Novedades IT @ AGOSIA.ORG.AR
Asociación Gremial de Operadores de Sistemas Informáticos y Afines

La normativa sancionada esta semana por la Cámara de Diputados afectará la vida interna de las organizaciones y las obligará a adoptar políticas claras para controlar el correo electrónico y otras herramientas basadas en Internet. Opinan abogados y proveedores de seguridad tecnológica

La normativa sancionada esta semana por la Cámara de Diputados afectará la vida interna de las organizaciones y las obligará a adoptar políticas claras para controlar el correo electrónico y otras herramientas basadas en Internet. Opinan abogados y proveedores de seguridad tecnológica

La ley de delitos informáticos que sancionó la Cámara de Diputados el miércoles tendrá consecuencias directas en la vida diaria de las empresas. La norma busca proteger la privacidad del correo electrónico, pero obligará a las compañías a establecer y publicar reglas internas para el uso de las herramientas y aplicaciones tecnológicas basadas en Internet.

Infobaeprofesional.com consultó a abogados especializados en tecnologías de la información y la comunicación (TIC) y a los principales proveedores de seguridad informática, quienes analizaron la nueva legislación y recomendaron los temas que deberán tener en cuentas las organizaciones cuando comience a entrar en vigencia.

La ley cumple una vieja deuda pendiente: la actualización del Código Penal, de comienzos del siglo pasado, a la altura de las nuevas tecnologías.

Sin agujeros legales
La norma establece que el acceso indebido a un correo electrónico o a un sistema o dato informático será un delito castigado por el Código Penal, con penas excarcelables que oscilan entre los 15 días a seis meses de prisión.

Puntos Importantes

• Las empresas deberán poner en práctica y comunicar internamente una política de privacidad que en forma clara y definida informe a sus empleados cuáles son los límites en el uso de las herramientas tecnológicas de la empresa, y cuáles son las consecuencias.
• Se deberá aclarar que la compañía ejercerá un control sobre el correo electrónico del trabajador y la forma en que lo hará.
• Existen dudas sobre la responsabilidad de la organización cuando un e-mail se difunde por culpa de un código malicioso.

De esta manera, la nueva ley tipifica los delitos informáticos y los equipara con los de violación de correspondencia epistolar, algo que la jurisprudencia ya había establecido en los últimos años desde los juzgados. La ley también considera como delito al acceso indebido a un banco de datos personales.Daniel Bustos Ventura, abogado y coordinador de Legal&Forensics, el departamento legal de la empresa I-Sec, explicó que la ley “sirve para cubrir varios agujeros, principalmente en lo que es correo electrónico debido a que limita mucho el tema del acceso”. Recordó que hasta el momento sólo se tenían leyes que permitían castigar “conductas parecidas, pero no específicas. Entonces se daban dudas como las siguientes: ¿Dañar una página de Internet es dañar una cosa? Abrir un correo electrónico ¿es abrir una correspondencia? ¿O distribuir pornografía por Internet encuadra dentro de lo que es distribución para el Código Penal? Todo estos vacíos legales que daban cuenta de conductas parecidas son los que se cubren con el nuevo proyecto.

Christian Vila-Toscano, consultor de I-Sec, recordó también que hasta ahora “no había una ley que dijera que el e-mail no se podía leer. Las normativas vigentes lo que hacían era operar a través de analogías. Ahora ya hay una ley específica”.

Políticas internas claras
“Esta norma está destinada a proteger la infraestructura tecnológica de las empresas y a penalizar a los ‘hackers’ que de alguna manera las afectan”, dijo Pablo Palazzi, abogado especialista en derecho informático.

Sin embargo, las compañías deberán ser cuidadosas en el uso de la tecnología, explicó. Por ejemplo, a partir de esta ley es considerado como un delito el acceso de un correo electrónico sin permiso.

Las organizaciones deberán poner en práctica y comunicar internamente una política de privacidad que en forma clara y definida informe a sus empleados cuáles son los límites en el uso de las herramientas tecnológicas de la empresa, y cuáles son las consecuencias, advirtió.

Palazzi enfatizó en la importancia de aclarar que la empresa ejercerá un control sobre el correo electrónico del trabajador y la forma en que lo hará. Recalcó que con la reforma el acceso indebido a los sistemas informáticos es un delito.

Sin embargo, recordó que los testeos y las pruebas de la seguridad de un sistema de una empresa por parte de consultores especializados (una práctica conocida como “hacking ético”) no deberá ser considerado como tal. Para ello es recomendable que exista un documento de seguridad donde se acuerde y consienta esta operación.
“Ya podemos decir que legalmente la obligación de seguridad se aplica a ambientes TI y tiene consecuencias legales”, concluyó.

Penas de prisión
Horacio Granero, socio de Allende & Brea comentó que la ley castiga con penas de quince días a seis meses “a quien abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado… al que no esté dirigido”.

Indicó que en este caso deberá analizarse en forma concreta la política de privacidad de cada empresa, con el fin que los empleadores puedan analizar los e-mails de los empleados y así resguardar el correcto uso de los elementos informáticos de la compañía. De no hacerlo en forma correcta el acceso a la información por parte de las firmas podría ahora ser considerado “indebido” y por lo tanto incluido en el nuevo tipo legal, enfatizó.

En cambio, Claudio Avín, especialista en Soluciones de Seguridad de Microsoft Argentina opinó que las penas son “muy livianas, porque no deja de ser un delito aunque se haga con una herramienta, si se quiere, de guante blanco”. En ese sentido, planteó qué sucederá “cuando alguien, sin querer, manda un e-mail que puede ser ilegal. Un ejemplo: ¿qué pasa si a tu PC le entra un malware (código malicioso) y envía un e-mail pornográfico? Porque ahora la pornografía por Internet está penada. ¿Es culpa tuya por no tener segura la PC? ¿La culpa es de la empresa? El problema, hasta ahora, sigue siendo la autenticación de la identidad. La identidad sigue siendo muy fácil de violar”.

Daniel Monastersky, titular de Monastersky & Asociados Abogados, resaltó que la reforma permite ahora a las empresas hacer valer sus derechos y acceder a la justicia en el caso de que su sitio web o sus soportes informáticos sean violados.

Explicó que el presupuesto para que se haga efectiva la sanción penal es la “intromisión indebida” de un tercero en la base de datos de la compañía. “El hackeo de programas, la interrupción de comunicaciones y el espionaje industrial –obtención de información por parte de empleados infieles- serán ahora penados por la ley”, concluyó.

La visión de Microsoft
Desde Microsoft, el mayor fabricante mundial de software, se respaldó la iniciativa sancionada, aunque se recordó que las empresas ya cuentan con las herramientas tecnológicas para cumplirla.

Lucas Martínez, gerente de Iniciativas de Seguridad de Microsoft Cono Sur, explicó en ese sentido y con relación a “la sanción de la violación de correo, esto no es una cuestión de software. Por el contrario, la responsabilidad queda en manos del empresario”.

“Igualmente, y aunque fuera un problema de software, en nuestro caso uno de los cambios de SQL 2008 es que permite hacer una auditoria de datos y operar todo el sistema pero sin poder ver la información. Eso te asegura que un administrador, por más permisos que tenga, no pueda entrar a la información almacenada”, dijo Martínez.

Claudio Avin, especialista en Soluciones de Seguridad de Microsoft Argentina, advirtió que las empresas van a tener que comenzar a revisar diversas herramientas informáticas porque puede que muchas no estén en sintonía con lo que marca la ley.

“En el caso del correo si bien uno no puede revisar la correspondencia tradicional, sí puede meterse en el servidor y revisar el contenido”, señaló. “El administrador de sistemas va a ser clave porque de él dependerán las herramientas que pueden generar o no legalidad”, afirmó.

Para Avín, el empresario argentino tiene hoy su sistema de correo con herramientas que permiten revisar los correos. O sea, no está haciendo nada que el software no permita hacerlo “pero eso mismo –advirtió– ahora pasará a ser ilegal. De este modo, lo que entrará en juego es el comportamiento del empresario”.

Con relación a los cambios que motivará la ley, estimó que se deberá encarar “un análisis importante no sólo del lado del usuario empresarial, sino también del usuario de Internet en general. La ley no implicará tanto un cambio de software sino más bien un cambio en la actitud de los empresarios. Seguramente habrá nuevas herramientas que permitan adecuarse a la ley. El problema de esas herramientas, en todo caso, está en cómo son utilizadas”, concluyó.

Propiedad intelectual
Ariel Beliera, ingeniero de Sistemas para el Sur de América latina de Symantec, el mayor fabricante mundial de software de seguridad, señaló que “no debe auditarse la información personal pero sí monitorearse que la información privada de la empresa no fluya. Ahí está el negocio –remarcó– y es lo que, en todo caso, le importa a las empresas. Todo esto tiene que ser evaluado a través de abogados para, como es de suponer, conocer los límites”.

Beliera señaló que también se debe “estudiar el orden dentro de las empresas. Porque se puede decir que la información que desarrolla una persona dentro de una organización por un tema contractual es un trabajo en pos del negocio de la empresa. De ahí –subrayó– que haya que definir qué es propiedad intelectual y qué es información confidencial del usuario en la empresa. Pero inclusive en esos casos siempre se pueden dar grises”.

Avín recordó que hubo “algunas malas experiencias con la ley de datos personales”, y afirmó que la ley “regula el manejo de la información, pero se siguen viendo en sitios de Internet públicos en los que se ofrecen bases de datos de la Argentina. Y eso es ilegal”. Para el consultor de Microsoft, “todo irá mejor de acuerdo a la fuerza con la que se haga cumplir la ley. Otro problema, y ya en el caso de los jueces, es la falta de educación en el tema. Dependerán mucho de sus asesores”.

Consecuencias para los proveedores
Vila recordó que además de las empresas, “los que se van a tener que preparar mucho con esta ley son los proveedores de Internet. Ahora ellos también son responsables. Y lo bueno de la ley es que le da un montón de herramientas al usuario para poder protegerse”.

La cuestión según Vila es la siguiente: “Hoy el proveedor opera recibiendo y correo y reenviándolo, pero en ese trayecto puede leerlo. En la actualidad es así. Ahora el proveedor tendrá que cambiar su manera de trabajo y sumarse a lo que sucede en el resto de los países. Por ley ahora está prohibido que tengan la facultad de leer tu correspondencia”.

Sentencias antes de la reforma
En junio pasado, la jueza Ana Elena Díaz Cano había considerado que invadir una cuenta de e –mail ajena y utilizar la información en un juicio civil configuraba una “conducta atípica” –no prevista en el Código Penal- y que, en consecuencia no constituía delito.

Con este fundamento la magistrada había rechazado la presentación de un abogado que denunció, precisamente, que le habían “hackeado” su cuenta de correo electrónico.

La jueza entendió que la legislación no preveía episodios de esta naturaleza, por lo que consideró que se trataba de una “conducta atípica” y, en consecuencia, no punible.
“Por más que existan en tratamiento diversos proyectos de ley que se refieren a lo que en doctrina se denominan ‘delitos informáticos’… lo cierto es que aún no existe tal previsión legal”, sostuvo la jueza.

La magistrada había formulado una exhortación indirecta al Poder Legislativo para que subsane el vacío legal en relación con los delitos informáticos.

La polémica
En su momento, la sentencia de Diaz Cano originó distintas críticas de los especialistas quienes debatieron en torno a si existía o no un vacío legal en la materia, como asimismo también a si la intromisión en una casilla ajena de e –mail vulneraba derechos protegidos por la Constitución Nacional.

Así, Ricardo Weschler, fiscal de la Cámara Nacional de Casación Penal, consideró que “hackear información del correo electrónico constituye delito” y aseguró que “no cree que haya vacío legal”.

Según el funcionario, la Corte tipificó estas conductas como delito y, aunque falta especificación, “toda violencia contra la privacidad constituye delito contra la libertad”.
“La jurisprudencia equiparó estas conductas con los delitos contemplados dentro del Código Penal que implican intromisión de la privacidad”, dijo Weschler.

Para Gregorio Badeni, Profesor titular de Derecho Constitucional de la Universidad de Buenos Aires, la conducta no sancionada en aquel momento vulneraba las garantías consagradas en los artículos 18 y 19 de la Constitución Nacional.

El constitucionalista consideraba, además, que la conducta no castigada se encontraba tipificada en el artículo 153 del Código Penal, por lo que descartaba que existiera vacío normativo en la materia.

Otros antecedentes judiciales
Existen fallos que han equiparado la comunicación por internet o electrónica a la correspondencia epistolar y han extendido la garantía del artículo 18 de la Constitución Nacional (inviolabilidad de la correspondencia epistolar) a aquellas.

En ese sentido pueden mencionarse la sentencia dictada por la Sala I de la Cámara del Crimen en el caso “Grimberg” (2003) y la sentencia fallada por la Sala VI de la misma Cámara en el caso “Lanata”.

De la misma manera se manifestaron las Salas VIII y X de la Cámara laboral en los casos “Pereyra” (2003) y “Vestiditos S.A.” (2003)

Ya hay instaladas 120.000 cámaras entre empresas privadas y Gobierno porteño. Resta por definir a qué modelo de Ciudad Digital Segura se apunta

La acelerada implementación de aplicaciones en hardware y software de monitoreo encaminan a Capital Federal a convertirse en una Ciudad Digital Segura, entendida como la integración de voz, imágenes y datos para video vigilancia en una plataforma robusta. Sin embargo, resta definir cómo se aplicarán estas nuevas tecnologías: si contribuirán a prevenir el delito o harán del Estado un “Gran Hermano TIC”.

Una de las cientos de cámaras repartidas en la Ciudad

Según fuentes privadas, en territorio porteño ya hay instaladas unas 120.000 cámaras, de las cuales 115.000 pertenecen al mundo corporativo, 800 al Gobierno de la Ciudad y cerca de 300 están ubicadas en estaciones ferroviarias y de subterráneo.

A su vez, coexisten distintos tipos de métodos de monitoreo. Los más populares son los sistemas de videovigilancia en puntos de venta y cajeros automáticos (ATM), o de identificación de matrículas vehiculares, aunque hay mecanismos más avanzados como el de reconocimiento facial.

Éste último consiste en un procedimiento técnico de captura y comparación de rostros, que en Argentina se está poniendo a prueba en los estacionamientos de grandes centros comerciales, y se evalúa utilizarlo para operaciones bancarias: cuando la persona ingrese al cajero, mediante la video vigilancia ATM se validará que su rostro coincida con la imagen guardada en el centro de datos.

Además, en el país ya se pueden encontrar cámaras en estaciones de subte y trenes, calles y avenidas, plazas y parques, estadios de fútbol, casas, hoteles, torres, restaurantes, supermercados, cafés, kioscos y estaciones de servicio, entre otros.

El próximo paso consistiría en combinar estos equipos con los sistemas informáticos del Estado y empresas, que resulte en una plataforma robusta. Es recién en ese punto cuando entra en juego la convergencia de datos, imágenes y voz, que apuntan a facilitar la interacción de los ciudadanos con los servicios públicos y a aplicar soluciones inteligentes al transporte y la seguridad.

No obstante, mientras que el Gobierno porteño no defina un plan de Ciudad Digital, difícilmente la aplicación de estas herramientas tecnológicas se terminen traduciendo en beneficios reales para toda la población.

Fuente: http://www.canal-ar.com.ar/Noticias/Noticiamuestra.asp?Id=5974

Esta es la pregunta que genera el post de hoy. ¿Es la informática una profesión?. Lo primero que se debe hacer es tratar de definir el concepto de profesión para ver de qué estamos hablando. Acudimos al Diccionario de la Real Academia de la Lengua para encontrar como definición:

profesión.
(Del lat. profess?o, -?nis).

1. f. Acción y efecto de profesar.

2. f. Ceremonia eclesiástica en que alguien profesa en una orden religiosa.

3. f. Empleo, facultad u oficio que alguien ejerce y por el que percibe una retribución.

Dado lo escueto del significado, ampliamos en Wikipedia y tenemos que:

El concepto de profesión ha estado unido al desarrollo de la sociedad; por eso es difícil poseer una definición única, ya que existe una frontera difusa entre lo que es una ocupación y una profesión.

El uso común del concepto tiene diferentes acepciones, entre ellas: empleo, facultad u oficio que cada uno tiene y ejerce públicamente. Las profesiones son ocupaciones que requieren de un conocimiento especializado, una capacitación educativa de alto nivel, control sobre el contenido del trabajo, organización propia, autorregulación, altruismo, espíritu de servicio a la comunidad y elevadas normas éticas.

Generalmente se acepta que una profesión es una actividad especializada del trabajo dentro de la sociedad, y a la persona que la realiza se le denomina: profesional. Se refiere a menudo específicamente a una facultad, o capacidad adquirida tras un aprendizaje que puede estar relacionado a los campos que requieren estudios de:
- 1.Formación Profesional donde se adquieren los conocimientos especializados respectivos para ejercer una ocupación u oficio; o a
- 2.Estudios universitarios, Posgrado o licenciatura, tales como la psicología, derecho, medicina, enfermería, arquitectura, contaduría o la ingeniería.

Se refiere, generalmente, a la naturaleza de la ocupación, del empleo y a la forma de ejercerlo que tiene esa persona. La profesión aborda el desempeño de la práctica y la disciplina se preocupa del desarrollo del conocimiento enriqueciendo la profesión desde su esencia, y profundizando el sustento teórico de la práctica.

Tenemos en el área de la Informática además un extenso y amplio abanico de certificaciones técnicas y profesionales que capacitan para el uso o configuración de determinados sistemas informáticos.

Sin embargo, no podremos decir que la informática es una profesión mientras los malos profesionales no vayan a la cárcel por la acción negligente. En cualquier disciplina, la negligencia tiene atribuida un grado de responsabilidad y supone una sanción, multa e incluso pena de cárcel. Sin embargo, en la informática todo vale. Es una ocupación no reglada. Es curioso como en el siglo XXI, cuando la sofisticación y la optimización de la cadena de producción llega a sus mejores cotas y cuando se da por maduro el proceso de industrialización para los cuales se han desarrollado criterios de calidad y desarrollos de metodologías basadas en los conocimientos de las ingenierías formales, para la Informática sin embargo los caminos se andan al revés.

Como pude leer en los comentarios en el blog Informaticoscarm.blogspot.com, los sistemas informáticos son las soluciones maravillosas a todo problema importante. Como expresa un comentario anónimo, “Sin embargo en este país cualquier persona con un mínimo de conocimientos sobre informática ya es tildada de experta, y si tiene don de gentes y suficiente mano izquierda, no se preocupen que tarde o temprano tendrá la posibilidad de decidir sobre la informática de verdad, la que s e enseña en las Universidades, la que la gente de a pie desconoce y que sin embargo afecta a todos los ciudadanos. Y todos tan tranquilos. Ese sistema seguro que está desarrollado por personas muy capaces y cualificadas, pero que no asumen, porque la ley así lo establece, responsabilidad profesional alguna si el programa no hace lo que debe, como ocurriría en una obra civil o en la construcción de un edificio, o como ocurre en los hospitales con los médicos si cometen algún tipo de negligencia. Si el máximo responsable de este sistema informático es una persona sin el título de Ingeniería en Informática, el único que acredita de forma oficial que ha recibido formación suficiente para saber, al menos, lo que se trae entre manos no se preocupen, porque podrá seguir exhibiéndose impunemente en reuniones con otros clientes haciendo creer que si cuenta con esos conocimientos. Si, por el contrario, lo tiene, tampoco se preocupen, porque desgraciadamente habrá aparcado su ética profesional para convertirse en un gerente de cuentas de una gran firma consultora tecnológica sin más obligación personal, profesional y moral, que la de conseguir un balance positivo en su cuenta de resultados, sin que norma alguna le deje bien claro que a quien se debe, y la verdadera perjudicada en esta situación, es la sociedad española.”

Es necesario definir unos criterios de responsabilidad profesional para que la informática se transforme en una profesión y deje de ser una ocupación. No todos los trabajos pueden requerir una cualificación profesional de ingeniero pero es cierto que si un técnico fastidia en una configuración un aparato puedes ir contra su empresa para pedir daños y perjuicios, lo mismo debería ocurrir en informática. Si no ocurre la situación actual, ciudadanos, usuarios y empresas están absolutamente indefensos frente al “error informático”. Palabra por cierto que es ahora la excusa de moda ante cualquier tipo de incidente dónde no se busca determinar responsables sino dejar sin culpable el suceso.

Aunque pueda parecer un tema repetitivo o una reivindicación sin mucho sentido, en la dirección que a continuación adjunto se puede consultar un registro de los “errores o fallos informáticos” que se van produciendo. La trascendencia de algunos de ellos podría poner en peligro la vida de personas, así que no es cosa de broma que las cosas sean fiables y que quienes las lleven entre manos puedan responder en caso de negligencia.
En el blog de Hispasec aparece como post titulado “actualizaciones arriesgagas” un buen ejemplo de cuan serio es el tema.

“Una actualización de software provoca el apagado de una central nuclear
Una central nuclear en Georgia ha sido forzada recientemente a realizar un apagado de emergencia durante 48 horas tras la instalación de una actualización en un solo ordenador.
[…]
El problema se inició cuando un ingeniero de la Southern Company, que controlan la operación de tecnología de la planta, instaló una actualización de software en un ordenador de la red de control de dicha planta.

El ordenador en cuestión se utilizaba para monitorizar datos químicos y de diagnóstico de uno de los sistemas de control primarios del lugar, y la actualización se había diseñado para sincronizar los datos de ambos sistemas. Según el informe de la Comisión Reguladora de Energía Nuclear, cuando el ordenador se reinició, reinició a su vez los datos del sistema de control, provocando que los sistemas de seguridad interpretasen erróneamente que faltaba agua en las reservas que se usan para enfriar las barras de combustible nuclear. Como resultado de esto, los sistemas de seguridad automáticos de la planta provocaron el apagado.”

Existe un registro de este tipo de incidentes para dejar constancia de que el “error informático” no se debe subestimar ni minimizar. Este log de los “errores informáticos” más graves se puede consultar en The Risks Digest Volume 25: Issue 17

Atribuir responsabilidades es por así decirlo una medida de seguridad de carácter disuasorio que evita que alguien no cualificado, por ignorante, sea osado o irresponsable y asuma un trabajo para el que no está capacitado, con las consecuencias que ello supone.

Es tal la crisis de la “profesionalidad” que otras áreas tan ilustres como la medicina pueden empezar a beber de la misma “medicina” (valga la redundancia) que sufren desde hace tiempo los informáticos. En esta noticia del Diario “El País” se pone de manifiesto que frente a la escasez de médicos, se puede barajar como opción que ejerzan en la asistencia personas sin titulación.

“¿Usted qué preferiría, encontrar cerrado su centro de salud cuando va con su bebé enfermo, o que le atienda un pediatra sin título homologado? Ante la situación de extrema necesidad, la Generalitat de Cataluña optó por contratar especialistas sin título homologado para este verano.”

 

Fuente: http://seguridad-de-la-informacion.blogspot.com