Archivos de la etiqueta: Legislación O.N.U.

27Abr/21

Resolución 57/239, de 20 de diciembre de 2002

Resolución 57/239, de 20 de diciembre de 2002, sobre los elementos para la Creación de una Cultura Mundial de Seguridad Cibernética para Sistemas y Redes de Información.

Resolución aprobada por la Asamblea General [sobre la base del informe de la Segunda Comisión (A/57/529/Add.3)] 57/239. Creación de una cultura mundial de seguridad cibernética

La Asamblea General,

 Observando que los gobiernos, las empresas, otras organizaciones y los usuarios individuales dependen cada vez más de las tecnologías de la información para el suministro de bienes y servicios esenciales, la gestión de sus asuntos y el intercambio de información,

Reconociendo que la necesidad de seguridad cibernética aumenta a medida que los países incrementan su participación en la sociedad de la información,

Recordando sus resoluciones 55/63, de 4 de diciembre de 2000, y 56/121, de 19 de diciembre de 2001, sobre el establecimiento de la base jurídica para luchar contra la utilización de las tecnologías de la información con fines delictivos,

Recordando también sus resoluciones 53/70, de 4 de diciembre de 1998, 54/49, de 1° de diciembre de 1999, 55/28, de 20 de noviembre de 2000, 56/19, de 29 de noviembre de 2001, y 57/53, de 22 de noviembre de 2002, sobre los avances en la esfera de la información y las telecomunicaciones en el contexto de la seguridad internacional,

Consciente de que la seguridad cibernética no es sólo cuestión de prácticas de gobierno o de orden público, sino que debe alcanzarse por medio de la prevención y con el apoyo de toda la sociedad,

Consciente también de que la tecnología por sí sola no puede garantizar la seguridad cibernética y que debe darse prioridad a la planificación y gestión de la seguridad cibernética en toda la sociedad,

Reconociendo que, cada uno en su papel, los gobiernos, las empresas, otras organizaciones, y los propietarios y usuarios individuales de las tecnologías de la información deben tener conciencia de los riesgos que existen para la seguridad cibernética y de las medidas preventivas, deben asumir sus responsabilidades y tomar medidas para mejorar la seguridad de esas tecnologías de la información,

Reconociendo también que las disparidades entre los países en el acceso a las tecnologías de la información y en su utilización pueden reducir la eficacia de la cooperación internacional en la lucha contra la utilización de las tecnologías de la información con fines delictivos y en la creación de una cultura mundial de la seguridad cibernética, y teniendo en cuenta la necesidad de facilitar la transferencia de las tecnologías de la información, en particular a los países en desarrollo,

Reconociendo además la importancia de la cooperación internacional para lograr la seguridad cibernética apoyando las iniciativas nacionales encaminadas a desarrollar la capacidad humana, aumentar las oportunidades de aprendizaje y empleo y mejorar los servicios públicos y la calidad de vida aprovechando las posibilidades que brindan las tecnologías y las redes de información y comunicaciones avanzadas, fiables y seguras y promoviendo el acceso universal a ellas,

Observando que, como resultado de la creciente interconectividad, los sistemas y redes de información están hoy expuestos a un número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades que plantean nuevos problemas de seguridad para todos los usuarios de computadoras,

Tomando conocimiento de la labor de las organizaciones internacionales y regionales pertinentes en relación con el mejoramiento de la seguridad cibernética y la seguridad de las tecnologías de la información,

1. Toma nota de los elementos que figuran en el anexo de la presente resolución, con miras a crear una cultura mundial de seguridad cibernética;

 2. Invita a todas las organizaciones internacionales pertinentes a que en toda labor futura en materia de seguridad cibernética tengan presentes, entre otras cosas, esos elementos para la creación de una cultura mundial de seguridad cibernética;

 3. Invita a los Estados Miembros a que tengan en cuenta esos elementos, entre otras cosas, en sus actividades para promover en todas sus sociedades una cultura de seguridad cibernética en la aplicación y utilización de las tecnologías de la información;

 4. Invita a los Estados Miembros y a todas las organizaciones internacionales pertinentes a que en los preparativos de la Cumbre Mundial sobre la Sociedad de la Información, que se celebrará en Ginebra del 10 al 12 de diciembre de 2003 y en Túnez en 2005, tengan en cuenta, entre otras cosas, esos elementos y la necesidad de una cultura mundial de seguridad cibernética;

 5. Subraya la necesidad de facilitar la transferencia de las tecnologías de la información y el fomento de la capacidad para ayudar a los países en desarrollo a adoptar medidas en materia de seguridad cibernética.

78ª sesión plenaria, 20 de diciembre de 2002

Anexo. Elementos para la creación de una cultura mundial de seguridad cibernética

 Los rápidos progresos de las tecnologías de la información han cambiado el modo en que los gobiernos, las empresas, otras organizaciones y los usuarios individuales que desarrollan, poseen, proporcionan, gestionan, mantienen y utilizan esos sistemas y redes de información (“participantes”) deben abordar la cuestión de la seguridad cibernética. Una cultura mundial de seguridad cibernética requerirá que todos los participantes tomen en consideración los nueve elementos complementarios siguientes:

a) Conciencia. Los participantes deben tener conciencia de la necesidad de la seguridad de los sistemas y redes de información y de lo que pueden hacer por mejorar esa seguridad;

b) Responsabilidad. Los participantes son responsables de la seguridad de los sistemas y redes de información en cuanto corresponde a sus funciones individuales. Deben examinar periódicamente sus propias políticas, prácticas, medidas y procedimientos y evaluar si son las que convienen en su contexto;

c) Respuesta. Los participantes deben actuar de manera oportuna y cooperativa para prevenir y detectar los incidentes de seguridad y reaccionar ante ellos. Deben compartir la información sobre las amenazas y las vulnerabilidades, según convenga, y aplicar procedimientos para establecer una cooperación rápida y eficaz a fin de prevenir y detectar los incidentes de seguridad y reaccionar ante ellos. Para ello puede ser necesario compartir información y cooperar a través de las fronteras;

d) Ética. Dada la omnipresencia de los sistemas y redes de información en las sociedades modernas, los participantes deben respetar los legítimos intereses de los demás y reconocer que lo que hagan o dejen de hacer puede perjudicar a otros;

e) Democracia. Las medidas de seguridad deben aplicarse de manera compatible con los valores reconocidos de las sociedades democráticas, incluidos la libertad de intercambiar pensamientos e ideas, el libre flujo de la información, la confidencialidad de la información y las comunicaciones, la debida protección de la información personal, la franqueza y la transparencia;

f) Evaluación de riesgos. Todos los participantes deben realizar evaluaciones periódicas de los riesgos a fin de determinar las amenazas y vulnerabilidades; esas evaluaciones deben tener una base suficientemente amplia para abarcar los principales factores internos y externos, tales como la tecnología, los factores físicos y humanos, las políticas y los servicios de terceros que tengan consecuencias para la seguridad; permitir la determinación del nivel de riesgo aceptable; y ayudar a la selección de controles apropiados para gestionar el riesgo de posibles daños a los sistemas y redes de información, teniendo en cuenta la naturaleza y la importancia de la información que se debe proteger;

g) Diseño y puesta en práctica de la seguridad. Los participantes deben incorporar la seguridad como elemento esencial de la planificación y el diseño, el funcionamiento y el uso de los sistemas y redes de información;

h) Gestión de la seguridad. Los participantes deben adoptar un enfoque amplio de la gestión de la seguridad basado en una evaluación de los riesgos que sea dinámica e incluya todos los niveles de las actividades de los participantes y todos los aspectos de sus operaciones;

i) Reevaluación. Los participantes deben examinar y reevaluar la seguridad de los sistemas y redes de información e introducir las modificaciones apropiadas en las políticas, prácticas, medidas y procedimientos de seguridad que permitan hacer frente a las amenazas y vulnerabilidades a medida que se presentan o se transforman.

27Abr/21

Resolución 64/211, aprobada por la Asamblea General el 21 de diciembre de 2009

Resolución aprobada por la Asamblea General el 21 de diciembre de 2009 [sobre la base del informe de la Segunda Comisión (A/64/422/Add.3)] 64/211. Creación de una cultura mundial de seguridad cibernética y balance de las medidas nacionales para proteger las infraestructuras de información esenciales

La Asamblea General,

Recordando sus resoluciones 55/63, de 4 de diciembre de 2000, y 56/121, de 19 de diciembre de 2001, relativas a la lucha contra la utilización de la tecnología de la información con fines delictivos, 57/239, de 20 de diciembre de 2002, relativa a la creación de una cultura mundial de seguridad cibernética, y 58/199, de 23 de diciembre de 2003, relativa a la creación de una cultura mundial de seguridad cibernética y protección de las infraestructuras de información esenciales, Recordando también sus resoluciones 53/70, de 4 de diciembre de 1998, 54/49, de 1° de diciembre de 1999, 55/28, de 20 de noviembre de 2000, 56/19, de 29 de noviembre de 2001, 57/53, de 22 de noviembre de 2002, 58/32, de 8 de diciembre de 2003, 59/61, de 3 de diciembre de 2004, 60/45, de 8 de diciembre de 2005, 61/54, de 6 de diciembre de 2006, 62/17, de 5 de diciembre de 2007, y 63/37, de 2 de diciembre de 2008, relativas a los avances con respecto a las tecnologías de la información en el contexto de la seguridad internacional,

Recordando además los documentos finales de la Cumbre Mundial sobre la Sociedad de la Información celebrada en Ginebra del 10 al 12 de diciembre de 2003 (primera fase) y en Túnez del 16 al 18 de noviembre de 2005 (segunda fase) (1),

Reconociendo que la confianza y la seguridad en la utilización de las tecnologías de la información y las comunicaciones son unos de los pilares más importantes de la sociedad de la información, y que es necesario alentar, fomentar, desarrollar y poner en práctica resueltamente una cultura global sólida de seguridad cibernética,

Reconociendo también la contribución cada vez mayor de las tecnologías de la información en red a muchas de las funciones esenciales de la vida cotidiana, el comercio y la prestación de bienes y servicios, la investigación, la innovación y la actividad empresarial, y a la libre circulación de información entre individuos y organizaciones, gobiernos, empresas y la sociedad civil,

Reconociendo además que, cada uno en su papel, los gobiernos, las empresas, las organizaciones y los propietarios y usuarios individuales de las tecnologías de la información deben asumir sus responsabilidades y adoptar medidas para mejorar la seguridad de esas tecnologías de la información, Reconociendo la importancia del mandato del Foro para la Gobernanza de Internet, como un diálogo entre múltiples interesados sobre diversos asuntos, entre ellos cuestiones de política pública relativas a elementos clave de la gobernanza de Internet a fin de fomentar la sostenibilidad, la solidez, la seguridad, la estabilidad y el desarrollo de Internet, y reiterando que todos los gobiernos deben tener igual cometido y responsabilidad respecto de la gobernanza de Internet y de la estabilidad, la seguridad y la continuidad de Internet,

Reafirmando la necesidad constante de una mayor cooperación que permita a los gobiernos cumplir en igualdad de condiciones su papel y responsabilidades en cuestiones de política pública internacional relativas a Internet, pero no en los asuntos técnicos y operacionales cotidianos que no repercuten en las cuestiones de política pública internacional,

Reconociendo que cada país determinará sus propias infraestructuras de información esenciales,

Reafirmando la necesidad de aprovechar el potencial de las tecnologías de la información y las comunicaciones para promover el logro de los objetivos de desarrollo internacionalmente convenidos, entre ellos los Objetivos de Desarrollo del Milenio, reconociendo que las lagunas en el acceso a las tecnologías de la información y su uso por los Estados pueden disminuir su prosperidad económica, y reafirmando también la eficacia de la cooperación para combatir la utilización de la tecnología de la información con fines delictivos y crear una cultura mundial de seguridad cibernética,

Destacando la necesidad de que se desplieguen mayores esfuerzos para cerrar la brecha digital con el fin de lograr el acceso universal a las tecnologías de la información y las comunicaciones y proteger las infraestructuras de información esenciales facilitando la transferencia de tecnología de la información y fomentando la capacidad de los países en desarrollo, en especial los países menos adelantados, en los ámbitos de las mejores prácticas y la capacitación en materia de seguridad cibernética,

Expresando preocupación porque las amenazas para el funcionamiento fiable de las infraestructuras de información esenciales y la integridad de la información transmitida por esas redes están aumentando en complejidad y gravedad y afectando al bienestar interno, nacional e internacional,

Afirmando que la seguridad de las infraestructuras de información esenciales es una responsabilidad que los gobiernos deben asumir de manera sistemática y una esfera en la que deben desempeñar un papel rector a nivel nacional, en coordinación con los interesados competentes, quienes a su vez deben ser conscientes de los riesgos correspondientes, las medidas de prevención y las respuestas efectivas de manera acorde con sus respectivas funciones, Reconociendo que las medidas nacionales deben ir apoyadas por el intercambio de información y la colaboración a nivel internacional a fin de afrontar de manera efectiva el carácter cada vez más transnacional de esas amenazas,

Observando la labor realizada por las organizaciones regionales e internacionales competentes para mejorar la seguridad cibernética, y reiterando su función de alentar los esfuerzos nacionales y fomentar la cooperación internacional,

Observando también el informe de la Unión Internacional de Telecomunicaciones publicado en 2009 sobre la seguridad de las redes de información y comunicación y las prácticas óptimas para el desarrollo de una cultura de ciberseguridad, que se centra en un enfoque nacional amplio de la seguridad cibernética compatible con la libertad de expresión, la libre circulación de información y las debidas garantías procesales,

Reconociendo que es beneficioso evaluar periódicamente los progresos en las medidas nacionales para proteger las infraestructuras de información esenciales,  

1. Invita a los Estados Miembros a utilizar, siempre y cuando lo consideren procedente, el instrumento de autoevaluación voluntaria de las medidas nacionales para proteger las infraestructuras de información esenciales que figura en el anexo a fin de contribuir a la evaluación de sus esfuerzos en este sentido y fortalecer su seguridad cibernética de manera que se resalten los ámbitos en que se necesiten medidas adicionales con el objetivo de ampliar la cultura mundial de seguridad cibernética;

 2. Alienta a los Estados Miembros y a las organizaciones regionales e internacionales pertinentes que hayan elaborado estrategias de seguridad cibernética y de protección de las infraestructuras de información esenciales a que compartan las mejores prácticas y las medidas que puedan ayudar a otros Estados Miembros en sus esfuerzos por facilitar el logro de la seguridad cibernética proporcionando esa información al Secretario General para que la recopile y la difunda entre los Estados Miembros.

66ª sesión plenaria, 21 de diciembre de 2009

 Anexo.  Instrumento de autoevaluación voluntaria de las medidas nacionales para proteger las infraestructuras de información esenciales (2)

Balance de las necesidades y estrategias en materia de seguridad cibernética

1. Evaluar el papel de las tecnologías de la información y las comunicaciones en la economía y la seguridad nacionales, las infraestructuras esenciales (como el transporte, el suministro de agua y alimentos, la salud pública, la energía, las finanzas y los servicios de emergencia) y la sociedad civil.

2. Determinar los riesgos para la economía y la seguridad nacionales, las infraestructuras esenciales y la sociedad civil que deban gestionarse en el ámbito de la seguridad cibernética y la protección de las infraestructuras de información esenciales.

3. Comprender las vulnerabilidades de las redes en uso, los niveles relativos de riesgo a que se enfrenta cada sector en la actualidad y el plan de gestión en vigor, y señalar la manera en que los cambios en el entorno económico, las prioridades de seguridad nacional y las necesidades de la sociedad civil afectan a esos cálculos.

4. Determinar los objetivos de la estrategia nacional en materia de seguridad cibernética y protección de las infraestructuras de información esenciales; describir sus objetivos, el nivel de ejecución actual, las medidas existentes para medir los progresos, su relación con otros objetivos de política nacionales y la manera en que esa estrategia concuerda con las iniciativas regionales e internacionales.

Funciones y responsabilidades de los interesados

5. Determinar los principales interesados que participen en la seguridad cibernética y la protección de las infraestructuras de información esenciales y describir la función de cada uno de ellos en la elaboración de las políticas y operaciones pertinentes, incluidos:

• Los ministerios u organismos gubernamentales nacionales, señalando los principales puntos de contacto y las responsabilidades de cada uno;

• Otros participantes gubernamentales (locales y regionales);

• Los agentes no gubernamentales, entre ellos la industria, la sociedad civil y los estamentos académicos;

• Los particulares, señalando si el usuario medio de Internet tiene acceso a capacitación básica para evitar los riesgos en línea y si existe una campaña nacional de concienciación sobre la seguridad cibernética.

Procesos políticos y participación

6. Determinar los medios oficiales y oficiosos que existan en la actualidad para la colaboración entre el gobierno y la industria en la elaboración de políticas y operaciones en materia de seguridad cibernética y protección de las infraestructuras de información esenciales; determinar los participantes, sus funciones y objetivos, los métodos para obtener y utilizar las aportaciones y su idoneidad para el logro de los objetivos pertinentes en materia de seguridad cibernética y protección de las infraestructuras de información esenciales.

7. Determinar otros foros o estructuras que podrían necesitarse para integrar las perspectivas y los conocimientos gubernamentales y no gubernamentales necesarios para lograr los objetivos nacionales en materia de seguridad cibernética y protección de las infraestructuras de información esenciales.

Cooperación entre el sector público y el privado

8. Recopilar todas las medidas y planes adoptados para aumentar la cooperación entre el gobierno y el sector privado, incluyendo todo arreglo para intercambiar información y gestionar los incidentes.

9. Reunir todas las iniciativas actuales y previstas para promover intereses compartidos y enfrentar desafíos comunes entre los participantes encargados de las infraestructuras esenciales y los agentes del sector privado que dependan de las mismas infraestructuras esenciales interconectadas.

Gestión de incidentes y recuperación

10. Determinar el organismo gubernamental que coordine la gestión de los incidentes, incluida la capacidad para ejercer funciones de observación, alerta, respuesta y recuperación, los organismos gubernamentales colaboradores, los participantes no gubernamentales, incluidos la industria y otros asociados, y todo arreglo existente para la cooperación y el intercambio de información confiable.

11. Determinar, separadamente, la capacidad nacional de respuesta ante incidentes informáticos, incluidos los equipos de respuesta ante incidentes informáticos con responsabilidades nacionales y sus funciones y atribuciones, incluidos los instrumentos y procedimientos existentes para la protección de las redes informáticas gubernamentales, y los instrumentos y procedimientos existentes para difundir información sobre la gestión de los incidentes.

12. Determinar las redes y los procesos de cooperación internacional que puedan reforzar la respuesta ante los incidentes y la planificación para imprevistos, la identificación de los asociados y los arreglos de cooperación bilateral y multilateral, cuando proceda.

Marcos jurídicos

13. Examinar y actualizar las autoridades jurídicas (incluidas las relacionadas con los delitos cibernéticos, la privacidad, la protección de los datos, el derecho comercial, las firmas digitales y el cifrado) que puedan estar anticuadas u obsoletas como resultado de la rápida incorporación de las nuevas tecnologías de la información y las comunicaciones y de la dependencia de esas tecnologías, y utilizar en esos exámenes los convenios, arreglos y precedentes regionales e internacionales.

Determinar si el país ha elaborado la legislación necesaria para la investigación y el enjuiciamiento de la delincuencia cibernética, indicando los marcos existentes, por ejemplo, las resoluciones de la Asamblea General 55/63 y 56/121 relativas a la lucha contra la utilización de la tecnología de la información con fines delictivos e iniciativas regionales como el Convenio del Consejo de Europa sobre la Ciberdelincuencia.

14. Determinar la situación actual de las autoridades y procedimientos nacionales que se ocupan de la delincuencia cibernética, incluidas las competencias legales y las dependencias nacionales encargadas de las cuestiones relativas a la delincuencia cibernética, y el nivel de comprensión de esas cuestiones entre los fiscales, jueces y legisladores.

15. Evaluar la idoneidad de los códigos jurídicos y las autoridades actuales para hacer frente a los desafíos presentes y futuros de la delincuencia cibernética y del ciberespacio de forma más general.

16. Examinar la participación nacional en las iniciativas internacionales para luchar contra la delincuencia cibernética, como la Red permanente de puntos de contacto.

17. Determinar los requisitos para que los organismos nacionales de imposición de la ley cooperen con sus homólogos internacionales a fin de investigar los delitos cibernéticos transnacionales en los casos en que la infraestructura o los autores del delito se encuentren en el territorio nacional pero las víctimas residan en otros lugares.

Creación de una cultura mundial de seguridad cibernética

18. Resumir las medidas y los planes adoptados para crear la cultura nacional de seguridad cibernética a que se hace referencia en las resoluciones de la Asamblea General 57/239 y 58/199, incluida la ejecución de un plan de seguridad cibernética para los sistemas operados por el gobierno, de programas nacionales de concienciación y divulgación dirigidos, entre otros, a los niños y los usuarios individuales, y de actividades nacionales de capacitación en materia de seguridad cibernética y protección de las infraestructuras de información esenciales.

——————————————————————————————–

(1)  Véanse A/C.2/59/3 y A/60/687.

(2)  Instrumento voluntario que los Estados Miembros pueden utilizar, en parte o íntegramente, siempre y cuando consideren procedente, como contribución a sus esfuerzos por proteger sus infraestructuras de información esenciales y fortalecer su seguridad cibernética.