LA SEGURIDAD DE LA INFORMACIÓN: PERSPECTIVA JURÍDICA E INFORMÁTICA

LA SEGURIDAD DE LA INFORMACIÓN: PERSPECTIVA JURÍDICA E INFORMÁTICA Introducidos plenamente en la denominada Sociedad de la Información, parece aceptado que la información se presenta como uno de los principales activos para cualquier Estado, organización, ciudadano, etc. La infor

Tribuna cultural

LA SEGURIDAD DE LA INFORMACIÓN: PERSPECTIVA JURÍDICA E INFORMÁTICA

Introducidos plenamente en la denominada Sociedad de la Información, parece aceptado que la información se presenta como uno de los principales activos para cualquier Estado, organización, ciudadano, etc. La información en si misma tiene valor, y su posesión genera beneficios, sintéticamente económicos a quien la administra, pues le confiere ventajas competitivas de orden superior.

La información en unos casos es el propio negocio, y en otros es un recurso, que permite incrementar la capacidad de acción del individuo, de la colectividad social, de las organizaciones, etc.

Si bien, la información por su importancia, como valor y activo estratégico -savia de las tecnologías de la comunicación-, debe ser protegida, desde y en todos los ámbitos.

De este modo, el legislador consciente de este hecho ha promulgado numerosas normas que exponen sus principios, regulan su recogida, tratamiento, cesión, suministro y aplicación, tutelando los derechos de los usuarios y demás actores implicados en los referidos procesos, y sancionando su incumplimiento.

El objetivo final de este conjunto normativo es combatir la ciberdelincuencia; el garantizar a todo individuo el derecho a la libertad de opinión y de expresión, incluyendo el de no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión; el reconocimiento y respecto de los derechos fundamentales en la red informática; la ordenación de las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, etc; el uso eficiente del espectro radioeléctrico; la imposición de sanciones a quienes intenten acceder a la información protegida, vulneren el secreto de las comunicaciones; la regulación de las telecomunicaciones y las comunicaciones electrónicas; la regulación del dominio público radioeléctrico; la regulación del uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos; promover la educación de las nuevas tecnologías de la información a la sociedad civil.

Así, esta extensa normativa que impone obligaciones, establece deberes y confiere derechos, y en caso de incumplimiento sanciones, está formada por normas supranacionales, estatales, generales y especiales, primarias y secundarias, de derecho público y privado.

En aras a una breve enumeración se referencian algunas de las más importantes, tales como la Declaración Universal de los Derechos Humanos (1948), el Pacto Internacional sobre Derechos Civiles y Políticos (1976) la Convención sobre la Eliminación de Todas las Formas de Discriminación contra la Mujer (1980); Directivas Comunitarias; La constitución Española de 1978; la Ley Orgánica de Protección de Datos (LOPD); La Ley de Servicios de la Sociedad de la Información (LSSICE); El Código Penal; La Ley General de Telecomunicaciones (LGT); Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones; uso de las tecnologías de la información y la comunicación en la Administración de Justicia; Ley de acceso electrónico de los ciudadanos a los Servicios Públicos; Ley 59/2003, Ley de Firma Electrónica, ISO/IEC 27000; Ley Orgánica sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, así como un largo etcétera.

Ahora bien, toda esta prolija normativa tienen varios objetivos: garantizar la seguridad de la información, la intimidad y privacidad de los ciudadanos, en esencia su propia dignidad, así como la regulación de los diferentes actores e intervinientes en la denominada Sociedad de la Información.

Si bien, previamente a continuar con la exposición conviene aclarar cuáles son los conceptos de seguridad, de privacidad y de intimidad.

Así según Richard Bejtlich el concepto de seguridad es un "proceso consistente en mantener un nivel aceptable de riesgo percibido".

Mientras que la intimidad se define como la zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia.

San Agustín ya lo definía como autoconciencia de la subjetividad.

La privacidad puede ser definida como el ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado y debe mantenerse confidencial.

Alguno de estos tres conceptos es más antiguo que otro, así por ejemplo Sun Tzuen en El arte de la Guerra, y Nicolás Maquiavelo en El Príncipe, ya señalaban la importancia de la información sobre los adversarios y el cabal conocimiento de sus propósitos para la toma de decisiones, destacando la importancia de la seguridad de la Información.

El primer antecedente sobre el derecho a la intimidad aparece recogido en una sentencia del año 1348 en Inglaterra. El concepto de intimidad fue definido por el juez Thomas A. Cooley en 1873.

En su caso, la primera referencia que trata el tema de la privacidad es introducida por el profesor Alan F. Westin en su obra "Privacy and Freedom" en el año 1967.

Estas reseñas históricas, permiten conocer el origen de estos conceptos, y sentar las bases de lo que posteriormente, deviene extrapolable en la realidad contemporánea, es decir, en la denominada sociedad de la información, por ello se hace preciso definir otro concepto involucrado en este contexto.

En definitiva, está referida expresión no es otra que la Seguridad de la Información, que se puede definir como el conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

En cualquier arquitectura de seguridad de la información, deben ser muy tenidos en cuenta los tres siguientes principios básicos:

Confidencialidad.

La norma ISO 27001 define la confidencialidad como: "el acceso a la información por parte únicamente de quienes estén autorizados". En el mismo sentido la norma ISO/IEC 13335-1:2004 la define como "la característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados".