Blog


Would you like to share an article on cybercrime? Please contribute!
 

These articles do not necessarily reflect official positions of the Council of Europe

Blogok Blogok
Vissza

Seguridad de la información: el bien juridico tutelado en la Convención de Budapest

La información es uno de los activos más valiosos para cualquier país, así como para cualquier persona u organización social. Precisamente por tal razón, me parece particularmente importante hacer una breve reflexión sobre la importancia de esta situación en el contexto social moderno, en especial por la forma como las modernas tecnologías impactan en los ciudadanos.

El Estado es el ente que posee la mayor cantidad de datos e información de sus ciudadanos, más aún que cualquier otra organización social. Dada esta delicada situación, una de las principales condiciones que debe cumplir el Estado es garantizar la seguridad de la información que obtenga de parte de la ciudadanía, como forma de lograr confianza de los administrados en el uso de los servicios automatizados que pone a su disposición y los datos que transitan en las redes públicas, todo ello como parte de la relación entre los organismos públicos y los ciudadanos. Lógicamente, dentro de las instituciones públicas se encuentran una gran cantidad de datos personales, confidenciales o no, de los habitantes del país. Esta es la base para considerar a la información como un patrimonio público de tipo intangible particularmente significativo por la trascendencia que tiene para el funcionamiento del aparato estatal.

Cuando aludimos al término “seguridad”, nos referimos de hecho a las políticas sobre seguridad informática. En este caso, es un tema que reviste muchísima importancia puesto que la información es un activo de gran valía, cuando no el mayor. Por eso hemos procurado hacer un énfasis especial dentro de este comentario que incluye no sólo un breve análisis de lo que debe entenderse por seguridad informática, sino también alusiones a sus diferentes perspectivas en cuanto a seguridad física y lógica, así como la forma como la seguridad es protegida penalmente dentro del Convenio de Budapest. Teniendo estos conceptos en cuenta, quizás sea posible lograr un grado mayor de confianza en las actividades que desarrolle una nación que desee llevar adelante un proyecto integral de seguridad de la información.

Concepto de seguridad de la información.-

La seguridad de la información la defino como una política institucional e integral de protección de los componentes lógicos y físicos de un sistema informático que busca salvaguardar la integridad de los equipos, programas de cómputo, y de los datos e información producidos u obtenidos por las personas, empresas privadas o instituciones públicas, así como su confidencialidad, sin impedir el acceso o disponibilidad sobre ellos a los legítimos interesados ni menoscabar la prestación de los servicios que brinde la entidad o empresa.

Este concepto de seguridad de la información o ciber-seguridad pretende ser comprensivo de los principales elementos que abarca la seguridad informática, esto es, integridad, confidencialidad y disponibilidad. Si bien en la actualidad se habla más de seguridad de la información, en cualquier caso, la seguridad buscada deberá consistir siempre en prácticas, procesos, aplicación de programas de cómputo y equipos que, en conjunto, logren asegurar al máximos los principales recursos de la organización.

El objetivo de la seguridad debe ser proteger la información valiosa de cualquier tipo de amenazas, de manera que se asegure la continuidad del servicio que preste una institución pública, se minimice cualquier daño a su continuidad y se maximice la confianza de sus usuarios en el contenido de la información de consulta.

Creemos que la seguridad informática debe ser ante todo una política institucional aplicable a cualquier entidad pública que tenga en operación sistemas automatizados de información. No se trata de un estado estático, sino dinámico y proactivo, pues deberá estar siempre en constante revisión, cambio y mejoramiento. Por eso, nuestra definición hace mención tanto de los componentes del sistema, refiriéndonos a la parte física (equipos de cómputo y todos sus componentes) como a la parte lógica (programas y registros magnéticos u ópticos que obren en cualquier soporte. En este caso, procuramos incluir las condiciones necesarias de integridad tanto de los equipos como de la información recogida, la confidencialidad de esa información (no sólo en cuanto a su acceso, sino también en su protección) y la disponibilidad que debe haber sobre ella en cualquier momento.

Seguridad física y seguridad lógica.-

Según hemos expuesto en nuestro concepto de seguridad informática, y de acuerdo con el criterio consensual entre los expertos, la seguridad informática representa ante todo una política integral de protección a la información institucional, y se manifiesta mediante un conjunto de buenas prácticas que tiene tres pilares fundamentales, cuales son, la integridad, confidencialidad y disponibilidad de la información. Precisamente, la anterior norma ISO 17799, en todas sus versiones, así como la norma ISO 27000 se ha reservado específicamente para asuntos de seguridad de la información, y ha reemplazado a las normas 17799. Se denomina precisamente Sistema de Gestión de Seguridad de la Información y hace hincapié en esos tres factores y el aseguramiento de la información como un recurso o activo estratégico para el ente. Dichos conceptos son considerados como “características” de la seguridad de la información. En realidad, son aspectos diferentes que se complementan entre sí dentro de un mismo proceso.

En esta materia existen dos tipos de seguridad: la seguridad física y la seguridad lógica, conceptos que son ampliamente conocidos e invocados a menudo por los usuarios o por todas las entidades que resguardan información, especialmente después de algún percance serio en contra de sus bienes informáticos.

Con el objeto de aplicar ambas formas de protección dentro de cada uno de los principios que hemos mencionado, definimos la seguridad lógica como la política y ejecución de labores prácticas de protección efectiva de los programas de cómputo, sistemas instalados, datos, procesos y en general del contenido de la información valiosa y pertinente que obre en una entidad y especialmente que sea tenida como un recurso vital dentro de la organización.

Por su parte, la seguridad física tiene una naturaleza similar, pues procura poner en funcionamiento políticas internas de la organización hacia todo tipo de usuarios, de manera que se regule la posibilidad de acceso a equipos de cómputo, espacios físicos, ejecución de respaldos periódicos de la información y otras prácticas más que se aplique de manera discriminatoria a los diferentes tipos de personas, en relación con la naturaleza de sus funciones, vinculación con la entidad, y la disponibilidad hacia ellos de la información protegida y resguardada.

Ambos tipos seguridad, si se quiere, son caras de una misma moneda, tanto así que la ejecución de algunas de estas prácticas de protección podría caer tanto dentro de la seguridad física como dentro de la seguridad lógica. Pensemos en el caso de los respaldos de información o el acceso a programas, que bien podrían ser consideradas acciones de protección física o lógica, tomando en cuenta que comparten mucha similitud y también guardan objetivos similares. Estos objetivos serán siempre coincidentes con los principios de integridad, confidencialidad y disponibilidad. De allí que afirmemos que entre ambos tipos de seguridad exista interdependencia y son igualmente necesarias y convergentes. Una no se concibe sin la otra, y carecería de sentido aplicar sólo un tipo en menoscabo del otro. Una vez más, la seguridad debe verse siempre de manera integral.

Empero, todo ello no es más que un ejercicio teórico, pues a fin de cuentas lo que interesa es que las acciones de seguridad de la información se lleven a cabo, independientemente de su denominación o clasificación. Este tema es particularmente sensible en las organizaciones modernas pues, infortunadamente, estas políticas de seguridad física y lógica no siempre existen dentro de ellas, o bien, se ejecutan en forma insuficiente. Una razón bien puede ser que la inversión económica en equipo tecnológico puede ser elevada, y las políticas de personal no siempre destinan a funcionarios de cómputo específicos para que se encarguen de labores de seguridad, sino que las funciones de éstos suele ser muy variada, desde mantenimiento de equipo hasta programación efectiva, según convenga al interés de la empresa o institución.

A pesar de todo, la creación de una política institucional de seguridad debería ser una meta para cualquier entidad, y su aplicación deberá ser un proceso constante, evolutivo y permanente. Por demás, siempre debe tenerse en consideración que la aplicación de una política sólida de seguridad informática, en sus aspectos físicos y lógicos, según vimos, no tiene que estar reñida con un plan servicio eficiente que el sistema de información preste a sus usuarios, ni debe sacrificarse la continuación del ejercicio funcional.

Protección de la información en el Convenio de Budapest.-

Además de la utilización de las soluciones técnicas que brindan la seguridad física y lógica, especialmente las que podemos encontrar en normas técnicas internacionales tan detalladas como la ISO 27000, existe otra forma eficaz de proteger el acervo de información, ya sea nacional o individual, pública o privada. Nos referimos a la utilización de normas jurídicas, especialmente la forma de prevención que brinda el Derecho Penal como alternativa de disuasión.

Así parece haberse entendido dentro del Convenio de Europa sobre Ciberdelincuencia, mismo que introduce, dentro de la parte sustantiva del Acuerdo, la protección de los datos informáticos (que es información propiamente dicha). No es casualidad que, en casi todos los artículos que conforman la parte penal sustantiva, se mencione la información y la necesidad de protegerla, entendida como “cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático” (artículo 1, inciso b), esto es, información creada, modificada, transmitida o recibida en formato digital y por medios electrónicos, la cual a su vez deberá ser susceptible de ser almacenada en contenedores magnéticos u ópticos. Tal concepto excluiría, en principio, la información que conste en otro tipo de formato, como el papel, celuloide, cintas magnéticas u otro medio físico capaz de representar o demostrar algo. No obstante, estos otros formatos son susceptibles de ser transformados en documentos electrónicos mediante un proceso de digitalización, esto es, conversión de un formato físico en digital, con lo cual estaría igualmente protegido como datos informáticos.

De igual manera, el artículo 2, párrafo segundo, se prevé el acceso ilícito como una forma agravada en la cual se quebranten medidas de seguridad y con la intención de obtener datos informáticos. Una vez más, no se trata simplemente del acceso no autorizado a un sistema informático, sino la intención de obtener información que esté dentro de ese sistema, no importa si es pública o privada. Lógicamente, los datos informáticos son más importantes que la parte física de los equipos.

Quizás el artículo que mejor representa este deseo de proteger la información es el tercero, que trata de la interceptación ilícita. En este caso, nos encontramos ante una conducta consistente en la interceptación intencional e ilegítima de datos informáticos comunicados en transmisiones no públicas efectuadas a un sistema informático, desde un sistema informático o dentro del mismo, incluidas las emisiones electromagnéticas procedentes de un sistema informático que contenga dichos datos informáticos.

Además, como complemento esencial, el artículo 4 del Acuerdo europeo prevé la interferencia en los datos, esto es, una conducta dolosa y no autorizada que dañe, borre o altere datos informáticos, lo cual muestra una vez más cuán importante es la protección de la información que esté contenida en un soporte informático.

Como puede concluirse, los datos e información, en sus diferentes manifestaciones, conforman el bien jurídico tutelado que se protege en la parte sustantiva del Convenio sobre Ciberdelincuencia, lo que constituye una perspectiva que debe ser tomada en cuenta por los códigos penales a la hora de elaborar los tipos correspondientes. No se trata solamente de castigar accesos no autorizados o la destrucción de datos informáticos, sino de tener claro que, en el fondo, es la información el bien jurídico que debe ser protegido.

¿En su país se protege la información pública o privada mediante estándares ISO o alguna norma técnica similar?

¿Otorga el sistema jurídico de su país suficiente protección a los datos e información como una forma de patrimonio personal y nacional?

Hozzászólások
Még nincsenek hozzászólások. Please sign in to comment.
Tools on Cybercrime & Electronic Evidence Empowering You!
Webtartalom-megjelenítő Webtartalom-megjelenítő

This tool is co-funded  by the GLACY  and Cybercrime@Octopus projects