UNIVERSIDAD PRIVADA DE TACNA
FACULTAD DE DERECHO Y CIENCIAS POLÍTICAS
ESCUELA PROFESIONAL DE DERECHO
IMPLEMENTAR MECANISMOS PARA MEJORAR LA SEGURIDAD DE LA
INFORMACIÓN
ESTUDIANTES:
Ø ALBERTO RIOS HUAYTA
Ø DIANA CALLE QUISPE
Ø JONATHAN HUAYTA RAMOS
Ø DANIELA PILCO CALIZAYA
Ø JAZMÍN HUANCA MAMANI
Ø MARÍA SALAMANCA ARRATIA
Ø MAURICIO ÁLVAREZ NÚÑEZ
Ø JOSÉ RIVERA CHAMBILLA
Ø DIEGO SOTOMAYOR MARÍN
DOCENTE: MGR. CARLOS
ALBERTO PAJUELO BELTRÁN
CURSO: DERECHO
INFORMÁTICO
TACNA
– PERÚ
2020
IMPLEMENTAR MECANISMOS PARA MEJORAR LA
SEGURIDAD DE LA
INFORMACIÓN
INTRODUCCIÓN
Hoy en día, las personas
llevan a cabo diferentes actividades con el fin de satisfacer sus necesidades.
En un mundo automatizado y digitalizado en el que vivimos, es normal que las
personas depositen su información personal constantemente a diferentes instituciones
del gobierno. Es a partir de ahí, que se vulnera la privacidad de las personas,
y como consecuencia pone en peligro la confianza que deposita la persona en el
gobierno. Estonia nos muestra de que a través de la Identificación Digital y el
mecanismo del “X-ROAD”, potemos tener un nivel alto la seguridad en cuanto a la
información de las personas.
CAPÍTULO I
MARCO TEÓRICO
1.1.
CONCEPTOS
GENERALES
1.1.1.
SEGURIDAD
DE LA INFORMACIÓN
Respecto a la
definición de seguridad de la información, José Venegas afirma que:
La seguridad de la
información es el conjunto de políticas, procedimientos, organización, acciones
y demás actividades, orientadas a proteger la información de un amplio rango de
amenazas con la finalidad de asegurar la continuidad del negocio, Minimizar los
daños a la organización, Maximizar el retorno de las inversiones y las
oportunidades de negocio
En la misma línea
argumentativa, podemos decir que cuando hablamos de la seguridad de la
información nos referimos a la protección de información fundamental mediante
diferentes acciones, lo cual va a permitir el éxito de cualquier organización.
Así mismo Juan Figueroa Suárez (2017) manifiesta que: “La seguridad de la
información será la encargada de regular y establecer las pautas a seguir para
la protección de la información” (p.152)
1.1.2.
SOFTWARE
Respecto a la definición de software, Jorge Sánchez
López afirma que:
“El término
«software» fue usado por primera vez en este sentido por John W. Tukey en 1957.
En la ingeniería de software y las ciencias de la computación, el software es
toda la información procesada por los sistemas informáticos: programas y datos.
Se conoce como software al equipamiento lógico o soporte lógico de un sistema
informático; comprende el conjunto de los componentes lógicos necesarios que
hacen posible la realización de tareas específicas, en contraposición a los
componentes físicos, que son llamados hardware.”
Es así que podemos
decir que el software son todas las aplicaciones o programas que se encuentran
instalados en un dispositivo, tales como laptops, tablets o nuestro simple
teléfono móvil. Algunos ejemplos de software son los sistemas operativos de
Android y Windows, así como las aplicaciones de Facebook, WhatsApp y YouTube
1.1.3.
SEGURIDAD
DE LA INFORMACIÓN EN GOBIERNOS ELECTRÓNICOS.
Para
definir la seguridad de la información en gobierno electrónicos, es preciso
definir el concepto de gobierno electrónico, es así que el Banco Mundial (2004)
afirma que:
“El
Gobierno Electrónico se refiere al uso por parte de las agencias
gubernamentales de las TIC, que tienen la capacidad de transformar las
relaciones con el ciudadano, las empresas y otras agencias gubernamentales.
Estas tecnologías pueden servir para una amplia gama de objetivos: a) Mejorar
distribución de servicios gubernamentales al ciudadano, b) Mejorar la
interacción con las empresas y la industria, c) Fortalecer al ciudadano
mediante el acceso a la información o crear una Gestión Pública más eficiente.
Los beneficios resultantes pueden ser: menos corrupción, incremento de la
transparencia, mayor conveniencia, crecimiento de las utilidades y reducción de
costos.”
Bajo
este concepto podemos decir que cuando hablamos de seguridad de la información
en gobierno electrónicos, nos referimos a la protección de la información
fundamental de las agencias gubernamentales mediante diferentes acciones, ya
que el uso las TIC por parte de las agencias gubernamentales siempre deben
estar orientadas a proteger la información de un amplio rango de amenazas y de
esa manera lograr una Gestión Pública más eficiente
1.2.
IMPORTANCIA
DE LA AGENDA DIGITAL PERUANA 2.0
La Importancia de la Agenda Digital
Peruana es impulsar y aplicar las Tecnologías de la Información y la
Comunicación para la ayuda de la sociedad, en sus diferentes aspectos (Salud,
Educación, Laboral, etc.), y expandir esta aplicación de las tecnologías a la
sociedad; pero centrándonos en la Seguridad de la Información (Objetivo 7,
Estrategia 4) en la cual se encuentra en nuestra Agenta Digital del Perú 2.0,
actualmente, frente al uso de las Tecnologías de la Información y la
Comunicación (TIC), han surgido diferentes amenazas cibernéticas, de las cuales
impactan en el ámbito Público y Privado, para ello la importancia de la
Seguridad de la Información, es una estrategia nacional, de la cual se
desarrollará, lo siguiente: influir en los crímenes cibernéticos mediante altos
riesgos, mayor seguridad y protección en la información mediante sistemas
tecnológicos, y desarrollar normas jurídicos en relación a ciberseguridad.
Además de esto, “Esta estrategia de
Implementación de mecanismos para mejorar la seguridad de la información,
establece algo muy importante en la cual, es una medida que beneficia a todos,
en el sentido que ayuda fortalecer en respuesta a los incidentes de Seguridad
que pueda tener alguna entidad del sector privado, teniendo una constante
revisión o monitoreo de los niveles de seguridad, siendo uso de programas de
análisis de vulnerabilidades, como también la implementación de políticas y de
protocolos o lineamientos para la seguridad de la información. Esto se debe a
una cooperación entre el Estado y el Sector privado de todo el Perú.” (Espitia, 2015)
3.
MECANISMOS
DE SEGURIDAD EN ESTONIA
Para Martin Keavits, lo más
importante para fomentar una sociedad digital es la cultura y la mentalidad. No
importa contar con presupuesto; sino lo que más importa es la capacidad y
mentalidad de realizar las cosas de una manera sistematizada, lo cual generaría
un gran ahorro de dinero.
En Estonia, se trabajo con dos
pilares fundamentales para asegurar una sociedad digital que proteja la
información de las personas: “Identificación Digital” y “X-ROAD”.
3.1.
IDENTIFICACIÓN
DIGITAL
Se les asigna a todo
ciudadano un número de once dígitos, el cual representa un nombre codificado.
Es así que todo ciudadano reserva su nombre y demás datos personales ante las
diferentes instituciones gubernamentales, pues la única información con la que
se identifica es el número digital de once dígitos.
3.2.
X-
ROAD
Es la capacidad de
intercambiar datos entre el gobierno y las empresas, esto se realizada de una
manera segura y transparente. Todas las instituciones de gobierno están
constantemente interconectados a través de un sistema de “nodos”, cada nodo
(institución), tiene una determinada información limitada sobre la persona en
cuanto concierne a su competencia. Es decir, toda institución tiene una
información sobre la persona pero una información limitada en cuanto sea
compatible con las competencias de la institución. Esta institución (nodo)
puede intercambiar información con otras instituciones (nodos) garantizando un
despliegue seguro de información.
Este mecanismo nos brinda
un sistema descentralizado, es decir, en donde la información no recaiga sobre
un solo lugar; sino que la información de las personas este en diferentes
instituciones, y que estas mismas instituciones maneen la información de
acuerdo a su competencia.
3.2.1.
ONCE
ONLY
Nos habla sobre la
importancia de brindar la información al gobierno “Una sola vez”. Si un
ciudadano brinda su información a cualquier institución del gobierno, esta
automáticamente se debe sistematizar, de esta manera la institución está en la
capacidad de intercambiar información siempre y cuando sea necesario.
No existe necesidad de
brindar la información varias veces, puesto que esto generaría una gran pérdida
de tiempo y dinero.
Se debe mantener una “Red
de Confianza” entre el ciudadano y el gobierno, para que el ciudadano apueste
por realizar todas sus actividades de una manera digital y segura.
Desde nuestra
perspectiva, si queremos mantener una sociedad digital, debemos primero empezar
brindando la confianza al ciudadano, para que este mismo apueste por realizar
sus actividades en un sistema seguro y confiable.
3.2.2.
BLOG
CHANGE
Es aquel sistema de
registro de cambios de datos: “ ¿Quién cambia los datos? ¿Por qué?. Esta
diseñado para registrar los diferentes cambios de los datos. Mantiene y
conserva la integridad de los datos, con el fin de darle confiabilidad del
sistema. Todas los ciudadanos de Estonia
pueden ver en cualquier página del gobierno quién ha mirado sus datos y por
qué.
4.
DERECHO
A LA SEGURIDAD DE LA INFORMACIÓN
4.1.
NORMATIVA:
4.1.1.
LEY
DE PROTECCIÓN DE DATOS PERSONALES:
4.1.2.
ISO
27001:
ISO significa
sistemas de gestión de riesgos y seguridad, “ISO 27001 es una norma
internacional que permite el aseguramiento, la confidencialidad e integridad de
los datos y de la información, así como de los sistemas que la procesan.” (ISOTOOLS, 2020) , es decir es una norma
establecida a nivel internacional, esto nos brinda un marco de trabajo para los
sistemas de gestión de seguridad de la información, esto permite a los
organizadores una evaluación de riesgo que existe y por tanto establecer
controles, además también mecanismos
necesarios para eliminar los riesgos que se presentan en el cumplimiento de la
seguridad.
La
implementación que se da es fundamental, frente a los requisitos legislativos
que existen, incluyendo las amenazas más comunes como: crimen cibernético, robo
por medio de un sistema tecnológico, ataque de virus que es lo que normalmente
pasa y el ataque cibernético más común y por tanto importante es la violación
que se da a los datos personales de las personas que cada vez se va
incrementando en el sistema tecnológico
4.2.
MÉTODOS
PARA LA SEGURIDAD DE LA INFORMACIÓN A PARTIR DEL LDPD
4.2.1.
SEGURIDAD
PARA EL TRATAMIENTO DE LA INFORMACIÓN DIGITAL:
Un
ejemplo es el caso de la información que se procesa en los bancos tanto como
claves, nombre de los usuarios entre otros datos personales que no deben ser
ventilados a nadie que este autorizado, ya que podría ocasionar un crimen
cibernético como la estafa, además es importante establecer un proceso de
documentación, por lo tanto es importante un mecanismo de garantías legibles y
un registro de las actividades realizadas a fin de poder llevar un control y
este se le pueda dar a la persona que lo requiera en caso exista alguna
complicación con la que se sienta amenazado.
Es
claro resaltar que se deba implementar un mecanismo de seguridad en los sitios
en los que exista el proceso de información personal, debe existir también
la integridad, esto se refiere a que la
información debe ser correcta sin ningún dato erróneo, por tanto debe existir
un libre acceso para poder modificarlas si así se requiera por la persona que
lo proporciono, esto tiene relación con la disponibilidad que es dar acceso a
la información requerida a las personas que están autorizadas en el momento que
lo requieran y sea de su necesidad para llevar a cabo una actividad, ya que las
personas autorizadas te garantizan la seguridad sobre la información que
ingresaste al sistema tecnológico, y que así no se transgreda tu información.
Es
importante, “(…), en caso de transferencia lógica o electrónica de los datos
personales, se deberán tomar medidas de seguridad para evitar el acceso no
autorizado, la pérdida o corrupción durante el tránsito desde los ambientes de
procesamiento o almacenamiento hacia cualquier destino fuera de las
instalaciones físicas del encargado del tratamiento. Ejemplo de dichas medidas
son el cifrado de datos, el uso de firmas digitales o de las sumas de
verificación.” (Alvarado, La gestión de la
Seguridad de la Información en el régimen, 2016) .
4.2.2.
ALMACENAMIENTO
DE DOCUMENTACIÓN NO AUTOMATIZADA
Si bien conocemos, cuando alguna empresa
padece de algún tipo de peligro frente a posibles ataques informáticos en su
base o almacenamiento de datos, cuenta con algún sistema desarrollado para
hacer frente esto. Así como lo establece la Ley de
Protección de Datos Personales (LPDP) para garantizar la seguridad de los
datos, se deben de adoptar ciertas medidas técnicas y organizativas que
aseguren que los datos y la información sobre todo la de carácter personal
estén protegidas. Sin embargo en lo que respecta a los documentos no
automatizados, también es importante que se tomen las medidas respectivas para
su conservación. Esto requerirá que los armarios u otros elementos para su
conservación estén bien acoplados en ambientes resguardados con algún tipo de seguridad
o mecanismo como el uso de cerraduras de máxima seguridad o mediante un control
de acceso a los mismos. Todo esto con el fin de salvaguardar que la información
primordialmente la personal sea protegida de posibles robos de datos o de
personas no autorizadas que tengan algún fin no especifico pero que puedan
hacer un mal uso de esta. Asimismo, todas estas medidas deberán permitir que
solo puedan acceder a estos datos, las personas autorizadas. Otro punto
importante, es que es necesario que se registre todo tipo de actividad frente
al acceso de los documentos que tienen mayor accesibilidad por varias personas,
permitiendo identificar a los usuarios que han accedido y hayan hecho uso de
estos, con el objetivo de restringir a todos aquellos no autorizados. Si una
persona no contemplada entre las autorizadas para el acceso de esta
información, deben ser constatada conforme a la directiva de seguridad que
exprese la Dirección General de Protección de Datos
Personales (DGPDP).
De la misma manera, en cuanto a las copias
de seguridad de los documentos también debe existir un tipo de control, donde
estrictamente solo el personal autorizado pueda acceder a estas. No obstante,
hay que tener en cuenta los documentos desechados, ya que estos deben ser
correctamente destruidos para que más adelante no se permita la recuperación de
las mismas. Se puede poner también el caso de los traslados de documentos que
no hayan sido automatizados, ya que en este aspecto tienden a ser más fáciles
su manipulación, por ello también hay que tener en cuenta las medidas que se
deben de adoptar frente a este tema.
Finalmente, la Dirección de General de
Protección de Datos Personales debe tener incorporado las medidas de seguridad
que han sido adoptadas para la protección de la información personal y así ser
inscritas en el Registro Nacional de Protección de Datos Personales.
4.3.
FISCALIZACION
En relación a lo
expuesto, es imprescindible tener presente que la puesta en práctica de las
medidas de seguridad tienen que ser acatadas, siendo fiscalizado por la
Dirección de Supervisión y Control de la Dirección de General de Protección de
Datos Personales. “El procedimiento se puede iniciar de oficio o por denuncia
de parte, en el cual se requerirá al titular o encargado del banco de datos personales,
o a quien resulte responsable, la documentación o información relativa al
tratamiento.” (Alvarado, La
gestión de la Seguridad de la Información en el régimen, 2016) La finalidad de la
fiscalización es precisar la supuesta perpetración de incumplimientos
contemplados en el estatuto de la Ley de Protección de Datos Personales. “Ésta
terminará con un informe en el que se pronuncia sobre la existencia de
elementos o la concurrencia de circunstancias que justifiquen o no la
iniciación del procedimiento sancionador.” (Alvarado, La
gestión de la Seguridad de la Información en el régimen, 2016) En todo el
procedimiento que se lleve a cabo, se podrá concurrir al lugar donde se
encuentra la persona a fiscalizar o en donde se hallen los bancos de datos
personales a fin de adquirir el material necesario para que se dé la
fiscalización. Lo que se practique o realice en presencia de la persona se debe
constatar en un acta donde “se anotará si ésta se niega a colaborar u observa
una conducta obstructora; ello sin perjuicio de que aquella pueda, a su vez,
formular observaciones al acto o manifestar lo que a su derecho convenga.”
La Dirección General de Protección de
Datos Personales debe presentar un informe detallado donde se establezca las
medidas y control que serán aplicadas al supuesto responsable en vía cautelar,
culminándose la fiscalización.
Cuando la fiscalización
es interrumpida, se considera que se ha cometido una infracción de menor grado,
no obstante cuando se presentan documentos falsificados es considerada como una
infracción grave. De igual forma si los principios que se encuentran en la Ley
de Protección de Datos Personales son incumplidos, se suma a ello, el daño o perjuicio
hacia los derechos fundamentales de la persona, donde si por algún motivo
ocurriera alguna de estas, se estaría frente a una infracción grave. Toda
infracción incurrida será objeto de sanción, a fin de la protección de los
datos personales.
4.4.
PRINCIPALES
TIC’S PARA MEJORAR LA SEGURIDAD DE INFORMACIÓN
Los agentes de seguridad de acceso a la
nube, la microsegmentación, los test para DevOps o los navegadores remotos, entre las tecnologías
identificadas por Gartner para la seguridad de la información en 2016. Gartner Security & Risk Management
Summit han identificado las nueve tecnologías más interesantes
para la seguridad de la información y sus implicaciones para las
organizaciones de seguridad en este año.
Según Neil
MacDonald “Los equipos de seguridad de la información y las infraestructuras
deben adaptarse para soportar los requerimientos de los negocios emergentes
digitales, y al mismo tiempo hacer frente a la situación de amenaza cada vez
más avanzada. Los líderes en seguridad y riesgos deben comprometerse plenamente
con las últimas tendencias de la tecnología para que puedan definir, alcanzar y
mantener programas de seguridad y gestión de riesgos eficaces que permitan al
mismo tiempo las oportunidades de negocio digital y gestionar el riesgo”.
1)
Agentes
de seguridad de acceso a la nube
CASB), que proporcionan a los profesionales de la seguridad de
información un punto de control crítico para la utilización segura y compatible
de los servicios en la nube a través de múltiples proveedores de nube.
2)
Detección
endpoint y Respuesta (EDR)
cuyo mercado se está expandiendo rápidamente en respuesta a la necesidad
de una protección más efectiva de los endpoint y el imperativo emergente
de detectar posibles infracciones y reaccionar de forma más rápida.
3)
Enfoques
sin firma para la Prevención endpoint,
teniendo en cuenta que los enfoques basados en firmas para la
prevención de malware son ineficaces contra los ataques avanzados y
específicos. Están surgiendo múltiples técnicas que aumentan los enfoques
tradicionales basados en firmas, incluyendo la protección de memoria y la
prevención de exploits que previenen de las formas más comunes en que el
malware entra en los sistemas, y la prevención de malware basado en el
aprendizaje automático utilizando modelos matemáticos como una alternativa a
las firmas para la identificación de malware y bloqueo.
4)
Análisis
del comportamiento del usuario y de las Entidades (UEBA)
proporciona análisis centrados en el usuario alrededor de los
comportamientos del usuario, pero también con otras entidades como endpoints,
redes y aplicaciones, lo que hace que los resultados del análisis sean más
precisos y la detección de amenazas más eficaz.
5)
Microsegmentación
y flujo de visibilidad
Cuando los atacantes han encontrado un punto de apoyo en los sistemas de
la empresa, por lo general, pueden moverse sin obstáculos a otros sistemas, por
lo que hay una necesidad emergente de esta microsegmentación para hacerles
frente y varias de las soluciones proporcionan visibilidad y el control de los
flujos de comunicación. Las herramientas de visualización permiten a los
administradores de seguridad y operaciones entender los patrones de flujo, las
políticas de segmentación establecidos y controlar las desviaciones. Además,
varios vendedores ofrecen encriptación opcional del tráfico de red entre las
cargas de trabajo para la protección de los datos en movimiento, y proporcionan
aislamiento criptográfico entre las cargas de trabajo.
6)
Pruebas
de seguridad para DevOps
La seguridad debe ser una parte integral de los flujos de trabajo de
estilo DevOps - DevSecOps. Están emergiendo modelos operativos DevSecOps
que utilizan secuencias de comandos, recetas, huellas y plantillas para
conducir la configuración posterior de la infraestructura de seguridad -
incluyendo las políticas de seguridad tales como las pruebas de aplicaciones
durante el desarrollo o la conectividad de red en tiempo de ejecución. Además,
varias soluciones realizan análisis de seguridad automática de vulnerabilidades
durante el proceso de desarrollo en busca de vulnerabilidades conocidas antes
de que el sistema se lance a la producción.
7)
Navegador
remoto
La mayoría de los ataques comienzan dirigiendo a los usuarios finales
malware enviado a través de correo electrónico, URL o sitios web maliciosos. Un
nuevo enfoque para abordar este riesgo es presentar de forma remota la sesión
del navegador de un "servidor de explorador" (basado en Linux por lo
general) que se ejecuta en las instalaciones o entregado como un servicio
basado en la nube. Al aislar la función de exploración del resto del endpoint
y de la red corporativa, el malware se mantiene fuera del sistema del
usuario final y la compañía reduce significativamente la superficie de ataque
al trasladar el riesgo de ataque a las sesiones del servidor, que se puede
restablecer a un estado bueno conocido en cada nueva sesión de navegación,
ficha abierta o URL.
8)
Fraude
Estas tecnologías se definen por el uso de fraudes, engaños y / o trucos
diseñados para frustrar, o desviar, procesos cognitivos de un atacante,
interrumpir las herramientas de automatización de un atacante, retrasar las
actividades de un atacante o interrumpir la progresión de la infracción. Estas
tecnologías están emergiendo en redes, aplicaciones, endpoint y datos, con los
mejores sistemas combinando múltiples técnicas. Para el 2018, Gartner predice
que el 10 por ciento de las organizaciones utilizará herramientas y tácticas de
engaño, y participarán activamente en operaciones de engaño contra los
atacantes.
9)
Servicios
de Confianza generalizados
Al tiempo que se exige a los departamentos de seguridad de las empresas
ampliar sus capacidades de protección a la tecnología operativa y al Internet
de las cosas, deben surgir nuevos modelos de seguridad para proveer y gestionar
la confianza a escala. Otros servicios de seguridad están diseñados para
escalar y apoyar las necesidades de miles de millones de dispositivos, muchos
de ellos con capacidad de procesamiento limitada. Las organizaciones que buscan
una mayor escala, confianza distribuido o servicios basados en el consenso
deben centrarse en los servicios de confianza que incluyen el aprovisionamiento
seguro, integridad de los datos, la confidencialidad, la identidad y la
autenticación del dispositivo. Algunos enfoques vanguardistas utilizan la
confianza distribuida y el blockchain como arquitecturas de gestión de
confianza distribuida e integridad de los datos a gran escala.
4.5.
SEGURIDAD
DE LA INFORMACIÓN EN CHILE
Se presenta un
equipo de respuesta ante emergencias informáticas, más conocido con el nombre Computer Security Incident Response Team
(CERT), el cual está constituido de respuestas sobre incidentes de seguridad en
las tecnologías, por lo que está compuesto de un grupo de especialistas en las medidas preventivas y reactiva ante
incidencias de seguridad de sistemas de información.
Un CERT se
comprende como un mecanismo que estudia la seguridad global de todas las redes
y ordenadores por lo que proporciona servicios ante incidentes de victimas que
sufren un ataque en la red en cuanto se publica alertas relativas sobre
amenazas y vulnerabilidades.
“Es trascendental
contar con sistemas de alertas tempranas para apoyar las tareas de
ciberseguridad, por eso este convenio es tan relevante, ya que compartir este
conocimiento no tiene fronteras entre el mundo público y el privado, pues el
tránsito de amenazas e incidentes de seguridad puede ocurrir en segundos. Es
así como este Convenio de Colaboración tiene como objetivo intercambiar
información, un elemento crítico en ciberseguridad, y algo que se ha recogido
como lección de errores del pasado. En ese sentido, destacó los múltiples
esfuerzos del Gobierno al implementar el Equipo de Respuesta ante Incidentes de
Seguridad Informática, CSIRT, como un logro muy relevante en la ciberseguridad
del país”. (Ministerio del Interior y
Seguridad Publica , 2020)
En cuanto los
beneficios que se presentan para construir con el sector privado el cual
permitirá intercambiar información de alerta ya sea de amenazas o incidentes de
seguridad por lo que prevenir estos riesgos y desarrollar proyectos para
cooperar la prevención de incidentes de ciberseguridad. Que presenta los
recursos humanos y el financiamiento de los mecanismos para operar de manera
organizada para incentivar su creación y realización en diversos sectores que
se presentan en la vida nacional.
4.6.
TRATADOS
INTERNACIONALES A LOS QUE EL PERÚ ESTÁ SUSCRITO
4.6.1.
Convenio sobre
ciberseguridad (Budapest)
Es
un tratado multilateral adoptado en el Consejo de Europa en el año 2001,
permite prevenir los actos que pongan en peligro la confidencialidad, la
integridad y la disponibilidad de los sistemas, redes y datos informáticos, así
como el abuso de dichos sistemas, redes y datos, garantizando la tipificación
como delito de dichos actos, tal como se definen en el presente Convenio, y la
asunción de poderes suficientes para luchar eficazmente contra dichos delitos,
facilitando su detención, investigación y sanción, como a nivel nacional como
internacional, y estableciendo disposiciones materiales que permitan una
cooperación internacional rápida y fiable.
El
30 de enero de 2019, el Pleno del Congreso del Perú, de forma unánime, aprobó
la suscripción del Convenio de Budapest. Dicho tratado busca optimizar la
regulación interna en materia de ciberseguridad, con mayor énfasis en materia
penal, de tal manera que sus organismos correspondientes puedan tener mayor
capacidad para poder perseguir este tipo de delitos especiales (fraude
informático, interceptación ilícita, entre otros).
4.6.2. Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo
de 6 de julio de 2016, sobre medidas para un alto nivel común de seguridad de
redes y sistemas de información a través de la unión
Esta
Directiva tiene como objetivo formalizar:
“Un planteamiento global en la Unión que
integre requisitos mínimos comunes en materia de desarrollo de capacidades y
planificación, intercambio de información, cooperación y requisitos comunes de
seguridad para los operadores de servicios esenciales y los proveedores de
servicios digitales”. (El Parlamento
Europeo y el Consejo de la Unión Europea, 2016)
Por
tal sentido, establece medidas con vistas a alcanzar un alto nivel común de
seguridad de la red y sistemas de información dentro de la Unión para mejorar
el funcionamiento del mercado interior.
4.6.3. Recomendación de la Comisión de 13.9.2017 sobre la respuesta
coordinada a los incidentes y crisis de ciberseguridad a gran escala
Detalla los objetivos y formas de cooperación entre los Estados
miembros y las instituciones, órganos y organismos de la UE (en lo sucesivo
denominados «instituciones de la UE») en cuanto a la respuesta a incidentes y
crisis de ciberseguridad a gran escala y cómo los mecanismos existentes de
gestión de crisis pueden hacer pleno uso de las entidades de ciberseguridad
existentes a nivel de la UE. (Consejo
Europeo, 2017)
Se
presenta varios puntos como la utilización de las tecnologías de la información
y la comunicación, así como la dependencia de las mismas, constituyen un
elemento esencial en todos los sectores de actividad económica, ya que tanto
nuestras empresas como nuestros ciudadanos están más interconectados y son más interdependientes
que nunca, en todos los sectores y por encima de todas las fronteras. Un
incidente de ciberseguridad puede considerarse una crisis a escala de la Unión
cuando la perturbación causada por el incidente sea demasiado fuerte como para
que el Estado miembro interesado lo resuelva por sí mismo o cuando afecte a dos
o más Estados miembros con un impacto tan amplio de relevancia técnica o
política que requiera una coordinación y una respuesta oportuna a nivel
político de la Unión.
4.6.4. Comunicación conjunta al Parlamento Europeo y a al Consejo
resiliencia, disuasión y defensa: construyendo una fuerte ciberseguridad para
la UE-2017
La presente Comunicación propone medidas
específicas que refuerzan las estructuras y capacidades de ciberseguridad de la
Unión Europea de manera coordinada, con el la plena cooperación de los Estados
miembros y las diferentes estructuras de la UE afectadas y respetando sus
competencias y responsabilidades. Su implementación proporcionará una clara
demostración de que la UE y los Estados miembros trabajarán juntos para
establecer un Estándar de ciberseguridad igual a los desafíos cada vez mayores
que enfrenta Europa hoy. (Comisión
Europea, 2017)
4.6.5. Reglamento de ciberseguridad. Orientación general del Consejo-
2018
El presente Reglamento establece los
objetivos, tareas y aspectos organizativos de ENISA. La Agencia de
Ciberseguridad de la UE y crea un marco para el establecimiento de sistemas de
certificación de seguridad cibernética con el fin de garantizar un nivel
adecuado de la ciberseguridad de los productos y servicios TIC en la Unión. La
propuesta de la Comisión es acompañada de una evaluación de impacto que explora
un conjunto específico de ocho opciones de políticas, cubriendo la revisión de
la ENISA y la certificación de ciberseguridad de las TIC. (Council of the European Union, 2018)
Conclusiones
·
El
interés social por la protección de datos es producto de la violación a la
confidencialidad de datos. Las instituciones deberían estar sometidas con la
correcta aplicación de la Ley d protección de datos de información.
·
La seguridad de la
información digital personal está haciendo que las diferentes empresas que
utilizan un sistema tecnológico pongan más detenimiento en las nuevas políticas
de seguridad que aparecen, ya que viene a ser una prioridad esencial, a raíz de
que existen diferentes tipos de peligros cibernéticos y en caso no se utilicen
las políticas de seguridad podría crear un conflicto.
·
La
seguridad de la información en países como Estonia y Chile, han sido influidos
por el mecanismo de la tecnología al lograr tales cambios se procede a que la
información personal de las cuentas se mantenga en riesgo al estar en el
sistema por lo que influye un riesgo y más cuando ha ocurrido sucesos que han
puesto en vulnerabilidad, por ello han optado por aplicaciones que ayuden en la
seguridad y que logre manejar de una
manera adecuada las plataformas. En el Perú, urgen políticas digitales como
esta.
·
El
poder de la posesión de datos de información de las personas conlleva amenazas
a la sociedad. Es responsabilidad directa reducir estos tipos de riesgos a
través de la autorregulación para proteger la información y dignidad de una
persona.
·
El uso de la información
otorga cierto goce de poder, y dependiendo de cómo esta es utilizada cabe la
posibilidad de que pueda poner en peligro la información de las personas, por
lo tanto, se requieren de medidas de seguridad que puedan disminuir o evitar el
extravío o la adulteración de estos. Es necesario que se documenten el
cumplimiento de estas medidas para así estar seguros de que la información este
resguardada de manera adecuada.
Bibliografía
Alvarado, F. J. (2016). La gestión de la Seguridad de la
Información en el régimen. Foro Juridico, 5. Obtenido de La gestión de
la Seguridad de la Información en el régimen.
Alvarado, F. J. (2016). La gestión de
la Seguridad de la Información en el régimen. Foro Juridico, 14.
Comisión Europea. (13 de setiembre de
2017). COMUNICACIÓN CONJUNTA AL PARLAMENTO EUROPEO Y AL CONSEJO
Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE.
Obtenido de
http://data.consilium.europa.eu/doc/document/ST-12211-2017-INIT/es/pdf
Consejo Europeo. (13 de setiembre de
2017). Recomendación de la Comisión de 13.9.2017 sobre la respuesta
coordinada a los incidentes y crisis de ciberseguridad a gran escala.
Obtenido de
https://ec.europa.eu/transparency/regdoc/rep/3/2017/ES/C-2017-6100-F1-ES-MAIN-PART-1.PDF
Council of the European Union. (2018). Reglamento
de ciberseguridad. Orientación general del Consejo.
El Parlamento Europeo y el Consejo de
la Unión Europea. (6 de Julio de 2016). Diario Oficial de la Unión Europea.
Obtenido de
https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016L1148&from=NL
Espitia, D. S. (10 de Febrero de 2015).
Reporte Digital. Obtenido de
https://reportedigital.com/seguridad/la-seguridad-de-la-informacion/
ISOTOOLS. (23 de JUNIO de 2020). Software
ISO Riesgos y Seguridad. Obtenido de Software ISO Riesgos y Seguridad:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
La gestión de la Seguridad de la
Información en el régimen. (s.f.). Foro Juridico.
Ministerio del Interior y Seguridad
Publica . (12 de Junio de 2020). CSIRT. Obtenido de CSIRT: https://www.csirt.gob.cl/noticias/gobierno-y-sector-privado-reafirman-compromiso-con-la-ciberseguridad/
Segura, J. (2020). Estratego
Financiero. Obtenido de Estratego Financiero:
https://estrategafinanciero.com/tecnologia-blockchain-funciona/#:~:text=En%20resumen%2C%20la%20tecnolog%C3%ADa%20blockchain,en%20la%20cadena%20de%20bloques.
Comentarios
Publicar un comentario