|
|
Muchas
de nuestras operaciones diarias están sustentadas en las
TICs (Tecnologías de la Información y las Comunicaciones)
Transferimos dinero entre cuentas de un mismo o distintos
bancos, pagamos electrónicamente facturas e impuestos,
compramos por Internet y cedemos nuestros datos a cientos de
bases dentro y fuera de la red, mostrándonos como
consumidores potenciales. Todo eso lo hacemos bajo un alto
riesgo legal, ya que la legislación aún no ha terminado de
implementar los mecanismos de seguridad necesarios.
A
partir de mayo de este año se fijarán las condiciones para
que soliciten licencia las empresas que serán Certificadoras
bajo la ley 25506 de Firma Digital el marco
jurídico que permitirá hacer estas transacciones seguras.
Según la norma citada, las empresas que deseen actuar como
Autoridad Certificante deberán cumplir los requisitos que
el reglamento de otorgamiento de licencias establezca
(entre otros: infraestructura, tecnología, política de
otorgamiento, seguridad física y lógica). La licencia será
otorgada por la Subsecretaría de la Función Pública
dependiente de la Jefatura de Gabinete. Entre las tareas de
los Organismos Certificadores estarán las de autenticar al
sujeto solicitante según la política de la entidad
previamente fijada; generar las claves públicas y privadas; y mantener un
directorio activo de los certificados emitidos, y otro
directorio de los revocados.
Operar
en el comercio electrónico con clientes y proveedores (B2C,
y B2B), facilitar el just on time de las mercaderías,
agilizar los canales de venta, minimizar y hasta eliminar la
papelería: facturas, remitos, contratos y porque no los
libros rubricados, significa un cambio que no sólo traerá
aparejado menos costos sino mejores formas de negociar. De
hecho muchas empresas operan bajo sistemas de estas características
pero sin contar hasta hoy con el respaldo jurídico que
proteja los intereses de las partes.
El
comercio internacional tiende a este sistema de
transacciones, no solo el interno sino el extrafrontera. La
OMC (Organización Mundial del Comercio) la considera una de
sus prioridades. Pero para operar bajo un sistema sustentado
en las TICs se necesita no sólo el sustento jurídico sino
también un cambio cultural, social y organizacional.
Muchas
empresas deben imaginar que con solo adquirir un software que
les permita conectarse con sus clientes y proveedores, sumado
a un buen sistema de comunicaciones debe ser suficiente. Pero
pronto tanto los proveedores de tecnologías como las
empresas usuarias, deberán lograr la Firma Digital de los
productos y servicios que ofrezcan al mercado si es que
quieren operar en un sistema legal y seguro para todas las
partes involucradas.
Para
lograrlo, el primer paso que cualquier empresa debe cumplir
es hacer que sus Sistemas de Información y Comunicaciones
operen bajo normas de seguridad estándares. Estos estándares
fijados internacionalmente están reflejados en distinto
tipos de normas, las ISO son parte de ellas. La norma que
utilizaremos para la gestión de la seguridad de la información
es la ISO/IEC
17799 (no nos adentraremos en las consideraciones de las
versiones certificables y su porqué)
que contempla esto como parte del proceso que no se
termina con la obtención de la Certificación bajo la norma
ISO y su mantenimiento posterior, sino que se sustenta en lo
que por sus siglas en inglés se conoce como PDCA (Planear,
Hacer, Verificar, Actuar). Es esta condición de continuidad
la que permite asegurarle a la empresa y a los terceros
interesados (proveedores y clientes) que la seguridad no
sufre alteraciones aún
ante nuevos escenarios de riesgos.
La
norma se basa en lograr que la información, elemento vital
en cualquier organización tenga asegurado los principios de:
confidencialidad, integridad y disponibilidad. Esto implica
que se garantice que sólo las personas autorizadas tendrán
acceso a al información; que se resguarda la exactitud y la
totalidad de al información al igual que los métodos de
procesamiento; y que se garantiza
que la misma, al igual que los recursos con la que se
procesa, puedan ser accedidos por los usuarios autorizados
cada vez que lo requieran. Pero para que esta norma pueda
implementarse la decisión debe ser
tomada como política empresarial y deberá ponerse en
marcha y comunicarse a todos los niveles de la organización,
no circunscribirse a las áreas que operan las IT (Tecnologías
de la Información),
Cumplido
este primer paso, lograr que los sistemas de
la información sean seguros, nos permite proceder a
Certificar bajo Firma Digital los servidores, los procesos y
los resultados de los procesos. La obtención de la Firma
Digital se gestionará ante las Autoridades de Certificación
que luego de verificar que se cumpla con las condiciones
reglamentadas en sus políticas
de de certificación, otorgaran mediante el pago de un
arancel el certificado digital al solicitante.
Estos certificados se confeccionarán sustentados en
criptografía asimétrica, por lo que con la emisión del
certificado se generará una clave pública y otra privada.
El certificado identificará el nombre del solicitante, la
empresa, el identificador único, el periodo de validez y su
clave pública. Cualquier documento, programa o servidor que
tenga anexado su certificado digital podrá ser autenticado
por cualquiera que acceda al mismo usando la clave pública
del mismo. Esto permitirá a quien acceda al mismo saber
quien es el emisor
y asegurarse que el contenido no ha sido alterado.
Bibliografía:
Ley
25506 y su reglamentación
Normas
ISO/IEC 17799
(*)
Contadora Pública egresada de la Universidad Nacional de
Buenos Aires. Experiencia adquiridas en empresas
Multinacionales y Nacionales actualmente como Consultora,
anteriormente como Controller, Auditora Interna y Jefa de
Contaduría e Impuestos abarcando las áreas de Administración,
Finanzas, Sistemas de Información, Auditorías Contables,
Operativas y de Sistemas, Contabilidad, Impuestos y
Sociedades
|
|
