La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Cumplimiento con reglamentación de derechos cibernéticos Lcda. Carmen R. Cintrón Ferrer 2003-2009, Derechos Reservados.

Publicada porAmada Arguello Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Cumplimiento con reglamentación de derechos cibernéticos Lcda. Carmen R. Cintrón Ferrer 2003-2009, Derechos Reservados."— Transcripción de la presentación:

1 Cumplimiento con reglamentación de derechos cibernéticos Lcda. Carmen R. Cintrón Ferrer 2003-2009, Derechos Reservados

2 Agenda Introducción Introducción Dimensión de Responsabilidad Dimensión de Responsabilidad Áreas de cumplimiento Áreas de cumplimiento Ejercicios de aplicación Ejercicios de aplicación Responsabilidad organizacional Responsabilidad organizacional Proyecciones Proyecciones Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

3 Introducción Interrogantes ¿Cuál legislación/reglamentación? ¿Cuál legislación/reglamentación? ¿Qué implica cumplimiento? ¿Qué implica cumplimiento? ¿A quién corresponde cumplir? ¿A quién corresponde cumplir? ¿Cuándo cumplir? ¿Cuándo cumplir? Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

4 Introducción Interrogantes ¿Cuál legislación/reglamentación? ¿Cuál legislación/reglamentación? Legislación Federal Legislación Federal Legislación de Puerto Rico Legislación de Puerto Rico Regulaciones adoptadas por las agencias Regulaciones adoptadas por las agencias Pólíticas y procedimientos de la organización Pólíticas y procedimientos de la organización Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

5 Introducción Interrogantes ¿Qué implica cumplimiento? ¿Qué implica cumplimiento? Identificar dimensión de responsabilidad Identificar dimensión de responsabilidad Designar Oficial(es) responsables Designar Oficial(es) responsables Adoptar o modificar políticas y procedimientos Adoptar o modificar políticas y procedimientos Divulgar procesos y adiestrar funcionarios Divulgar procesos y adiestrar funcionarios Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

6 Introducción Interrogantes ¿A quién corresponde cumplir? ¿A quién corresponde cumplir? A la organización A la organización A sus oficiales y funcionarios A sus oficiales y funcionarios A quienes integran la organización A quienes integran la organización Nota: La participación del asesor legal en los reclamos de cumplimiento es necesaria. Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

7 Introducción Interrogantes ¿Cuándo cumplir? ¿Cuándo cumplir? Iniciativa continua - En protección de derechos civiles reconocidos Iniciativa continua - En protección de derechos civiles reconocidos Por reclamo – A solicitud de un tribunal o agencia reguladora en cumplimiento con requisitos aplicables Por reclamo – A solicitud de un tribunal o agencia reguladora en cumplimiento con requisitos aplicables Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

8 Dimensión de Responsabilidad Responsabilidad directa Responsabilidad directa Responsabilidad indirecta y vicaria Responsabilidad indirecta y vicaria Responsabilidad fiduciaria Responsabilidad fiduciaria Negligencia Negligencia Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

9 Dimensión de Responsabilidad Primaria Áreas de responsabilidad primaria (directa o indirecta): Áreas de responsabilidad primaria (directa o indirecta): Indolencia, ignorancia o negligencia al administrar los recursos de información (RI) de la organización Indolencia, ignorancia o negligencia al administrar los recursos de información (RI) de la organización Faltar al deber de protección de los RI de la organización Faltar al deber de protección de los RI de la organización Uso indebido con la intención, o no, de causar daño Uso indebido con la intención, o no, de causar daño Dejar de tomar medidas para evitar propagación de virus Dejar de tomar medidas para evitar propagación de virus “Internal monitoring” – empleados, clientes, visitantes “Internal monitoring” – empleados, clientes, visitantes “Downstream liability” – permitir a 3ros utilizar nuestra infraestructura tecnológica para causar daño a otros “Downstream liability” – permitir a 3ros utilizar nuestra infraestructura tecnológica para causar daño a otros “Attack back” – ripostar al atacante de manera similar “Attack back” – ripostar al atacante de manera similar Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

10 Dimensión de Responsabilidad Vicaria o Fiduciaria Áreas de responsabilidad vicaria: Áreas de responsabilidad vicaria: Adoptar políticas y procedimientos relativos a la protección de los RI Adoptar políticas y procedimientos relativos a la protección de los RI Actuaciones de empleados o dependientes Actuaciones de empleados o dependientes Áreas de responsabilidad fiduciaria: Áreas de responsabilidad fiduciaria: Debida protección y cuidado de información (o RI) de terceros de los cuales somos depositarios Debida protección y cuidado de información (o RI) de terceros de los cuales somos depositarios Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

11 Dimensión de Responsabilidad basada en actos negligentes Responsabilidad debido a negligencia surge por: Responsabilidad debido a negligencia surge por: Dejar de divulgar posibles riesgos de seguridad Dejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más reciente Fallar en implantar la tecnología más reciente Fallar en la operación de la tecnología Fallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar políticas o procedimientos Dejar de ejercer la debida rigurosidad al implantar políticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y procedimientos, según requiere la ley Dejar de fiscalizar el cumplimiento con políticas y procedimientos, según requiere la ley Dejar de tomar medidas para evitar o reducir el impacto en daños de uso indebido o de los riesgos Dejar de tomar medidas para evitar o reducir el impacto en daños de uso indebido o de los riesgos Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

12 Dimensión de Responsabilidad basada en actos negligentes “Standard of due care”: “Standard of due care”: Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos Reducir el margen de error humano Reducir el margen de error humano Actuar como un buen padre de familia lo haría Actuar como un buen padre de familia lo haría Estándares de ISO17799 Estándares de ISO17799 Estándares de ISO17799 Estándares de ISO17799 Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

13 Dimensión de Responsabilidad basada en actos negligentes ¿Qué hacer?: ¿Qué hacer?: Ejercer el “standard of due care” Ejercer el “standard of due care” Integrar participación del asesor legar y de la Oficina de recursos humanos Integrar participación del asesor legar y de la Oficina de recursos humanos Cumplir con la legislación aplicable Cumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación indolente Notificar o divulgar los incidentes de actuación indolente Colaborar con la gerencia, auditores, agencias reguladoras y del orden público en la investigación del incidente Colaborar con la gerencia, auditores, agencias reguladoras y del orden público en la investigación del incidente Tomar medidas para evitar que se repitan estos incidentes Tomar medidas para evitar que se repitan estos incidentes Educar a las partes directamente responsables Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetro Mantener al día la tecnología que fiscaliza el perímetro Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

14 Áreas de cumplimiento Privacidad de la información personal Privacidad de la información personal Privacidad datos o transacciones médicas Privacidad datos o transacciones médicas Privacidad datos o transacciones financieras Privacidad datos o transacciones financieras Protección actuaciones discriminatorias Protección actuaciones discriminatorias Protección actuaciones fraudulentas/delictivas Protección actuaciones fraudulentas/delictivas Protección de propiedad intelectual Protección de propiedad intelectual Protección de propiedad industrial Protección de propiedad industrial Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

15 Áreas de cumplimiento Privacidad de la información personal Federal Privacy Act Federal Privacy Act Children’s Online Privacy Act Children’s Online Privacy Act Federal Educational Rights and Privacy Act Federal Educational Rights and Privacy Act Electronic Communications Privacy Act Electronic Communications Privacy Act Consumidores (Dpto. Comercio) Consumidores (Dpto. Comercio) Tratado de la Unión Europea (1998) Tratado de la Unión Europea (1998) Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

16 Áreas de cumplimiento Protección frente a otros actos delictivos Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet (“Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California) Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet (“Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California) Cyberstalking Identity theft – Impostura (E-sign) Identity theft – Impostura (E-sign) Identity theft E-sign Identity theft E-sign SPAM – “ remital of bulk unsolicited mail” (legislación pendiente ante el Congreso & California) SPAM – “ remital of bulk unsolicited mail” (legislación pendiente ante el Congreso & California) SPAM “Reverse computer tresspass & Data mining” CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling” “Reverse computer tresspass & Data mining” CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling” Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

17 Áreas de cumplimiento Actuaciones discriminatorias Ley ADA American Disabilities Act – PL336 (1990): Ley ADA American Disabilities Act – PL336 (1990): Ley ADA Ley ADA Sec.508 – standards for electronic and information technology Sec.508 – standards for electronic and information technology Sec.508 Hostigamiento en el empleo y en la academia: Hostigamiento en el empleo y en la academia: Civil Rights Act (1964) – Título VII Civil Rights Act (1964) – Título VII Education Act (1972) – Título IX Education Act (1972) – Título IX Persecusión, vigilancia o discriminación en el entorno de empleo: Persecusión, vigilancia o discriminación en el entorno de empleo: Maternidad Maternidad Edad, raza, color, sexo, origen, … Edad, raza, color, sexo, origen, … Licencias Licencias Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

18 Áreas de cumplimiento Derechos patrimoniales Protección propiedad intelectual: Protección propiedad intelectual: Digital Millenium Copyright Act Digital Millenium Copyright Act TEACH Act TEACH Act RIAA/MPAA RIAA/MPAA Plagio Plagio Derechos de propiedad de: Derechos de propiedad de: Empleados Empleados Facultad o investigadores Facultad o investigadores Contratistas Contratistas Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

19 Áreas de cumplimiento Derechos patrimoniales Protección propiedad industrial: Protección propiedad industrial: Patentes Patentes Marcas de fábrica Marcas de fábrica Nombre comercial Nombre comercial Secretos del negocio Secretos del negocio Otros Otros ** Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

20 Responsabilidad Organizacional Violación de leyes o regulaciones Violación de leyes o regulaciones Actuaciones delictivas Actuaciones delictivas Negligencia en protección de propiedad intelectual de 3ros Negligencia en protección de propiedad intelectual de 3ros Negligencia en protección de datos Negligencia en protección de datos Negligencia en protección de activos Negligencia en protección de activos Negligencia evitar daños a terceros Negligencia evitar daños a terceros Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

21 Responsabilidad Organizacional Medidas mitigantes: Medidas mitigantes: Políticas y procedimientos para cumplir Políticas y procedimientos para cumplir Políticas y procedimientos para proteger Políticas y procedimientos para proteger Medidas para anticipar y reducir el impacto Medidas para anticipar y reducir el impacto Plan de acción para implantar políticas Plan de acción para implantar políticas Procedimiento para asegurar cumplimiento Procedimiento para asegurar cumplimiento Plan de adiestramiento (“awareness”) Plan de adiestramiento (“awareness”) Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

22 Proyecciones Medidas a tomar Manejo de records institucionales: Manejo de records institucionales: Clasificar confidencial/público: Clasificar confidencial/público: Acceso público Acceso público Acceso interno Acceso interno Confidencial Confidencial Establecer normas relativas al acceso y la protección de archivos de: Establecer normas relativas al acceso y la protección de archivos de: Correo electrónico Correo electrónico Mensajería electrónica Mensajería electrónica Transacciones electrónicas Transacciones electrónicas Documentos electrónicos (Propiedad intelectual) Documentos electrónicos (Propiedad intelectual) Historial de navegación Historial de navegación Vigilancia electrónica (cámaras) Vigilancia electrónica (cámaras) Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

23 Proyecciones Medidas a tomar Sarbanes-Oaxley: Sarbanes-Oaxley: Convertir en prioridad gerencial el manejo de documentos electrónicos Convertir en prioridad gerencial el manejo de documentos electrónicos Mantener inventarios y records de tecnología informática Mantener inventarios y records de tecnología informática Adoptar política de revisión, retención, disposición de éstos Adoptar política de revisión, retención, disposición de éstos Documentar las formas de distribución de documentos electrónicos Documentar las formas de distribución de documentos electrónicos Adiestar al personal sobre política y procedimientos Adiestar al personal sobre política y procedimientos Establecer comité para atender reclamaciones legales Establecer comité para atender reclamaciones legales Reducir o eliminar huellas electrónicas Reducir o eliminar huellas electrónicas Detener procesos de disposición de documentos al inicio de reclamaciones legales Detener procesos de disposición de documentos al inicio de reclamaciones legales Auditar periódicamente el cumplimiento con estas políticas y procesos Auditar periódicamente el cumplimiento con estas políticas y procesos Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

24 Proyecciones Medidas a tomar USA Patriot Act: USA Patriot Act: Establecer procedimiento atienda incidentes o reclamos Establecer procedimiento atienda incidentes o reclamos Designar Oficial de seguridad y Comité de apoyo Designar Oficial de seguridad y Comité de apoyo Adiestrar al personal para: Adiestrar al personal para: Se abstengan de proveer información Se abstengan de proveer información Referir solicitudes de agentes del orden público al Oficial de seguridad y/o al Asesor legal Referir solicitudes de agentes del orden público al Oficial de seguridad y/o al Asesor legal Manejar escenarios donde advengan conocimiento de situaciones de emergencia y asegurar éstos se canalicen por vía interna antes de referir a entidades del orden público Manejar escenarios donde advengan conocimiento de situaciones de emergencia y asegurar éstos se canalicen por vía interna antes de referir a entidades del orden público Proteger la privacidad e intimidad de la comunidad Proteger la privacidad e intimidad de la comunidad Reducir el tiempo que se mantienen las bitácoras o copias de resguardo de transacciones electrónicas Reducir el tiempo que se mantienen las bitácoras o copias de resguardo de transacciones electrónicas Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

25 Proyecciones Medidas a tomar Respaldo a HIPAA: Respaldo a HIPAA: Establecer procedimientos garanticen la privacidad de datos médicos electrónicos Establecer procedimientos garanticen la privacidad de datos médicos electrónicos Eliminar el uso del #SS como identificador universal Eliminar el uso del #SS como identificador universal Orientar al personal maneja datos médicos Orientar al personal maneja datos médicos Orientar a la comunidad sobre derechos y deberes Orientar a la comunidad sobre derechos y deberes Adoptar Plan de Seguridad Adoptar Plan de Seguridad Designar Oficial de Seguridad Designar Oficial de Seguridad Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

26 Proyecciones Medidas a tomar Gramm-Leach Bliley: Gramm-Leach Bliley: Designar Oficial de Privacidad Designar Oficial de Privacidad Adoptar Política sobre Privacidad de datos financieros Adoptar Política sobre Privacidad de datos financieros Divulgar Política a la comunidad institucional Divulgar Política a la comunidad institucional Establecer mecanismos aseguren cumplimiento Establecer mecanismos aseguren cumplimiento National Strategy to Secure Cyberspace: National Strategy to Secure Cyberspace: Establecer centros de compartir vulnerabilidades (ISAC) Establecer centros de compartir vulnerabilidades (ISAC) Definir guías para conferir autoridad al CIO para enfrentar los problemas asociados a seguridad Definir guías para conferir autoridad al CIO para enfrentar los problemas asociados a seguridad Adoptar “best practices” en el ámbito de seguridad Adoptar “best practices” en el ámbito de seguridad Desarrollar programas para concienzar usuarios Desarrollar programas para concienzar usuarios Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

27 Proyecciones Medidas a tomar Prohibir prácticas de piratería de programación: Prohibir prácticas de piratería de programación: Uso de SW sin autorización o excediendo ésta Uso de SW sin autorización o excediendo ésta Poner a disposición de 3ros SW institucional Poner a disposición de 3ros SW institucional Copiar, reproducir, transmitir, distribuir SW Copiar, reproducir, transmitir, distribuir SW Proveer recursos para violentar las protecciones de derechos de autor del SW Proveer recursos para violentar las protecciones de derechos de autor del SW Violar las disposiciones del DMCA Violar las disposiciones del DMCA Concienzar sobre la responsabilidad personal: Concienzar sobre la responsabilidad personal: Cumplir con leyes y reglamentos, y prácticas vigentes Cumplir con leyes y reglamentos, y prácticas vigentes Violar dichas disposiciones Violar dichas disposiciones Fiscalizar el cumplimiento con las políticas de uso Fiscalizar el cumplimiento con las políticas de uso Fiscalizar uso adecuado de licencias de SW Fiscalizar uso adecuado de licencias de SW Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

28 Proyecciones Medidas a tomar Respaldo a DMCA (“copyrights”) : Respaldo a DMCA (“copyrights”) : Designar Oficial de Cumplimiento Designar Oficial de Cumplimiento Adoptar política de cumplimiento y protección de derechos de autor Divulgar política y educar comunidad Adoptar política de cumplimiento y protección de derechos de autor Divulgar política y educar comunidad Fiscalizar cumplimiento con la política Fiscalizar cumplimiento con la política Establecer mecanismo para solicitar autorización uso material protegido cuando no aplica “fair use” Establecer mecanismo para solicitar autorización uso material protegido cuando no aplica “fair use” Establecer procedimiento para responder ante reclamaciones de violación a derechos de autor: Establecer procedimiento para responder ante reclamaciones de violación a derechos de autor: Material publicado en el WEB Material publicado en el WEB Material accedido del WEB Material accedido del WEB Adoptar procedmiento para defender personal cuando indebidamente se les reclame violación al DMCA Adoptar procedmiento para defender personal cuando indebidamente se les reclame violación al DMCA Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados

29 Proyecciones Adoptar Examinar Invertir Investigar Colaborar Cumplir

Descargar ppt "Cumplimiento con reglamentación de derechos cibernéticos Lcda. Carmen R. Cintrón Ferrer 2003-2009, Derechos Reservados."

Presentaciones similares

Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
IMPLICANCIA LEGAL EN EL CUIDADO DE ENFERMERÍA

IMPLICANCIA LEGAL EN EL CUIDADO DE ENFERMERÍA
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
LEY HIPAA Fabiola Monrroy Vera Dayana Nina Nina.

LEY HIPAA Fabiola Monrroy Vera Dayana Nina Nina.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
Ficha clinica.

Ficha clinica.
Propiedad intelectual e industrial

Propiedad intelectual e industrial
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Claudia Stéphanie Prado Aguirre

Claudia Stéphanie Prado Aguirre
Políticas de Seguridad por Julio César Moreno Duque

Políticas de Seguridad por Julio César Moreno Duque
Francisco Torres Lebrón. MD./MPH

Francisco Torres Lebrón. MD./MPH
ORIENTACIÓN A LOS AUDITORES INTERNOS DEL GOBIERNO DEPARTAMENTOS Y AGENCIAS 21 de octubre de 2002 Cincuenta años de servicios de calidad reafirman nuestro.

ORIENTACIÓN A LOS AUDITORES INTERNOS DEL GOBIERNO DEPARTAMENTOS Y AGENCIAS 21 de octubre de 2002 Cincuenta años de servicios de calidad reafirman nuestro.
Actividades de control

Actividades de control
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.

Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
AREA DE SEGURIDAD DE LA INFORMACION

AREA DE SEGURIDAD DE LA INFORMACION

Presentaciones similares

Anuncios Google