Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
SISTEMAS DE GESTIÓN DOCUMENTAL
ELECTRÓNICOS:
Hacia el Archivo Electrónico
Mag. Erick Rincón Cárdenas
1. Introducción a la Seguridad de la Información
Administración de información: comprende la realización deuna o varias de las siguientes actividades: recolección,suministro, tratamiento, circulación y uso de la información ytodas aquellas actividades relacionadas directamente con elmanejo de la información, en los términos de la presente ley.
Seguridad de la Información vs Seguridad Informática
ADMINISTRACIÓN.
RECOLECCIÓN.
SUMINISTRO.
TRATAMIENTO.
CIRCULACIÓN.
USO. DE INFORMACIÓN.
1. Introducción a la Seguridad de la Información
Existen cuatro tipos de información:
1. Pública: puede obtenerse sin reserva alguna.
2. Semi-privada: se obtiene con cierto grado de limitación.
3. Privada: se obtiene solo por orden judicial.
4. Reservada: no puede ser legalmente obtenida.
1. Introducción a la Seguridad de la Información
PRINCIPIOS HABEAS DATA:
a) Principio de veracidad o calidad de los registros o datos.
b) Principio de finalidad.
c) Principio de circulación restringida.
d) Principio de temporalidad de la información.
e) Principio de interpretación integral de derechos constitucionales.
f) Principio de seguridad.
g) Principio de confidencialidad.
1. Introducción a la Seguridad de la Información
La Información es un activo muy importante en cualquier Organización;
Veamos las razones:
1. Introducción a la Seguridad de la Información
SENTENCIA CORTE SUPREMA DE JUSTICIA
Rad. No. 2007-00230 4 de septiembre de 2007
• En el curso de Tribunal de Arbitramento, la parte demandante solicitó la práctica
de una inspección judicial con exhibición de documentos en la sede de una de las
sociedades demandadas, relacionada con sus libros y papeles de comercio
relacionados con los hechos de la demanda.
• Durante la práctica de la prueba, el apoderado de la demandante solicitó su
ampliación a la correspondencia cruzada entre distintos funcionarios de la
empresa, incluyendo mensajes de correo electrónico.
• Con la intervención de un técnico en sistemas, se revisaron las cuentas de correo
en los computadores de los funcionarios y en el servidor general de la empresa.
Los resultados fueron almacenados en CDs.
Descripción:
1. Introducción a la Seguridad de la Información
SENTENCIA CORTE SUPREMA DE JUSTICIA
Rad. No. 2007-00230 - 4 de septiembre de 2007
• El Tribunal de Arbitramento definió “cautelas” sobre la información obtenida y al
cierre de la diligencia, las partes se declararon satisfechas con la metodología
utilizada.
• Funcionarios cuyas cuentas de correo fueron objeto de la inspección (no partes
del proceso), alegaron violación a sus derechos a la intimidad e inviolabilidad de
correspondencia y pidieron al Tribunal la devolución de los CDs para su
destrucción. La solicitud fue negada.
• Los funcionarios interpusieron una acción de tutela que fue negada por el Tribunal
Superior del Distrito Judicial de Medellín.
• El fallo fue impugnado por los accionantes ante la Corte Suprema de Justicia.
Descripción:
1. Introducción a la Seguridad de la Información
SENTENCIA CORTE SUPREMA DE JUSTICIA
Rad. No. 2007-00230 - 4 de septiembre de 2007
• ¿Prima el derecho a la intimidad e inviolabilidad de la correspondencia sobre el
derecho al debido proceso?
• ¿Cuál es la naturaleza de la información cursada a través del correo electrónico
corporativo de un empleado? ¿De quién es la información en los computadores de
la empresa empleadora?
• ¿Existe diferencia entre la información contenida en correos electrónicos
corporativos ([email protected]) y la contenida en correos personales
PROBLEMAS JURÍDICOS:
• Para fines probatorios, los mensajes electrónicos de datos se asimilan a los
documentos y les son aplicables las normas del Código de Procedimiento Civil
sobre prueba documental.
• Tanto el derecho al debido proceso (derecho a la prueba) como los derechos a la
intimidad e inviolabilidad de la correspondencia, tienen límites. Entre los límites a
estos últimos se encuentran las órdenes judiciales.
• Las cautelas tomadas por el Tribunal de Arbitramento aseguraron que en este
caso se guardara “el debido equilibrio” entre el derecho a la prueba y el derecho a
la intimidad e inviolabilidad de correspondencia.
• No se concede el amparo solicitado y se confirma la decisión del Tribunal Superior
de Medellín.
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
SENTENCIA CORTE SUPREMA DE JUSTICIA
Rad. No. 2007-00230 - 4 de septiembre de 2007
“De tenerse que efectuar la revisión de contenidos de los mensajes grabados en
los discos compactos, el Tribunal de Arbitramento deberá respetar el derecho a
la intimidad de los trabajadores de X, en relación con los mensajes de datos
que, luego de la verificación que el Tribunal realice, ostenten carácter privado o
personal de los funcionarios. (…)
Así mismo, el Tribunal de Arbitramento, en su momento, adoptará las medidas
que permitan la devolución a los interesados, o la destrucción si fuere necesaria,
de los mensajes de datos incorporados en los indicados cd’s que tengan el
carácter de personales o privados de los trabajadores de la empresa (…)”
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
SENTENCIA CORTE SUPREMA DE JUSTICIA
Rad. No. 2007-00230 - 4 de septiembre de 2007
“(…) el hecho del intercambio que los aludidos empleados pudieron haber
realizado de mensajes personales a través de direcciones de correo electrónico
que no pueden considerarse particulares, por ser de la empresa y tener por fin
primordial servir de herramienta laboral para sus propósitos sociales, no les
permite a ellos, como terceros, alterar los resultados de la prueba, en tanto que
la misma versó sobre la correspondencia de la compañía tocante con sus
negocios y con los hechos debatidos en el correspondiente proceso arbitral (…)
Cuestión diferente ocurriría, se itera, si los mensajes de datos captados en la
inspección judicial hubieran sido extraídos de direcciones de correo electrónico
cuyos titulares exclusivos fueran los empleados (…) para acceder legítimamente
a tales documentos, la prueba de exhibición tendría que dirigirse contra dichas
personas (…)”
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
SENTENCIA CORTE SUPREMA DE JUSTICIA
Rad. No. 2007-00230 - 4 de septiembre de 2007
1. Introducción a la Seguridad de la Información
SENTENCIA T-405/07 Corte Constitucional, Rad. No. T-1532838
24 de mayo de 2007
• CL, empleada de la Asociación de Pensionados del Seguro Social de Bolívar
(ADPISSBOL), creó en el computador portátil que le había asignado ADPISSBOL
una carpeta personal donde introdujo fotografías personales en las que ella
aparecería desnuda.
• El abogado de ADPISSBOL solicitó el uso del portátil de CL y se percató de las
fotografías. Dio aviso a la rep. legal, quien mandó imprimir las fotos, exigió la
renuncia de CL, mostró las fotos a la Junta Directiva de la empresa y a los
familiares de CL.
• A pesar de que no es del todo claro, se asume que el uso que CL le dio al
computador portátil violó las normas de la empresa.
• CL demandó a la rep. legal de ADPISSBOL para que cesara en su conducta.
Descripción
“… las fotografías estaban guardadas en una carpeta personal perteneciente a
CL. El hecho de que se tratara de una herramienta de trabajo compartida, no
autorizaba a ningún miembro de la Institución el ingreso, no consentido, a
archivos personales ajenos… Pretende asimismo la demandante (sic) justificar
su proceder… con el señalamiento de un uso indebido de los elementos de
trabajo… Sin embargo, para poner de presente este hecho no necesitaba exhibir
el contenido de la información personal… Le hubiese bastado con emitir un
informe sobre lo que consideraba uso indebido… para adoptar las
determinaciones de contenido disciplinario… no puede considerarse que el
hecho de que hubiese sido transitoriamente depositada… en el computador
institucional comporte un consentimiento implícito para el acceso y divulgación
de la misma… quienes ingresaron a ella debieron superar los controles técnicos
usuales para el acceso a un archivo de computador…”
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
SENTENCIA T-405/07 Corte Constitucional, Rad. No. T-1532838
24 de mayo de 2007
1. Introducción a la Seguridad de la Información
CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07
31 de agosto de 2007
• Con fundamento en los datos contenidos en el sistema de información del
Juzgado, en relación con la fecha de notificación personal del auto admisorio de la
demanda, el apoderado de la parte demandada en proceso civil presentó su
contestación a la demanda en el último día del plazo establecido en el C.P.C.
• El Juzgado no tuvo en cuenta la contestación por extemporánea, pues el plazo
había vencido un día antes. La fecha real de la notificación era anterior a la que
aparecía en el sistema de información.
• El apoderado de la parte demandada interpuso los recursos de ley, todos los
cuales fueron negados.
Descripción
CORTE CONSTITUCIONAL
SENTENCIA No. T-686 / 07
31 de agosto de 2007
• El apoderado interpuso acción de tutela en contra de los despachos judiciales
involucrados, aduciendo violación al debido proceso, a la buena fe y al acceso a la
administración de justicia. Alegó la existencia de un error judicial.
• En primera instancia, el Tribunal Superior del Distrito Judicial de Bogotá denegó el
amparo solicitado, por cuanto “la omisión de consultar directamente el expediente
sólo denota descuido en la vigilancia de las actuaciones procesales por parte del
apoderado”.
• El fallo del Tribunal fue confirmado en segunda instancia por la Sala de Casación
Civil de la Corte Suprema de Justicia.
• El expediente arribó a la Corte Constitucional en trámite de revisión.
HECHOS:
1. Introducción a la Seguridad de la Información
CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07
31 de agosto de 2007
• ¿Cuál es el valor probatorio de la información contenida en los sistemas
computarizados a los que tienen acceso los ciudadanos en los despachos
judiciales?
• ¿Puede considerarse la información sobre el historial de los procesos y las fechas
de las actuaciones registradas en los computadores dispuestos en los despachos
judiciales para la consulta del público, como un equivalente funcional de los
escritos, que pueda reemplazar la revisión directa del expediente en relación con
los datos que se comunican a través de aquellos sistemas de información?
PROBLEMA JURÍDICO:
1. Introducción a la Seguridad de la Información
CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07
31 de agosto de 2007
• La no atribución de carácter oficial a los datos registrados en el sistema de información
computarizada de los juzgados desconoce la existencia de normas legales que regulan la
materia.
• La utilización de los sistemas de información sólo se justifica si los ciudadanos pueden confiar
en los datos que en ellos se registran.
• Se presentó un defectuoso funcionamiento de la administración de justicia, al ingresar en el
sistema de información una fecha de notificación errónea.
• Ocurrió igualmente un error judicial por cuanto el Juez negó el carácter de equivalente
funcional de la información en sus sistemas y expidió una providencia contraria a la ley.
• La Corte revoca las decisiones anteriores y concede el amparo.
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07
31 de agosto de 2007
“(…) no cabe duda que la información sobre el historial de los procesos que
aparece registrada en los computadores de los juzgados tiene el carácter de un
“mensaje de datos”, por cuanto se trata de información comunicada a través de
un medio electrónico (…) Asimismo, la emisión de este tipo de mensajes de
datos puede considerarse un “acto de comunicación procesal”, por cuanto a
través de ella se pone en conocimiento de las partes, de terceros o de otras
autoridades judiciales o administrativas las providencias y órdenes de jueces y
fiscales en relación con los procesos sometidos a su conocimiento. Finalmente,
es claro que los sistemas informáticos utilizados por los despachos judiciales
para generar, enviar, archivar o procesar tales mensajes de datos configuran un
“sistema de información” para los efectos de la Ley 527.”
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07
31 de agosto de 2007
“(…) puede concluirse que, de acuerdo a la legislación vigente y a la
interpretación que ha hecho de ella la jurisprudencia constitucional en sentencias
de constitucionalidad con efectos erga omnes, los mensajes de datos que
informan sobre el historial de los procesos y la fecha de las actuaciones
judiciales, a través de las pantallas de los computadores dispuestos en los
despachos judiciales para consulta de los usuarios, pueden operar como
equivalente funcional a la información escrita en los expedientes, en relación con
aquellos datos que consten en tales sistemas computarizados de información.”
(Subrayas fuera del texto)
DECISIÓN DE LA CORTE:
1. Introducción a la Seguridad de la Información
CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07
31 de agosto de 2007
• 2. Los Riesgos de la Información
– Que es un riesgo;
– Identificación de riesgos;
– Clasificación de los riesgos;
– Mitigación del riesgo.
El riesgo surge como resultado de un proceso inadecuado, una fallainterna humana o de sistemas, o de eventos de carácter externo.
Según el Crédit Suisse es el inadecuado potencial impacto adverso en eldesarrollo de las operaciones.
Para qué sirve un SGSI
Para que todo sistema de una entidad esté controlado, garantizadoprotegido ante un fracaso, evento de pérdida o destrucción.
2. Los Riesgos de la Información
3. La integración horizontal o vertical cada fusión o adquisición obliga aintegrar mecanismos y sistemas de información.
4. La continua necesidad de ofrecer nuevos servicios que obligan a mantenerestrictos controles de seguimiento.
5. El aumento de la tercerización u outsourcing de los servicios fundamentalesy accesorios de las entidades.
Factores de generación de riesgo
1. El incremento de la tecnología que puede transformar los riesgos manualespor procesamientos de información o fallas en los sistemas integrados.
2. El crecimiento del e-commerce.
MODERN
Management
Weakness
Organizational
Deficiencies
Defective
Execution
Methods
Wanting
Professional
Skills
Planeación de los Riesgosde la Información
IT - ORIENTED
Wanting
Security
Gaps
in infrastructure
Substandard
Documentation
Obsolete
Technology
Planeación de los Riesgos de la Información
11
Planeación de
los Riesgos de la Información
RIESGOS
Confidencialidad
Integridad
Autenticación
No Repudio
MEDIDAS DE
PREVENCION
Papel, Confirmación
telefónica, VPNs,
Encripción
Contraseña y PIN,
Autenticación
Multifactorial, Tokens
RSA, PKI y Certificados
Digitales Confiables,
Biométrica
PKIs Locales con Marco
Legal, PKI Global con
infraestructura legal
privada
Confidencialidad: el sistema de seguridad debe contener especificaciones técnicas que aseguren que los datos
suministrados en la operación electrónica solo podrán ser entendidos por las partes intervinientes de la misma,evitando manipulación de información.
Integridad: es de vital importancia que los datos que se suministran por intermedio de la red no sean objeto demodificaciones en su viaje entre los intervinientes, por tal razón el sistema de seguridad deberá detectarcualquier modificación hecha a la información.
No repudio: mediante los sistemas de identificación se asegura que las partes intervinientes de la transacciónno puedan negar su intervención en ella y la autoría de su mensaje.
Control de Acceso: debe lograrse restringir el acceso a las redes y a la información confidencial por parte deusuarios no autorizados. La importancia de este aspectos recae en la especial protección a la información de losusuarios y a la información confidencial de los establecimientos bancarios.
2. Los Riesgos de la Información
3. Marco Legal Aplicable
– 1. Equivalencia Funcional de los Actos electrónicos: La función jurídica que cumple lainstrumentación escrita y autógrafa respecto de todo acto jurídico, o su expresión oral,la cumple igualmente la instrumentación electrónica a través de un mensaje de datos.
– 2. No se altera ni modifica el actual régimen del derecho de las obligaciones y contratosprivados.
– 3. La neutralidad tecnológica: Este principio propende porque las normas del Comercioelectrónico, puedan abarcar las tecnologías que propiciaron su reglamentación, asícomo las tecnologías que se están desarrollando y están por desarrollarse.
Información generada, enviada o recibida por medios electrónicos Artículo 1 de la Ley 527 de 1999.
Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en:
No alteración de la información en el proceso de comunicación electrónica. Es decir que la información no sea adicionada o sustraída y se mantenga inalterada. En el formato electrónico podrán existir varios originales del mismo documento siempre y cuando los mismos garanticen su integridad. Artículo 8 y 9 de la Ley 527 de 1999.
Escrito = Mensaje de Datos
Original = Integridad
© 2009 Certicámara S.A. Todos los derechos reservados
AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA
Procedimiento de algoritmos matemáticos que con la intervención de una entidad de Certificación Digital permite garantizar la identidad del firmante, la integridad de la información y los compromisos adquiridos con la información y su envío. Artículo 7, 28 y 30 de la ley 527 de 1999.
Los Artículos 12 y 13 son aplicables a la conservación por medios electrónicos.
Conservación y Archivo = Mensaje de Datos
Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en:
Firma Manuscrita = Firma Digital (Autenticidad, Integridad y No Repudio)
© 2009 Certicámara S.A. Todos los derechos reservados
AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA
Artículo 11 de la Ley 527 de 1999
“Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente”.
• Autenticidad
• Integridad
• No repudio
• Confidencialidad
• Trazabilidad
Lo que debe saber es que…
• Otras Normas
– Ley 794
– Ley 962
– Ley 1150
– Ley 1266
– Circular 052 de 2007
– Circular 041 de 2007
– ISO 27001
4. Temas Claves de la Seguridad de la Información en una
Organización
Análisis de riesgos: la base de todo el sistema de gestión
SGSI: 1-Política
SGSI: 2-Organización
SGSI: 3-Gestión de activos
SGSI: 4-Personal
SGSI: 5-Seguridad Física
SGSI: 6-Comunicaciones y operaciones
SGSI: 7-Control de acceso
SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.
SGSI: 9-Gestión de incidentes
SGSI: 10-Gestión continuidad del negocio
SGSI: 11-Legislación Vigente