Seguridad de datos en tecnologías de información y comunicación en la banca
venezolana. Marco jurídico y político.
Recibido: 30-01-09 Aceptado: 16-04-09
Anderson Medina1
Matilde Flores Urbáez2
Juana Ojeda de López3
Resumen: En este trabajo se analiza el marco jurídico y político venezolano en materia
de seguridad de datos en tecnologías de información y comunicación en el sector
bancario. La metodología fue de tipo documental –descriptiva y, basada en la revisión
de instrumentos con una escala tipo Lickert para medir la política pública de ciencia,
tecnología e innovación, así como las leyes venezolanas relacionadas con el tema de la
seguridad de datos. Los resultados revelan, en primer lugar, que dichos instrumentos
de política están dirigidos, directa e indirectamente, a regular la seguridad de datos en
tecnología de información considerando que inciden directamente en el diseño de las
estrategias de la banca venezolana. En segundo lugar, que el tema es considerado
como un problema de Estado y como tal es tratado.
Palabras Claves: Seguridad de datos, tecnologías de información y comunicación,
sector bancario venezolano, política pública.
1
MSc En Planificación y Gerencia de Ciencia y Tecnología. Banco Occidental de Descuento. Maracaibo. Venezuela.
[email protected]
2
3
Dra. En Ciencias Sociales mención Gerencia. Universidad del Zulia. Venezuela. [email protected]
Dra. En Ciencias mención Investigación. Universidad del Zulia. Venezuela. [email protected]
1
Security of data in information technologies and communication in the Venezuelan bank.
Legal and policy framework.
Abstract: This paper analyzes the Venezuelan legal and policy frame in the matter of
security of data in information technologies and communication in the banking sector.
The methodology was of documentary type - descriptive and, based on the revision of
instruments with a scale Lickert type to measure the public policy of science, technology
and innovation, as well as the Venezuelan laws related to the subject of the security of
data. The results reveal, in the first place, that these instruments of policy are directed,
directly and indirectly, to regulating the security of data in information technology
considering that they affect the design of the strategies of the Venezuelan bank directly.
Secondly, that the subject is considered as a problem of State and as so it is treated.
Key words: Security of data, technologies of information and communication,
Venezuelan banking sector, public policy.
2
1. Introducción
La seguridad de datos en tecnologías de información y comunicación en la
banca, entendida como aquellas estrategias y operaciones que se estructuran sobre
basamentos técnicos que permiten establecer políticas de control y protección de datos
basados en criterios de confidencialidad, integridad y disponibilidad de los datos,
considerando las mejores prácticas disponibles a nivel mundial sobre estándares y
normas creados y reconocidos por el sector empresarial, ha sido de interés para los
investigadores, gobiernos y para el sector bancario. Esto se evidencia en los trabajos
de Fuentealba (2002), González (2003), Láscaris (2004) y Kennedy (2004).
Fuentealba (2002), analizó el impacto de las capacidades de innovación
tecnológica y el uso de las nuevas tecnologías en las empresas financieras y la
sociedad del conocimiento. Estableció como resultado que el desarrollo de la nueva
economía se
basa en las
revoluciones tecnológicas
provenientes
de las
capacidades de innovación, las cuales se desarrollan en las empresas por medio del
establecimiento de las nuevas tecnologías (especialmente las de información), las
cuales conducen al fortalecimiento de las sociedades del conocimiento.
Por otra parte, González (2003), propone analizar las modificaciones, tanto en la
estructura como en el comportamiento del sistema bancario venezolano. La
metodología utilizada se basó en la aplicación de cuestionarios a cuatro (4) diferentes
3
entidades bancarias, donde los resultados evidenciaron que los avances tecnológicos
han provocado una nueva concepción del negocio bancario en todo el sistema
financiero del país, provocando un cambio en el funcionamiento de este mercado.
Láscaris (2004) también realiza una propuesta en la cual se toma como base el
estudio de las capacidades de las empresas del sector bancario para incorporar la
seguridad de datos de tecnología de información como factor dinámico para su
desarrollo constante. Los resultados obtenidos determinaron que la articulación
orgánica y de orden estructural que se establece entre los sistemas productivo,
educativo, de investigación y desarrollo en los bancos a nivel de seguridad en los datos
de su tecnología de información, se conceptualiza y diseña en un nivel meso y se
operacionaliza en un nivel micro, en un esfuerzo por contribuir a la clarificación de la
estructura organizacional requerida y confiable para viabilizar la innovación tecnológica
en dicha área.
El principal aporte de Láscaris consiste en presentar una revisión de las bases
conceptuales sobre capacidades de innovación tecnológica y seguridad de datos
referidos a la tecnología de información en empresas bancarias, exaltando
fundamentalmente que la capacidad de innovación tecnológica en tales organizaciones
es un elemento estratégico de su plataforma para lograr la competitividad, si se dispone
y se hace uso adecuado de las tecnologías que requiere para desempeñarse de
manera competitiva en el mercado y si está en condiciones de generar y adoptar las
innovaciones tecnológicas que le permiten prestar cada vez mejor su servicio.
4
Finalmente, Kennedy (2004) realiza un interesante análisis de las innovaciones
tecnológicas en seguridad de datos de tecnología de información en bancos. La
metodología utilizada se basó en la aplicación de cuestionarios a cinco (5) gerentes de
diferentes entidades bancarias de importancia mundial, donde los resultados revelaron
que sistemas de seguridad de datos han ocupado entre el 35% y el 55% anual en las
inversiones en tecnología de información de estas empresas, generando las estrategias
necesarias en la mitigación de los riesgos a nivel de fraudes informáticos.
El autor resalta el análisis de experiencias en este campo enmarcado en el
sector bancario mundial, señalando sus fortalezas y debilidades de la tendencia
tecnológica en dicho sector, en la búsqueda constante de una mayor competitividad,
eficiencia y aprovechamiento de sus capacidades para ofrecer sus productos y servicios
de manera segura tecnológicamente.
En este contexto, surge la inquietud de analizar el sector bancario venezolano a
través de su marco jurídico y político relacionado con la seguridad de datos en
tecnologías de información y comunicación. Para ello, se estructuró el presente trabajo
en las siguientes partes: un marco referencial de análisis en el cual se conceptualiza el
sector bancario en si mismo y las tecnologías de seguridad de sus datos para la
información y comunicación.
Por otra parte, se estudia la aplicación de la seguridad de datos de tecnología de
información y comunicación en empresas bancarias y finalmente, el marco jurídico y
5
político venezolano en materia de seguridad de datos de tecnologías de información y
comunicación que impacta de manera directa o indirecta al sector bancario venezolano.
2. Marco referencial
En esta sección, se presenta el marco referencial del trabajo a través de los
siguientes aspectos: definición conceptual del sector bancario y de la seguridad de
datos de tecnología de información, la aplicación de la seguridad de datos en
tecnologías de información y comunicación en las empresas bancarias y finalmente, la
fundamentación jurídica y política en materia de seguridad de datos para este sector.
2.1. Sector Bancario
Autores como Muci y Martin (2004), definen el sector bancario como el
intermediario financiero que promueve servicios de transacción a sus clientes. El
proceso de la intermediación financiera aparece como elemento clave en la definición,
debido a que se encarga de tomar dinero en préstamo, lo canalizan para construir un
patrimonio común y lo invierten. Se dice que son intermediarios porque las instituciones
bancarias se ubican entre los inversionistas y la inversión final.
González (2005), manifiesta que el sector bancario permite la prestación de un
servicio de sistemas de pago que facilita las transacciones entre los agentes y la
intermediación financiera en la que logra captar y aprovechar los flujos de dinero de
aquellos individuos que tienen capacidad de ahorro para destinarlos hacia aquellos
sectores que no cuentan con los suficientes recursos para realizar una determinada
actividad, por lo que se considera uno de los principales propulsores de la actividad
económica de un país.
6
En este contexto, Bernabé (2002) destaca que la actividad principal de las
entidades del sector bancario es la administración de la inversión de los depósitos
realizados por el público, que hay que reintegrar, con el fin de obtener un beneficio que
permita la remuneración del interés pactado con el depositario, lo cual se lleva a cabo
por medio de la prestación de una serie de servicios “accesorios”.
En tal sentido, Martínez (2004) manifiesta que en las diferentes actividades que
se desarrollan alrededor del mundo con dinero, bonos, acciones, opciones u otro tipo de
herramientas financieras, la banca actúa como intermediaria entre las diferentes
personas u organizaciones que realizan estos movimientos, negocios o transacciones
financieras.
En las últimas décadas, el Estado venezolano ha establecido una creciente
sensibilización social sobre los problemas relacionados con políticas de innovación
tecnológica, incluyendo las tecnologías sociales y organizativas, entre las que destacan
sus aplicaciones en las empresas del sector bancario. Adicionalmente es importante la
participación del sector bancario del país en el fortalecimiento e impulso de las
actividades orientadas al desarrollo de la ciencia y la tecnología, así como también por
medio del desarrollo endógeno de las actividades en dicha área.
La existencia de los intermediarios bancarios en un país se justifica según sus
beneficios fundamentales (Maza, 2004):
 Promover el ahorro nacional,
 Ser eje operativo del sistema de pagos,
 Brindar servicios financieros al sector real de la economía, procurando el
desarrollo económico y el bienestar social del país,
7
 Canalizar el ahorro hacia la inversión productiva,
 Apoyar a los servicios públicos y privados,
 Facilitar las relaciones financieras con el exterior.
 Distribuir fondos a nivel nacional.
 Diseñar instrumentos de pago innovadores.
 Garantizar la liquidez, la rentabilidad y la solvencia del sistema económico
del país.
Las
distintas
conceptualizaciones
sobre
el
sector
bancario
expuestas
anteriormente, se presentan de forma resumida en el cuadro 1:
CUADRO 1
CONCEPTUALIZACION DEL SECTOR BANCARIO
AUTOR
DEFINICION
ENFOQUE
Administracion
de
la
inversión de los depósitos
Servicios
realizados por el público,
Bernabé (2002)
Administrativos
con el fin de obtener un
beneficio
Intermediario financiero
que promueve servicios
Servicios
Muci y Martin (2004)
de transacción a sus Transaccionales Varios
clientes
Martinez (2004)
Intermediarias entre las
diferentes personas u
organizaciones
que
Servicios Financieros
realizan
estos
movimientos, negocios o
transacciones financieras
González (2005)
Servicios de sistemas de
pago que facilita las
transacciones entre los
agentes
y
la
intermediación financiera
Servicios de Pago
A los fines de esta investigación y con base en los criterios expresados por
dichos autores, se propone la siguiente definición del sector bancario: conjunto de
empresas que permiten la intermediación financiera a través de los distintos tipos de
8
servicios ofrecidos (transaccionales, administrativos, económicos y financieros),
soportados por medio de una plataforma tecnológica segura, y que influyen de manera
determinante en la liquidez, rentabilidad, equilibrio y solvencia del sistema económico
del país.
2.2.
Seguridad de datos
Conceptualización.
de
Tecnologías
de
Información
y
Comunicación.
Expuesto lo anterior vale aclarar entonces el significado de la Seguridad
de Datos de Tecnologías de Información y Comunicación, el cual se expresa en el
cuadro 2 visto desde el enfoque de Lam y otros (2004), Carter (2004) y Wescott (2004).
CUADRO 2
CONCEPTUALIZACIÓN DE SEGURIDAD DE DATOS DE TECNOLOGIAS
DE INFORMACION Y COMUNICACIÓN
AUTOR
CONCEPTO
ENFOQUE
Actividades que están
Desarrollo de Procesos
orientadas
a
la
Endógenos (I+D de
Lam, y otros (2004) investigación y desarrollo
Productos y/o Servicios
de
tecnologías
de
Seguridad TI)
seguridad informática.
Carter (2004)
Wescott (2004)
Permite
proteger
la
información
de
una
amplia
gama
de
amenazas con el fin de
asegurar la continuidad
operativa del negocio.
Conjunto adecuado de
controles,
políticas,
practicas,
procedimientos,
estructuras y funciones.
Desarrollo de Procesos
de Cambios Seguridad
TI (Competitividad)
Desarrollo de Procesos
Endógenos (Procesos,
Politicas Internas)
9
Tomando en consideración la propuesta conceptual de Lam, Carter y Wescott, se
define la SDTIC como aquellas estrategias y operaciones que se estructuran sobre
basamentos técnicos que permiten establecer políticas de control y protección de datos
basados en criterios de confidencialidad, integridad y disponibilidad de los datos,
considerando las mejores prácticas disponibles a nivel mundial sobre estándares y
normas creados y reconocidos por el sector empresarial.
2.2.1. Aplicación de la seguridad de datos de tecnología de información y
comunicación en empresas bancarias
Basado en Bel (2005) y tomando como referencia la norma sobre Objetivos de
Control para Tecnología de Información y Tecnologías Relacionadas (COBIT)
(1),
las empresas bancarias pueden aplicar, desarrollar y evaluar metodológicamente la
seguridad de datos de tecnología de información por medio del establecimiento y
evolución interna de las siguientes actividades:
a) Planificación y Organización:
 Definir un plan estratégico de TI basándose en el impacto del negocio,
adecuada utilización de los datos, disponibilidad de los servicios y
confiabilidad de las transacciones.
 Definir la organización y relaciones de TI: Es necesario definir las
responsabilidades específicas por la gestión de seguridad de datos.
 Comunicar periódicamente los objetivos y directrices de la gerencia en
cuanto a reglas para la implementación de la SDTI.
 Administración del talento humano: en el proceso de contratación hay que
validar las referencias laborales, disponibilidad del conocimiento y
10
habilidades necesarias para el cargo, asegurarse de que ninguna tarea
laboral está a cargo de una sola persona.
 Asegurar el cumplimiento con los requisitos externos: identificar los
derechos de propiedad intelectual, patentes y otros requisitos.
(1) COBIT, lanzado en 1996 por la Asociación de Auditoria y Control de Sistemas de Información (ISACA), es una herramienta
estándar mundial del ámbito de las Tecnologías de Información (TI) que permite investigar, desarrollar, publicar y promover un
conjunto de objetivos de control de TI rectores, los cuales son actualizados y aceptados internacionalmente para ser utilizados y
aplicados por Gerentes de Negocio y Auditores de TI a nivel empresarial, incluyendo los bancos (Gros, 2003).
 Evaluar riesgos: es necesario discutir con el personal clave lo que pueda
salir mal con la SDTI y como podría impactar significativamente los
objetivos del negocio.
 Considerar la relación costo-eficacia de los recursos para administrar los
riesgos de seguridad identificados.
En esta propuesta, se destaca la importancia de la participación activa de la alta
gerencia para la definición de las estrategias que pueden ser establecidas, a los fines
de llevar a cabo la puesta en marcha de las actividades de planificación y organización.
b) Adquisición e Implementación
 Identificar soluciones automatizadas: es necesario considerar la SDTI
cuando se identifican soluciones automatizadas (tanto de hardware como
de software).
11
 Adquirir y mantener la infraestructura tecnológica: con el fin de dar
soporte adecuado a las mejores prácticas de SDTI automatizadas.
Adicionalmente, identificar y monitorear los elementos fuente para
mantenerlos actualizados en materia de seguridad.
 Asegurar que el personal conozca cómo integrar la seguridad en los
procedimientos del “día a día”.
 Instalar y acreditar sistemas: probar el sistema verificando los requisitos
funcionales y operacionales de seguridad, así como realizar la aceptación
final de seguridad, evaluando todos los resultados contra las metas de
negocio y los requisitos de seguridad.
 Evaluar todos lo cambios para establecer el impacto sobre la SDTI basado
en comprobaciones antes y después de dichos cambios.
En este caso, se destaca la importancia del aporte de la gerencia media en
cuanto a las estrategias que pueden ser establecidas, a los fines de llevar a cabo la
puesta en marcha de las actividades de adquisición e implementación.
c) Entrega y Soporte
 Definir y administrar niveles de acuerdos de servicio: asegurar que la
gerencia establezca los requisitos de seguridad y que regularmente
efectúe revisiones del cumplimiento de dichos acuerdos.
 Administrar servicios prestados por “terceros”: evaluar la capacidad
profesional de terceros y asegurar que ellos proporcionan la seguridad
12
adecuada. Adicionalmente, considerar la dependencia tecnológica de
éstos.
 Garantizar un servicio continuo: hay que identificar las funciones de
negocio e información críticas y aquellos recursos que son críticos para
darles soporte. Es necesario también establecer los principios básicos
para salvaguardar y reconstruir los servicios de TI, es decir, qué necesita
ser resguardado y almacenado externamente para apoyar la recuperación
del negocio.
 Garantizar la seguridad de los sistemas: implementar reglas para el
control de acceso a los servicios en base a necesidades individuales;
detección, registro e información de violaciones de seguridad; definición
de políticas sobre qué tipo de información puede entrar o salir de la
organización y sus criterios de selección.
 Asegurar que el inventario de la configuración de TI sea regularmente
completado y actualizado.
 Revisar regularmente si todo el software y hardware esta autorizado y
licenciado apropiadamente.
 Administrar los datos: someter los datos a una variedad de controles para
verificar su
integridad
durante
la
entrada, el procesamiento,
el
almacenamiento y la distribución de los mismos. Definir los periodos de
retención, requerimientos de archivos y condiciones de almacenamiento
para documentos de entrada, salida, datos y programas;
 Establecer la seguridad física de las instalaciones y activos de TI y
proteger tanto el equipamiento de almacenamiento como las redes de
13
telecomunicaciones del daño, robo, pérdida accidental e intercepción de
los mismos.
En este contexto, se destaca la importancia del aporte de la gerencia operacional
en cuanto a las estrategias que pueden ser establecidas, a los fines de llevar a cabo la
puesta en marcha de las actividades de entrega y soporte.
d) Monitoreo y Evaluación:
 Monitorear los procesos: disponer de personal clave que periódicamente
monitoree que los controles de seguridad de acceso a los datos (tanto
físicos como lógicos) son adecuados en comparación a los requerimientos
definidos y a las vulnerabilidades actuales, y, que las expectativas de
seguridad son necesarias monitorear en forma permanente.
 Obtener
aseguramiento
independiente:
obtener
recursos
externos
competentes para revisar los mecanismos de control de SDTI, los accesos
otorgados relativos en el cumplimiento de leyes, regulaciones, políticas,
estándares y obligaciones contractuales.
Por las razones expuestas, cabe hacerse la siguiente
interrogante: ¿ como
funciona la banca venezolana dado los permanentes riesgos en materia de seguridad
de datos de tecnologías de información y comunicación? ¿cuál es su marco jurídico y
sus instrumentos de política que regula esta amenaza tecnológica? En un intento por
responder a estas interrogantes, a continuación se analiza la situación de la banca
venezolana en el marco de la legislación venezolana en materia de seguridad de datos
de tecnologías de información y comunicación así como instrumentos de política de de
manera implícita abordan esta temática.
14
2.3.
Marco jurídico venezolano en materia de seguridad de datos en tecnologías
de información y comunicación.
Con la firme intención de fomentar la asignación de recursos ponderada y
diversificada, mantener la eficiencia en la prestación de servicios, salvaguardar los
intereses de los ahorristas y demás acreedores, así como proteger la solvencia del
sistema bancario en su conjunto, el Estado venezolano interviene activamente en la
regulación del sector bancario a través de la formulación de leyes que regulan sus
actividades.
A continuación se presenta una visión panorámica del marco jurídico venezolano
que de forma directa o indirecta regula lo relacionado con la seguridad de datos en
tecnologías de información y comunicación
En el año 2000 se promulga por la Superintendencia de Bancos y otras
Instituciones Financieras la Ley Sudaban ó Ley General de Bancos, la cual manifiesta
en su artículo 213 que la inspección, supervisión, vigilancia, regulación y control de los
bancos, entidades de ahorro y préstamo, otras instituciones financieras, casas de
cambio, operadores cambiarios fronterizos y empresas emisoras y operadoras de
tarjetas de crédito, estará a cargo de ella. Es un instituto autónomo, adscrito al
Ministerio de Finanzas solo a efectos de la tutela administrativa y goza de las
prerrogativas, privilegios y exenciones de orden fiscal, tributario y procesal que la ley
otorga a la República.
15
Aunado a ello, las leyes venezolanas respaldan las actividades relativas tanto a
la banca y a la seguridad de tecnología de información como el desarrollo de
capacidades de innovación tecnológica en materia de seguridad de datos. Por una
parte están las leyes que regulan al sector bancario, tal como el Decreto con fuerza de
Ley de Reforma de la Ley General de Bancos y otras Instituciones Financieras (2000), y
por otra parte, las leyes del sector científico y tecnológico vinculadas directamente con
la seguridad en tecnología de información, tales como la Ley Orgánica de Ciencia,
Tecnología e Innovación (2005), la Ley sobre Mensajes de Datos y Firmas Electrónicas
(2001) y la Ley Especial sobre Delitos Informáticos (2001).
En este contexto, se resaltan las siguientes consideraciones legales:
Ley General de Bancos
La Ley General de Bancos y otras Instituciones Financieras, manifiesta en sus
artículos 233, 234, 251 y 252, que la información bancaria debe manejarse de manera
confidencial por los organismos que la posean, y adicionalmente
debe
ser
suministrada de la misma manera por los entes de control que la ameriten, por lo que se
hace necesario que sea administrada de manera segura.
Adicionalmente, dicha ley en sus artículos 444, 445, 446 y 447, señala que quien
utilice los medios informáticos o mecanismos similares para apoderarse, manipular o
alterar papeles, cartas, mensajes de correo electrónico o cualquier otro documento que
repose en los archivos electrónicos de un banco, entidad de ahorro y préstamo,
institución financiera o casa de cambio, perjudicando el funcionamiento de las
16
empresas regidas por este Decreto Ley o a sus clientes, será penado con prisión de
ocho (8) a diez (10) años.
Ley Orgánica de Ciencia, Tecnología e Innovación
La Ley Orgánica de Ciencia, Tecnología e Innovación (2005) manifiesta en su
artículo 3 que forman parte del Sistema Nacional de Ciencia Tecnología e Innovación,
las instituciones públicas o privadas que generen y desarrollen conocimientos
científicos y tecnológicos y procesos de innovación, y las personas que se dediquen a
la planificación, administración, ejecución y aplicación de actividades que posibiliten
la vinculación efectiva entre la ciencia, la tecnología y la sociedad (tal es el caso de las
entidades del sector bancario).
Adicionalmente, dicha ley en su artículo 4, expresa la necesidad de estimular la
capacidad de innovación tecnológica del sector productivo, empresarial y académico,
tanto público como privado, a través de mecanismos que permitan la inversión de
recursos financieros para el desarrollo de las actividades científicas, tecnológicas y de
innovación.
La Ley sobre Mensajes de Datos y Firmas Electrónicas (2001) en su artículo 1,
manifiesta que se otorga y reconoce la eficacia y el valor jurídico a la Firma Electrónica,
al Mensaje de Datos y a toda información inteligible en formato electrónico,
independientemente de su soporte material, atribuible a personas naturales o jurídicas,
públicas o privadas, así como regular todo lo relativo a los Proveedores de Servicios de
17
Certificación y los Certificados Electrónicos (tal es el caso de las operaciones
electrónicas efectuadas por parte de las entidades del sector bancario).
La ley en su artículo 7, expresa que cuando se requiera que la información sea
presentada o conservada en su forma original, ese requisito quedará satisfecho con
relación a un Mensaje de Datos si se ha conservado su integridad y cuando la
información contenida en dicho Mensaje de Datos esté disponible. A tales efectos, la ley
establece que un Mensaje de Datos permanece íntegro, si se mantiene inalterable
desde que se generó, salvo algún cambio de forma propio del proceso de
comunicación, archivo o presentación.
En el artículo 27 de dicha ley se expresa que la Superintendencia de Servicios de
Certificación Electrónica (adscrita al Ministerio de Ciencia y Tecnología) podrá adoptar
las medidas preventivas o correctivas necesarias para garantizar la confiabilidad de los
servicios prestados por los Proveedores de Servicios de Certificación, por lo que, podrá
ordenar, entre otras medidas, el uso de estándares o prácticas internacionalmente
aceptadas para la prestación de los servicios de certificación electrónica, o que el
proveedor se abstenga de realizar cualquier actividad que ponga en peligro la integridad
y la seguridad del dato o el buen uso del servicio de los sistemas de información (tal es
el caso de los sistemas de información y la plataforma tecnológica que soporta las
operaciones de las entidades del sector bancario).
La Ley especial contra Delitos Informáticos (2001) expresa en su artículo 1 que
es objeto de protección integral los sistemas que utilicen tecnologías de información, así
18
como la prevención y sanción de los delitos cometidos contra
tales
sistemas
o
cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías
(tal es el caso de los sistemas de información y la plataforma tecnológica que soporta
las operaciones de las entidades del sector bancario).
Adicionalmente dicha ley en sus artículos del 13 al 26, expresan que serán
aplicadas sanciones para aquellos que a través del uso de tecnologías de información,
accedan, intercepten, interfieran, manipulen o usen de cualquier forma un sistema o
medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de
carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho
económico para sí o para otro, con prisión de dos (2) a seis (6) años y multa de
doscientas (200) a seiscientas (600) unidades tributarias.
Un resumen del marco jurídico venezolano en materia de seguridad de datos de
tecnologías de información y comunicación (SDTIC) se presenta en el cuadro 3.
19
CUADRO 3
MARCO JURÍDICO VENEZOLANO EN MATERIA DE SDTIC
INSTRUMENTO JURIDICO
Ley General de Bancos y Otras
Instituciones Financieras (2000)
OBJETIVO
Regular la intermediación financiera
realizada por los bancos, entidades
de ahorro y préstamo y demás instituciones
financieras.
Otorgar y reconocer eficacia y valor jurídico
a la Firma Electrónica, al Mensaje de Datos
y a toda información inteligible en formato
Ley sobre Mensajes de Datos y Firmas
electrónico, independientemente de su
Electrónicas (2001)
soporte material, así como regular todo lo
relativo a los Proveedores de Servicios de
Certificación y los Certificados Electrónicos.
Protección integral de los sistemas que
utilicen tecnologías de información, así
como la prevención y sanción de los delitos
cometidos contra tales sistemas o
Ley sobre Delitos Informáticos (2001)
cualquiera de sus componentes o los
cometidos mediante el uso de dichas
tecnologías.
Desarrollar los principios orientadores que
Ley Organica de Ciencia, Tecnología e en materia de ciencia, tecnología e
innovación, establece la Constitución de la
Innovación (2005)
República Bolivariana de Venezuela.
El conjunto de dispositivos legales emanados del gobierno nacional venezolano
presentado, revelan que la seguridad de datos en tecnología de información, es
considerada un tema de Estado el cual busca mitigarlo a través de la aplicación de las
sanciones legales dispuestas. En el cuadro, se evidencia que el marco legal
venezolano, refuerza la importancia que tiene la seguridad de datos en tecnologías de
información en el sector bancario, así como la aplicación y puesta en práctica de
medidas conducentes al resguardo y la seguridad de los datos de los sistemas y la
plataforma tecnológica, que soporta los mismos en dichas entidades.
20
2.4. Fundamentación Política en materia de seguridad de datos en tecnologías de
información.
Subirats (1999) refiere que las políticas científicas y tecnológicas deben estar en
completa concordancia con la política nacional de desarrollo, por tal razón, hay un
consenso cada vez mayor acerca de que una respuesta adecuada a los desafíos
económico-tecnológicos de un mundo en cambio, el cual requiere un rol activo del
Estado que impulse una política científico-tecnológica articulada.
(2) Las grandes transformaciones tecnológicas desde inicios y mitad de la década de los setenta muestran, que las tecnologías de
la información son un componente esencial de la transformación social en su conjunto que incide directamente en las
organizaciones, pero este no es el único factor determinante en el desarrollo de la misma. Es por ello que la tecnología no es
solamente “máquinas”: es también tecnología social y organizativa (Castells,1994).
21
No es, por tanto, una sorpresa que la participación pública en la formulación de
estas políticas constituya hoy día un importante reto tanto para las empresas bancarias
como para el Gobierno, las cuales en el caso venezolano, se encuentran en la
búsqueda constante de desarrollar sus capacidades de innovación tecnológica,
especialmente en el área de seguridad de datos de tecnología de información como
parte de la evolución de un proceso endógeno de desarrollo tecnológico del sistema
bancario, la cual permitiría mejorar sus productos y servicios en dicho ámbito.
Por ello, es importante destacar la relación existente entre los instrumentos de
políticas venezolanos con la seguridad de datos de tecnología de información en el
sector bancario venezolano.
En ese orden de ideas, se destaca lo siguiente:
 La Política Nacional de Desarrollo (PND), instrumentada a través del Plan
Nacional de Desarrollo Económico y Social de la Nación (PNDESN)
(2001-2007), en su sección 1.1.5, manifiesta que la ciencia y tecnología
acompañarán e inducirán los cambios técnicos requeridos en el ámbito
económico para impulsar el crecimiento de la producción y la
productividad, y en tal sentido, se propiciará la multiplicación de
programas de formación científica bajo la convicción de que la
infraestructura de investigación es un insumo estratégico fundamental
para la innovación en el área productiva.
Adicionalmente en su sección 1.1.6, expresa la necesidad de transformar
y fortalecer el sistema financiero con el propósito de optimizarlo, agilizarlo
22
y potenciar su capacidad de asistencia técnica y financiera para
desarrollar los sectores productivos. Por ello, se introduce el concepto de
“Cadena Financiera” para reforzar la interrelación entre banca pública o
privada y los productores, especialmente el caso de los productores
pequeños y medianos, las instituciones aseguradoras y de otorgamiento
de garantías, que permitirían la disminución del riesgo bancario y el
abaratamiento del financiamiento con capital de riesgo.
 El Plan Nacional de Tecnologías de Información (PNTI) (2001), refiere en
sus lineamientos estratégicos, la necesidad de fomentar la investigación,
desarrollo y la transferencia tecnológica, de productos y servicios en
tecnologías de información, propiciando el uso de estas tecnologías como
factor potenciador del resto de las áreas de investigación y desarrollo, así
como del crecimiento y desarrollo propio de este sector en la economía
nacional.
Adicionalmente, se manifiesta que es fundamental la promoción y el uso
de las tecnologías de información en el sector productivo, público y
privado, a fin de elevar su productividad y competitividad, en el marco de
la nueva economía, mediante un adecuado marco jurídico y regulatorio
que ofrezca seguridad en el uso de dichas tecnologías.
 El Plan Nacional de Ciencia, Tecnología e Innovación (PNCTI 2005-2030)
(2005), refiere en sus lineamientos estratégicos, que es necesario
contribuir con el hacer posible un desarrollo endógeno, sustentable y
23
humano a través del incentivo y desarrollo de procesos de investigación,
producción y transferencia de conocimiento de calidad y pertinente a los
problemas y demandas fundamentales que afectan actualmente a la
sociedad venezolana y los que potencialmente (a mediano y largo plazo),
pudieran impactar las áreas económicas, sociales y culturales donde la
ciencia, tecnología e innovación desempeñan un rol fundamental.
Adicionalmente, como parte complementaria de sus lineamientos
estratégicos manifiestan que es fundamental conocer, crear y difundir la
ciencia y la tecnología adecuada a los modos de vida, aspiraciones y
modelos de civilización venezolano, el cual es uno de los retos
contemporáneos. De allí la importancia de pensar el futuro deseable y
posible de la ciencia y la tecnología para su uso en la vida de nuestro país.
La fundamentación política de la banca venezolana en materia de seguridad de
datos en tecnologías de información se resume en el cuadro 4.
24
CUADRO 4
FUNDAMENTACION POLITICA DE LA DE LA BANCA VENEZOLANA EN MATERIA
DE SEGURIDAD DE DATOS EN TECNOLOGÍAS DE INFORMACIÓN
INSTRUMENTO DE POLITICA
OBJETIVO
RELACION CON LA BANCA
Equilibrar las fuerzas y factores
Plan de Desarrollo Económico
que
intervienen
en
la
Secciones: 1.4, 1.1.6.
y Social de la Nación (2001multidimensionalidad
del
2007)
desarrollo nacional.
Fomentar
la
investigación,
desarrollo y la transferencia
tecnológica, de productos y
Plan Nacional de Tecnologías servicios en tecnologías de
Secciones D y E.
información, así como del
de Información (2001)
crecimiento y desarrollo propio
de este sector en la economía
nacional.
Contribuir con hacer posible un
desarrollo
Plan Nacional de Ciencia,
endógeno, sustentable y humano
Sección de Conclusiones
Tecnología e Innovación (2005a través
Diagnósticas, Parte 2.
2030)
del incentivo y desarrollo de
procesos.
En el cuadro se evidencia que las políticas públicas venezolanas refuerzan la
importancia que tiene la SDTIC, así como
la aplicación y puesta en práctica de
medidas conducentes a dinamizar y apoyar las actividades científico-tecnológicas en
esta materia.
RESULTADOS
Finalmente, se observa que la tendencia que existe en la aplicación y puesta en
práctica de medidas conducentes al resguardo y la seguridad de datos en los sistemas
y la plataforma tecnológica, se soporta en dichas entidades, en el desarrollo de
capacidades de innovación tecnológica y en un marco jurídico y de políticas públicas
sólido.
25
CONCLUSIONES
En función del análisis anterior se concluye lo siguiente:
El conjunto de dispositivos legales y los instrumentos de política emanados del
Gobierno Nacional Venezolano presentados y las sanciones dispuestas para tal fin,
revelan que la seguridad de datos en tecnología de información y comunicación, es
considerada un tema de Estado.
La seguridad de datos en tecnologías de información y comunicación en el sector
bancario, así como la aplicación y puesta en práctica de medidas conducentes al
resguardo y la seguridad de los datos de los sistemas y la plataforma tecnológica, se
soporta en dichas entidades, en el desarrollo de capacidades de innovación tecnológica
y en un marco jurídico y de políticas públicas sólido.
RECOMENDACIONES
Formular y aplicar políticas y normas en el sector bancario en materia de
seguridad de datos en tecnologías de información y comunicación, aprovechando la
disponibilidad de la plataforma tecnológica para llevar a cabo estrategias que pueden
ser instauradas en esta área.
Establecer el conjunto de dispositivos legales y los instrumentos de política en el
sector bancario en materia de seguridad de datos en tecnologías de información y
comunicación emanadas del Gobierno Nacional Venezolano con las sanciones
dispuestas para tal fin, considerando que este es un tema de Estado.
Aplicar las medidas conducentes al resguardo y la seguridad de datos en
tecnologías de información y comunicación en el sector bancario, la cual se soporta en
dichas entidades a través de la plataforma tecnológica, en el desarrollo de capacidades
de innovación tecnológica y en un marco jurídico y de políticas públicas sólido.
26
REFERENCIAS BIBLIOGRÁFICAS
BERNABÉ, Marcos (2002). Generalidades del Sistema Bancario. [Versión electrónica],
http://www.5campus.com/leccion/gensisban.
CASTELLS, Manuel (1994). Flujos, redes e identidades: Una teoría crítica de la
sociedad informacional .Ponencia presentada en el Congreso de “Nuevas Perspectivas
Críticas en Educación”, organizado por la Universidad de Barcelona. Barcelona.
(España).
CARTER, Mark (2004). Cisco's Philosophy Regarding Corporate Governance. [Versión
electrónica], http://www.cisco.com.
FUENTEALBA, Mauricio (2002). Innovación Tecnológica y Nueva Economía: Discursos
de Modernidad. Universidad Autónoma de las Artes y Ciencias Sociales ARCIS- Chile.
GONZÁLEZ, Enrique. (2003). La Estructura del Sector Financiero Venezolano y su nivel
de Determinación sobre el Nivel de Tasas Activas del Sistema Bancario Nacional 19902000. [Versión electrónica], http://www.sudeban.gob.ve.
GROS, Carlos (2003). Qué es COBIT ?. [Versión electrónica], (http: //www.cpci.org.ar/
newsletters/ 90/ cobit.htm).
KENNEDY, Bob (2004). Seguridad para la nueva Era de los Sistemas Bancarios.
National Solutions Executive IBM Safety and Security. USA.
LAM, Kevin; LEBLANC, David y SMITH, Ben (2004). Assessing Network Security.
Microsoft Press, Redmond-Washington, USA. 553 p.
LÁSCARIS, Tatiana (2004). Estructura organizacional bancaria para la Innovación
Tecnológica. El caso de América Latina. Universidad Nacional de Costa Rica, Costa
Rica.
Ley Especial contra Delitos Informáticos. (2001). Caracas, Venezuela.
Ley General de Bancos y otras Instituciones Financieras. (2000). Caracas, Venezuela.
Ley Orgánica de Ciencia, Tecnología e Innovación. (2001). Caracas, Venezuela.
Ley Sobre Mensajes de Datos y Firmas Electrónicas. (2001). Caracas, Venezuela.
MARTINEZ, José (2004). El Sistema Financiero en Venezuela. Universidad de Los
Andes. Mérida. (Venezuela).
27
MAZA, Domingo (1995). El Sistema Financiero Deseable. Instituto de Estudios
Jurídicos del Estado Lara, Barquisimeto. (Venezuela).
MUCI, Gustavo y MARTÍN, Rafael (2004). Regulación Bancaria. Publicaciones UCAB y
Fundación Banco Mercantil, 356 p. Caracas (Venezuela).
NORMA ISO/IEC 27001 (2005). Information Technology: Code of Practice for
Information Security Management. British Standard, United Kingdom.
[Versión
electrónica], http://www.iso.org.
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030 (2005). Caracas,
Venezuela.
Plan Nacional de Tecnologías de Información (2001). Caracas, Venezuela.
Plan de Desarrollo Económico y Social de la Nación 2001-2007 (2001). Caracas,
Venezuela.
SUBIRATS, Joan (1999). La Puesta en práctica de las Políticas Públicas. Marshall.
Londres (Inglaterra).
WESTCOTT, Gina (2004). Security Network and Home Banking Data. Riles-Merci.
Liverpool (Inglaterra).
28
Descargar

Capacidades de Innovación Tecnológica en el Sector Bancario

Contrato bancario

Contrato bancario

EntidadRelación jurídicaDineroCréditosCaracterísticasClientesValores mobiliariosDerecho Mercantil español

Banca Central

Banca Central

ObjetivosBancosSistema bancario

Evolución del sistema financiero mexicano

Evolución del sistema financiero mexicano

Economía mexicanaBanco de MexicoSiglo XXLey de títulos y operaciones de créditoLey de instituciones de crédito

Educación católica en la época colonial

Educación católica en la época colonial

Historia de VenezuelaInstituciones educativasIglesiaLibertad de enseñanza

Dinero y sistema bancario

Dinero y sistema bancario

CréditoBancoInflaciónDeflación