CUESTIONES LEGALES EN LA SEGURIDAD DE LA INFORMACIÓN

Objetivos:

Comprender el derecho penal de Estados Unidos de Norteamérica.

Comprender las leyes estatales.

Comprender las leyes de otros países

Comprender las cuestiones relacionadas con la acción judicial.

Introducción

Existen muchas cuestiones legales respecto a laseguridad de la información. La cuestión más obviaes que irrumpir dentro de las computadoras vacontra la ley.

NO importa cómo se defina la actividad, para quelos autores del delito sean castigados, losprofesionales en la seguridad de la informacióndeben comprender cómo reunir la informaciónnecesaria para ayudar a los responsables de hacercumplir la ley en la captura de los individuosresponsables y en el proceso judicial al que seránsometidos.

El Derecho penal de EEUU

El derecho penal de Estados Unidos deNorteamérica conforma el fundamento ara lasinvestigaciones de delitos por computadorallevadas a cabo por las autoridades federales (FBIy Servicio secreto).

El decreto 18US Code 1030 constituye elfundamento para la intervención federal endelitos computacionales.

18US Code 1030Abarca temas de Abuso y fraude por computadora.La ley define al delito como el acceso intencional a unacomputadora sin la autorización para hacerlo.Aparentemente esta ley da la impresión de que solamenteestán cubiertas las computadoras de las institucionesfinancieras o del gobierno de EEUU. Sin embargo, se utilizael término “computadoras protegidas” incluye lascomputadoras utilizadas por instituciones financieras, degobierno o cualquier computadora utilizada en el comercioo comunicaciones interestatales o extranjeras.Existe una cantidad mínima de 5000 dólares de daño quedebe ocurrir antes que esta ley pueda ser empleada.La definición de daño no incluye alguna afectación a laconfidencialidad de los datos, aun cuando se discute que larevelación de información esta protegida por el gobierno.

18US Code 1029

Puede utilizarse para acusar al individuo de undelito federal. La ley considera un delito apoderarsede 15 o más tarjetas de crédito falsificadas.

Un ataque a un sistema de cómputo que permiteque el intruso obtenga acceso a una gran cantidadde números de tarjetas de crédito para lo cual notiene acceso autorizado es una violación a esta ley.

El ataque será una violación incluso si el ataque nocausa 5000 dólares en daños.

18US Code 2319Define las penalizaciones por delitos de violaciones alderecho de autor cuando un individuo es descubiertoreproduciendo o distribuyendo material protegido porderechos de autor, cuando se hayan hecho por lomenos 10 copias de uno o más trabajos y el valor totalde ventas al menudeo exceda los 1000 dólares.

Si un sistema de computo ha sido comprometido yutilizado como punto de distribución de softwareprotegido por el autor, el individuo que suministre elsoftware para su distribución probablemente seencuentre violando esta ley.

La víctima de este crimen no es el propietario delsistema que fue comprometido, sino el titular delderecho de autor.

18US Code 2511Es la ley contra la intervención de las comunicaciones.

Prohíbe la intercepción de llamadas telefónicas y otrostipos de comunicación electrónica, y evita que losagentes de la ley hagan uso de la intervención sin unaorden judicial.

Un intruso en un sistema de cómputo que coloca unrastreador en el sistema, probablemente este violandoesta ley.

Existe una excepción para quién suministra el serviciode comunicaciones, puesto que la organización queproporciona el servicio, cualquier empleado de laorganización puede supervisar la comunicación en elcurso normal de su trabajo por la protección de losderechos o propiedad del prestador de ese servicio.

18US Code 2701

Prohíbe el acceso ilegal a las comunicacionesalmacenadas, pero también prohíbe impedir a losususarios autorizados tener acceso a los sistemasque almacenan comunicaciones electrónicas.

Tiene excepción para el propietario del servicio, demodo que el prestador del servicio pueda teneracceso a cualquier archivo del sistema.

Ley Patriota

Título oficial:

“Uniting and Strengthening America by ProvidingAppropriate Tools Required ton Intercep and ObstructTerrorims Act of 2001”

Ley Patriota – Cambios a 18 US Code 1030

Incrementa las penas máximas para las violaciones del10 US Code 1030 q 10 años para el primer delito y 20años para los delito subsiguientes.

Modifica la ley para definir daño como “cualquierperjuicio contra la integridad o disponibilidad de losdatos, de un programa, de un sistema o de lainformación”, éste cambio hace mucho más fácilalcanzar el mínimo de 5000 dólares; lo cual era unproblema demostrar que los daños provocadossumaban ese valor mínimo.

Se modifica el significado del termino pérdida, lo cualahora incluye el costo por responder, determinar eldaño y restablecer los sistemas a un estado operativo.

Ley Patriota – Cambios a 18 US Code 1030

Se agrega un nuevo delito: Se viola la ley, quelindividuo que las acciones que emprende afectanun sistema de cómputo utilizado por el gobiernopara administrar justicia, defensa nacional oseguridad nacional sin tener el cuenta las pérdidas.

Un individuo que desde EEUU ataca computadorasfuera de los EEUU puede ser enjuiciado bajo la leyfederal.

Comprenda las leyes de otros países

Muchos países no tienen leyes contra los delitos computacionales en absoluto.

Si una investigación demuestra que el ataque provino de un sistema de cómputo en otro país, el FBI intentará obtener la ayuda de las organizaciones policiacas en ese país. Si el otro país carece de leyes para los delitos computacionales, es poco problable que ayuden en la investigación.

Ejemplo: virus ILOVEYOU, rastreado hasta llegar a un individuo que vivía en Filipinas, éste no podía ser enjuiciado porque Filipinas no tenía una ley que considerara un delito escribir y distribuir virus de computadora.

Comprenda las leyes de otros paísesAustralia

Un acceso no autorizado a los datos en lascomputadoras es un delito que se castiga conseis meses en la cárcel.

El castigo llega hasta dos años si el intento fuepara cometer fraude o si la información erade tipo confidencial para el gobierno,financiera o si contenía secretos comerciales.

NO se especifican cantidades mínimas de daño.

Comprenda las leyes de otros paísesBrasil

Identifica dos tipos de delitos:

1. Introducción de datos falsos en sistemas deinformación, y la;

2. Modificación o alteración no autorizadas deun sistema de información.

El castigo va desde los tres meses hasta losdoce años de reclusión y puede incluirmultas.

Comprenda las leyes de otros paísesRepública Popular de China

Decreto No. 147 (18-feb-94), identifica dos tipos dedelitos:

1. Introducción deliberada de un virus de computadoraen un sistema de cómputo.

2. Venta de productos especiales de protección deseguridad para computadoras sin permiso.

El castigo es una multa y la posible confiscación delingreso ilegal.

Hong Kong tiene algo diferente según lo establece laordenanza de Telecomunicaciones: Delito, al accesono autorizado a una computadora sin autorización,mediante un sistema de telecomunicaciones.Además, si tiene acceso con intenciones deshonestaso delictivas. Se establece prisión de hasta 5 años.

Comprenda las leyes de otros paísesReino Unido

Delito: acceso no autorizado a material decómputo. Este acceso debe haber sidointencional y el individuo que realiza el actodebe saber que el acceso no está autorizado.

Realizar modificaciones no autorizadas o causaruna condición de denegación de servicio.

Condena: Seis meses de prisión. Si es pordenuncia puede exceder los cinco años y multa.

Cuestiones relacionadas con la acción judicial

Cuando ocurre un incidente, debería consultar alabogado de la organización antes de hacer contactocon los agentes de la ley.

Ya sea que la organización elija entablar una acciónjudicial o no, existen varias cosas que pueden hacersemientras que el incidente es investigado y los sistemasregresan a su estado operativo.

1. Conservar la evidencia. Si se realizan respaldoshabituales y esos respaldos contienen información dedónde provino el ataque o qué les hicieron.Técnicamente, la información no es evidencia hastaque un oficial policiaco llegue a tomar posesión deella.

2. Llamar a un consultor externo, para ello tomar lassiguientes precauciones:

Cuestiones relacionadas con la acción judicial

a. Hacer al menos dos copias imagen de los discosduros.

b. Limitar el acceso a una de las copias a guardarla demodo que puede ser identificado cualquier intentode manipularla.

c. Hacer sumas de control, seguras de la informaciónen los discos, de modo que pueda identificarsecambios en la información.

La información en el sistema de cómputo víctimano es el único sitio para obtener informaciónacerca del ataque, los archivos de bitácora delequipo de red o de sistemas de seguimientotambién pueden proporcionar información.

Cuestiones relacionadas con la acción judicial

Una vez que se hace contacto con los agentes de la ley yéstos llegan a investigar a la organización, las reglascambian.Cuando los agentes tomán posesión de las copias de

respaldo o información del sistema, controlarán el accesoa la misma y protegerán como evidencia de acuerdo a susprocedimientos.Los agentes o requieren una orden judicial si la

información es proporcionada de buen grado. Sinembargo, si los agentes de la ley quieren obtenerinformación de su sitio, a su organización le convendríaexigir un citatorio, pues éste podría protegerlo de algunaresponsabilidad legal.Este le es necesario si usted es un ISP y los agentes

requieren ver las bitácoras de alguna actividad que hayapasado por su red.

Cuestiones Civiles

Las computadoras y las redes de computadorasson proporcionadas por una organización paraque los empleados las usen para hacer negocios.

Esto significa que la organización es propietariade los sistemas y de la red, y que la organizaciónpuede tener acceso a cualquier informacióncontenida en los sistemas en cualquier momento.Por lo tanto, los empleados no deberían esperar atener privacidad.

Los empleados deberían ser informados de quetal acción puede ocurrir, y esto les debería sercomunicado en una política.

Cuestiones Civiles

La política de la organización define la operaciónapropiada de los sistemas y el comportamiento delos empleados.

Para aliviar algunas cuestiones legales, se deberíaproporcionar a todos los empleados copias de laspolíticas de la organización y solicitarles quefirmen de recibido y una confirmación de quecomprenden las políticas.

Cuestiones Civiles

Si una organización (A) no toma medidas deseguridad apropiadas y uno de sus sistemas espenetrado con éxito, éste podría ser utilizado paraatacar a otra organización (B).

La organización A puede ser hecha responsablepor la organización B.

La cuestión será determinar si A tuvo cuidadorazonable y aplicó medidas apropiadas para evitarque esto ocurriera.

El cuidado y las medidas son determinados porlos estándares existentes (ISO17799).