seguridad cibernética: perspectivas legales presentación, 4 de septiembre de 2003 congreso de...

Seguridad Cibernética: Seguridad Cibernética: Perspectivas LegalesPerspectivas Legales

Presentación, 4 de septiembre de 2003Congreso de Educación y TecnologíaUniversidad Interamericana, Recinto Barranquitas

Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

Seguridad cibernéticaSeguridad cibernéticaPerspectivas legalesPerspectivas legales

Legislación aplicable Encausamiento criminal y manejo de la evidencia (“Forensics”)

Demandas en daños (“torts”) y responsabilidad frente a 3ros Organizaciones de apoyo Recapitulación final

Computer Fraud and Abuse Act (1986)18USCCh47 sec. 1030 define dos tipos de delito grave: “Unauthorized access to a federal interest computer with the

intention to commit fraudulent theft” “Malicious damage involving alteration of information in, or

preventing the use of a federal interest computer provoking loses of $10,000 or more, except medical records”

“A federal interest computer includes financial institutions” “If convicted the penalty could be 5 -10 years” “defines a misdemeanor for traffic in passwords” Test cases: Robert Morris (Cornell student) & Zinn (HS)

Perspectivas legalesPerspectivas legalesLegislación penal aplicableLegislación penal aplicable

Computer Fraud and Abuse Act (1986)La sec.1030 define diferentes escenarios delictivos:

Espionaje contra el gobierno federal - sec. 1030(a)(1) Uso no autorizado de equipo - sec. 1030(a)(2) Incursionar (“tresspass”) en equipo – sec. 1030(a)(3) Acceder con intención de defraudar – sec. 1030(a)(4) Afectar el uso o integridad (DoS) – sec. 1030(a)(5) Tráfico de claves (“passwords”) – sec. 1030(a)(6) Extorsión – sec. 1030(a)(7) ¿Virus?


Credit Card Fraud 18USC sec. 1029 define como delito grave:

Poseer por lo menos 15 números de tarjetas de contrabando

Atacar un sistema de computadoras para acceder información sobre números de tarjetas de crédito al cual no tiene autorización de acceso, aún cuando no pueda demostrase daños ascendentes a $5000 ó más


Federal Trade Commission Act15 USC sec. 1685 abarca operaciones en el Web: Divulgar las políticas sobre privacidad de los ISP Exponer de forma clara y visible las normas Prevenir el “online profiling” y robo de identidad Política de no intervención en el WEB para regular

privacidad, excepto referente a menores (COPA) Guías sobre prácticas legítimas y razonables

(“Fair practices”) que cobijen al consumidor



Children’s Online Privacy Protection Act (COPA) 15USC sec. 6501dispone: Sitios Web comerciales dirigidos a niños (“online services

targeted to children”) menores de 13 años. Recoger información personal acerca de niños Exige consentimiento de los padres Obliga a notificar acerca de la información que se recoge El incumplimiento da base a que se determine una práctica

engañosa o injusta (“unfair or deceptive”) Cuestionamiento constitucional

“Electronic Communications Privacy Act-1986 (ECPA)”

Interceptación de comunicaciones (18USC2511)

Proscribe la interceptación de comunicaciones telefónicas y electrónicas, incluyendo al gobierno, quien necesita una orden de cateo (“warrant”)

Un intruso que coloca un “sniffer” puede considerarse como una interceptación ilegal

Cierto tipo de vigilancia (“monitoring”) por parte de las organizaciones, también, puede considerarse una interceptación ilegal


Electronic Communications Privacy Act (1986)ECPA Reemplaza en parte el Omnibus Crime Act (1968)

Extiende las protecciónes del título III sobre privacidad a la transmisión y almacenamiento de las comunicaciones electrónicas.

Protege el contenido de la comunicación y documento electrónico

Incluye los segmentos de comunicación inalámbrica Abarca la expectativa de privacidad que cubre el empleo


Copyrights (18 USC 2319): Define como delito menos grave la reproducción y/o

distribución de material protegido por derechos de autor cuando por lo menos se han hecho 10 copias y el valor total

excede $1,000. De exceder el valor los $2,500 el delito se convierte en

grave Si un sistema de computadores ha sido comprometido y

está siendo utilizado para la distribución ilegal de material protegido el dueño o proveedor del SW puede estar incurriendo en delito punible independientemente que se demuestren o no daños en exceso de $5,000


Perspectivas legalesPerspectivas legalesCConsecuencias penales de otros actosonsecuencias penales de otros actos

Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet (“Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California)

Identity theft – Impostura (E-sign) SPAM – “remital of bulk unsolicited mail”

(legislación pendiente ante el Congreso & California) “Reverse computer tresspass & Data mining”

CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling” #

National Information Infrastructure Protection Act (1996) PL-104-294 amplia los delitos por fraude y abuso de tecnología para integrar: Obtener y divulgar información relativa a la defensa nacional Uso indebido de tecnología para obtener información del gobierno

federal en sistemas públicos o privados Integra la presencia en Internet Aumenta a delito grave los delitos donde el impacto del uso indebido

o impropio es sustancial Redefine “protected computer” para aclarar transacciones “interstate

or foreign commerce” Aplica a todas las transmisiones o amenazas por cualquier medio

que pretendan interferir con las operaciones normales, negar acceso a usuarios legítimos, borrar archivos,corromper programas,o ataponar el tráfico en las redes.

Perspectivas legalesPerspectivas legales Otra legislación aplicable Otra legislación aplicable

Gramm-Leach Bliley Financial Services Modernization Act – GLB Act (1999) Impone a las instituciones financieras la obligación afirmativa

de proteger la información de sus clientes Requiere divulgar a los clientes los escenarios de compartir

información entre instituciones y permitirles “opt out” Requiere divulgar anualmente las medidas que tiene

implantadas para proteger la información de los clientes Incluye datos personales, datos financieros, sobre servicios y

sobre transacciones del cliente


Health Insurance Portability and Accountability Act –HIPPA (1996) Establece estándares para la transmisión electrónica de datos entre

proveedores médicos y los aseguradores o el gobierno Seguridad y privacidad en el ámbito administrativo:

Certificación Procedimientos Planificación de contingencias Procesos de seguridad para personal, “incident response” , etc Auditorías

Seguridad y privacidad en el ámbito físico: Control de los medios Control de acceso físico Monitoreo sobre el uso de los equipos y estaciones de trabajo

Seguridad y privacidad en el ámbito técnico: Autenticación de usuarios #


Encausamiento criminal (“prosecution”): Debe haberse cometido un delito Debe existir evidencia admisible que lo sostenga Debe haber interés o intención de encausar Participación del asesor legal de la organización Integración de los agentes del orden público

Perspectivas legalesPerspectivas legalesEncausamiento criminalEncausamiento criminal

Admisibilidad de la evidencia: Documento original es la mejor evidencia Se obtuvo por medios lícitos, en cumplimiento con las reglas

de procedimiento criminal y la constitución Documento se produjo o tramitó siguiendo los

procedimientos establecidos. Documento se depositó, guardó y custodió adecuadamente

para evitar su adulteración o modificación indebida. Documento lo presenta quien lo produjo o tramitó. El proceso de almacenarlo, guardarlo y custodiarlo lo

describe la(s) persona(s) a cargo Los peritos deben ser calificados, previo a su presentación

Perspectivas legalesPerspectivas legalesManejo de la evidenciaManejo de la evidencia

Actos negligentes pueden conllevar reclamaciones de daños y perjuicios (“torts” ) por responsabilidad personal o fiduciaria frente a terceros.

Ámbito o dimensión de la responsabilidad: Actos propios Actos de otros por los cuales respondemos (fiduciarios)

Perspectivas legalesPerspectivas legalesResponsabilidad frente a tercerosResponsabilidad frente a terceros

Resposabilidad basada en actos negligentes: Áreas de responsabilidad primaria:

Indolencia, ignorancia o negligencia al administrar los recursos de información de la organización

Uso indebido con la intención, o no, de causar daño “Internal monitoring” – empleados, clientes, visitantes “Downstream liability” – permitir a 3ros utilizar nuestra

infraestructura tecnológica para causar daño a otros “Attack back” – ripostar al atacante de manera similar

Responsabilidad fiduciaria: Divulgación indebida sobre clientes, proveedores, otros Violación a derechos de propiedad industrial e intelectual


Responsabilidad por negligencia surge por:

Dejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más reciente Fallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar

políticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y

procedimientos


“Standard of due care”:

Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes

Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos

Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos

Reducir el margen de error humano Actuar como un buen padre de familia lo haría Estándares de ISO17799


¿Qué hacer?:

Ejercer el “standard of due care” Fortalecer las relaciones con la división legal y recursos

humanos Cumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación indolente Colaborar con la gerencia, auditores, agencias reguladoras

y del orden público en la investigación del incidente Tomar medidas para evitar que se repitan estos incidentes Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetro #


“European Data Privacy Initiatives” (1998):

Notificar qué se recopilando Elección – “opt–in”/ “opt–out” Transferencia – basada cumplimiento requerimientos Aceso a datos garantizado Seguridad – frente a acceso indebido o no autorizado Integridad – metodología para corregir datos errados

Perspectivas legalesPerspectivas legalesAgencias reguladoras (EUC)Agencias reguladoras (EUC)

Asociaciones de profesionales en el área: National White Collar Crime Center National Consortium for Justice Information and Statistics (S

EARCH) High Technology Crime Investigators Association (HTCIA) National Cybercrime Training Partnership (NTCP)

“Hay una necesidad imperiosa de profesionales en este campo que dominen la tecnología y se interesen por el cumplimiento con el sistema de ley.”

Perspectivas legalesPerspectivas legalesOrganizaciones de apoyoOrganizaciones de apoyo

Perspectivas legalesPerspectivas legales Organizaciones de apoyo Organizaciones de apoyo

Organizaciones particulares que certifican prácticas seguras del comercio en WEB y la protección al consumidor: TRUSTe – revisa regularmente sedes certificadas y

recomienda cambios en procesos BBBOnline – programa de certificación de negocios sujetos

a sus prácticas recomendadas Webtrust – certificación por auditores de cumplimiento con

estándares en: Business Practice Disclosure Transaction Integrity Information Protection

Perspectivas legalesPerspectivas legalesDefensa libertades civilesDefensa libertades civiles

“American Civil Liberties Union (ACLU)” “US Commission on Civil Rights” Derechos.net – “Human Rights Links” “Electronic Frontier Foundation (EFF)” “Electronic Privacy Information Center (EPIC)” “Computer Professionals for Social Responsibility (CP

SR)” “US Internet Industry Association(USIIA)” “American Libraries Association (ALA)” “Civil Rights Organization”

Perspectivas legalesPerspectivas legalesDefensa libertades civilesDefensa libertades civiles

“Defense Advanced Research Projects Agency (DARPA) Total Information Awareness Program (TIA)”:

Terrorism Information Awareness System Is Big Brother really watching us …

to protect and defend, or what?

PreguntasPreguntas

ReferenciasReferencias

Tanenbaum, Computer Networks Maiwald, Network Security Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment daCruz, Safe networking computing (Columbia U.,

Sep 2001) McHugh,Christie & Allen, The role of intrusion

detection systems (IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked

systems (STSC Crosstalk Oct, 2000)

seguridad cibernética: perspectivas legales presentación, 4 de septiembre de 2003 congreso de...

Documents