Anderson Medina, Matilde Flores Urbáez y Juana Ojeda de López
En esta sección, se presenta el marco referencial del trabajo a través de los siguientes aspectos: definición conceptual del sector bancario y de la seguridad de datos de tecnología de información, la aplicación de la seguridad de datos en tecnologías de información y comunicación en las empresas bancarias y finalmente, la fundamentación jurídica y política en materia de seguridad de datos para este sector.
Autores como Muci y Martin (2004), definen el sector bancario como el intermediario financiero que promueve servicios de transacción a sus clientes. El proceso de la intermediación financiera aparece como elemento clave en la definición, debido a que se encarga de tomar dinero en préstamo, lo canalizan para construir un patrimonio común y lo invierten. Se dice que son intermediarios porque las instituciones bancarias se ubican entre los inversionistas y la inversión final.
González (2005), manifiesta que el sector bancario permite la prestación de un servicio de sistemas de pago que facilita las transacciones entre los agentes y la intermediación financiera en la que logra captar y aprovechar los flujos de dinero de aquellos individuos que tienen capacidad de ahorro para destinarlos hacia aquellos sectores que no cuentan con los suficientes recursos para realizar una determinada actividad, por lo que se considera uno de los principales propulsores de la actividad económica de un país.
En este contexto, Bernabé (2002) destaca que la actividad principal de las entidades del sector bancario es la administración de la inversión de los depósitos realizados por el público, que hay que reintegrar, con el fin de obtener un beneficio que permita la remuneración del interés pactado con el depositario, lo cual se lleva a cabo por medio de la prestación de una serie de servicios “accesorios”.
En tal sentido, Martínez (2004) manifiesta que en las diferentes actividades que se desarrollan alrededor del mundo con dinero, bonos, acciones, opciones u otro tipo de herramientas financieras, la banca actúa como intermediaria entre las diferentes personas u organizaciones que realizan estos movimientos, negocios o transacciones financieras.
En las últimas décadas, el Estado venezolano ha establecido una creciente sensibilización social sobre los problemas relacionados con políticas de innovación tecnológica, incluyendo las tecnologías sociales y organizativas, entre las que destacan sus aplicaciones en las empresas del sector bancario. Adicionalmente es importante la participación del sector bancario del país en el fortalecimiento e impulso de las actividades orientadas al desarrollo de la ciencia y la tecnología, así como también por medio del desarrollo endógeno de las actividades en dicha área.
La existencia de los intermediarios bancarios en un país se justifica según sus beneficios fundamentales (Maza, 2004):
Las distintas conceptualizaciones sobre el sector bancario expuestas anteriormente, se presentan de forma resumida en el cuadro 1:
CUADRO 1
CONCEPTUALIZACION DEL SECTOR BANCARIO
A los fines de esta investigación y con base en los criterios expresados por dichos autores, se propone la siguiente definición del sector bancario: conjunto de empresas que permiten la intermediación financiera a través de los distintos tipos de servicios ofrecidos (transaccionales, administrativos, económicos y financieros), soportados por medio de una plataforma tecnológica segura, y que influyen de manera determinante en la liquidez, rentabilidad, equilibrio y solvencia del sistema económico del país.
Expuesto lo anterior vale aclarar entonces el significado de la Seguridad de Datos de Tecnologías de Información y Comunicación, el cual se expresa en el cuadro 2 visto desde el enfoque de Lam y otros (2004), Carter (2004) y Wescott (2004).
CUADRO 2
CONCEPTUALIZACIÓN DE SEGURIDAD DE DATOS
DE TECNOLOGIAS DE INFORMACION Y COMUNICACIÓN
Tomando en consideración la propuesta conceptual de Lam, Carter y Wescott, se define la SDTIC como aquellas estrategias y operaciones que se estructuran sobre basamentos técnicos que permiten establecer políticas de control y protección de datos basados en criterios de confidencialidad, integridad y disponibilidad de los datos, considerando las mejores prácticas disponibles a nivel mundial sobre estándares y normas creados y reconocidos por el sector empresarial.
Basado en Bel (2005) y tomando como referencia la norma sobre Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas (COBIT) (1), las empresas bancarias pueden aplicar, desarrollar y evaluar metodológicamente la seguridad de datos de tecnología de información por medio del establecimiento y evolución interna de las siguientes actividades:
a) Planificación y Organización:
En esta propuesta, se destaca la importancia de la participación activa de la alta gerencia para la definición de las estrategias que pueden ser establecidas, a los fines de llevar a cabo la puesta en marcha de las actividades de planificación y organización.
b) Adquisición e Implementación
En este caso, se destaca la importancia del aporte de la gerencia media en cuanto a las estrategias que pueden ser establecidas, a los fines de llevar a cabo la puesta en marcha de las actividades de adquisición e implementación.
c) Entrega y Soporte
En este contexto, se destaca la importancia del aporte de la gerencia operacional en cuanto a las estrategias que pueden ser establecidas, a los fines de llevar a cabo la puesta en marcha de las actividades de entrega y soporte.
d) Monitoreo y Evaluación:
Por las razones expuestas, cabe hacerse la siguiente interrogante: ¿ como funciona la banca venezolana dado los permanentes riesgos en materia de seguridad de datos de tecnologías de información y comunicación? ¿cuál es su marco jurídico y sus instrumentos de política que regula esta amenaza tecnológica? En un intento por responder a estas interrogantes, a continuación se analiza la situación de la banca venezolana en el marco de la legislación venezolana en materia de seguridad de datos de tecnologías de información y comunicación así como instrumentos de política de de manera implícita abordan esta temática.
Con la firme intención de fomentar la asignación de recursos ponderada y diversificada, mantener la eficiencia en la prestación de servicios, salvaguardar los intereses de los ahorristas y demás acreedores, así como proteger la solvencia del sistema bancario en su conjunto, el Estado venezolano interviene activamente en la regulación del sector bancario a través de la formulación de leyes que regulan sus actividades.
A continuación se presenta una visión panorámica del marco jurídico venezolano que de forma directa o indirecta regula lo relacionado con la seguridad de datos en tecnologías de información y comunicación
En el año 2000 se promulga por la Superintendencia de Bancos y otras Instituciones Financieras la Ley Sudaban ó Ley General de Bancos, la cual manifiesta en su artículo 213 que la inspección, supervisión, vigilancia, regulación y control de los bancos, entidades de ahorro y préstamo, otras instituciones financieras, casas de cambio, operadores cambiarios fronterizos y empresas emisoras y operadoras de tarjetas de crédito, estará a cargo de ella. Es un instituto autónomo, adscrito al Ministerio de Finanzas solo a efectos de la tutela administrativa y goza de las prerrogativas, privilegios y exenciones de orden fiscal, tributario y procesal que la ley otorga a la República.
Aunado a ello, las leyes venezolanas respaldan las actividades relativas tanto a la banca y a la seguridad de tecnología de información como el desarrollo de capacidades de innovación tecnológica en materia de seguridad de datos. Por una parte están las leyes que regulan al sector bancario, tal como el Decreto con fuerza de Ley de Reforma de la Ley General de Bancos y otras Instituciones Financieras (2000), y por otra parte, las leyes del sector científico y tecnológico vinculadas directamente con la seguridad en tecnología de información, tales como la Ley Orgánica de Ciencia, Tecnología e Innovación (2005), la Ley sobre Mensajes de Datos y Firmas Electrónicas (2001) y la Ley Especial sobre Delitos Informáticos (2001).
En este contexto, se resaltan las siguientes consideraciones legales:
Ley General de Bancos
La Ley General de Bancos y otras Instituciones Financieras, manifiesta en sus artículos 233, 234, 251 y 252, que la información bancaria debe manejarse de manera confidencial por los organismos que la posean, y adicionalmente debe ser suministrada de la misma manera por los entes de control que la ameriten, por lo que se hace necesario que sea administrada de manera segura.
Adicionalmente, dicha ley en sus artículos 444, 445, 446 y 447, señala que quien utilice los medios informáticos o mecanismos similares para apoderarse, manipular o alterar papeles, cartas, mensajes de correo electrónico o cualquier otro documento que repose en los archivos electrónicos de un banco, entidad de ahorro y préstamo, institución financiera o casa de cambio, perjudicando el funcionamiento de las empresas regidas por este Decreto Ley o a sus clientes, será penado con prisión de ocho (8) a diez (10) años.
Ley Orgánica de Ciencia, Tecnología e Innovación
La Ley Orgánica de Ciencia, Tecnología e Innovación (2005) manifiesta en su artículo 3 que forman parte del Sistema Nacional de Ciencia Tecnología e Innovación, las instituciones públicas o privadas que generen y desarrollen conocimientos científicos y tecnológicos y procesos de innovación, y las personas que se dediquen a la planificación, administración, ejecución y aplicación de actividades que posibiliten la vinculación efectiva entre la ciencia, la tecnología y la sociedad (tal es el caso de las entidades del sector bancario).
Adicionalmente, dicha ley en su artículo 4, expresa la necesidad de estimular la capacidad de innovación tecnológica del sector productivo, empresarial y académico, tanto público como privado, a través de mecanismos que permitan la inversión de recursos financieros para el desarrollo de las actividades científicas, tecnológicas y de innovación.
La Ley sobre Mensajes de Datos y Firmas Electrónicas (2001)
En su artículo 1, manifiesta que se otorga y reconoce la eficacia y el valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico, independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o privadas, así como regular todo lo relativo a los Proveedores de Servicios de Certificación y los Certificados Electrónicos (tal es el caso de las operaciones electrónicas efectuadas por parte de las entidades del sector bancario).
La ley en su artículo 7, expresa que cuando se requiera que la información sea presentada o conservada en su forma original, ese requisito quedará satisfecho con relación a un Mensaje de Datos si se ha conservado su integridad y cuando la información contenida en dicho Mensaje de Datos esté disponible. A tales efectos, la ley establece que un Mensaje de Datos permanece íntegro, si se mantiene inalterable desde que se generó, salvo algún cambio de forma propio del proceso de comunicación, archivo o presentación.
En el artículo 27 de dicha ley se expresa que la Superintendencia de Servicios de Certificación Electrónica (adscrita al Ministerio de Ciencia y Tecnología) podrá adoptar las medidas preventivas o correctivas necesarias para garantizar la confiabilidad de los servicios prestados por los Proveedores de Servicios de Certificación, por lo que, podrá ordenar, entre otras medidas, el uso de estándares o prácticas internacionalmente aceptadas para la prestación de los servicios de certificación electrónica, o que el proveedor se abstenga de realizar cualquier actividad que ponga en peligro la integridad y la seguridad del dato o el buen uso del servicio de los sistemas de información (tal es el caso de los sistemas de información y la plataforma tecnológica que soporta las operaciones de las entidades del sector bancario).
La Ley Especial contra Delitos Informáticos (2001)
Expresa en su artículo 1 que es objeto de protección integral los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías (tal es el caso de los sistemas de información y la plataforma tecnológica que soporta las operaciones de las entidades del sector bancario).
Adicionalmente dicha ley en sus artículos del 13 al 26, expresan que serán aplicadas sanciones para aquellos que a través del uso de tecnologías de información, accedan, intercepten, interfieran, manipulen o usen de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico para sí o para otro, con prisión de dos (2) a seis (6) años y multa de doscientas (200) a seiscientas (600) unidades tributarias.
Un resumen del marco jurídico venezolano en materia de seguridad de datos de tecnologías de información y comunicación (SDTIC) se presenta en el cuadro
3. CUADRO
MARCO JURÍDICO VENEZOLANO EN MATERIA DE SDTIC
El conjunto de dispositivos legales emanados del gobierno nacional venezolano presentado, revelan que la seguridad de datos en tecnología de información, es considerada un tema de Estado el cual busca mitigarlo a través de la aplicación de las sanciones legales dispuestas. En el cuadro, se evidencia que el marco legal venezolano, refuerza la importancia que tiene la seguridad de datos en tecnologías de información en el sector bancario, así como la aplicación y puesta en práctica de medidas conducentes al resguardo y la seguridad de los datos de los sistemas y la plataforma tecnológica, que soporta los mismos en dichas entidades.
Subirats (1999) refiere que las políticas científicas y tecnológicas deben estar en completa concordancia con la política nacional de desarrollo, por tal razón, hay un consenso cada vez mayor acerca de que una respuesta adecuada a los desafíos económico-tecnológicos de un mundo en cambio, el cual requiere un rol activo del Estado que impulse una política científico-tecnológica articulada.
No es, por tanto, una sorpresa que la participación pública en la formulación de estas políticas constituya hoy día un importante reto tanto para las empresas bancarias como para el Gobierno, las cuales en el caso venezolano, se encuentran en la búsqueda constante de desarrollar sus capacidades de innovación tecnológica, especialmente en el área de seguridad de datos de tecnología de información como parte de la evolución de un proceso endógeno de desarrollo tecnológico del sistema bancario, la cual permitiría mejorar sus productos y servicios en dicho ámbito.
Por ello, es importante destacar la relación existente entre los instrumentos de políticas venezolanos con la seguridad de datos de tecnología de información en el sector bancario venezolano.
En ese orden de ideas, se destaca lo siguiente:
La fundamentación política de la banca venezolana en materia de seguridad de datos en tecnologías de información se resume en el cuadro 4.
CUADRO 4
FUNDAMENTACION POLITICA DE LA DE LA BANCA VENEZOLANA
EN MATERIA DE SEGURIDAD DE DATOS EN TECNOLOGÍAS DE INFORMACIÓN
En el cuadro se evidencia que las políticas públicas venezolanas refuerzan la importancia que tiene la SDTIC, así como la aplicación y puesta en práctica de medidas conducentes a dinamizar y apoyar las actividades científico-tecnológicas en esta materia.
[anterior] [inicio] [siguiente]
(1) COBIT, lanzado en 1996 por la Asociación de Auditoria y Control de Sistemas de Información (ISACA), es una herramienta estándar mundial del ámbito de las Tecnologías de Información (TI) que permite investigar, desarrollar, publicar y promover un conjunto de objetivos de control de TI rectores, los cuales son actualizados y aceptados internacionalmente para ser utilizados y aplicados por Gerentes de Negocio y Auditores de TI a nivel empresarial, incluyendo los bancos (Gros, 2003).
(2) Las grandes transformaciones tecnológicas desde inicios y mitad de la década de los setenta muestran, que las tecnologías de la información son un componente esencial de la transformación social en su conjunto que incide directamente en las organizaciones, pero este no es el único factor determinante en el desarrollo de la misma. Es por ello que la tecnología no es solamente “máquinas”: es también tecnología social y organizativa (Castells,1994).