Los riesgos en los procedimientos de seguridad informática están
dirigidos a la posibilidad de que con estos se afecten otros derechos involucrados en el sistema. Existen vulneraciones al derecho a la intimidad de los trabajadores, terceros o usuarios, cuando en la investigación de incidentes de seguridad se dañan o ponen en peligro datos o informaciones personales, mediante la revelación o la propia destrucción de estos. La investigación que permite el C.P.P. para la recolección de elementos materiales de prueba y evidencia física, para la penalización de delitos informáticos constituyen una nueva responsabilidad penal, si no se respetan las normas vigentes. Hay forma de adelantar procedimientos legítimos de investigación de delitos informáticos sin que esto constituya un delito contra la intimidad y otros bienes jurídicos. El objetivo es reducir o prevenir el riesgo jurídico de los administradores del sistema de información. Estipular una política de seguridad clara en cuanto al uso de los sistemas de información (NTC- 17799 y 27002 de 2005). Los términos de uso y las políticas de seguridad de un sistema de información publico o privado deben ser conocidos y aceptados por todos los usuarios, a través del consentimiento como manifestación de la voluntad. Aplicación del principio de “beneficencia informática” para los activos de información. Aplicación del principio de relevancia jurídica frente a los incidentes de seguridad. Aplicación de las causales de ausencia de responsabilidad. La posición de garante frente los activos de información. Es un documento legal para la definición de los sistemas de información, de los activos y de las responsabilidades legales y contractuales. Implica responsabilidades y derechos que deben ser conocidos y aceptados por las partes, mediante un acuerdo de voluntades. Como contrato, es ley para las partes y debe ser ejecutado de buena fe. Todo el ordenamiento jurídico tiene vigencia dentro de la política de seguridad. Definirse claramente los procedimientos de seguridad informática que permitirán unas reglas de juego en la investigación (Debido Proceso). El usuario deberá conocer y aceptar las políticas mediante su consentimiento, el cual comprende entre otras, la posibilidad de ser monitoreado (Valoración ética del consentimiento). Son aquellos que se “activan” con ocasión de un incidente de seguridad en un sistema de información y deben estar definidos: ◦ Monitorización: actividades de registro, supervisión, protección y actividades diarias (NTC- ISO 27002). ◦ Evaluación de los controles de sistema de gestión de la seguridad. ◦ Recolección de pruebas digitales: sobre bases de datos, equipos o registros electrónicos. En sí, todas aquellas actividades que realiza el administrador de un sistema de información para controlar y proteger los activos de la información y orientar al personal en el uso. Finalidad: identificar el responsable de una conducta e implementar las practicas para proteger los activos de información y aportar elementos materiales de prueba para una investigación. Son aquellos que se “activan” con ocasión de un incidente de seguridad en un sistema de información y deben estar definidos: ◦ Monitorización: actividades de registro, supervisión, protección y actividades diarias (NTC- ISO 27002). Queda proscrito todo registro o allanamiento sobre bienes ajenos sin previa orden del juez competente (Art. 14 Ley 906 del 2004). Lo propio sucede con las bases de datos restringidas al uso publico. La monitorización en una política de seguridad es una actividad privada que se realiza sobre bienes propios, donde basta la autorización por su titular, siempre que no se afecten derechos fundamentales. Finalidad del procedimiento es garantizar el ejercicio del derecho informático y a la información. Puede suceder que esta monitorización recaiga sobre efectos personales, entonces la política debe ser clara en la forma como deben disponerse, los datos e información personal. Son aquellos que se “activan” con ocasión de un incidente de seguridad en un sistema de información y deben estar definidos: ◦ Recolección de pruebas digitales: sobre bases de datos, equipos o registros electrónicos. En virtud del derecho de contradicción, las partes tendrán derecho a conocer y a controvertir pruebas, así como intervenir en el proceso de formación de las evidencias físicas o elementos materiales probatorios (Art. 15 Ley 906 de 2004). Deberá ser recolectada, preservada y presentada ante la autoridad competente, conforme a las reglas de los códigos de procedimiento civil y penal. Finalidad: demostrar la existencia de una responsabilidad por el uso o el abuso de un sistema de información. Los usuarios del sistema pueden tener información personal dentro del sistema: ◦ Datos relativos al individuo. ◦ Documentos de propiedad intelectual. ◦ Información confidencial.
Si esta información se llegare a conocer o a
destruir con ocasión de un procedimiento puede incurrirse e un delito. Estos procedimientos están motivados por la protección de los siguientes bienes jurídicos tutelados por el Estado: ◦ De la violación a la intimidad, reserva e interceptación de comunicaciones. ◦ De la protección a la información y a los datos.
Todo el proceso sancionatorio penal o disciplinario
gira en torno a estos dos intereses. Problema ético: Es viable que el consentimiento dado de manera previa y general, pueda ser utilizado para la renuncia a derechos fundamentales? Los derechos fundamentales son derechos subjetivos que están protegidos por un interés publico y que son esenciales para la vida en comunidad, por ende son indisponibles. Es por esto que en un conflicto de derechos, tendrá aplicación preferente el de mayor jerarquía. No se podrán anteponerse derechos fundamentales, para beneficiarse del propio dolo. Estaría justificada una monitorización a un sistema de información cuando con ello se pretenden proteger intereses legítimos y no como mecanismo de seguimiento personal (Art. 223 Ley 906 del 2004). Pese a la existencia de la libertad en la formación de la prueba, corresponde a la fiscalía dirigir y coordinar la investigación.
ACTUACIONES QUE NO REQUIEREN AUTORIZACIÓN JUDICIAL PREVIA PARA
SU REALIZACIÓN: ◦ ARTÍCULO 213. INSPECCIÓN DEL LUGAR DEL HECHO. Inmediatamente se conozca la ocurrencia de un incidente. ◦ ARTÍCULO 215. INSPECCIONES EN LUGARES DISTINTOS AL DEL HECHO. ◦ ARTÍCULO 216. ASEGURAMIENTO Y CUSTODIA. La prueba debe ser recolectada y custodiada adecuadamente, respetando el derecho a la intimidad. ◦ ARTÍCULO 219. PROCEDENCIA DE LOS REGISTROS Y ALLANAMIENTOS. En los casos de flagrancia y cuando existan indicios de una conducta punible previo el diligenciamiento de una proforma y ser ordenado por el fiscal. No podrá recaer sobre comunicaciones personales. Requiere el consentimiento del propietario del bien. Son responsables por los activos de información quienes la crean, la administran y la usan. Recae sobre las redes, los equipos, los documentos, las bases de datos y sobre la información (Ley 1273 del 2009). También sobre las condiciones de uso, frente a lo cual se acepta un reglamento, mediante un consentimiento expreso. ◦ Entre otras, sobre la conservación de archivos y fuentes de carácter personal, sobre lo cual existen conflictos en los procedimientos. ◦ Al respecto, la exigencia seria en que el usuario no conserve archivos de carácter personal, o relativos a su persona dentro del sistema de información privado, porque esto puede dañar o afectar los activos de información del titular. ◦ Si los conserva, que se clasifiquen en carpetas separadas que permitan la monitorización sin intervención a efectos personales. Hace analogía al mismo principio aplicado en la medicina, según el cual el medico deberá determinar que es lo mas conveniente para un paciente, así esto represente alguna lesión para el paciente, con el animo de propender su bienestar. En este caso, la intervención a los sistemas de información propios se justifica gracias al consentimiento del usuario para garantizar la mejor gestión de la seguridad, lo cual no implica una facultad ilimitada, sino mas bien ajustada a los derechos que puedan verse afectados. Si en una monitorización o en una recolección probatoria se presenta de manera inintencionada un conocimiento de información privada o reservada, no se producirá lesión a los bienes jurídicos si esta información no es revelada y si la finalidad del procedimiento es preservar la seguridad informática. De la violación a la intimidad, reserva e interceptación de comunicaciones
◦ Artículo 192. Violación ilícita de comunicaciones. El que
ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impida una comunicación privada dirigida a otra persona, o se entere indebidamente de su contenido …
Los procedimientos de seguridad informática pueden
representar intervenciones sobre efectos personales, que bajo la forma de comunicaciones tengan datos o creaciones intelectuales que están protegidas. De la violación a la intimidad, reserva e interceptación de comunicaciones
◦ “Artículo 194. Divulgación y empleo de documentos
reservados. Modificado por el art. 25, Ley 1288 de 2009. El que en provecho propio o ajeno o con perjuicio de otro divulgue o emplee el contenido de un documento que deba permanecer en reserva…”
Los usuarios del sistema informático pueden contar con
documentos o datos referentes a la persona que no pueden ser desconocidos con ocasión de un procedimiento informático, lo cual incluye, por acción o por omisión, la divulgación o aprovechamiento de los datos personales (Art. 25 Ley 599 de 2000). De la violación a la intimidad, reserva e interceptación de comunicaciones
◦ “Artículo 195. Acceso abusivo a un sistema
informático. Modificado por el art. 25, Ley 1288 de 2009, Derogado por el art. 4, Ley 1273 de 2009. El que abusivamente se introduzca en un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo …”
La política de seguridad o los términos de uso, deben
comprender la posibilidad de realizar monitorización de los archivos personales. En virtud del derecho de propiedad intelectual, un usuario de un sistema de información podría mantener excluido de sus efectos personales a cualquier persona, aduciendo protección a la intimidad. Es un derecho fundamental que protege la esfera privada de las personas para que no sea molestada por terceros, en todos los aspectos de su vida que solo atañen a su titular. Hay dos expresiones: la inviolabilidad del domicilio y de las comunicaciones.
Tiene una doble connotación:
◦ es el conjunto de hechos íntimos – privados. ( lo que esta fuera del conocimiento de los extraños) ◦ el derecho a la intimidad es una dimensión de la esfera de la libertad individual que debe estar protegida de la coacción El objeto de protección del derecho fundamental al hábeas data es el dato personal que tiene como características: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Corte Constitucional, Sentencia C – 1011 de 2008, M.P. Jaime
Córdoba Triviño Cuando diversos principios constitucionales entran en colisión, corresponde al juez constitucional no sólo estudiar la constitucionalidad de la finalidad perseguida por la medida examinada sino, además, examinar si la reducción del derecho es proporcionada, a la luz de la importancia del principio afectado. Debe el juez -determinar si el trato diferente y la restricción a los derechos constitucionales son "adecuados" para lograr el fin perseguido
-sison "necesarios", en el sentido de que no exista
otro medio menos oneroso en términos de sacrificio de otros principios constitucionales para alcanzar el fin perseguido
--si son "proporcionados stricto sensu", esto es,
que no se sacrifiquen valores y principios que tengan un mayor peso que el principio que se pretende satisfacer.” Para atender los intereses del titular y los derechos de terceros, es preciso atender a este principio, según el cual pretende resolver un dilema o juicio ético de proteger un derecho frente al otro, cuando el principio afectado es más importante que el otro.
•Para investigar un sistema informático, se podrán intervenir
incluso los archivos personales, para determinar la ocurrencia de un incidente de seguridad. •Esta facultad está limitada al deber de mantener reservada la información confidencial. •En la recuperación de un sistema informático, deberá primar la protección a los datos informáticos, por encima de los programas o redes que la componen. •Si de la ocurrencia de incidentes de seguridad se produce la afectación a valores superiores como la vida, la integridad física, la dignidad del titular o la libertad, deberá privilegiarse su protección sobre otros derechos. •Ante el daño y la pérdida de información primará el derecho a la información privilegiada que a los datos públicos o que no representen información confidencial. Es un limite para el legislador y para las partes a la hora de determinar el alcance de las disposiciones legales o contractuales, en la política de seguridad, para determinar la gravedad de las conductas y las consecuencias jurídicas acordes con estas. “El legislador, en ejercicio de las competencias constitucionales de las que es titular, puede establecer procedimientos distintos y consagrar regímenes diferenciados para el juzgamiento y tratamiento penitenciario de delitos y contravenciones, pudiendo, incluso, realizar diferenciaciones dentro de cada uno de estos grupos, en la medida en que unos y otros se fundamenten en criterios de razonabilidad y proporcionalidad que atiendan una valoración objetiva de elementos tales como, la mayor o menor gravedad de la conducta ilícita, la mayor o menor repercusión que la afectación del bien jurídico lesionado tenga en el interés general y en el orden social, así como el grado de culpabilidad, entre otros.” sentencia C-592/98 (M.P. Fabio Morón Díaz) El procedimiento de investigación se justifica si existen elementos que permitan inferir la ocurrencia de un hecho. Si el procedimiento se inicia por otras razones como la conveniencia o la mera liberalidad, se estaría atentando contra los derechos del individuo. La investigación debe centrarse en los daños efectivamente ocurridos sobre los sistemas de información, los activos, las bases de datos y la información. No puede basarse en presunciones infundadas o por razones personales. Una investigación debe fundarse sobre resultados objetivos que afecten o pongan en riesgo los activos informáticos. En los procedimientos de seguridad informática no habrá responsabilidad y por ende no podría ser culpable el administrador de activos de información, si su actuar se encuentra fundado: Artículo 32. Ausencia de responsabilidad. No habrá lugar a responsabilidad penal cuando: ◦ “Num. 2. Se actúe con el consentimiento válidamente emitido por parte del titular del bien jurídico, en los casos en que se puede disponer del mismo.” Los procedimientos que se apoyen en la política de seguridad estarán amparados por esta causal, pues cuentan con autorización del titular para proceder a la investigación. ◦ “Num. 7. Se obre por la necesidad de proteger un derecho propio o ajeno de un peligro actual o inminente, inevitable de otra manera, que el agente no haya causado intencionalmente o por imprudencia y que no tenga el deber jurídico de afrontar. “ El administrador o investigador esta facultado para intervenir los sistemas de información cuando exista un peligro de perdida o destrucción de información reservada o privilegiada. El desarrollo del procedimiento de seguridad informática, pone al administrador o al investigador en el deber jurídico de impedir el resultado frente a los bienes jurídicos tutelados por el Estado, asumiendo la posición de garante: Artículo 25. Acción y omisión. La conducta punible puede ser realizada por acción o por omisión.
Son constitutivas de posiciones de garantía las siguientes
situaciones: Cuando se asuma voluntariamente la protección real de una persona o de una fuente de riesgo, dentro del propio ámbito de dominio. Las intervenciones sobre los sistemas de información están legitimadas por el consentimiento dado en los términos de uso, en protección de los intereses privados gracias a la política de seguridad. Todo daño a los sistemas de información público o privado, tiene consecuencias identificables, cuando este es relevante frente a los bienes jurídicos tutelados. Tales intervenciones pueden recaer sobre efectos de la esfera privada del individuo, pero amparados en el consentimiento para el uso del sistema, y dando aplicación a la posición de garante, podrá conocerse la verdad sobre los hechos, gracias al deber de mantener reservada la información confidencial y reservada de todos los individuos.
Lenguaje Corporal: Cómo decodificar el comportamiento humano y analizar a las personas con técnicas de persuasión, PNL, escucha activa, manipulación y control mental para leer a las personas como un libro.
La Agenda 2030 Al Descubierto 2021-2050: Crisis Económica e Hiperinflación, Escasez de Combustible y Alimentos, Guerras Mundiales y Ciberataques (El Gran Reset y el Futuro Tecno-Fascista Explicado)