Want create site? Find Free WordPress Themes and plugins.
Escrito por:
Socia, Maria Alejandra Tulipano
mtulipano@consortiumlegal.com
Consortium Legal – El Salvador

 

Con frecuencia escuchamos los términos ciberseguridad, ciberespacio o ataques cibernéticos, algunos lo asociamos inmediatamente con el futuro o pensamos en Star Wars.  Hace algunos años, la seguridad de los sistemas informáticos de la empresa era una cuestión que solo debía preocupar al la alta gerencia o accionistas y al Departamento de IT. Sin embargo, ahora la tecnología ha escapado de dichos dominios.

La realidad es que ese futuro es ahora, está presente  y debemos tomar conciencia  de que hoy, en 2018, estamos expuestos a serias amenazas que afectan a todos los ámbitos de las empresas, sectores productivos, sociedad en general.  El ciberespionaje no se limita a las empresas de Fortune 500 ni a los contratistas del gobierno, por lo que es la prevención y regulación oportuna en la materia clave en el desarrollo de nuestras economías.

La falta de cultura sobre seguridad informática, es uno de los principales obstáculos al momento de intentar implementar una política nacional de seguridad informática. La mayoría de incidentes son escondidos, desvanecidos o ignorados, en diferentes estructuras: Industria y gobierno.

Hacer públicos estos hechos podría representar una pérdida de confianza y de clientes, en el caso privado y un despido o desprestigio en el caso del gobierno, por lo que priva el ocultamiento y la negación.

La cantidad de programas de código malicioso ha crecido estrepitosamente durante los últimos treinta años. En 1994, se producía un nuevo virus cada hora; en 2006, ese intervalo se redujo a un minuto; en 2012 y actualidad, a cada segundo.

En materia de ciberespionaje corporativo, las únicas víctimas no son las compañías multinacionales, puede ser cualquier empresa, representantes o distribuidores de una marca de ropa o de vehículos, los cuales simplemente operan de manera local.

Ahora veamos juntos algunos conceptos básicos de interés:

El Ciberespacio: Debe tenerse presente que, jurídicamente, territorio no es sinónimo de espacio geográfico, debido a que el territorio comprende todos los lugares a los que se extiende la soberanía del Estado, lo que debe incluir las redes, sistemas y ordenadores vinculados al Estado en el cual ocurre el incidente.

El ciberespionaje corporativo: consiste en que una compañía genera amenazas cibernéticas, a través de “cibermercenarios” (atacantes), contra una empresa de la competencia para obtener determinada información: cartera de clientes, planes de marketing, balances, datos en materia de I+D (investigación y desarrollo), etc. El objetivo es emplear dichos datos de forma maliciosa para perjudicar a la firma rival.

Delito Informático: …se realiza por medio de un sistema que haga uso de las tecnologías de la información o un componente de éste, que lesione la integridad, disponibilidad o confidencialidad de la información.”

Sistema: “Todo dispositivo aislado o conjunto de dispositivos interconectados o unidos, que aseguran, en ejecución de un programa, el tratamiento automatizado de datos.”

Ciber-Resiliencia: es la combinación de la CiberSeguridad con la Resiliencia de Negocio, y que consigue el mínimo riesgo, la mínima probabilidad de éxito y el mínimo daño en los activos críticos de la organización.

El uso de las tecnologías de la información no está necesariamente limitado por la legalidad y, en algunos casos, se está utilizando también para cometer delitos: el creciente acceso a internet y las tecnologías de la información han requerido de la creación de marcos jurídicos que lidien con los delitos cibernéticos, un aspecto que algunas legislaciones a nivel centroamericano tienen pendiente de resolver.

Algunas de las pautas o medidas que se pueden tomar desde el gobierno corporativo y cumplimiento para potenciar la ciberseguridad y minimizar las amenazas son:

  • Definir una estrategia de ciberseguridad: incluir la seguridad como una parte más de la estrategia corporativa es fundamental. Es necesario elaborar un detallado plan de ciberseguridad y evaluar su cumplimiento de forma periódica. El cumplimiento normativo (compliance) debe ocupar una parte importante en el enfoque de la política de ciberseguridad.
  • Asignar roles y responsabilidades: como sugeríamos antes, que toda esa responsabilidad recaiga sobre el Gerente General o Accionista es inviable. El Chief Information Officer o algún otro de los perfiles equivalentes que han surgido en los últimos tiempos, puede ser el responsable, pero necesita implicar a otros perfiles directivos y ejecutivos para llevar a buen puerto la estrategia de Ciberseguridad. Implicar a los CXO es uno de los factores determinantes para su éxito.
  • Realizar auditorías internas: revisar de forma periódica la estrategia de ciberseguridad, actualizar procesos y controles atendiendo a amenazas emergentes y testar el cumplimiento de la normativa son algunas de las funciones a las que puede contribuir una auditoría interna.
  • Realizar auditorías externas: el mejor complemento para una auditoría interna. Evaluar los controles de seguridad, fortalecerlos e implementar programas para la gestión de riesgos empresariales son algunas de las posibles aportaciones de la auditoría externa.
  • Implementar programas de formación para los empleados: la estrategia de ciberseguridad no puede obviar el hecho de que, a menudo, las personas son el punto débil de los sistemas. Proporcionar a los empleados la formación necesaria para identificar amenazas, aplicar protocolos de seguridad y actuar en caso de desastre es de vital importancia.

Los conocimientos de ciberseguridad son esenciales para cualquier organización que se tome en serio el riesgo creciente de sufrir un ciberataque. No sólo se necesitan profesionales formados y experimentados en ciberseguridad, todos los niveles de la organización deben recibir una formación acorde a su puesto y formar parte de la protección y defensa.

El cumplimiento de la normativa también debe tener su papel en los programas para evitar posibles sanciones u otras consecuencias legales derivadas del tratamiento de la información corporativa.

Hablemos brevemente del Convenio de Budapest sobre ciberdelicuencia y que beneficios implica.

El Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest (y el № 185 del Consejo de Europa), fue firmado el 23 de noviembre del 2001 y tiene como objetivo proteger a la sociedad contra el cibercrimen y hasta la fecha cuenta con 55 países miembros.

Es un instrumento internacional que tiene como fin armonizar el derecho sustantivo y dar herramientas esenciales en la investigación de los delitos que se cometen por vías informáticas.

Es el primer Convenio Internacional sobre Delitos Informáticos y es visto como el estándar mundial sobre la materia y tiene los siguientes objetivos:

Mejorar los instrumentos de cooperación internacional.

Armonizar el derecho sustantivo, no limitarlo.

Creación de instrumentos procesales comunes.

La instauración de una red permanente de contactos: 24/7

Los países miembros se comprometen a tipificar como delitos, dentro de sus respectivas legislaciones, distintas acciones criminales cometidas por medios informáticos: Acceso ilicito, Interceptación ilicita, interferencia en los datos, Interferencia en el sistema, Abuso de los dispositivos, Falsificación informática, Fraude Informático, delitos sobre pornografía infantil y delitos sobre Infracciones de la propiedad intelectual.

En la región, El Salvador cuenta con una la Ley Especial contra los Delitos Informáticos y Conexos la cual es una herramienta para la prevención y sanción de los de los hechos punibles cometidos mediante el uso de las Tecnologías de la Información y Comunicación (TIC), que afecten la imagen de personas naturales o jurídicas.

Entre los aspectos que regula la ley destacan: delitos contra los sistemas tecnológicos de información; delitos informáticos; relacionados con el contenido de los datos; delitos informáticos contra niñas, niños y adolescentes o personas con discapacidad y delito contra el orden económico.

Por su parte la estafa, el fraude y espionaje informático; así como el hurto por medios informáticos y las técnicas de denegación de servicio se vuelven las principales infracciones que cubren a los delitos informáticos. También se protege la integridad de las personas naturales o jurídicas, en relación a obtener información de carácter confidencial.

Sin embargo el resto de países centroamericanos contemplan algunos artículos de sus códigos penales para castigar estos delitos, siendo Costa Rica y Panamá los que establecen penas de mayor severidad para estos crímenes.

Es importante generar espacios y regulación interregionales para compartir información y garantizar protecciones de forma integral.

Según el informe Ciberseguridad del Banco Interamericano de Desarrollo (BID), la Organización de los Estados Americanos y el Centro Global de Capacitación de Seguridad Cibernética, el 60% de ataques efectivos en Centroamérica son contra el Gobierno, 30% a bancos y 10% a la industria.

¿Qué artículos penan los ciberdelitos en países del CA?

Guatemala: Código penal, decreto No 17-73, Art. 274 (A, B, C, D, E, F, G)

Honduras: Código Penal decreto 144-83 Art. 214, 223, 256 y decreto 149-2014 y 201, art. 1 al 29.

Nicaragua: Código penal, Ley No. 641, Art. 175, 197, 198, 229, 275, 417

Costa Rica: Código penal, Art. 288, 230, 232, 233

Panamá: Ley No. 41 de 2007, Art. 289, 290, 291, 292; Ley No. 14 de 2010, Ley No. 43 de 2001, Ley No. 15 de 1994, Ley 79 del 2013

Did you find apk for android? You can find new Free Android Games and apps.