Revista de Derecho

ISSN: 0121-8697
rderecho@uninorte.edu.co
Universidad del Norte
Colombia

elasco Melo, Arean Hernando

El derecho informtico y la gestin de la seguridad de la informacin una perspectiva con base en la
norma ISO 27 001
Revista de Derecho, nm. 29, junio, 2008, pp. 333-366
Universidad del Norte
Barranquilla, Colombia

Disponible en: http://www.redalyc.org/articulo.oa?id=85102913

Cmo citar el artculo

Nmero completo
Sistema de Informacin Cientfica
Ms informacin del artculo Red de Revistas Cientficas de Amrica Latina, el Caribe, Espaa y Portugal
Pgina de la revista en redalyc.org Proyecto acadmico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto
EL DERECHO INFORMTICO Y
LA GESTIN DE LA SEGURIDAD
DE LA INFORMACIN
UNA PERSPECTIVA CON BASE EN LA
NORMA ISO 27 001

Arean Hernando Velasco Melo*

* Abogado de la Universidad del Norte de Barranquilla. Magster en Informtica y

Derecho de la Universidad Complutense de Madrid (Espaa). Especialista en Regulacin
y Gestin de las Telecomunicaciones de la Universidad Externado de Colombia. Estudios
de Negociacin Avanzada en Harvard Law School. Estudios de Propiedad Intelectual
en la OMPI. Asesor y consultor en temas de Derecho de Tecnologas de la Informacin
y las Comunicaciones y en Seguridad de la Informacin. Miembro de la rma Velasco,
Calle & DAlleman. Abogados. www.iustic.net

REVISTA DE DERECHO
N 29, Barranquilla, 2008
ISSN: 0121-8697

333
 Resumen

Este artculo pretende informar sobre la existencia y diversas modalidades

que incluye el Derecho informtico y crear conciencia acerca de la
posicin que deben tomar los diversos actores econmicos en la era de
la informacin para asegurar una adecuada poltica de seguridad de la
informacin que, ante la falta de una legislacin nacional sobre el tema,
debe basarse en los estndares internacionales, el derecho comparado
y autonoma de la voluntad. La metodologa empleada para explicar
las diversas reas de impacto es la seguida por la norma ISO 27001 en
el dominio que hace referencia al cumplimiento y que comprende: La
proteccin de datos personales; la contratacin de bienes informticos
y telemticos; el derecho laboral y prestacin de servicios, respecto
de la regulacin de aspectos tecnolgicos; los servicios de comercio
electrnico; la propiedad intelectual, y el tratamiento de los incidentes
informticos.
Palabras claves: TICs, informacin, seguridad, derecho infor-
mtico.

Abstract

This article seeks to provide information about the existence and

various disciplines of Information Technology Law and to create
awareness about the position to be taken by the various economic
players in the information age to ensure an adequate information
security policy that, in the absence of a national regulation on the
matter, has to be based on international standards, comparative
law and the autonomy of will. The methodology employed to
explain the various areas of impact is that of the ISO 27001 standard
in its domain about Compliance which includes: The protection
of personal data, the contracting of IT goods and computer data
transmission; labor law and provision of services, regarding the
regulation of technological aspects; electronic commerce services;
intellectual property rights, and the treatment of IT incidents.
Key words: TICs, information, security, Information &
Communications Technology Law.

Fecha de recepcin: 10 de sep 07

Fecha de aceptacin: 29 de oct 07

334 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

INTRODUCCIN

El impacto de las Tecnologas de la Informacin y las Comunicaciones

TIC no es ajeno al Derecho, por el contrario, cada da los avances de
la tecnologa imponen mayores retos a los operadores jurdicos, a los
cuales hay que responder desde la legislacin nacional si sta existe ,
la legislacin internacional, el derecho comparado, la autonoma de la
voluntad privada, las mejores prcticas existentes en la industria y las
normas que permitan dar un tratamiento uniforme a problemticas
que experimentan las organizaciones, cualquiera que sea la latitud en
que estn ubicadas.

Para enfrentar de manera adecuada los retos que las TIC plantean al
Derecho se requiere como punto de partida por el operador jurdico, la
comprensin de los aspectos tecnolgicos que, desde la informtica, las
telecomunicaciones y la convergencia, estn presentes en el trco de
bienes y servicios, as como en la e-conoma, pues sin esta comprensin
es difcil entender los problemas que giran en torno al desarrollo de
software, integracin de sistemas informticos, diseo de hardware, voz
IP, servicios y redes de telecomunicaciones, propiedad intelectual de
intangibles digitalizables, bases de datos, servicios convergentes, entre
otras problemticas.

Adicional a ello, se requiere el estudio de las relaciones entre las

TIC y el Derecho. De esta reexin ha hecho carrera la existencia de un
rea encargada de la regulacin del fenmeno informtico y telemtico
que ha sido denominada Derecho Informtico, trmino adoptado por
tratadistas como Emilio Sue, Michel Vivant, Julio Nez, Miguel
Davara, entre otros.

Al respecto arma el profesor Sue (2000):

El Derecho de la informtica, por seguir aportando razones singulares que avalan

su autonoma, tiene mucho de Derecho Global, al tratarse de un Derecho muy
internacionalizado, probablemente por el tipo de comunidades humanas que estn
en su base. La regulacin jurdica de Internet, por ejemplo, plantea problemas glo-
bales, que requieren soluciones globales. Las grandes multinacionales del sector
teleinformtico, que lo dominan casi todo por completo, no pueden ni quieren adap-

revista de derecho, universidad del norte, 29: 333-366, 2008 335

 Arean Hernando Velasco Melo

tarse a regulaciones estatales injusticadamente diversas y dispersas, cuando el

mercado no es nacional, sino global (p. 7).

El desarrollo en nuestro pas de normas jurdicas que respondan a

los problemas que surgen del fenmeno de las TICs es mnimo. La Ley
527 de 1999 constituye uno de los pocos desarrollos importantes en este
sentido. Esta situacin genera un grado importante de inseguridad e
incertidumbre no slo para las organizaciones, sino para tambin los
ciudadanos, en su condicin de usuarios, consumidores y titulares de
datos personales.

La informacin se ha convertido no slo en un activo valioso, sino

tambin estratgico en las organizaciones. Las bondades de los sistemas
de informacin, por ejemplo, al procesar informacin econmica de las
empresas permite predecir los riesgos nancieros de las mismas, con
una precisin tal, que podra incluso diagnosticarse, en trminos de
tiempo, la fecha en la que un ente empresarial puede estar en situacin
de insolvencia o iliquidez.

La informacin puede ser protegida de muchas maneras. Desde el

Derecho pudiera pensarse que se logra contar con un adecuado nivel
de proteccin, con la encriptacin, teniendo en cuenta que la mayor de
las veces la compresin del tema tecnolgico es poca; sin embargo, la
encriptacin es un mecanismo para otorgar a la informacin atributos
de condencialidad, integridad, autenticidad, y dependiendo del
mecanismo de encriptacin, podra reputarse el no repudio. En la pro-
teccin de la informacin intervienen diferentes disciplinas, desde la
informtica, la gerencial, la logstica, la matemtica hasta la jurdica,
entre muchas otras.

El objetivo de este artculo es analizar cmo el Derecho participa en

la gestin de la proteccin de la informacin, mxime cuando este tema
es para las organizaciones uno de los que mayor preocupacin genera
para las reas directivas. La participacin del Derecho en la proteccin
de la informacin no es un querer arbitrario de los operadores jurdicos,
es el resultado de un estudio profundo y concienzudo del sector real de
la economa, al punto que organizaciones como la OCDE han formulado

336 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

recomendaciones en este sentido, las cuales hoy da estn consignadas

en la ISO 27 001.

As pues, el punto de partida de este estudio ser acudir a los con-

ceptos de Informacin y Seguridad, para lo cual se tendr en cuenta
las deniciones otorgadas por el Diccionario de la Real Academia de la
Lengua Espaola, ello con el n de partir de conceptos bsicos.

En este orden de ideas, se ha de entender como informacin la

Comunicacin o adquisicin de conocimientos que permiten ampliar o
precisar los que se poseen sobre una materia determinada (Diccionario
de la Real Academia de la Lengua Espaola, ltima edicin).

De otra parte, la Seguridad Se aplica tambin a ciertos mecanismos

que aseguran algn buen funcionamiento, precaviendo que este falle,
se frustre o se violente (Diccionario de la Real Academia de la Lengua
Espaola, ltima edicin).

De estas deniciones se puede concluir el valor que tiene la infor-

macin como resultado de un conocimiento especializado en un rea
determinada, que a su vez requiere de ciertos mecanismos para ga-
rantizar su buen funcionamiento, en aras de protegerlo y asegurar su
permanencia frente a los actos violentos que se pueden perpetrar contra
la informacin.

Anteriormente la seguridad de la informacin estaba entendida como

la aplicacin de un conjunto de medidas de orden fsico y lgico a los
sistemas de informacin, para evitar la prdida de la misma, siendo
sta una tarea de responsabilidad exclusiva de los departamentos de
informtica de las organizaciones.

Cambiar la perspectiva del problema de la seguridad de la informacin

que pueden tener los responsables de sta en las organizaciones no es
una tarea fcil; para ello es importante acudir a criterios objetivos que
demuestren la importancia que tiene el Derecho en esta problemtica,
y demostrar cmo el tema, por ejemplo, de los incidentes informticos
puede tener una vocacin judicial, siempre y cuando las evidencias de
los mismos hayan sido adecuadamente recabadas.

revista de derecho, universidad del norte, 29: 333-366, 2008 337

 Arean Hernando Velasco Melo

Hoy da, el Derecho es un invitado importante en la gestin de la

informacin; en este sentido, es la herramienta ideal para aportar una
serie de recomendaciones y controles jurdicos, en ocasiones matizados
por la tecnologa, para la gerencia adecuada de aquellos activos tangibles
e intangibles que involucren informacin relevante y valiosa para una
organizacin, sea esta pblica o privada.

Tratndose de proyectos informticos o telemticos, que la mayora

de las veces son desarrollados por terceros para una organizacin, es
importante tener en cuenta que stos no pueden ejecutarse al margen
de las polticas generales de seguridad del ente empresarial. En la
medida en que se trata de terceras personas que tienen acceso a las
redes, sistemas informticos, infraestructura e informacin estratgica
de la compaa, se debe tener presente que estos terceros, al interactuar
con la organizacin, deben asumir una serie de obligaciones, cargas
y deberes, as como los riesgos y responsabilidades que conlleva el
indebido tratamiento de la informacin para el titular de tales activos;
sin esta concepcin holstica del tema, es frgil cualquier sistema de
gestin de la seguridad de la informacin.

Antecedentes

La seguridad siempre ha sido una preocupacin para el hombre, los

deseos de proteger la informacin de una manera segura no es una
preocupacin exclusiva de esta era; por el contrario, a lo largo de la
historia del hombre se han usado diversos mecanismos para alcanzar
este cometido.

La trascendencia de la seguridad de la informacin en las organi-

zaciones pblicas o privadas radica en que: (i) el volumen de infor-
macin crece da a da; (ii) la informacin es un intangible con un valor
bastante apreciable en la economa actual; (iii) la informacin es una
ventaja estratgica en el mercado, que la convierte en algo atractivo
para la competencia, como elemento generador de riqueza, (iv) la
frecuencia de los ataques a los activos de una organizacin es cada vez
mayor, cualquiera que sea el medio al que se acuda, y (v) no existe una
cultura de seguridad en los usuarios de la informacin, lo que conduce

338 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

a que las organizaciones empiecen a incorporar prcticas seguras de

proteccin de la informacin, advirtiendo que este proceso habr de
impactar la cultura de la organizacin; aspecto que requiere de tiempo
y compromiso, empezando por la direccin de la misma.

El origen reciente de la seguridad la informacin, entendida como

un proceso que se debe gestionar, nace en el Reino Unido, donde el
Departamento de Industria y Comercio y las empresas del sector pri-
vado trabajaron de manera conjunta en esta problemtica, lo cual dio
origen a la norma BS7799 en el primer lustro de la dcada pasada; norma
que no pretenda ser ms que un Cdigo de Buenas Prcticas para la
Gestin de la Seguridad de la Informacin.

A nales de la dcada pasada esta norma fue actualizada y com-

plementada, lo cual dio como resultado una norma que estableca las
recomendaciones para que una empresa evaluar y certicar su sistema
de gestin de seguridad de la informacin. Esta nueva versin de la norma
se convirti en la norma ISO 17 999 de diciembre de 2000, la cual estaba
alineada con las directrices de la OCDE (Organizacin para la Cooperacin
y el Desarrollo Econmico) en materia de privacidad, seguridad de
la informacin y Criptologa, hecho de gran trascendencia, pues le
otorgaba un carcter global a la norma. En el 2002, la norma adquiere
la denominacin de ISO 27 001, luego de una nueva actualizacin.

() la gestin de la seguridad de la informacin debe ser revisada (complementada?)

para no solamente cubrir las fallas de seguridad, sino para comprender la manera
estructural y sistemtica las tensiones entre los elementos que componen el
sistema de gestin de la seguridad. En este sentido, consecuente con las tendencias
internacionales y la realidad de un mundo global, la seguridad de la informacin
se convierte en un elemento activo y estratgico para las empresas del siglo XXI
(Cano, 2007).

Problema

La seguridad informtica ha hecho trnsito de un esquema caracterizado

por la implantacin de herramientas de software, que neutralicen el acceso
ilegal y los ataques a los sistemas de informacin, hacia un modelo de
gestin de la seguridad de la informacin en el que prima lo dinmico
sobre lo estacional.

revista de derecho, universidad del norte, 29: 333-366, 2008 339

 Arean Hernando Velasco Melo

Para lograr niveles adecuados de seguridad se requiere el concurso

e iteracin de las disciplinas que tengan un impacto en el logro de
este cometido, teniendo siempre presente que un sistema de gestin
no garantiza la desaparicin de los riesgos que se ciernen con mayor
intensidad sobre la informacin.

Entonces, el problema es determinar cmo desde una disciplina como

el Derecho se contribuye a la gestin de la seguridad de la informacin.
Los enfoques de intervencin jurdica podran ser muchos; de hecho no
existe limitacin alguna, para que una organizacin adopte las medidas
que considere pertinentes con el n de neutralizar un riesgo.

Sin embargo, el Derecho Informtico se convierte en un enfoque

adecuado de intervencin, teniendo en cuenta que los temas que plantea
el profesor Sue (2000, p. 15 y ss.) en sus estudios estn subsumidos
en la norma ISO 27.001. Al respecto, advierte que son temas propios
del Derecho Informtico: a) Contratacin Informtica; b) Derecho a la
intimidad y libertades; c). Flujo transnacional de datos; d). Propiedad
Intelectual del software; y e) Otros temas del Derecho Informtico (delitos
penales, valor probatorio de los soportes informticos, transmisin de
datos).

El Derecho Informtico comprende entonces las mltiples iteraciones

entre las TIC y el Derecho, de donde surgen aspectos propios como
la contratacin de intangibles digitalizables, la propiedad intelectual
sobre ellos, el comercio electrnico, la proteccin de datos personales,
el tratamiento jurdico de los incidentes informticos, los aspectos
tecnolgicos que impactan las relaciones laborales y la prestacin de
servicios.

El fenmeno de la convergencia introduce en este nuevo sector del

derecho aspectos propios del derecho de las telecomunicaciones, como
son la voz sobre IP, la Televisin sobre IP, los servicios de valor agregado
y servicios telemticos que empiezan a ser unicados con las TIC bajo
en nombre de servicios convergentes.

El desarrollo cada vez ms acelerado de la tecnologa, y el incremento

de la penetracin de Internet en la vida social, econmica y cultural,

340 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

adems de los benecios que reejen para la sociedad, incrementarn

los retos para los operadores jurdicos en materia de seguridad de la
informacin y de regulacin de estos fenmenos.

La ISO 27 001 es una herramienta de gestin estratgica que conduce

a lograr la proteccin de la informacin, bien en un contexto en el cual
la empresa pretenda alcanzar una certicacin, o bien que slo pretenda
incorporar buenas prcticas de seguridad de la informacin, no slo en
sus procesos internos, sino tambin en sus procesos externos.

Aspectos jurdicos

La norma consagra un conjunto signicativo de dominios que pretenden

establecer un ciclo de seguridad lo ms completo posible, advirtiendo que
no todos ellos tienen impacto jurdico. Desde ya es importante mencionar
que el enfoque que se propone se alimenta tanto de normatividad
nacional como internacional, as como de otras fuentes del Derecho,
en razn de la escasa legislacin que existe.

La norma ISO 27 001, contempla diez dominios:

1. Poltica de Seguridad de la Informacin

2. Organizacin de la Seguridad de la Informacin
3. Gestin de Activos
4. Seguridad de Recursos Humanos
5. Seguridad Fsica y del Entorno
6. Gestin de Comunicaciones y Operaciones
7. Control de Acceso
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Infor-
macin
9. Gestin de Incidentes de la Seguridad de la Informacin
10. Cumplimiento

Estos dominios estn compuestos por un conjunto de subdominios

y sus correspondientes controles, los cuales han de ser abordados adop-
tando un modelo PHVA (Planicar, Actuar, Vericar y Actuar).

revista de derecho, universidad del norte, 29: 333-366, 2008 341

 Arean Hernando Velasco Melo

El enfoque basado en procesos para la gestin de la seguridad de la

informacin, presentado en esta norma, estimula a los usuarios a hacer
nfasis en la importancia de:

a) Comprender los requisitos de seguridad de la informacin del negocio,

y la necesidad de establecer la poltica y objetivos en relacin con la
seguridad de la informacin;
b) Implementar y operar controles para manejar los riesgos de seguridad
de la informacin de una organizacin en el contexto de los riesgos
globales del negocio de la organizacin;
c) El seguimiento y revisin del desempeo y ecacia del SGSI, y
d) La mejora continua basada en la medicin del objetivos.

La comprensin de la nalidad y de los procesos involucrados en

la aplicacin de la norma ISO 27 001 es un requisito fundamental para
la adecuada contribucin desde el Derecho al Sistema de Gestin de
Seguridad de la Informacin en una organizacin, tema que no puede
obviar el operador jurdico que como consultor intervenga.

Al respecto se identican seis grandes temas desde la perspectiva

jurdica: La proteccin de datos personales; la contratacin de bienes
informticos y telemticos; el derecho laboral y prestacin de servicios,
respecto de la regulacin de aspectos tecnolgicos; los servicios de
comercio electrnico; la propiedad intelectual y el tratamiento de los
incidentes informticos.

Para el xito de las recomendaciones jurdicas en materia de seguridad

de la informacin es clave que las mismas estn alineadas con la estrategia
y poltica general que la organizacin adopte en esta materia.

De los dominios consignados en la norma ISO 27 001 se tendrn

en cuenta para efectos de las relaciones entre el Derecho y las TIC los
siguientes tpicos:

Poltica de seguridad de la Informacin

El punto de partida para la gestin de la seguridad de la informacin

dentro de una organizacin se encuentra en la poltica de seguridad

342 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

que se formule; esta carta de navegacin habr de denir el marco

tecnolgico, gerencial, logstico y jurdico dentro del cual se administren
los activos de informacin.

El dominio A.5 de la Norma ISO 27 001 establece como objetivo de la

poltica de seguridad de la informacin, el brindar apoyo y orientacin a
la direccin con respecto a la seguridad de la informacin, de acuerdo con
los requisitos del negocio y los reglamentos y las leyes pertinentes.

En un medio en el cual la legislacin aplicable a los problemas pro-

pios de las Tecnologas de la Informacin y las Comunicaciones es
escasa cobra mayor importancia el contenido y desarrollo de la poltica
que en esta materia formule una organizacin. Adicionalmente, la
presencia de las compaas en diferentes sectores econmicos implica
el cumplimiento de una serie de disposiciones legales, lo que supone
dicultades al deber armonizar estas disciplinas particulares con las
novedosas tendencias del Derecho Informtico.

Desde esta perspectiva, la poltica de seguridad que formule una

organizacin puede ser el punto de encuentro de todas las disposiciones
legales y reglamentos a que pueda estar sometida una organizacin en
desarrollo de su actividad econmica en diferentes pases.

Cuando la ley no existe o se presentan vacos en su alcance, co-

rresponde a la poltica de seguridad servir de gua a la organizacin en
el cumplimiento de sus obligaciones, deberes o cargas. Esta situacin
ofrece un espacio interesante de autorregulacin, en la medida que
la organizacin podr incorporar las mejores practicas o estndares
en una determinada materia; situacin, que por dems, facilitar el
cumplimiento de la normatividad que deba acatar en diferentes pa-
ses en los cuales tenga presencia, siempre que las mismas no sean
contradictorias.

Adoptar un estndar o una prctica fornea, que no est normada

en un pas, implica un cumplimiento ms all de la ley, lo cual en nada
perjudica a la organizacin, sino, por el contrario, puede generar un
benecio importante tanto para ella como para sus grupos de inters.

revista de derecho, universidad del norte, 29: 333-366, 2008 343

 Arean Hernando Velasco Melo

A manera de ejemplo, tal podra ser el caso de la organizacin que

incorpore una poltica de proteccin de datos personales, siguiendo
la Directiva 95/46/CE, en el supuesto en el cual el pas donde tenga
presencia no exista normatividad sobre proteccin de datos personales,
o la existente sea menos exigente al desarrollo que existe en la Unin
Europea en la materia.

El reto para los encargados de proteger la informacin en una organi-

zacin es comprender que la poltica de la seguridad tiene la necesidad
de considerar aspectos tecnolgicos que impactan la ciencia jurdica, y
viceversa; por tanto, de manera permanente habr de revisarse y ajus-
tarse en las guas o directrices que desarrollan la poltica de seguridad, la
evolucin del derecho predicable a los asuntos jurdicos y tecnolgicos
all contemplados.

La formulacin de la poltica de seguridad en cada organizacin se-

guramente habr de ser diferente, pues la misma debe ser formulado
sobre la base de los mltiples riesgos que pesen sobre la informacin, as
como sobre la clase de activos involucrados, y las personas que tengan
acceso a la informacin; factores que no pueden ser dejados al margen
de una adecuada gestin de seguridad de la informacin.

Proteccin de Datos Personales

Este tema, de gran trascendencia para los seres humanos en la sociedad

de la informacin, an tiene poca relevancia en el medio latinoamericano,
a pesar de constituir un derecho fundamental contenido en la mayora
de las constituciones polticas del mundo1. De forma lamentable en el
continente americano, con excepcin de Argentina, los pases no cuentan
con una ley que regule de manera integral el derecho fundamental a la

1
En Colombia, desde 1991, la Constitucin Poltica consagr en su artculo 15 el
derecho a la proteccin de los datos personales, as como al habeas data. Como derechos
fundamentales requieren de una ley estatutaria que los desarrolle. Despus de mltiples
intentos, recientemente el Congreso de la Repblica expidi la ley y se encuentra en
estudio de la Corte Constitucional para su anlisis de constitucionalidad.

344 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

intimidad y al habeas data, que permita garantizar las libertades pblicas

de los nacionales de cada pas, y en esa medida ser vistos como lugares
seguros para la transferencia y tratamiento internacional de datos.

La norma ISO 27 001 seala en el dominio A.15.1.4., referido a la

proteccin de datos, como control el siguiente: Se debe garantizar la
proteccin de los datos personales y la privacidad, de acuerdo con la
legislacin y los reglamentos pertinentes y, si se aplica con las clusulas
del contrato.

Para el cumplimiento de este control, quizs el referente internacional

ms representativo en materia de Proteccin de Datos Personales es la
Directiva 95/46/CE, la cual establece el marco de regulacin para los
pases miembros de la Unin Europea; norma que ha sido desarrollada
en cada uno de esos pases, producto de la conciencia de los ciudadanos
sobre el destino de sus datos y el compromiso del Estado de garantizar
las libertades pblicas vinculadas a la derecho fundamental a la inti-
midad.

En este orden de ideas, para ilustrar la problemtica de la intimidad2

y el habeas data ha de entenderse el concepto de dato de carcter
personal como cualquier informacin concerniente a personas fsicas
identicadas o identicables3, los cuales pueden ser generales, como
nombre, domicilio y documento de identidad; hasta informacin sensible
como ideologa poltica, estado de salud, tendencias sexuales, credo
religioso, grupo tnico, entre otros.

En la economa actual, los datos de carcter personal estn sometidos

a tratamientos o procedimientos tcnicos que permitan recabarlos,

2
SUE (2000, p. 29). El derecho a la intimidad es un derecho de conguracin relati-
vamente reciente en trminos de histricos, al menos si se le contempla como un de-
recho autnomo, desgajado del derecho al honor, puesto que su punto de referencia
inicial mas comnmente aceptado se halla en la obra seera que, con el titulo The
Right to Privacy, fue publicada en la Harvard Law Review, N 5 de 1890. Este artculo
fue redactado por S.D. Warren y L.D. Brandeis.
3
Ley Orgnica 15/1999 de Espaa. Artculo 3, literal a).

revista de derecho, universidad del norte, 29: 333-366, 2008 345

 Arean Hernando Velasco Melo

modicarlos, bloquearlos, cancelarlos, cederlos o transferirlos a terceros,

as como denir perles de distinta naturaleza segn la informacin
que se desee obtener, acudiendo para ello a programas de minera de
datos, que terminan entregando informacin valiosa sobre los hbitos
de consumo de un individuo.

Esta posibilidad de que terceros puedan acceder sin control a la in-

formacin personal de un individuo es lo que busca proteger el habeas
data4, en el sentido de que la informacin personal que sea conada a
una organizacin5 por su titular, est amparada y protegida de usos
ilegtimos que desconozca ese tutela constitucional que cada individuo
tiene sobre su informacin, as como sobre los perles diseados a partir
de sus hbitos, comportamientos y tendencias.

En consecuencia, en materia de seguridad de la informacin y en

desarrollo de este Derecho Fundamental, consignado en el dominio de
la norma ISO 27 001 antes citado, debe procurarse por la organizacin
que toda base de datos, tenga connotacin comercial o no, cuente con las
medidas jurdicas, tecnolgicas y fsicas que aseguren su proteccin.

La ausencia de una norma como la europea antes mencionada, en

un determinado pas, conduce a que gran parte de las bases de datos
en poder de entidades pblicas como privadas sean explotadas de
manera ilegtima, a partir del abuso, ignorancia o desconocimiento de
los derechos que tienen los individuos sobre la informacin conada.

Lo anterior no pretende limitar el uso de las bases de datos, sino llamar

la atencin sobre la posibilidad de explotar la informacin dentro de unos

4
SUE (2000, p. 29). Citando a Warren y Bradeis dice: El common law garantiza
a cada persona el derecho a decidir hasta que punto pueden ser comunicados a otros
sus pensamientos, sentimientos y emociones.
5
OLLATILU (2006). Organizations that collect personal identiable information,
including, but no limited to, consumer reporting companies, lenders, insurers,
employers, landlords, government agencies, mortgage brokers, automobile dealers,
attorneys, private investigators and debt collectors, are responsible for safeguarding
this resources.

346 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

parmetros legtimos, que atiendan los principios de consentimiento,

nalidad, calidad, veracidad, conservacin, entre otros, que caracterizan
el tratamiento responsable de la informacin personal.

En materia de seguridad de la informacin, tratndose de datos

personales, ha de recordarse que la proteccin a brindar se predica tanto
de personas naturales como de personas jurdicas6. En cumplimiento
del postulado del dominio de la norma ISO 27 001, las organizaciones
en la ejecucin de proyectos contratados con terceros no pueden dejar
al margen la regulacin contractual de las obligaciones que stos deben
acatar para asegurar que las medidas de seguridad de la informacin
personal adoptadas por ella sean realmente ecaces.

Los deberes, cargas, obligaciones, riesgos y sanciones7 que puedan

pesar sobre los titulares de las bases de datos personales no desaparecen
por encargar a terceros el tratamiento de tales datos, por el contrario,
pueden incrementar el valor de estas por no haber tomado las medidas
adecuadas. Igualmente, los terceros a los cuales se encomiende el
tratamiento de bases de datos con informacin personal son responsables
por el uso ilegtimo que hagan de los mismos, y en consecuencia sern
responsables de los perjuicios que irroguen a los individuos titulares
de los datos personales.

6
Sentencia T-46 de 1997. Si las personas jurdicas son titulares del derecho funda-
mental al buen nombre, en consecuencia, lo son tambin del derecho al habeas data, toda
vez que este ltimo derecho, reconocido por el artculo 15 de la Carta Poltica, existe
justamente como garanta de aqul y del derecho a la intimidad personal y familiar.
En efecto, la sola lectura del texto constitucional mencionado pone de relieve que el
habeas data, entendido por el constituyente como el derecho de las personas a conocer,
actualizar y recticar las informaciones que se hayan recogido sobre ellas en bancos
de datos y archivos de entidades pblicas y privadas, se vincula directamente con
los derechos a la intimidad y buen nombre a los que se reere el primer enunciado
del artculo superior en comento. De esta manera, el habeas data viene a ser como una
garanta de estos dos derechos, siendo por lo tanto accesorio de ellos. As, si le es
reconocido a las personas jurdicas el derecho al buen nombre, forzoso es concluir
que les debe ser reconocido igualmente el derecho al habeas data, ya que en este caso
lo accesorio debe seguir la suerte de lo principal.
7
La Ley 221 de 1007, aprobada recientemente en Colombia, pendiente del examen
de constitucionalidad, contempla sanciones de hasta 650 millones de pesos por cada
violacin a lo dispuesto en ella. La ley argentina establece sanciones de hasta 32 mil
dlares y la espaola contempla sanciones de hasta 30 mil euros.

revista de derecho, universidad del norte, 29: 333-366, 2008 347

 Arean Hernando Velasco Melo

El no dotar a las bases de datos personales de la seguridad y medidas

de proteccin adecuadas por parte de las organizaciones que las poseen,
en primer lugar implica un desconocimiento de lo dispuesto en la
norma ISO 27 001; segundo, la violacin a un derecho constitucional,
el cual puede ser garantizado a travs de acciones de tutela, con el
riesgo de indemnizar los perjuicios causados; tercero, es una limitante
en el comercio internacional, pues los pases europeos y algunos
latinoamericanos impiden la transferencia internacional de datos con
pases o empresas que no garanticen un nivel adecuado de proteccin
de datos (no debe olvidarse el origen europeo de esta norma ISO), y
por ltimo, las sanciones que tienden a imponerse por violacin a este
derecho fundamental de la proteccin de datos personales y habeas
data son muy cuantiosas en trminos econmicos.

Contratacin de bienes informticos y servicios telemticos

El Derecho Privado tiene sus fuentes ms importantes en los cdigos

civiles y en los cdigos de comercio de cada pas, normas que por
su antigedad obviamente no prevn la contratacin de bienes in-
formticos y servicios telemticos. La contratacin tpica est estruc-
turada sobre una economa de bienes tangibles, los cuales no representan
problemtica desde la perspectiva de las tecnologas de la informacin
y las comunicaciones.

En el dominio A.10 de la gestin de comunicaciones y operaciones

y en el dominio A.12 la norma ISO 27 001 habla de la adquisicin, de-
sarrollo y mantenimiento de sistemas de informacin. Estos dominios
representan una parte importante de las falencias que se identican
en el anlisis de riesgos en una organizacin, por cuanto existe el error
de tratar de tipicar los proyectos informticos en contratos como la
compraventa, el arrendamiento, el suministro, entre otros, los cuales
por razones obvias no responden de manera segura ni apropiada a la
regulacin de los mltiples aspectos tecnolgicos que han de regularse
en un contrato informtico8 o telemtico.

8
CALLE (2002). El contrato informatico sobre bienes inmateriales susceptibles
de digitalizacion (p. 187). Tesina de grado, Universidad Complutense de Madrid.

348 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

Las caractersticas propias de los proyectos informticos conducen a

regulaciones no contempladas por la legislacin positiva, que encuentran
su fuente de regulacin en la autonoma de la voluntad privada; esta
realidad ratica la concepcin atpica9 de los contratos sobre bienes
intangibles susceptibles de digitalizacin.

Por tanto, la regulacin de estos contratos debe ser suplida por la

voluntad de las partes, los principios generales de contratacin, el de-
recho internacional y dems fuentes, de manera que cada uno de los
aspectos de la relacin jurdica a ejecutar entre las partes sea denido
y consignado en el cuerpo del contrato y sus anexos respectivos,
advirtiendo la importancia de regular de manera independiente las
diferentes prestaciones jurdicas que puedan estar vinculadas al contrato
principal.

En la prctica se encuentra que los equipos de informtica trabajan

al margen de los equipos jurdicos dentro de las organizaciones en lo
que tiene que ver con los procesos de contratacin informtica, situacin
que genera una ruptura en la tarea de gestionar de manera ecaz la
seguridad de los activos de la informacin. No son extraos los casos
en los cuales aspectos sencillos como la denicin de la propiedad
intelectual sobre los intangibles contratados no estn formalizados, o
existen reclamaciones sobre la propiedad de los mismos por quienes
los han desarrollado.

Ante esta realidad se aconseja que exista un proceso de comunicacin

clara entre las reas involucradas en la contratacin de intangibles

El contrato informtico, como una entidad negocial independiente y autnoma, se

presenta cuando el objeto de contratacin recae exclusivamente sobre bienes inma-
teriales susceptibles de digitalizacin, como lo es el software, en todas sus formas
y vertientes, como lo son las bases de datos y tambin las obras o productos mul-
timedia.
9
JORDANO (1993, p. 20). Para que exista un contrato atpico tiene que faltar al
menos uno de los elementos esenciales del negocio determinado o de un esquema
legal para que pueda decirse que se est frente a un contrato tpico. Por tanto ser
atpico aquel contrato que, aun mencionado por la Ley, est desprovisto de una
normacin especca, a menos que la mencin del contrato se haga por la ley en tal
lugar que se pueda inducir por va de remisin la disciplina jurdica aplicable.

revista de derecho, universidad del norte, 29: 333-366, 2008 349

 Arean Hernando Velasco Melo

digitales, en aras de que las inversiones en tecnologa para la organizacin

sean seguras. Los operadores jurdicos de la organizacin, responsables
de la contratacin de esta clase de bienes y servicios, han de tener en cuenta
que la adquisicin, desarrollo y mantenimiento de obras digitalizadas
requieren de regulaciones apropiadas a la naturaleza incorprea del
objeto contratado, que exigen armonizar lo jurdico con lo tcnico.

Otra buena prctica es la participacin de los abogados conocedores

de la tecnologa en los procesos de negociacin del proyecto informtico
o telemtico, participacin que seguramente permitir denir de manera
clara el alcance del objeto contratado, el cual en ocasiones es bastante
abstracto; desechar esta prctica puede conducir a disputas futuras
o costo innecesarios para las partes contratantes. En igual sentido, es
vlida la presencia de un operador jurdico, con el perl recomendado,
en la etapa de ejecucin del proyecto, aspecto de dotar de seguridad
el compromiso de las obligaciones pactadas.

La contratacin de desarrollo de programas de ordenador o integracin

de sistemas de informacin, por las dicultades que supone dimensionar
el alcance de los mismos y los valores asociados, apunta a separar las
etapas de toma de requerimientos, anlisis y diseo, de las etapas de
desarrollo, pruebas y puesta en produccin de la aplicacin informtica.
Lo anterior permite a las partes contratantes cumplir con los tiempos
previstos, recursos econmicos comprometidos, identicacin plena
de requerimientos, cumplimiento de las funcionalidades pretendidas
al contratar, entre otros aspectos.

En trminos de contratos de licencia de uso sobre aplicaciones infor-

mticas normalmente media la entrega de la correspondiente licencia y
del ejecutable que permite la instalacin de sistema de informacin. La
ISO 27 001 plantea la importancia de que la organizacin pueda garantizar
el acceso al cdigo fuente de la aplicacin cuyo uso se concede, en caso
de que el titular del programa de ordenador desaparezca del mercado;
situacin que exige regular tal hiptesis en trminos de seguridad de
la informacin.

350 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

Igualmente, las organizaciones contratan servicios telemticos de

diversa naturaleza, como puede ser la instalacin de redes de comu-
nicaciones privadas, la gestin, soporte y mantenimiento de las mismas,
as como servicios que se soporten en stas; servicios que particularmente
son provistos por terceros.

Por tanto, la gestin de redes de comunicaciones, tratndose de

servicios de telecomunicaciones, aconseja adoptar medidas que vayan
ms all de la prestacin eciente de tales servicios, siendo fundamental
que a nivel tecnolgico se adopten medidas que otorguen estabilidad
a la red, ofrezcan la velocidad requerida para el funcionamiento de los
diferentes equipos y sistemas, y gocen de protocolos seguros que per-
mitan reaccionar a los ataques a los sistemas o a las redes mismas. En
los contratos de esta naturaleza no es extrao encontrar omisiones en
este sentido, las cuales pueden ser resultado del desconocimiento de
lo tecnolgico o de la ausencia de reexiones sobre el impacto jurdico
que en materia de responsabilidad derivan para las partes involucradas.
Obviar la regulacin de aspectos como los mencionados puede ser
fuente de conictos o interpretaciones ambiguas sobre el alcance de
las obligaciones que corresponden a las partes.

En este tpico de la seguridad de la informacin vale cuestionarse

sobre lo siguiente: Cmo vericar la estabilidad de la red? Cules son
los parmetros aceptables de acuerdo con la tecnologa y la robustez
de la misma? Cules son los niveles de servicios pactados? Son stos
sucientes acorde con la naturaleza del negocio? El protocolo de los
equipos de comunicaciones es suciente para seguridad de la infor-
macin que se trasmite, o se requiere adoptar medidas de seguridad
adicionales? Cules pueden ser los factores exgenos que disminuyan
la eciencia de las comunicaciones?

Estos asuntos han de ser regulados en los contratos telemticos,

advirtiendo que la mayora de ellos son de corte tecnolgico, pero no
por ello, se insiste, deben ser desatendidos en la relacin contractual,
salvo que dentro de la organizacin no exista preocupacin por la se-
guridad de la informacin y por la gestin que la misma empresa o
terceros le proporcionen.

revista de derecho, universidad del norte, 29: 333-366, 2008 351

 Arean Hernando Velasco Melo

Polticas Laborales y Prestacin de Servicios por Terceros

Las relaciones laborales son aspectos tambin comprendidos en el

alcance de la norma ISO 27 001. En este sentido, existe un dominio
especco A.8. denominado Seguridad de los Recursos Humanos, el
cual establece un conjunto de controles que se deben tener presentes
antes, durante y despus de la terminacin de la contratacin laboral10.
Este componente involucra las relaciones de servicios con terceros,
advirtiendo que las obligaciones aplican no slo a las personas jurdicas o
naturales con quienes se contrata, sino tambin a las relaciones laborales
con sus empleados o relaciones de servicios con sus subcontratistas; ello
con el n de dotar de seguridad todo el ciclo de personas involucradas
con los activos de informacin de una organizacin.

El dominio A.8.1., referido a la seguridad de los recursos humanos

antes de la contratacin laboral, dispone como objetivo:

Asegurar que los empleados, contratistas y usuario por tercera parte en-
tienda sus responsabilidades y son adecuados para los roles para los que
se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de
las instalaciones.

El dominio A.8.2., referido a la seguridad de los recursos humanos

durante la contratacin laboral, establece como objetivo:

Asegurar que todos los empleados, contratistas y usuarios de terceras

partes estn conscientes de las amenazas y preocupaciones respecto de la
seguridad de la informacin, sus responsabilidades y sus deberes, y que
estn equipados para apoyar la poltica de seguridad de la organizacin en
el transcurso de su trabajo normal, al igual que reducir el riesgo de error
humano.

10
La palabra contratacin laboral para efectos de la interpretacin de la norma
cubre las siguientes situaciones: Empleo de personas (temporal o indenido), asigna-
cin de roles de trabajo, cambio de roles de trabajo, asignaciones de contratos y la
terminacin de cualquiera de estos acuerdos.

352 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

El dominio A.8.3., referido a la seguridad de los recursos humanos,

tiene el siguiente objetivo en la norma:

Asegurar que los empleados, contratistas y los usuarios de terceras partes

salen de la organizacin o cambian su contrato de forma ordenada.

Estos tres momentos de la contratacin laboral o de servicios han

de verse en el contexto de la relacin entre los recursos humanos y los
activos de la informacin a los que stos tengan acceso.

Pensar en estos tres momentos de la relacin laboral o de servicios

requiere focalizar la adopcin de las medidas de seguridad con relacin
a los retos que las tecnologas de la informacin y las comunicaciones
plantean al Derecho en esta materia.

Existen problemticas nada paccas respecto del uso de herramientas

de trabajo como el correo electrnico de la organizacin por parte de los
empleados, en el sentido de establecer si la informacin all contenida
puede ser auditada por la empresa, o si tiene carcter personal, o cul es
el justo medio que pueda dar una respuesta justa a la problemtica.

La tecnologa permite al administrador del sistema tener conocimiento

sobre los sitios de la red que un usuario visita durante su jornada laboral
o de servicios, puede establecer el tiempo que ste ha estado navegando
un contenido determinado; entonces, se pregunta si esta vigilancia
atenta contra los derechos de la persona Se vulnera la intimidad del
empleado? El empleado est incumpliendo con sus obligaciones? Esta
es una justa causa para imponer la suspensin o la terminacin de la
relacin? La respuesta est determinada en la denicin de las polticas
laborales y sus desarrollos que adopte una organizacin en relacin con
sus empleados o con los contratistas.

El uso de las herramientas tecnolgicas es un proceso cultural, en

el sentido que las personas desconocen los riesgos que devienen de su
uso. De hecho, las fallas de seguridad o la prdida de la informacin,
la mayora de las veces obedecen al desconocimiento de los riesgos
que conlleva el uso inadecuado de las mismas por parte de los mismos
operadores de la organizacin.

revista de derecho, universidad del norte, 29: 333-366, 2008 353

 Arean Hernando Velasco Melo

Es deber de la organizacin capacitar al personal sobre los riesgos

inherentes al uso de las tecnologas de la informacin y las comu-
nicaciones, dar a conocer la importancia que los activos de la informacin
tienen, comunicar los riesgos que pesan sobre la informacin, las prcticas
de ingeniera social de la que se aprovechan los hackers y crackers para
atentar contra la seguridad de la organizacin; aspectos que exigen el
trabajo en equipo entre los diferentes actores para consolidar un sistema
ecaz de gestin de la seguridad de la informacin.

No menos importante es asegurarse de que las personas tengan acceso

a los sistemas con base en los perles y autorizaciones denidas, y que
a la desvinculacin stos sean cancelados efectivamente, tareas de los
administradores de los sistemas de informacin de una compaa.

Del anlisis de riesgos que se hace como punto de partida de la apli-

cacin de la norma ISO 27 001, corresponde al operador jurdico sugerir
los tpicos que se deben tener presentes en los contratos laborales y en
los contratos de prestacin de servicios, en lo que se reere al manejo,
administracin, uso, entrega y devolucin de los activos de informacin
a los que se otorga acceso, as como a las consecuencias derivadas de la
perdida, hurto, alteracin o modicacin de la informacin entregada
y conada a estas personas.

Las reexiones expuestas constituyen slo la punta de iceberg de

muchos otros temas que desde la tecnologa impactan las relaciones
laborales o de prestacin de servicios, los cuales han de ser identicados
y regulados, con el n de poder cumplir la nalidad que esta materia
proponen los tres objetivos concebidos por la norma ISO 27 001.

Servicios de Comercio Electrnico

Para efectos de la norma ISO 27 001, el comercio electrnico debe

entenderse ms all del intercambio electrnico de bienes y servicios,
sea ste directo o indirecto; ha de entenderse dentro de esta acepcin
la transmisin de informacin por vas electrnicas, sean stas pblicas
como Internet o privadas como una Intranet, EDI, Swift, entre otras.

354 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

El control de la norma ISO que hace referencia a esta materia es el

A.10.9, cuyo objetivo consiste en Garantizar la seguridad de los servicios
de comercio electrnico y su utilizacin segura.

Conforme a este control, el cual hace parte de un dominio superior

como es la gestin de comunicaciones y operaciones A.10 , corresponde
al operador jurdico en los temas de su competencia tener presente que:
(i) que la informacin que se trasmite por las redes pblicas debe estar
protegida contra actividades fraudulentas; (ii) las eventuales disputas
por contratos; y (iii) la divulgacin o modicacin no autorizada de la
informacin.

El referente colombiano que se debe tener en cuenta en este dominio

es la Ley 527 de 1999, la cual hace referencia a la validez de los mensajes
de datos y a la rma digital, que tiene como objetivo principal dar
validez a los mensajes de datos remitidos por vas electrnicas, cosa
diferente de regular las actividades de comercio electrnico que puedan
celebrarse por la red.

La preocupacin para las organizaciones, en trminos de seguridad

de la informacin, respecto de las transacciones que operan a travs de
canales electrnicos, es que stas cuenten con los atributos de integridad,
disponibilidad, condencialidad, y no repudio, atributo, este ltimo,
que se logra con la implementacin de herramientas como las rmas
digitales de clave pblica y privada, de carcter asimtrico.

El crecimiento del comercio electrnico en Colombia no es represen-

tativo, situacin que atiende a la escasa conanza del consumidor en los
medios electrnicos a travs de los cuales se surten las transacciones de
bienes y servicios. Sumado a lo anterior, existe un desconocimiento en
el consumidor sobre la existencia de protocolos seguros que permiten
minimizar los riesgos al suministrar informacin, sea esta personal o
econmica.

De otra parte, se requiere crear en el consumidor la conanza en

este nuevo canal de negocios; para ello ste debe sentir las misma tran-
quilidad que percibe cuando adquiere bienes o servicios en el mundo

revista de derecho, universidad del norte, 29: 333-366, 2008 355

 Arean Hernando Velasco Melo

real; sin embargo, los portales o sitios virtuales, incluso de grandes

organizaciones, guardan silencio sobre informacin tan bsica como
puede ser la ubicacin geogrca de la misma, sobre el responsable de
atender las peticiones, quejas y reclamos de los consumidores, sobre los
mecanismos o escenarios en los cuales se puedan ventilar las diferencias
nacidas de la adquisicin de bienes y servicios relacionadas con las
garantas de estos, entre otros aspectos.

El crecimiento del comercio electrnico est determinado slo por

el consumidor, y para lograr la conanza de ste se requiere garan-
tizar sus derechos, y concienciar a quienes comercializan bienes y
servicios en la red que stos tienen deberes y obligaciones respecto
de estos protagonistas. Por su parte, es hora que el Estado modernice
las disposiciones relacionadas con el derecho del consumo, que el
consumidor encuentre respuestas giles y oportunas en la autoridad
competente en esta materia; sin estos cambios ser lento el crecimiento
de este nuevo canal de negocios.

Las mismas organizaciones proveedoras de bienes y servicios por

vas electrnicas tienen la capacidad y los medios para autorregular
su comportamiento econmico. En este orden de ideas, en el portal
de las organizaciones se puede: informar acerca de las condiciones
generales de contratacin, la responsabilidad que asume el proveedor,
dar a conocer los derechos que tiene el consumidor, generar la fac-
tura electrnica correspondiente, establecer las condiciones para la
materializacin de las garantas, informar sobre la territorialidad del
impuesto, entre otros aspectos que se deben tener en cuenta para con-
quistar al consumidor.

En Europa Continental los gremios han avanzado en la adopcin de

cdigos de conducta empresarial, que buscan dotar de seguridad a las
actividades de comercio electrnico, incorporando en algunos de ellos
procedimientos de solucin de controversias que delegan en terceros
la decisin nal, obligndose previamente las empresas titulares de
los portales a someterse a las decisiones que se adopten por rbitros o
amigables componedores.

356 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

En este sentido, se han adoptado sellos que generan conanza en el

consumidor, los cuales son divulgados en los portales Web, de suerte
que el consumidor al adquirir bienes y servicios sabe de antemano que
cualquier disputa puede ser resuelta de manera gil, oportuna y en for-
ma vinculante para el proveedor.

Las acciones que se adopten en materia de seguridad, en trminos

de la ISO 27 001, respecto de los servicios de comercio electrnico han
de atender la naturaleza del modelo de negocio, de las transacciones
que se realicen, los datos que se transmitan y de los riesgos inherentes
a las actividades mismas; por tanto, en cada caso habr que identicar
un catlogo de acciones a aplicar.

Propiedad Intelectual

En la era industrial, los activos productivos de carcter tangibles pueden

ser asegurados mediante plizas, de suerte que en el evento de un
siniestro el propietario puede afectar la pliza de seguros para recuperar
su inversin; hoy da, en la era de la sociedad de la informacin, los
activos productivos son intangibles, incorpreos, entonces, cmo prote-
gerlos? Uno de los mecanismos que sirven para proteger este tipo de
bienes es la propiedad intelectual.

El dominio A.15.1.4 de la norma ISO 27 001 establece en materia de

cumplimiento la necesidad de acatar las disposiciones sobre propiedad
intelectual en aras de la seguridad de la informacin. El control que
establece la norma consiste en implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos legales, reglamentarios,
y contractuales sobre el uso del material con respecto al cual puedan
existir derechos de propiedad intelectual y sobre el uso de productos
de software patentados.

Bienes como el software11, las bases de datos12, las obras multimedia,

los sistemas inteligentes son activos de valor incalculable para cualquier

11
Artculo 3 de la Decisin 351 de 1993 de la CAN. Expresin de un conjunto de
instrucciones mediante palabras, cdigos, planes o en cualquier otra forma que, al ser

revista de derecho, universidad del norte, 29: 333-366, 2008 357

 Arean Hernando Velasco Melo

organizacin, que ameritan adoptar medidas especiales para lograr

una proteccin ecaz.

En materia de proteccin del software es importante tener en cuenta

que algunas legislaciones, como la europea, establecen que tambin
es objeto de proteccin la documentacin preparatoria de los pro-
gramas de ordenador, consideracin que aclara uno de los aspectos
que pueden ser fuente de controversia en el sector, mxime cuando
existen incumplimientos o terminaciones anticipadas de los contratos
informticos.

La proteccin de los bienes intangibles susceptibles de digitalizacin

encuentra vacos importantes en la regulacin aplicable en trminos de
propiedad intelectual, pues la asimilacin que las leyes hacen a obras
literarias para efectos de proteccin plantea cuestionamientos impor-
tantes sobre su ecacia.

En materia de seguridad de la informacin se requiere imprimir cla-

ridad a los contratos de desarrollo de aplicaciones informticas en lo
que respecta a la titularidad de los derechos de propiedad intelectual,
los cuales en ocasiones son vagos, abstractos o no son formalizados.
Es preciso tener en cuenta que en la legislacin colombiana se requiere
expresar de manera clara cules son los derechos patrimoniales que se
ceden, as como cumplir con la formalidad de la escritura pblica o del
documento privado con reconocimiento del contenido del documento
ante notario, formalidades que en la mayora de las veces son obviadas,
con lo cual se afecta la correcta proteccin de activos susceptibles de
digitalizacin.

incorporadas en un dispositivo de lectura automatizada, es capaz de hacer que un or-

denador un aparato electrnico o similar capaz de elaborar informaciones, ejecute
determinada tarea u obtenga determinado resultado. El programa de ordenador com-
prende tambin la documentacin tcnica y los manuales de uso.
12
Directiva 96/9/CE. Tendrn la consideracin de bases de datos las recopilaciones
de obras, de datos o de otros elementos independientes dispuestos de manera siste-
mtica o metdica y accesible individualmente por medios electrnicos o de otra
forma. La proteccin prevista por la presente Directiva no se aplicar a los programas
de ordenador utilizados en la fabricacin o en el funcionamiento de las bases de datos
accesibles por medios electrnicos.

358 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

Ergo, la propiedad intelectual, en sus modalidades de Derechos de

Autor y Propiedad Industrial, son temas transversales a la seguridad
de la informacin corporativa, la cual exige de medidas que aseguren
la proteccin de la misma.

Una organizacin, adems de velar por asegurar la titularidad de los

derechos patrimoniales sobre las obras informticas encargadas, debe
preocuparse tambin porque sus sistemas de informacin tengan las
licencias correspondientes; preocupacin que debe extenderse a exigir
que sus proveedores cuenten con las licencias de uso de los programas
informticos, que soportan la prestacin de los servicios informticos
contratados.

El equipo de seguridad de la organizacin debe informar sobre la

prohibicin de instalar en los ordenadores programas que no tengan
licencias, o programas que puedan poner en riesgos la seguridad de los
sistemas o de los equipos; eventualidades que deben estar reguladas en el
marco de la poltica laboral y de servicios que tenga la organizacin.

El cumplimiento de las normas sobre propiedad intelectual debe ser

una de las clusulas principales en todo proyecto de la organizacin;
no de otra forma puede extenderse a terceros la obligacin de respeto
sobre los derechos de propios o de terceros.

Otra recomendacin en desarrollo de la norma ISO 27 001 es otorgar

transparencia en la titularidad de los desarrollos, descubrimientos, ade-
lantos, innovaciones y nuevas creaciones de los empleados en desarrollo
de la relacin laboral, los cuales pertenecen a la empresa, salvo acuerdo
en contrario. Al respecto se cuestiona si las clusulas que se acostumbran
pactar en los contratos laborales, previa la existencia de los desarrollos
o innovaciones, dotan de seguridad adecuada la propiedad que tiene la
empresa sobre la informacin desarrollada, o si se requiere de acuerdos
posteriores a la creacin de la obra o patente.

A pesar de que la norma ISO 27 001 hace referencia a derechos de

propiedad intelectual, es importante tomar medidas de seguridad res-
pecto de informacin que puede no estar cobijada por esta regulacin,

revista de derecho, universidad del norte, 29: 333-366, 2008 359

 Arean Hernando Velasco Melo

como puede ser la informacin empresarial, know how estratgico o

secretos empresariales de la organizacin.

Las normas de propiedad intelectual establecen cules bienes son

sujetos de proteccin, cules derechos asisten a sus titulares, la duracin
de la proteccin y dems aspectos inherentes a su seguridad jurdica.

Ahora bien, adems de las normas de propiedad intelectual es impor-

tante en el desarrollo de proyectos informticos tener presente que la
relacin entre las partes debe atender los principios de buena fe y lealtad
contractual, en el sentido que debe evitarse incurrir en prcticas que la
ley considera como contrarias a la sana y leal competencia.

En consecuencia, las normas sobre competencia desleal13 se convierten

en herramientas de proteccin de la seguridad de la informacin de las
organizaciones, complementando as la proteccin que deriva de las
normas nacionales y comunitarias sobre propiedad intelectual.

Tratamiento Legal de los Incidentes Informticos

El concepto de seguridad informtica es de reciente data, y tal vez fue

en los ltimos 15 aos en los que adquiri un nombre propio. El fen-
meno de atacar las redes de comunicaciones se inicia en los albores del
siglo XX, cuando piratas del mundo elctrico/ electrnico empezaron
a vulnerar los sistemas de terceros, tras la aparicin de las lneas de
comunicaciones telegrcas (lvarez y otros, p. 20).

() el estudio sobre seguridad y crimen informtico del Computer Security

Institute (en adelante CSI), arroja datos de los que se estiman las perdidas de
los sistemas analizados en ms de 141 millones de dlares por problemas
de seguridad. Esta cantidad nada despreciable impulsa la teora de que en
seguridad informtica el dinero siempre se gasta: o bien antes, en proteger,
o bien posteriormente en recuperar (lvarez y otros, p. 20).

13
Ley 256 de 1996. Esta ley es concordante con el numeral 1o del artculo 10 bis del
Convenio de Pars, aprobado mediante la Ley 178 de 1994.

360 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

Una de las mayores preocupaciones de las organizaciones, y en par-

ticular de los responsables del rea informtica, es el tratamiento de los
incidentes informticos, es decir, de aquellas situaciones que atentan,
vulneran o destruyen informacin valiosa de la organizacin, adems
del impacto psicolgico y econmico que puede generar en el mercado
accionario o en los accionistas cuando se informa sobre intrusiones y
prdidas14 de informacin en un ente empresarial.

Quizs lo descrito en los prrafos anteriores reeja la importancia del

concepto de seguridad de la informacin. Sin embargo, para terminar
de reforzar la importancia del tema para las empresas, si an existiese
alguna duda, basta conocer un listado de los delitos cometidos por el
cracker ms reconocido en la historia reciente, Kevin Mitnick. Fue acusado
de diversos crmenes: creacin de nmeros telefnicos no taricables;
robo de ms de 20 000 nmeros de tarjetas de crdito; precursor de la
falsicacin de direccin IP conocida como IP Spoong; burla al FBI
durante ms de 2 aos; robo de software de terminales telefnicos; control
de varios centros de conmutacin en USA; acceso ilegal a mltiples sis-
temas del gobierno de USA; entre otros incidentes de seguridad.

Los delitos cometidos por este ex delincuente informtico quien

hoy es un experto consultor en seguridad, despus de purgar varios
aos de prisin reejan no slo los tipos de conductas que conguran
un incidente informtico, sino tambin la posibilidad de que cualquier
empresa sea vctima de un ataque a sus activos, sistemas o redes de
informacin.

Entrando en materia, se tiene que el dominio A.13 de la norma

ISO 27 001 establece como objetivo de la gestin de los incidentes de
seguridad de la informacin la necesidad de asegurar que los eventos y
las debilidades de la seguridad asociados con los sistemas de informacin
se comunican de forma tal que permiten tomar las acciones correctivas
oportunamente

14
Un estudio del ao 2003 indicaba que en ese perodo se haban producido
100 000 incidentes de seguridad y se haban informado mas de 3000 vulnerabilidades
en sistemas de informacin.

revista de derecho, universidad del norte, 29: 333-366, 2008 361

 Arean Hernando Velasco Melo

En los asuntos de competencia del Derecho en materia de incidentes

informticos, descritos en el dominio A.13.2.3., se invita a que las
organizaciones sean proactivas en la recoleccin de la evidencia de los
mismos; en este sentido, el control establece que cuando una accin
de seguimiento contra una persona u organizacin despus de un
incidente de seguridad de la informacin implica acciones legales (civiles
o penales), la evidencia se debe recolectar, retener y presentar para
cumplir con las reglas para la evidencia establecidas en la jurisdiccin
competente.

Se puede decir que un incidente de seguridad consiste en una

conducta criminal o no desarrollada por un individuo contra sistemas
de informacin, redes de comunicaciones, activos de informacin, con
el n de alterar, copiar, simular, hurtar, destruir, indisponer, bloquear
y/o sabotear stos. Estos comportamientos pueden ser desplegados
por intrusos informticos, extorsionistas, terroristas, espas industriales,
usuarios de los sistemas o de las redes, ex empleados y millones de
adolescentes con conocimientos meridianos en ataques informticos.

Para el cumplimiento de la norma en materia de recoleccin de

las pruebas de un incidente es importante tener en cuenta que tales
actividades requieren del apoyo de la informtica forense15. Ante la
sospecha de la comisin de un incidente informtico, el anlisis forense
permitir capturar, procesar e investigar informacin procedente de
sistemas informticos, mediante la aplicacin de una metodologa que
permita dar mismidad y autenticidad a la prueba a ser utilizada en una
causa judicial.

Frente a la presencia de un incidente informtico corresponde al equi-

po de seguridad reaccionar frente al incidente siguiendo este esquema
de 4 pasos: identicar los equipos que pueden contener evidencia del

15
Es la encargada de analizar sistemas informticos en busca de evidencia que
colabore en llevar adelante una causa judicial. Esta prctica suele ser usada en la per-
secucin de criminales, litigios civiles, investigacin de seguros, y en organizaciones,
con el n de recolectar pruebas de comportamientos contrarios a la ley, a los estatutos,
a los reglamentos o a las polticas existentes en materia de seguridad.

362 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

incidente acaecido; preservar la evidencia de los daos accidentales o

intencionales, lo cual se logra efectuando una copia o imagen espejada
exacta del medio analizado; examinar la imagen de la copia original,
buscando evidencia o informacin sobre los hechos que suponen la
existencia de un incidente de seguridad; y por ltimo, escribir un
reporte, nalizada la investigacin, en el cual debe hacerse referencia
de los hallazgos a la persona indicada para tomar una decisin, bien
sea a un juez o al presidente de la compaa.

El problema de la recoleccin de incidentes informticos radica en

aplicar protocolos que permitan un tratamiento probatorio conforme a
la ley, de manera que la prueba obtenida tenga la legalidad requerida
para ser aceptada en una causa judicial, sea sta de naturaleza penal,
civil, administrativa o disciplinaria.

En trminos grcos, el tratamiento que se debe realizar respecto

de la comisin de un incidente informtico demanda aplicar tcnicas
equivalentes a las practicadas para buscar la evidencia de un delito
cometido en el mundo real.

No obstante, existen diferencias sustanciales al recabar la evidencia

de incidentes informticos, pues la prueba de tales acciones muchas
de las veces pueden desaparecer o ser eliminadas por su volatilidad;
caracterstica que exige que la intervencin del equipo de seguridad se
realice tan pronto como se tenga conocimiento o sospecha de la ocurren-
cia de un ataque a los activos de informacin de una organizacin.

Corresponde precisar que no slo se trata de encontrar la evidencia

del delito, ataque o intrusin, de carcter informtico, sino que adems
se precisa la limpieza en la prctica de la misma, pues en caso de alterarla
o desaparecer sta, ser imposible demostrar la comisin del incidente,
y por esta va, aplicar las sanciones o penas a que haya lugar, as como
el resarcimiento de los perjuicios que se causen.

Ahora bien, un incidente informtico puede o no tener carcter

judicial, y una organizacin seguramente denir por razones estrat-
gicas hacer pblica o no su condicin de vctima de un ataque a sus

revista de derecho, universidad del norte, 29: 333-366, 2008 363

 Arean Hernando Velasco Melo

activos de informacin. As mismo, la denicin de si un incidente

informtico tiene carcter judicial es determinada por la tipicidad legal
de la conducta del infractor; para el efecto habr de contrastarse la misma
contra los tipos penales consagrados en la legislacin de cada pas.

Los sistemas acusatorios permiten que los particulares puedan

participar en la recoleccin de la evidencia de la comisin de determinados
hechos potencialmente punibles, previo cumplimiento de los requisitos
que exige la ley procesal. Esta facultad es fundamental en materia de
oportunidad y pericia a la hora de recabar la evidencia de un incidente
de naturaleza informtica.

La recoleccin de la evidencia de un incidente informtico, por las

particularidades y caractersticas del mismo, implica la participacin
de un equipo interdisciplinario de profesionales capacitados en
identicar, recolectar, documentar y proteger las evidencias del incidente,
apoyndose en tcnicas de criminalsticas forenses, que permitan ini-
ciar las acciones penales y civiles derivadas de la ocurrencia de estos
incidentes.

Al respecto es importante conocer las medidas que en el marco del

sistema acusatorio de cada pas existan para que los mismos particulares,
en este caso las organizaciones afectadas, puedan recabar las pruebas
de los hechos punibles cometidos, teniendo en cuenta la cadena de
custodia, entre otras herramientas, que asegure las caractersticas
originales de los elementos fsicos de la prueba del incidente, desde
la proteccin de la escena, recoleccin, embalaje, transporte, anlisis,
almacenamiento, preservacin, recuperacin y disponibilidad nal
de stos, identicando al responsable en cada una de sus etapas y los
elementos que correspondan al caso investigado.

En materia de gestin de la seguridad de la informacin, ste es quizs

uno de los mayores retos que enfrenta una organizacin, en particular,
por la facilidad y creciente tendencia a atentar contra los sistemas de
informacin, as como el desconocimiento y la escasa formacin en la
recoleccin de la evidencia de los incidentes informticos.

364 revista de derecho, universidad del norte, 29: 333-366, 2008

 el derecho informtico y la gestin de la seguridad de la informacin
Una perspectiva con base en la Norma ISO 27 001

CONCLUSIONES

El siglo XXI, caracterizado por la sociedad de la informacin, implica que

todas las organizaciones, sean stas pblicas o privadas, nacionales o
transnacionales, cualquiera que sea el sector econmico en que desarrollen
su objeto social, estn relacionadas con la tecnologa informtica, sea
que adquieran o desarrollen activos de informacin; realidad que hace
que la seguridad sea algo que demande su permanente atencin.

Las Tecnologas de la Informacin y las Comunicaciones reclaman

del Derecho respuestas innovadoras y globales respecto de los retos
que le son intrnsecos; por tanto, los operadores jurdicos deben estar
capacitados y entrenados para apoyar a la sociedad en la solucin de
las problemticas propias de la relacin Informtica-Derecho.

El Derecho, como administrador de riesgos, se encarga de dotar de

seguridad los diferentes activos de informacin de una organizacin;
desde esa perspectiva se requiere una gestin jurdica permanente de
los riesgos, amenazas y vulnerabilidades, como medio para adoptar
las medidas y controles que disminuyan los mismos.

As como en la sociedad el Derecho es el agente regulador de la con-

vivencia entre los seres humanos, la Norma ISO/NTC 27 001 imparte las
reglas y parmetros para que las organizaciones reglamenten y auto-
rregulen la gestin de sus activos de informacin de manera segura.

Referencias

Libros

LVAREZ, G. y otros. Seguridad Informtica para empresas y particulares. Madrid:

McGraw-Hill.
CALDER, A. (2006). Nueve claves para el xito. Una visin general de la imple-
mentacin de la norma NTC-ISO/IEC 27001. Icontec.
CALLE, S. (2002). El contrato informatico sobre bienes inmateriales susceptibles de
digitalizacion. Tesina de grado, Universidad Complutense de Madrid.
JORDANO, J.B. (1953). Los contratos atpicos (p. 20). Madrid: Instituto Editorial
Reus.

revista de derecho, universidad del norte, 29: 333-366, 2008 365

 Arean Hernando Velasco Melo

SUE, E. (2000). Tratado de Derecho Informtico. Introduccin y Proteccin de

datos personales (1 ed., vol. I, p. 7). Editorial Universidad Complutense de
Madrid.

Revistas

CANO, J. (2007). Inseguridad Informtica y Computacin Antiforense: Dos

conceptos emergentes de la Seguridad de la Informacin. Information System
Control Journal, vol 4,.
OLLATILU, O. (2006). Identity Theft and Corporations Due Diligence.
Information Systems Control Journal, vol. 6.

Leyes y normas

Decisin 351 de 1993 CAN. Artculo 3

Directiva 96/9/CE
Ley Orgnica 15/1999 de Proteccin de Datos Personales. Espaa
Ley 256 de 1996
Norma ISO 27 001

Sentencias

Sentencia T-46 de 1997

366 revista de derecho, universidad del norte, 29: 333-366, 2008