En la presente unidad se desarrollará la Ética en la Información, la cual tiene
que ver con los aspectos morales, la responsabilidad y el deber cotidiano a
nivel personal y a nivel de la organización, cuyos procesos se dan a través de
los sistemas de información, los cuales dependen del buen uso o mal uso que
de estos se hagan. La información es el activo más importante de cualquier
organización, sea la más compleja multinacional o el negocio más sencillo, por
lo tanto se hace necesario tener presente los aspectos y valores que le
corresponden para no incurrir en los problemas éticos derivados del manejo de
la información. A través del desarrollo de esta unidad se encontrarán con
varios temas como: Ética Informática, Aplicación de la Ética Informática,
Seguridad Informática, Leyes y Normas, temas que orientarán y servirán de
referente en el campo laboral y profesional.
1.1.1 Ética (valores sociales y humanos)
La ÉTICA tiene que ver con los valores y, ¿qué son valores? El valor es un
bien que perfecciona; los valores se expresan libre y conscientemente en
comportamientos o acciones concretas que finalmente se convierten en
hábitos. Saber cuáles son los principales valores es una necesidad
fundamental para cada persona y para cada organización; debemos
conocerlos, no solo como información, sino como un método práctico para
implementarlos en la vida cotidiana, y buscar convertirlos en valiosos hábitos
de una sana conducta, fundamento de una vida igualmente sana. Los valores
son los que nos conducen e iluminan en la construcción de un proyecto ético
de vida.
De acuerdo con Sergio Tobón (2005), el proyecto ético de vida se fundamenta
en una planeación consciente e intencional que hace cada una de las
personas con el fin de guiar y proyectar su vida en los diversos campos del
desarrollo humano, buscando satisfacer sus necesidades y los deseos que
hacen parte de su estructura, con el propósito de ser realizada asumiendo las
implicaciones y consecuencias originadas por sus actuaciones en los
diferentes espacios, bien sea en el familiar, en el social, el cultural, el laboral, o
en otros que demanden su desempeño.
En la Figura 1 se puede observar los componentes del proyecto ético de vida,
los cuales sirven de orientación y de reflexión.
(Fuente: Tobón, Sergio. Formación Basada en
Competencias. Pensamiento Complejo, Diseño Curricular y
Didáctica. Segunda Edición. Página 12).
En coherencia con lo anterior, podemos decir que somos personas que
tomamos nuestras propias decisiones morales y vitales, por consiguiente
somos responsables de todas las cosas buenas y malas que hacemos o que
nos pasan. Somos seres autónomos porque en gran parte podemos decidir y
elegir nuestra forma de vida, también podemos optar por lo que nos parece
bueno o conveniente para nosotros frente a lo que no es bueno o lo que no
nos conviene, estas decisiones pueden permitir equivocarnos o salir
triunfantes, por lo tanto, es prudente fijarnos bien en lo que hacemos y procurar
adquirir un saber que nos permita vivir satisfactoriamente, lo mismo que tener
claridad sobre nuestros propósitos y nuestra historia para poder acertar en los
resultados esperados como fruto de las decisiones tomadas.
1.1.2 Axiología y dilemas éticos
Axiología, según López, A. (1999), proviene del griego axios que significa
valioso, estimable, digno de ser honrado, y logos que significa palabra, tratado,
ciencia. Axiología, según lo anterior, es la ciencia que estudia los valores. La
axiología, denominada por algunos como Teoría de los Valores, comprende,
por una parte, el estudio de la esencia y de la naturaleza de los valores y, por la
otra, los juicios de valor.
La axiología se relaciona con la ética porque da el fundamento valoral de las
virtudes, y se relaciona con las demás ciencias porque todas necesitan partir
de determinados valores para plantear sus postulados.
¿Qué es el valor? Atendiendo a Cortina, A. (1997), un valor no es un objeto, no
es una cosa, no es una persona, sino que está en la cosa (un hermoso
paisaje), está en la persona (una persona solidaria), está en una sociedad
(una sociedad respetuosa), se encuentra presente en un sistema (un
sistema económico justo), o se evidencia en las acciones (una acción
buena).
Con la introducción acelerada de las tecnologías de la información, se han
modificado de manera directa e indirecta los valores morales de los sujetos y
de las organizaciones, produciendo dilemas éticos, amenazas en el
comportamiento y en la conducta de los sujetos, la sociedad y las
organizaciones. Modificaciones que a partir de la masificación del internet y los
abusos que se han generado en la red, han puesto en riesgo la propiedad
intelectual, el acceso a la información libre o restringida, la confidencialidad e
integridad de los datos.
1.2 ÉTICA INFORMÁTICA
Según Moor (1985 citado por Neif & Jane, 2006), la Ética Informática se define
como una disciplina que identifica, analiza la naturaleza y el impacto social de
las tecnologías de la información y de la comunicación en los valores humanos
y sociales, estos son, entre otros: salud, riqueza, trabajo, libertad, privacidad,
seguridad o la autorrealización personal, democracia, conocimiento. Asimismo
involucra la formulación y justificación de políticas que dirigen nuestras
acciones y procuran el uso ético de estas tecnologías.
A su vez Joyanes, L. (1997), la considera como “el análisis de la naturaleza e
impacto social de la Tecnología de la Informática, la formulación
correspondiente y justificación de políticas para su uso ético”. De acuerdo con
estas definiciones, se infiere que dos autores, Moor y Joyanes, coinciden
cuando dicen que es una formulación y justificación de políticas para el uso
ético de las tecnologías.
Teniendo en cuenta las definiciones planteadas, se podría decir que la Ética
Informática está relacionada con la capacidad moral y los principios éticos del
profesional informático, en las decisiones, en las acciones y en la
responsabilidad para actuar y afrontar los nuevos desafíos de las tecnologías y
las comunicaciones.
En el documento “Cuatro Principios de Ética” de Barroso Asenjo (1986), se
confirma que en la investigación realizada al hacer el análisis de las
frecuencias, las cuales fueron agrupadas de acuerdo con los cuatro principios
éticos de Mason (1986), estos fueron identificados como temas éticos claves
para las aplicaciones de las tecnologías de la información. Estos temas los
sintetiza con el acrónimo PAPA, por sus equivalentes en inglés a Privacy
(intimidad y vida privada), Accuracy (exactitud), Poperty (propiedad) y Access
(acceso).
INTIMIDAD: Requiere que los informáticos traten la información privada y
confidencial con respeto y no compartirla con las personas que no tengan
derecho a ello.
A este respecto, Rachelle y Dianne (1982), definen la intimidad como “el
derecho a permanecer solo: el más comprensible de los derechos y el que más
valora al hombre civilizado”, o como la libertad del individuo a la oportunidad
“De elegir el momento y las circunstancias en los que compartirá sus secretos
con otros y hasta que punto”. La intimidad así definida se viola cuando se
recopilan datos de la vida privada del individuo sin tener en cuenta la precisión
de los mismos y se viola, más aún, cuando se difunde a otros para uso público
o privado.
Esta situación ha causado en Estados Unidos la promulgación de diversas
leyes, tales como la Freedom of Information Act (ley de libertad de la
información) de 1966-67, y la Privacy Act (ley de la intimidad) de 1974. Mucha
gente incluso pensaba que era necesario leyes más severas para salvaguarda
la intimidad.
EXACTITUD: La puntualidad y la fidelidad en la transmisión de datos.
PROPIEDAD INTELECTUAL: Según el pensamiento de Della Mirandola
(1463–1494 citado por Álvarez & Restrepo, 1997), al poner el acento en la
capacidad creadora del hombre y en el poder de transformación de sí mismo,
en esa capacidad y en ese poder radica la diferencia específica del ser humano
con las demás especies. La inteligencia y la sensibilidad permiten al hombre
evolucionar como especie, perfeccionar el lenguaje, expresarse estéticamente,
mejorar los sistemas de comunicación, en fin, hacer el mundo para sí. De la
faceta creativa del hombre se ocupa la propiedad intelectual: su objeto es
regular los derechos y las obligaciones que se tienen sobre las producciones
del talento, las que, según lo establecido en el artículo 671 del estatuto civil,
son propiedad de sus autores. En este sentido, el tratadista Valencia Zea
(1994), clasifica la propiedad intelectual como un derecho inmaterial: “Las ideas
de un autor, el descubrimiento de un inventor, los productos del espíritu en su
más amplia expresión, representan valores patrimoniales y son susceptibles de
ser apreciados en dinero. Denomínanse bienes inmateriales y los derechos
que sobre ellos se ejercen, derechos inmateriales”.
Tomando en cuenta que la propiedad intelectual es un derecho que tiene el que
la produce, se nos impone respetarla y acogerla solo como referente o guía en
una investigación, la cual debe ser citada para reconocer el autor. Del mismo
modo, el profesional o la persona capacitada en informática no debe copiar
programas, bases de datos, archivos e información, puesto que tienen
propiedad intelectual, por lo tanto no le pertenece, razón por la cual, además de
merecer respeto, merece el reconocimiento al verdadero dueño.
ACCESO: Es el derecho a proveer y recibir información teniendo en cuenta que
tipo de información requiere y con que fin.
1.3 APLICACIÓN DE LA ÉTICA EN INFORMÁTICA
Para Fernando Savater (2000), la ética se ocupa de lo que uno mismo hace
con su libertad, debido a que todo proyecto ético parte de la libertad, en donde
las facetas públicas de la libertad humana comprende, a: La libertad de
reunirse o de separarse de otros, b: La de expresar las opiniones y la de
inventar la belleza o ciencia; c: La de trabajar de acuerdo con la propia
vocación o interés, d: La de intervenir en los asuntos públicos, y, e: La de
trasladarse o instalarse en un lugar. De igual manera es importante pensar los
intereses del otro como si fuesen los tuyos, y los tuyos como si fuesen del otro.
En consonancia con lo anterior no podemos perder de vista que en una
organización el profesional de la información debe conocer el interés y los fines
para quien trabaja, teniendo en cuenta la misión y visión, además de mucha
claridad en el manejo eficiente y confiable de la información y, adicionalmente,
no olvidarse de los valores de la intimidad y de la integridad de los datos.
Dicho de otra manera, para el profesional significa un reto diario el realizar los
diferentes procesos de forma transparente en la organización y para los
usuarios de las tecnologías, mediante un buen manejo y uso de las mismas.
1.4 SEGURIDAD INFORMÁTICA
La Seguridad Informática agrupa un conjunto de técnicas desarrolladas para
proteger los equipos informáticos individuales y conectados en una red frente a
daños accidentales o intencionados. Estos daños incluyen el acceso a bases
de datos de personas no autorizadas, el mal funcionamiento del hardware y la
pérdida física de datos (Diccionario de Informática, 2001).
¿Por qué es necesaria la seguridad?
Atendiendo a Gómez Vieites (2007), los sistemas y las tecnologías de la
información se han convertido en uno de los principales factores que influyen
en la competitividad de las empresas, siendo el talento humano el principal
actor y facilitador de los diferentes procesos. Debido a la progresiva
informatización de los hechos administrativos y de negocio, el despliegue de
redes privadas de datos, y el desarrollo de nuevos servicios on-line a través de
Internet, son algunos factores que explican la creciente preocupación por
mejorar la seguridad en los sistemas de información y la conexión corporativa a
Internet.
Otro autor, Jerry Fitzgerald (1992), considera que tanto las empresas como el
gobierno ya estaban preocupados por la seguridad mucho antes de que se
reconociera la preponderancia de las computadoras, en un principio
interesándose más por la protección física. Ahora, con el auge del
procesamiento computarizado, las técnicas centralizadas de almacenamiento
de bases de datos y las redes de comunicación, se ha incrementado la
necesidad de la seguridad. El interés por la seguridad en computación se
encuentra ahora enfocado directamente en las áreas de agencias
empresariales o gubernamentales. Este énfasis se manifiesta en la existencia
de controles para impedir, detectar o corregir cualquier cosa que pueda
suceder a la organización a través de las amenazas que deben enfrentar sus
sistemas de información.
De acuerdo con los planteamientos anteriores, la seguridad informática tiene
que ver con los diferentes controles en los procesos que se aplican en las
empresas para prevenir y detectar el uso no autorizado de los computadores y
de las redes donde se guarda la información.
A continuación se relacionan los componentes típicos de un centro de cómputo
y las amenazas que se pueden presentar.
Los componentes son: Hardware, software, organización, personal,
comunicaciones de datos. Cada uno de estos componentes muestra ejemplos
típicos de posibles amenazas.
HARDWARE:
Falla de la protección
Destrucción
SOFTWARE:
- Manejo sin autorización:
Acceso o uso
Copiado, modificación
Destrucción
Robo
Errores y omisiones
- Archivo:
- Manejo sin autorización:
Acceso
Copiado
Modificación
Destrucción y Robo
Entrada y salida fuera de línea:
o Desastre
o Vandalismo
o Fraude, robo y extorsión
o Errores y omisiones
ORGANIZACIÓN:
Separación funcional inadecuada
Falla de responsabilidad de seguridad
PERSONAL:
o Deshonestidad
o Errores graves
o Incompetencia
Componente comunicaciones de datos:
Errores de transmisión
Errores humanos
Errores de hardware y
Derivaciones ilegales
Según Gómez Vieites (2007), dentro del contexto general de la seguridad, se
podría entender como seguridad de la información, a cualquier medida
adoptada por una organización que trate de evitar que se ejecuten operaciones
no deseadas ni autorizadas sobre un sistema o red informática; los siguientes
pueden ser los problemas o efectos:
Conllevar daños sobre la información
Comprometer la confidencialidad
Disminuir el rendimiento
Bloquear el acceso de usuarios autorizados al sistema
Otras posibles consecuencias debidas a la falta de seguridad de la información,
son:
Horas de trabajo invertidas en las reparaciones y reconfiguraciones de
los equipos y redes
Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y
servicios informáticos
Robo de información confidencial: Revelación de fórmulas, diseños de
productos, estrategias comerciales.
Es oportuno recordad que la norma ISO/IEC 17799 en un sentido amplio define
la seguridad de la información como la “Preservación de su confidencialidad, su
integridad y su disponibilidad”.
De acuerdo a un estudio realizado por la Asociación Española para la Dirección
de Informática (AEDI) en mayo del 2002, el 72% de las empresas españolas
quebraría en cuatro (4) días si perdieran los datos guardados en sus
ordenadores. Está claro que la eliminación de todas las transacciones de un
día en una empresa podría ocasionarle más pérdidas económicas que sufrir un
robo o un acto de sabotaje contra alguna de sus instalaciones. Este estudio
demuestra que el activo más importante que existe en cualquier empresa es la
información, es por esto que se deben tomar las medidas necesarias para la
realización correcta de los procesos internos y externos.
Para evitar los riesgos a los que se puede enfrentar una empresa, el
profesional del manejo de la información debe actuar transparentemente,
garantizando la seguridad de los datos en los archivos y bases de datos,
asimismo tener el control para el acceso de los usuarios a los archivos. De
esta manera se están haciendo los controles de seguridad y aplicando los
principios éticos en el manejo adecuado de los equipos de cómputo y de la
información.
En España, la Ley Orgánica 15/1999 del 13 de diciembre, sobre Protección de
Datos de Carácter Personal (LOPD), obliga a la implantación de importantes
medidas de seguridad informática a las empresas que hayan creado ficheros
con datos personales. (Gómez Vieites, 2007).
A continuación se describen algunos pasos para cumplir con los requisitos de
LOPD.
Notificar a la Agencia de Protección de Datos, organismo responsable
de velar por el cumplimiento de la LOPD, la existencia en la empresa de
bases de datos o ficheros que incluyen datos de carácter personal,
especificando la finalidad a que obedece el fichero y el nivel de medidas
de seguridad que se van adoptar.
Asimismo las empresas deben informar a los interesados de la recogida
de datos personales, mediante las correspondientes cláusulas
informativas que se deberían incluir en todos los impresos en papel o
formularios electrónicos utilizados para recabar sus datos. El
incumplimiento con esta obligación se considera una infracción leve de
la LOPD, por lo que puede ser sancionada con una multa que oscila
entre los 601 y los 60.101 euros.
La empresa debe tener presente que si el fichero pierde la finalidad
originaria, la LOPD no permite su reutilización para otras actividades, por
lo que sus datos deben ser destruidos, y se debe notificar sobre la
destrucción del fichero a la propia Agencia de Protección de Datos.
Otra cuestión de especial importancia en materia de protección de datos
es la cesión de datos personales a terceros. La LOPD prohíbe la
comunicación o cesión de datos a terceros sin el consentimiento expreso
de los afectados.
1.5 RELACIÓN ENTRE LA ÉTICA INFORMÁTICA Y LA LEGISLACIÓN INFORMÁTICA
En general, uno de los derechos más importantes es el Derecho a la Intimidad,
y sobre la protección de datos personales, priman la privacidad y la
confidencialidad. Si en algún caso la información es obtenida por terceros,
estos están violando dicho derecho debido que tienen acceso a los datos
personales; en consecuencia adquieren poder sobre las personas en razón de
información conseguida. Esta infracción es castigada en España por la Ley
Orgánica 15/1999, del 13 de diciembre. Esta ley se rige por los principios de la
legalidad, la proporcionalidad, la transparencia, y el derecho a la intimidad. La
finalidad de esta ley es contrarrestar los riesgos que corren las personas con la
recolección y el tratamiento inadecuado de la información en los medios
informáticos.
Caso 1: Acceso a la información: Del libro “La Amenaza Digital”, lectura del
artículo “Me roban mis datos y de paso a mis clientes”. Páginas 73 a la 80.
Uno de los problemas más frecuentes que actualmente está enfrentando el
mundo de la comunicación es el correo electrónico, debido a los continuos
fraudes que ocurren. Uno típico sucede desde el momento que llega el correo a
la cuenta del usuario informándole que la cuenta del banco ha sido bloqueada
por varios intentos de acceso, según el enlace de la página Web del banco
enviada en el correo adjunto, donde a su vez le solicitan que inmediatamente
debe ingresar los datos personales para que la cuenta en el banco no sea
bloqueada. Este delito se puede relacionar con la ley 527 de 1999 y con la
1273 de enero del 2009, así:
La ley empieza a operar en el numeral a. Mensaje de Datos, del artículo 2,
capítulo I de la parte I de la ley 527 del 1999, y en el artículo 269G
“Suplantación de Sitios Web para capturar datos personales” de la ley
1273 de enero del 2009, donde se nos dice que este delito tiene pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y una multa de 100
a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta
no constituya delito sancionado con pena más grave.
Caso 2: Violación de datos personales. Del libro “La Amenaza Digital”, lectura
del artículo contenido en las páginas 23 y 24. .
El artículo 269G, de la Ley 1273, Suplantaciones de sitios de Web para
capturar datos personales. Esta clase de delito tiene una pena de prisión de
48 a 96 meses y una multa de 100 a 1.000 dólares. La suplantación de la
identidad a través de la manipulación de direcciones IP es una de las formas
más habituales y son fáciles de ejecutar por la gran cantidad de programas que
se pueden descargar en la red. El objetivo es alterar o manipular los
contenidos de la web.
Caso 3: Suplantación: Del libro “La Amenaza Digital”, lectura del artículo
“Suplantación de Identidad”. Páginas 83 a la 90. Como su nombre lo indica,
está relacionado con la suplantación de identidad a través de la manipulación
de la IP.
Artículo 269E: Uso software malicioso. El que sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del
territorio nacional software malicioso u otros programas de computación de
efectos dañinos. El que cometa esta clase de delito incurre en pena de prisión
de 48 a 96 meses y una multa de 100 a 1.000 salarios mínimos legales.
Caso 4: Software malicioso: Del libro “La Amenaza Digital” lectura de las
páginas 25 a la 29. Este artículo está relacionado con el virus y el pirateo de la
información.
Para las leyes tratadas en este módulo, hacer lectura del Libro “La Amenaza
Digital” y ubicar el delito encontrado en la ley que usted considere pertinente y
argumente el por qué la ubicó.
J, Serrahima. (2020). La Amenaza Digital. Barcelona: Profit Editorial.
En el libro se da cuenta de los riesgos informáticos que pueden arruinar un
negocio. Se transcriben casos reales de empresas y profesionales que no
tomaron las debidas precauciones.
1.5.1 Estudio y apropiación de la normatización nacional e internacional de la seguridad de la información
A continuación se describen algunas leyes y normas que se deben incorporar
en nuestros conocimientos, para que de alguna manera nos muestren el
camino correcto en la ejecución de procesos en la organización y en la toma
de decisiones.
Leyes sobre protección de la información personal (Alcalde, Lancharro.
1994)
Los gobiernos de los Estados Occidentales han tenido que arbitrar medidas
legales para proteger al ciudadano. Algunas de estas legislaciones tienen ya
varios años de funcionamiento, pero otras, como la española, son bastantes
recientes.
La legislación española contempla la protección de la información personal
automatizada en el artículo 18.4 de la Constitución, aprobada por las Cortes y
mediante referéndum nacional en el año 1978. El texto es el siguiente: “La ley
limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos” (Ley orgánica
de regulación del tratamiento automatizado de datos de carácter personal -
LORTAD-, citada por Alcalde Lancharro, 1994).
El 29 de octubre de 1992, se promulgó la Ley Orgánica 5/92 de regulación del
tratamiento automatizado de datos de carácter personal, en cumplimiento del
mandato constitucional, quedando conformada como ley básica que protege el
derecho a la privacidad de los ciudadanos frente a los posibles abusos
derivados del mantenimiento y utilización de las bases de datos de información
personal: ”La ley esta animada por la idea de implantar mecanismos cautelares
que prevengan las violaciones de la privacidad que pudieran resultar del
tratamiento de la información”, establece algunos principios importantes
recogidos de los convenios europeos ratificados por España, entre los cuales
se encuentran:
- Calidad de los datos (exactos, adecuados, veraces)
- Integridad y seguridad
- Derecho de información, consentimiento, acceso, rectificación y
cancelación por el afectado
- Prohibición de cesión de datos salvo en algunos casos y mediando el
consentimiento previo del afectado
- Limitación del movimiento internacional
Agencia de Protección de Datos
Se crea la Agencia de Protección de Datos con capacidad inspectora y
sancionadora, encargada del control de las bases de datos de información
personal, públicos y privados, y de facilitar a los ciudadanos el ejercicio de los
derechos mencionados. Esta agencia integra el denominado Registro General
de Protección de Datos, donde deberá inscribirse, previa autorización, todo
archivo de datos personales existentes o que vaya a crearse. En definitiva,
esta ley sienta una amplia y sólida base sobre la que han de descansar los
usos de la informática, respetando el derecho a la privacidad de los
ciudadanos.
Otras leyes de protección de datos
Algunas de las disposiciones legales de los Estados Unidos con varios años de
uso efectivo. Entre las varias actas o leyes básicas o federales relativas al
control del uso de la información personal, se tiene tres principales.
- Acta de Privacidad de 1974
Se refiere a la privacidad de los individuos cuyos datos personales figuran en
bancos de datos del Gobierno Federal. Sus mandatos básicos son los
siguientes.
- Prohibición de la existencia de bancos de datos secretos de información
personal.
- Posibilidad del individuo de conocer qué información acerca de él existe
y cuál va a ser su uso.
- Posibilidad del individuo corregir o rectificar la información registrada
sobre él.
- Prohibición de utilizar la información personal para otro propósito
diferente de aquél para el que fue recopilada, sin el permiso del
individuo.
- Toda organización que recopile, use o distribuya información personal,
debe establecer los medios necesarios para asegurar su fiabilidad y
prevenir los posibles abusos que se puedan realizar con la misma.
- Acta de Privacidad Educacional 1974
Protege la información registrada en instituciones docentes públicas,
así:
- Los datos solo pueden ser recopilados por aquellos autorizados por la
ley.
- Los padres y los estudiantes han de tener posibilidad de acceso a las
informaciones educacionales sobre ellos.
- Solamente se permite la comunicación de esta información a las
instituciones educativas públicas para usos administrativos y a las
autoridades en unos supuestos legales.
- Acta de Privacidad Financiera 1978
Esta proporciona la protección a los individuos restringiendo el acceso del
gobierno a las informaciones sobre los clientes de los bancos e instituciones
financieras, establece un cierto grado de confidencialidad de los datos
financieros personales.
Otras de estas leyes tratan sobre el derecho a la privacidad, teniendo en
cuenta que en general solo afectan a la administración pública federal y que los
diferentes Estados han dictado leyes en la misma línea pero adaptadas a sus
ámbitos respectivos, destacando en muchas de ellas la obligatoriedad de que
los datos sean relevantes, actualizados y precisos, prohibiendo su difusión sin
autorización.
Las legislaciones respectivas de los demás países occidentales se basan en
los mismos principios de protección de los derechos de los individuos,
especialmente el derecho a la intimidad y a la vida privada.
Normas que se pueden imponer legalmente (Fitzgerald, 1992)
Las normas que se pueden imponer legalmente se definen y se promulgan en
las leyes de los diferentes países.
En Estados Unidos se cuenta con una ley que establece castigo penal para
tres tipos de infractores de computadora.
Los que ingresan a las computadoras federales.
Los que tienen acceso sin autorización a las computadoras de las
instituciones financieras que están cubiertas por leyes federales.
Los que tienen acceso a las computadoras con que se manejan los
datos de seguridad nacional.
De acuerdo con Fitzgerald (1992), en Electronic Communications Privacy Act
(Acta de privacía de las comunicaciones electrónicas) de 1986, la cual se
relaciona directamente con la comunicación de datos, se constituye en crimen
federal el interceptar comunicaciones electrónicas como la comunicación de
datos o el correo electrónico. O hacer trucos con las computadoras en una red
de datos. En la ley de 1986 se prohíbe la intercepción de comunicaciones de
datos y videos en redes privadas y el acceso sin autorización a computadoras
de red si se extraen o alteran los mensajes almacenados. Bajo esta ley los
individuos están sujetos a penas de hasta 100.000 dólares y 10 años de
prisión, si el crimen se comete con fines de lucro o por razones mal
intencionadas, las multas para las organizaciones pueden ser hasta de 250.000
dólares. Bajo esta ley también se protege la privacía de los usuarios de la red.
Los oficiales que vigilan el cumplimiento de la ley necesitan de una orden
judicial para obtener mensajes electrónicos, y los proveedores de servicios de
correo electrónico no pueden descubrir el contenido de los mensajes que
transmiten con su servicio sino se cuenta con la autorización del emisor.
El Congreso de Estados Unidos también aprobó el Computer Fraud and Abuse
Act (Acta de fraude y abuso por computadora) en 1986. En esta ley se amplía
la jurisdicción federal para delitos por computadora; se afina y construye sobre
el estatuto de 1985, que cubre únicamente a las computadoras federales.
La nueva ley cubre los crímenes por computadora en las que intervengan
computadoras del sector privado ubicadas en dos o más Estados. También
afecta a los sistemas de la llamada Junta de Boletín Pirata que intercambian
claves de acceso a la computadora.
Específicamente la ley establece como delito federal el tener acceso a una
computadora de manera fraudulenta para robar y se constituye como delito el
alterar o destruir datos, hardware, software sin autorización. En la ley también
se establece como infracción menor el que un individuo trafique con claves de
acceso que pertenezcan a otros si existe un claro intento de fraude. En la ley
de abuso y fraude por computadora se imponen multas hasta de 100.000
dólares y 10 años de prisión a las personas que intencionalmente obtengan
acceso sin autorización a sistemas de cómputo para dañar registros o robar
registros o dinero.
1.5.2 Leyes nacionales informáticas
A continuación se hace una breve descripción de algunas leyes nacionales que
de alguna manera sirven como base y orientación en el manejo de los sistemas
de información.
- Ley 527 del 18 de agosto de 1999
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes
de datos, del comercio electrónico y de las firmas digitales, se establecen las
entidades de certificación y se dictan otras disposiciones (Diario Oficial No.
43.673, del 21 de agosto de 1999).
En el transcurso del semestre profundizarán los conocimientos con los
módulos: Configuración de Servicios de Internet y Diseño de Contenidos
Comerciales. Por ahora, se mencionarán algunos aspectos relacionados con el
comercio electrónico.
Según Norton, P. (1999), el comercio en la Web es el llamado Comercio
Electrónico. En 1994 la tienda de flores Flower Shop fue el primer sitio
“Comercial” en el World Wide Web. El gran obstáculo para el desarrollo en
línea ha sido la carencia de seguridad confiable para la transferencia de dinero
a través de la red. Los negocios han transferido dinero rutinariamente a través
de redes durante años (por ejemplo, cada vez que usted hace una transacción
en la unidad ATM de su banco), pero estas son redes privadas seguras o
conexiones de terminal punto a punto, lo cual significa que nadie puede entrar
en línea sin que alguien en el otro lado se dé cuenta.
Internet es diferente, es una red pública y descentralizada donde piratas
informáticos (hackers) inteligentes pueden interceptar flujos de información
(por ejemplo, el número de una tarjeta de crédito).
Ejemplo
Antes de comprar cualquier artículo en la Web, asegúrese de que la
transacción es segura. Usando un método de codificación o un servidor de
transacciones separado, el vendedor puede asegurar la privacidad de la
transacción y de su información personal. Primero, verifique los parámetros de
seguridad antes de proceder con una transacción. Segundo, lea la información
del sitio Web y vea si tiene la opción de cambiar a un servidor seguro antes de
hacer la transacción.
En el correo electrónico tenga cuidado con lo que dice, en especial cuando se
maneja el correo electrónico de la compañía, nunca responder a un mensaje de
correo electrónico no solicitado, sobre todo sino reconoce el remitente. Sea
cuidadoso cuando dé su dirección de correo electrónico.
Un anciano fue de alguna manera registrado como difunto en una base de
datos corporativa cuando aún estaba vivo. Los datos incorrectos se esparcieron
con rapidez de una base de datos a otra, y al poco tiempo el hombre se
encontró con que su seguro social y sus beneficios médicos, habían sido
cancelados sin ningún aviso.
Esta ley (527 del 18 de agosto de 1999), está conformada así:
EI capítulo I Parte I, contiene el artículo 2, estructurado así:
a. Mensaje de Datos: Es la información generada, enviada, recibida,
almacenada o comunicada por medios electrónicos, ópticos o similares, como
el intercambio electrónico de datos (EDI), Internet, el correo electrónico, el
telegrama, el télex o el telefax, entre otros
b. Comercio Electrónico: Abarca las cuestiones suscitadas por toda relación de
índole comercial, sea o no contractual, estructurada a partir de la utilización de
uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones
de orden comercial comprenden, sin limitarse a ellas, las siguientes
operaciones: Toda operación comercial de suministro o intercambio de bienes
o servicios, todo acuerdo de distribución, toda operación de representación o
mandato comercial, todo tipo de operaciones financieras, bursátiles y de
seguros, de construcción de obras, de consultoría, de ingeniería, de concesión
de licencias, todo acuerdo de concesión o explotación de un servicio público,
de empresa conjunta y otras formas de cooperación industrial o comercial, de
transporte de mercancías o de pasajeros por vía aérea, marítima, férrea o por
carretera.
c. Firma Digital: Se entenderá como un valor numérico que se adhiere a un
mensaje de datos que, utilizando un procedimiento matemático conocido
vinculado a la clave del iniciador y al texto de mensaje, permite determinar que
este valor se ha obtenido exclusivamente con la clave del iniciador y que el
mensaje inicial no ha sido modificado después de efectuada la transformación.
d. Entidad de Certificación: Es aquella persona que, autorizada conforme a la
presente ley, está facultada para emitir certificados en relación con las firmas
digitales de las personas, ofrecer o facilitar los servicios de registro y
estampado cronológico de la transmisión y recepción de mensajes de datos,
así como cumplir otras funciones relativas a las comunicaciones basadas en
las firmas digitales.
e. Intercambio Electrónico de Datos (EDI): Es la transmisión electrónica de
datos de una computadora a otra que está estructurada bajo las normas
técnicas convenidas para el efecto.
f. Sistema de Información: Se entenderá como todo sistema utilizado para
generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de
datos.
El Capítulo II (Aplicación de los requisitos jurídicos de los mensajes de datos)..
El Capítulo III (Comunicación de los mensajes de datos).
Parte II, donde se dispone sobre el Comercio Electrónico en materia de
transporte de mercancías.
Parte III, que toca con las firmas digitales, los certificados y entidades de
certificaciones.
La ley, por capítulos, trata los siguientes asuntos:
Capítulo II: Entidades de Certificación.
Capítulo III: Certificados
Capítulo IV: Suscriptores de firmas digitales
Capítulo V: Superintendencia de Industria y Comercio
Anexo en PDF Ley 527 de 1999 (hipervínculo)
- Ley estatutaria 1266 del 31 de diciembre de 2008
Por la cual se dictan las disposiciones generales del Hábeas Data y se regula
el manejo de la información contenida en las bases de datos personales, en
especial la financiera, crediticia, comercial, de servicios y la proveniente de
terceros países, y se dictan otras disposiciones (Diario Oficial No. 47.219 del 31
de diciembre de 2008).
El objeto de esta ley se encuentra en el artículo 1°. En efecto, la presente
ley tiene por objeto desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en Bancos de Datos, y los demás derechos, libertades y
garantías constitucionales relacionadas con la recolección, tratamiento y
circulación de datos personales a que se refiere el artículo 15 de la
Constitución Política, así como el derecho a la información establecido en el
artículo 20 de la misma Constitución, particularmente en relación con la
información financiera y crediticia, comercial, de servicios y la proveniente de
terceros países (Anexo ley 1266 del 31 de diciembre del 2008).
- Ley 1273 del 5 del enero de 2009
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado -denominado “de la protección de la información y de los
datos”- y se preservan integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones, entre otras disposiciones (Diario Oficial
No. 47.223 del 5 de enero de 2009).
Capítulo I
Que trata de los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos.
Artículo 269A: Acceso abusivo a un sistema informático. El que, sin
autorización o por fuera de lo acordado, acceda en todo o en parte a un
sistema informático protegido o no con una medida de seguridad, o se
mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo
derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho a noventa y
seis meses y en multa de 100 a 1.000 salarios mínimos legales mensuales
vigentes.
Artículo 269B: Obstaculización ilegítima de sistema informático o red de
telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos
informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en
pena de prisión de cuarenta y ocho a noventa y seis meses y en multa de 100
a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta
no constituya delito sancionado con una pena mayor.
Artículo 269C: Interceptación de datos informáticos. El que, sin orden
judicial previa intercepte datos informáticos en su origen, destino o en el interior
de un sistema informático, o las emisiones electromagnéticas provenientes de
un sistema informático que los transporte, incurrirá en pena de prisión de treinta
y seis a setenta y dos meses.
Artículo 269D: Daño informático. El que, sin estar facultado para ello,
destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un
sistema de tratamiento de información o sus partes o componentes lógicos,
incurrirá en pena de prisión de cuarenta y ocho a noventa y seis meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Artículo 269E: Uso de software malicioso. El que, sin estar facultado para
ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o
extraiga del territorio nacional software malicioso u otros programas de
computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y
ocho a noventa y seis meses y en multa de 100 a 1.000 salarios mínimos
legales mensuales vigentes.
Artículo 269F: Violación de datos personales. El que, sin estar facultado
para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o
emplee códigos personales, datos personales contenidos en ficheros, archivos,
bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta
y ocho a noventa y seis meses y en multa de 100 a 1.000 salarios mínimos
legales mensuales vigentes.
Artículo 269G: Suplantación de sitios web para capturar datos personales.
El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle,
trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o
ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho a
noventa y seis meses y en multa de 100 a 1.000 salarios mínimos legales
mensuales vigentes, siempre que la conducta no constituya delito sancionado
con pena más grave.
En la misma sanción incurrirá el que modifique el sistema de resolución de
nombres de dominio, de tal manera que haga entrar al usuario a una IP
diferente en la creencia de que acceda a su banco o a otro sitio personal o de
confianza, siempre que la conducta no constituya delito sancionado con pena
más grave. La pena señalada en los dos incisos anteriores se agravará de una
tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en
la cadena del delito.
Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles
de acuerdo con los artículos descritos en este título, se aumentarán de la mitad
a las tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u
oficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.
3. Aprovechando la confianza depositada por el poseedor de la información o
por quien tuviere un vínculo contractual con este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de
otro.
5. Obteniendo provecho para sí o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa
nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración,
manejo o control de dicha información, además se le impondrá hasta por tres
años, la pena de inhabilitación para el ejercicio de profesión relacionada con
sistemas de información procesada con equipos computacionales.
Capítulo II
Que trata de los atentados informáticos y otras infracciones.
Artículo 269I: Hurto por medios informáticos y semejantes. El que,
superando medidas de seguridad informáticas, realice la conducta señalada en
el artículo 239 manipulando un sistema informático, una red de sistema
electrónico, telemático u otro medio semejante, o suplantando a un usuario
ante los sistemas de autenticación y de autorización establecidos, incurrirá en
las penas señaladas en el artículo 240 de este Código.
Artículo 269J: Transferencia no consentida de activos. El que, con ánimo
de lucro y valiéndose de alguna manipulación informática o artificio semejante,
consiga la transferencia no consentida de cualquier activo en perjuicio de un
tercero, siempre que la conducta no constituya delito sancionado con pena más
grave, incurrirá en pena de prisión de cuarenta y ocho a ciento veinte meses y
en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La
misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite
programa de computador destinado a la comisión del delito descrito en el inciso
anterior, o de una estafa.
Si la conducta descrita en los dos incisos anteriores tuviere una cuantía
superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se
incrementará en la mitad.
- Ley 1341 del 30 de julio de 2009
Por la cual se definen los principios y conceptos sobre la sociedad de la
información y la organización de las Tecnologías de la Información y las
Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan
otras disposiciones (Diario Oficial No. 47.426 del 30 de julio de 2009).
Artículo I. Objeto. La presente Ley determina el marco general para la
formulación de las políticas públicas que regirán el sector de las Tecnologías
de la Información y las Comunicaciones, su ordenamiento general, el régimen
de competencia, la protección al usuario, así como lo concerniente a la
cobertura, la calidad del servicio, la promoción de la inversión en el sector y el
desarrollo de estas tecnologías, el uso eficiente de las redes y del espectro
radioeléctrico, así como las potestades del Estado en relación con la
planeación, la gestión, la administración adecuada y eficiente de los recursos,
regulación, control y vigilancia del mismo y facilitando el libre acceso y sin
discriminación de los habitantes del territorio nacional a la Sociedad de la
Información.
El estudiante deberá apropiarse de la leyes y normas descritas en este módulo
y en especial de la 1273 del 5 de enero del 2009, toda vez que estas serán
aplicadas en casos que se desarrollarán en el presente módulo.
Bibliografía
Alcalde, E. (19949). Informática Básica. Tercera Edición. Madrid: Mc Graw Hill/Interamericana de España.
Álvarez & Restrepo, L. (1997). Derechos de Autor y Software. Primera Edición. Medellín, Colombia: Editorial Universidad Pontificia Bolivariana.
Cortina, A. (1997). El mundo de los valores. Etica Mínima y Educación. Bogotá: Editorial Códice Ltda.
Fitzgerald, J. (1992). Comunicación de Datos en los Negocios. Conceptos básicos, seguridad y diseño. Primera edición. Mexico: Editorial Limusa S.A de C.V.
Florián V. & Silva Rincón, G. (2002). Diccionario de Filosofía. Bogotá: Panamericana Editorial.
Gómez Vieites, A. (2007). Sistemas de Información. Segunda Edición. Mexico: Alfaomega Grupo Editor.
JOYANES, Luis. (1997). Cibersociedad. Los retos sociales ante un nuevo mundo digital. Madrid: McGraw-Hill.
López, A. (2000). Valores, Valoraciones y Virtudes. Metafísica de los valores. México: Compañía Editorial Continental, S.A de C.V-
Neif G. Silva & Jane, Espina. (2006). Ética Informática en la Sociedad de la Información. Recuperado el 30 de julio del 2010 del sitio web Revista Venezolana de Gerencia, octubre-diciembre 2006. Vol. 11. No. 036.http://redalyc.uaemex.mx/pdf/290/29003604.pdf.
Norton, P. (2000). Introducción a la computación. Tercera Edición. Madrid: MacGraw Hill/ Interamericana Editores S.A de C.V
Rachelle S. & C. Dianne. (1985). Bits y Bytes. Iniciación a la Informática. Mexico: Publicaciones Cultural/Ediciones Anaya Multimedia.
Savater, F. (2000). Ética para Amador. 35 Edición Ampliada. Barcelona: Editorial Ariel, S.A.
Serrahima, J. (2010). La Amenaza Digital. Barcelona: Bresca Editorial S.L.
Tobón, S. (2006). Formación Basada en Competencias. Segunda Edición. Bogotá: Ecoe
Valencia, A. (1982). Derecho de la propiedad intelectual, artística e industrial. Organización judicial. Bogotá: Temis Ltda.