Beruflich Dokumente
Kultur Dokumente
2004
ESTRATEGIA DE SEGURIDAD CIBERNETICA
(RESOLUCION)
AG/RES. 2004 (XXXIV-O/04)
LA ASAMBLEA GENERAL,
RECONOCIENDO:
CONSIDERANDO:
Las resoluciones 55/63 y 56/121 de la Asamblea General de las Naciones Unidas sobre la
lucha contra la utilizacin de la tecnologa de la informacin con fines delictivos, la resolucin
57/239 relativa a la creacin de una cultura mundial de seguridad ciberntica y la resolucin 58/199
sobre creacin de una cultura mundial de seguridad ciberntica y proteccin de las infraestructuras
de informacin esenciales; y
RESUELVE:
- -
marco para promulgar leyes que protejan los sistemas de informacin, impidan el uso de
computadoras para facilitar actividades ilcitas y sancionen el delito ciberntico.
ANEXO A
INTRODUCCIN
De forma similar, en la Conferencia Especial sobre Seguridad (ciudad de Mxico, Mxico, del 28
al 20 de octubre de 2003) los Estados Miembros consideraron el tema de la seguridad ciberntica y
acordaron lo siguiente:
Reafirmamos nuestro compromiso de desarrollar e implementar una estrategia integral de la OEA sobre
seguridad ciberntica, utilizando las contribuciones y recomendaciones elaboradas conjuntamente por
los expertos de los Estados Miembros y por el Grupo de Expertos Gubernamentales de la REMJA en
Materia de Delito Ciberntico, el CICTE, la Comisin Interamericana de Telecomunicaciones (CITEL) y
otros rganos apropiados, teniendo en cuenta el trabajo que desarrollan los Estados Miembros
coordinado con la Comisin de Seguridad Hemisfrica.2/
Los estados del Hemisferio, reunidos en el cuarto perodo ordinario de sesiones del Comit
Interamericano contra el Terrorismo (CICTE) (Montevideo, Uruguay, del 28 al 30 de enero de 2004), una
vez ms declararon su compromiso de combatir el terrorismo, incluidas las amenazas a la seguridad
ciberntica, la cual identificaron como una de las amenazas terroristas emergentes.3/ en esa ocasin, el
CICTE tambin consider el documento Marco para establecer una Red Interamericana CSIRT de
Vigilancia y Alerta.4/ En esa ocasin el CICTE tambin decidi celebrar, en Ottawa, Canad, en marzo de
2004, una reunin de expertos o practicantes gubernamentales para considerar ese Marco y elaborar
recomendaciones, como aporte del CICTE a la Estrategia Interamericana Integral de Seguridad
Ciberntica.
La Estrategia tambin reconoce que un marco eficaz para la proteccin de las redes y sistemas
de informacin que integran la Internet y para responder a incidentes y recuperarse de los mismos
depender en igual medida de que:
Se promueva la adopcin de polticas y legislacin sobre delito ciberntico que protejan a los
usuarios de Internet y prevengan y disuadan el uso indebido e ilcito de computadoras y redes
informticas, respetando a su vez la privacidad de los derechos individuales de los usuarios de Internet.
CICTE: Formacin de una Red Interamericana de Vigilancia y Alerta para la rpida divulgacin de
informacin sobre seguridad ciberntica y la respuesta a crisis, incidentes y amenazas a la seguridad
informtica
Principios
Los grupos de vigilancia y alerta que participarn en la iniciativa del CICTE compartirn los
siguientes principios comunes:
Locales La red hemisfrica debe ser manejada y controlada por los puntos nacionales de contacto en
cada pas participante nombrados por los gobiernos.
5. Anexo I.
- -
Responsables Deben entenderse y seguirse las reglas establecidas con respecto a cuestiones tales
como el manejo y el suministro de la informacin, ya que de otra manera los usuarios perderan la
confianza y los esfuerzos para proteger el sistema se vern perjudicados e incluso sern
contraproducentes.
La creacin de una red hemisfrica de CSIRT requerir una serie de medidas progresivas que
dependern de la participacin activa de los Estados Miembros:
Establecimiento de un modelo de servicio Los CSIRT nacionales debern ser designados por sus
gobiernos respectivos y ser certificados y autorizados de acuerdo con las normas internacionales de la
comunidad de servicios informticos. Tambin deber establecerse un conjunto mnimo de normas para
la cooperacin y el intercambio de informacin entre los CSIRT, como las que se enumeran en el
documento CICTE/REGVAC/doc.2/04.
Cuestiones de confianza Dado que gran parte de la informacin que tienen que intercambiar los CSIRT
es de propiedad exclusiva, o es de carcter delicado por otros motivos, debe crearse confianza entre los
participantes como un elemento esencial de la red hemisfrica. Para establecer relaciones de confianza,
los CSIRT debern contar con los atributos y capacidades que se describen en el documento
CICTE/REGVAC/doc.2/04, los cuales incluyen una infraestructura segura para el manejo de informacin
delicada; la capacidad para comunicarse sin riesgos con los interesados; y procedimientos de proteccin
contra la fuga de informacin. Los Estados Miembros mantendrn en todo momento el derecho a
determinar el tipo de informacin que intercambiaran a travs de sus CSIRT designados.
Creacin de conciencia pblica Los CSIRT nacionales debern asegurar que el pblico sabe cmo
notificar un incidente ciberntico y a quin notificarlo.
Extensin de la red Los Estados Miembros considerarn, cuando proceda, extender las capacidades de
la red hemisfrica, a fin de ayudar a los Estados que as lo soliciten en la elaboracin de sus planes
concretos, la obtencin de financiamiento y la creacin de proyectos de desarrollo de capacidades.
(IV-04)6/ "Seguridad ciberntica", tras llevar a cabo un taller conjunto con la Unin Internacional de
Telecomunicaciones (UIT) que abord cuestiones clave de seguridad ciberntica en lo que concierne a la
CITEL. Dicha resolucin, que incluye la contribucin de la CITEL a la Estrategia Interamericana Integral
sobre Seguridad Ciberntica, se reproduce ms adelante y proporciona orientacin para la futura labor
de la CITEL en esa rea:
Una estrategia eficaz de seguridad ciberntica deber reconocer que la seguridad de la red de
los sistemas de informacin que comprenden la Internet requiere una alianza entre el gobierno y la
industria. Tanto las industrias de telecomunicaciones y de tecnologa de la informacin como los
gobiernos de los Estados Miembros de la OEA estn buscando soluciones integrales de seguridad
ciberntica eficaces en funcin de costos. Las capacidades de seguridad en los productos de
computacin son imprescindibles como elementos de la seguridad global de la red. Sin embargo, a
medida de que se produzcan ms tecnologas y se las integren en las redes existentes, su compatibilidad
e interoperabilidad o la falta de estas determinarn su eficacia. La seguridad deber desarrollarse de
una manera tal que promueva la integracin de capacidades de seguridad aceptables con la arquitectura
general de la red. Para lograr semejantes soluciones integradas de seguridad ciberntica con base en la
tecnologa, deber disearse la seguridad de la red alrededor de normas internacionales desarrolladas
en un proceso abierto.
El desarrollo de las normas tcnicas no es un emprendimiento que sea igual para todos. La CITEL
evaluar los enfoques regionales a la seguridad de redes, las estrategias de despliegue, el intercambio
de informacin y la difusin a los sectores pblico y privado. Como parte de este esfuerzo, la CITEL
identificar los recursos para las mejores prcticas en la comunicacin en redes y la proteccin de la
infraestructura con base en las tecnologas. Este proceso requerir que la CITEL revise los objetivos, el
alcance, la pericia, los marcos tcnicos y los lineamientos asociados con los recursos disponibles, para
poder determinar su aplicabilidad dentro de la regin de las Amricas, con el fin de decidir cules sern
6. Anexo II.
- -
los ms apropiados. La CITEL continuar trabajando con los Estados Miembros para asistirles para la
aplicacin ms apropiada y eficaz.
La CITEL reconoce que, aunque la primera prioridad deber enfocarse en las polticas pblicas
que llevarn los beneficios de las tecnologas de las telecomunicaciones y la informacin a todos los
ciudadanos de los Estados Miembros de la OEA, el fortalecimiento de la alianza privada- pblica que
redundar en la adopcin amplia de un marco de normas tcnicas que ayudarn a asegurar la Internet,
requerir de la comunicacin y cooperacin entre y dentro de las comunidades involucradas en esta
asociacin. La CITEL fomentar la cooperacin entre los Estados Miembros en los aspectos relativos a la
seguridad de redes, mediante la asistencia a las administraciones a que adopten polticas y prcticas que
incentiven a los proveedores de servicios y redes a aplicar las normas tcnicas para la seguridad de sus
redes. La nueva edicin del Libro Azul Polticas de Telecomunicaciones para las Amricas, publicacin
conjunta de la CITEL y la UIT, incluir un captulo sobre la seguridad ciberntica. La CITEL tambin
fomentar un dilogo dentro de las comunidades tcnicas y gubernamentales pertinentes con relacin
al trabajo sobre la seguridad ciberntica y de redes mediante seminarios conjuntos con la UIT sobre
normas de seguridad. Las acciones de la CITEL podrn tambin incluir materias relativas a las polticas de
telecomunicaciones, prcticas, regulaciones, aspectos econmicos y responsabilidades de los usuarios,
todo ello en el marco jurdico dentro del cual operan los servicios de telecomunicaciones, y dentro de las
funciones y responsabilidades de la CITEL.
REMJA: Asegurar que los Estados Miembros de la OEA cuentan con los instrumentos jurdicos necesarios
para proteger a los usuarios de Internet y las redes de informacin
Los delincuentes, como los piratas informticos, los grupos delictivos organizados y los
terroristas cada vez explotan ms la Internet para fines ilcitos e ingenian nuevos mtodos para utilizar la
Internet como un medio para cometer y facilitar delitos. Estas actividades ilcitas, a las que normalmente
nos referimos como delitos cibernticos, impiden el crecimiento y desarrollo de la Internet,
fomentando el temor de que la Internet no es un medio seguro ni de confianza para realizar
transacciones personales, gubernamentales o de negocios. Por consiguiente, la contribucin de la
REMJA a la Estrategia Interamericana Integral de Seguridad Ciberntica, por medio de las iniciativas del
Grupo de Expertos Gubernamentales en Materia de Delito Ciberntico (el Grupo de Expertos), se
centrar en asistir a los Estados Miembros a combatir el delito ciberntico, asegurando que las
autoridades policiales y judiciales cuenten con los instrumentos jurdicos necesarios para investigar y
- -
enjuiciar dichos delitos. Esta decisin fue adoptada por la REMJA en su reunin celebrada del 28 al 30 de
abril de 2004 en Washington, D.C., Estados Unidos.7/
Si no cuentan con leyes y reglamentos adecuados, los Estados Miembros no pueden proteger a
sus ciudadanos de los delitos cibernticos. Adems, los Estados Miembros que carecen de leyes y
mecanismos de cooperacin internacional en materia de delito ciberntico corren el riesgo de
convertirse en refugios para los delincuentes que cometen estos delitos. Por consiguiente, el Grupo de
Expertos proporcionar asistencia tcnica a los Estados Miembros para la redaccin y promulgacin de
leyes que tipifiquen el delito ciberntico, protejan los sistemas de informacin y eviten el uso de las
computadoras para facilitar actividades delictivas. El Grupo de Expertos tambin promover
mecanismos jurdicos que fomenten la cooperacin en asuntos relacionados con delitos cibernticos
entre los investigadores y las autoridades policiales y judiciales que investigan y procesan casos de
delitos cibernticos. Estas iniciativas de respaldo a la Estrategia Interamericana Integral de Seguridad
Ciberntica se emprendern en el marco de las recomendaciones formuladas por el Grupo de Expertos
(Tercera Reunin del Grupo de Expertos Gubernamentales en Materia de Delito Ciberntico,
OEA/Ser.K/XXXIV, CIBER-III/doc.4/03).8/
Para llevar a cabo esta iniciativa, el Grupo de Expertos crear material de capacitacin,
proporcionar asistencia tcnica y llevar a cabo talleres regionales para asistir en la formulacin de
polticas gubernamentales y leyes que ayuden a generar confianza en los sistemas de informacin y en la
Internet, mediante la tipificacin como delito del uso indebido de computadoras y redes informticas. La
capacitacin en colaboracin que proporcionar el Grupo de Expertos a los Estados Miembros se
centrar en la modernizacin de las leyes y reglamentos para hacer frente al desafo que representa la
lucha contra el delito ciberntico. Uno de los objetivos principales de estas sesiones de capacitacin ser
el esbozo de las leyes penales y protecciones de la privacidad que sean necesarias para ayudar a hacer
ms seguros sus sistemas de informacin y promover la confianza entre los usuarios de esos sistemas.
Especficamente, los talleres se concentrarn en la promulgacin de distintas categoras de leyes:
Leyes substantivas sobre delitos cibernticos Todos los Estados Miembros debern
establecer prohibiciones de carcter penal y jurdico a los ataques contra la
confidencialidad, integridad y seguridad de los sistemas informticos. Comportamientos
tales como el acceso a computadoras sin autorizacin, la intercepcin ilcita de datos, la
interferencia con la disponibilidad de sistemas informticos, y el robo y sabotaje de
datos debern considerarse ilcitos de conformidad con la ley de cada Estado Miembro
de la OEA.
Leyes procesales para la recopilacin de pruebas electrnicas Adems, todos los pases
debern contar con procedimientos claros acordes con las normas internacionales para
el acceso del gobierno a las comunicaciones y los datos almacenados cuando sea
necesario para la investigacin de un delito. Es igualmente importante que se asegure a
las empresas y consumidores que el gobierno no va a vigilar de forma injustificada sus
comunicaciones, y que se asegure a los consumidores que los datos que suministran a
los comerciantes no van a ser utilizados indebidamente.
Los talleres se centrarn en la necesidad de redactar dichas leyes de un manera que sea neutral
con respecto a la tecnologa (por ejemplo, dichas leyes debern contemplar tipos de delitos o tipos de
comportamiento en vez de ser redactadas solamente para contemplar un tipo particular de tecnologa)
para prevenir que las leyes recin promulgadas se vuelvan rpidamente obsoletas o irrelevantes.
La naturaleza sin fronteras de las redes mundiales significa que un nico acto delictivo
relacionado con una computadora puede afectar o dirigirse a computadoras en varios pases. Durante
sus talleres regionales, el Grupo de Expertos tambin proporcionar capacitacin sobre cmo responder
a estos desafos en el marco de la cooperacin internacional y facilitar el intercambio de informacin
relativa a las investigaciones sobre casos de delitos cibernticos. Se pondr especial nfasis en el
establecimiento de relaciones entre los expertos en materia de delito ciberntico en el Hemisferio a fin
de facilitar la cooperacin internacional y proporcionar un acceso fcil a los conocimientos
especializados y recursos de la regin para combatir el delito ciberntico.
Tras la celebracin de los talleres, el Grupo de Expertos asistir nuevamente a los Estados
Miembros proporcionando consultas jurdicas para respaldar a los ministerios del gobierno y legislaturas
en la redaccin de leyes, reglamentos y polticas. Puede requerirse asistencia de los expertos a nivel
bilateral para respaldar a los gobiernos en la formulacin de leyes y polticas que consagren los
conceptos centrales de las leyes en materia de delito ciberntico, autoridades de investigacin y
privacidad.
Cada una de las iniciativas del CICTE, la CITEL y la REMJA que se describen arriba representa un
pilar de este proyecto de Estrategia Interamericana Integral de Seguridad Ciberntica. De forma
conjunta, los esfuerzos multidisciplinarios concertados de estos rganos apoyarn el crecimiento,
desarrollo y proteccin de la Internet y los sistemas de informacin relacionados, y protegern a los
usuarios de esas redes de informacin. Estas iniciativas pueden ir cambiando con el paso del tiempo y
requerir nuevos enfoques, pero su objetivo seguir siendo el mismo: la creacin y apoyo de una cultura
de seguridad ciberntica. Considerando que la Estrategia es dinmica, debe emprenderse un examen
peridico a fin de asegurar su continua aplicabilidad y eficacia. Esto puede lograrse a travs de las
siguientes acciones:
4. Los Estados Miembros debern llevar a cabo, junto con el CICTE, la CITEL y el Grupo de
Expertos Gubernamentales de la REMJA en Materia de Delito Ciberntico, un programa
interamericano de concientizacin del pblico acerca de la seguridad y la tica
cibernticas en el que se destaquen: las ventajas y responsabilidades del uso de redes
de informacin; las mejores prcticas de seguridad y proteccin; las posibles
consecuencias negativas del uso indebido de las redes; cmo reportar un incidente
ciberntico y a quin; e informacin tcnica y prctica relacionada con la seguridad
ciberntica.
Exmenes peridicos de las iniciativas y programas en materia de seguridad ciberntica del CICTE, la
CITEL y el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Ciberntico, y sobre la
implementacin de la Estrategia, que realizarn estos tres rganos, con un informe conjunto de
progreso para la Asamblea General