LEGISLACIÓN COLOMBIANA SOBRE DOCUMENTOS

ELECTRÓNICOS Y SEGURIDAD INFORMÁTICA

EJE TEMÁTICO No. 6

LA LEGISLACIÓN COLOMBIANA SOBRE DOCUMENTOS ELECTRÓNICOS SEGURIDAD INFORMÁTICA

PRESENTADO POR:

LINA MARÍA CASTRO MENA

DIANA JOHANNA BETANCOURT AHUMADA

YOHANNA ANDREA CASTILLO ALBAÑOL

DIANA MARCELA BAUTISTA PELÁEZ

MARÍA XIMENA CARDONA LONDOÑO

PRESENTADO A:

JORGE MARIO ZULUAGA CAMPUZANO

Gestión de Documentos Electrónicos G 2

UNIVERSIDAD DEL QUINDÍO CIENCIAS DE LA INFORMACIÓN

Y LA DOCUMENTACIÓN BIBLIOTECOLOGÍA Y ARCHIVÍSTICA

BOGOTÁ

ABRIL DE 2012

INTRODUCCIÓN

El documento electrónico ya hace parte de nuestro diario vivir, lo encontramos en diferentes actividades : contratos, órdenes de pago, transferencias electrónicas, correo electrónico, documentos digitales, etc.

Por esta razón se hace necesario analizar las cuestiones jurídicas relacionadas con los documentos electrónicos y en general al intercambio electrónico de datos ya que su conocimiento y manejo será de vital importancia para no incurrir en errores relacionados con su manejo y funcionamiento.

La legislación existente sobre documentos electrónicos ayudan a regular la forma y el valor probatorio de estos, así como su valides para cualquier acto jurídico, además las diferentes normas, leyes y decretos dan las directrices necesarias enfocadas principalmente a prevenir adulteraciones y salvaguardar su autenticidad y sancionar legalmente su adulteración.

OBJETIVOS

Dar a conocer las leyes, decretos normas existentes en Colombia sobre documentos electrónicos.

Reconocer la importancia de la seguridad informática dentro de las organizaciones.

HABLEMOS DE HISTORIA!!!

Reseña Histórica: El día 21 de abril de 1998 se presentó el proyecto de ley número 227 de 1998 ante la cámara de representantes para su debate y aprobación con el fin de definir y reglamentar el acceso y uso del comercio electrónico, de las firmas digitales y la autorización de las entidades de certificación. En la exposición del proyecto de ley se estableció la importancia de ajustar el ordenamiento jurídico nacional con los adelantos tecnológicos presentes y dejar la puerta abierta para tecnologías futuras que pudiesen aplicarse en estas esferas.

PRINCIPALES NORMAS EN LA LEGISLACIÓN COLOMBIANA

Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

Esta ley establece la misma validez de los documentos electrónicos frente a los documentos cuyo soporte es el papel.

EL COMERCIO ELECTRÓNICO

Son aquellas transacciones comerciales realizadas o basadas en sistemas electrónicos de procesamiento y transmisión de información, especialmente EDI (electronic data interchange) e internet (interconnected networks).

El comercio electrónico es un área que actualmente está experimentando gran crecimiento e importancia jurídica; está innovando y cambiando los hábitos comerciales en la forma de realizar negocios y es considerado un elemento esencial para el crecimiento económico mundial en la sociedad de la información.

EL DERECHO INFORMÁTICO• El derecho informático es el conjunto de normas que regulan la incidencia de la

informática en la sociedad y los conflictos con los derechos de las personas incluyendo aspectos desde una óptica tecnológica, económica, ética y social.

• En las relaciones sociales y económicas generadas como consecuencia del desarrollo e introducción de las tecnologías de información en las actividades humanas, surgen cuestionamientos acerca de cómo resolver conflictos originados de esa relación; algunos aspectos que guardan íntimo vínculo con el fenómeno de la desmaterialización, son:

• Aplicación de conceptos que típicamente han estado asociados a actividades basadas en la utilización del papel, tales como original, firma, escrito.

• Las responsabilidades, derechos y obligaciones derivados de la transferencia electrónica de fondos o datos, inclusive entre países con diferentes regulaciones jurídicas, y las responsabilidades de operaciones en cadena por medio de redes de comunicación pertenecientes a distintos territorios y bajo ordenamientos jurídicos dispares.

• La validez probatoria de documentos electrónicos.

• Aspectos de seguridad y autenticación.

• Todos estos de suma importancia para el tema de estudio que nos ocupa.

EVOLUCIÓN DE LA LEY DE COMERCIO ELECTRÓNICO EN COLOMBIA

En los años 90 crece la tendencia en el uso de las tecnologías de de la información y la comunicación en la práctica mercantil internacional, la cual adquirió unos alcances hasta ese momento no imaginados, que condujeron a distintas disciplinas del conocimiento a estudiar las condiciones en que se desarrollaban las relaciones mercantiles internacionales y los efectos jurídicos que ellas producían.

Los antecedentes de la legislación del comercio electrónico, en nuestro país, se expedía en el Decreto 663 de ese mismo año “por medio del cual se actualiza el Estatuto Orgánico del Sistema Financiero y se modifica su titulación y numeración”, en el cual prevé en el numeral 6 del artículo 127 y en el artículo 139 la viabilidad del uso de los sistemas electrónicos y del intercambio electrónico. Posteriormente en el año 1995, el Congreso de la República promulgó la Ley 222 por medio de la cual se reformó el Código de Comercio. En ésta norma se dispuso la posibilidad de efectuar reuniones de accionistas sin que fuera indispensable su presencia física y simultánea, toda vez que se cumplieran los requisitos previstos en la Circular Externa 05-96 de la Superintendencia de Sociedades.

Más adelante se expide el Decreto 2150 “por medio del cual se suprimen y reforman regulaciones, procedimientos o trámites innecesarios, existentes en la Administración Pública”, y se dispuso en su artículo 26 que las entidades de administración pública deberían habilitar sistemas de transmisión electrónica de datos para que los usuarios enviaran o recibieran información requerida en su actuación frente a la administración y que en ningún caso las entidades públicas podrían limitar el uso de tecnologías para el archivo documental por parte de los particulares, sin perjuicio de sus niveles tecnológicos. Más tarde, se establecieron disposiciones concernientes a la factura electrónica a través de la Ley 223 de 1995, el Decreto 1094 de 1996 y el Concepto de la Dian No. 40333 de 2000.

La iniciativa legislativa colombiana surge pues, del acercamiento con los organismos internacionales interesados en el tema y de los debates e investigaciones realizados por la comisión redactora de la ley colombiana, donde estuvieron representados los organismos públicos y privados, los cuales concluyeron que la ley modelo propuesta por la Comisión de Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) era el instrumento idóneo de base para adecuar el derecho interno a las tendencias jurídicas mundiales.

PRINCIPALES NORMAS EN LA LEGISLACIÓN COLOMBIANA

• Decreto 1747 de 2000: por el cual se reglamenta parcialmente la Ley 527

• Decreto 266 de 2000: por el cual se dictan normas para suprimir y reformar las regulaciones , trámites y procedimientos.

Este decreto se aplica a todos los organismos públicos o bien privados que ejerzan por atribución legal funciones públicas y adoptan una postura uniforme frente al mensaje de datos y la firma digital.

Ley 527- Definicionesa. Mensaje de datos:

“La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser entre otros, el Intercambio Electrónico de Datos (EDI), internet, el correo electrónico, el telegrama, el télex o el telefax.”

El mensaje de datos como tal debe recibir el mismo tratamiento de los documentos consignados en papel, es decir, debe dársele la misma eficacia jurídica, por cuanto el mensaje de datos comporta los mismos criterios de un documento.

Efectos jurídicos del mensaje de datos:

Los mensajes de datos tienen plena validez jurídica, por ello es esencial determinar quién ha sido el emisor del mensaje y esto solo se puede probar con el uso de la firma digital.

Ley 527 – Artículo 2°Definiciones

b. Comercio electrónico:

“Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar…”

C. FIRMA DIGITAL:

“Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador que el mensaje inicial no ha sido modificado después de efectuada la transformación. “

Ley 527 – Artículo 2°Definiciones

d. Entidad de certificación:

“Es aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales

e. Intercambio Electrónico de Datos (EDI):

“La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto”

f. Sistema de Información:

“Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos”

Ley 527 De las firmas

Artículo 7°. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si:

a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación;

b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado

Ley 527 De las firmas

Artículo 28°. Atributos jurídicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.

Parágrafo. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:

1. Es única a la persona que la usa.

2. Es susceptible de ser verificada.

3. Está bajo el control exclusivo de la persona que la usa.

4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.

5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.

IMPORTANTE: Para dar el efecto jurídico de la firma digital se requiere dar cumplimiento a las normas antes mencionadas.

Ley 527 De las firmas

IMPORTANTE: Para dar el efecto jurídico de la firma digital se requiere el cumplimiento cabal de las normas antes mencionadas, de lo contrario estaremos en presencia de una firma electrónica al momento de valorarla probatoriamente, la cual puede, entre otros casos ser tenida como un indicio, más no como una firma digital en estricto sentido y por lo tanto no se podrá asemejar a una firma manuscrita

Ley 527 – Entidades de certificación

El artículo 29 indica que las entidades de certificación pueden ser:

1.Publicas o privadas

2. Por su origen

nacional o extranjero

3.Persona jurídica común o

cámara de comercio

5. Notarios y cónsules

(Ley 588 de 2000)

4.Abiertas y cerradas

Ley 527 Requisitos de la entidad de certificación

Artículo 29. Características y requerimientos de las entidades de certificación. Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones:

a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación;

b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley;

c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el mismo

período que la ley penal o administrativa señale para el efecto.

Ley 527 Artículo 35Contenido de los certificados

Artículo 35: “Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:

1. Nombre, dirección y domicilio del suscriptor.

2. Identificación del suscriptor nombrado en el certificado.

3. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.

4. La clave pública del usuario.

5. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.

6. El número de serie del certificado.

7. Fecha de emisión y expiración del certificado.

DECRETO 1747 DE 2000Con este decreto se complementó el sentido de concepto de firma digital y se dictaron algunas definiciones sobre varios de los términos que están íntimamente ligados a esta:

• INICIADOR: Persona que actuando por su cuenta, o en cuyo nombre se haya actuado, envíe o genere un mensaje de datos.

• SUSCRIPTOR: Persona a cuyo nombre se expide un certificado.

• REPOSITORIO: Sistema de información utilizado para almacenar y recuperar certificados y otra información relacionada con los mismos.

• CLAVE PRIVADA: Valor o valores numéricos que, utilizados conjuntamente con un procedimiento matemático conocido, sirven para generar la firma digital de un mensaje de datos.

• CLAVE PÚBLICA: Valor o valores numéricos que son utilizados para verificar que una firma digital fue generada con la clave privada del iniciador.

• CERTIFICADO EN RELACIÓN CON LAS FIRMAS DIGITALES: Mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al suscriptor y contiene la clave pública de éste.

• ESTAMPADO CRONOLÓGICO: Mensaje de datos firmado por una entidad de certificación que sirve para verificar que otro mensaje de datos no ha cambiado en un período que comienza en la fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de datos generado por el prestador del servicio de estampado, pierde validez.

DECRETO 266 DE 2000• Artículo 11. – Incorporación de medios técnicos: copia de las leyes,

de los actos administrativos de carácter general o de documentos de interés público, relativos a cada entidad, serán puestos a disposición del público a través de medios electrónicos. Las reproducciones efectuadas se reputarán auténticas para todos los efectos legales, siempre que no se altere el contenido del acto o documento.

• Artículo 26. - Medios tecnológicos: Se autoriza a la administración pública el empleo de cualquier medio tecnológico o documento electrónico que permita la realización de los principios de igualdad, economia, celeridad, imparcialidad, publicidad, moralidad y eficacia en la función administrativa, así como el establecimiento de condiciones y requisitos de seguridad que para cada caso sean procedentes, sin perjuicio de las competencias que en la materia tengan algunas entidades especializadas.

SEGURIDAD INFORMATICA

Las organizaciones deben garantizar la implementación de políticas de seguridad informática.

Una organización que ofrece sus servicios a través de la red sin tener establecidas unas políticas de seguridad informáticas recurre en negligencia e irresponsabilidad.

El activo más importante de una organización es la información, la vulnerabilidad, el deterioro o la pérdida de está pueden traer grandes problemas.

OBJETIVOS DE LA SEGURIDAD INFORMATICA

• La seguridad informática está concebida para proteger los activos informáticos.

• La información contenida se ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización.

• La infraestructura computacional Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización.

• Los usuarios son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información.

AMENAZAS INFORMATICASTIPOS DE AMENAZAS EJEMPLOS

Suplantación• Falsificar mensajes de correo electrónico• Reproducir paquetes de autenticación

Alteración • Alterar datos durante la transmisión• Cambiar datos en archivos

Repudio • Eliminar un archivo esencial y denegar este hecho• Adquirir un producto y negar posteriormente que se ha

adquirido

Divulgación de información • Exponer la información en mensajes de error• Exponer el código de los sitios web

Denegación de servicio • Inundar una red con paquetes de sincronización• Inundar una red con paquetes ICMP falsificados

Elevación de Privilegios • Explotar la saturación de un búfer para obtener privilegios en el sistema

• Obtener privilegios de administrador de forma ilegítima

PROBLEMAS DE SEGURIDAD, LOS MÁS COMUNES Y PELIGROSOS MIENTRAS SE

NAVEGA EN INTERNET.

• Podemos definir las amenazas Web como programas maliciosos que se instalan en su computador personal, sin la autorización ni conocimiento del usuario. Estos programas usan la Web para dispersarse, ocultarse, actualizarse a sí mismos y enviar la información privada robada hacia los delincuentes.

ELEMENTOS QUE PROTEGE LA SEGURIDAD INFORMATICA

LA INFORMACIÓ

N

LA SEGURIDAD

DE LA INFORMACIO

N

LAS PERSONAS

QUE LA UTILIZAN

LOS EQUIPOS QUE LA

SOPORTAN

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN

•Garantiza que la información no ha sido alterada en su contenido.

INTEGRIDAD

•Tiene como propósito el asegurar que sólo la persona correcta acceda a la información.

CONFIDENCIALIDAD

•Garantizar que la información llegue en el momento oportuno.

DISPONIBILIDAD

POLÍTICAS DE SEGURIDAD

Conjunto de directrices, normas, procedimientos, instrucciones que definen los criterios de seguridad

para que sean adoptados a nivel local o institucional

con el objetivo de establecer, estandarizar y normalizar la seguridad

tanto en el ámbito humano como tecnológico.

AMBITOS PARA IMPLEMENTAR POLITICAS DE SEGURIDAD

• Seguridad física: acceso físico, estructura del edificio, centro de datos

• Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación.

• Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo

• Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia

• Auditoría de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoría

ISO 17799

El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información, reconocida internacionalmente. Suministra los procedimientos a seguir por una organización para construir un programa de gestión de seguridad de la información.

CONTROLES ESENCIALES EN UNA ORGANIZACIÓN (ISO 17799)

Los controles que se consideran esenciales para una organización desde un punto legislativo comprenden:

• La protección de los datos de carácter personal

• La salvaguarda de los registros de la organización

• Los derechos de la propiedad intelectual

BIBLIOGRAFÍA• Cubillos Velandia, Ramiro. Introducción jurídica al comercio

electrónico. Bogotá : Ediciones jurídicas Gustavo Ibáñez, 2002. 436 p.

• Dussan Clavijo, Ciro Antonio. Políticas de seguridad informática En: Entramado Vol. 2 No. 1 (enero, 2006); 86-92

• www.google.com

• http://www.ixp.net.co/contenido/normatividad/seguridad-informatica

• http://html.rincondelvago.com/comercio-electronico-en-colombia.html

• El Acto Administrativo Electrónico y las Nuevas Tecnologías de la Información.