En materia de seguridad en las Tecnologías de Información y Comunicación, Venezuela actualmente cuenta con las siguientes normativas :

1. La Ley sobre protección a la privacidad de las comunicaciones;

2. La Providencia Administrativa contentiva de las normas relativas al requerimiento de información en el servicio de telefonía móvil;

3. La Ley sobre Mensajes de Datos y Firmas Electrónicas y su Reglamento;

4. Ley Especial contra Delitos Informáticos;

La Ley sobre protección a la privacidad de las telecomunicaciones fue publicada en Gaceta Oficial de la República Bolivariana de Venezuela N° 34.863 en fecha 16 de diciembre de 1991, y tiene como objetivo proteger la privacidad, confidencialidad, inviolabilidad y secreto de las comunicaciones que se produzcan entre dos o más personas.

La precitada Ley establece sanciones a las personas que:

• De manera arbitraria, clandestina o fraudulenta grabe, se imponga, interrumpa o impida una comunicación entre personas;

• Sin estar autorizados conforme a esa misma Ley instale aparatos o instrumentos con el fin de grabar o impedir las comunicaciones entre personas;

• Perturben la tranquilidad de otra persona mediante el uso de información obtenida mediante procedimientos condenados por la misma Ley.

No obstante lo indicado anteriormente, la legislación de Venezuela permite obligar a las empresas de telecomunicaciones y a los proveedores de servicios de Internet revelar a las autoridades investigadoras información relacionada con la actividad de comunicaciones incluyendo algunos datos personales de los usuarios, de acuerdo con las disposiciones del Código Orgánico Procesal Penal y a lo que en este sentido se encuentra establecido en la Ley sobre Protección a la Privacidad de las Telecomunicaciones; estas normativas permiten la interceptación o grabación de conversaciones por medio telefónico u otros medios radioeléctricos de comunicación siempre que para ello, el Ministerio Público haya obtenido del juez de control del lugar donde se realiza la investigación, la correspondiente autorización, la cual será otorgada a los fines de la investigación de los siguientes hechos punibles:

a) Delitos contra la seguridad o independencia del Estado;

b) Delitos previstos en la Ley Orgánica de Salvaguarda del Patrimonio Público;

c) Delitos contemplados en la Ley Orgánica sobre Sustancias Estupefacientes y Psicotrópicas; y

d) Delitos de Secuestro y Extorsión.

Así mismo, en Venezuela se cuenta a nivel sublegal con la Providencia Administrativa contentiva de las normas relativas al requerimiento de información en el servicio de telefonía móvil, dictada por CONATEL y publicada en Gaceta Oficial de la República Bolivariana de Venezuela N° 38.157, de fecha 1 de abril de 2005, la cual tiene por objeto establecer las normas relativas al requerimiento de los datos personales de los abonados del servicio de telefonía móvil por parte de los operadores del servicio, en la suscripción de los contratos de servicio respectivos, así como las normas relativas al suministro de información por parte de los operadores del servicio de telefonía móvil a los órganos de seguridad del Estado, con ocasión de una investigación penal.

En cuanto a la Ley sobre Mensajes de Datos y Firmas Electrónicas, publicado en Gaceta Oficial N° 37.148 de fecha 28 de febrero de 2001, esta tiene por objeto otorgar y reconocer la eficacia y valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico, independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o privadas, así como regular lo relativo a los Proveedores de Servicios de Certificación y los Certificados Electrónicos.

La Ley sobre Mensajes de Datos y Firmas Electrónicas es aplicable a los Mensajes de Datos y Firmas Electrónicas independientemente de sus características tecnológicas o de los desarrollos tecnológicos que se produzcan en un futuro. A tal efecto, sus normas serán desarrolladas e interpretadas progresivamente, orientadas a reconocer la validez y eficacia probatoria de los Mensajes de Datos y Firmas Electrónicas.

Mediante la Ley sobre Mensajes de Datos y Firmas Electrónicas, se crea la Superintendencia de Servicios de Certificación Electrónica, SUSCERTE, como un servicio autónomo con autonomía presupuestaria, administrativa, financiera y de gestión, en las materias de su competencia, dependiente del Ministerio de Ciencia y Tecnología. Esta Superintendencia es responsable de acreditar, supervisar y controlar, en los términos previstos en este Decreto-Ley y sus reglamentos, a los Proveedores de Servicios de Certificación públicos o privados.

Algunas de las competencias de SUSCERTE son:

• Otorgar la acreditación y la correspondiente renovación a los Proveedores de Servicios de Certificación.

• Revocar o suspender la acreditación otorgada cuando se incumplan las condiciones, requisitos y obligaciones requeridas.

• Mantener, procesar, clasificar, resguardar y custodiar el Registro de los Proveedores de Servicios de Certificación públicos o privados.

• Verificar que los Proveedores de Servicios de Certificación cumplan con los requisitos indicados en la Ley sobre Mensajes de Datos y Firmas Electrónicas y sus reglamentos.

• Supervisar las actividades de los Proveedores de Servicios de Certificación.

• Inspeccionar y fiscalizar la instalación, operación y prestación de servicios realizados por los Proveedores de Servicios de Certificación.

• Actuar como mediador en la solución de conflictos que se susciten entre los Proveedores de Servicios de Certificados y sus usuarios.

En relación a la Ley Especial contra Delitos Informáticos, esta fue publicada en Gaceta Oficial de la República Bolivariana de Venezuela N° 37.313 de fecha 30 de octubre de 2001, la cual tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías. Esta Ley tipifica los siguientes delitos:

• Delitos Contra los Sistemas que Utilizan Tecnologías de Información;

• Delitos Contra la Propiedad;

• Delitos contra la privacidad de las personas y de las comunicaciones;

• Delitos contra niños, niñas o adolescentes;

• Delitos contra el orden económico.

Actualmente la seguridad informática ha tomado gran auge, dadas las cambiantes condiciones y nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes para explorar más allá de las fronteras nacionales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Esto ha llevado a que muchas organizaciones gubernamentales y no gubernamentales a desarrollar documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las políticas de seguridad informática surgen de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE, como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información. De acuerdo con lo anterior, fue publicado en Gaceta Oficial No. 345.394 de fecha 6 de abril de 2006, La Ley Orgánica de la Administración Pública en concordancia con la Ley Orgánica de Ciencia, Tecnología e Innovación, considera que el Ministerio de Ciencia y Tecnología debe establecer políticas para el mejor uso, protección y conservación de la información que se procesa y almacena en los equipos de computación del Estado. Donde las Políticas de Seguridad Informática estarán dirigidas a implementar controles necesarios que sirvan para preservar la operatividad y continuidad en los Órganos y Entes de la Administración Pública Nacional.

El manual que presenta la Superintendencia de Servicios de Certificación Electrónica SUSCERTE incluye casi todas las políticas ahora consideradas parte de la norma profesional no militar en seguridad informática. La norma de cuidado profesional define el conjunto mínimo de medidas de seguridad informática que se espera en una institución. En este material se han incluido muchas políticas adicionales que van más allá de esta norma de debido cuidado, porque proporcionan un nivel más riguroso de seguridad.

Si bien no existe en la actualidad una norma mundial que defina las políticas específicas de seguridad informática. El más cercano es el documento número 17799 de la Organización Internacional de Normas y Estándares (ISO), el cual define un esquema y proporciona orientación de alto nivel sobre políticas de seguridad informática. Las políticas de este manual están organizadas sobre la base del esquema ISO 17799. Dada la rapidez de significativos desarrollos en las áreas legales, empresariales estadales e informáticas, todavía mucha gente se pregunta si alguna vez tendremos un conjunto específico de políticas normalizadas a nivel internacional.

Domenico Pirillo y Karina Da Costa
CONATEL-Venezuela