EL RÉGIMEN JURÍDICO DE LA SEGURIDAD INFORMÁTICA EN EL SISTEMA EMPRESARIAL CUBANO. UNA VISIÓN ACTUAL
Rogelio Meléndez Carballido y Manuel José Pérez Calderón
Esta página muestra parte del texto pero sin formato.
Puede bajarse el libro completo en PDF comprimido ZIP (89 páginas, 165 kb) pulsando aquí
A partir de la llegada de Internet, y a pesar de lo reducido de su presencia en el ámbito nacional, se tomaron medidas de índole legal para ordenar y regular su uso, así como los medios de trabajo que se utilizan, enfocado principalmente a las computadoras personales de trabajo. La mayoría de estas legislaciones, dan tratamiento al tema de la seguridad informática en las empresas, así como de los medios físicos que elaboran información, entre ellas se destacan las siguientes:
En el Decreto 209 del 96, se establecen regulaciones para el desarrollo adecuado y armónico, así como los intereses de la defensa y seguridad del país, para el acceso desde la República de Cuba a redes Informáticas de alcance global y en él se define que el Ministerio del Interior será el responsable de dirigir, controlar y aplicar, en el marco de su competencia, la política de Seguridad Informática.
L a Resolución número 204 de 20 de noviembre de 1996 del Ministerio de la Industria Sideromécanica y Electrónica, que pone en vigor el reglamento Sobre la Protección y Seguridad Técnica de los Sistemas Informáticos.
La Resolución número 6 del 96. La misma, dictada por el Ministerio del Interior como máximo responsable del estado para dirigir, controlar y aplicar, en el marco de su competencia, la política de Seguridad Informática, pone en vigor el Reglamento sobre la Seguridad informática, dado a cumplimentar las medidas establecidas para la protección y seguridad del Secreto Estatal y la Protección Física y, basado en la necesidad de que esta (La Seguridad Informática) requiere de una disposición que contenga las normas básicas que implementen un sistema de medidas administrativas, organizativas, físicas, técnicas y legales que garanticen la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve mediante el uso de las tecnologías de información.
Dicho cuerpo legal, consta de seis Títulos, definiendo en el número uno, los objetivos y alcance de dicho sistema, enmarcando como objeto del mismo, establecer los principios, criterios y requerimientos de Seguridad Informática que garanticen la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce y conserva mediante el uso de las tecnologías de información, siendo el Jefe máximo de cada entidad el responsable del cumplimiento de todo lo que en él se dispone, haciendo extensivo su alcance a todos los Organos y Organismos de la Administración Central del Estado y sus dependencias, otras entidades estatales, empresas mixtas, sociedades y asociaciones económicas que se constituyan conforme a la Ley, (en lo adelante entidad), siendo de obligatorio cumplimiento por todas las personas que participen en el uso, aplicación, explotación y mantenimiento de las tecnologías de información.
De la misma forma define la seguridad informática como el conjunto de medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías de información. Considerando a su vez como bien perteneciente a cada entidad, toda la información que se procese, intercambie, reproduzca y conserve a través de los medios técnicos de computación.
Fijando en su titulo segundo entre otros contenidos, el establecimiento de las medidas administrativas sobre la seguridad informática, incluyendo en los mismos las políticas y planes de seguridad y de contingencia, estipulando que el Plan de Seguridad Informática se instituye como una exigencia para todas las entidades, en el cual deben reflejar las políticas, estructura de gestión y el sistema de medidas, para la Seguridad Informática, teniendo en cuenta los resultados obtenidos en los análisis de riesgos y vulnerabilidad realizados. El máximo dirigente de cada entidad garantizará, según corresponda a la actividad informática que se desarrolle, que se elabore, ponga en vigor, cumpla y actualice periódicamente. Por su parte el Plan de Contingencia para la Seguridad Informática se instituye como una exigencia para todas las entidades, con el fin de garantizar la continuidad de los procesos informáticos ante cualquier desastre que pueda ocurrir.
Igualmente se definen las áreas vitales, los requerimientos de protección física y tecnológica de los soportes, la identificación de las tecnologías de información que posean, la designación y funciones del responsable de la seguridad informática.
Se establece o definen las entidades autorizadas a brindar servicios de Seguridad Informática a terceros estipulando que las mismas deben contar con el correspondiente certificado de autorización emitido por el Ministerio del Interior sin perjuicio de las que puedan conceder otros organismos así mismo estipula que la persona responsabilizada con el control de la información clasificada, en coordinación con el Responsable de Seguridad Informática, comprobará si las tecnologías de información y sus soportes que se trasladen al extranjero, contienen solo la información que se autoriza para ello, así como que estén libres de virus informáticos.
Por ultimo dicho texto define el proceder necesario para el enfrentamiento a las violaciones detectadas en el funcionamiento y uso de las tecnologías de información.
Decreto Ley 199 de 25/11 de 1999. Sobre la Seguridad y Protección de la Información Oficial. Sin lugar a dudas, resulta ser este, el máximo esfuerzo por ordenar de alguna forma el ámbito normativo cubano en materia de seguridad informática, constituyendo la principal razón que motiva la emisión de esta norma, la necesidad de proteger al país ante la actitud agresiva y de constante acecho de las agencias de inteligencia enemigas.
La misma estructurada en ocho capítulos, define en su articulo numero uno como objetivo fundamental de la misma, establecer y regular el Sistema para la Seguridad y Protección de la Información Oficial, estableciendo además que dichas normas deben ser cumplimentadas tanto los órganos, organismos, entidades o cualquier otra persona natural o jurídica residente en el territorio nacional, como las representaciones cubanas en el exterior. Para dar paso en su artículo numero dos al contenido de la misma, dentro del cual encontramos precisamente y entre otros lo referido a la seguridad informática, para dar paso en su artículo numero tres a una serie de definiciones sobre términos que a nuestro juicio consideramos oportuno dejar plasmado, de forma tal que permitan una rápida adaptación al contenido de los mismos, en aras de facilitar la comprensión generalizada del tema en cuestión.
o Acceso: Facultad o autorización que se otorga a una persona y que le permite conocer información oficial clasificada para el ejercicio de sus funciones.
o Auditoría a la Seguridad Informática: Es el proceso de verificación y control mediante la investigación, análisis, comprobación y dictamen del conjunto de medidas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve por medio de las tecnologías de información.
o Compartimentación: Acción de dar a conocer lo que competa a cada persona, de acuerdo al acceso a la información oficial que le sea otorgado.
o Documento: Cualquier objeto físico capaz de proporcionar información o datos que pueden ser transferidos del conocimiento de una persona a otra.
o Entidad: Toda organización administrativa, comercial, económica, productiva o de servicios de carácter estatal, cooperativo, privado o mixto, residente en el territorio nacional, así como las organizaciones sociales y de masas del país.
o OCIC: Oficina para el Control de la Información Oficial Clasificada.
o Plan de Contingencia: Documento básico contenido dentro del Plan de Seguridad Informática, mediante el que se establecen las medidas para restablecer y dar continuidad a los procesos informáticos ante una eventualidad o desastre.
o Plan de Evacuación, Conservación y Destrucción de la Información Oficial: Documento básico que establece las medidas organizativas y funcionales para la evacuación, conservación o destrucción de la información oficial, que por sus características es necesario preservar o destruir al declararse una situación excepcional o producirse una catástrofe.
o Plan de Seguridad Informática: Documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en un órgano, organismo o entidad, a partir de las políticas y conjunto de medidas aprobadas sobre la base de los resultados obtenidos en el análisis de riesgo previamente realizado.
o Plan de Seguridad y Protección de Información Oficial Clasificada: Es el documento básico que establece el conjunto de medidas organizativas, administrativas, operativas, preventivas y de control dirigidas a garantizar la seguridad y protección de la información oficial clasificada e impedir su conocimiento u obtención por personas no autorizadas o por los servicios especiales extranjeros.
o Protección Criptográfica: Proceso de transformación de información abierta en información cifrada mediante funciones, algoritmos matemáticos o sucesiones lógicas de instrucciones, con el objetivo de su protección ante personas sin acceso a ella.
o Seguridad Informática: Conjunto de medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a las acciones que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce o conserva por medio de las tecnologías de información.
o Señalización: Acción de consignar de forma visible y expresa la categoría de clasificación o término que le corresponde a la información oficial.
o Servicio Cifrado: Actividad que se realiza mediante un conjunto de regulaciones, medidas organizativas y técnicas y medios para la protección criptográfica de la información oficial clasificada que se tramita o almacena a través de las tecnologías de información.
o Tecnologías de Información: Medios técnicos de computación o comunicación y sus soportes de información, que pueden ser empleados para el procesamiento, intercambio, reproducción o conservación de la información oficial.
Continuando con el análisis de dicho cuerpo legal, observamos como el mismo establece y define al Ministerio del Interior, como el organismo encargado de regular, dirigir y controlar todo lo concerniente a la política gubernamental, referente la seguridad y protección de la información, a la vez que hace referencia a las funciones y atribuciones del mismo
En su capitulo siete, dedicado exclusivamente a la seguridad informática, establece entre otros aspectos, la obligación de los órganos, organismos y entidades, donde se procesa, intercambia, reproduce o conserva Información Oficial por medio de las tecnologías de información, a.
• Cumplir las medidas que se requieran para su seguridad y protección, en correspondencia con las normas y regulaciones emitidas por el Ministerio del Interior.
• Elaborar, aplicar y mantener actualizados permanentemente los Planes de Seguridad Informática y de Contingencia, acorde con lo establecido por el Ministerio del Interior para la seguridad informática y por el de la Industria Sidero Mecánica y la Electrónica para la seguridad técnica de los sistemas informáticos.
• Designar una o más personas en su caso, con la idoneidad requerida para que supervise y controle el cumplimiento de las medidas de Seguridad Informática establecidas.
A la vez que prohíbe. Procesar, reproducir o conservar Información Oficial Clasificada con la categoría Secreto de Estado en las tecnologías de información conectadas en redes de datos, crear o diseminar programas malignos, el acceso no autorizado a redes de datos y conectar tecnologías de información que procesen Información Oficial Clasificada a las redes de datos de alcance global. Concediendo a la autoridad administrativa, la facultad para, conocer y aplicar la medida correspondiente ante la inobservancia de tales prohibiciones, sin perjuicio de cualquier otra responsabilidad derivado de ello.
No obstante, en lo concerniente a la seguridad informática el Decreto Ley adolece de las siguientes deficiencias:
1. Subordina la importancia de las TICs a que las mismas procesen, conserven, intercambien o reproduzcan información confidencial, dando competencia al MININT y al SIME (hoy MIC) para regular estos procesos.
2. Delegó en el MININT la facultad de realizar y autorizar la realización de las auditorías de Seguridad Informática, existiendo en la actualidad dualidad de funciones con el MAC.
3. Carece de apartado que implique sanciones o demás acciones coercitivas.
En general, se dedican solamente 7 de 53 artículos al tema de la Seguridad Informática.
Las disposiciones complementarias del Decreto Ley se dirigieron a fomentar en todas las entidades nacionales la elaboración de Planes de Seguridad Informática y de Contingencias. Como era de esperar, los Planes constan de una estructura esquemática, y solo adaptan a las necesidades particulares ciertos aspectos de la actividad.
En muchos casos el Plan de Seguridad Informática y el de Contingencias revisten carácter clasificado, y no son del conocimiento de los usuarios, que no saben que conducta adoptar ante la ocurrencia de hechos que atenten contra la seguridad informática.
Entre estas disposiciones complementarias podemos mencionar las siguientes.
Res. 4/96 de fecha 22/4/96 del MIC Establece que las operaciones de los servicios de INTERNET dentro del país se regirán por las Resoluciones y Disposiciones vigentes de los Organismos de la Administración Central de Estado correspondiente y de las que a este fin emita el Ministerio de Comunicaciones para el tratamiento de las Redes de Datos.
Res.57/96 CITMA de fecha 26/6/96 Crea el Registro Nacional de los distribuidores y productores de bienes y servicios de información electrónica para redes de datos, el que se conocerá indistintamente y a todos los efectos como “REGISTRO NACIONAL DE INFORMACION ELECTRONICA PARA REDES DE DATOS”.
Res56 del 99 de 16/6/1999 del Ministerio de Cultura Establecer que toda publicación seriada cubana que pretenda circularse, imprimirse o difundirse por INTERNET deberá contar con la aprobación específica del Registro Nacional de Publicaciones Seriadas para ese fin, independientemente del nodo, institución o país que utilice como vía de ingreso a dicha red.
Res.1/2000 de fecha 26/12/2000 del Ministerio del Interior que pone en vigor EL REGLAMENTO SOBRE LA SEGURIDAD Y PROTECCION DE LA NFORMACION OFICIAL
Res No. 2/01 de 5/3/2001 del Ministro del Interior que pone en vigor el REGLAMENTO SOBRE EL SISTEMA DE SEGURIDAD Y PROTECCION FISICA.
Res. 188/01 de fecha 15/11/01 MIC Aprobar y poner en vigor la Metodología para el acceso de entidades cubanas a Internet o a otras redes de datos externas a las mismas.
Res. 269/2002 SIME 23/12/02 Poner en vigor el REGLAMENTO SOBRE LA POLÍTICA DE SEGURIDAD INFORMÁTICA en el Ministerio de la Industria Sidero-Mecánica
Res. 39/02 de fecha 3/4/02 del MIC Poner en vigor las Políticas de Seguridad Informática del Ministerio de la Informática y las Comunicaciones.
Res. 65/03 MIC fecha 5/6/03 Toda Red Privada de Datos establecida en el territorio nacional deberá ser inscrita en el registro existente a esos efectos en la Agencia de Control y Supervisión del Ministerio de la Informática y las Comunicaciones, en lo adelante la Agencia.
Res 180/03 MIC de fecha 31/12/03 Disponer que la Empresa de Telecomunicaciones de Cuba S.A. (ETECSA), emplee todos los medios técnicos necesarios que permitan detectar e impedir el acceso al servicio de navegación por Internet, desde líneas telefónicas que operan en moneda nacional no convertible a partir del 1ro. De enero del 2004.
INSTRUCCIÓN No.1-04 de 8/7/2004 del SIME Requisitos y Procedimiento a tener en cuenta para el acceso a Internet en las Entidades del SIME.
Res. 85/04 de 13/12/2004 del MIC Toda “Area de Internet” que brinde los Servicios de Navegación por Internet y/o Correo Electrónico Nacional e Internacional en cualquier tipo de entidad del territorio nacional, deberá estar debidamente registrada a esos efectos en la Agencia de Control y Supervisión del Ministerio de la Informática y las Comunicaciones, en lo adelante Agencia
Res. 12/05 de 24/1/05 del MIC Poner en vigor los “Requisitos informáticos adicionales para los Sistemas Contables–Financieros soportados sobre las Tecnologías de la Información
Toda esta legislación antes mencionada, como bien se observa, está destinada a proteger cuestiones referentes a la seguridad de informaciones oficiales, medios físicos, a la estrategias de seguridad informática en relación a presencia de virus, accesos no autorizados, desastres y contingencias de diversos ordenes.
No podíamos concluir este análisis sin hacer referencia a nuestro marco penal, como vía idónea para cuestionar y en su caso reprimir las innumerables violaciones que se acontecen en el marco de las TICs, podemos observar como en nuestro país, al igual que en otros muchos países, estas conductas violatorias, no han sido aún objeto de tipificación por parte de nuestra legislación penal o sea en nuestro código penal.
Por tal razón, coincido con los que consideran que la vía más adecuada para enfrentar estas conductas es la revisión de los delitos convencionales previstos en el Código Penal Cubano y atemperar su formulación a las nuevas condiciones en que puede materializarse la acción a través de medios informáticos y en los casos en que esto no sea posible, agruparlas dentro de un nuevo Título dedicado a tutelar como bien jurídico la Seguridad Informática.