Gobierno Electrónico EEUU

Los organismos gubernamentales, pequeños y grandes, avanzan hacia la Era Digital mientras hacen que sus servicios estén cada vez más disponibles por la Internet.El gobierno "del pueblo, por el pueblo y para el pueblo" es uno de los pilares ideológicos de la nación estadounidense que data del siglo 19. En el siglo XXI, la tecnología de la información ha puesto nuevas y poderosas herramientas en manos del ciudadano para alcanzar ese objetivo.

El gobierno de Estados Unidos ofrece a los ciudadanos un medio novedoso para recorrer por sus laberintos burocráticos gracias a un portal en la Internet con la dirección http://www.usa.gov/. Este Portal inaugurado bajo la administración del Presidente Clinton, que lo describió como un servicio que permitiría a los ciudadanos el acceso a información y a los servicios del gobierno las 24 horas del día, los 7 días de la semana, los 365 días al año, hace posible que los usuarios tener acceso a un gran caudal de información que les permita hacer desde una investigación en la Biblioteca del Congreso hasta el seguimiento de una misión de NASA.

La conexión en línea electrónica con el portal pone al alcance de los estadounidenses los recursos de una colección de numerosas páginas en la red mundial -- 27 millones de páginas -- con información de 20.000 sitios cibernéticos del gobierno de Estados Unidos. Asimismo, http://www.usa.gov/ permite que el usuario haga trámites importantes en línea electrónica, como es solicitar un préstamo para estudios, llevar cuenta de los beneficios de la Seguridad Social, comparar las opciones de Medicare, y administrar contratos y donaciones del gobierno.

Estos adelantos permiten obtener mediante una sola operación los servicios del gobierno, contribuyendo a que los estadounidenses del país y del mundo entero localicen fácil y rápidamente la información y los recursos que necesitan con sólo pulsar el ratón.

Con 50 estados, 3100 gobiernos en condados y más de 12.000 ciudades y pueblos en algunos estados avanzan a paso más lento que otros, pero en dos jurisdicciones fronterizas con la capital de la nación se confirma que la tecnología de la información puede mejorar la relación entre el gobierno y la ciudadanía.

Gestión de Seguridad de la Información

Actualmente el ISO-27001:2005 http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/ISOIEC-27001/ es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad.

Se puede considerar, que la certificación ISO-27001, es casi una obligación de cualquier empresa que desee competir en el mercado, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes o usuarios, control de stock, facturación, pedidos, productos, requerimientos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática.

De dichas relaciones pueden surgir eventos e incidentes que podrían comprometer legalmente a la organización, generándose posibles responsabilidades para el administrador del sistema o para el usuario específico de este. Estas responsabilidades pueden llegar a tener una calificación de omisión, culpa o intención para el administrador del sistema, asi como el usuario específico de este puede llegar a tener una calificación de culpa o intención por el daño producido, siempre y cuando este daño sea verificable.

El riesgo no medido, puede ser muy costoso para las organizaciones empresariales, alcanzando en algunos casos hasta su cierre. Es importante conocer que toda organización esta sujeta a riesgos informativos que pudieran derivarse de simples incidentes o mas allá delitos informáticos. Ahora bien no basta con saber el cómo actuar ante un incidente, es necesario también conocer cómo actuar diferenciándolo de un delito.

Evitar que los daños ocurran en los sistemas de información o a través de estos, supone capacitar básicamente al talento humano para poder identificar qué hechos están ocurriendo en sus equipos de computación.

15 recomendaciones para una auditoría informática exitosa

¿Cómo saber si la realización de una auditoría informática es realmente eficaz?

Hoy en día, el 90 por ciento de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. La empresa hoy, debe manejarse con criterios estrictos de seguridad respecto a la data, proyectos, entiéndase también nómina y finanzas. Los activos traducidos en información cuando son vulnerados son susceptibles de ser perseguidos e investigados con la ayuda de la auditoría forense informática. Esta supone una intervención técnica que bien conducida puede llegar a la determinación de responsables y salvaguarda de los activos con su recuperación en algunos casos. De esta manera, el aporte de expertos contribuye al mejor desempeño de la actividad determinativa por una intervención forense informática.

A continuación describo 15 recomendaciones que deben ser consideradas para maximizar la efectividad en las auditorías informáticas: http://www.juristelseg.com/

1) Auditoría Informática y de Riesgos

2) Convergencias de tecnologías

3) Eras de la organización

4) Peritaje especializado

5) El auditor de las TIC y el cuerpo de conocimientos

6) Visión del riego mas allá de la seguridad

7) El cumplimiento no es garantía de un ambiente seguro

8) La nueva era de la criminalidad informática

9) Auditar la relación con los proveedores

10) Auditar los procesos

11) Valores como requisito de auditabilidad

12) Auditar la seguridad de información

13) Mayor énfasis en la fidelidad laboral

14) Redefinir el rol del auditor

15) Recordar siempre el riesgo de auditoría

Propiedad Intelectual y TIC

Buenas noches, hoy quisiera comentar un poco sobre los Bienes Intelectuales y los mecanismos legales que regulan los derechos sobre ellos.

El primer lugar debo decir que un bien intelectual es aquella obra que reúne las siguientes características: 1) proviene de un conocimiento, idea o acto de razonamiento, 2) su uso permanece en el tiempo, 2) carece de cuerpo físico, 3) hace un aporte nuevo y duradero, 4) tiene un valor económico independiente del soporte; y 5) admite cualquier forma de comercialización.

Algunos tipos de bienes intelectuales estrechamente relacionados con las TIC son: El Hardware, El Firmware, El Software, Las Bases de datos y Los Nombres de Dominios.

El Hardware es considerado como invención y por tanto su mecanismo de propiedad es la patente registrada. Para el caso del Firmware, que se define como:

Programa o segmento de programa incorporado de manera permanente en algún
componente del hardware

Por tanto se aplica el mismo principio de patente establecido para el hardware ya que se considera parte integrante de este.

Ahora bien, para el caso del Software se establece el mecanismo de “Derecho de Autor” que implica entre otras cosas las siguientes ventajas:

1. No requiere registro, basta la divulgación de la obra.

2. Durabilidad, en Venezuela se establece un plazo de 60 años.

3. Aplicabilidad Internacional, privilegios de acuerdo al convenio de Berna.

Asimismo el Derecho de Autor permite al propietario lo siguiente:

A) Derechos Morales: Paternidad y Integridad de la Obra
B) Derechos Patrimoniales: Explotación para obtener beneficios

Para las Bases de Datos que se definen como:

Recopilación de obras, datos u otros elementos independientes dispuestos de
manera sistemática o metódica y que son accesibles mediante mecanismos
informáticos

Para estas se aplican conceptos de derechos de autor similares al software, sin embargo, estas deben reunir características especiales relacionadas con el valor agregado que genera el autor en la compilación, escogencia del material (magnitud) y la interfaz para su uso.

Para finalizar nos quedan los Nombres de Dominio, estos se clasifican según la categoría de actividad y son regulados por Internet Corporation for Assigned Names and Numbers (ICANN) http://www.icann.org/, como ejemplo de algunas de estas categorías tenemos las siguientes:
1) Por el tipo de Organismo: Ejemplo Gob (Gobierno), Edu (Educativas).
2) Para diferenciar los países: VE (Venezuela), AR (Argentina), US (EEUU)

Es importante aclarar que para los Nombres de Dominio se establece el concepto de Derecho Preferente, que otorga el beneficio a las personas o organizaciones con nombres famosos o destacados en su ámbito de acción.

Seguridad de la Información

Como primera intervención, quisiera ahondar un poco en los elementos que conformar la seguridad de la información, para lo cual creo conveniente primero definir ¿QUE ES INFORMACIÓN?, en este sentido una definición valida seria:

"La información es un activo que, como otros activos importantes de la
Institución, tiene valor para la Organización y requiere en consecuencia una
protección adecuada"

Luego de la definición debemos aclarar cuales son los tipos de información y las amenazas o riesgos que sobre ella recaen a los de establecer los mecanismos de seguridad.

TIPOS DE INFORMACIÓN: 1) Impresa o escrita en papel, 2) Guardada en medios electrónicos, 3) Transmitida por correo o por medios electrónicos, 4) Mostrada en vídeos o anuncios publicitarios, 5) Hablada en conversaciones; y 6) Generada y Procesada en los Sistemas.

AMENAZAS A LA INFORMACIÓN: 1) Empleados, 2) Bajo conocimiento en materia de seguridad, 3) Crecimiento de las redes y los sistemas distribuidos, 4) Incremento de la complejidad y eficacia de las herramientas de Hacking y los Virus Informáticos, 5) Correo electrónico; y 6) Desastres naturales (incendios, inundaciones, terremotos)

Vistos los riesgos inherentes al manejo de la información, a continuación detallo algunos de los principales enfoques estandarizados, para implementar los mecanismos de seguridad de la información en las organizaciones:

1) ISO/IEC-27001: http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/ISOIEC-27001/: Norma de recomendaciones para la gestión de la seguridad de la información, creada por el Organización Internacional de Estándares (ISO, siglas en ingles).
2) BS-7799: http://es.tech-faq.com/bs7799.shtml&prev=hp&rurl=translate.google.comNorma Británica que provee una base común para el desarrollo de estándares de seguridad de la organización y una práctica efectiva de la administración de la misma, del Instituto Británico de Estándares (BSI, siglas en ingles).
3) COBIT: http://auditoriasistemas.com/estandares-ti/cobit/Objetivos de Control para la información y Tecnologías relacionadas, conjunto de mejores practicas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés).
4) SABSA: http://en.wikipedia.org/wiki/SABSA Arquitectura de Seguridad de Sistemas y Negocio.

Asimismo, estan los GASSP/GAISP: http://all.net/books/standards/GAISP-v30.pdf que son los Principios de Seguridad de Sistemas Generalmente Aceptados y Principios de Seguridad de Información Generalmente Aceptados.

La información descrita nos permite visualizar la gran importancia que tiene el resguardo de la información como un activo de la empresa, asi como darnos cuenta que en la realidad venezolana estamos apenas comenzando a manejar estos importantes conceptos.