UNIVERSIDAD NACIONAL DE SAN MARTN Facultad de Ingeniera de Sistemas e Informtica DERECHO INFORMTICO TEMA : El valor de la informacin de las empresas y el uso legtimo del correo electrnico
DOCENTE : Ing. Gilberto Paredes Garca integrantes : Urbina Snchez Al Shung Ventura Chuquipoma Mara E. Ros Sols David Ricardo
CICLO : IX SEMESTRE : 2014 I TARAPOTO PER 2
2014-I
NDICE
I. INTRODUCCIN ................................................................................................... 3 II. EL VALOR DE LA INFORMACIN EN LAS EMPRESAS .................................... 3 2.1. Por qu se pierden los datos? ................................................................... 4 2.2. Ejemplos de prdida de datos: .................................................................... 5 2.3. La prdida de informacin: .......................................................................... 5 2.3.1. Prdida de informacin por hechos fortuitos ...................................... 5 2.3.2. Perdida de informacin por robo ......................................................... 6 2.3.3. Sujeto pasivo de los delitos informticos............................................ 7 2.3.4. Sujeto activo en los delitos informticos ............................................ 7 2.4. Desarrollar polticas de seguridad ............................................................. 12 2.5. Ejemplos de prdidas de informacin escandalosos ............................... 13 III. EL USO LEGTIMO DEL CORREO ELECTRNICO .......................................... 15 3.1. Naturaleza Jurdica Del Correo Electrnico .................................................... 16 3.1.1. Como correspondencia o comunicacin ................................................. 17 3.1.2. Como conjunto de datos .............................................................................. 17 3.1.3. Como transmisor de material protegido por derechos de autor ....... 18 3.2. Tratamiento Del Correo Electrnico Segn Su Tipologa ........................ 20 3.2.1. Correo electrnico privado: ........................................................................ 20 3.2.2. Correo electrnico laboral: .......................................................................... 20 A) El correo proporcionado por patrono privado: ............................... 21 B) El correo proporcionado por la Administracin Pblica: ................ 22 IV. CDIGO DE BUENAS PRCTICAS PARA LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN - ISO/IEC 17799:2000 ........................................................... 23 4.1. Publicacin de la norma en el Peru ................................................................... 24 4.2 Directrices del estndar ......................................................................................... 24 V. Bibliografa ......................................................................................................... 25 VI. ANEXOS ............................................................................................................. 25
3
I. INTRODUCCIN Si Ud. piensa que la tecnologa puede resolver sus problemas de seguridad, entonces Ud. no entiende los problemas de seguridad y tampoco entiende la tecnologa SCHNEIER
En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz para obtener y conseguir informacin, lo que las ubica tambin como un nuevo medio de comunicacin. Segn el diccionario de la RAE, informtica es el conjunto de tcnicas empleadas para el tratamiento automtico de la informacin por medio de sistemas computacionales.
II. EL VALOR DE LA INFORMACIN EN LAS EMPRESAS El bien inmaterial que no se agota y se genera da a da es la informacin, valor imprescindible en la cultura de una sociedad moderna. Un conjunto de datos organizados y estructurados generan informacin y representa el elemento fundamental para la toma de decisiones en forma eficaz y eficiente, su caracterstica maleable al caso concreto le da el valor de relevancia para el fin que se utilice, su grado de importancia impone un atractivo para aquellos que identifican su potencial inserto
Este concepto genera frente al Derecho una sustantiva atencin ya que la salvaguarda de la informacin se constituye en uno de los derechos fundamentales del hombre, y frente al impacto tecnolgico, se ha conformado en una institucin jurdica denominada la intimidad, que se desprende del concepto de privacidad, depositado en aquellos datos personales de un individuo que lo definen como identificado o identificable. Este derecho no deja ajeno a una persona moral, a un gobierno o a un pas, es justamente el mayor atractivo para aquellos que conocen las bondades del desarrollo tecnolgico. 4
Segn la British Standards Institution: la informacin es la sangre de todas las organizaciones, y es en este mismo sentido que la proteccin de este vital elemento asegurar no solamente la vida y operacin adecuada de las organizaciones, sino que al reconocer entre las entidades la salud de su activo, dar certeza de los servicios que proporciona, siendo responsable en todo momento en su contexto y ante la sociedad.
En una encuesta realizada por Microsoft en el ao 2008, el 90% de los encuestados report problemas de seguridad en sus sistemas, y adems, segn el estudio ms detallado, el 85% de esos casos se hubiera evitado. El estudio arroj como respuesta ms frecuente, que entre los problemas de seguridad ms comunes fue el ataque de virus y la ineficiente configuracin de servidores. Entre los ms costosos problemas sigue siendo la utilizacin no autorizada de licencias y la sub-explotacin de la tecnologa.
Vivimos en un mundo que cambia rpidamente. Antes, podamos tenerla certeza de que nadie poda acceder a informacin sobre nuestras vidas privadas. La informacin era solo una forma de llevar registros. Ese tiempo ha pasado, y con l, lo que podemos llamar intimidad. La informacin sobre nuestra vida personal se est volviendo un bien muy cotizado por las compaas del mercado actual. La explosin de las industrias computacionales y de comunicaciones ha permitido la creacin de un sistema, que puede guardar grandes cantidades de informacin de una persona y transmitirla en muy poco tiempo. Cada vez ms y ms personas tienen acceso a esta informacin, sin que las legislaciones sean capaces de regularlos.
2.1. Por qu se pierden los datos? Muchas veces se pierden porque los usuarios comenten errores y borran sus datos de manera accidental. Pero, no solamente se encuentra el error humano o del sistema, tambin es importante tener en cuenta que hay otro tipo de prdidas, ya sea, por hackers que pueden borrar o alterar sus datos, por robos de las computadoras, por algn desastre natural como terremoto o incendios.
Segn un estudio realizado las causas por prdidas de informacin se deben a: Error humano, en un 55% Desastres y problemas tcnicos, en un 20% Empleados movidos por el nimo de lucro, en un 10% Empleados disgustados, en un 9% Virus, en un 4% Ataque externo, en un 2%
5
Estas prdidas de informacin pueden paralizar la actividad empresarial, temporal o definitivamente, dependiendo del calibre del desastre y de la dependencia que la empresa tenga respecto de su sistema informtico. Por otro lado, los costes y perjuicios econmicos que sufren pueden llevarles al cierre de su actividad.
2.2. Ejemplos de prdida de datos: - No ignore las luces rojas parpadeantes: La luz roja del servidor RAID de 5 discos que posea una empresa de alimentacin comenz a parpadear un buen da y, a pesar de que varios empleados alertaron al administrador de TI, ste no le dio mayor importancia. A las tres semanas, otro disco dej de funcionar y se perdi el acceso a los datos guardados en todos los discos del RAID, que supona un total de 375 GB de informacin.
- Enfermedad vrica: Una de las pautas de riesgo ms frecuentes en sistemas hogareos o empresariales es el ataque de malware, como el que afect a 30.000 puestos de trabajo en una petrolera de Oriente Medio. Por fortuna, hoy en da la tecnologa es lo suficientemente eficaz como para poder identificar el virus, reparar el dao y recuperar servidores crticos y estaciones de trabajo.
- Venganza de ex-empleados: Tras ser despedido, el ex-empleado de una cadena de comida rpida americana consigui iniciar sesin en la red corporativa a la que an tena acceso a travs de la conexin Wi- Fi gratuita del local para causar estragos. En este caso, adems de recuperarse varios TB de datos, se pudo identificar al autor gracias a la informacin de pago recogida por el restaurante.
2.3. La prdida de informacin: Se pueden clasifican en dos categoras: accidentales (fortuitos) y ataques maliciosos (robo). En esta ltima categora existen numerosos subgrupos, incluyendo virus informticos, ataques de denegacin deservicio y ataques de denegacin de servicio distribuido.
2.3.1. Prdida de informacin por hechos fortuitos De acuerdo al estudio, la mayor parte de la prdida de datos se registra precisamente donde stos son almacenados: en los data centers. Esto se debe a la falta de controles de seguridad en servidores, almacenamiento, contenido y redes. El problema empeora con el actual cambio generacional a los servicios de nube. Debido a la complejidad de estos data centers de nueva generacin y a la enorme cantidad de informacin que 6
administran, la seguridad debe ser considerada desde el diseo mismo del centro. De otro modo continuar creciendo la prdida de datos.
Entre los severos perjuicios econmicos que significan para las empresas la prdida o destruccin de datos destacan:
1.- Dao a la marca y prdida de confianza de los accionistas. 2.- Costos legales, demandas colectivas y costos de relaciones pblicas. 3.- Costos por multas y por notificacin a los afectados. 4.- Costos por monitoreo de crditos y por bienes y servicios para retener a clientes. 5.- Suspensin de servicio, investigaciones de seguridad y prdida de clientes e ingresos.
2.3.2. Perdida de informacin por robo La prdida de informacin tambin puede provenir de la accin de empleados descontentos o antiguos trabajadores despedidos por sus empresas, que con nimo de lucro o con el nico aliciente de fastidiar a sus empresas deciden robar o destruir la valiosa informacin de la misma.
Se han dado numerosos casos de empleados infieles que se apropian de documentos, archivos, o roban clientes de la cartera comercial con la intencin de perjudicar a su antigua empresa. En otros casos, lo que motiva a estos empleados a actuar as es el nimo de lucro, pretenden utilizar el trabajo realizado en su firma, como puede ser el desarrollo de una aplicacin informtica innovadora en el mercado, para hacerse con ella y "montar" su propio negocio.
Las empresas, adems de proteger sus datos e informacin, han de hacer firmar a sus trabajadores contratos blindados, registrar todos sus productos y en caso de ser objeto de un robo o intromisin ilegtima en sus sistemas informticos actuar rpidamente y poner el caso en manos de especialistas.
Hay que distinguir entre los sujetos que intervienen en un delito informtico, tanto como el sujeto pasivo y como el sujeto activo:
7
2.3.3. Sujeto pasivo de los delitos informticos En primer trmino tenemos que distinguir que sujeto pasivo o vctima del delito es el ente sobre el cual recae la conducta de accin u omisin que realiza el sujeto activo, y en el caso de los "delitos informticos" las vctimas pueden ser individuos, instituciones crediticias, gobiernos, etctera que usan sistemas automatizados de informacin, generalmente conectados a otros.
El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los "delitos informticos", ya que mediante l podemos conocer los diferentes ilcitos que cometen los delincuentes informticos, con objeto de prever las acciones antes mencionadas debido a que muchos de los delitos son descubiertos casusticamente por el desconocimiento del modus operandi de los sujetos activos.
Dado lo anterior, "ha sido imposible conocer la verdadera magnitud de los "delitos informticos", ya que la mayor parte de los delitos no son descubierto o no son denunciados a las autoridades responsables" y si a esto se suma la falta de leyes que protejan a las vctimas de estos delitos; la falta de preparacin por parte de las autoridades para comprender, investigar y dar tratamiento jurdico adecuado a esta problemtica; el temor por parte de las empresas de denunciar este tipo de ilcitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes prdidas econmicas, entre otros ms, trae como consecuencia que las estadsticas sobre este tipo de conductas se mantenga bajo la llamada "cifra oculta" o "cifra negra".
2.3.4. Sujeto activo en los delitos informticos Las personas que cometen los "Delitos informticos" son aquellas que poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas informatizados, aun cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisin de este tipo de delitos.
8
Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que lo que los diferencia entre s es la naturaleza de los cometidos. De esta forma, la persona que "entra" en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucin financiera que desva fondos de las cuentas de sus clientes.
El nivel tpico de aptitudes del delincuente es tema de controversia ya que para algunos en el nivel de aptitudes no es indicador de delincuencia informtica en tanto que otros aducen que los posibles delincuentes informticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnolgico, caractersticas que pudieran encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las personas que cometen los "delitos informticos", estudiosos en la materia los han catalogado como "delitos de cuello blanco", trmino introducido por primera vez por el criminolgico norteamericano Edwin Sutherland en el ao de 1943.
Efectivamente, este conocido criminlogo seala un sinnmero de conductas que considera como "delitos de cuello blanco", aun cuando muchas de estas conductas no estn tipificadas en los ordenamientos jurdicos como delitos, y dentro de las cuales cabe destacar las "violaciones a las leyes de patentes y fbrica de derechos, el mercado negro, el contrabando en las empresas, la evasin de impuestos, las quiebras fraudulentas, corrupcin de altos funcionarios entre otros".
Estas acciones son realizadas por sujetos que tienen conocimientos tcnicos especializados en tecnologas de la informacin y de la comunicacin y se denominan como:
a) Hacker. La palabra deriva de hack, que significa hacha, y es l termino que se usaba para describir la familiar forma en que los tcnicos telefnicos arreglaban cajas defectuosas, el bueno y el viejo golpe seco, y la persona encargada de ejecutar esos golpes se le llamaba naturalmente un hacker, este tipo de persona no es considerado propiamente un delincuente, se asemeja ms bien a un bromista que disfruta entrando en sistemas informticos privados y que toma esa actividad como un reto a sus conocimientos. 9
b) Cracker. La significacin deriva de la palabra en ingles crack, que significa romper, este tipo de personas trae aparejada la firme intencin de provocar un dao en los sistemas informticos de un tercero, lo cual constituye un autntico peligro, su terminacin er, connota al quebrador, o persona que se dedica a daar los sistemas informticos, ya por que se le pag o por motivos nocivos que bien pueden ser personales.
c) Phreacker. En castellano se denomina pirata, que manipula esencialmente los sistemas informticos de las compaas de telfonos, ahorrndose una considerable cantidad de dinero, puesto que activa telfonos convencionales y celulares piratas, constituyendo un grado de peligro para las empresas que manejan esta lnea comercial.
d) Lamer. Connota a la persona que su especialidad radica en utilizar cdigos fuentes de otros programadores para beneficio (una especie de plagio electrnico) propio sin hacer mencin del copyright (derechos de autor).
e) Sniffer. Del ingls sniff, que significa olfatear, este tipo de personas navega por la lnea internet de sistema en sistema, con la intencin de descubrir todo tipo de errores que pudieran vender o utilizar en su beneficio (robo de informacin, acceso a sistemas financieros, a secretos de patentes, al banco de informacin cientfica, etc.).
f) Graffitis. Deriva de la palabra grfico, y su conducta esencial estriba en rayar los sistemas informticos, al igual que en nuestra actualidad se rayan las paredes, estos se dedican a decorar la pgina web con sus creaciones pintorescas.
Un aspecto a diferenciar entre un hacker y un cracker puede ser que el primero crea sus propios programas, ya que tiene muchos conocimientos en programacin, y adems en varios lenguajes de programacin, mientras que el Segundo se basa en programas ya creados que puede adquirir normalmente, va Internet.
10
Otro aspecto lo es que el inters de un cracker es destrozar la mquina que hay al otro lado, vender informacin al mejor postor, destruyen datos, modifican ficheros, introducen en los programas cdigos malignos que crean problemas en el sistema donde se ejecutan, o sea, lo nico que hacen es crear problemas en la red; no es constructivo como un hacker, que trata de mejorar la red dando a conocer sus incursiones y los fallos que ha encontrado.
Las conductas ms comunes realizadas por el sujeto activo son:
A) Interceptacin de comunicaciones sin autorizacin B) Aprovechamiento de sistematizacin de la informacin contenida en bases de datos de sistemas o equipos de informtica.. C) Utilizacin de segmentos de red de sistemas o equipos informticos mediante el acceso indebido del equipo informtico o de los servicios de procesamiento de datos, bien sea en sitio o a travs de acceso remoto del que puede resultar la obtencin de la informacin. D) Destruccin total o parcial de la informacin contenida en sistemas informticos dirigidos a causar un perjuicio sobre bienes patrimoniales, tanto para el titular como al usuario del sistema.. E) Difusin, distribucin y reproduccin mediante sistemas o equipos de informtica de informacin relativa a la pornografa infantil (corrupcin de menores) y el lenocinio. 15 F) Difusin, distribucin y reproduccin mediante sistemas o equipos de informtica de informacin (software) contenida en otros sistemas informticos, lo que actualmente se concibe como fraude informtico, espionaje industrial. . G) Aprovechamiento indebidos o violacin de un cdigo para penetrar un sistema introduciendo instrucciones inapropiadas. . H) Negacin de acceso autorizado a sistemas y equipos de informtica I) Abuso y dao de informacin en introduccin falsa de informacin al sistema o equipo informtico. J) Copiar y distribuir programas de cmputo en equipos o sistemas informticos k) Terrorismo ciberntico.
11
Para ejecutar las acciones descritas anteriormente, el sujeto activo aplica diversas tcnicaspara su ejecucin:
1) El caballo de Troya: consiste en introducir en un programa de uso habitual una rutina o conjunto de instrucciones, por supuesto no autorizado, para que dicho programa acte en ciertos casos de forma distinta a como estaba previsto. Es un mtodo difcil de detectar pero fcil de prevenir instituyendo estrictos procedimientos de catalogacin y descatalogacin de programas de forma que sea imposible acceder a ningn programa para su modificacin sin los correspondientes permisos, y una vez que ste haya sido modificado, comprobar que el programa funciona correctamente, modificado en lo que se pretenda y que el resto siga igual. 2) Tcnica del salami: consiste en introducir o modificar unas pocas instrucciones en los programas para reducir sistemticamente las cuentas bancarias, los saldos de proveedores transmitindola a una cuenta virtual. Es de fcil realizacin y de difcil comprobacin.
3) Tcnica del superzaping: consiste en el uso no autorizado de un programa de utilidad para alterar, borrar, copiar, insertar o utilizar en cualquier forma no permitida los datos almacenados en la computadora.. El nombre proviene de un programa de utilidad conocido como SUPERZAP que es como una llave que abre cualquier rincn de la computadora por protegido que pueda estar, es un programa de acceso universal. Generalmente al detectar la alteracin de los datos se piensa que es un mal funcionamiento de la computadora.
4) Tcnica de puertas falsas. Este mtodo consiste en interrupciones producidas que los programadores hacen para el chequeo del programa con lo que se dejan puertas falsas para entrar en l. El problema que se presenta es tener la certeza de que cuando los programas entran en proceso de produccin normal todas las puertas falsas hayan desaparecido.
5) Tcnica de creacin de bombas lgicas: consiste en introducir en un programa un conjunto de rutinas generalmente no utilizadas para que en una fecha o circunstancia predeterminada se ejecuten,, desencadenando la destruccin de la informacin almacenada en la 12
computadora distorsionando el funcionamiento del sistema,, provocando paralizaciones intermitentes.
6) Ataques asincrnicos: la tcnica se basa en la forma de funcionar de los sistemas operativos y sus conexiones con los programas de la aplicacin a los que sirve y soporta en su ejecucin. En virtud de que los sistemas operativos funcionan en forma asincrnica, estableciendo colas de espera que van desbloqueando en funcin de la disponibilidad de los datos o recursos que se esperaban. Esta tcnica es poco utilizada en virtud de su complejidad.
7) Aprovechamiento de informacin residual: se basa en aprovechar los descuidos de los usuarios o tcnicos informticos para obtener informacin que ha sido abandonada sin ninguna proteccin como residuo de un trabajo real efectuado con autorizacin.
8) Divulgacin no autorizada de datos reservados: sustraccin de informacin confidencial o espionaje industrial.
2.4. Desarrollar polticas de seguridad La seguridad en cualquier organizacin por muy pequea que sea, exige la adopcin de firmes polticas de seguridad, que como anteriormente sealamos puede ser de naturaleza fsica, lgica y jurdica. Las aportaciones que la tecnologa nos brinda se traducen en la implementacin de mecanismos y software de comprobada, eficacia a saber:
Realizar copias de seguridad de los dispositivos: Algunos empleados se llevarn sus equipos fuera de la oficina y con ello aumenta el riesgo de que el equipo se estropee, se pierda, etc. Hay que asegurarse de que se tienen copias bajo control de la informacin contenida en los dispositivos.
Proteger y securizar los documentos importantes que estn el equipo: Es necesario comprobar que los documentos importantes van protegidos y, aunque el dispositivo se pierda, no se corre el riesgo de perder datos crticos. Especialmente si son datos regulados, personales de terceros y protegidos por la LOPD. Por otro lado, si se necesita sacar documentacin en USBs, etc. para trabajar en los dispositivos personales, fuerza a que la documentacin vaya protegida y bajo control. 13
Proteger los documentos importantes del acceso de personal temporal: En los periodos de vacaciones es habitual que ciertos empleados trabajen de forma temporal en las empresas por un periodo corto de tiempo. Es de vital inters proteger toda la informacin o documentacin importante a la que tienen acceso, de forma que se pueda denegar dicho acceso una vez que se hayan ido, incluso aunque hayan podido copiarla o llevarla fuera de la oficina.
Actualizar los equipos, antivirus, etc. de los empleados antes de que se vayan de vacaciones: As te asegurars de que los equipos estn protegidos frente a posibles amenazas, uso para navegacin por diferentes webs para ocio, etc.
Advierte a los empleados del peligro de conectarse a redes WIFI pblicas: Se deben tomar precauciones antes de conectarse a redes WIFI y evitar el uso de redes WIFI abiertas. Si no se utilizan conexiones convenientemente cifradas, es posible que seamos vctimas de robos de contraseas, etc.
2.5. Ejemplos de prdidas de informacin escandalosos
- Lets Bonus. 50 millones de cuentas comprometidas En abril los servidores de LivingSocial, la propietaria de LetsBonus, fueron hackeados. Segn un comunicado oficial La nica informacin que podra haberse visto afectada se limita a nombre, direccin de correo electrnico, fecha de nacimiento y contrasea. En todos los casos, las contraseas estn encriptadas, por lo tanto resulta muy poco probable que pudieran ser descifradas. Los datos de las tarjetas de crdito/dbito no se han visto afectados en ningn momento.
- Cupid Media: 42 millones de contraseas afectadas La empresa con sede en Australia, Cupid Media, que se especializa en citas online fue hackeada el pasado enero. En teora los ciberdelincuentes tuvieron acceso a 42 millones de contraseas de sus usuarios. La mala noticia es que stas estaban sin cifrar, lo que pone de manifiesto la poca profesionalidad de esta empresa.
- Adobe: 38 millones de cuentas afectadas Otro caso importante fue el de Adobe. Al principio pareca que el problema solo afectaba a alago menos de 4 millones de cuentas, pero investigaciones posteriores demostraron que se vieron afectadas 38 millones de cuentas. 14
Otro punto a tener en cuenta era la deficiente seguridad a la hora de cifrar las contraseas, ya que una empresa de ese calibre debera emplear los sistemas ms avanzados para proteger a sus usuarios, pero se vio que este no era el caso.
- YahooJapan: 22 millones de IDs en manos de los malos En este caso, todo parece indicar que nicamente fueron los IDs los que se vieron afectados. Aunque parece poca cosa, los ciberdelincuentes ahora disponen de una base de datos de 22 millones de cuentas.
- Facebook reconoce una fuga de datos En junio Facebook reconoca una fuga de datos que afectaba al telfono y correo electrnico de 6 millones de sus usuarios. Sin embargo, investigaciones posteriores afirmaban que el nmero de afectados era mucho mayor. Adems hubo otros casos, que aunque menores en el nmero de afectados, tambin tuvieron gran repercusin al ser servicios extensamente utilizados. Por ejemplo podemos citar el caso del gestor de contenidos Drupal o el de gestor de foros vBulletin.
- Amazon Un caso bastante sonado fue el de una serie de cortes en la nube de servicios Web de Amazon provocando que decenas de empresas vieran como sus servicios se bloqueaban y perdan varios de sus datos. En estas ocasiones, por pequeas que sean las prdidas de informacin, se convierten en graves contratiempos para las empresas. Se es consciente que una prdida de datos, por pequea que sea, puede provocar daos incalculables para una empresa?
- Telvent Una cada general de ms de 13 horas en el Data Center Telvent, uno de los ms importantes de Espaa, acab concluyendo en un incendio. Se convirti en un desastre que afect a empresas como Ya.com, Spanair, Realmadrid.com o cope.es. Debido a la naturaleza de un Data Center el problema es an peor y la capacidad de reaccin y solucin tiene que ser prcticamente inmediata, ya que las empresas han confiado ah toda su informacin.
- Dropbox La plataforma de almacenamiento online Dropbox sufri un hackeo por parte de piratas informticos. stos consiguieron acceder a las cuentas de varios usuarios e hicieron apropiaciones ilcitas de sus datos, entre ellos contraseas y cuentas. Se tardaron dos semanas en saber qu es 15
lo que pasaba. Es segura una plataforma como esta para almacenar nuestros datos? Lo que est claro es que al ser un servicio gratuito, no se pueden pedir explicaciones ni soluciones inmediatas.
III. EL USO LEGTIMO DEL CORREO ELECTRNICO El e-mail, correo electrnico o servicio de mensajera interpersonal, se ha convertido en una herramienta de comunicacin eficaz dentro de las instituciones pblicas y privadas y para el uso personal de los usuarios independientes. El correo electrnico ofrece una inmediatez en el envo de mensajes, sin necesidad de que el emisor y el receptor estn conectados simultneamente.
Efectivamente, el correo electrnico ha permitido la desaparicin de las fronteras para el desarrollo de relaciones humanas y ha impulsado el comercio internacional facilitando el acceso a productos e informacin puestos a disposicin de quien lo desee. Otro de los usos que se le ha adjudicado a este medio es la educacin a distancia, pues ha posibilitado el contacto entre estudiantes y profesores independientemente del sitio geogrfico en el que se encuentren.
Estos cambios que ha introducido la tecnologa coadyuvaron a la reforma del mundo jurdico que ha entrado en una nueva etapa de desafos, sobre todo cuando estn en juego los derechos fundamentales de los usuarios. El ordenamiento jurdico debe hacer frente a esos cambios introducidos en la sociedad de la informacin para proteger los intereses y derechos de los ciudadanos que vean sus derechos constitucionales afectados.
La tecnologa ha sido capaz de generar cambios tan dramticos en la vida econmica, laboral y en la vida cotidiana actual, que es preciso redimensionar la proteccin a favor de ciertos derechos de los ciudadanos, con el fin de que no se vean menoscabados ante la vulnerabilidad en la que se encuentran a raz de la revolucin tecnolgica.
El derecho a la intimidad como pilar fundamental de la proteccin a la individualidad de la persona se ha visto vulnerado por el trasiego indiscriminado de datos que sobrepasa las fronteras y la soberana de cada regin, con una rapidez y facilidad sorprendentes. Igualmente, este derecho es hoy objeto de estudio ante el uso del correo electrnico en el tanto la interceptacin de mensajes por ese medio puede significar una intromisin en la vida privada del usuario.
Internet introdujo una modalidad de tratamiento invisible de los datos que se ha acentuado a travs del comercio electrnico. Todos los das miles de ciudadanos proporcionan sus datos personales (identifica torios de la 16
personalidad y hasta crediticios) de forma expresa o tcita a empresas pblicas y privadas a travs de Internet, generalmente utilizando su direccin de correo digital. Eso provoca que las empresas realicen ciertos tratamientos de datos que no son perceptibles al usuario, ya sea porque se presentan en principio como intrascendentes o bien porque se obtienen sin el consentimiento del usuario o a expensas de omisiones ilegtimas de informacin que afectan su autodeterminacin informativa.
3.1. Naturaleza Jurdica Del Correo Electrnico El correo electrnico es un nuevo medio de comunicacin que permite la transmisin de datos, el flujo o distribucin de material protegido por el derecho de autor, transacciones econmicas y correspondencia en general. Este servicio de Internet se define de la siguiente forma:
"El correo electrnico constituye un servicio de mensajera electrnica que tiene por objeto la comunicacin no interactiva de texto, datos, imgenes o mensajes de voz entre un "originador" y los destinatarios designados y que se desarrolla en sistemas que utilizan equipos informticos y enlaces de telecomunicaciones."
Ignacio Garrote resume la funcionalidad del correo electrnico diciendo que: "El correo electrnico incluye tanto los mensajes de una persona a otra como de una persona a varias. Su funcionamiento es similar al del correo tradicional. Define distintos "buzones" que contienen los archivos en los que almacenan los mensajes recibidos, enviados, redactados, etc. Tambin es posible adjuntar a los mensajes de correo electrnico archivos de imgenes, sonido y texto. En una variante del correo electrnico tradicional, las listas de distribucin envan automticamente mensajes a las personas suscritas, funcionando como "boletines" de avisos con una frecuencia peridica. Al enviar un mensaje a una lista concreta, ste es recibido por todas las personas suscritas. La propia lista de correo es una base de datos que contiene las direcciones de correo electrnico de todos sus suscriptores."
Dependiendo de la perspectiva desde la cual se le analice, el correo electrnico posee una distinta naturaleza. En general, tiene una naturaleza mltiple que analizaremos en tres vertientes, retomando la clasificacin inicial que haca Corripio en la obra citada supra:
17
3.1.1 Como correspondencia o comunicacin: El correo electrnico posee una idntica naturaleza a la del correo tradicional, con la diferencia de que las comunicaciones (equivalente de la carta ordinaria) se transmiten a travs de la Red mediante tecnologa digital. Por tanto, el email se encuentra protegido igualmente, pues su equivalencia con el correo tradicional es evidente. Por ello en principio y como norma bsica, el correo electrnico tambin es inviolable y no puede ser interceptado, abierto, manipulado, retenido o violentado de cualquier forma sin autorizacin judicial o con el consentimiento expreso del usuario de la cuenta. Al efecto, la Constitucin Poltica establece:
"Se garantiza el secreto de las comunicaciones, y en especial, de las postales, telegrficas y telefnicas salvo resolucin judicial" Si coincidimos que la naturaleza del email es una comunicacin, queda por lo tanto protegido por esta norma, aunque una redaccin ms precisa y acorde con las nuevas tecnologas, debera indicarlo expresamente.
La informacin que consta en torno al correo electrnico pertenece a la vida privada tanto si nos referimos al contenido de los mensajes como a la direccin IP que queda evidenciada en una transmisin y a la misma direccin electrnica (elemento identificatorio como el ID del correo electrnico as como el elemento que determina el servidor que proporciona el servicio) todo lo cual va a constar como datos personales del usuario, segn lo veremos ms adelante.
Dentro de esta perspectiva del correo electrnico como una correspondencia, tanto los datos recibidos como los datos enviados desde la cuenta de correo, constituyen elementos protegidos bajo el principio de inviolabilidad de las comunicaciones.
3.1.2 Como conjunto de datos: El correo electrnico es un conjunto de datos personales del usuario y como tal, su manipulacin se encuentra supeditada a las normas relativas a la proteccin de datos personales.
Con los datos obtenidos a travs de una cuenta de correo se puede constituir el perfil de un usuario, quedando vulnerada con ello su intimidad, su vida privada. Por ejemplo, a simple 18
vista una direccin puede evidenciar el nombre y apellidos del usuario, el lugar geogrfico de origen, su lugar de trabajo e incluso aspectos ms delicados como su inclinacin poltica, religiosa o sexual, dependiendo del servidor que proporcione la direccin de correo o el nombre de dominio. En el caso que el usuario haya proporcionado ms datos de su vida privada en el momento de adquirir la cuenta, tambin desde su perfil se pueden determinar nmeros de telfono, direccin domiciliaria, gustos o incluso su profesin.
Dentro del conjunto de datos tambin la transmisin de mensajes electrnicos hace posible que pueda averiguarse la direccin IP del usuario (protocolo de Internet) que es en s misma un dato personal, pues si se llega a descifrar la misma, se puede identificar la terminal del usuario (y en ocasiones con cierta destreza acceder a sus archivos) pero tambin la situacin nominativa del titular.
Todo esto pone en evidencia que el correo electrnico condensa una serie de datos del individuo, cuya manipulacin (muchas veces invisible para el usuario) podra poner en vulnerabilidad su derecho a la autodeterminacin informativa.
3.1.3 Como transmisor de material protegido por derechos de autor: Finalmente, la naturaleza del correo electrnico puede ser analizada desde la perspectiva del derecho de autor, en el tanto sea un medio de comunicacin por el que se transmitan obras literarias, cientficas o artsticas. Al permitir el trasiego de documentos en formato de texto, imagen o sonido, e incluso archivos multimediales, el correo electrnico se ha constituido en una herramienta de difusin de material protegido por el derecho de autor. De all que pudiera ser un medio que ponga en flaqueza los derechos de propiedad intelectual en la medida que el trasiego de material protegido a travs de esta mensajera sea indiscriminado, ilegtimo y lesione el normal comercio de las obras. El email efectivamente transporta material que ha sido digitalizado y por ende es de fcil transmisin, e imperceptible salvo para el emisor y los destinatarios, lo cual es uno de los problemas derivados de las nuevas tecnologas.
"Una de las primeras cuestiones a dilucidar hace referencia al proceso que permite el tratamiento de la informacin en las 19
redes telemticas: la digitalizacin. Consiste resumidamente en la conversin de cualquier modalidad de informacin a un cdigo binario, asignando a cualquier unidad mnima dotada de significado propio una determinada combinacin que posteriormente decodificar el ordenador para convertirla de nuevo en el mensaje originario. La cuestin que se plantea es si tal accin puede implicar un atentado contra la integridad de la obra."
El contenido mismo del mensaje de correo (an si no se transmite una obra literaria, artstica o cientfica) sera susceptible de proteccin en calidad de derechos de autor del titular de la cuenta, por cuanto si constituye una naturaleza similar a la de los correos ordinarios o cartas , la obra estara protegida por ser precisamente una carta personal pero en formato digital Para ello, deber ser original, que no sea un mero mensaje informativo y que contenga las caractersticas de identificacin de la personalidad.
Sobre la proteccin del contenido de los correos electrnicos a partir de la propiedad intelectual, dice Asensio lo siguiente:
"Ahora bien, la proteccin por la propiedad intelectual del contenido de los mensajes de correo electrnico resultar limitada, en particular tratndose de breves mensajes de texto. No slo por las restricciones de los artculos 31 y siguientes del LPI, sobre todo respecto al contenido informativo de los mensajes, y del artculo 51 sobre la transmisin de los derechos del autor asalariado, sino fundamentalmente porque en la medida en que estos mensajes de texto son con frecuencia obras muy sencillas se reduce la posibilidad de que presenten el necesario carcter original, ste s estar presente con frecuencia cuando se trate sobre ciencia, poltica, cultura o sectores muy especializados, pero normalmente quedarn al margen de la tutela especfica de la propiedad intelectual, entro otros, los mensajes referidos en trminos comunes a asuntos habituales, cuestiones tcnicas simples o cartas comerciales..."
Debemos anotar, sin embargo, que en su mayora los correos electrnicos con simples mensajes con redaccin suscitan que permiten la interaccin de un modo muy similar a las conversaciones simultneas, pero en formato escrito, por lo que pocas veces constituirn material semejante a un epistolario digital. 20
3.2. Tratamiento Del Correo Electrnico Segn Su Tipologa A partir de su naturaleza existe una la tipologa de correos electrnicos en virtud de la cual se ha desatado una polmica en torno a la legalidad de la interceptacin del correo y la propiedad de los mensajes que se transmiten por este medio de comunicacin.
3.2.1. Correo electrnico privado: Este correo es de uso estrictamente personal y por ende no puede ser manipulado, interceptado, intervenido o alterado de alguna forma si no se posee una autorizacin judicial, pues corresponde legtimamente a una naturaleza idntica a la del correo tradicional y por ende se encuentra protegido por la intimidad en las comunicaciones y por el derecho a la intimidad.
La propiedad de los mensajes que se transmiten por este medio es del titular de la cuenta de correo (del usuario que recibe el servicio) y no del servidor que ofrece el servicio (pues es un simple administrador tcnico, una vez que proporciona la facilidad de acceso) y que por consiguiente se encuentra obligado a adoptar las medidas necesarias para proteger al usuario tanto en la manipulacin de sus datos, como en lo que respecta a medidas de seguridad para evitar que su correspondencia sea violentada por un tercero no autorizado.
El usuario por su parte, queda obligado a adoptar sus propias medidas de seguridad como el resguardo de la clave, password o pin que se le concede para el acceso exclusivo a su cuenta y a utilizar el servicio segn las condiciones que acepte en el contrato de suscripcin.. 3.2.2. Correo electrnico laboral: La naturaleza del correo electrnico laboral propone una nueva interpretacin en la medida que se considera que su titular (trabajador o servidor pblico) no es el dueo de la cuenta sino que lo es el patrono que proporciona la misma para fines exclusivamente laborales y por ende las normas deben tender en este caso a proteger los intereses de una persona jurdica como nuevo titular de la cuenta de correo, que la asigna a un funcionario o trabajador para su uso y administracin en nombre del cargo que desempea y para fines estrictamente laborales.
Si el trabajador puede acceder por su cuenta a ese servicio de mensajera digital, no existe razn alguna por la cual deba utilizar las cuentas de correo asignadas en su trabajo para fines 21
personales, pues estn en juego intereses de la empresa tales como el tiempo invertido por el trabajador para atender asuntos personales, el uso del equipo de la empresa, la imagen de la empresa, la vulnerabilidad de la seguridad de las comunicaciones de la empresa y sobre todo la actuacin en nombre de la empresa .
El correo electrnico laboral lo constituye aquella cuenta proporcionada por el patrono privado o bien por la Administracin Pblica a sus trabajadores o servidores pblicos (segn corresponda), generndose as dos sub-categoras de correo que son:
a) El correo proporcionado por patrono privado: En la empresa privada existe un porcentaje importante de trabajadores que laboran con cuentas de correo electrnico proporcionadas por sus patronos o empresas para el ejercicio de sus funciones. En este sentido, el trabajador posee una cuenta que si bien puede contener su nombre para identificacin del usuario y la identificacin de su persona con los actos que gestiona a travs de su cuenta, tambin contiene un elemento que distingue a la empresa y por medio del cual quedan fusionadas todas sus actuaciones con esa empresa que le otorga la cuenta. Por ello, cada actuacin que realice el usuario, indefectiblemente ser una actuacin que un tercero que reciba un mensaje por esa va, identificar con la empresa que aparece en la direccin digital.
En este sentido, el patrono puede vigilar el uso que se le d al correo electrnico sin previo aviso y sin intervencin judicial, pues se trata de sus cuentas de correo, de sus activos empresariales, de sus documentos laborales; siempre bajo el respeto de la autoridad jerrquica que rige en cada institucin, y bajo el entendido de que el trabajador fue debidamente advertido que no estaba autorizado a ejercer ningn uso personal o privado de la cuenta de correo asignada. Sobre este punto, es importante resaltar que en el caso de asignacin de una cuenta de correo laboral (privado o de la Administracin Pblica) se debe informar al trabajador de las limitaciones sobre el uso de tal herramienta.
En este sentido se debe distinguir entre el mensaje que se enva desde el correo electrnico laboral del que se recibe en 22
esa misma direccin. El que se enva es responsabilidad exclusiva del trabajador usuario de la cuenta, pero el que se recibe es exclusiva responsabilidad del emisor externo, exigindosele al trabajador el mnimo deber de diligencia en la manipulacin de ese mensaje, de modo que en ningn modo dae al patrono, como sera la recepcin de un archivo contaminado con un virus, de material que afecte derechos fundamentales del usuario o de terceros o que atente contra la seguridad general de la empresa, etc.
b) El correo proporcionado por la Administracin Pblica: En el caso de la Administracin Pblica, tambin se conceden cuentas de correo a los funcionarios o servidores pblicos e incluso existen universidades estatales que proporcionan cuentas de correo electrnico a los estudiantes, con la particularidad que las cuentas identifican al usuario con el Gobierno Central o descentralizado de un Estado.
En el caso de las cuentas que poseen los estudiantes (investigadores, tesiarios, etc.), se les conceden para fines acadmicos, administrativos o de investigacin relativos a su condicin de estudiantes, y por ende deben hacer uso de tales cuentas de correo para los fines que se les asign la misma o con la diligencia especial de un cdigo deontolgico de comportamiento del estudiante. La educacin a distancia ha facilitado estos servicios para hacer ms efectiva la comunicacin entre estudiantes y el personal docente, por lo que cada vez se hacen ms comunes. Una vez terminada la relacin entre la institucin de enseanza pblica y el estudiante, la cuenta de correo pierde razn de ser y debe ser cancelada por razones de seguridad y economa de recursos.
En el caso de las cuentas asignadas a los funcionarios pblicos, estas se asignan para que ejerzan sus funciones ordinarias y para permitir la comunicacin entre los servidores pblicos, las instituciones estatales y los ciudadanos.
Si bien en el caso de los estudiantes solo se les exigira un uso adecuado y razonable de su cuenta, supeditndola a asuntos acadmicos y administrativos, en el caso de los funcionarios la situacin es distinta pues muchos de los mensajes que envan por ese medio pueden constituirse en documentos pblicos, cuya publicidad por ende sera obligatoria. 23
Hay aqu dos asuntos que interesan:
El derecho de acceso est relacionado al derecho que ostentan los ciudadanos de participar en su gobierno, controlando, criticando y velando por el buen funcionamiento de sus instituciones. Por tanto, no existira motivo alguno que limite ese derecho de acceso a los documentos que constan archivados o que se trasieguen por correo electrnico, sobre todo si ste es en s mismo una base de datos.
Sin embargo, si bien ese acceso es libre, debe ser controlado. Al efecto, deben establecerse responsabilidades de administracin y manipulacin del correo administrativo pues el acceso solo debe ser autorizado con ciertas medidas de seguridad bsicamente para evitar la alteracin del contenido de los documentos o irrupciones no autorizadas en los sistemas informticos del Estado o sus archivos.
Tanto en el correo laboral de empresa como en el administrativo, debe procurarse la proteccin de los documentos que resguarden el secreto profesional. En este sentido, debe considerarse que la norma sobre el secreto profesional trata de secretos precisamente, no de documentos de trmite pblico. Se protege el derecho de intimidad de los clientes o de los administrados, pero no cobija este aspecto el acceso a todo documento pblico ordinario que se tramite por email. Por ejemplo, es lcito considerar privados dentro de la Administracin Pblica, documentos sobre los datos personales de funcionarios que consten en una Oficina de Recursos Humanos o trmites legales en proceso de investigacin que pudiesen poner en entredicho un secreto de sumario o investigacin . IV. CDIGO DE BUENAS PRCTICAS PARA LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN - ISO/IEC 17799:2000 ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de Informacin technology - Security techniques - Code of practice for information security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar 24
ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.
4.1. Publicacin de la norma en el Peru En Per la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones pblicas desde agosto del 2004, estandarizando de esta forma los diversos proyectos y metodologas en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisin de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI (www.ongei.gob.pe).
4.2 Directrices del estndar ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)". La versin de 2005 del estndar incluye las siguientes once secciones principales: Poltica de Seguridad de la Informacin. Organizacin de la Seguridad de la Informacin. Gestin de Activos de Informacin. Seguridad de los Recursos Humanos. Seguridad Fsica y Ambiental. Gestin de las Comunicaciones y Operaciones. Control de Accesos. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. Gestin de Incidentes en la Seguridad de la Informacin. Gestin de Continuidad del Negocio. Cumplimiento. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades. 25
Con la aprobacin de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeracin 27.000 para la seguridad de la informacin, se espera que IGFSO/DIEC 17799:2005 pase a ser renombrado como ISO/IECCZ 27002 en la revisin y actualizacin de sus contenidos en el 2007.
V. Bibliografa
1. <http://www.ordenjuridico.gob.mx/Congreso/pdf/133.pdf> 2. <http://www.monografias.com/trabajos17/delitos-informaticos/delitos- informaticos.shtml> 3. <http://www.individual.efl.es/ActumPublic/ActumG/MementoDoc/MPEN_ 09850_10020.pdf> 4. Martinez Celso (2004), El valor de la informacin, su administracin y alcance en las organizaciones, CI pag 10-20
VI. ANEXOS Caso: Correo electrnico
Instrucciones: Lee el caso que se te presenta y responde las preguntas que se te presentan.
La poltica de tu empresa establece que los correos electrnicos forman parte de la correspondencia de la compaa y, por ende, estn sujetos a revisin. Aunque los detalles de tal poltica se incluyen en el grueso documento de induccin que se entrega a todo empleado de nuevo ingreso, en su mayora los empleados desconocen su existencia, y la mayor parte de quienes s la conocen, no creen que la compaa examine realmente su correo electrnico ni otras de sus actividades de Internet.
Tu jefe entrega la contrasea de las cuentas de correo electrnico de todas las personas a tu cargo y te solicita que examines sus contenidos. Tiene cierta duda, pero sin evidencia definitiva, de que uno de sus subalternos o bien podra estar en plticas con un competidor para irse a trabajar con l o, quiz podra estar filtrndoles informacin confidencial de marketing. Tu jefe te advierte, de manera especfica, que no te fes de lo escrito en el rengln de Asunto del correo electrnico, porque cualquiera que sea un poco listo y que estuviera realizando algo poco tico no anunciara ah la verdadera intencin del correo 26
electrnico. l quiere que leas de principio a fin todos los correos electrnicos que han transmitido en las ltimas cuatro semanas, y que luego les des seguimiento durante algunas semanas ms, hasta que se pruebe si la acusacin es real o infundada. Adems, transfiri a otro gerente un modesto proyecto tuyo, para asegurarse de que tendrs tiempo de concluir la revisin durante la prxima semana.
1. Qu haras? Aceptaras la tarea?
2. En tu caso, por qu la aceptaras? o por qu la rechazaras?
3. Si no quisieras hacerte cargo de la tarea, cmo podras rechazarla sin afectar la relacin con tu jefe y sin perjudicar tu carrera?
4. Sera tico leer los correos electrnicos que los empleados consideran comunicaciones privadas?
5. Sera tico no comunicar a los empleados lo que ests a punto de hacer?