Miércoles, Noviembre 26, 2014
               
CXO Community
Tecsystem Soluciones y Servicios

Related Posts Plugin for WordPress, Blogger...

Los tres pilares de la seguridad de la información

Blog - Metodologías y Legislación

Usar puntuación: / 1
MaloBueno 
AddThis Social Bookmark Button

SeguridadUno de los temas críticos de cualquier emprendimiento comercial en Internet e, incluso, de cualquier empresa que se maneje en el mundo digital, es el de la seguridad de la información. Sin embargo, no siempre se tiene en claro de qué se habla cuando se habla de información y cuáles son los principales aspectos o pilares vinculados con su seguridad. En esta nota pretendemos dar un abordaje general sobre este tema.

La información

Empleamos el término información en un sentido amplio, comprensivo de los datos personales, los secretos comerciales (o información confidencial) y las obras intelectuales, cada uno de los cuales cuenta con un marco legal propio.

Respecto de una empresa u organización la diferencia entre estos tres tipos de información tiene que ver con los derechos que las leyes reconocen. En ese sentido, los datos personales almacenados en la base de datos de una empresa no son de la empresa, sino de la persona a la que identifican, siendo la empresa titular de la base de datos; los secretos comerciales sí son de la empresa que legítimamente los tiene bajo su control, pero la ley no reconoce un derecho de propiedad sobre ellos, sino solamente el derecho a evitar el uso deshonesto por parte de terceros; finalmente, las obras intelectuales desarrolladas por una empresa también son de la empresa, a quien, a diferencia de los secretos comerciales, se le reconoce un derecho de propiedad.

Esto es fundamental para entender la diferencia a la hora de examinar las medidas de seguridad que se pueden o deben adoptar respecto de cada uno de esos tipos de información.

Los tres pilares

Si bien hay variados aspectos vinculados con la seguridad de la información, creemos que pueden ser clasificados en tres categorías o pilares básicos.

El primer pilar es el legal, que tiene que ver con las leyes, decretos, resoluciones, reglamentos internos o códigos de conducta de una organización, contratos, entre otros instrumentos que tienen que ver con lo normativo. Una característica central de este pilar es que constituye el marco de referencia básico y previo, en el sentido de que sin un marco normativo que establezca las reglas y los mecanismos para garantizar su cumplimiento difícilmente las otras medidas que se adopten tengan alguna eficacia en la práctica.

El segundo pilar es el técnico y refiere a todas las medidas técnicas que se pueden tomar para proteger la información, tanto a nivel de hardware (ej., remoción de discos duros), software (ej., passwords, antivirus o firewalls) y físicas diferentes de las medidas relativas al hardware (ej., documentación guardada en una caja fuerte con contraseña).

Finalmente, el tercer pilar es el organizacional, que hace a la estructura, funcionamiento y procesos de una organización o empresa, incluidos los recursos humanos (ej., capacitación, auditorías o definición de perfiles y responsabilidades). El pilar organizacional falla más frecuentemente de lo que puede pensarse, dado que en muchos casos se cuenta con buenas leyes, en cuanto a reconocimiento y protección de los derechos, buenos reglamentos y contratos, el mejor hardware, el mejor software de seguridad, pero la organización no está adecuadamente preparada para hacer frente a los ataques, robos o fugas de información.

Es importante tener en cuenta que en una organización o empresa el punto de equilibrio se logra cuando se conjuga apropiadamente la protección de la información en los tres pilares tomados en conjunto, no sólo en uno o dos de ellos.

Los datos personales

Los datos personales están regulados en la Ley 25.326 de Protección de los Datos Personales (LPDP). En materia de medidas de seguridad, la LPDP dispone que “el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”.

La Dirección Nacional de Protección de Datos Personales (DNPDP) ha dictado distintas normas que reglamentan la obligación de seguridad, estableciendo los estándares en materia de medidas técnicas y organizativas. El tema está regulado en sendas Disposiciones por las que se aprobaron las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados y el Documento de Seguridad de Datos Personales.

La normativa establece tres niveles de seguridad conforme a la naturaleza de los datos tratados: básico, medio y crítico. Para cada uno de estos niveles se exige la adopción de diferentes medidas de seguridad, en un escalonamiento progresivo, es decir, que las medidas de cada nivel superior se van adicionando a las medidas del nivel inmediato inferior.

Hay distintos plazos para la adopción de las medidas de seguridad examinadas y se prevén sanciones de tipo administrativo en caso de incumplimiento de la obligación de seguridad.

Puede decirse, entonces, que en materia de datos personales contamos con un pilar legal, que es la LPDP y toda la normativa complementaria, un pilar técnico, que está dado por todas las medidas técnicas que las organizaciones deben adoptar para dar cumplimiento a esa normativa, y un pilar organizacional, dado por las medidas organizativas que también es obligación adoptar.

Los secretos comerciales

Los secretos comerciales están regulados por la Ley 24.766 de Confidencialidad de la Información, que dispone que cualquier persona puede impedir que la información que esté legítimamente bajo su control se divulgue a terceros o sea adquirida o utilizada por terceros sin su consentimiento de manera contraria a los usos comerciales honestos.

Para ello deben cumplirse tres requisitos: que la información sea secreta, que tenga valor comercial por ser secreta y que se hayan adoptado medidas razonables para mantenerla en secreto conforme a las circunstancias de cada caso.

A nuestro entender, la razonabilidad de las medidas pasa por dos lados: i) que sean adecuadas para salvaguardar la confidencialidad de la información y ii) que no se vulneren derechos de terceros.

Respecto del primer punto, no sería una medida adecuada hacer circular la información entre todos los empleados de la empresa sin ningún tipo de advertencia acerca de su carácter secreto. En cambio, sí serían adecuadas las medidas tales como exigencia de una clave para acceder a los documentos que contienen información confidencial, cambio periódico de esas claves, remoción de discos de las PCs y su archivo en lugares cerrados así como la firma de acuerdos de confidencialidad.

Con respecto al segundo punto, no se vulnera el derecho de un tercero, por ejemplo, si una empresa monitorea el uso de la cuenta de e-mail corporativa por parte de sus empleados, pero sí se lo vulneraría si se pretendiera monitorear el uso de la cuenta de e-mail personal.

Como puede verse, si bien la ley no aclara expresamente qué tipo de medidas pueden adoptarse, se interpreta que el concepto “medidas razonables” abarca las medidas legales (reglamentos, contratos, etc.), las técnicas y las organizativas. Es decir, que hay un reconocimiento legal de los tres pilares señalados.

Las obras intelectuales

Las obras intelectuales están protegidas por la Ley 11.723 de Propiedad Intelectual y, en el ámbito de Internet, por el Tratado de la OMPI de Derechos de Autor, aprobado por la Ley 25.140 en 1999.

El Tratado de la OMPI establece la obligación para los Estados Parte de proporcionar “protección jurídica adecuada y recursos jurídicos efectivos contra la acción de eludir las medidas tecnológicas efectivas que sean utilizadas por los autores en relación con el ejercicio de sus derechos”. Acá hay un reconocimiento legal de las llamadas medidas de protección tecnológica que los titulares de derechos de propiedad intelectual utilizan para evitar la violación de sus derechos. El reconocimiento legal consiste en otorgar protección contra la acción consistente en eludir la medida tecnológica, es decir, se procura evitar la violación de le medida técnica empleada por el titular de los derechos; se protege legalmente la medida de protección tecnológica.

En el aspecto organizativo, podemos hablar de la gestión de los activos de propiedad intelectual dentro de una empresa u organización y, en ese sentido, se pueden mencionar medidas organizativas tales como: registro de obras, auditoría de licencias de productos protegidos, regulación de las descargas que se realicen desde Internet a los dispositivos de la empresa (servidores, computadoras, celulares, etc.), entre otras.

Observaciones finales

A la hora de hablar de seguridad de la información es preciso distinguir entre datos personales, secretos comerciales y obras intelectuales. En los tres casos estamos en presencia de información en sentido amplio, pero cada uno de esos tipos de información tienen características específicas y regulaciones propias, que establecen requisitos de protección y medidas de seguridad diferentes.

No obstante, en todos los casos es posible hablar de tres pilares básicos: legal, técnico y organizacional, ninguno de los cuales basta por sí solo, sino que deben ser atendidos en conjunto a fin de dotar a una empresa de un medioambiente seguro

 

Autor: Horacio Bruera, Investigación y Desarrollo

 

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.


Tecnología, Informática, Seguridad, Management y Negocios






Ingresa con:


Google Buscador

FacebookLinkedinTwitterYoutubeSlideShareMySpace

Nutanix

Nutanix

LEVEL 3 WHITE PAPER

Level 3: Reduzca sus Costos de Comunicaciones (White Paper)

LEVEL 3 WHITE PAPER

Level 3: Soluciones de Seguridad de TI

LEVEL 3 WHITE PAPER

Level 3: Impact of Hi-Density Data Centers

LEVEL 3

Level 3 Think Ahead

ITPAMI

ITPAMI

Próximas Jornadas

Open Mobile Summit
CSO Business Advisor ICIO2: I know it

Registrados

Hoy: 1 registrados
Esta semana: 2 registrados
Este mes: 11 registrados

Visitas

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterHoy6851
mod_vvisit_counterAyer9796
mod_vvisit_counterEsta semana25171
mod_vvisit_counterUltima semana59624
mod_vvisit_counterEste mes225951
mod_vvisit_counterUltimo mes277013
mod_vvisit_counterTodos los días16855058

Online 175
Hoy: Nov 26, 2014