sistemas de gestiÓn documental - upbbga.edu.co · es claro que los sistemas informáticos...

SISTEMAS DE GESTIÓN DOCUMENTAL

ELECTRÓNICOS:

Hacia el Archivo Electrónico

Mag. Erick Rincón Cárdenas

1. Introducción a la Seguridad de la Información

Administración de información: comprende la realización deuna o varias de las siguientes actividades: recolección,suministro, tratamiento, circulación y uso de la información ytodas aquellas actividades relacionadas directamente con elmanejo de la información, en los términos de la presente ley.

Seguridad de la Información vs Seguridad Informática

ADMINISTRACIÓN.

RECOLECCIÓN.

SUMINISTRO.

TRATAMIENTO.

CIRCULACIÓN.

USO. DE INFORMACIÓN.


Existen cuatro tipos de información:

1. Pública: puede obtenerse sin reserva alguna.

2. Semi-privada: se obtiene con cierto grado de limitación.

3. Privada: se obtiene solo por orden judicial.

4. Reservada: no puede ser legalmente obtenida.


PRINCIPIOS HABEAS DATA:

a) Principio de veracidad o calidad de los registros o datos.

b) Principio de finalidad.

c) Principio de circulación restringida.

d) Principio de temporalidad de la información.

e) Principio de interpretación integral de derechos constitucionales.

f) Principio de seguridad.

g) Principio de confidencialidad.


La Información es un activo muy importante en cualquier Organización;

Veamos las razones:


SENTENCIA CORTE SUPREMA DE JUSTICIA

Rad. No. 2007-00230 4 de septiembre de 2007

• En el curso de Tribunal de Arbitramento, la parte demandante solicitó la práctica

de una inspección judicial con exhibición de documentos en la sede de una de las

sociedades demandadas, relacionada con sus libros y papeles de comercio

relacionados con los hechos de la demanda.

• Durante la práctica de la prueba, el apoderado de la demandante solicitó su

ampliación a la correspondencia cruzada entre distintos funcionarios de la

empresa, incluyendo mensajes de correo electrónico.

• Con la intervención de un técnico en sistemas, se revisaron las cuentas de correo

en los computadores de los funcionarios y en el servidor general de la empresa.

Los resultados fueron almacenados en CDs.

Descripción:



Rad. No. 2007-00230 - 4 de septiembre de 2007

• El Tribunal de Arbitramento definió “cautelas” sobre la información obtenida y al

cierre de la diligencia, las partes se declararon satisfechas con la metodología

utilizada.

• Funcionarios cuyas cuentas de correo fueron objeto de la inspección (no partes

del proceso), alegaron violación a sus derechos a la intimidad e inviolabilidad de

correspondencia y pidieron al Tribunal la devolución de los CDs para su

destrucción. La solicitud fue negada.

• Los funcionarios interpusieron una acción de tutela que fue negada por el Tribunal

Superior del Distrito Judicial de Medellín.

• El fallo fue impugnado por los accionantes ante la Corte Suprema de Justicia.

Descripción:




• ¿Prima el derecho a la intimidad e inviolabilidad de la correspondencia sobre el

derecho al debido proceso?

• ¿Cuál es la naturaleza de la información cursada a través del correo electrónico

corporativo de un empleado? ¿De quién es la información en los computadores de

la empresa empleadora?

• ¿Existe diferencia entre la información contenida en correos electrónicos

corporativos ([email protected]) y la contenida en correos personales

([email protected])?

PROBLEMAS JURÍDICOS:

mailto:[email protected]

mailto:[email protected]

• Para fines probatorios, los mensajes electrónicos de datos se asimilan a los

documentos y les son aplicables las normas del Código de Procedimiento Civil

sobre prueba documental.

• Tanto el derecho al debido proceso (derecho a la prueba) como los derechos a la

intimidad e inviolabilidad de la correspondencia, tienen límites. Entre los límites a

estos últimos se encuentran las órdenes judiciales.

• Las cautelas tomadas por el Tribunal de Arbitramento aseguraron que en este

caso se guardara “el debido equilibrio” entre el derecho a la prueba y el derecho a

la intimidad e inviolabilidad de correspondencia.

• No se concede el amparo solicitado y se confirma la decisión del Tribunal Superior

de Medellín.

DECISIÓN DE LA CORTE:




“De tenerse que efectuar la revisión de contenidos de los mensajes grabados en

los discos compactos, el Tribunal de Arbitramento deberá respetar el derecho a

la intimidad de los trabajadores de X, en relación con los mensajes de datos

que, luego de la verificación que el Tribunal realice, ostenten carácter privado o

personal de los funcionarios. (…)

Así mismo, el Tribunal de Arbitramento, en su momento, adoptará las medidas

que permitan la devolución a los interesados, o la destrucción si fuere necesaria,

de los mensajes de datos incorporados en los indicados cd’s que tengan el

carácter de personales o privados de los trabajadores de la empresa (…)”





“(…) el hecho del intercambio que los aludidos empleados pudieron haber

realizado de mensajes personales a través de direcciones de correo electrónico

que no pueden considerarse particulares, por ser de la empresa y tener por fin

primordial servir de herramienta laboral para sus propósitos sociales, no les

permite a ellos, como terceros, alterar los resultados de la prueba, en tanto que

la misma versó sobre la correspondencia de la compañía tocante con sus

negocios y con los hechos debatidos en el correspondiente proceso arbitral (…)

Cuestión diferente ocurriría, se itera, si los mensajes de datos captados en la

inspección judicial hubieran sido extraídos de direcciones de correo electrónico

cuyos titulares exclusivos fueran los empleados (…) para acceder legítimamente

a tales documentos, la prueba de exhibición tendría que dirigirse contra dichas

personas (…)”






SENTENCIA T-405/07 Corte Constitucional, Rad. No. T-1532838

24 de mayo de 2007

• CL, empleada de la Asociación de Pensionados del Seguro Social de Bolívar

(ADPISSBOL), creó en el computador portátil que le había asignado ADPISSBOL

una carpeta personal donde introdujo fotografías personales en las que ella

aparecería desnuda.

• El abogado de ADPISSBOL solicitó el uso del portátil de CL y se percató de las

fotografías. Dio aviso a la rep. legal, quien mandó imprimir las fotos, exigió la

renuncia de CL, mostró las fotos a la Junta Directiva de la empresa y a los

familiares de CL.

• A pesar de que no es del todo claro, se asume que el uso que CL le dio al

computador portátil violó las normas de la empresa.

• CL demandó a la rep. legal de ADPISSBOL para que cesara en su conducta.

Descripción

“… las fotografías estaban guardadas en una carpeta personal perteneciente a

CL. El hecho de que se tratara de una herramienta de trabajo compartida, no

autorizaba a ningún miembro de la Institución el ingreso, no consentido, a

archivos personales ajenos… Pretende asimismo la demandante (sic) justificar

su proceder… con el señalamiento de un uso indebido de los elementos de

trabajo… Sin embargo, para poner de presente este hecho no necesitaba exhibir

el contenido de la información personal… Le hubiese bastado con emitir un

informe sobre lo que consideraba uso indebido… para adoptar las

determinaciones de contenido disciplinario… no puede considerarse que el

hecho de que hubiese sido transitoriamente depositada… en el computador

institucional comporte un consentimiento implícito para el acceso y divulgación

de la misma… quienes ingresaron a ella debieron superar los controles técnicos

usuales para el acceso a un archivo de computador…”



SENTENCIA T-405/07 Corte Constitucional, Rad. No. T-1532838

24 de mayo de 2007


CORTE CONSTITUCIONAL - SENTENCIA No. T-686 / 07

31 de agosto de 2007

• Con fundamento en los datos contenidos en el sistema de información del

Juzgado, en relación con la fecha de notificación personal del auto admisorio de la

demanda, el apoderado de la parte demandada en proceso civil presentó su

contestación a la demanda en el último día del plazo establecido en el C.P.C.

• El Juzgado no tuvo en cuenta la contestación por extemporánea, pues el plazo

había vencido un día antes. La fecha real de la notificación era anterior a la que

aparecía en el sistema de información.

• El apoderado de la parte demandada interpuso los recursos de ley, todos los

cuales fueron negados.

Descripción

CORTE CONSTITUCIONAL

SENTENCIA No. T-686 / 07


• El apoderado interpuso acción de tutela en contra de los despachos judiciales

involucrados, aduciendo violación al debido proceso, a la buena fe y al acceso a la

administración de justicia. Alegó la existencia de un error judicial.

• En primera instancia, el Tribunal Superior del Distrito Judicial de Bogotá denegó el

amparo solicitado, por cuanto “la omisión de consultar directamente el expediente

sólo denota descuido en la vigilancia de las actuaciones procesales por parte del

apoderado”.

• El fallo del Tribunal fue confirmado en segunda instancia por la Sala de Casación

Civil de la Corte Suprema de Justicia.

• El expediente arribó a la Corte Constitucional en trámite de revisión.

HECHOS:




• ¿Cuál es el valor probatorio de la información contenida en los sistemas

computarizados a los que tienen acceso los ciudadanos en los despachos

judiciales?

• ¿Puede considerarse la información sobre el historial de los procesos y las fechas

de las actuaciones registradas en los computadores dispuestos en los despachos

judiciales para la consulta del público, como un equivalente funcional de los

escritos, que pueda reemplazar la revisión directa del expediente en relación con

los datos que se comunican a través de aquellos sistemas de información?

PROBLEMA JURÍDICO:




• La no atribución de carácter oficial a los datos registrados en el sistema de información

computarizada de los juzgados desconoce la existencia de normas legales que regulan la

materia.

• La utilización de los sistemas de información sólo se justifica si los ciudadanos pueden confiar

en los datos que en ellos se registran.

• Se presentó un defectuoso funcionamiento de la administración de justicia, al ingresar en el

sistema de información una fecha de notificación errónea.

• Ocurrió igualmente un error judicial por cuanto el Juez negó el carácter de equivalente

funcional de la información en sus sistemas y expidió una providencia contraria a la ley.

• La Corte revoca las decisiones anteriores y concede el amparo.





“(…) no cabe duda que la información sobre el historial de los procesos que

aparece registrada en los computadores de los juzgados tiene el carácter de un

“mensaje de datos”, por cuanto se trata de información comunicada a través de

un medio electrónico (…) Asimismo, la emisión de este tipo de mensajes de

datos puede considerarse un “acto de comunicación procesal”, por cuanto a

través de ella se pone en conocimiento de las partes, de terceros o de otras

autoridades judiciales o administrativas las providencias y órdenes de jueces y

fiscales en relación con los procesos sometidos a su conocimiento. Finalmente,

es claro que los sistemas informáticos utilizados por los despachos judiciales

para generar, enviar, archivar o procesar tales mensajes de datos configuran un

“sistema de información” para los efectos de la Ley 527.”





“(…) puede concluirse que, de acuerdo a la legislación vigente y a la

interpretación que ha hecho de ella la jurisprudencia constitucional en sentencias

de constitucionalidad con efectos erga omnes, los mensajes de datos que

informan sobre el historial de los procesos y la fecha de las actuaciones

judiciales, a través de las pantallas de los computadores dispuestos en los

despachos judiciales para consulta de los usuarios, pueden operar como

equivalente funcional a la información escrita en los expedientes, en relación con

aquellos datos que consten en tales sistemas computarizados de información.”

(Subrayas fuera del texto)





• 2. Los Riesgos de la Información

– Que es un riesgo;

– Identificación de riesgos;

– Clasificación de los riesgos;

– Mitigación del riesgo.

El riesgo surge como resultado de un proceso inadecuado, una fallainterna humana o de sistemas, o de eventos de carácter externo.

Según el Crédit Suisse es el inadecuado potencial impacto adverso en eldesarrollo de las operaciones.

Para qué sirve un SGSI

Para que todo sistema de una entidad esté controlado, garantizadoprotegido ante un fracaso, evento de pérdida o destrucción.

2. Los Riesgos de la Información

3. La integración horizontal o vertical cada fusión o adquisición obliga aintegrar mecanismos y sistemas de información.

4. La continua necesidad de ofrecer nuevos servicios que obligan a mantenerestrictos controles de seguimiento.

5. El aumento de la tercerización u outsourcing de los servicios fundamentalesy accesorios de las entidades.

Factores de generación de riesgo

1. El incremento de la tecnología que puede transformar los riesgos manualespor procesamientos de información o fallas en los sistemas integrados.

2. El crecimiento del e-commerce.

MODERN

Management

Weakness

Organizational

Deficiencies

Defective

Execution

Methods

Wanting

Professional

Skills

Planeación de los Riesgosde la Información

IT - ORIENTED

Wanting

Security

Gaps

in infrastructure

Substandard

Documentation

Obsolete

Technology

Planeación de los Riesgos de la Información

11

Planeación de

los Riesgos de la Información

RIESGOS

Confidencialidad

Integridad

Autenticación

No Repudio

MEDIDAS DE

PREVENCION

Papel, Confirmación

telefónica, VPNs,

Encripción

Contraseña y PIN,

Autenticación

Multifactorial, Tokens

RSA, PKI y Certificados

Digitales Confiables,

Biométrica

PKIs Locales con Marco

Legal, PKI Global con

infraestructura legal

privada

Confidencialidad: el sistema de seguridad debe contener especificaciones técnicas que aseguren que los datos

suministrados en la operación electrónica solo podrán ser entendidos por las partes intervinientes de la misma,evitando manipulación de información.

Integridad: es de vital importancia que los datos que se suministran por intermedio de la red no sean objeto demodificaciones en su viaje entre los intervinientes, por tal razón el sistema de seguridad deberá detectarcualquier modificación hecha a la información.

No repudio: mediante los sistemas de identificación se asegura que las partes intervinientes de la transacciónno puedan negar su intervención en ella y la autoría de su mensaje.

Control de Acceso: debe lograrse restringir el acceso a las redes y a la información confidencial por parte deusuarios no autorizados. La importancia de este aspectos recae en la especial protección a la información de losusuarios y a la información confidencial de los establecimientos bancarios.

2. Los Riesgos de la Información

3. Marco Legal Aplicable

– 1. Equivalencia Funcional de los Actos electrónicos: La función jurídica que cumple lainstrumentación escrita y autógrafa respecto de todo acto jurídico, o su expresión oral,la cumple igualmente la instrumentación electrónica a través de un mensaje de datos.

– 2. No se altera ni modifica el actual régimen del derecho de las obligaciones y contratosprivados.

– 3. La neutralidad tecnológica: Este principio propende porque las normas del Comercioelectrónico, puedan abarcar las tecnologías que propiciaron su reglamentación, asícomo las tecnologías que se están desarrollando y están por desarrollarse.

Información generada, enviada o recibida por medios electrónicos Artículo 1 de la Ley 527 de 1999.

Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en:

No alteración de la información en el proceso de comunicación electrónica. Es decir que la información no sea adicionada o sustraída y se mantenga inalterada. En el formato electrónico podrán existir varios originales del mismo documento siempre y cuando los mismos garanticen su integridad. Artículo 8 y 9 de la Ley 527 de 1999.

Escrito = Mensaje de Datos

Original = Integridad

© 2009 Certicámara S.A. Todos los derechos reservados

AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA

Procedimiento de algoritmos matemáticos que con la intervención de una entidad de Certificación Digital permite garantizar la identidad del firmante, la integridad de la información y los compromisos adquiridos con la información y su envío. Artículo 7, 28 y 30 de la ley 527 de 1999.

Los Artículos 12 y 13 son aplicables a la conservación por medios electrónicos.

Conservación y Archivo = Mensaje de Datos

Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en:

Firma Manuscrita = Firma Digital (Autenticidad, Integridad y No Repudio)

© 2009 Certicámara S.A. Todos los derechos reservados

AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA

Artículo 11 de la Ley 527 de 1999

“Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente”.

• Autenticidad

• Integridad

• No repudio

• Confidencialidad

• Trazabilidad

Lo que debe saber es que…

• Otras Normas

– Ley 794

– Ley 962

– Ley 1150

– Ley 1266

– Circular 052 de 2007

– Circular 041 de 2007

– ISO 27001

4. Temas Claves de la Seguridad de la Información en una

Organización

Análisis de riesgos: la base de todo el sistema de gestión

SGSI: 1-Política

SGSI: 2-Organización

SGSI: 3-Gestión de activos

SGSI: 4-Personal

SGSI: 5-Seguridad Física

SGSI: 6-Comunicaciones y operaciones

SGSI: 7-Control de acceso

SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.

SGSI: 9-Gestión de incidentes

SGSI: 10-Gestión continuidad del negocio

SGSI: 11-Legislación Vigente

sistemas de gestiÓn documental - upbbga.edu.co · es claro que los sistemas informáticos...

Documents