Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © , Derechos Reservados

Módulos  Introducción  Principios de seguridad  Tecnologías de seguridad  Redes inalámbricas y usuarios móviles  Entorno del comercio-e  Implantación de programas de seguridad  Perspectivas sociales y futuras  Referencias

Módulo Perspectivas sociales y legales  Legislación penal aplicable  Encausamiento criminal  Manejo de la evidencia (“Forensics”)  Demandas en daños (“torts”)  Responsabilidad frente a terceros  Agencias reguladoras  Organizaciones de apoyo  Recapitulación final

 Computer Fraud and Abuse Act (1986) 18USCCh47 sec define dos tipos de delito grave: “Unauthorized access to a federal interest computer with the intention to commit fraudulent theft” “Malicious damage involving alteration of information in, or preventing the use of a federal interest computer provoking loses of $10000 or more, except medical records” “A federal interest computer includes financial institutions” “If convicted the penalty could be years” “defines a misdemeanor for traffic in passwords” Test cases: Robert Morris (Cornell student) & Zinn (HS) Perspectivas sociales y legales Legislación penal aplicable

 Computer Fraud and Abuse Act (1986) La sec.1030 define diferentes escenarios delictivos: Espionaje contra el gobierno federal - sec. 1030(a)(1) Uso no autorizado de equipo - sec. 1030(a)(2) Incursionar (“tresspass”) en equipo – sec. 1030(a)(3) Acceder con intención de defraudar – sec. 1030(a)(4) Afectar el uso o integridad (DoS) – sec. 1030(a)(5) Tráfico de claves (“passwords”) – sec. 1030(a)(6) Extorsión – sec. 1030(a)(7) ¿Virus? Perspectivas sociales y legales Legislación penal aplicable

 Credit Card Fraud 18USC sec define como delito grave: Poseer por lo menos 15 números de tarjetas de contrabando Atacar un sistema de computadoras para acceder información sobre números de tarjetas de crédito al cual no tiene autorización de acceso, aún cuando no pueda demostrase daños ascendentes a $5000 ó más Perspectivas sociales y legales Legislación penal aplicable

 Federal Trade Commission Act 15 USC sec abarca operaciones en el Web: Divulgar las políticas sobre privacidad de los ISP Exponer de forma clara y visible las normas Prevenir el “online profiling” Política de no intervención en el WEB para regular privacidad, excepto referente a menores (COPA) Guías sobre prácticas legítimas y razonables (“Fair practices”) que cobijen al consumidor Perspectivas sociales y legales Legislación penal aplicable

 Children’s Online Privacy Protection Act (COPPA) 15USC sec. 6501dispone: Sitios Web comerciales dirigidos a niños (“online services targeted to children”) menores de 13 años. Recoger información personal acerca de niños Exige consentimiento de los padres Obliga a notificar acerca de la información que se recoge El incumplimiento da base a que se determine una práctica engañosa o injusta (“unfair or deceptive”) Cuestionamiento constitucional

 Interceptación de comunicaciones 18USC sec proscribe la interceptación de comunicaciones telefónicas y electrónicas, incluyendo al gobierno, quien necesita una orden de cateo (“warrant”) Un intruso que coloca un “sniffer” puede considerarse como una interceptación ilegal Cierto tipo de vigilancia (“monitoring”) por parte de las organizaciones, también, puede considerarse una interceptación ilegal Perspectivas sociales y legales Legislación penal aplicable

 Copyrights (18 USC 2319): Define como delito menos grave la reproducción y/o distribución de material protegido por derechos de autor cuando por lo menos se han hecho 10 copias y el valor total excede $1000. De exceder el valor los $2,500 el delito se convierte en grave Si un sistema de computadores ha sido comprometido y está siendo utilizado para la distribución ilegal de material protegido el dueño o proveedor del SW puede estar incurriendo en delito punible independientemente que se demuestren o no daños en exceso de $5000 Perspectivas sociales y legales Legislación penal aplicable

Perspectivas sociales y legales C onsecuencias penales de otros actos  Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet ( “Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California)  Identity theft – Impostura (E-sign)  SPAM – “ remital of bulk unsolicited mail” (legislación pendiente ante el Congreso & California)  Reverse computer tresspass & Data mining – CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling”

 Electronic Communications Privacy Act (1986) ECPA Reemplaza en parte el Omnibus Crime Act (1968) Extiende las protecciónes del título III sobre privacidad a la transmisión y almacenamiento de las comunicaciones electrónicas. Protege el contenido de la comunicación y documento electrónico Incluye los segmentos de comunicación inalámbrica Abarca la expectativa de privacidad que cubre el empleo Perspectivas sociales y legales Legislación aplicable

 Computer Security Act (1987) Extiende el PL para: Asigna al National Institute for Standards and Technology (NIST) - Dpto. de Comercio federal, responsabilidad sobre la seguridad de todos los sistemas de gobierno no militares La NSA provee respaldo técnico al NIST en la fijación de estándares aplicables a documentos e información clasificada El NIST fija los estándares a la información no clasificada Perspectivas sociales y legales Legislación aplicable

 National Information Infrastructure Protection Act (1996) PL amplia los delitos por fraude y abuso de tecnología para integrar: Obtener y divulgar información relativa a la defensa nacional Uso indebido de tecnología para obtener información del gobierno federal en sistemas públicos o privados Integra la presencia en Internet Aumenta a delito grave los delitos dondeel impacto del uso indebido o impropio es sustancial Redefine “protected computer” para aclarar transacciones “interstate or foreign commerce” Aplica a todas las transmisiones o amenazas por cualquier medio que pretendan interferir con las operaciones normales, negar acceso a usuario legítmos, borrar archivos,corromper programas,o ataponar el tráfico en las redes. Perspectivas sociales y legales Legislación aplicable

 Gramm-Leach Bliley Financial Services Modernization Act – GLBA (1999) Impone a las instituciones financieras la obligación afirmativa de proteger la información de sus clientes Requiere divulgar a los clientes los escenarios de compartir información entre instituciones y permitirles “opt out” Requiere divulgar anualmente las medidas que tiene implantadas para proteger la información de los clientes Incluye datos personales, datos financieros, sobre servicios y sobre transacciones del cliente Perspectivas sociales y legales Legislación aplicable

 Health Insurance Portability and Accountability Act – HIPPA (1996) Establece estándares para la transmisión electrónica de datos entre proveedores médicos y los aseguradores o el gobierno Seguridad y privacidad en el ámbito administrativo:  Certificación  Procedimientos  Planificación de contingencias  Procesos de seguridad para personal, “incident response”, etc  Auditorías Seguridad y privacidad en el ámbito físico:  Control de los medios  Control de acceso físico  Monitoreo sobre el uso de los equipos y estaciones de trabajo Seguridad y privacidad en el ámbito técnico:  Autenticación de usuarios Perspectivas sociales y legales Legislación aplicable

 “Prosecution” o encausamiento criminal: Debe haberse cometido un delito Debe existir evidencia admisible que lo sostenga Debe haber interés o intención de encausar Participación del asesor legal de la organización Integración de los agentes del orden público Perspectivas sociales y legales Encausamiento criminal

 Áreas asociadas al proceso de encausar: Mecanismo valorar activos de información perdidos o impactados Tipo de daños o de pérdidas cubiertas por ley Demostrar que se siguieron los procesos de operación establecidos y existen copias de resguardo y bitácoras Documentación adecuada del(os) incidente(s) De reclutarse asesores externos para retornar a las operaciones normales se debe:  Hacer por lo menos dos imágenes de los discos (“Backup”)  Depositar una de las copias sellada en área restricta bajo control de acceso  Hacer procesos de “secure checksums” para identificar cambios o adulteración ulterior Verificar otras bitácoras que puedan contener datos sobre transacciones relacionadas y hacer copia de éstas Perspectivas sociales y legales Encausamiento criminal

 Admisibilidad de la evidencia: Documento original es la mejor evidencia Se obtuvo por medios lícitos, en cumplimiento con las reglas de procedimiento criminal y la constitución Documento se produjo o tramitó siguiendo los procedimientos establecidos. Documento se depositó, guardó y custodió adecuadamente para evitar su adulteración o modificación indebida. Documento lo presenta quien lo produjo o tramitó. El proceso de almacenarlo, guardarlo y custodiarlo lo describe la(s) persona(s) a cargo Los peritos deben ser calificados, previo a su presentación Perspectivas sociales y legales Manejo de la evidencia

 Admisibilidad de la evidencia: A los efectos de presentación en evidencia las bitácoras se consideran ‘hearsay’. (Declaraciones sobre lo que escucharon de un tercero.) Sólo se admiten en evidencia como excepción. Para admitirse deben:  Recopilarse como parte de las operaciones regulares  Examinarse como parte de las operaciones regulares  Protegerse contra adulteración o interceptación  Certificarse como que no han sido adulterados Para admitirse como evidencia forense hay que probar:  Precisión del proceso que los crea  Precisión del contenido  Cadena de custodia (“chain of custody”)  Transparencia (puede ser reproducido por 3ro con el mismo resultado) Perspectivas sociales y legales Manejo de la evidencia

Actos negligentes pueden conllevar reclamaciones de daños y perjuicios (“torts” ) por responsabilidad personal o fiduciaria frente a terceros. Ámbito o dimensión de la responsabilidad:  Actos propios  Actos de otros por los cuales respondemos (fiduciarios) Perspectivas sociales y legales Responsabilidad frente a terceros

 Resposabilidad basada en actos negligentes: Áreas de responsabilidad primaria:  Indolencia, ignorancia o negligencia al administrar los recursos de información de la organización  Uso indebido con la intención, o no, de causar daño  “Internal monitoring” – empleados, clientes, visitantes  “Downstream liability” – permitir a 3ros utilizar nuestra infraestructura tecnológica para causar daño a otros  “Attack back” – ripostar al atacante de manera similar Responsabilidad fiduciaria:  Divulgación indebida sobre clientes, proveedores, otros  Violación a derechos de propiedad industrial e intelectual Perspectivas sociales y legales Responsabilidad frente a terceros

 Responsabilidad por negligencia surge por: Dejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más reciente Fallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar políticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y procedimientos Perspectivas sociales y legales Responsabilidad frente a terceros

 “Standard of due care”: Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos Reducir el margen de error humano Actuar como un buen padre de familia lo haría Estándares de ISO17799 Perspectivas sociales y legales Responsabilidad frente a terceros

 ¿Qué hacer?: Ejercer el “standard of due care” Fortalecer las relaciones con la división legal y recursos humanos Cumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación indolente Colaborar con la gerencia, auditores, agencias reguladoras y del orden público en las investigación del incidente Tomar medidas para evitar que se repitan estos incidentes Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetro Perspectivas sociales y legales Responsabilidad frente a terceros

 “NIST –Information Security Standards”  “US Dpt. Of Justice Computer Crime and Intellectual Property Section (CCIPS)”  “US Department of Commerce Safe Harbor”  GLB & HIPAA  “USA Patriot Act”  “Homeland Security Agency” Perspectivas sociales y legales Agencias reguladoras

 “European Data Privacy Initiatives” (1998): Notificar qué se recopilando Elección – “opt–in”/ “opt–out” Transferencia – basada cumplimiento requerimientos Aceso a datos garantizado Seguridad – frente a acceso indebido o no autorizado Integridad – metodología para corregir datos errados Perspectivas sociales y legales Agencias reguladoras

 Asociaciones de profesionales en el área: National White Collar Crime Center National Consortium for Justice Information and Statistics (SEARCH) High Technology Crime Investigators Association (HTCIA) National Cybercrime Training Partnership (NTCP) “Hay una necesidad imperiosa de profesionales en este campo que dominen la tecnología y se interesen por el cumplimiento con el sistema de ley.” Perspectivas sociales y legales Organizaciones de apoyo

 Organizaciones particulares que certifican prácticas seguras del comercio en WEB y la protección al consumidor: TRUSTe – revisa regularmente sedes certificadas y recomienda cambios en procesos BBBOnline – programa de certificación de negocios sujetos a sus prácticas recomendadas Webtrust – certificación por auditores de cumplimiento con estándares en:  Business Practice Disclosure  Transaction Integrity  Information Protection

Preguntas

Referencias  Tanenbaum, Computer Networks  Maiwald, Network Security  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)