La Seguridad Informática y el Control Interno, algunos criterios y apreciaciones en las entidades que no poseen (página 2)
El Decreto-Ley ya
especificado, tiene como objetivo,
establecer y regular el Sistema para la
Seguridad y
Protección de la Información Oficial, cuyas
normas deben
cumplimentar tanto los órganos organismos, entidades o
cualquier otra persona natural o
jurídica residente en el territorio nacional, como las
representaciones cubanas en el exterior. Pero marquemos
aquí nuestro tema, en el caso de una entidad que no posea
información clasificada pero este en el trafico mercantil
opere equipos computarizados y llegue incluso a tener más
de 10 o 20 microcomputadores en red o sin ellas aquellas
donde incluso nadie ocupa la plaza de informático, por que
no esta diseñada o por que los servicios de
reparación y mantenimiento
están subcontratados, con una de las entidades que se
dedican ha esto o que por cualquier razón tengan la plaza
vacía a pesar de tenerla.
El Sistema para la Seguridad y Protección de la
Información Oficial, según como es visto por el
decreto comprende la clasificación y
desclasificación de las informaciones, las medidas de
seguridad con los documentos
clasificados, la Seguridad
Informática, la Protección
Electromagnética, la Protección
Criptográfica, el Servicio
Cifrado y el conjunto de regulaciones, medidas, medios y
fuerzas que eviten el
conocimiento o divulgación no autorizados de esta
información.
La apreciación en profundidad de este tema nos
hace recapacitar sobre el concepto
¿Cuándo no estemos hablando de entidades que
posean información oficial confidencial o no que
ocurre?, ¿En que posición quedad entonces,
la parte que es componente de las Tecnologías (el
Hardware, o
componente duro de la
computadora) que se supone que al estar adquirida por una
entidad estatal y que esta debe velar por su
protección y seguridad?, ¿Será acaso que no
es necesaria la regulación del control de esta
parte y solo es necesaria la regulación y control la
información que en ellas se guarda? O ¿Si como bien
especifica el Decreto Ley, se detectan problemas
vinculados a alguna de las variantes de la clasificación
de la información que aquí se
regulan?[1]
Se puede apreciar por tanto que Seguridad Informática va mas allá de todas
aquellas medidas técnicas
que se toman directamente sobre la computadora,
la red privada de la empresa y los
parámetros de trabajo con
los medios
electrónicos, para esta norma es un concepto
más abarcador. Pero así y todo cabria preguntar
¿Estamos siendo realmente previsores, para que la
información oficial de cada entidad estatal sea realmente,
protegida salvada y eficazmente inalterable?, o
¿Serán estas aun insuficientes para el control real
de lo que sucede en las entidades una vez que se emplea una
computadora una red y hasta soportes de
otro tipo?.
Para resolver la duda planteada en relación con la
protección de los Hardware, algunos plantean que los
medios materiales,
activos fijos y
la protección en sentido general, se realiza
mediante el Decreto Ley 186, dentro de los que se incluiria por
que no los Hardware.
Si tomamos un ejemplo:
Decreto Ley 186, en su CAPITULO
III, referido a la "Responsabilidad De Los Organismos,
Órganos Y Entidades", describe en su artículo
10.- Los Jefes de los organismos y órganos, son los
máximos responsables de la
organización y control del Sistema de Seguridad y
Protección en el aparato central, instituciones
adscriptas y entidades subordinadas, de acuerdo a lo que se
establece en el presente Decreto-Ley y, para ello:
a) determinan las formas organizativas a adoptar para
garantizar los servicios de seguridad y protección, y su
alcance;
b) complementan con las medidas organizativas de control y
fiscalización de la actividad productiva o de servicios,
el Sistema de Seguridad y Protección que adopten;
c) incluyen en sus planes económicos anuales y
perspectivos, los recursos
financieros y materiales que se destinan a garantizar la
seguridad y protección;
d) aseguran, que las medidas de seguridad y
protección se contemplen desde el inicio del proceso
inversionista de nuevas construcciones, remodelaciones y
ampliaciones; y,
e) garantizan la preparación del personal de
seguridad y protección.
Seria demasiado pensar que lo planteado en esta norma
realmente puede controlar ese particular, las tecnologías
de la información poseen una gama muy propia de trabajo
sus mantenimientos, su integración composición y existencia
no tienen nada que ver con los medios básicos de
rotación o los activos fijos de
una empresa,
su único punto de coincidencia es que son medios y tienen
un valor en
precio.
Es sin dudas un esfuerzo grande el realizado por la
resolución 127 del 2007 del MIC, que si trabaja las
tecnologías de la información y no solo
cuando existe información clasificada pero lamentablemente
no solo queda en el marco de una acción
orientadora y metodológicamente, necesaria del
ministerio rector de este tema, sino que irrumpe el templo
de la no cobertura legal definir la acción de control que
deberá tenerse con estos medios, que aun falta. La
imposición de un Plan de Seguridad
Informático obligatorio, donde cada entidad deberá
definir como proteger desde sus medios hasta sus redes, no resulta lo
concretamente viable como para decir que se protegen de la
acción de personas
inescrupulosas.
Resulta interesante apreciar como a los efectos del el Decreto
Ley No. 199/99 El Ministerio del Interior será el
organismo encargado de regular, dirigir y controlar la
aplicación de la política del Estado y del
Gobierno en
cuanto a la Seguridad y Protección de la
Información, y para el cumplimiento de estas funciones se le
otorgan una serie de atribuciones expresadas en el:
Artículo No. 4: El Ministerio del
Interior es el organismo encargado de regular, dirigir y
controlar la aplicación de la política del estado y
del gobierno en cuanto a la seguridad y protección de la
información oficial y para el cumplimiento de estas
funciones, tiene las atribuciones siguientes:
a) dictar normas y procedimientos en
materia de
seguridad y protección de la información
oficial.
b) establecer los requisitos para elaborar el plan de
seguridad informática, el plan de contingencia,
así como el plan de seguridad y protección de la
información oficial clasificada y el plan de
evacuación, conservación y destrucción de la
información oficial para situaciones excepcionales y
otras que puedan poner en riesgo la
seguridad y protección de la información
oficial.
c) certificar aquellas entidades que brinden servicio de
seguridad informática y criptográfica a terceros,
así como la utilización, distribución o comercialización de herramientas
de seguridad informática.
d) regular y aprobar la producción de productos
criptográficos, la aplicación de los sistemas de
protección criptográfica y la
investigación y desarrollo
científico de esta disciplina.
e) realizar inspecciones, auditorias y
controles de la seguridad y protección a la
información oficial, incluyendo la criptográfica y
la seguridad informática.
f) promover la formación de personal calificado y el
desarrollo de la ciencia y
la tecnología en materia de seguridad y
protección a la información oficial, la seguridad
informática y la criptografía.
g) realizar las acciones
necesarias para cumplir y hacer cumplir los objetivos y
funciones determinadas en el presente decreto ley, tal y como se
establece en el articulo 66 de la constitución de la
República de Cuba.
También de ello se desprende que
será este el órgano de más alto rango para
la supervisión y control de esto, lo que de
igual modo determina pues que sea emitida por el, la
Resolución No. 6/96 MININT del 8/11/96 "Reglamento sobre
Seguridad Informática". Pero en el fondo el control es
solo reducido a la información sensible para el estado
cubano, pero el resto de la información que
igualmente es sensible ya que sería la base de auditorias
internas de controles ¿Quién La recoge comprueba o
supervisa?. Esta acción simple es la base de evitar causas
y condiciones de las actividades delictivas económicas
frecuentes en cualquier entidad estatal como
evitarlas[2].
En este tema igualmente la resolución 127/07, vuelve ha
realizar un esfuerzo, pero en nuestro criterio no esta en sus
posibilidades regular esto aunque habla sin dudas de las acciones
que cada entidad deberá realizar para que se controlen
estos medios y de los penalidades por las violaciones.
La Base Legal Vigente, en la Seguridad e
Informática:
§
Decreto Ley 199/99. Sobre la Seguridad y Protección
de la Información Oficial Clasifica.
§
Decreto Ley 186 de fecha 17 de junio
de 1998, "Sobre El Sistema De Seguridad Y Protección
Física"
§
Resolución 2328/89. MINBAS. Reglamento para el
procesamiento de la Información Clasificada y Ordinaria en
los medios de Computación.
§
Resolución 6/96 MINNIT. Reglamento sobre
Seguridad Informática.
§
Resolución 204/96. Industria Sidero Mecánica. Reglamento sobre la
Protección y Seguridad Técnica de los sistemas.
§
Resolución 188/2001 Metodología para el Acceso de las Entidades
Cubanas a Internet o a otras redes de
datos.
§
Resolución 65 /2003 Inscripción de las redes
en Agencia de Control y Supervisión del MIC.
§
Resolución 1/2000. MININT. Reglamento sobre la
Seguridad y Protección de la Información
Oficial.
§
RESOLUCIÓN No. 127 /2007 del MIC, "Reglamento De
Seguridad Para Las Tecnologías De La
Información"
III- El
Control
Interno en la actividad de la Seguridad
Informática, en entidades donde no se conserve
información clasificada y se posea tecnologías de
la información
La Resolución 297 del Ministerio de Finanzas y
Precios
emitida el 23 de Septiembre del 2003 pone en vigor nuevos
criterios para la elaboración de un Sistema de Control
Interno adaptado a las condiciones específicas de cada
entidad.
Los manuales que
conforman el Sistema de Control Interno dependen de las
actividades y funciones que realiza una entidad para el
cumplimiento de su Objetivo Social Para organizar y administrar,
se precisa diseñar el funcionamiento de cada una de las
operaciones y
actividades que se realizan. Se requiere para ello, tener
en cuenta todos aquellos elementos que posibilitan que las
operaciones, transacciones y actividades se ejecuten de manera
homogénea por las unidades organizativas de la entidad y
que cada dirigente, funcionario y trabajador conozca no
sólo las especificaciones organizativas y técnicas
de su trabajo, sino también el alcance de sus funciones y
responsabilidades.
Los Manuales de Procedimientos constituyen el medio mediante
el cual se logra documentar el funcionamiento integral de una
entidad. Además contribuyen al logro de la independencia
de los trabajadores en el desempeño de sus funciones al disponer de
todas las instrucciones necesarias para realizar su trabajo desde
todos los puntos de vista.
Uno de los Manuales lo es sin dudas el Manual de
Seguridad e Informática de la entidad, donde la
institución deberá regular todos y cada uno de sus
acciones para el empleo
explotación y uso de las tecnologías de la
información, es sin dudas una eficaz herramienta de
control y supervisión del accionar de la entidad en
cualquiera de las esferas de la actividad empresarial; Pero
¿Regulara aquí la
administración, los especialistas que lo elaboran y
sobre todo los que participan en la actividad aquellas acciones
que darán pie a la realización de
pequeños actos delictivos o el simple desvió de los
recursos del estado? ¿Estaremos en condiciones reales de
obstaculizar y frenar nosotros mismos de forma independiente la
acción ilegal que estamos
transitando?[3] .
El proceso de implementación de la resolución
297/03, ha sido uno de los Objetivos estatales más
abordado y encomendado a las autoridades empresarial de la
sociedad
cubana, al punto de llegar a proyectarse acciones de carácter nacional para su ejecución
como controles nacionales y hasta la instrumentación de regulaciones normativas,
una de ellas es la Resolución 26 del 2006, del
MAC de 25 de enero del 2006.
Componente No. 4 Información y Comunicación Normas de Información y
Comunicación.
Información y responsabilidad.
·
Revisar si se encuentran debidamente documentados y
autorizados por la autoridad
competente, los sistemas de información, tanto manuales
como informáticos, utilizados en la entidad.
·
Comprobar si está definida la responsabilidad en la
revisión, aprobación y actualización de los
sistemas de
información utilizados por la organización.
·
Verificar si se le suministran a los directores, jefes de
departamentos y especialistas a cada nivel la información
necesaria para cumplir con sus responsabilidades, de acuerdo con
los plazos de entrega establecidos en el sistema de
información de la entidad.
·
Examinar si la información externa es recibida y
emitida en tiempo, de
acuerdo con los plazos establecidos.
Contenido, calidad, flujo de
la información y flexibilidad al cambio.
·
Verificar si la entidad tiene diseñado el (los)
flujo(s) de información y si su contenido está
debidamente actualizado, a partir de los cambios ocurridos en el
entorno interno y externo de la entidad, tanto desde el punto de
vista normativo como organizacional.
·
Comprobar el cumplimiento de los procedimientos previstos en
el sistema de información referidos a la detección,
recepción y procesamiento de la información
externa, relacionada con las:
-
condiciones del mercado interno y
externo;
-
clientes y proveedores,
tanto nacionales como extranjeros; y
-
cambios normativos de los órganos y organismos de la
Administración del Estado facultados para
ello.
·
Evaluar la utilización del presupuesto
aprobado para adquirir, mejorar o desarrollar nuevos sistemas de
información sustentados o no en las tecnologías de
información.
La Resolución 26 en cuestión solo reafirma que
será la entidad con la formación y difusión
de los valores
éticos y morales entre sus trabajadores,
funcionarios y dirigentes la que pondrá fin a los
problemas en la actividad de la seguridad. ¿Será la
ética
los valores y la
conciencia hoy la
que impida que personas inescrupulosas con cargos o sin
ellos, pero con acceso a los medios computarizados los
empleen, alteren y
utilicen?[4]
Pero la resolución ya mencionada habla de un
término que en esta esfera de la Seguridad
Informática, resulta importante y muy manejado Plan de
Seguridad Informática, la Resolución 6 del MININT,
refiere entonces los Planes rectores de la actividad.
VARIANTES DE DELITOS en la Seguridad
Informática
1.
Pérdidas de información por violación de
normas.
2.
Robo de Información.
3.
Mensajes en cadena.
4.
Mensajes subversivos y de contenido c/r.
5.
Contaminación con virus
informáticos.
6.
Fraude financiero.
7.
Apropiación de claves de acceso.
8.
Robo de computadoras,
accesorios y soportes.
DEFICIENCIAS más comunes detectadas en las
auditorias Responsable de Seguridad Informática:
No está concebido el cargo.
Se designa a un personal no calificado.
No cuenta con el equipamiento y los derechos necesarios para
realizar sus funciones.
El Plan de Seg. Informática no se encuentra actualizada
o no refleja la realidad.
No se realiza el análisis de riesgos.
No se planifican las inspecciones y/o auditorias internas.
Deficiente seguridad física en locales (servidores y
áreas).
No se realizan las salvas de la información.
Antivirus no instalados o no actualizados.
No implementar, en los servidores, directivas de cuentas y
contraseñas.
No revisar periódicamente las trazas de los eventos que se
producen en las redes.
Poco dominio de la
Base Legal de la Seguridad Informática
Responsable de Seguridad Informática:
PLANES RECTORES establecidos para la Seguridad
Informática
•
Plan de Seguridad Informática: Documento
básico que establece los principios
organizativos y funcionales de la actividad de Seguridad
Informática , a partir de las políticas
y conjunto de medidas aprobadas sobre la base de los resultados
obtenidos en el análisis de riesgo previamente
realizado.
•
Plan de Contingencia: Documento básico contenido
dentro del Plan de Seguridad Informática, donde se
establecen las medidas para restablecer y dar continuidad a los
procesos
informáticos ante una eventualidad o desastre.
Pero en esencia la profundidad, de la ejecución es solo
competencia de la
entidad ya que en cada uno designa y establece que será el
máximo dirigente de la entidad,
IV- La presencia
en el Sistema de Dirección y Gestión
Empresarial y Papel, de esta actividad en el desarrollo del
mismo
La implementación del Sistema de
Dirección y Gestión
Empresarial definido en sus Bases Generales Del
Perfeccionamiento Empresarial, puestas en vigor por el Decreto
ley 187 para la empresa estatal
cubana, modificadas hoy por los Decreto Ley No. 252 y
Decreto Ley No. 281 relacionados con "Sobre La
Continuidad Y El Fortalecimiento Del Sistema De Dirección
Y Gestión
Empresarial Cubano" y "Reglamento Para
La Implantación Y Consolidación Del Sistema De
Dirección Y Gestión Empresarial Estatal"
respectivamente, constituyen la guía y el instrumento de
dirección para que las organizaciones
empresariales puedan, de forma ordenada, realizar las
transformaciones necesarias con el objetivo de lograr la
máxima eficiencia y
eficacia en su
gestión.
El perfeccionamiento de la empresa estatal tiene como objetivo
central incrementar al máximo su eficiencia y competitividad, sobre la base de otorgarle las
facultades, y establecer las políticas, principios y
procedimientos, que propendan al desarrollo de la iniciativa, la
creatividad y
la responsabilidad de todos los jefes y trabajadores.
El Perfeccionamiento Empresarial, se rige por las
políticas del Partido Comunista de Cuba, del Estado y del
Gobierno, tiene como objetivo supremo garantizar el desarrollo de
un sistema empresarial organizado, disciplinado, ético,
participativo, eficaz y eficiente, que genere mayores aportes a
la sociedad socialista y que todas las empresas se
conviertan en organizaciones de alto reconocimiento social.
Es decir el Perfeccionamiento Empresarial, constituye
hoy la fuente más eficaz y dinámica de lograr buenos resultados con el
empleo de todos los recursos de la entidad laboral.
En el Decreto Ley No. 281, en su Capítulo
XVII, referido al Sistema Informativo
Artículo 634: Cada empresa debe contar
con un reglamento de la información, tanto interna como
externa, …..
Artículo 635: La empresa que utilice
sistemas
contables-financieros soportados sobre las tecnologías
de la información (los soportes de respaldo de la
información y los programas
respectivos), se deberán mantener en condiciones de
operatividad como establece la legislación
vigente.
Artículo 636: El director general de
la organización superior de dirección o la empresa
son los únicos facultados para establecer nuevas
informaciones técnicas cambiando o modificando el sistema
actual. Las solicitudes de información establecidas por
los jefes de los Organismos superiores deberán cumplirse
en tiempo y forma.
La acción del Perfeccionamiento Empresarial,
sobre la Seguridad Informática, resulta al igual que el
resto de los mecanismos empleados, resulta en especial
insuficiente para un control real donde solo se reitera la
propuesta de autonomía empresarial y desarrollo
individual[5].
El papel del Empresario en
la esfera de la Seguridad Informática:
La acción del Empresario, sobre la Seguridad
Informática, resulta al igual de significativa
importancia en el esta el centro de la acción Empresarial
no funcionaria el sistema ni la actividad misma, ni las medidas
administrativas físicas y de otro tipo de no existir una
figura de responsabilidad respeto y que sea
capas de aplicar las políticas y tareas de la
dirección empresarial.
Ahora bien si el resto de los mecanismos
empleados, resultan insuficientes para un control real de los
medios y tecnologías de la información donde
solo se reitera la propuesta de autonomía empresarial y
desarrollo individual. El empresario como figura rectora del
trabajo de la entidad resulta ser el eje de la acción
positiva o no de la entidad estatal concreta
V-
Conclusiones
1.
No existe legislación específica para la
protección de los Hardware, dentro del sistema de
seguridad de las entidades estatales, que no poseen
información clasificada, a pesar del esfuerzo de la
resolución 127 del 2007 del MIC, quedándose
sin protección legal real.
2.
No existe legislación que controle que la
información sensible de la entidad estatal dígase
Balance económico, inventario de
medios de rotación, estado de los útiles y
herramientas actas del Consejo de Dirección y del
Comité de Control Interno tengan la
protección adecuada.
3.
La proyección de medidas que obstaculicen la acción
ilegal de trabajadores, funcionarios y dirigentes que deseen
emplear la actividad estatal y en específico la que se
forma a partir del uso de las Computadoras y las
tecnologías de la información es
meramente conciente.
4.
Que los manuales los procedimientos, establecidos como mecanismos
de control Interno, son diseñados por la propia
empresa y controlados por ella misma y sus órganos
colegiados, los que de forma conciente darán las soluciones de
la situación que pueda formarse.
5.
El SDCE, diseñado y fortalecido que representa el
nivel más grande en sentido general, para la empresa
estatal es aun insuficiente en el control real de las
disímiles situaciones que podrían generar la
ocurrencia de delitos,
violaciones e ilegalidades dentro del trabajo con los medios
Informáticos.
Autor:
Lic. Leoncio Abreu Aday
Abogado de la Consultoría Jurídica
Transconsul.
Lic. Edrisis Yaser Morales Jova
Abogado de la ONBC, Santa Clara 1
[1] Esta es la primera
conclusión del trabajo no existe legislación
especifica para la protección de los Hardware, cuando no
hablamos de entidades que no posean información
clasificada. A pesar del esfuerzo de la resolución 127 del
2007 del MIC
[2]Esta es la
conclusión No 2 del trabajo, no existe
legislación que controle que la información
sensible de la entidad estatal dígase Balance
económico, inventario de medios de rotación, estado
de los útiles y herramientas actas del Consejo de
Dirección y del Comité de Control Interno tengan
la protección adecuada. Ya que el ministerio del
Interior es rector de la información oficial, cada entidad
de lo suyo según la 127 y quienes supervisan, comprueban y
conservan de manera rotundamente segura la información de
la entidad y que podría ser de uso incluso de
comprobaciones y auditorias
internas
[3] Esta sería la
conclusión No 4 del trabajo: la proyección de
medidas que obstaculicen la acción ilegal de trabajadores,
funcionarios y dirigentes que deseen emplear la actividad estatal
y en especifico la que se forma a partir del uso de las
Computadoras y las tecnologías de la
información es meramente conciente, a
pesar a la implementación de los sistemas de
control Interno que resultan mejor que la ley cuando son
concientes y de pleno conocimiento
por sus actores principales
[4] La conclusión
No 5 sería que los manuales los procedimientos de control
son diseñados por la propia empresa y controlados por ella
misma y sus órganos colegiados.
[5] Esta es la sexta
conclusión de Trabajo con un nivel más grande de
control en sentido general pero SDCE es aun insuficiente en el
control real de las computadoras sus componentes y de realizarse
sería el ideal ya que seria el conciente pero ¿Se
hace?
 Página anterior | Volver al principio del trabajo | Página siguiente  |