Seguridad Cibernética: Perspectivas Legales Presentación, 4 de septiembre de 2003 Congreso de...
-
Upload
alejandra-blazquez-martin -
Category
Documents
-
view
214 -
download
1
Transcript of Seguridad Cibernética: Perspectivas Legales Presentación, 4 de septiembre de 2003 Congreso de...
Seguridad Cibernética: Seguridad Cibernética: Perspectivas LegalesPerspectivas Legales
Presentación, 4 de septiembre de 2003Congreso de Educación y TecnologíaUniversidad Interamericana, Recinto Barranquitas
Carmen R. Cintrón Ferrer © 2003, Derechos Reservados
Seguridad cibernéticaSeguridad cibernéticaPerspectivas legalesPerspectivas legales
Legislación aplicable Encausamiento criminal y manejo de la evidencia (“Forensics”)
Demandas en daños (“torts”) y responsabilidad frente a 3ros Organizaciones de apoyo Recapitulación final
Computer Fraud and Abuse Act (1986)18USCCh47 sec. 1030 define dos tipos de delito grave: “Unauthorized access to a federal interest computer with the
intention to commit fraudulent theft” “Malicious damage involving alteration of information in, or
preventing the use of a federal interest computer provoking loses of $10,000 or more, except medical records”
“A federal interest computer includes financial institutions” “If convicted the penalty could be 5 -10 years” “defines a misdemeanor for traffic in passwords” Test cases: Robert Morris (Cornell student) & Zinn (HS)
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Computer Fraud and Abuse Act (1986)La sec.1030 define diferentes escenarios delictivos:
Espionaje contra el gobierno federal - sec. 1030(a)(1) Uso no autorizado de equipo - sec. 1030(a)(2) Incursionar (“tresspass”) en equipo – sec. 1030(a)(3) Acceder con intención de defraudar – sec. 1030(a)(4) Afectar el uso o integridad (DoS) – sec. 1030(a)(5) Tráfico de claves (“passwords”) – sec. 1030(a)(6) Extorsión – sec. 1030(a)(7) ¿Virus?
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Credit Card Fraud 18USC sec. 1029 define como delito grave:
Poseer por lo menos 15 números de tarjetas de contrabando
Atacar un sistema de computadoras para acceder información sobre números de tarjetas de crédito al cual no tiene autorización de acceso, aún cuando no pueda demostrase daños ascendentes a $5000 ó más
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Federal Trade Commission Act15 USC sec. 1685 abarca operaciones en el Web: Divulgar las políticas sobre privacidad de los ISP Exponer de forma clara y visible las normas Prevenir el “online profiling” y robo de identidad Política de no intervención en el WEB para regular
privacidad, excepto referente a menores (COPA) Guías sobre prácticas legítimas y razonables
(“Fair practices”) que cobijen al consumidor
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Children’s Online Privacy Protection Act (COPA) 15USC sec. 6501dispone: Sitios Web comerciales dirigidos a niños (“online services
targeted to children”) menores de 13 años. Recoger información personal acerca de niños Exige consentimiento de los padres Obliga a notificar acerca de la información que se recoge El incumplimiento da base a que se determine una práctica
engañosa o injusta (“unfair or deceptive”) Cuestionamiento constitucional
“Electronic Communications Privacy Act-1986 (ECPA)”
Interceptación de comunicaciones (18USC2511)
Proscribe la interceptación de comunicaciones telefónicas y electrónicas, incluyendo al gobierno, quien necesita una orden de cateo (“warrant”)
Un intruso que coloca un “sniffer” puede considerarse como una interceptación ilegal
Cierto tipo de vigilancia (“monitoring”) por parte de las organizaciones, también, puede considerarse una interceptación ilegal
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Electronic Communications Privacy Act (1986)ECPA Reemplaza en parte el Omnibus Crime Act (1968)
Extiende las protecciónes del título III sobre privacidad a la transmisión y almacenamiento de las comunicaciones electrónicas.
Protege el contenido de la comunicación y documento electrónico
Incluye los segmentos de comunicación inalámbrica Abarca la expectativa de privacidad que cubre el empleo
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Copyrights (18 USC 2319): Define como delito menos grave la reproducción y/o
distribución de material protegido por derechos de autor cuando por lo menos se han hecho 10 copias y el valor total
excede $1,000. De exceder el valor los $2,500 el delito se convierte en
grave Si un sistema de computadores ha sido comprometido y
está siendo utilizado para la distribución ilegal de material protegido el dueño o proveedor del SW puede estar incurriendo en delito punible independientemente que se demuestren o no daños en exceso de $5,000
Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable
Perspectivas legalesPerspectivas legalesCConsecuencias penales de otros actosonsecuencias penales de otros actos
Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet (“Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California)
Identity theft – Impostura (E-sign) SPAM – “remital of bulk unsolicited mail”
(legislación pendiente ante el Congreso & California) “Reverse computer tresspass & Data mining”
CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling” #
National Information Infrastructure Protection Act (1996) PL-104-294 amplia los delitos por fraude y abuso de tecnología para integrar: Obtener y divulgar información relativa a la defensa nacional Uso indebido de tecnología para obtener información del gobierno
federal en sistemas públicos o privados Integra la presencia en Internet Aumenta a delito grave los delitos donde el impacto del uso indebido
o impropio es sustancial Redefine “protected computer” para aclarar transacciones “interstate
or foreign commerce” Aplica a todas las transmisiones o amenazas por cualquier medio
que pretendan interferir con las operaciones normales, negar acceso a usuarios legítimos, borrar archivos,corromper programas,o ataponar el tráfico en las redes.
Perspectivas legalesPerspectivas legales Otra legislación aplicable Otra legislación aplicable
Gramm-Leach Bliley Financial Services Modernization Act – GLB Act (1999) Impone a las instituciones financieras la obligación afirmativa
de proteger la información de sus clientes Requiere divulgar a los clientes los escenarios de compartir
información entre instituciones y permitirles “opt out” Requiere divulgar anualmente las medidas que tiene
implantadas para proteger la información de los clientes Incluye datos personales, datos financieros, sobre servicios y
sobre transacciones del cliente
Perspectivas legalesPerspectivas legales Otra legislación aplicable Otra legislación aplicable
Health Insurance Portability and Accountability Act –HIPPA (1996) Establece estándares para la transmisión electrónica de datos entre
proveedores médicos y los aseguradores o el gobierno Seguridad y privacidad en el ámbito administrativo:
Certificación Procedimientos Planificación de contingencias Procesos de seguridad para personal, “incident response” , etc Auditorías
Seguridad y privacidad en el ámbito físico: Control de los medios Control de acceso físico Monitoreo sobre el uso de los equipos y estaciones de trabajo
Seguridad y privacidad en el ámbito técnico: Autenticación de usuarios #
Perspectivas legalesPerspectivas legales Otra legislación aplicable Otra legislación aplicable
Encausamiento criminal (“prosecution”): Debe haberse cometido un delito Debe existir evidencia admisible que lo sostenga Debe haber interés o intención de encausar Participación del asesor legal de la organización Integración de los agentes del orden público
Perspectivas legalesPerspectivas legalesEncausamiento criminalEncausamiento criminal
Admisibilidad de la evidencia: Documento original es la mejor evidencia Se obtuvo por medios lícitos, en cumplimiento con las reglas
de procedimiento criminal y la constitución Documento se produjo o tramitó siguiendo los
procedimientos establecidos. Documento se depositó, guardó y custodió adecuadamente
para evitar su adulteración o modificación indebida. Documento lo presenta quien lo produjo o tramitó. El proceso de almacenarlo, guardarlo y custodiarlo lo
describe la(s) persona(s) a cargo Los peritos deben ser calificados, previo a su presentación
Perspectivas legalesPerspectivas legalesManejo de la evidenciaManejo de la evidencia
Actos negligentes pueden conllevar reclamaciones de daños y perjuicios (“torts” ) por responsabilidad personal o fiduciaria frente a terceros.
Ámbito o dimensión de la responsabilidad: Actos propios Actos de otros por los cuales respondemos (fiduciarios)
Perspectivas legalesPerspectivas legalesResponsabilidad frente a tercerosResponsabilidad frente a terceros
Resposabilidad basada en actos negligentes: Áreas de responsabilidad primaria:
Indolencia, ignorancia o negligencia al administrar los recursos de información de la organización
Uso indebido con la intención, o no, de causar daño “Internal monitoring” – empleados, clientes, visitantes “Downstream liability” – permitir a 3ros utilizar nuestra
infraestructura tecnológica para causar daño a otros “Attack back” – ripostar al atacante de manera similar
Responsabilidad fiduciaria: Divulgación indebida sobre clientes, proveedores, otros Violación a derechos de propiedad industrial e intelectual
Perspectivas legalesPerspectivas legalesResponsabilidad frente a tercerosResponsabilidad frente a terceros
Responsabilidad por negligencia surge por:
Dejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más reciente Fallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar
políticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y
procedimientos
Perspectivas legalesPerspectivas legalesResponsabilidad frente a tercerosResponsabilidad frente a terceros
“Standard of due care”:
Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes
Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos
Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos
Reducir el margen de error humano Actuar como un buen padre de familia lo haría Estándares de ISO17799
Perspectivas legalesPerspectivas legalesResponsabilidad frente a tercerosResponsabilidad frente a terceros
¿Qué hacer?:
Ejercer el “standard of due care” Fortalecer las relaciones con la división legal y recursos
humanos Cumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación indolente Colaborar con la gerencia, auditores, agencias reguladoras
y del orden público en la investigación del incidente Tomar medidas para evitar que se repitan estos incidentes Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetro #
Perspectivas legalesPerspectivas legalesResponsabilidad frente a tercerosResponsabilidad frente a terceros
“European Data Privacy Initiatives” (1998):
Notificar qué se recopilando Elección – “opt–in”/ “opt–out” Transferencia – basada cumplimiento requerimientos Aceso a datos garantizado Seguridad – frente a acceso indebido o no autorizado Integridad – metodología para corregir datos errados
Perspectivas legalesPerspectivas legalesAgencias reguladoras (EUC)Agencias reguladoras (EUC)
Asociaciones de profesionales en el área: National White Collar Crime Center National Consortium for Justice Information and Statistics (S
EARCH) High Technology Crime Investigators Association (HTCIA) National Cybercrime Training Partnership (NTCP)
“Hay una necesidad imperiosa de profesionales en este campo que dominen la tecnología y se interesen por el cumplimiento con el sistema de ley.”
Perspectivas legalesPerspectivas legalesOrganizaciones de apoyoOrganizaciones de apoyo
Perspectivas legalesPerspectivas legales Organizaciones de apoyo Organizaciones de apoyo
Organizaciones particulares que certifican prácticas seguras del comercio en WEB y la protección al consumidor: TRUSTe – revisa regularmente sedes certificadas y
recomienda cambios en procesos BBBOnline – programa de certificación de negocios sujetos
a sus prácticas recomendadas Webtrust – certificación por auditores de cumplimiento con
estándares en: Business Practice Disclosure Transaction Integrity Information Protection
Perspectivas legalesPerspectivas legalesDefensa libertades civilesDefensa libertades civiles
“American Civil Liberties Union (ACLU)” “US Commission on Civil Rights” Derechos.net – “Human Rights Links” “Electronic Frontier Foundation (EFF)” “Electronic Privacy Information Center (EPIC)” “Computer Professionals for Social Responsibility (CP
SR)” “US Internet Industry Association(USIIA)” “American Libraries Association (ALA)” “Civil Rights Organization”
Perspectivas legalesPerspectivas legalesDefensa libertades civilesDefensa libertades civiles
“Defense Advanced Research Projects Agency (DARPA) Total Information Awareness Program (TIA)”:
Terrorism Information Awareness System Is Big Brother really watching us …
to protect and defend, or what?
PreguntasPreguntas
ReferenciasReferencias
Tanenbaum, Computer Networks Maiwald, Network Security Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment daCruz, Safe networking computing (Columbia U.,
Sep 2001) McHugh,Christie & Allen, The role of intrusion
detection systems (IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked
systems (STSC Crosstalk Oct, 2000)