

en Informtica (2003) del Instituto Tecnolgico y de Estudios Superiores de

Monterrey a nivel Sistema. En sus membresas es: Coordinadora de Publicaciones
de la Academia Mexicana de Derecho Informtico, Miembro de: Consejo Directivo
de la Organizacin Mundial de Derecho e Informtica; del Consejo Editorial de la
revista B-Secure y de la mesa directiva de ALAPSI. Actualmente es consultora
externa de la Direccin General de Clasificacin y Datos Personales del Instituto
Federal de Acceso a la Informacin Pblica. Para el presente ao, es responsable
de actualizar el reporte de privacidad en Mxico que anualmente publica el
Electronic Privacy Information Center