Descargar

La Seguridad Informática y el Control Interno, algunos criterios y apreciaciones en las entidades que no poseen (página 2)

Enviado por habanos325

Partes: 1, 2

El Decreto-Ley ya especificado,  tiene como objetivo, establecer y regular el Sistema para la Seguridad y Protección de la Información Oficial,  cuyas normas deben cumplimentar tanto los órganos organismos, entidades o cualquier otra persona natural o jurídica residente en el territorio nacional, como las representaciones cubanas en el exterior. Pero marquemos aquí nuestro tema, en el caso de una entidad que no posea información clasificada pero este en el trafico mercantil opere equipos computarizados y llegue incluso a tener más de 10 o 20 microcomputadores en red o sin ellas aquellas donde incluso nadie ocupa la plaza de informático, por que no esta diseñada o por que los servicios de reparación y mantenimiento están subcontratados, con una de las entidades que se dedican ha esto o que por cualquier razón tengan la plaza vacía a pesar de tenerla.   

El Sistema para la Seguridad y Protección de la Información Oficial, según como es visto por el decreto  comprende la clasificación y desclasificación de las informaciones, las medidas de seguridad con los documentos clasificados, la Seguridad Informática, la Protección Electromagnética, la Protección Criptográfica, el Servicio Cifrado y el conjunto de regulaciones, medidas, medios y fuerzas que eviten el conocimiento o divulgación no autorizados de esta información.

 La apreciación en profundidad de este tema nos hace recapacitar sobre el concepto ¿Cuándo no estemos hablando de entidades que posean información oficial confidencial o no que ocurre?, ¿En que posición quedad entonces, la parte que es componente de las Tecnologías (el Hardware, o componente duro de la computadora) que se supone que al estar adquirida por una entidad  estatal y que esta debe velar por su protección y seguridad?, ¿Será acaso que no es necesaria la regulación del control de esta parte y solo es necesaria la regulación y  control la información que en ellas se guarda? O ¿Si como bien especifica el Decreto Ley, se detectan problemas vinculados a alguna de las variantes de la clasificación de la información que aquí se regulan?[1]

Se puede apreciar por tanto que   Seguridad Informática va mas allá de todas aquellas medidas técnicas que se toman directamente sobre la computadora,  la red privada de la empresa y los parámetros de trabajo con los medios electrónicos,  para esta norma es un concepto más abarcador. Pero así y todo cabria preguntar ¿Estamos siendo realmente previsores, para que la información oficial de cada entidad estatal sea realmente, protegida salvada y eficazmente inalterable?, o ¿Serán estas aun insuficientes para el control real de lo que sucede en las entidades una vez que se emplea una computadora una red y hasta soportes de otro tipo?.

Para resolver la duda planteada en relación con la protección de los Hardware, algunos plantean que los medios materiales, activos fijos y la protección en sentido general,  se realiza mediante el Decreto Ley 186, dentro de los que se incluiria por que no los Hardware.

  Si  tomamos un ejemplo: 

Decreto Ley 186, en su  CAPITULO III, referido a la "Responsabilidad De Los Organismos, Órganos Y Entidades", describe en su artículo 10.- Los Jefes de los organismos y órganos, son los máximos responsables de la organización y control del Sistema de Seguridad y Protección en el aparato central, instituciones adscriptas y entidades subordinadas, de acuerdo a lo que se establece en el presente Decreto-Ley y, para ello:

a) determinan las formas organizativas a adoptar para garantizar los servicios de seguridad y protección, y su alcance;

b) complementan con las medidas organizativas de control y fiscalización de la actividad productiva o de servicios, el Sistema de Seguridad y Protección que adopten;

c) incluyen en sus planes económicos anuales y perspectivos, los recursos financieros y materiales que se destinan a garantizar la seguridad y protección;

d) aseguran, que las medidas de seguridad y protección se contemplen desde el inicio del proceso inversionista de nuevas construcciones, remodelaciones y ampliaciones; y,

e) garantizan la preparación del personal de seguridad y protección.

Seria demasiado pensar que lo planteado en esta norma realmente puede controlar ese particular, las tecnologías de la información poseen una gama muy propia de trabajo sus mantenimientos, su integración composición y existencia no tienen nada que ver con los medios básicos de rotación o los activos fijos de una empresa, su único punto de coincidencia es que son medios y tienen un valor en precio.

Es sin dudas un esfuerzo grande el realizado por la resolución 127 del 2007 del MIC, que si trabaja las tecnologías de la información  y no solo cuando existe información clasificada pero lamentablemente no solo queda en el marco de una acción orientadora y metodológicamente, necesaria  del ministerio rector de este tema,  sino que irrumpe el templo de la no cobertura legal definir la acción de control que deberá tenerse con estos medios, que aun falta. La imposición de un Plan de Seguridad Informático obligatorio, donde cada entidad deberá definir  como proteger desde sus medios hasta sus redes, no resulta lo concretamente viable como para decir que se protegen de la acción de personas inescrupulosas.     

Resulta interesante apreciar como a los efectos del el Decreto Ley No. 199/99 El Ministerio del Interior será el organismo encargado de regular, dirigir y controlar la aplicación de la política del Estado y del Gobierno en cuanto a la Seguridad y Protección de la Información, y para el cumplimiento de estas funciones se le otorgan una serie de atribuciones expresadas en el:

Artículo No. 4: El Ministerio del Interior es el organismo encargado de regular, dirigir y controlar la aplicación de la política del estado y del gobierno en cuanto a la seguridad y protección de la información oficial y para el cumplimiento de estas funciones, tiene las  atribuciones siguientes:

a) dictar normas y procedimientos en materia de seguridad y protección  de la información oficial.

b) establecer los requisitos para elaborar el plan de seguridad informática, el plan de contingencia,  así como el plan de seguridad y protección de la información oficial clasificada y el plan  de evacuación, conservación y destrucción de la información oficial para situaciones excepcionales  y otras que puedan poner en riesgo la seguridad y protección de la información oficial.

c) certificar aquellas entidades que brinden servicio de seguridad informática y criptográfica a terceros, así como la utilización, distribución o comercialización de herramientas de seguridad informática.

d) regular y aprobar la producción de productos criptográficos, la aplicación de los sistemas de protección criptográfica y la investigación y desarrollo científico de esta disciplina.

e) realizar inspecciones,  auditorias y controles de la seguridad y protección a la información oficial, incluyendo la criptográfica y la seguridad informática.

f) promover la formación de personal calificado y el desarrollo de la ciencia y la tecnología  en materia de seguridad y protección a la información oficial, la seguridad informática y la criptografía.

g) realizar las acciones necesarias para cumplir y hacer cumplir los objetivos y funciones determinadas en el presente decreto ley, tal y como se establece en el articulo 66 de la constitución de la República de Cuba.

 También  de ello se desprende que será este el órgano de más alto rango para la supervisión y control de esto, lo que de igual modo determina pues que sea emitida por el,  la Resolución No. 6/96 MININT del 8/11/96 "Reglamento sobre Seguridad Informática". Pero en el fondo el control es solo reducido a la información sensible para el estado cubano, pero el resto de la información  que igualmente es sensible ya que sería la base de auditorias internas de controles ¿Quién La recoge comprueba o supervisa?. Esta acción simple es la base de evitar causas y condiciones de las actividades delictivas económicas frecuentes en cualquier entidad estatal como evitarlas[2]. 

En este tema igualmente la resolución 127/07, vuelve ha realizar un esfuerzo, pero en nuestro criterio no esta en sus posibilidades regular esto aunque habla sin dudas de las acciones que cada entidad deberá realizar para que se controlen estos medios y de los penalidades por las violaciones. 

La Base Legal Vigente, en la Seguridad e Informática:

§         Decreto Ley 199/99. Sobre la Seguridad y Protección de la Información Oficial Clasifica.

§         Decreto Ley 186 de fecha  17 de junio de 1998, "Sobre El Sistema De Seguridad Y Protección Física"

§         Resolución 2328/89. MINBAS. Reglamento para el procesamiento de la Información Clasificada y Ordinaria en los medios de Computación.

§         Resolución 6/96 MINNIT. Reglamento sobre Seguridad  Informática.

§         Resolución 204/96. Industria Sidero Mecánica. Reglamento sobre la Protección y Seguridad Técnica de los sistemas.

§         Resolución  188/2001 Metodología para el Acceso de las Entidades Cubanas  a Internet o a otras redes de datos.

§         Resolución 65 /2003 Inscripción de las redes en Agencia de Control y Supervisión del MIC.

§         Resolución 1/2000. MININT. Reglamento sobre la Seguridad y Protección de la Información Oficial.

§         RESOLUCIÓN No. 127 /2007 del MIC, "Reglamento De Seguridad Para Las Tecnologías De La Información"

III- El  Control Interno en la actividad  de la Seguridad Informática, en entidades donde no se conserve información clasificada y se posea tecnologías de la información

La Resolución 297 del Ministerio de Finanzas y Precios emitida el 23 de Septiembre del 2003 pone en vigor nuevos criterios para la elaboración de un Sistema de Control Interno adaptado a las condiciones específicas de cada entidad.

Los manuales que conforman el Sistema de Control Interno dependen de las actividades y funciones que realiza una entidad para el cumplimiento de su Objetivo Social Para organizar y administrar, se precisa diseñar el funcionamiento de cada una de las operaciones y actividades que se realizan.  Se requiere para ello, tener en cuenta todos aquellos elementos que posibilitan que las operaciones, transacciones y actividades se ejecuten de manera homogénea por las unidades organizativas de la entidad y que cada dirigente, funcionario y trabajador conozca no sólo las especificaciones organizativas y técnicas de su trabajo, sino también el alcance de sus funciones y responsabilidades.

Los Manuales de Procedimientos constituyen el medio mediante el cual se logra documentar el funcionamiento integral de una entidad.  Además contribuyen al logro de la independencia de los trabajadores en el desempeño de sus funciones al disponer de todas las instrucciones necesarias para realizar su trabajo desde todos los puntos de vista.

Uno de los Manuales lo es sin dudas el Manual de Seguridad e Informática de la entidad, donde la institución deberá regular todos y cada uno de sus acciones para el empleo explotación y uso de las tecnologías de la información, es sin dudas una eficaz herramienta de control y supervisión del accionar de la entidad en cualquiera de las esferas de la actividad empresarial;  Pero ¿Regulara aquí la administración, los especialistas que lo elaboran y sobre todo los que participan en la actividad aquellas acciones que darán pie a la realización de  pequeños actos delictivos o el simple desvió de los recursos del estado? ¿Estaremos en condiciones reales de obstaculizar y frenar nosotros mismos de forma independiente la acción ilegal que estamos transitando?[3] .

El proceso de implementación de la resolución 297/03, ha sido uno de los Objetivos estatales más abordado y encomendado a las autoridades empresarial de la sociedad cubana, al punto de llegar a proyectarse acciones de carácter nacional para su ejecución como controles nacionales y hasta la instrumentación de regulaciones normativas, una de ellas es  la Resolución 26 del 2006, del MAC  de 25 de enero del 2006. 

Componente No. 4 Información y Comunicación Normas de Información y Comunicación.

Información y responsabilidad.

·         Revisar si se encuentran debidamente documentados y autorizados por la autoridad competente, los sistemas de información, tanto manuales como informáticos, utilizados en la entidad.

·         Comprobar si está definida la responsabilidad en la revisión, aprobación y actualización de los sistemas de información utilizados por la organización.

·         Verificar si se le suministran a los directores, jefes de departamentos y especialistas a cada nivel la información necesaria para cumplir con sus responsabilidades, de acuerdo con los plazos de entrega establecidos en el sistema de información de la entidad.

·         Examinar si la información externa es recibida y emitida en tiempo, de acuerdo con los plazos establecidos.

Contenido, calidad, flujo de la información y flexibilidad al cambio.   

·         Verificar si la entidad tiene diseñado el (los) flujo(s) de información y si su contenido está debidamente actualizado, a partir de los cambios ocurridos en el entorno interno y externo de la entidad, tanto desde el punto de vista normativo como organizacional.

·         Comprobar el cumplimiento de los procedimientos previstos en el sistema de información referidos a la detección, recepción y procesamiento de la información externa, relacionada con las:

-                           condiciones del mercado interno y externo;

-                           clientes y proveedores, tanto nacionales como extranjeros; y

-                           cambios normativos de los órganos y organismos de la Administración del Estado facultados para ello.

·         Evaluar la utilización del presupuesto aprobado para adquirir, mejorar o desarrollar nuevos sistemas de información sustentados o no en las tecnologías de información.

La Resolución 26 en cuestión solo reafirma que será la entidad con la formación y difusión de los valores éticos y morales  entre sus trabajadores, funcionarios y dirigentes la que pondrá fin a los problemas en la actividad de la seguridad. ¿Será la ética los valores y la conciencia hoy la que impida que personas inescrupulosas con cargos o sin ellos,  pero con acceso a los medios computarizados los empleen, alteren y utilicen?[4]       

Pero la resolución ya mencionada habla de un término que en esta esfera de la Seguridad Informática, resulta importante y muy manejado Plan de Seguridad Informática, la Resolución 6 del MININT, refiere entonces los Planes rectores de la actividad.

VARIANTES DE DELITOS  en la Seguridad Informática

1.       Pérdidas de información por violación de normas.

2.       Robo de Información.

3.       Mensajes en cadena.

4.       Mensajes subversivos y de contenido c/r.

5.       Contaminación con virus informáticos.

6.       Fraude financiero.

7.       Apropiación de claves de acceso.

8.       Robo de computadoras, accesorios y soportes.

DEFICIENCIAS más comunes detectadas en las auditorias Responsable de Seguridad Informática:

No está concebido el cargo.

Se designa a un personal no calificado.

No cuenta con el equipamiento y los derechos necesarios para realizar sus funciones.

El Plan de Seg. Informática no se encuentra actualizada o no refleja la realidad.

No se realiza el análisis de riesgos.

No se planifican las inspecciones y/o auditorias internas.

Deficiente seguridad física en locales (servidores y áreas).

No se realizan las salvas de la información.

Antivirus no instalados o no actualizados.

No implementar, en los servidores, directivas de cuentas y contraseñas.

No revisar periódicamente las trazas de los eventos que se producen en las redes.

Poco dominio de la Base Legal de la Seguridad Informática

Responsable de Seguridad Informática:

PLANES RECTORES establecidos para la Seguridad Informática

•          Plan de Seguridad Informática: Documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática , a partir de las políticas y conjunto de medidas aprobadas sobre la base de los resultados obtenidos en el análisis de riesgo previamente realizado.

•          Plan de Contingencia: Documento básico contenido dentro del Plan de Seguridad Informática, donde se establecen las medidas para restablecer y dar continuidad a los procesos informáticos ante una eventualidad o desastre.

Pero en esencia la profundidad, de la ejecución es solo competencia de la entidad ya que en cada uno designa y establece que será el máximo dirigente de la entidad, 

IV- La presencia  en el Sistema de Dirección y Gestión Empresarial y Papel, de esta actividad en el desarrollo del mismo

La  implementación del Sistema  de Dirección y Gestión Empresarial definido en sus  Bases Generales Del Perfeccionamiento Empresarial, puestas en vigor por el Decreto ley 187 para la  empresa estatal cubana, modificadas hoy por los Decreto Ley No. 252 y  Decreto Ley No. 281 relacionados con  "Sobre La Continuidad Y El Fortalecimiento Del Sistema De Dirección Y Gestión Empresarial Cubano"   y  "Reglamento Para La Implantación Y Consolidación Del Sistema De Dirección Y Gestión Empresarial Estatal" respectivamente, constituyen la guía y el instrumento de dirección para que las organizaciones empresariales puedan, de forma ordenada, realizar las transformaciones necesarias con el objetivo de lograr la máxima eficiencia y eficacia en su gestión.

El perfeccionamiento de la empresa estatal tiene como objetivo central incrementar al máximo su eficiencia y competitividad, sobre la base de otorgarle las facultades, y establecer las políticas, principios y procedimientos, que propendan al desarrollo de la iniciativa, la creatividad y la responsabilidad de todos los jefes y trabajadores.

 El Perfeccionamiento Empresarial, se rige por las políticas del Partido Comunista de Cuba, del Estado y del Gobierno, tiene como objetivo supremo garantizar el desarrollo de un sistema empresarial organizado, disciplinado, ético, participativo, eficaz y eficiente, que genere mayores aportes a la sociedad socialista y que todas las empresas se conviertan en organizaciones de alto reconocimiento social.

Es decir el  Perfeccionamiento Empresarial, constituye hoy la fuente más eficaz y dinámica de lograr buenos resultados con el empleo de todos los recursos de la entidad laboral.

En el Decreto Ley No. 281, en su  Capítulo XVII,  referido al Sistema Informativo

Artículo 634: Cada empresa debe contar con un reglamento de la información, tanto interna como externa, …..

Artículo 635: La empresa que utilice sistemas contables-financieros soportados sobre las tecnologías de la información  (los soportes de respaldo de la información y los programas respectivos),  se deberán mantener en condiciones de operatividad como  establece la legislación vigente.

Artículo 636: El director general de la organización superior de dirección o la empresa son los únicos facultados para establecer nuevas informaciones técnicas cambiando o modificando el sistema actual. Las solicitudes de información establecidas por los jefes de los Organismos superiores deberán cumplirse en tiempo y forma.

La acción del  Perfeccionamiento Empresarial, sobre la Seguridad Informática, resulta al igual que el resto de los mecanismos empleados, resulta en especial insuficiente para un control real donde solo se reitera la propuesta de autonomía empresarial y desarrollo individual[5].

El papel del Empresario en la esfera de la  Seguridad Informática:

La acción del  Empresario, sobre la Seguridad Informática, resulta al igual  de significativa importancia en el esta el centro de la acción Empresarial no funcionaria el sistema ni la actividad misma, ni las medidas administrativas físicas y de otro tipo de no existir una figura de responsabilidad respeto y que sea capas de aplicar las políticas y tareas de la dirección empresarial.

   Ahora bien si el resto de los mecanismos empleados, resultan insuficientes para un control real de los medios y tecnologías de la información  donde solo se reitera la propuesta de autonomía empresarial y desarrollo individual. El empresario como figura rectora del trabajo de la entidad resulta ser el eje de la acción positiva o no de la entidad estatal concreta

V- Conclusiones

1.                  No existe legislación específica para la protección de los Hardware, dentro del sistema de seguridad de las entidades estatales,  que no poseen información clasificada, a pesar del esfuerzo de la resolución 127 del 2007 del MIC,  quedándose sin protección legal real.

2.                  No existe legislación que controle que la información sensible de la entidad estatal dígase Balance económico, inventario de medios de rotación, estado de los útiles y herramientas actas del Consejo de Dirección y del Comité de Control Interno tengan la  protección adecuada.  

3.                  La proyección de medidas que obstaculicen la acción ilegal de trabajadores, funcionarios y dirigentes que deseen emplear la actividad estatal y en específico la que se forma a partir del uso de las Computadoras y las tecnologías de la información   es meramente  conciente.  

4.                  Que los manuales los procedimientos, establecidos como mecanismos de control Interno,  son diseñados por la propia empresa y controlados por ella misma y sus órganos colegiados, los que de forma conciente darán las soluciones de la situación que pueda formarse.

5.                  El SDCE, diseñado y fortalecido que representa el  nivel más grande en sentido general, para la empresa estatal  es aun insuficiente en el control real de las disímiles situaciones que podrían generar la ocurrencia de delitos, violaciones e ilegalidades dentro del trabajo con los medios Informáticos.   

 

 

   

 

 

Autor:

Lic. Leoncio Abreu Aday

Abogado de la Consultoría Jurídica

Transconsul.

Lic. Edrisis Yaser Morales Jova

Abogado de la ONBC, Santa Clara 1

[1] Esta es  la primera conclusión del trabajo no existe legislación especifica para la protección de los Hardware, cuando no hablamos de entidades que no posean información clasificada. A pesar del esfuerzo de la resolución 127 del 2007 del MIC

[2]Esta es  la conclusión No 2  del trabajo, no existe legislación que controle que la información sensible de la entidad estatal dígase Balance económico, inventario de medios de rotación, estado de los útiles y herramientas actas del Consejo de Dirección y del Comité de Control Interno tengan la  protección adecuada. Ya que el ministerio del Interior es rector de la información oficial, cada entidad de lo suyo según la 127 y quienes supervisan, comprueban y conservan de manera rotundamente segura la información de la entidad y que podría ser de uso incluso de comprobaciones y auditorias internas       

[3] Esta sería la  conclusión No 4 del trabajo:  la proyección de medidas que obstaculicen la acción ilegal de trabajadores, funcionarios y dirigentes que deseen emplear la actividad estatal y en especifico la que se forma a partir del uso de las Computadoras y las tecnologías de la información   es meramente  conciente, a pesar a la implementación de los sistemas de control Interno que resultan mejor que la ley cuando son concientes y de pleno conocimiento por sus actores principales   

[4] La conclusión  No 5 sería que los manuales los procedimientos de control son diseñados por la propia empresa y controlados por ella misma y sus órganos colegiados.

[5] Esta es la sexta conclusión de Trabajo con un nivel más grande de control en sentido general pero SDCE es aun insuficiente en el control real de las computadoras sus componentes y de realizarse sería el ideal ya que seria el conciente pero ¿Se hace?   

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente