Hola Compañeros y tutor RAMSES RIOS, mi nombre es Francisco Javier Pulido Amaya, soy estudiante de especialización en seguridad informática de la Universidad Nacional Abierta y a Distancia, Hoy hablaremos de los Aspectos éticos y legales de la seguridad informática en Colombia
Es importante realizar un análisis de la ética en nuestra profesión, en especial las situaciones a las cuales nos enfrentamos en el día a día, valiéndonos de nuestra experiencia y apoyándonos en el conocimiento del código de ética de cada profesión, donde se analizan las distintas conductas, enfocados en el cómo actuar, de acuerdo a los criterios existentes para poder medir las situaciones, esto nos lleva dentro de las buenas conductas como profesionales íntegros capaces de afrontar los retos diarios enfocados a ser profesionales honestos y responsables.
En la mayoría de empresas o entidades el manejo de información, se presenta un fenómeno que tiene que ver con la ingeniería social, debido a su aumento, el riesgo se ha incrementado valiéndose de las redes sociales, en las cuales algunos trabajadores o funcionarios, publican o muestran, documentos privados, en redes como Facebook, pensando que solo ellos, o personas cercanas pueden ver su contenido, exponiendo la confidencialidad y derechos de autor con este tipo de publicaciones,
De igual manera al completar su perfil y dejándolo de acceso público, todo el mundo puede ver su actividad, a que se dedican, gustos, grupo de amigos, fotos de paseos y demás, el cual pone en riesgo su privacidad y la de cercanos, donde todo este tipo de conductas pueden ser rastreadas para ser opciones de un ilícito mediante fraudes o capturas de información y de allí estar cayendo en violación de confidencialidad, los usuarios pueden incurrir en conductas en las cuales generan cambios o modificaciones de documentos que pueden ser favorables hacia ellos.
Debido a los niveles de seguridad y manejo de información pasando también por riesgos como la eliminación o falsificación de documentos, el manejo interno de memorias usb o dispositivos extraíbles de procedencia dudosa, los cuales pueden generar problemas de seguridad sobre los equipos de las empresas, tanto para la información saliente como la entrante, la misma divulgación de contraseñas que se realizan entre funcionarios, por simple pereza de cambio de perfil o por la complejidad de la misma, convirtiéndose en víctimas potenciales de captura de información, que eventualmente podría ser utilizada para algún delito o desinformación.
Una de las formas en que las empresas se blindan para su propia tranquilidad es la de comprometer a los trabajadores para que sea de exigencia, cumplimiento y responsabilidad, la firma de acuerdos de confidencialidad donde se caracterizan las responsabilidades de acceso a documentos confidenciales, bases de datos con información clasificada, este tipo de información conlleva una responsabilidad y valor ético dentro del ejercicio de la profesión debido a su naturaleza de privacidad y no divulgación sin autorización expresa
Nosotros como profesionales de la seguridad informática tenemos la responsabilidad de dar cumplimiento a las políticas , planes, leyes que tienen como objeto la salvaguarda de la información, debemos estructurar dentro de nuestras labores bajo los criterios y normatividad vigente comprendiendo los contenidos de las leyes que nos cobijan,
Como lo es la ley 1273 de 2009
La cual en su encabezado nos dice
"Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones".
A continuación vamos a presentar algunos ejemplos donde se aplica la ley 12 73
Persona desvinculada de una entidad o empresa que tenga acceso a los servidores o servicios de la misma y se conecte luego de la desvinculación. Incurrirá en la conducta definida en el Artículo 269A: Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
Podría tener una pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Individuos que corten desconecten o destruyan equipos o medios de trasmisión sin ser los propietarios de los mismos
Estarían tomando la conducta definida en el Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones
Incurrirá en pena de prisión de cuarenta y ocho a noventa y seis meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.
Individuos que intercepten chucen o realicen conexiones indebidas hacia un sistema ajeno, vía inalámbrica, cableada, para capturas de datos como voz ip, paquetes ip, y datos digitales.
Lo describe el Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte
Incurrirá en pena de prisión de treinta y seis a setenta y dos meses.
Individuos que eliminen información de la empresa a donde tienen o tenían acceso, manipulen la información donde no están autorizados para estar o acceder.
Estarán incurriendo en lo descrito en el Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos,
Incurrirá en pena de prisión de cuarenta y ocho a noventa y seis meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Instalación venta o distribución de ramsomware, troyanos, malware, keylogger bloatware
Lo cual se describe en el artículo 269E: Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos,
Incurriendo en pena de prisión de cuarenta y ocho a noventa y seis meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Al Copiar, robar o manipular datos no propios, con los cuales se logre acceder a datos personales para ser sustraídos y divulgados públicamente
Está definido por el Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes.
Incurrirá en pena de prisión de cuarenta y ocho a noventa y seis meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Así como lo oyeron son algunas de las penas y conductas castigadas y definidas en la ley 1273, de esta forma como profesional de la seguridad informática se aconseja a todas las personas que se encuentren directamente relacionados con sistemas informáticos estar al tanto de estas leyes, tener conciencia de lo que se hace, aplicando los valores y ética aprendida desde el hogar hasta los códigos de conducta de los ingenieros o profesionales.
Muchas gracias por su atención y hasta la próxima
Acontinuacion el link de youtube con el video
