Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

aspectos legales para una administración segura de la

Anuncio 
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
ASPECTOS LEGALES PARA
UNA ADMINISTRACIÓN
SEGURA DE LA
INFORMACIÓN
Dr. Gabriel Ángel Passarelli
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
INTRODUCCIÓN
•
Debido al desarrollo de las Tecnologías de la Información y Comunicaciones, la
forma en que los usuarios pueden acceder a la información alojada en
servidores es cada vez mas variada, planteándose así la necesidad de
extremar las medidas de seguridad en aspectos técnicos, administrativos y
legales, considerando a la información como un importante activo con el que
cuentan las Organizaciones para satisfacer sus objetivos. Por tal motivo, al
igual que el resto de los activos organizacionales, debe asegurarse su correcta
protección.
•
Es decir que la información provista y las tecnologías que las soportan
representan inversiones valiosas para el Estado, por lo que la Administración
Pública debe prestar suma atención a las áreas de servicios informáticos,
siendo estos sectores claves a los fines del correcto ejercicio de las funciones
del Estado, a los efectos de procurar incrementar la productividad, funcionalidad
y finalidad del Estado, disminuyendo así el tiempo de acción, aumentando la
calidad del servicio con el menor costo y riesgo posible, contribuyendo de esta
manera con la transparencia de los actos de gobierno.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Contra que debe protegerse la
información
• La protección de la información debe versar sobre una amplia gama
de amenazas, tanto por cuestiones de casos fortuitos derivados de
acontecimientos naturales (inundaciones, incendios, tormentas
eléctricas, etc.), por hechos del hombre realizados en forma
intencionada (fraude, espionaje, sabotaje, pillaje, etc.) e inclusive
por error u omisión en el manejo de la información (perder, eliminar,
destruir datos en forma involuntaria)
• Estas amenazas a las que se encuentra sometido el tratamiento de
la información deben ser conocidas por todos los responsables de
los sistemas de información y los usuarios en general, a efectos de
establecer controles que permitan minimizar o eliminar el riesgo
asociado a dichas amenazas.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
CONTROLES DE SEGURIDAD
• Los controles de seguridad tienen por finalidad impedir el acceso
físico y lógico a los sistemas de información y sus recursos
relacionados con personas no autorizadas o intrusos, como así
también para reducir el riesgos de cambios o destrucción accidental
de datos manipulados por personas autorizadas.
• Estos controles se establecen mediante la implementación de un
conjunto de medidas preventivas, detectivas, disuasivas y
correctivas
destinadas
a
proteger
aspectos
de
CONFIDENCIALIDAD,
PRIVACIDAD,
INTEGRIDAD
y
DISPONIBILIDAD.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
• CONFIDENCIALIDAD: Asegurar que la información sea accesible
solo para personal autorizado.
• PRIVACIDAD: Evitar que trascienda a terceras personas la
información en poder del Estado referida a individuos, protegiendo a
los mismos contra la divulgación indebida de su información personal
y protegiendo al Estado de eventuales responsabilidades en relación
con este tipo de divulgaciones.
• INTEGRIDAD: Proteger la exactitud y plenitud de los sistemas
informáticos y sus recursos asociados, limitando la administración de
los mismos a personas autorizadas y programas de aplicación
aprobados y autorizados, protegiéndolos contra perdida, destrucción o
modificaciones accidentales o intencionales.
• DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan
acceso a los sistemas de información y sus recursos relacionados,
cuando sean requeridos.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Incidencias de las Políticas de
Seguridad de la Información (PSI)
1 Aumento de los niveles de seguridad en la administración.
• La implementación de las PSI, permite cumplir con una gestión efectiva de
los recursos de información críticos y administrar los mecanismos de
protección adecuados, determinando que tipo de conductas son permitidas
o prohibidas, redundando en una efectiva reducción de riesgos y
vulnerabilidades, que se traduce en el ahorro de tiempo y dinero,
generando mayor confianza y fortaleciendo la imagen institucional.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
2 Mejoramiento continuo
Las PSI describen los aspectos a tener en cuenta en los procesos
para alcanzar objetivos en materia de Seguridad de la Información,
como así también en cuanto a los criterios de revisión y mejoramiento
continuo para su perdurabilidad en el tiempo.
3 Planificación
Mediante la aplicación de las PSI puede crearse una efectiva
planificación de las actividades a desarrollarse dentro del ámbito de la
Administración, con la finalidad de monitorear y dar seguridad a los
procesos de la organización.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
LEYES Y NORMAS VIGENTES
• Además de las PSI, existen normas en relación
con el tratamiento de la información que deben
tenerse presente, atento a que la violación de
ciertos derechos pueden aparejar la
interposición de acciones civiles o penales.
• Sin pretender realizar una enumeración taxativa,
debe tenerse presente las siguientes normas:
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Derechos de propiedad intelectual
• Ley de Propiedad Intelectual N° 11.723: Protege los derechos de
autor de obras científicas, literarias y artísticas, incluyendo los
programas de computación fuente y objeto, las compilación de
datos y otros materiales.
• Ley de Marcas N° 22.362: Protege la propiedad de una marca y la
exclusividad de su uso.
• Ley de Patentes e Invenciones y Modelos de Utilidad N° 24.481:
Protege el derecho del titular de la patente de invención para
impedir que terceros utilicen su producto o procedimiento.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Derecho de Propiedad Intelectual
del Software
• El software es considerado una obra intelectual que goza de la
protección de la Ley 11.723 de Propiedad Intelectual.
• Esta ley establece que la explotación de la propiedad intelectual
sobre los programas de computación incluirá, entre otras formas,
los contratos de licencia para su uso o reproducción.
• Los productos de software se suministran normalmente bajo
acuerdos de licencia que suelen limitar el uso de los productos a
máquinas específicas y su copia a la creación de copias de
resguardo solamente.
• El Responsable de Seguridad Informática analizará los términos y
condiciones de la licencia, e implementará los correspondientes
controles.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Protección de los Registros de
Organismos del Estado
•
Los registros críticos del Organismo se protegerán contra pérdida,
destrucción y falsificación. Algunos registros pueden requerir una retención
segura para cumplir requisitos legales o normativos, así como para
respaldar actividades esenciales del Organismo.
•
Los registros se clasificarán en diferentes tipos, por ejemplo registros
contables, registros de base de datos, registros de auditoría y
procedimientos operativos, cada uno de ellos detallando los períodos de
retención y el tipo de medios de almacenamiento.
•
En caso de utilizarse claves criptográficas asociadas con archivos cifrados
o firmas digitales, se mantendrán en forma segura y estarán disponibles
para su uso por parte de personas autorizadas cuando resulte necesario.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
•
Se debe considerar la posibilidad de degradación de los medios utilizados
para el almacenamiento de los registros. Los procedimientos de
almacenamiento y manipulación se implementarán de acuerdo con las
recomendaciones del fabricante.
•
Si se seleccionan medios de almacenamiento electrónicos, se incluirán los
procedimientos para garantizar la capacidad de acceso a los datos durante
todo el período de retención, a fin de salvaguardar los mismos contra
eventuales pérdidas ocasionadas por futuros cambios tecnológicos.
•
Los sistemas de almacenamiento de datos serán seleccionados de modo
tal que los datos requeridos puedan recuperarse de una manera que
resulte aceptable para un tribunal de justicia, por ejemplo que todos los
registros requeridos puedan recuperarse en un plazo y un formato
aceptable.
•
El sistema de almacenamiento y manipulación garantizará una clara
identificación de los registros y de su período de retención legal. Asimismo,
se permitirá una adecuada destrucción de los registros una vez transcurrido
dicho período, si ya no resultan necesarios para el Organismo.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Protección de Datos y Privacidad de la
Información Personal
•
Todos los empleados de la Administración Publica Provincial deberán
conocer las restricciones al tratamiento de los datos y de la información
respecto a la cual tengan conocimiento con motivo del ejercicio de sus
funciones.
•
El Organismo redactará un “Acuerdo de Confidencialidad”, el cual deberá
ser suscrito por todos los empleados. La copia firmada del acuerdo será
retenida en forma segura por el Organismo correspondiente.
•
Mediante este acuerdo se comprometerá al empleado a usar la información
solamente para el uso específico al que se ha destinado y a no comunicar,
diseminar o de alguna otra forma hacer pública la información a ninguna
persona, firma, compañía, salvo autorización previa y escrita del
Responsable del Activo de que se trate. El “Acuerdo de Confidencialidad”
deberá advertir que determinadas actividades pueden ser objeto de control
y monitoreo. Estas actividades deben ser detalladas a fin de no violar el
derecho a la privacidad del empleado.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
En particular, se deberán tener
presente las siguientes normas:
•
PROTECCIÓN DE DATOS PERSONALES LEY N° 25.326:
Establece responsabilidades para aquellas personas que
recopilan, procesan y divulgan información personal y define
criterios para procesar datos personales o cederlos a terceros.
•
DERECHO DE ACCESO: Está previsto en el Art. 14 de la LPDP y
es lo que la doctrina ha bautizado como habeas data. Puede
presentarse en variadas formas, como un reclamo entre
particulares si se trata de un registro privado, como un reclamo
administrativo, si el registro es público.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
•
DERECHO DE RECTIFICACION, ACTUALIZACION, SUPRESION O
BLOQUEO: El Art. 16 de la ley regula la forma de rectificar,
actualizar, suprimir o bloquear los datos personales que estén
incluidos en una base de datos cuando la información publicada sea
manifiestamente discriminatorio falsos, erróneos o inexactos, como
así también, cuando los datos sean considerados obsoletos o
vetustos.
•
PROCEDIMIENTO: Presentado el reclamo por el titular de los datos al
responsable de la base de datos, este último tiene cinco días para
obrar en consecuencia y comprobar la exactitud y veracidad del
reclamo. Si el responsable o usuario del banco de datos no da
cumplimiento a lo requerido en el plazo indicado quedará expedita la
vía judicial.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
• EXCEPCIONES: El Art. 17 reza: Los responsables o usuarios de bancos
de datos públicos pueden, mediante decisión fundada, denegar el
acceso, rectificación o la supresión en función de la protección de la
defensa de la Nación, del Orden y la Seguridad Pública, o de la
protección de los derechos o intereses de terceros.
• La información sobre datos personales también puede ser denegada por
los responsables o usuarios de bancos de datos públicos, cuando de tal
modo se pudieran obstaculizar actuaciones judiciales o administrativas en
curso vinculadas a la investigación sobre el cumplimiento de obligaciones
tributarias o previsionales, el desarrollo de funciones de control de la
salud y del medio ambiente, la investigación de delitos penales y
verificación de infracciones administrativas. La resolución que así lo
disponga debe ser fundada y notificada al afectado.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
• Sin perjuicio de lo establecido en los incisos anteriores, se deberá
brindar acceso a los registros en cuestión en la oportunidad en que el
afectado tenga que ejercer su derecho de defensa.
• IMPORTANTE: Debemos destacar que la Provincia del Neuquén,
mediante Ley N° 2399 , adhiere a la Ley Nacional de Habeas Data.
Asimismo, la Ley N° 2307 establece el procedimiento de la Acción de
Habeas Data, determinando el Art. 17 de esta norma que las costas
del proceso se impondrán a quien resulte vencido y si éste fuera el
Estado, será responsable solidariamente el agente que realizó los
actos que motivaron la condena.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Confidencialidad. Ley N° 24.766
Impide la divulgación a terceros, o su utilización
sin previo consentimiento y de manera contraria
a los usos comerciales honestos, de información
secreta y con valor comercial que haya sido
objeto de medidas razonables para mantenerla
secreta.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Ley N° 25.506 – Firma Digital
•
El reconocimiento del empleo de la firma digital o de la firma electrónica que efectúa
esta ley es esencial para dotar de seguridad jurídica a las transacciones
electrónicas, equiparando la firma ológrafa a la Firma Digital.
•
Asimismo, la Ley de F. D. recepciona el principio de neutralidad tecnológica que
tiene por finalidad evitar que la norma quede obsoleta en razón del dinamismo
tecnológico.
•
La Firma Digital es el resultado de aplicar a un documento digital un procedimiento
matemático que requiere información de exclusivo conocimiento del firmante.
•
Documento Digital: Es una representación digital de actos o hechos con
independencia del soporte utilizado para la fijación, almacenamiento o archivo de
información.
•
Mediante Ley N° 2578, la Provincia del Neuquén adhiere a la Ley Nacional de F.D.,
autorizando su uso en todo el ámbito de la Administración Pública Provincial.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Características de la F.D.
•
AUTORIA: Permite determinar con certeza la identidad del autor del
documento que lleva dicha firma.
•
INTEGRIDAD: La información es completa.
•
INALTERABILIDAD: Puede detectarse si la información a sido modificada.
•
PERDURABILIDAD: Se mantiene en el tiempo en razón del medio en el
cual ha sido guardada.
•
EXCLUSIVIDAD: Se encuentra bajo el control absoluto del suscriptor.
•
NO REPUDIO: El firmante no podrá desconocer la firma inserta en el
documento.
•
ADHESIÓN: El firmante ha brindado su conformidad a lo indicado en el
documento, como una manifestación de su libre voluntad.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Sanciones Penales
• Código Penal: Sanciona a aquel que teniendo noticias
de un secreto cuya divulgación pueda causar daño, lo
revelare sin justa causa (Art. 156), al funcionario público
que revelare hechos, actuaciones o documentos que por
la ley deben quedar secretos (Art. 157), al que revelare
secretos políticos o militares concernientes a la
seguridad, a los medios de defensa o a las relaciones
exteriores de la Nación, o al que por imprudencia o
negligencia diere a conocer los secretos mencionados
anteriormente, de los que se hallare en posesión en
virtud de su empleo u oficio (Art. 222 y 223).
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Ley N° 26.388 sobre Delitos
Informáticos
• El delito informático implica actividades criminales que los países
han tratado de encuadrar en figuras típicas de carácter tradicional,
tales como robos, hurtos, fraudes, falsificaciones, perjuicios,
estafas, sabotajes. Sin embargo, debe destacarse que el uso de las
técnicas informáticas han creado nuevas posibilidades del uso
indebido de las computadoras lo que ha creado la necesidad de
regulación por parte del derecho.
• Se considera que no existe una definición formal y universal de
delito informático pero podemos conceptuar a los delitos
informáticos como cualquier acto ilegal en relación con el cual, el
conocimiento de la tecnología informática sea esencial para su
comisión, investigación y persecución.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
En forma sintética podemos mencionar tres categorías de comportamiento que
pueden afectar negativamente a los usuarios de los sistemas informáticos. Las
mismas son las siguientes:
•
Acceso no autorizado: Es el primer paso de cualquier delito. Se refiere a un
usuario que, sin autorización, se conecta deliberadamente a una red, un servidor
o un archivo (por ejemplo, una casilla de correo electrónico), o hace la conexión
por accidente pero decide voluntariamente mantenerse conectado.
•
Actos dañinos o circulación de material dañino: Una vez que se conecta a
un servidor, el infractor puede robar archivos, copiarlos o hacer circular
información negativa, como virus o gusanos. Tal comportamiento casi siempre
se es clasificado como piratería (apropiación, descarga y uso de la información
sin conocimiento del propietario) o como sabotaje (alteración, modificación o
destrucción de datos o de software, uno de cuyos efectos es paralizar la
actividad del sistema o del servidor en Internet).
•
Interceptación no autorizada: En este caso, el hacker detecta pulsos
electrónicos transmitidos por una red o una computadora y obtiene información
no dirigida a él.
•
Por último, cabe destacar que las penas se agravan cuando el autor de la
conducta típica antijurídica culpable es un funcionario público.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
Bibliografía
•
•
•
•
•
www.pki.gov.ar
www.segu-info.com.ar
www.legislaw.com.ar
www.cxo-community.com.ar
Diplomatura en Derecho y Tecnología Módulos II y
III – Universidad Blas Pascal
• Ley de Firma Digital Comentada- Dra. Bibiana Luz
Clara.
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA
DIRECCIÓN GENERAL LEGAL Y TÉCNICA
MUCHAS GRACIAS POR SU
ATENCIÓN
Gabriel Ángel Passarelli
Asesor de Gestión
Secretaría de Estado de la Gestión Pública
y Contrataciones del Estado
Documentos relacionados
Manual de buenas practicas
Manual de buenas practicas
Organizador gráfico de contenidos Identidad y Convivencia.
Organizador gráfico de contenidos Identidad y Convivencia.
estructura básica - Secretaría de Educación Pública
estructura básica - Secretaría de Educación Pública
Ver Organigrama General 2012-01
Ver Organigrama General 2012-01
Descargar
Anuncio
Anuncio