En la presente unidad se desarrollará la Ética en la Información, la cual tiene

que ver con los aspectos morales, la responsabilidad y el deber cotidiano a

nivel personal y a nivel de la organización, cuyos procesos se dan a través de

los sistemas de información, los cuales dependen del buen uso o mal uso que

de estos se hagan. La información es el activo más importante de cualquier

organización, sea la más compleja multinacional o el negocio más sencillo, por

lo tanto se hace necesario tener presente los aspectos y valores que le

corresponden para no incurrir en los problemas éticos derivados del manejo de

la información. A través del desarrollo de esta unidad se encontrarán con

varios temas como: Ética Informática, Aplicación de la Ética Informática,

Seguridad Informática, Leyes y Normas, temas que orientarán y servirán de

referente en el campo laboral y profesional.

1.1.1 Ética (valores sociales y humanos)

La ÉTICA tiene que ver con los valores y, ¿qué son valores? El valor es un

bien que perfecciona; los valores se expresan libre y conscientemente en

comportamientos o acciones concretas que finalmente se convierten en

hábitos. Saber cuáles son los principales valores es una necesidad

fundamental para cada persona y para cada organización; debemos

conocerlos, no solo como información, sino como un método práctico para

implementarlos en la vida cotidiana, y buscar convertirlos en valiosos hábitos

de una sana conducta, fundamento de una vida igualmente sana. Los valores

son los que nos conducen e iluminan en la construcción de un proyecto ético

de vida.

De acuerdo con Sergio Tobón (2005), el proyecto ético de vida se fundamenta

en una planeación consciente e intencional que hace cada una de las

personas con el fin de guiar y proyectar su vida en los diversos campos del

desarrollo humano, buscando satisfacer sus necesidades y los deseos que

hacen parte de su estructura, con el propósito de ser realizada asumiendo las

implicaciones y consecuencias originadas por sus actuaciones en los

diferentes espacios, bien sea en el familiar, en el social, el cultural, el laboral, o

en otros que demanden su desempeño.

En la Figura 1 se puede observar los componentes del proyecto ético de vida,

los cuales sirven de orientación y de reflexión.

(Fuente: Tobón, Sergio. Formación Basada en

Competencias. Pensamiento Complejo, Diseño Curricular y

Didáctica. Segunda Edición. Página 12).

En coherencia con lo anterior, podemos decir que somos personas que

tomamos nuestras propias decisiones morales y vitales, por consiguiente

somos responsables de todas las cosas buenas y malas que hacemos o que

nos pasan. Somos seres autónomos porque en gran parte podemos decidir y

elegir nuestra forma de vida, también podemos optar por lo que nos parece

bueno o conveniente para nosotros frente a lo que no es bueno o lo que no

nos conviene, estas decisiones pueden permitir equivocarnos o salir

triunfantes, por lo tanto, es prudente fijarnos bien en lo que hacemos y procurar

adquirir un saber que nos permita vivir satisfactoriamente, lo mismo que tener

claridad sobre nuestros propósitos y nuestra historia para poder acertar en los

resultados esperados como fruto de las decisiones tomadas.

1.1.2 Axiología y dilemas éticos

Axiología, según López, A. (1999), proviene del griego axios que significa

valioso, estimable, digno de ser honrado, y logos que significa palabra, tratado,

ciencia. Axiología, según lo anterior, es la ciencia que estudia los valores. La

axiología, denominada por algunos como Teoría de los Valores, comprende,

por una parte, el estudio de la esencia y de la naturaleza de los valores y, por la

otra, los juicios de valor.

La axiología se relaciona con la ética porque da el fundamento valoral de las

virtudes, y se relaciona con las demás ciencias porque todas necesitan partir

de determinados valores para plantear sus postulados.

¿Qué es el valor? Atendiendo a Cortina, A. (1997), un valor no es un objeto, no

es una cosa, no es una persona, sino que está en la cosa (un hermoso

paisaje), está en la persona (una persona solidaria), está en una sociedad

(una sociedad respetuosa), se encuentra presente en un sistema (un

sistema económico justo), o se evidencia en las acciones (una acción

buena).

Con la introducción acelerada de las tecnologías de la información, se han

modificado de manera directa e indirecta los valores morales de los sujetos y

de las organizaciones, produciendo dilemas éticos, amenazas en el

comportamiento y en la conducta de los sujetos, la sociedad y las

organizaciones. Modificaciones que a partir de la masificación del internet y los

abusos que se han generado en la red, han puesto en riesgo la propiedad

intelectual, el acceso a la información libre o restringida, la confidencialidad e

integridad de los datos.

1.2 ÉTICA INFORMÁTICA

Según Moor (1985 citado por Neif & Jane, 2006), la Ética Informática se define

como una disciplina que identifica, analiza la naturaleza y el impacto social de

las tecnologías de la información y de la comunicación en los valores humanos

y sociales, estos son, entre otros: salud, riqueza, trabajo, libertad, privacidad,

seguridad o la autorrealización personal, democracia, conocimiento. Asimismo

involucra la formulación y justificación de políticas que dirigen nuestras

acciones y procuran el uso ético de estas tecnologías.

A su vez Joyanes, L. (1997), la considera como “el análisis de la naturaleza e

impacto social de la Tecnología de la Informática, la formulación

correspondiente y justificación de políticas para su uso ético”. De acuerdo con

estas definiciones, se infiere que dos autores, Moor y Joyanes, coinciden

cuando dicen que es una formulación y justificación de políticas para el uso

ético de las tecnologías.

Teniendo en cuenta las definiciones planteadas, se podría decir que la Ética

Informática está relacionada con la capacidad moral y los principios éticos del

profesional informático, en las decisiones, en las acciones y en la

responsabilidad para actuar y afrontar los nuevos desafíos de las tecnologías y

las comunicaciones.

En el documento “Cuatro Principios de Ética” de Barroso Asenjo (1986), se

confirma que en la investigación realizada al hacer el análisis de las

frecuencias, las cuales fueron agrupadas de acuerdo con los cuatro principios

éticos de Mason (1986), estos fueron identificados como temas éticos claves

para las aplicaciones de las tecnologías de la información. Estos temas los

sintetiza con el acrónimo PAPA, por sus equivalentes en inglés a Privacy

(intimidad y vida privada), Accuracy (exactitud), Poperty (propiedad) y Access

(acceso).

INTIMIDAD: Requiere que los informáticos traten la información privada y

confidencial con respeto y no compartirla con las personas que no tengan

derecho a ello.

A este respecto, Rachelle y Dianne (1982), definen la intimidad como “el

derecho a permanecer solo: el más comprensible de los derechos y el que más

valora al hombre civilizado”, o como la libertad del individuo a la oportunidad

“De elegir el momento y las circunstancias en los que compartirá sus secretos

con otros y hasta que punto”. La intimidad así definida se viola cuando se

recopilan datos de la vida privada del individuo sin tener en cuenta la precisión

de los mismos y se viola, más aún, cuando se difunde a otros para uso público

o privado.

Esta situación ha causado en Estados Unidos la promulgación de diversas

leyes, tales como la Freedom of Information Act (ley de libertad de la

información) de 1966-67, y la Privacy Act (ley de la intimidad) de 1974. Mucha

gente incluso pensaba que era necesario leyes más severas para salvaguarda

la intimidad.

EXACTITUD: La puntualidad y la fidelidad en la transmisión de datos.

PROPIEDAD INTELECTUAL: Según el pensamiento de Della Mirandola

(1463–1494 citado por Álvarez & Restrepo, 1997), al poner el acento en la

capacidad creadora del hombre y en el poder de transformación de sí mismo,

en esa capacidad y en ese poder radica la diferencia específica del ser humano

con las demás especies. La inteligencia y la sensibilidad permiten al hombre

evolucionar como especie, perfeccionar el lenguaje, expresarse estéticamente,

mejorar los sistemas de comunicación, en fin, hacer el mundo para sí. De la

faceta creativa del hombre se ocupa la propiedad intelectual: su objeto es

regular los derechos y las obligaciones que se tienen sobre las producciones

del talento, las que, según lo establecido en el artículo 671 del estatuto civil,

son propiedad de sus autores. En este sentido, el tratadista Valencia Zea

(1994), clasifica la propiedad intelectual como un derecho inmaterial: “Las ideas

de un autor, el descubrimiento de un inventor, los productos del espíritu en su

más amplia expresión, representan valores patrimoniales y son susceptibles de

ser apreciados en dinero. Denomínanse bienes inmateriales y los derechos

que sobre ellos se ejercen, derechos inmateriales”.

Tomando en cuenta que la propiedad intelectual es un derecho que tiene el que

la produce, se nos impone respetarla y acogerla solo como referente o guía en

una investigación, la cual debe ser citada para reconocer el autor. Del mismo

modo, el profesional o la persona capacitada en informática no debe copiar

programas, bases de datos, archivos e información, puesto que tienen

propiedad intelectual, por lo tanto no le pertenece, razón por la cual, además de

merecer respeto, merece el reconocimiento al verdadero dueño.

ACCESO: Es el derecho a proveer y recibir información teniendo en cuenta que

tipo de información requiere y con que fin.

1.3 APLICACIÓN DE LA ÉTICA EN INFORMÁTICA

Para Fernando Savater (2000), la ética se ocupa de lo que uno mismo hace

con su libertad, debido a que todo proyecto ético parte de la libertad, en donde

las facetas públicas de la libertad humana comprende, a: La libertad de

reunirse o de separarse de otros, b: La de expresar las opiniones y la de

inventar la belleza o ciencia; c: La de trabajar de acuerdo con la propia

vocación o interés, d: La de intervenir en los asuntos públicos, y, e: La de

trasladarse o instalarse en un lugar. De igual manera es importante pensar los

intereses del otro como si fuesen los tuyos, y los tuyos como si fuesen del otro.

En consonancia con lo anterior no podemos perder de vista que en una

organización el profesional de la información debe conocer el interés y los fines

para quien trabaja, teniendo en cuenta la misión y visión, además de mucha

claridad en el manejo eficiente y confiable de la información y, adicionalmente,

no olvidarse de los valores de la intimidad y de la integridad de los datos.

Dicho de otra manera, para el profesional significa un reto diario el realizar los

diferentes procesos de forma transparente en la organización y para los

usuarios de las tecnologías, mediante un buen manejo y uso de las mismas.

1.4 SEGURIDAD INFORMÁTICA

La Seguridad Informática agrupa un conjunto de técnicas desarrolladas para

proteger los equipos informáticos individuales y conectados en una red frente a

daños accidentales o intencionados. Estos daños incluyen el acceso a bases

de datos de personas no autorizadas, el mal funcionamiento del hardware y la

pérdida física de datos (Diccionario de Informática, 2001).

¿Por qué es necesaria la seguridad?

Atendiendo a Gómez Vieites (2007), los sistemas y las tecnologías de la

información se han convertido en uno de los principales factores que influyen

en la competitividad de las empresas, siendo el talento humano el principal

actor y facilitador de los diferentes procesos. Debido a la progresiva

informatización de los hechos administrativos y de negocio, el despliegue de

redes privadas de datos, y el desarrollo de nuevos servicios on-line a través de

Internet, son algunos factores que explican la creciente preocupación por

mejorar la seguridad en los sistemas de información y la conexión corporativa a

Internet.

Otro autor, Jerry Fitzgerald (1992), considera que tanto las empresas como el

gobierno ya estaban preocupados por la seguridad mucho antes de que se

reconociera la preponderancia de las computadoras, en un principio

interesándose más por la protección física. Ahora, con el auge del

procesamiento computarizado, las técnicas centralizadas de almacenamiento

de bases de datos y las redes de comunicación, se ha incrementado la

necesidad de la seguridad. El interés por la seguridad en computación se

encuentra ahora enfocado directamente en las áreas de agencias

empresariales o gubernamentales. Este énfasis se manifiesta en la existencia

de controles para impedir, detectar o corregir cualquier cosa que pueda

suceder a la organización a través de las amenazas que deben enfrentar sus

sistemas de información.

De acuerdo con los planteamientos anteriores, la seguridad informática tiene

que ver con los diferentes controles en los procesos que se aplican en las

empresas para prevenir y detectar el uso no autorizado de los computadores y

de las redes donde se guarda la información.

A continuación se relacionan los componentes típicos de un centro de cómputo

y las amenazas que se pueden presentar.

Los componentes son: Hardware, software, organización, personal,

comunicaciones de datos. Cada uno de estos componentes muestra ejemplos

típicos de posibles amenazas.

HARDWARE:

Falla de la protección

Destrucción

SOFTWARE:

- Manejo sin autorización:

Acceso o uso

Copiado, modificación

Destrucción

Robo

Errores y omisiones

- Archivo:

- Manejo sin autorización:

Acceso

Copiado

Modificación

Destrucción y Robo

Entrada y salida fuera de línea:

o Desastre

o Vandalismo

o Fraude, robo y extorsión

o Errores y omisiones

ORGANIZACIÓN:

Separación funcional inadecuada

Falla de responsabilidad de seguridad

PERSONAL:

o Deshonestidad

o Errores graves

o Incompetencia

Componente comunicaciones de datos:

Errores de transmisión

Errores humanos

Errores de hardware y

Derivaciones ilegales

Según Gómez Vieites (2007), dentro del contexto general de la seguridad, se

podría entender como seguridad de la información, a cualquier medida

adoptada por una organización que trate de evitar que se ejecuten operaciones

no deseadas ni autorizadas sobre un sistema o red informática; los siguientes

pueden ser los problemas o efectos:

Conllevar daños sobre la información

Comprometer la confidencialidad

Disminuir el rendimiento

Bloquear el acceso de usuarios autorizados al sistema

Otras posibles consecuencias debidas a la falta de seguridad de la información,

son:

Horas de trabajo invertidas en las reparaciones y reconfiguraciones de

los equipos y redes

Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y

servicios informáticos

Robo de información confidencial: Revelación de fórmulas, diseños de

productos, estrategias comerciales.

Es oportuno recordad que la norma ISO/IEC 17799 en un sentido amplio define

la seguridad de la información como la “Preservación de su confidencialidad, su

integridad y su disponibilidad”.

De acuerdo a un estudio realizado por la Asociación Española para la Dirección

de Informática (AEDI) en mayo del 2002, el 72% de las empresas españolas

quebraría en cuatro (4) días si perdieran los datos guardados en sus

ordenadores. Está claro que la eliminación de todas las transacciones de un

día en una empresa podría ocasionarle más pérdidas económicas que sufrir un

robo o un acto de sabotaje contra alguna de sus instalaciones. Este estudio

demuestra que el activo más importante que existe en cualquier empresa es la

información, es por esto que se deben tomar las medidas necesarias para la

realización correcta de los procesos internos y externos.

Para evitar los riesgos a los que se puede enfrentar una empresa, el

profesional del manejo de la información debe actuar transparentemente,

garantizando la seguridad de los datos en los archivos y bases de datos,

asimismo tener el control para el acceso de los usuarios a los archivos. De

esta manera se están haciendo los controles de seguridad y aplicando los

principios éticos en el manejo adecuado de los equipos de cómputo y de la

información.

En España, la Ley Orgánica 15/1999 del 13 de diciembre, sobre Protección de

Datos de Carácter Personal (LOPD), obliga a la implantación de importantes

medidas de seguridad informática a las empresas que hayan creado ficheros

con datos personales. (Gómez Vieites, 2007).

A continuación se describen algunos pasos para cumplir con los requisitos de

LOPD.

Notificar a la Agencia de Protección de Datos, organismo responsable

de velar por el cumplimiento de la LOPD, la existencia en la empresa de

bases de datos o ficheros que incluyen datos de carácter personal,

especificando la finalidad a que obedece el fichero y el nivel de medidas

de seguridad que se van adoptar.

Asimismo las empresas deben informar a los interesados de la recogida

de datos personales, mediante las correspondientes cláusulas

informativas que se deberían incluir en todos los impresos en papel o

formularios electrónicos utilizados para recabar sus datos. El

incumplimiento con esta obligación se considera una infracción leve de

la LOPD, por lo que puede ser sancionada con una multa que oscila

entre los 601 y los 60.101 euros.

La empresa debe tener presente que si el fichero pierde la finalidad

originaria, la LOPD no permite su reutilización para otras actividades, por

lo que sus datos deben ser destruidos, y se debe notificar sobre la

destrucción del fichero a la propia Agencia de Protección de Datos.

Otra cuestión de especial importancia en materia de protección de datos

es la cesión de datos personales a terceros. La LOPD prohíbe la

comunicación o cesión de datos a terceros sin el consentimiento expreso

de los afectados.

1.5 RELACIÓN ENTRE LA ÉTICA INFORMÁTICA Y LA LEGISLACIÓN INFORMÁTICA

En general, uno de los derechos más importantes es el Derecho a la Intimidad,

y sobre la protección de datos personales, priman la privacidad y la

confidencialidad. Si en algún caso la información es obtenida por terceros,

estos están violando dicho derecho debido que tienen acceso a los datos

personales; en consecuencia adquieren poder sobre las personas en razón de

información conseguida. Esta infracción es castigada en España por la Ley

Orgánica 15/1999, del 13 de diciembre. Esta ley se rige por los principios de la

legalidad, la proporcionalidad, la transparencia, y el derecho a la intimidad. La

finalidad de esta ley es contrarrestar los riesgos que corren las personas con la

recolección y el tratamiento inadecuado de la información en los medios

informáticos.

Caso 1: Acceso a la información: Del libro “La Amenaza Digital”, lectura del

artículo “Me roban mis datos y de paso a mis clientes”. Páginas 73 a la 80.

Uno de los problemas más frecuentes que actualmente está enfrentando el

mundo de la comunicación es el correo electrónico, debido a los continuos

fraudes que ocurren. Uno típico sucede desde el momento que llega el correo a

la cuenta del usuario informándole que la cuenta del banco ha sido bloqueada

por varios intentos de acceso, según el enlace de la página Web del banco

enviada en el correo adjunto, donde a su vez le solicitan que inmediatamente

debe ingresar los datos personales para que la cuenta en el banco no sea

bloqueada. Este delito se puede relacionar con la ley 527 de 1999 y con la

1273 de enero del 2009, así:

La ley empieza a operar en el numeral a. Mensaje de Datos, del artículo 2,

capítulo I de la parte I de la ley 527 del 1999, y en el artículo 269G

“Suplantación de Sitios Web para capturar datos personales” de la ley

1273 de enero del 2009, donde se nos dice que este delito tiene pena de

prisión de cuarenta y ocho (48) a noventa y seis (96) meses y una multa de 100

a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta

no constituya delito sancionado con pena más grave.

Caso 2: Violación de datos personales. Del libro “La Amenaza Digital”, lectura

del artículo contenido en las páginas 23 y 24. .

El artículo 269G, de la Ley 1273, Suplantaciones de sitios de Web para

capturar datos personales. Esta clase de delito tiene una pena de prisión de

48 a 96 meses y una multa de 100 a 1.000 dólares. La suplantación de la

identidad a través de la manipulación de direcciones IP es una de las formas

más habituales y son fáciles de ejecutar por la gran cantidad de programas que

se pueden descargar en la red. El objetivo es alterar o manipular los

contenidos de la web.

Caso 3: Suplantación: Del libro “La Amenaza Digital”, lectura del artículo

“Suplantación de Identidad”. Páginas 83 a la 90. Como su nombre lo indica,

está relacionado con la suplantación de identidad a través de la manipulación

de la IP.

Artículo 269E: Uso software malicioso. El que sin estar facultado para ello,

produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del

territorio nacional software malicioso u otros programas de computación de

efectos dañinos. El que cometa esta clase de delito incurre en pena de prisión

de 48 a 96 meses y una multa de 100 a 1.000 salarios mínimos legales.

Caso 4: Software malicioso: Del libro “La Amenaza Digital” lectura de las

páginas 25 a la 29. Este artículo está relacionado con el virus y el pirateo de la

información.

Para las leyes tratadas en este módulo, hacer lectura del Libro “La Amenaza

Digital” y ubicar el delito encontrado en la ley que usted considere pertinente y

argumente el por qué la ubicó.

J, Serrahima. (2020). La Amenaza Digital. Barcelona: Profit Editorial.

En el libro se da cuenta de los riesgos informáticos que pueden arruinar un

negocio. Se transcriben casos reales de empresas y profesionales que no

tomaron las debidas precauciones.

1.5.1 Estudio y apropiación de la normatización nacional e internacional de la seguridad de la información

A continuación se describen algunas leyes y normas que se deben incorporar

en nuestros conocimientos, para que de alguna manera nos muestren el

camino correcto en la ejecución de procesos en la organización y en la toma

de decisiones.

Leyes sobre protección de la información personal (Alcalde, Lancharro.

1994)

Los gobiernos de los Estados Occidentales han tenido que arbitrar medidas

legales para proteger al ciudadano. Algunas de estas legislaciones tienen ya

varios años de funcionamiento, pero otras, como la española, son bastantes

recientes.

La legislación española contempla la protección de la información personal

automatizada en el artículo 18.4 de la Constitución, aprobada por las Cortes y

mediante referéndum nacional en el año 1978. El texto es el siguiente: “La ley

limitará el uso de la informática para garantizar el honor y la intimidad personal

y familiar de los ciudadanos y el pleno ejercicio de sus derechos” (Ley orgánica

de regulación del tratamiento automatizado de datos de carácter personal -

LORTAD-, citada por Alcalde Lancharro, 1994).

El 29 de octubre de 1992, se promulgó la Ley Orgánica 5/92 de regulación del

tratamiento automatizado de datos de carácter personal, en cumplimiento del

mandato constitucional, quedando conformada como ley básica que protege el

derecho a la privacidad de los ciudadanos frente a los posibles abusos

derivados del mantenimiento y utilización de las bases de datos de información

personal: ”La ley esta animada por la idea de implantar mecanismos cautelares

que prevengan las violaciones de la privacidad que pudieran resultar del

tratamiento de la información”, establece algunos principios importantes

recogidos de los convenios europeos ratificados por España, entre los cuales

se encuentran:

- Calidad de los datos (exactos, adecuados, veraces)

- Integridad y seguridad

- Derecho de información, consentimiento, acceso, rectificación y

cancelación por el afectado

- Prohibición de cesión de datos salvo en algunos casos y mediando el

consentimiento previo del afectado

- Limitación del movimiento internacional

Agencia de Protección de Datos

Se crea la Agencia de Protección de Datos con capacidad inspectora y

sancionadora, encargada del control de las bases de datos de información

personal, públicos y privados, y de facilitar a los ciudadanos el ejercicio de los

derechos mencionados. Esta agencia integra el denominado Registro General

de Protección de Datos, donde deberá inscribirse, previa autorización, todo

archivo de datos personales existentes o que vaya a crearse. En definitiva,

esta ley sienta una amplia y sólida base sobre la que han de descansar los

usos de la informática, respetando el derecho a la privacidad de los

ciudadanos.

Otras leyes de protección de datos

Algunas de las disposiciones legales de los Estados Unidos con varios años de

uso efectivo. Entre las varias actas o leyes básicas o federales relativas al

control del uso de la información personal, se tiene tres principales.

- Acta de Privacidad de 1974

Se refiere a la privacidad de los individuos cuyos datos personales figuran en

bancos de datos del Gobierno Federal. Sus mandatos básicos son los

siguientes.

- Prohibición de la existencia de bancos de datos secretos de información

personal.

- Posibilidad del individuo de conocer qué información acerca de él existe

y cuál va a ser su uso.

- Posibilidad del individuo corregir o rectificar la información registrada

sobre él.

- Prohibición de utilizar la información personal para otro propósito

diferente de aquél para el que fue recopilada, sin el permiso del

individuo.

- Toda organización que recopile, use o distribuya información personal,

debe establecer los medios necesarios para asegurar su fiabilidad y

prevenir los posibles abusos que se puedan realizar con la misma.

- Acta de Privacidad Educacional 1974

Protege la información registrada en instituciones docentes públicas,

así:

- Los datos solo pueden ser recopilados por aquellos autorizados por la

ley.

- Los padres y los estudiantes han de tener posibilidad de acceso a las

informaciones educacionales sobre ellos.

- Solamente se permite la comunicación de esta información a las

instituciones educativas públicas para usos administrativos y a las

autoridades en unos supuestos legales.

- Acta de Privacidad Financiera 1978

Esta proporciona la protección a los individuos restringiendo el acceso del

gobierno a las informaciones sobre los clientes de los bancos e instituciones

financieras, establece un cierto grado de confidencialidad de los datos

financieros personales.

Otras de estas leyes tratan sobre el derecho a la privacidad, teniendo en

cuenta que en general solo afectan a la administración pública federal y que los

diferentes Estados han dictado leyes en la misma línea pero adaptadas a sus

ámbitos respectivos, destacando en muchas de ellas la obligatoriedad de que

los datos sean relevantes, actualizados y precisos, prohibiendo su difusión sin

autorización.

Las legislaciones respectivas de los demás países occidentales se basan en

los mismos principios de protección de los derechos de los individuos,

especialmente el derecho a la intimidad y a la vida privada.

Normas que se pueden imponer legalmente (Fitzgerald, 1992)

Las normas que se pueden imponer legalmente se definen y se promulgan en

las leyes de los diferentes países.

En Estados Unidos se cuenta con una ley que establece castigo penal para

tres tipos de infractores de computadora.

Los que ingresan a las computadoras federales.

Los que tienen acceso sin autorización a las computadoras de las

instituciones financieras que están cubiertas por leyes federales.

Los que tienen acceso a las computadoras con que se manejan los

datos de seguridad nacional.

De acuerdo con Fitzgerald (1992), en Electronic Communications Privacy Act

(Acta de privacía de las comunicaciones electrónicas) de 1986, la cual se

relaciona directamente con la comunicación de datos, se constituye en crimen

federal el interceptar comunicaciones electrónicas como la comunicación de

datos o el correo electrónico. O hacer trucos con las computadoras en una red

de datos. En la ley de 1986 se prohíbe la intercepción de comunicaciones de

datos y videos en redes privadas y el acceso sin autorización a computadoras

de red si se extraen o alteran los mensajes almacenados. Bajo esta ley los

individuos están sujetos a penas de hasta 100.000 dólares y 10 años de

prisión, si el crimen se comete con fines de lucro o por razones mal

intencionadas, las multas para las organizaciones pueden ser hasta de 250.000

dólares. Bajo esta ley también se protege la privacía de los usuarios de la red.

Los oficiales que vigilan el cumplimiento de la ley necesitan de una orden

judicial para obtener mensajes electrónicos, y los proveedores de servicios de

correo electrónico no pueden descubrir el contenido de los mensajes que

transmiten con su servicio sino se cuenta con la autorización del emisor.

El Congreso de Estados Unidos también aprobó el Computer Fraud and Abuse

Act (Acta de fraude y abuso por computadora) en 1986. En esta ley se amplía

la jurisdicción federal para delitos por computadora; se afina y construye sobre

el estatuto de 1985, que cubre únicamente a las computadoras federales.

La nueva ley cubre los crímenes por computadora en las que intervengan

computadoras del sector privado ubicadas en dos o más Estados. También

afecta a los sistemas de la llamada Junta de Boletín Pirata que intercambian

claves de acceso a la computadora.

Específicamente la ley establece como delito federal el tener acceso a una

computadora de manera fraudulenta para robar y se constituye como delito el

alterar o destruir datos, hardware, software sin autorización. En la ley también

se establece como infracción menor el que un individuo trafique con claves de

acceso que pertenezcan a otros si existe un claro intento de fraude. En la ley

de abuso y fraude por computadora se imponen multas hasta de 100.000

dólares y 10 años de prisión a las personas que intencionalmente obtengan

acceso sin autorización a sistemas de cómputo para dañar registros o robar

registros o dinero.

1.5.2 Leyes nacionales informáticas

A continuación se hace una breve descripción de algunas leyes nacionales que

de alguna manera sirven como base y orientación en el manejo de los sistemas

de información.

- Ley 527 del 18 de agosto de 1999

Por medio de la cual se define y reglamenta el acceso y uso de los mensajes

de datos, del comercio electrónico y de las firmas digitales, se establecen las

entidades de certificación y se dictan otras disposiciones (Diario Oficial No.

43.673, del 21 de agosto de 1999).

En el transcurso del semestre profundizarán los conocimientos con los

módulos: Configuración de Servicios de Internet y Diseño de Contenidos

Comerciales. Por ahora, se mencionarán algunos aspectos relacionados con el

comercio electrónico.

Según Norton, P. (1999), el comercio en la Web es el llamado Comercio

Electrónico. En 1994 la tienda de flores Flower Shop fue el primer sitio

“Comercial” en el World Wide Web. El gran obstáculo para el desarrollo en

línea ha sido la carencia de seguridad confiable para la transferencia de dinero

a través de la red. Los negocios han transferido dinero rutinariamente a través

de redes durante años (por ejemplo, cada vez que usted hace una transacción

en la unidad ATM de su banco), pero estas son redes privadas seguras o

conexiones de terminal punto a punto, lo cual significa que nadie puede entrar

en línea sin que alguien en el otro lado se dé cuenta.

Internet es diferente, es una red pública y descentralizada donde piratas

informáticos (hackers) inteligentes pueden interceptar flujos de información

(por ejemplo, el número de una tarjeta de crédito).

Ejemplo

Antes de comprar cualquier artículo en la Web, asegúrese de que la

transacción es segura. Usando un método de codificación o un servidor de

transacciones separado, el vendedor puede asegurar la privacidad de la

transacción y de su información personal. Primero, verifique los parámetros de

seguridad antes de proceder con una transacción. Segundo, lea la información

del sitio Web y vea si tiene la opción de cambiar a un servidor seguro antes de

hacer la transacción.

En el correo electrónico tenga cuidado con lo que dice, en especial cuando se

maneja el correo electrónico de la compañía, nunca responder a un mensaje de

correo electrónico no solicitado, sobre todo sino reconoce el remitente. Sea

cuidadoso cuando dé su dirección de correo electrónico.

Un anciano fue de alguna manera registrado como difunto en una base de

datos corporativa cuando aún estaba vivo. Los datos incorrectos se esparcieron

con rapidez de una base de datos a otra, y al poco tiempo el hombre se

encontró con que su seguro social y sus beneficios médicos, habían sido

cancelados sin ningún aviso.

Esta ley (527 del 18 de agosto de 1999), está conformada así:

EI capítulo I Parte I, contiene el artículo 2, estructurado así:

a. Mensaje de Datos: Es la información generada, enviada, recibida,

almacenada o comunicada por medios electrónicos, ópticos o similares, como

el intercambio electrónico de datos (EDI), Internet, el correo electrónico, el

telegrama, el télex o el telefax, entre otros

b. Comercio Electrónico: Abarca las cuestiones suscitadas por toda relación de

índole comercial, sea o no contractual, estructurada a partir de la utilización de

uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones

de orden comercial comprenden, sin limitarse a ellas, las siguientes

operaciones: Toda operación comercial de suministro o intercambio de bienes

o servicios, todo acuerdo de distribución, toda operación de representación o

mandato comercial, todo tipo de operaciones financieras, bursátiles y de

seguros, de construcción de obras, de consultoría, de ingeniería, de concesión

de licencias, todo acuerdo de concesión o explotación de un servicio público,

de empresa conjunta y otras formas de cooperación industrial o comercial, de

transporte de mercancías o de pasajeros por vía aérea, marítima, férrea o por

carretera.

c. Firma Digital: Se entenderá como un valor numérico que se adhiere a un

mensaje de datos que, utilizando un procedimiento matemático conocido

vinculado a la clave del iniciador y al texto de mensaje, permite determinar que

este valor se ha obtenido exclusivamente con la clave del iniciador y que el

mensaje inicial no ha sido modificado después de efectuada la transformación.

d. Entidad de Certificación: Es aquella persona que, autorizada conforme a la

presente ley, está facultada para emitir certificados en relación con las firmas

digitales de las personas, ofrecer o facilitar los servicios de registro y

estampado cronológico de la transmisión y recepción de mensajes de datos,

así como cumplir otras funciones relativas a las comunicaciones basadas en

las firmas digitales.

e. Intercambio Electrónico de Datos (EDI): Es la transmisión electrónica de

datos de una computadora a otra que está estructurada bajo las normas

técnicas convenidas para el efecto.

f. Sistema de Información: Se entenderá como todo sistema utilizado para

generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de

datos.

El Capítulo II (Aplicación de los requisitos jurídicos de los mensajes de datos)..

El Capítulo III (Comunicación de los mensajes de datos).

Parte II, donde se dispone sobre el Comercio Electrónico en materia de

transporte de mercancías.

Parte III, que toca con las firmas digitales, los certificados y entidades de

certificaciones.

La ley, por capítulos, trata los siguientes asuntos:

Capítulo II: Entidades de Certificación.

Capítulo III: Certificados

Capítulo IV: Suscriptores de firmas digitales

Capítulo V: Superintendencia de Industria y Comercio

Anexo en PDF Ley 527 de 1999 (hipervínculo)

- Ley estatutaria 1266 del 31 de diciembre de 2008

Por la cual se dictan las disposiciones generales del Hábeas Data y se regula

el manejo de la información contenida en las bases de datos personales, en

especial la financiera, crediticia, comercial, de servicios y la proveniente de

terceros países, y se dictan otras disposiciones (Diario Oficial No. 47.219 del 31

de diciembre de 2008).

El objeto de esta ley se encuentra en el artículo 1°. En efecto, la presente

ley tiene por objeto desarrollar el derecho constitucional que tienen todas las

personas a conocer, actualizar y rectificar las informaciones que se hayan

recogido sobre ellas en Bancos de Datos, y los demás derechos, libertades y

garantías constitucionales relacionadas con la recolección, tratamiento y

circulación de datos personales a que se refiere el artículo 15 de la

Constitución Política, así como el derecho a la información establecido en el

artículo 20 de la misma Constitución, particularmente en relación con la

información financiera y crediticia, comercial, de servicios y la proveniente de

terceros países (Anexo ley 1266 del 31 de diciembre del 2008).

- Ley 1273 del 5 del enero de 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien

jurídico tutelado -denominado “de la protección de la información y de los

datos”- y se preservan integralmente los sistemas que utilicen las tecnologías

de la información y las comunicaciones, entre otras disposiciones (Diario Oficial

No. 47.223 del 5 de enero de 2009).

Capítulo I

Que trata de los atentados contra la confidencialidad, la integridad y la

disponibilidad de los datos y de los sistemas informáticos.

Artículo 269A: Acceso abusivo a un sistema informático. El que, sin

autorización o por fuera de lo acordado, acceda en todo o en parte a un

sistema informático protegido o no con una medida de seguridad, o se

mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo

derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho a noventa y

seis meses y en multa de 100 a 1.000 salarios mínimos legales mensuales

vigentes.

Artículo 269B: Obstaculización ilegítima de sistema informático o red de

telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el

funcionamiento o el acceso normal a un sistema informático, a los datos

informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en

pena de prisión de cuarenta y ocho a noventa y seis meses y en multa de 100

a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta

no constituya delito sancionado con una pena mayor.

Artículo 269C: Interceptación de datos informáticos. El que, sin orden

judicial previa intercepte datos informáticos en su origen, destino o en el interior

de un sistema informático, o las emisiones electromagnéticas provenientes de

un sistema informático que los transporte, incurrirá en pena de prisión de treinta

y seis a setenta y dos meses.

Artículo 269D: Daño informático. El que, sin estar facultado para ello,

destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un

sistema de tratamiento de información o sus partes o componentes lógicos,

incurrirá en pena de prisión de cuarenta y ocho a noventa y seis meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269E: Uso de software malicioso. El que, sin estar facultado para

ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o

extraiga del territorio nacional software malicioso u otros programas de

computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y

ocho a noventa y seis meses y en multa de 100 a 1.000 salarios mínimos

legales mensuales vigentes.

Artículo 269F: Violación de datos personales. El que, sin estar facultado

para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,

ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o

emplee códigos personales, datos personales contenidos en ficheros, archivos,

bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta

y ocho a noventa y seis meses y en multa de 100 a 1.000 salarios mínimos

legales mensuales vigentes.

Artículo 269G: Suplantación de sitios web para capturar datos personales.

El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle,

trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o

ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho a

noventa y seis meses y en multa de 100 a 1.000 salarios mínimos legales

mensuales vigentes, siempre que la conducta no constituya delito sancionado

con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de

nombres de dominio, de tal manera que haga entrar al usuario a una IP

diferente en la creencia de que acceda a su banco o a otro sitio personal o de

confianza, siempre que la conducta no constituya delito sancionado con pena

más grave. La pena señalada en los dos incisos anteriores se agravará de una

tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en

la cadena del delito.

Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles

de acuerdo con los artículos descritos en este título, se aumentarán de la mitad

a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u

oficiales o del sector financiero, nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.

3. Aprovechando la confianza depositada por el poseedor de la información o

por quien tuviere un vínculo contractual con este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de

otro.

5. Obteniendo provecho para sí o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa

nacional.

7. Utilizando como instrumento a un tercero de buena fe.

8. Si quien incurre en estas conductas es el responsable de la administración,

manejo o control de dicha información, además se le impondrá hasta por tres

años, la pena de inhabilitación para el ejercicio de profesión relacionada con

sistemas de información procesada con equipos computacionales.

Capítulo II

Que trata de los atentados informáticos y otras infracciones.

Artículo 269I: Hurto por medios informáticos y semejantes. El que,

superando medidas de seguridad informáticas, realice la conducta señalada en

el artículo 239 manipulando un sistema informático, una red de sistema

electrónico, telemático u otro medio semejante, o suplantando a un usuario

ante los sistemas de autenticación y de autorización establecidos, incurrirá en

las penas señaladas en el artículo 240 de este Código.

Artículo 269J: Transferencia no consentida de activos. El que, con ánimo

de lucro y valiéndose de alguna manipulación informática o artificio semejante,

consiga la transferencia no consentida de cualquier activo en perjuicio de un

tercero, siempre que la conducta no constituya delito sancionado con pena más

grave, incurrirá en pena de prisión de cuarenta y ocho a ciento veinte meses y

en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La

misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite

programa de computador destinado a la comisión del delito descrito en el inciso

anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía

superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se

incrementará en la mitad.

- Ley 1341 del 30 de julio de 2009

Por la cual se definen los principios y conceptos sobre la sociedad de la

información y la organización de las Tecnologías de la Información y las

Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan

otras disposiciones (Diario Oficial No. 47.426 del 30 de julio de 2009).

Artículo I. Objeto. La presente Ley determina el marco general para la

formulación de las políticas públicas que regirán el sector de las Tecnologías

de la Información y las Comunicaciones, su ordenamiento general, el régimen

de competencia, la protección al usuario, así como lo concerniente a la

cobertura, la calidad del servicio, la promoción de la inversión en el sector y el

desarrollo de estas tecnologías, el uso eficiente de las redes y del espectro

radioeléctrico, así como las potestades del Estado en relación con la

planeación, la gestión, la administración adecuada y eficiente de los recursos,

regulación, control y vigilancia del mismo y facilitando el libre acceso y sin

discriminación de los habitantes del territorio nacional a la Sociedad de la

Información.

El estudiante deberá apropiarse de la leyes y normas descritas en este módulo

y en especial de la 1273 del 5 de enero del 2009, toda vez que estas serán

aplicadas en casos que se desarrollarán en el presente módulo.

Bibliografía

Alcalde, E. (19949). Informática Básica. Tercera Edición. Madrid: Mc Graw Hill/Interamericana de España.

Álvarez & Restrepo, L. (1997). Derechos de Autor y Software. Primera Edición. Medellín, Colombia: Editorial Universidad Pontificia Bolivariana.

Cortina, A. (1997). El mundo de los valores. Etica Mínima y Educación. Bogotá: Editorial Códice Ltda.

Fitzgerald, J. (1992). Comunicación de Datos en los Negocios. Conceptos básicos, seguridad y diseño. Primera edición. Mexico: Editorial Limusa S.A de C.V.

Florián V. & Silva Rincón, G. (2002). Diccionario de Filosofía. Bogotá: Panamericana Editorial.

Gómez Vieites, A. (2007). Sistemas de Información. Segunda Edición. Mexico: Alfaomega Grupo Editor.

JOYANES, Luis. (1997). Cibersociedad. Los retos sociales ante un nuevo mundo digital. Madrid: McGraw-Hill.

López, A. (2000). Valores, Valoraciones y Virtudes. Metafísica de los valores. México: Compañía Editorial Continental, S.A de C.V-

Neif G. Silva & Jane, Espina. (2006). Ética Informática en la Sociedad de la Información. Recuperado el 30 de julio del 2010 del sitio web Revista Venezolana de Gerencia, octubre-diciembre 2006. Vol. 11. No. 036.http://redalyc.uaemex.mx/pdf/290/29003604.pdf.

Norton, P. (2000). Introducción a la computación. Tercera Edición. Madrid: MacGraw Hill/ Interamericana Editores S.A de C.V

Rachelle S. & C. Dianne. (1985). Bits y Bytes. Iniciación a la Informática. Mexico: Publicaciones Cultural/Ediciones Anaya Multimedia.

Savater, F. (2000). Ética para Amador. 35 Edición Ampliada. Barcelona: Editorial Ariel, S.A.

Serrahima, J. (2010). La Amenaza Digital. Barcelona: Bresca Editorial S.L.

Tobón, S. (2006). Formación Basada en Competencias. Segunda Edición. Bogotá: Ecoe

Valencia, A. (1982). Derecho de la propiedad intelectual, artística e industrial. Organización judicial. Bogotá: Temis Ltda.