ediligence | Publicaciones
49
archive,category,category-publicaciones,category-49,ajax_fade,page_not_loaded,,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Publicaciones

De la información obtenida de forma ilegal a la firma Mossack Fonseca, llama la atención la relevancia que se debe dar a la ciberseguridad y la trascendencia que ésta puede tener en una compañía, pues ésta debe ser vista no solo como un pilar fundamental para preservación de la reputación de una empresa, sino además, como el eje fundamental para la investigación, conservación y obtención de pruebas para procesos judiciales que se puedan llevar dentro de un eventual litigio.

Con respecto a la reputación, las compañías deben ejercer fuertes labores preventivas que fortalezcan procedimientos, mitiguen riesgos y generen cultura de la seguridad de la información al interior de éstas. Siendo esta última -la cultura de la seguridad-, el principal problema de las empresas que generalmente se centran en adoptar medidas de control a través de herramientas físicas, lógicas o procedimentales que previenen las amenazas en la gestión de la información, pero no desarrollan modelos blandos en los empleados enfocados a la responsabilidad y el valor del intangible que maneja cada uno de ellos en sus labores.

Si bien no existen sistemas completamente seguros, los controles que se deben implementar en ellos tienen que ser lo suficientemente robustos para que quién logre penetrarlos sea porque “merezca” o se “gane” la información protegida. Por esta razón los controles implementados deben asociarse a la criticidad de la de información.

Por otra parte, la obtención de pruebas resulta ser un valor agregado relevante para la elaboración de modelos de ciberseguridad. El artículo 16 del Convenio de Ciberseguridad de Budapest (CCB) establece las pautas para proteger la información, el cual se aplica a las evidencias digitales que se puedan hallar y ser útiles en litigios posteriores. Es por esta razón que toda estrategia de ciberseguridad debe tener un acápite relacionado con el manejo o preservación de evidencias digitales.

Adicionalmente, existen normas internacionales que indican las formas en que se deben preservar las pruebas digitales. Para ello, se puede tomar como referencia lo contenido en la Ley Modelo de Comercio Electrónico (Lmce) que en su artículo 9 indica los elementos que debe revisar la autoridad una vez se presenten pruebas digitales o lo que en esta ley define como mensaje de datos.

Tanto el CCB como la Lmce son aplicadas por varias legislaciones, algunos toman textualmente los apartados referidos y otros introducen los conceptos generales adecuando ciertos elementos propios de cada país, un ejemplo de ello es el concepto de “acceso abusivo a sistema de informático” que es introducido por el CCB y gran número de los países latinoamericanos (incluyendo a Panamá) adoptan este concepto en su regulación correspondiente a Delitos Informáticos. A estas legislaciones se aúna los regímenes de protección de datos personales que se puedan adoptar en cada país, en donde se comprometen a los responsables de los datos personales y a los encargados de su tratamiento.

Más allá de la información robada en los mal llamados Papeles de Panamá, este suceso es una alerta a las compañías que gestionan información de terceros a la necesidad de fortalecer las medidas de seguridad en el manejo de la información física y digital, entendiendo que más que un gasto es una inversión en donde se obtienen retornos en los beneficios organizacionales, legales y reputacionales.

Fuente: AsuntosLegales.com

Hace unos meses la SIC publicó las Guías de Responsabilidad Demostrada (GRD), donde se establece los lineamientos para el desarrollo de los programas de privacidad y seguridad de la información en las empresas, por otra parte la ley 1581 de 2012 define uno de los principios necesarios en la protección de datos personales, el cual corresponde a la seguridad de la información. Sin embargo, en las empresas aún se siguen formulando la siguiente pregunta: ¿cómo se puede determinar si se cumple o no con este principio? Para saberlo es necesario tener en cuenta dos características:

La implementación de modelos de seguridad de la información que puedan ser identificables por la Autoridad o el Juez. Dichos modelos deben ser documentables, ya que seguramente frente a una investigación administrativa ayudarían a demostrar procedimientos de seguridad de la información que la Ley o las GRD no mencionan detalladamente, pero que son de mucha importancia frente a las decisiones jurídicas que se puedan tomar.

La unificación de criterios entre abogados e ingenieros. Los modelos de protección de datos personales que se implementen en una empresa, no pueden ser analizados separadamente por la parte legal y la parte tecnológica. Lo ideal es lograr una sinergia que permita a los abogados documentar y hacer seguimiento al cumplimiento de la norma, y a los ingenieros hacer eficientes los procedimientos manteniendo los niveles de seguridad para tratar y procesar los datos personales que maneja la compañía. En pocas palabras, necesitamos “Ingenieros Litigantes” y “Abogados de TI”.

Es importante resaltar que en caso de una visita administrativa de la SIC, cualquier falla en el cumplimiento de alguno de los principios de la Ley de Protección de Datos Personales puede ser una evidencia útil para los procesos sancionatorios futuros.

Por esta razón, es clave ser estrictos en la elaboración de los modelos de protección de datos personales en las compañías, lo cual solo se logra comprendiendo el alcance, el propósito y el uso de los mismos.

La materialización de riesgos identificados por la Autoridad de Protección de Datos puede no solamente acarrear multas, sino también responsabilidades penales; un ejemplo de ello es la identificación de tráfico de bases de datos, que dependiendo de sus características podría implicar una violación de datos personales cuya sanción podría ser hasta de 96 meses de prisión.

Sin duda alguna, la correcta gestión de los datos personales en las compañías conllevará al desarrollo de modelos de seguridad de la información, pero cada compañía es distinta y tiene diferentes riesgos que deben ser estudiados técnica y jurídicamente para el pleno cumplimiento de la normatividad

Fuente: www.larepublica.co

Para la RAE la reprografía es la “reproducción de los documentos por diversos medios” y en la Decisión Andina 351 de 1993 dice “se entiende por reproducción, la fijación de la obra en un medio que permita su comunicación o la obtención de copias de toda o parte de ella, por cualquier medio o procedimiento”.

Por otra parte, la ley 98 de 1993 exige que todo establecimiento que pone a disposición obras, obtenga la autorización de los titulares de las obras que son reproducidas, a través de una Sociedad de Gestión Colectiva (SGC) o directamente. Además en su Decreto reglamentario 1070 de 2008, se habla de esta autorización en particular para los establecimientos educativos.

Así como funciona una fotocopiadora, los sistemas de información reproducen obras digitalizadas como los Sistemas de Gestión de Aprendizaje conocidos como LMS usados en los establecimientos educativos.

La forma en cómo dichas obras digitales deben ser puestas a disposición, es a través la incorporación de medidas tecnológicas de protección, que permitan la implementación de la mayor cantidad de controles para que los dueños de los derechos de reproducción que desean licenciar a través de una SGC, o cualquier otro medio, puedan auditar tanto las obras como los sistemas de información donde se comparten las mismas. Estos controles son diferentes para cada negocio ya que cada uno cuenta con diferentes sistemas para la puesta a disposición de las obras.

Existen modelos de negocio donde se adquieren licencias por la compra de bases de datos de obras digitales a editoriales, grupos de autores, entre otros. Este licenciamiento es completamente válido, pero solo cubre el sistema de información adquirido.

A modo ilustrativo, es como si en el mundo físico compráramos libros para una biblioteca, estas licencias son distintas a las que son puestas a disposición en los LMS, que serían como la fotocopiadora donde se reproducen las obras en el mundo físico.

Muchos autores se pueden ver beneficiados por percibir derechos patrimoniales derivados del licenciamiento de las obras digitales que han sido reproducidos en cualquier sistema de información.

La gran mayoría de empresas, e inclusive establecimientos educativos, no han reconocido aún este cambio y esto puede ser un riesgo legal ya que los autores o titulares de reproducción pueden reclamar su derecho mediante pruebas anticipadas en procesos legales donde se demuestre el uso de obras digitales sin autorización.

En muchos fenómenos digitales generados por tecnologías disruptivas no es necesaria la creación de nuevas reglas sino la aplicación de las existentes con una visión comparativa entre el mundo físico y el digital.

Estos cambios de perspectiva de los derechos (en este caso de los autores) será un paso para que se sigan disminuyendo otro tipo de faltas en el entorno digital y se extiendan los derechos del mundo físico al mundo digital, permitiendo que las TIC sean un espacio donde el conocimiento y la legalidad van de la mano.

Fuente: www.larepublica.co

Las pruebas digitales a diferencia de las convencionales, tienen una característica particular y es su volatilidad. Cualquier archivo digital es relativamente fácil de modificar o dañar, y es por esta razón que se deben tener herramientas tanto técnicas como jurídicas para que la integridad de la información se conserve y sea válida en procesos judiciales.

La Ley 527 de 1999, también conocida como la Ley de Comercio Electrónico brinda las herramientas jurídicas que indican los ingredientes necesarios que un mensaje de datos debe tener para que sea tenido en cuenta como prueba. El Artículo 11 de esta Ley indica que un mensaje de datos debe tener 3 elementos importantes para ser una prueba digital o una evidencia digital: (i) la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, (ii) la confiabilidad en la forma en que se haya conservado la integridad de la información, (iii) la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

Pero, ¿qué es un mensaje de datos?, la misma ley lo define en el Artículo 2. En esta se menciona que la información generada o almacenada en medios electrónicos o similares es un mensaje de datos; por esta razón de deduce que cualquier archivo que es guardado en un computador, tal como: archivos de música, documentos, correos electrónicos, fotografías, videos tomados desde un celular, entre otros; son mensajes de datos.

Por lo anterior, se puede pensar que para que un mensaje de datos sea tenido en cuenta como prueba en procesos judiciales debe ser muy bien documentado el proceso de adquisición, y en dicha documentación se debe aclarar qué herramientas o técnicas de informática forense se realizaron.

También se debe demostrar que se mantuvo la integridad de los mensajes de datos adquiridos, para esta etapa es muy importante identificar modelos de cadena de custodia que permitan identificar los factores previos y aquellos que sucedan durante la adquisición de la evidencia digital. Adicional a estos modelos, es necesario implementar las funciones Hash a los mensajes de datos adquiridos.

Una función Hash puede ser vista como el ADN Volátil de un mensaje de datos. Esto quiere decir que una función Hash es un resumen cifrado y único de un archivo, es decir, mantiene la integridad de la evidencia. Pero, ¿Por qué es Volátil?, esto se debe a que existen muchos métodos, funciones o algoritmos para calcular esta función hash, y actualmente en los procesos judiciales se usan principalmente dos, la función MD5 y la función SHA1.

Hasta este punto se han abordado dos ingredientes para que los mensajes de datos sean tenidos como prueba en un proceso judicial, el tercer ingrediente proporciona lo que se conoce como cadena de custodia. El manual de cadena de custodia de la Fiscalía General de la Nación permite identificar dos tipos de cadena de custodia: la anterior y la posterior. La cadena de custodia anterior permite identificar los factores previos y que sucedan durante la adquisición de la evidencia digital, es decir, lo que en el Artículo 11 de la Ley 527 conocemos como “…iniciador…”. Por otra parte, la cadena de custodia posterior se define como una bitácora de movimientos que tiene la evidencia digital durante su vida, en la Ley 527 se puede identificar la cadena de custodia posterior como: “…cualquier otro factor pertinente.”.

A modo de reflexión podemos pensar que el manual de cadena de custodia de la Fiscalía General de la Nación, está enfocado hacia material probatorio físico o a contenedores de evidencia digital (discos duros, USB, CD, etc.), pero no está enfocado hacia evidencias digitales, es decir, al movimiento que tiene la evidencia digital cuando, por ejemplo, es copiada a otros medios, es consultada, se le realiza un borrado seguro, entre otras. Por lo que se debe pensar en una nueva versión del mismo.

Para que un mensaje de datos sea útil para un proceso judicial debe contener los tres ingredientes que menciona la Ley de Comercio Electrónico, de lo contrario es probable que pierda el valor probatorio y se correría el riesgo de que dichos mensajes no sean incluidos en las decisiones de un Juez o Autoridad.

Fuente: www.larepublica.co

Pensemos en un medio de características similares a internet, es decir, en donde los seres humanos interactuamos o nos comunicamos, es el caso de las vías de tránsito, este es tan solo un medio de transporte de la gente, pero para ellas existe una reglamentación que regula las velocidades, los tipos de transporte admitidos en la vía, los protocolos de manejo que debe tener cada conductor, etc. Toda esta serie de controles buscan finalmente mitigar posibles riesgos que se puedan dar en las vías de tránsito.

Luego de esta reflexión, le invito a analizar ¿Qué es hoy internet?, remontémonos a las viejas historias del lejano oeste en donde el “Sheriff” del pueblo era sometido por el delincuente (que para el caso de internet es quien tiene mayor conocimiento de la tecnología); también podemos remontarnos a los inicios de las pandillas de Nueva York, en donde un grupo de personas oprimían con sus delitos a la sociedad, eran quienes ponían las reglas en la ciudad y en algunos casos la autoridad se sometía a sus mandatos.

Hoy en día muchos delitos informáticos quedan en impunidad o son detectados por personas que no son autoridad en internet.

Es indudable que internet necesita una regulación por parte de los gobiernos a través de las asociaciones de países enfocados a una normatividad que proteja todos los Derechos Humanos en internet. Lo que no podemos permitir es que solo sea a través de las guerras, delitos u otras formas de agresión que tengamos que aprender para empezar a gestionar estos derechos digitales.

La normatividad enla web va tomando forma en favor de los individuos, un ejemplo es la protección de los derechos de los autores en internet que está legislada en EE.UU. con el Digital Millennium Copyright Act (Dmca), a través de elementos importantes como Digital Rights Management (DRM) que son medidas tecnológicas de protección con el objetivo de salvaguardar las obras en los medios digitales.

En Colombia contamos con la Ley 1273 de 2009, conocida como la Ley de delitos informáticos, con esta herramienta jurídica se fortalecen los derechos en internet y se protegen nuestros datos alojados en sistemas de información. Adicionalmente, tenemos la Ley 1581 de 2012 con los principios rectores para el manejo de los datos personales de los individuos presentados en la misma como titulares de los datos, entre otros. Como vemos, ya se está avanzando en la legislación de internet, pero ¿Qué tan rápido lo estamos haciendo en relación con la evolución en los anchos de banda, accesibilidad a internet y sus modificaciones? Un ejemplo de la evolución de internet es lo que conocemos como el internet de las cosas (IoT), esta tecnología se refiere a la comunicación entre diferentes elementos de nuestro día a día (refrigeradoras, calefactores, etc.) a través de sensores que transportarían información nuestra.

Notemos cómo los individuos hemos venido desarrollando un perfil virtual en internet; en redes sociales, hábitos de compra, ubicaciones geográficas, entre otras. El manejo y gestión de esta información es cada vez más sensible y por consiguiente, tiene más riesgos asociados, esto hace que la seguridad del flujo de la información de nuestro individuo digital sea tanto o más importante que la de nuestro individuo físico. (Defino individuo digital” como la representación digital de una persona y lo que se encuentra alojado de la misma en dispositivos electrónicos o internet.)

Así como aplica para un individuo, el anterior razonamiento aplica para una empresa, institución o gobierno. Por eso no es raro encontrar noticias de Ciberataques entre gobiernos o de guerras cibernéticas, que no son más que la materialización de comportamientos humanos ya vividos y experimentados en la historia del individuo físico y en donde las lecciones aprendidas se deben gestionar para el individuo digital.

A modo de reflexión quiero dejar un mensaje importante en el lector, consiste en que el conocimiento y la madures que han traído acontecimientos históricos a la sociedad del individuo físico debe aplicarse al individuo digital, de lo contrario estaremos destinados a pasar por guerras digitales y muchos tipos de delitos, en la búsqueda de algo por lo que ya hemos pasado.

Fuente: www.larepublica.co