Seguridad de datos en tecnologías de información y comunicación en la banca venezolana. Marco jurídico y político.

Security of data in information technologies and communication in the Venezuelan bank. Legal and policy framework.

Anderson Medina, Matilde Flores Urbáez y Juana Ojeda de López

2. Marco referencial

En esta sección, se presenta el marco referencial del trabajo a través de los siguientes aspectos: definición conceptual del sector bancario y de la seguridad de datos de tecnología de información, la aplicación de la seguridad de datos en tecnologías de información y comunicación en las empresas bancarias y finalmente, la fundamentación jurídica y política en materia de seguridad de datos para este sector.

2.1. Sector Bancario

Autores como Muci y Martin (2004), definen el sector bancario como el intermediario financiero que promueve servicios de transacción a sus clientes. El proceso de la intermediación financiera aparece como elemento clave en la definición, debido a que se encarga de tomar dinero en préstamo, lo canalizan para construir un patrimonio común y lo invierten. Se dice que son intermediarios porque las instituciones bancarias se ubican entre los inversionistas y la inversión final.

González (2005), manifiesta que el sector bancario permite la prestación de un servicio de sistemas de pago que facilita las transacciones entre los agentes y la intermediación financiera en la que logra captar y aprovechar los flujos de dinero de aquellos individuos que tienen capacidad de ahorro para destinarlos hacia aquellos sectores que no cuentan con los suficientes recursos para realizar una determinada actividad, por lo que se considera uno de los principales propulsores de la actividad económica de un país.

En este contexto, Bernabé (2002) destaca que la actividad principal de las entidades del sector bancario es la administración de la inversión de los depósitos realizados por el público, que hay que reintegrar, con el fin de obtener un beneficio que permita la remuneración del interés pactado con el depositario, lo cual se lleva a cabo por medio de la prestación de una serie de servicios “accesorios”.

En tal sentido, Martínez (2004) manifiesta que en las diferentes actividades que se desarrollan alrededor del mundo con dinero, bonos, acciones, opciones u otro tipo de herramientas financieras, la banca actúa como intermediaria entre las diferentes personas u organizaciones que realizan estos movimientos, negocios o transacciones financieras.

En las últimas décadas, el Estado venezolano ha establecido una creciente sensibilización social sobre los problemas relacionados con políticas de innovación tecnológica, incluyendo las tecnologías sociales y organizativas, entre las que destacan sus aplicaciones en las empresas del sector bancario. Adicionalmente es importante la participación del sector bancario del país en el fortalecimiento e impulso de las actividades orientadas al desarrollo de la ciencia y la tecnología, así como también por medio del desarrollo endógeno de las actividades en dicha área.

La existencia de los intermediarios bancarios en un país se justifica según sus beneficios fundamentales (Maza, 2004):

• Promover el ahorro nacional,
• Ser eje operativo del sistema de pagos,
• Brindar servicios financieros al sector real de la economía, procurando el desarrollo económico y el bienestar social del país,
• Canalizar el ahorro hacia la inversión productiva,
• Apoyar a los servicios públicos y privados,
• Facilitar las relaciones financieras con el exterior.
• Distribuir fondos a nivel nacional.
• Diseñar instrumentos de pago innovadores.
• Garantizar la liquidez, la rentabilidad y la solvencia del sistema económico del país.

Las distintas conceptualizaciones sobre el sector bancario expuestas anteriormente, se presentan de forma resumida en el cuadro 1:

CUADRO 1
CONCEPTUALIZACION DEL SECTOR BANCARIO

A los fines de esta investigación y con base en los criterios expresados por dichos autores, se propone la siguiente definición del sector bancario: conjunto de empresas que permiten la intermediación financiera a través de los distintos tipos de servicios ofrecidos (transaccionales, administrativos, económicos y financieros), soportados por medio de una plataforma tecnológica segura, y que influyen de manera determinante en la liquidez, rentabilidad, equilibrio y solvencia del sistema económico del país.

2.2. Seguridad de datos de Tecnologías de Información y Comunicación. Conceptualización.

Expuesto lo anterior vale aclarar entonces el significado de la Seguridad de Datos de Tecnologías de Información y Comunicación, el cual se expresa en el cuadro 2 visto desde el enfoque de Lam y otros (2004), Carter (2004) y Wescott (2004).

CUADRO 2
CONCEPTUALIZACIÓN DE SEGURIDAD DE DATOS
DE TECNOLOGIAS DE INFORMACION Y COMUNICACIÓN

Tomando en consideración la propuesta conceptual de Lam, Carter y Wescott, se define la SDTIC como aquellas estrategias y operaciones que se estructuran sobre basamentos técnicos que permiten establecer políticas de control y protección de datos basados en criterios de confidencialidad, integridad y disponibilidad de los datos, considerando las mejores prácticas disponibles a nivel mundial sobre estándares y normas creados y reconocidos por el sector empresarial.

2.2.1. Aplicación de la seguridad de datos de tecnología de información y comunicación en empresas bancarias

Basado en Bel (2005) y tomando como referencia la norma sobre Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas (COBIT) (1), las empresas bancarias pueden aplicar, desarrollar y evaluar metodológicamente la seguridad de datos de tecnología de información por medio del establecimiento y evolución interna de las siguientes actividades:

a) Planificación y Organización:

• Definir un plan estratégico de TI basándose en el impacto del negocio, adecuada utilización de los datos, disponibilidad de los servicios y confiabilidad de las transacciones.
• Definir la organización y relaciones de TI: Es necesario definir las responsabilidades específicas por la gestión de seguridad de datos.
• Comunicar periódicamente los objetivos y directrices de la gerencia en cuanto a reglas para la implementación de la SDTI.
• Administración del talento humano: en el proceso de contratación hay que validar las referencias laborales, disponibilidad del conocimiento y habilidades necesarias para el cargo, asegurarse de que ninguna tarea laboral está a cargo de una sola persona.
• Asegurar el cumplimiento con los requisitos externos: identificar los derechos de propiedad intelectual, patentes y otros requisitos.
• Evaluar riesgos: es necesario discutir con el personal clave lo que pueda salir mal con la SDTI y como podría impactar significativamente los objetivos del negocio.
• Considerar la relación costo-eficacia de los recursos para administrar los riesgos de seguridad identificados.

En esta propuesta, se destaca la importancia de la participación activa de la alta gerencia para la definición de las estrategias que pueden ser establecidas, a los fines de llevar a cabo la puesta en marcha de las actividades de planificación y organización.

b) Adquisición e Implementación

• Identificar soluciones automatizadas: es necesario considerar la SDTI cuando se identifican soluciones automatizadas (tanto de hardware como de software).
• Adquirir y mantener la infraestructura tecnológica: con el fin de dar soporte adecuado a las mejores prácticas de SDTI automatizadas. Adicionalmente, identificar y monitorear los elementos fuente para mantenerlos actualizados en materia de seguridad.
• Asegurar que el personal conozca cómo integrar la seguridad en los procedimientos del “día a día”.
• Instalar y acreditar sistemas: probar el sistema verificando los requisitos funcionales y operacionales de seguridad, así como realizar la aceptación final de seguridad, evaluando todos los resultados contra las metas de negocio y los requisitos de seguridad.
• Evaluar todos lo cambios para establecer el impacto sobre la SDTI basado en comprobaciones antes y después de dichos cambios.

En este caso, se destaca la importancia del aporte de la gerencia media en cuanto a las estrategias que pueden ser establecidas, a los fines de llevar a cabo la puesta en marcha de las actividades de adquisición e implementación.

c) Entrega y Soporte

• Definir y administrar niveles de acuerdos de servicio: asegurar que la gerencia establezca los requisitos de seguridad y que regularmente efectúe revisiones del cumplimiento de dichos acuerdos.
• Administrar servicios prestados por “terceros”: evaluar la capacidad profesional de terceros y asegurar que ellos proporcionan la seguridad adecuada. Adicionalmente, considerar la dependencia tecnológica de éstos.
• Garantizar un servicio continuo: hay que identificar las funciones de negocio e información críticas y aquellos recursos que son críticos para darles soporte. Es necesario también establecer los principios básicos para salvaguardar y reconstruir los servicios de TI, es decir, qué necesita ser resguardado y almacenado externamente para apoyar la recuperación del negocio.
• Garantizar la seguridad de los sistemas: implementar reglas para el control de acceso a los servicios en base a necesidades individuales; detección, registro e información de violaciones de seguridad; definición de políticas sobre qué tipo de información puede entrar o salir de la organización y sus criterios de selección.
• Asegurar que el inventario de la configuración de TI sea regularmente completado y actualizado.
• Revisar regularmente si todo el software y hardware esta autorizado y licenciado apropiadamente.
• Administrar los datos: someter los datos a una variedad de controles para verificar su integridad durante la entrada, el procesamiento, el almacenamiento y la distribución de los mismos. Definir los periodos de retención, requerimientos de archivos y condiciones de almacenamiento para documentos de entrada, salida, datos y programas;
• Establecer la seguridad física de las instalaciones y activos de TI y proteger tanto el equipamiento de almacenamiento como las redes de telecomunicaciones del daño, robo, pérdida accidental e intercepción de los mismos.

En este contexto, se destaca la importancia del aporte de la gerencia operacional en cuanto a las estrategias que pueden ser establecidas, a los fines de llevar a cabo la puesta en marcha de las actividades de entrega y soporte.

d) Monitoreo y Evaluación:

• Monitorear los procesos: disponer de personal clave que periódicamente monitoree que los controles de seguridad de acceso a los datos (tanto físicos como lógicos) son adecuados en comparación a los requerimientos definidos y a las vulnerabilidades actuales, y, que las expectativas de seguridad son necesarias monitorear en forma permanente.
• Obtener aseguramiento independiente: obtener recursos externos competentes para revisar los mecanismos de control de SDTI, los accesos otorgados relativos en el cumplimiento de leyes, regulaciones, políticas, estándares y obligaciones contractuales.

Por las razones expuestas, cabe hacerse la siguiente interrogante: ¿ como funciona la banca venezolana dado los permanentes riesgos en materia de seguridad de datos de tecnologías de información y comunicación? ¿cuál es su marco jurídico y sus instrumentos de política que regula esta amenaza tecnológica? En un intento por responder a estas interrogantes, a continuación se analiza la situación de la banca venezolana en el marco de la legislación venezolana en materia de seguridad de datos de tecnologías de información y comunicación así como instrumentos de política de de manera implícita abordan esta temática.

2.3. Marco jurídico venezolano en materia de seguridad de datos en tecnologías de información y comunicación.

Con la firme intención de fomentar la asignación de recursos ponderada y diversificada, mantener la eficiencia en la prestación de servicios, salvaguardar los intereses de los ahorristas y demás acreedores, así como proteger la solvencia del sistema bancario en su conjunto, el Estado venezolano interviene activamente en la regulación del sector bancario a través de la formulación de leyes que regulan sus actividades.

A continuación se presenta una visión panorámica del marco jurídico venezolano que de forma directa o indirecta regula lo relacionado con la seguridad de datos en tecnologías de información y comunicación

En el año 2000 se promulga por la Superintendencia de Bancos y otras Instituciones Financieras la Ley Sudaban ó Ley General de Bancos, la cual manifiesta en su artículo 213 que la inspección, supervisión, vigilancia, regulación y control de los bancos, entidades de ahorro y préstamo, otras instituciones financieras, casas de cambio, operadores cambiarios fronterizos y empresas emisoras y operadoras de tarjetas de crédito, estará a cargo de ella. Es un instituto autónomo, adscrito al Ministerio de Finanzas solo a efectos de la tutela administrativa y goza de las prerrogativas, privilegios y exenciones de orden fiscal, tributario y procesal que la ley otorga a la República.

Aunado a ello, las leyes venezolanas respaldan las actividades relativas tanto a la banca y a la seguridad de tecnología de información como el desarrollo de capacidades de innovación tecnológica en materia de seguridad de datos. Por una parte están las leyes que regulan al sector bancario, tal como el Decreto con fuerza de Ley de Reforma de la Ley General de Bancos y otras Instituciones Financieras (2000), y por otra parte, las leyes del sector científico y tecnológico vinculadas directamente con la seguridad en tecnología de información, tales como la Ley Orgánica de Ciencia, Tecnología e Innovación (2005), la Ley sobre Mensajes de Datos y Firmas Electrónicas (2001) y la Ley Especial sobre Delitos Informáticos (2001).

En este contexto, se resaltan las siguientes consideraciones legales:

Ley General de Bancos

La Ley General de Bancos y otras Instituciones Financieras, manifiesta en sus artículos 233, 234, 251 y 252, que la información bancaria debe manejarse de manera confidencial por los organismos que la posean, y adicionalmente debe ser suministrada de la misma manera por los entes de control que la ameriten, por lo que se hace necesario que sea administrada de manera segura.
Adicionalmente, dicha ley en sus artículos 444, 445, 446 y 447, señala que quien utilice los medios informáticos o mecanismos similares para apoderarse, manipular o alterar papeles, cartas, mensajes de correo electrónico o cualquier otro documento que repose en los archivos electrónicos de un banco, entidad de ahorro y préstamo, institución financiera o casa de cambio, perjudicando el funcionamiento de las empresas regidas por este Decreto Ley o a sus clientes, será penado con prisión de ocho (8) a diez (10) años.

Ley Orgánica de Ciencia, Tecnología e Innovación

La Ley Orgánica de Ciencia, Tecnología e Innovación (2005) manifiesta en su artículo 3 que forman parte del Sistema Nacional de Ciencia Tecnología e Innovación, las instituciones públicas o privadas que generen y desarrollen conocimientos científicos y tecnológicos y procesos de innovación, y las personas que se dediquen a la planificación, administración, ejecución y aplicación de actividades que posibiliten la vinculación efectiva entre la ciencia, la tecnología y la sociedad (tal es el caso de las entidades del sector bancario).
Adicionalmente, dicha ley en su artículo 4, expresa la necesidad de estimular la capacidad de innovación tecnológica del sector productivo, empresarial y académico, tanto público como privado, a través de mecanismos que permitan la inversión de recursos financieros para el desarrollo de las actividades científicas, tecnológicas y de innovación.

La Ley sobre Mensajes de Datos y Firmas Electrónicas (2001)

En su artículo 1, manifiesta que se otorga y reconoce la eficacia y el valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico, independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o privadas, así como regular todo lo relativo a los Proveedores de Servicios de Certificación y los Certificados Electrónicos (tal es el caso de las operaciones electrónicas efectuadas por parte de las entidades del sector bancario).
La ley en su artículo 7, expresa que cuando se requiera que la información sea presentada o conservada en su forma original, ese requisito quedará satisfecho con relación a un Mensaje de Datos si se ha conservado su integridad y cuando la información contenida en dicho Mensaje de Datos esté disponible. A tales efectos, la ley establece que un Mensaje de Datos permanece íntegro, si se mantiene inalterable desde que se generó, salvo algún cambio de forma propio del proceso de comunicación, archivo o presentación.
En el artículo 27 de dicha ley se expresa que la Superintendencia de Servicios de Certificación Electrónica (adscrita al Ministerio de Ciencia y Tecnología) podrá adoptar las medidas preventivas o correctivas necesarias para garantizar la confiabilidad de los servicios prestados por los Proveedores de Servicios de Certificación, por lo que, podrá ordenar, entre otras medidas, el uso de estándares o prácticas internacionalmente aceptadas para la prestación de los servicios de certificación electrónica, o que el proveedor se abstenga de realizar cualquier actividad que ponga en peligro la integridad y la seguridad del dato o el buen uso del servicio de los sistemas de información (tal es el caso de los sistemas de información y la plataforma tecnológica que soporta las operaciones de las entidades del sector bancario).

La Ley Especial contra Delitos Informáticos (2001)

Expresa en su artículo 1 que es objeto de protección integral los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías (tal es el caso de los sistemas de información y la plataforma tecnológica que soporta las operaciones de las entidades del sector bancario).
Adicionalmente dicha ley en sus artículos del 13 al 26, expresan que serán aplicadas sanciones para aquellos que a través del uso de tecnologías de información, accedan, intercepten, interfieran, manipulen o usen de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico para sí o para otro, con prisión de dos (2) a seis (6) años y multa de doscientas (200) a seiscientas (600) unidades tributarias.

Un resumen del marco jurídico venezolano en materia de seguridad de datos de tecnologías de información y comunicación (SDTIC) se presenta en el cuadro

3. CUADRO
MARCO JURÍDICO VENEZOLANO EN MATERIA DE SDTIC

El conjunto de dispositivos legales emanados del gobierno nacional venezolano presentado, revelan que la seguridad de datos en tecnología de información, es considerada un tema de Estado el cual busca mitigarlo a través de la aplicación de las sanciones legales dispuestas. En el cuadro, se evidencia que el marco legal venezolano, refuerza la importancia que tiene la seguridad de datos en tecnologías de información en el sector bancario, así como la aplicación y puesta en práctica de medidas conducentes al resguardo y la seguridad de los datos de los sistemas y la plataforma tecnológica, que soporta los mismos en dichas entidades.

2.4. Fundamentación Política en materia de seguridad de datos en tecnologías de información.

Subirats (1999) refiere que las políticas científicas y tecnológicas deben estar en completa concordancia con la política nacional de desarrollo, por tal razón, hay un consenso cada vez mayor acerca de que una respuesta adecuada a los desafíos económico-tecnológicos de un mundo en cambio, el cual requiere un rol activo del Estado que impulse una política científico-tecnológica articulada.

No es, por tanto, una sorpresa que la participación pública en la formulación de estas políticas constituya hoy día un importante reto tanto para las empresas bancarias como para el Gobierno, las cuales en el caso venezolano, se encuentran en la búsqueda constante de desarrollar sus capacidades de innovación tecnológica, especialmente en el área de seguridad de datos de tecnología de información como parte de la evolución de un proceso endógeno de desarrollo tecnológico del sistema bancario, la cual permitiría mejorar sus productos y servicios en dicho ámbito.

Por ello, es importante destacar la relación existente entre los instrumentos de políticas venezolanos con la seguridad de datos de tecnología de información en el sector bancario venezolano.

En ese orden de ideas, se destaca lo siguiente:

• La Política Nacional de Desarrollo (PND), instrumentada a través del Plan Nacional de Desarrollo Económico y Social de la Nación (PNDESN) (2001-2007), en su sección 1.1.5, manifiesta que la ciencia y tecnología acompañarán e inducirán los cambios técnicos requeridos en el ámbito económico para impulsar el crecimiento de la producción y la productividad, y en tal sentido, se propiciará la multiplicación de programas de formación científica bajo la convicción de que la infraestructura de investigación es un insumo estratégico fundamental para la innovación en el área productiva.
  Adicionalmente en su sección 1.1.6, expresa la necesidad de transformar y fortalecer el sistema financiero con el propósito de optimizarlo, agilizarlo y potenciar su capacidad de asistencia técnica y financiera para desarrollar los sectores productivos. Por ello, se introduce el concepto de “Cadena Financiera” para reforzar la interrelación entre banca pública o privada y los productores, especialmente el caso de los productores pequeños y medianos, las instituciones aseguradoras y de otorgamiento de garantías, que permitirían la disminución del riesgo bancario y el abaratamiento del financiamiento con capital de riesgo.
• El Plan Nacional de Tecnologías de Información (PNTI) (2001), refiere en sus lineamientos estratégicos, la necesidad de fomentar la investigación, desarrollo y la transferencia tecnológica, de productos y servicios en tecnologías de información, propiciando el uso de estas tecnologías como factor potenciador del resto de las áreas de investigación y desarrollo, así como del crecimiento y desarrollo propio de este sector en la economía nacional.
  Adicionalmente, se manifiesta que es fundamental la promoción y el uso de las tecnologías de información en el sector productivo, público y privado, a fin de elevar su productividad y competitividad, en el marco de la nueva economía, mediante un adecuado marco jurídico y regulatorio que ofrezca seguridad en el uso de dichas tecnologías.
• El Plan Nacional de Ciencia, Tecnología e Innovación (PNCTI 2005-2030) (2005), refiere en sus lineamientos estratégicos, que es necesario contribuir con el hacer posible un desarrollo endógeno, sustentable y humano a través del incentivo y desarrollo de procesos de investigación, producción y transferencia de conocimiento de calidad y pertinente a los problemas y demandas fundamentales que afectan actualmente a la sociedad venezolana y los que potencialmente (a mediano y largo plazo), pudieran impactar las áreas económicas, sociales y culturales donde la ciencia, tecnología e innovación desempeñan un rol fundamental.
  Adicionalmente, como parte complementaria de sus lineamientos estratégicos manifiestan que es fundamental conocer, crear y difundir la ciencia y la tecnología adecuada a los modos de vida, aspiraciones y modelos de civilización venezolano, el cual es uno de los retos contemporáneos. De allí la importancia de pensar el futuro deseable y posible de la ciencia y la tecnología para su uso en la vida de nuestro país.

La fundamentación política de la banca venezolana en materia de seguridad de datos en tecnologías de información se resume en el cuadro 4.

CUADRO 4
FUNDAMENTACION POLITICA DE LA DE LA BANCA VENEZOLANA
EN MATERIA DE SEGURIDAD DE DATOS EN TECNOLOGÍAS DE INFORMACIÓN

En el cuadro se evidencia que las políticas públicas venezolanas refuerzan la importancia que tiene la SDTIC, así como la aplicación y puesta en práctica de medidas conducentes a dinamizar y apoyar las actividades científico-tecnológicas en esta materia.

[anterior] [inicio] [siguiente]