Documentos de Académico
Documentos de Profesional
Documentos de Cultura
12 - El Derecho Informatico PDF
12 - El Derecho Informatico PDF
DIVULGACIN
EL DERECHO INFORMTICO Y
LA GESTIN DE LA SEGURIDAD
DE LA INFORMACIN
UNA PERSPECTIVA CON BASE EN LA
NORMA ISO 27 001
Arean Hernando Velasco Melo*
333
Resumen
Este artculo pretende informar sobre la existencia y diversas modalidades
que incluye el Derecho informtico y crear conciencia acerca de la
posicin que deben tomar los diversos actores econmicos en la era de
la informacin para asegurar una adecuada poltica de seguridad de la
informacin que, ante la falta de una legislacin nacional sobre el tema,
debe basarse en los estndares internacionales, el derecho comparado
y autonoma de la voluntad. La metodologa empleada para explicar
las diversas reas de impacto es la seguida por la norma ISO 27001 en
el dominio que hace referencia al cumplimiento y que comprende: La
proteccin de datos personales; la contratacin de bienes informticos
y telemticos; el derecho laboral y prestacin de servicios, respecto
de la regulacin de aspectos tecnolgicos; los servicios de comercio
electrnico; la propiedad intelectual, y el tratamiento de los incidentes
informticos.
Palabras claves: TICs, informacin, seguridad, derecho informtico.
Abstract
This article seeks to provide information about the existence and
various disciplines of Information Technology Law and to create
awareness about the position to be taken by the various economic
players in the information age to ensure an adequate information
security policy that, in the absence of a national regulation on the
matter, has to be based on international standards, comparative
law and the autonomy of will. The methodology employed to
explain the various areas of impact is that of the ISO 27001 standard
in its domain about Compliance which includes: The protection
of personal data, the contracting of IT goods and computer data
transmission; labor law and provision of services, regarding the
regulation of technological aspects; electronic commerce services;
intellectual property rights, and the treatment of IT incidents.
Key words: TICs, information, security, Information &
Communications Technology Law.
334
INTRODUCCIN
El impacto de las Tecnologas de la Informacin y las Comunicaciones
TIC no es ajeno al Derecho, por el contrario, cada da los avances de
la tecnologa imponen mayores retos a los operadores jurdicos, a los
cuales hay que responder desde la legislacin nacional si sta existe ,
la legislacin internacional, el derecho comparado, la autonoma de la
voluntad privada, las mejores prcticas existentes en la industria y las
normas que permitan dar un tratamiento uniforme a problemticas
que experimentan las organizaciones, cualquiera que sea la latitud en
que estn ubicadas.
Para enfrentar de manera adecuada los retos que las TIC plantean al
Derecho se requiere como punto de partida por el operador jurdico, la
comprensin de los aspectos tecnolgicos que, desde la informtica, las
telecomunicaciones y la convergencia, estn presentes en el trco de
bienes y servicios, as como en la e-conoma, pues sin esta comprensin
es difcil entender los problemas que giran en torno al desarrollo de
software, integracin de sistemas informticos, diseo de hardware, voz
IP, servicios y redes de telecomunicaciones, propiedad intelectual de
intangibles digitalizables, bases de datos, servicios convergentes, entre
otras problemticas.
Adicional a ello, se requiere el estudio de las relaciones entre las
TIC y el Derecho. De esta reexin ha hecho carrera la existencia de un
rea encargada de la regulacin del fenmeno informtico y telemtico
que ha sido denominada Derecho Informtico, trmino adoptado por
tratadistas como Emilio Sue, Michel Vivant, Julio Nez, Miguel
Davara, entre otros.
Al respecto arma el profesor Sue (2000):
El Derecho de la informtica, por seguir aportando razones singulares que avalan
su autonoma, tiene mucho de Derecho Global, al tratarse de un Derecho muy
internacionalizado, probablemente por el tipo de comunidades humanas que estn
en su base. La regulacin jurdica de Internet, por ejemplo, plantea problemas globales, que requieren soluciones globales. Las grandes multinacionales del sector
teleinformtico, que lo dominan casi todo por completo, no pueden ni quieren adap-
335
336
337
338
Problema
La seguridad informtica ha hecho trnsito de un esquema caracterizado
por la implantacin de herramientas de software, que neutralicen el acceso
ilegal y los ataques a los sistemas de informacin, hacia un modelo de
gestin de la seguridad de la informacin en el que prima lo dinmico
sobre lo estacional.
339
340
341
342
343
1
En Colombia, desde 1991, la Constitucin Poltica consagr en su artculo 15 el
derecho a la proteccin de los datos personales, as como al habeas data. Como derechos
fundamentales requieren de una ley estatutaria que los desarrolle. Despus de mltiples
intentos, recientemente el Congreso de la Repblica expidi la ley y se encuentra en
estudio de la Corte Constitucional para su anlisis de constitucionalidad.
344
SUE (2000, p. 29). El derecho a la intimidad es un derecho de conguracin relativamente reciente en trminos de histricos, al menos si se le contempla como un derecho autnomo, desgajado del derecho al honor, puesto que su punto de referencia
inicial mas comnmente aceptado se halla en la obra seera que, con el titulo The
Right to Privacy, fue publicada en la Harvard Law Review, N 5 de 1890. Este artculo
fue redactado por S.D. Warren y L.D. Brandeis.
3
Ley Orgnica 15/1999 de Espaa. Artculo 3, literal a).
2
345
4
SUE (2000, p. 29). Citando a Warren y Bradeis dice: El common law garantiza
a cada persona el derecho a decidir hasta que punto pueden ser comunicados a otros
sus pensamientos, sentimientos y emociones.
5
OLLATILU (2006). Organizations that collect personal identiable information,
including, but no limited to, consumer reporting companies, lenders, insurers,
employers, landlords, government agencies, mortgage brokers, automobile dealers,
attorneys, private investigators and debt collectors, are responsible for safeguarding
this resources.
346
7
La Ley 221 de 1007, aprobada recientemente en Colombia, pendiente del examen
de constitucionalidad, contempla sanciones de hasta 650 millones de pesos por cada
violacin a lo dispuesto en ella. La ley argentina establece sanciones de hasta 32 mil
dlares y la espaola contempla sanciones de hasta 30 mil euros.
347
348
349
350
351
352
353
354
355
356
357
358
359
13
Ley 256 de 1996. Esta ley es concordante con el numeral 1o del artculo 10 bis del
Convenio de Pars, aprobado mediante la Ley 178 de 1994.
360
Una de las mayores preocupaciones de las organizaciones, y en particular de los responsables del rea informtica, es el tratamiento de los
incidentes informticos, es decir, de aquellas situaciones que atentan,
vulneran o destruyen informacin valiosa de la organizacin, adems
del impacto psicolgico y econmico que puede generar en el mercado
accionario o en los accionistas cuando se informa sobre intrusiones y
prdidas14 de informacin en un ente empresarial.
Quizs lo descrito en los prrafos anteriores reeja la importancia del
concepto de seguridad de la informacin. Sin embargo, para terminar
de reforzar la importancia del tema para las empresas, si an existiese
alguna duda, basta conocer un listado de los delitos cometidos por el
cracker ms reconocido en la historia reciente, Kevin Mitnick. Fue acusado
de diversos crmenes: creacin de nmeros telefnicos no taricables;
robo de ms de 20 000 nmeros de tarjetas de crdito; precursor de la
falsicacin de direccin IP conocida como IP Spoong; burla al FBI
durante ms de 2 aos; robo de software de terminales telefnicos; control
de varios centros de conmutacin en USA; acceso ilegal a mltiples sistemas del gobierno de USA; entre otros incidentes de seguridad.
Los delitos cometidos por este ex delincuente informtico quien
hoy es un experto consultor en seguridad, despus de purgar varios
aos de prisin reejan no slo los tipos de conductas que conguran
un incidente informtico, sino tambin la posibilidad de que cualquier
empresa sea vctima de un ataque a sus activos, sistemas o redes de
informacin.
Entrando en materia, se tiene que el dominio A.13 de la norma
ISO 27 001 establece como objetivo de la gestin de los incidentes de
seguridad de la informacin la necesidad de asegurar que los eventos y
las debilidades de la seguridad asociados con los sistemas de informacin
se comunican de forma tal que permiten tomar las acciones correctivas
oportunamente
Un estudio del ao 2003 indicaba que en ese perodo se haban producido
100 000 incidentes de seguridad y se haban informado mas de 3000 vulnerabilidades
en sistemas de informacin.
14
361
362
363
364
CONCLUSIONES
El siglo XXI, caracterizado por la sociedad de la informacin, implica que
todas las organizaciones, sean stas pblicas o privadas, nacionales o
transnacionales, cualquiera que sea el sector econmico en que desarrollen
su objeto social, estn relacionadas con la tecnologa informtica, sea
que adquieran o desarrollen activos de informacin; realidad que hace
que la seguridad sea algo que demande su permanente atencin.
Las Tecnologas de la Informacin y las Comunicaciones reclaman
del Derecho respuestas innovadoras y globales respecto de los retos
que le son intrnsecos; por tanto, los operadores jurdicos deben estar
capacitados y entrenados para apoyar a la sociedad en la solucin de
las problemticas propias de la relacin Informtica-Derecho.
El Derecho, como administrador de riesgos, se encarga de dotar de
seguridad los diferentes activos de informacin de una organizacin;
desde esa perspectiva se requiere una gestin jurdica permanente de
los riesgos, amenazas y vulnerabilidades, como medio para adoptar
las medidas y controles que disminuyan los mismos.
As como en la sociedad el Derecho es el agente regulador de la convivencia entre los seres humanos, la Norma ISO/NTC 27 001 imparte las
reglas y parmetros para que las organizaciones reglamenten y autorregulen la gestin de sus activos de informacin de manera segura.
Referencias
Libros
LVAREZ, G. y otros. Seguridad Informtica para empresas y particulares. Madrid:
McGraw-Hill.
CALDER, A. (2006). Nueve claves para el xito. Una visin general de la implementacin de la norma NTC-ISO/IEC 27001. Icontec.
CALLE, S. (2002). El contrato informatico sobre bienes inmateriales susceptibles de
digitalizacion. Tesina de grado, Universidad Complutense de Madrid.
JORDANO, J.B. (1953). Los contratos atpicos (p. 20). Madrid: Instituto Editorial
Reus.
365
Revistas
CANO, J. (2007). Inseguridad Informtica y Computacin Antiforense: Dos
conceptos emergentes de la Seguridad de la Informacin. Information System
Control Journal, vol 4,.
OLLATILU, O. (2006). Identity Theft and Corporations Due Diligence.
Information Systems Control Journal, vol. 6.
Leyes y normas
Decisin 351 de 1993 CAN. Artculo 3
Directiva 96/9/CE
Ley Orgnica 15/1999 de Proteccin de Datos Personales. Espaa
Ley 256 de 1996
Norma ISO 27 001
Sentencias
Sentencia T-46 de 1997
366