La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Legal Information Security Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información

Presentaciones similares


Presentación del tema: "Legal Information Security Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información"— Transcripción de la presentación:

1 Legal Information Security Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información

2 Introducción. Objetivos Relaciones empresa - empleado Derechos de autor Titular, derechos del empleado y de la empresa Derecho laboral Información Informática Postura incorrecta Aspectos de derecho penal Encuadre de casos Tipos penales

3 Introducción Aspectos laborales. -Acercamientos a seguridad de la información: tecnología y RRHH. -Sector bancario: clima organizacional. -No atención a estándares internacionales. -No atención a relaciones empresa – empleado. Aspectos penales -Régimen penal pobre: un solo delito informático. -Dificultad probatoria.

4 Objetivos Generales Demostrar cómo el texto de la legislación laboral es insuficiente para asegurar satisfactoriamente, de acuerdo a los estándares internacionales, la información de las empresas. Evidenciar el enorme atraso de la legislación penal vigente y las consecuentes dificultades para lograr la administración de justicia respecto de los eventos que tengan lugar y que sean considerados Incidentes de Seguridad.

5 Objetivos específicos Evidenciar la inconveniencia de asumir como exclusivamente válida la perspectiva tecnológica en la Seguridad de la Información. Evidenciar la importancia de incluir en las Políticas de Seguridad de la Información el marco legal de las relaciones de la empresa con sus colaboradores. Resaltar la necesidad de escalar la Seguridad de la Información al más alto nivel decisorio en la Organización. Analizar los tipos penales relacionados con la información. Explicar en qué consiste la labor del abogado que intenta llevar al conocimiento de la Jurisdicción un Incidente de Seguridad.

6 Relaciones empresa – empleado Aspectos de derechos de autor -Autor. -Titular o derechohabiente. -Derechos morales: irrenunciables, inalienables, inembargables e imprescriptibles. -Derechos patrimoniales.

7 Relaciones empresa – empleado Aspectos de derechos de autor -Derechos del empleado. -Patrimoniales: cesión, contrato laboral, sus funciones, guía y responsabilidad del empleador. -Morales: paternidad de la obra, registro.

8 Relaciones empresa – empleado Aspectos de derechos de autor -Derechos de la empresa. -Patrimoniales: explotación económica, relación contractual, dirección del empleador y por su cuenta y riesgo; registro como titular. -Morales: paternidad de la obra, registro.

9 Relaciones empresa – empleado Aspectos de derecho laboral -La Seguridad de la Información no es solamente informática. -Risk assessment: sistemas físicos, lógicos y humanos. -Moda: ethical hacking, asumido por muchos como estudio de seguridad. -Ni siquiera confían en credenciales del contratista. -Descuido de temas estandarizados: disposición de basuras, manejo de claves, arquitectura de oficinas, manejo de empleados, etc. -Incidente de seguridad: despido e indemnización del empleado comprometido.

10 Relaciones empresa – empleado Aspectos de derecho laboral -Política de seguridad. -Qué se puede, qué no se puede, qué se debe, qué no se debe, qué conviene y qué no conviene. -Práctico: cargos que pueden usar programas de mensajería instantánea, recursos de red autorizados por empleado, etc. -Traducción a lenguaje legal: derechos, obligaciones, prohibiciones y sanciones. -Incorporación al cuerpo regulatorio de relaciones empresa – empleado. -Fuerza obligatoria – consecuencias reales. -Mensaje de advertencia: primeros casos.

11 Relaciones empresa – empleado Aspectos de derecho laboral -Postura incorrecta. -Legislación laboral: marco de conducta de empleados. -Define obligaciones, prohibiciones y causas de despido. -Iluminado por la buena fe en la ejecución del contrato. -Fidelidad y obediencia de los empleados para con su empleador: no trampas ni abusos. -Insuficiencia de este marco, consecuentes vulnerabilidades de seguridad.

12 Relaciones empresa – empleado Aspectos de derecho laboral -Postura incorrecta. -Abogados laboralistas: el Código define suficientemente bien las relaciones empresa – empleado. -Si acaso puede firmarse una cláusula de confidencialidad. -Realidad: Código define principios a seguir en el curso de la relación laboral. -Consecuencia de esta postura: uso de IM en equipos críticos, conexión a la Red sin autenticar y sin, al menos, firewall en el portátil.

13 Relaciones empresa – empleado Aspectos de derecho laboral -Conclusiones de los aspectos laborales. Una parte fundamental de los sistemas de información está conformada por los Recursos Humanos que los administran. Invertir en seguridad física, electrónica y lógica es necesario pero no suficiente. - Una cláusula de confidencialidad es insuficiente para lograr un aseguramiento aceptable de la información de la empresa.

14 Relaciones empresa – empleado Aspectos de derecho laboral -Conclusiones de los aspectos laborales. - La empresa debe conocer en detalle lo que se debe y lo que no se debe, lo que se puede y lo que no se puede y lo que conviene y lo que no conviene, en relación con el uso de su información y de los sistemas que la contienen y administran. - Ese detalle debe traducirse a un lenguaje legal que permita a la empresa definir consecuencias concretas para los eventos que ella considere como Incidentes de Seguridad.

15 Aspectos de derecho penal -El encuadre de los casos. -Bien jurídico: merece especial protección del Estado, existe un cuerpo ordenado de delitos que sancionan su violación (vida e integridad personal, patrimonio económico, administración de justicia, etc.). -Información: legalmente es un activo más respecto del que se pueden ejercer prerrogativas patrimoniales y morales. -No es considerado por la Ley tan importante como para merecer la existencia de ese cuerpo intencionalmente dirigido a protegerlo.

16 Aspectos de derecho penal -El encuadre de los casos. -Único delito informático: Acceso abusivo a un sistema informático. -Es querellable (no se inicia de oficio). -Es un delito que protege el bien jurídico Libertad Individual. -Su redacción es incompleta; excluye conductas que configuran Incidentes de Seguridad. -Éstas deben encuadrarse en tipos penales tradicionales.

17 Aspectos de derecho penal -Los tipos penales. Artículo 192. Violación ilícita de comunicaciones. Tipifica las conductas de sustracción, ocultamiento, extravío, destrucción, interceptación, control o impedimento de comunicaciones privadas dirigidas a persona diferente de quien despliega esta conducta. Adicionalmente tipifica el enterarse indebidamente del contenido de estas comunicaciones y la revelación de las mismas.

18 Aspectos de derecho penal -Los tipos penales. Art Ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Tipifica el ofrecimiento, la venta o la compra, no autorizados, de instrumentos aptos para interceptar la comunicación privada entre personas. Art Divulgación y empleo de documentos reservados. Tipifica como conductas punibles la divulgación y el empleo de documentos reservados en provecho propio o ajeno.

19 Aspectos de derecho penal -Los tipos penales. Art Acceso abusivo a un sistema informático. Tipifica la introducción en un sistema informático (hack) que se encuentre protegido con alguna medida de seguridad; adicionalmente tipifica el mantenerse en ese sistema en contra de la voluntad de quien tiene derecho de excluir al atacante. Art Violación ilícita de comunicaciones o correspondencia de carácter oficial. Este delito tipifica las mismas conductas mencionadas en el artículo 192, definiendo que el objeto material del delito debe ser calificado, o sea que las comunicaciones deben ser de carácter oficial.

20 Aspectos de derecho penal -Los tipos penales. Art Utilización ilícita de equipos transmisores o receptores. Tipifica la posesión y el uso ilícitos de aparatos de radiofonía o televisión y de cualquier medio electrónico diseñado para emitir o recibir señales. Art Violación de reserva industrial o comercial. Tipifica el empleo, la revelación y la divulgación de descubrimientos, invenciones científicas, procesos o aplicaciones industriales o comerciales que deban permanecer en reserva, llegados al conocimiento del delincuente en razón de su cargo o habiendo accedido a ellos indebidamente.

21 Aspectos de derecho penal -Los tipos penales. Art Espionaje. Tipifica la obtención, el empleo y la revelación indebidos de secreto político, económico o militar relacionado con la seguridad del Estado.

22 Conclusiones -La Seguridad Jurídica, en esta materia, es inexistente debido a que la Información no es considerada un bien jurídico que por sí mismo merezca la protección del Estado y, consecuentemente, porque las conductas que constituyen los Incidentes de Seguridad no han sido tipificadas como delitos. -La falta de conocimiento e interés acerca de la Seguridad de la Información es la causa de la asunción, tanto del sector privado como del Congreso, de una visión incompleta del tema, que se traduce en la existencia prolongada de vulnerabilidades humanas en las empresas, muy por encima del Riesgo Residual, y en el evidente atraso de la legislación penal.

23 Conclusiones -La atención dada por los niveles directivos del sector privado, a la Seguridad de la Información, es insuficiente. Los mismos ingenieros de sistemas deben buscar que al interior de sus organizaciones sea conocido que la responsabilidad por el manejo seguro de la información compete a todo el personal, no exclusivamente a ellos. -La legislación laboral define un marco general dentro del que cada empresa debe entrar a implementar su propia Política de Seguridad, eliminando las vulnerabilidades que para su caso específico representan los Recursos Humanos. -El Acceso abusivo a un sistema informático es un delito incompleto, redactado sin tener en cuenta la realidad tecnológica y sus implicaciones prácticas en la sociedad.

24 Conclusiones -Es necesario iniciar una labor de concientización que, a través de la judicialización masiva de casos y de la expedición de jurisprudencia en la materia, brinde seguridad jurídica, al menos mientras el marco legal es actualizado.

25 Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información (1) , (1)


Descargar ppt "Legal Information Security Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información"

Presentaciones similares


Anuncios Google