EL RÉGIMEN JURÍDICO DE LA SEGURIDAD INFORMÁTICA EN EL SISTEMA EMPRESARIAL CUBANO. UNA VISIÓN ACTUAL
Rogelio Meléndez Carballido y Manuel José Pérez Calderón
Esta página muestra parte del texto pero sin formato.
Puede bajarse el libro completo en PDF comprimido ZIP (89 páginas, 165 kb) pulsando aquí
El incremento en el uso de ordenadores y sistemas de comunicación que permiten almacenar, procesar e intercambiar grandes cantidades de información está siendo espectacular en los últimos años. Este hecho provoca, que cada vez, un mayor número de organizaciones considere a su información y a la tecnología a ella asociada, como uno de sus activos más importantes.
A lo largo de la historia, incluso desde tiempos en los que no existía la electricidad, el hombre siempre ha querido simplificar su modo de vida, por esta razón los grandes pensadores de todos los tiempos, han dedicado gran parte de su vida a desarrollar teorías matemáticas para construir máquinas que simplifiquen las tareas de la vida diaria.
Sin lugar a dudas el siglo XX es considerado el siglo de la electrónica y de la informática, dejando al entrante siglo XXI innumerables adelantos tecnológicos capaces de modificar en gran medida el comportamiento de la humanidad en muchos sentidos, en lo social, en lo económico y porque no, en lo político.
Resultando ser el plano económico el más beneficiado, haciéndose extensivo incluso para los países en vías de desarrollo. Por ser precisamente en el ámbito del comercio donde las tecnologías electrónicas e informáticas irrumpieron para quedarse de una vez por todas y para bien del comercio este se hizo cada vez más dinámico y ágil al hacer uso de una infraestructura nunca vista que no iba a respetar barreras geográficas, idiomas y culturas. Prueba de la rapidez del avance informático, es tangible en cosas fáciles de encontrar como un artículo de revista de computación, paginas de Internet, libros antiguos de computación, entre otros.
En sus inicios los medios técnicos de computación, eran medios relativamente seguros, tomando en consideración que los mismos estaban dedicados a procesar volúmenes de datos importantes, tales como información contable, datos estadísticos, en el orden interno de una empresa por lo cual era relativamente fácil su control, de la misma forma que el numero de empresas beneficiarias de su uso, era limitado.
I.1- Principios, fundamentos y enfoques de la Seguridad Informática
La definición puramente lingüística del concepto “seguridad” es actualmente inaplicable al tema que abordamos en este trabajo. Se concibe como seguro a aquello que resultare infalible, inatacable, libre y exento de todo peligro, daño o riesgo.
Hay autores tontos que sugieren que un sistema informático seguro es aquel que carece de red, y que se encuentra desconectado de la corriente. Estamos seguros que esta analogía tiene sus raíces en las palabras del famoso conquistador norteamericano de tierras indias y asesino de tribus, quien enunció su famosa frase “el único indio bueno es el indio muerto”.
La seguridad en los sistemas de cómputo existe, pero a diferencia del significado que la Real Academia de la Lengua le otorga, no puede ser absoluta. Eso sí: puede ser elevada a niveles insospechados, y para ello partimos de cinco elementos esenciales a tener en cuenta:
1. ¿Cuáles son los puntos débiles del sistema informático a proteger?
2. ¿Cuánto tiempo deberá protegerse un dato?
3. Las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio.
4. Ningún sistema de control resulta efectivo hasta que surge la necesidad de aplicarlo.
5. Los usuarios deben estar concientizados de las posibles fallas de los sistemas y de la necesidad de asegurarlos.
Como vemos, los cuatro primeros puntos que representan los principios clásicos de la seguridad informática son meramente técnicos. Pero el quinto, que con razón se reputa como el más importante, es de índole social.
En el primero de los caso (principio del Acceso más fácil) debemos considerar lo siguiente.
• “El intruso al sistema utilizará cualquier artilugio que haga más fácil su acceso y posterior ataque”.
• Existirá una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica la filosofía de ataque hacia el punto más débil.
En el segundo elemento (principio de La Caducidad del secreto) se debe tener presente que.
• “Los datos confidenciales deben protegerse sólo hasta ese secreto pierda su valor”.
• Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato.
• Esto nos llevará a la fortaleza del sistema de cifra.
El tercer y cuarto elemento (principio de la Eficiencia de las medidas tomadas) se ha de considerar que.
• “Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio”.
– Que funcionen en el momento oportuno.
– Que lo hagan optimizando los recursos del sistema.
– Que pasen desapercibidas para el usuario.
Y lo más importante: ningún sistema de control resulta efectivo hasta que es utilizado al surgir la necesidad de aplicarlo. Este es uno de los grandes problemas de la Seguridad Informática.
Analizados los principios de la seguridad informática, consideramos oportuno hacer referencia a los fundamentos sobre los que descansa la misma así como los diferentes enfoques que hacen posible o facilitan su estudio.
Fundamentos de la seguridad informática.
• La teoría de la información
– Estudio de la cantidad de información y entropía.
• La teoría de los números
– Estudio de las matemáticas discretas y cuerpos finitos.
• La teoría de la complejidad de los algoritmos
– Clasificación de los problemas.
Teoría de la información
• Información:
– Conjunto de datos o mensajes inteligibles creados con un lenguaje de representación y que debemos proteger ante las amenazas del entorno, durante su transmisión o almacenamiento, usando entre otras cosas, las técnicas criptográficas.
– La teoría de la información mide la cantidad de información que contiene un mensaje a través del número medio de bits necesario para codificar todos los posibles mensajes con un codificador óptimo.
Teoría de los Números
• Es la base matemática (matemáticas discretas) en la que se sustentan las operaciones de cifra.
Teoría de la Complejidad Algorítmica
La teoría de la complejidad de los algoritmos nos permitirá conocer si un algoritmo tiene fortaleza y tener así una idea de su vulnerabilidad computacional.
Para su estudio la seguridad informática, podemos dividirla en.
Seguridad Física. Incluye la protección del sistema ante las amenazas físicas, planes de contingencias, control de acceso físico, políticas de seguridad, normativas, etc.
Seguridad Lógica. Incluye la protección de la información en su propio medio mediante el enmascaramiento de la misma usando técnicas de criptografía, protocolos de autenticidad entre el cliente y el servidor.
De esta forma y analizados los elementos que a nuestro juicio resultan indispensable entre otros, para el estudio de la problemática que se nos presenta, resulta necesario, adentrarnos en el campo jurídico propiamente dicho o sea en el Derecho como una de las tres cúspides de la actividad social, conjuntamente con la política y la religión.
Particularmente interesante resulta el hecho de que como rama científica solamente en los últimos años se haya comenzado a hablar acerca del Derecho y la Informática, cuando es evidente que en su papel de regulador de las relaciones sociales el Derecho juega su papel en el proceso de concientización de los individuos antes mencionado.
He aquí como el Derecho se entrelaza con esta ciencia de aparición relativamente reciente, dando paso a diversas interrogantes como son las siguientes:
1. ¿Existe una clara identificación del bien jurídico a proteger por la norma legal cuando este está relacionado con las TICs?
2. ¿Debe optarse por la flexibilidad o por la austeridad de las definiciones legales ante el impetuoso avance de las TICs?
3. ¿Qué ámbito de aplicación debe tener la norma que regule las relaciones en el ámbito de la informática: Penal, Administrativo, Civil o mixto?
4. ¿Está preparado el personal que imparte justicia para apreciar en su verdadero sentido la responsabilidad del infractor de la seguridad informática?
5. En nuestro país, ¿existe una política gubernamental de carácter normativo uniforme, centralizado y eficaz que prevenga la ocurrencia de hechos que atenten contra la seguridad informática?
Son muchas las interrogantes que en torno al tema pudiéramos formular en estas líneas. Sin embargo, en estas pocas se resumen los objetos de discusión más candentes entre teóricos y especialistas, no sólo del país, sino también de la arena internacional.
Como siempre que surge una figura novedosa en el actuar social, el Derecho pronto capturó a la Informática como su centro de atención. Bien pronto los grandes teóricos enarbolaron clasificaciones en cuanto al software-de gestión, documental, etc. Y como era de esperar, las diferentes ramas del Derecho “se apresuraron” a tutelar a la recién nacida.
El Derecho de Propiedad Intelectual pronto vio en esta actividad un fruto de la creación humana, susceptible por tanto de ser regulada en este ámbito. Y para este fin, se revisaron los Convenios de Berna, el TRIPPS y demás instrumentos jurídicos internacionales de la materia. El software quedó, por esta vía, incluido y justamente por demás como una creación más del intelecto.
La creciente importancia del uso de las PCs fue elevando la significación de las mismas. Ya no eran simplemente dos o tres juguetes caros en un laboratorio de una institución científica o en manos de un millonario. Ahora estaban en manos de cualquier persona, y todos nos habíamos convertido en usuarios potenciales de esos cada vez más potentes adminículos electrónicos. Y para cuando surgió la idea de conectar varias PCs, el confuso
Era hora de que hiciera su entrada el Derecho Penal: la rama coercitiva por excelencia del Derecho. Máxima expresión de la tutela del Estado sobre un bien que a partir de ese momento reviste interés social por sobre el particular, o que al menos queda garantizado tutelarmente por sobre los demás, los penalistas se apresuraron a identificar como una nueva serie de delitos a conductas delictivas tradicionales que ahora pasaron a llamarse, pintorescamente, “delitos informáticos”.
El punto en común que tienen todas estas conductas antisociales –fraude, robo, estafa, daños- es que atacan solamente a un bien: la información. Un bien por demás intangible, que asimila esta clase de “delitos” a los cometidos contra la moral y las buenas costumbres, por citar un ejemplo.
Aún con repercusión en el ámbito moral, queda claro, no obstante, que los delitos informáticos, por aplicar la denominación ya cotidiana, atentan sobre todo contra la información. De ahí lo difícil que resulta tipificar y cuantificar sus resultados, por cuanto la información es difícil de cuantificar, evaluar, tasar y en general de apreciar en sus distintas facetas.
El otro punto que debemos tener en cuenta es en lo concerniente a la flexibilidad de la norma legal que regule el tema de la seguridad informática.
En efecto: la mayor parte de los legisladores prefiere hacer un uso gramatical restringido en la redacción de los textos legales, ante el temor de que la flexibilización excesiva conduzca a una aplicación extensiva de los mismos.
Por otro lado, el Derecho ha demostrado ir siempre más despacio que los cambios sociales que respaldan la emisión de instrumentos jurídicos. ¡Qué decir de aquellos que se dictaren amparando actividades relacionadas con la informática, una de las ramas del desenvolvimiento humano de mayor complejidad y velocidad de desarrollo actuales.
Por sólo poner un ejemplo: los virus informáticos atacaban hace 10 años solamente a programas ejecutables. Hace nueve años comenzaron a infectar documentos, algo que nunca se pensó fuera posible. Hace siete años infectaron hojas de cálculo y actualmente se les encuentra alojados hasta en el interior de archivos multimedia.
Cualquier norma que hubiera catalogado a un virus como “segmento de código ejecutable que se copia y reproduce a sí mismo dentro de programas ejecutables” hubiera quedado obsoleta en poco tiempo a causa de una definición incorrecta.
Con problemas semánticos y de redacción de este tipo el legislador debe enfrentarse a diario, razón por la cual, se hace necesario, realizar un análisis en torno al origen y evolución de la seguridad informática.
Resulta innegable que Internet se ha transformado en una inmensa fuente de información de acceso universal que ejerce una importante influencia en la educación y en el ámbito sociocultural, a la vez que presenta buenas perspectivas en el ámbito del comercio. Se trata de un importante foro donde se desarrollan numerosas actividades, la mayoría de las cuales son realizadas con fines legítimos y provechosos; pero, obviamente, también se llevan a cabo actividades ilícitas y conductas socialmente no aceptables. Es por ello que el tema de la seguridad informática, resulta un tema fundamental en los ámbitos académicos internacionales, tanto tecnológicos como jurídicos.
Como es conocido, la primera respuesta a las necesidades de protección de las redes fueron las técnicas criptográficas que, permiten proteger la información e impiden que los sistemas sean utilizados o accedidos por personas no autorizadas o con fines lícitos. Pero por otra parte ello facilita las actividades delictivas en las redes al transformar las comunicaciones en inexpugnables. No debemos perder de vista que, en todos los casos, esta presente el interés legitimo de los estados de velar por la seguridad y el orden publico y resguardo de las naciones.
En tal sentido podemos definir y las primeras aproximaciones históricas a estas técnicas criptográficas así como realizar una clasificación de las mismas.
• La criptografía es casi tan antigua como las primeras civilizaciones de nuestro planeta.
• Ya en el siglo V antes de J.C. se usaban técnicas de cifra para proteger a la información.
• Se pretendía garantizar sólo la confidencialidad y la autenticidad de los mensajes.