Por: Juan Francisco Rosario Gratereaux
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando esto conlleva aumentar la sofisticación en el ataque y la complejidad de la solución.
En República Dominicana contamos con la ley 53-07 de Delitos y Crímenes de Alta Tecnología donde nos informa lo siguiente con relación a nuestro presente tema “La integridad de los sistemas de información y sus componentes, la información o los datos, que se almacenan o transmiten a través de éstos, las transacciones y acuerdos comerciales o de cualquiera otra índole que se llevan a cabo por su medio y la confidencialidad de éstos, son todos bienes jurídicos protegidos.“
Por igual la ley 53-07 en el artículo 6 Párrafo I nos informa lo siguiente con relación a las penas – “Uso de Datos por Acceso Ilícito. Cuando de dicho acceso ilícito resulte la supresión o la modificación de datos contenidos en el sistema, o indebidamente se revelen o difundan datos confidenciales contenidos en el sistema accesado, las penas se elevarán desde un año a tres años de prisión y multa desde dos hasta cuatrocientas veces el salario mínimo“.
Por lo que vemos es algo sumamente delicado el concepto de robos de informaciones por parte de las personas tanto morales como físicas, el mundo de la tecnología ya paso de ser solo un mundo de ingeniero o técnicos del área de la telecomunicaciones a abogados especialistas en materia de la información y seguridad de alta tecnología.
La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Podemos entender como seguridad un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Entendiéndose como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen.
La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. Son medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una empresa, organización y oficinas públicas se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en un simple papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en ‘espacio’, acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil transportar la información también hay más posibilidades de que desaparezca.
La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. En general, cualquier empresa privada y oficina pública de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos.
Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el mercado puede depender de forma directa de la implementación de estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso que aseguren la confidencialidad de esas informaciones.
El último informe del estándar para la seguridad de la información ISO/IEC 27001 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC) “La tecnología debe buscar metodología para proteger la información de los usuarios al hacer esto se logra evitar las duplicidades y robos de identidades, toda empresa y oficina pública debe mantener un control en cuanto a las informaciones confidenciales”.
Para la International Organization for Standardization (ISO) define la seguridad de la siguiente manera “la seguridad consiste en mantener el equilibrio adecuado”. Con esta definición tan simple entendemos que no tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, ya que se está negando la disponibilidad.
Debemos diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir. El objetivo de la Política de Seguridad de Información de una empresa de servicios es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
En ambientes de empresas de servicios suele ser siempre prioritaria la confidencialidad de la información frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda eliminarla no podrá conocer su contenido y reponer dicha información será tan sencillo como recuperar una copia de seguridad.
La importancia que tiene la seguridad de la información y el poder que implica manejar información es un tema muy delicado que no está en el conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor importancia a su información que publican en la red y de qué forma lo hacen y más aún, muchos no diferencian lo privado de lo público, no por que no quieran o porque no saben cómo diferenciar una cosa de la otra, simplemente es por ignorancia.
Las empresas deben ser más responsables con este tema de la asignación de password por defecto a sus empleados, usuarios y clientes ya que pueden poner en peligro toda la información que los usuarios o empleados depositan en ellas.
Es necesario incrementar el diálogo de las empresas privadas e instituciones públicas de consumidores con la Administración y parece deseable que exista una especialización en materia de privacidad por parte de algunas organizaciones de consumidores. Es necesario buscar una colaboración activa entre usuarios, asociaciones, gestores de redes sociales y Administraciones públicas, para identificar los principales problemas y buscar su solución.
Conclusiones Internet presenta nuevos caminos: mercados, posibilidades de socialización, relaciones nuevas y comercios bilaterales. Las tecnologías de la información, han supuesto un avance decisivo para la sociedad incluso para la criminología electrónica. El uso de la red y de todas sus aplicaciones debe hacerse sobre el conocimiento, la información y la responsabilidad.
Un buen asesoramiento y una completa formación son fundamentales para combatir la criminología electrónica. La seguridad es cosa de “todos” y empieza por “nosotros”.