1 / 25

Legal Information

Security. Legal Information. Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información carlos.alvarez@geoabogados.com. Introducción. Objetivos Relaciones empresa - empleado Derechos de autor Titular, derechos del empleado y de la empresa Derecho laboral

emily
Télécharger la présentation

Legal Information

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Security Legal Information Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información carlos.alvarez@geoabogados.com

  2. Introducción. • Objetivos • Relaciones empresa - empleado • Derechos de autor • Titular, derechos del empleado y de la empresa • Derecho laboral • Información ≠Informática • Postura incorrecta • Aspectos de derecho penal • Encuadre de casos • Tipos penales carlos.alvarez@geoabogados.com

  3. Introducción • Aspectos laborales. • Acercamientos a seguridad de la información: • tecnología y RRHH. • Sector bancario: clima organizacional. • No atención a estándares internacionales. • No atención a relaciones empresa – empleado. • Aspectos penales • Régimen penal pobre: un solo delito informático. • Dificultad probatoria. carlos.alvarez@geoabogados.com

  4. Objetivos Generales Demostrar cómo el texto de la legislaciónlaboral es insuficiente para asegurar satisfactoriamente, de acuerdo a los estándares internacionales, la información de las empresas. Evidenciar el enorme atraso de la legislación penal vigente y las consecuentes dificultades para lograr la administración de justicia respecto de los eventos que tengan lugar y que sean considerados Incidentes de Seguridad. carlos.alvarez@geoabogados.com

  5. Objetivos específicos Evidenciar la inconveniencia de asumir como exclusivamente válida la perspectiva tecnológica en la Seguridad de la Información. Evidenciar la importancia de incluir en las Políticas de Seguridad de la Información el marco legal de las relaciones de la empresa con sus colaboradores. Resaltar la necesidad de escalar la Seguridad de la Información al más alto nivel decisorio en la Organización. Analizar los tipos penales relacionados con la información. Explicar en qué consiste la labor del abogado que intenta llevar al conocimiento de la Jurisdicción un Incidente de Seguridad. carlos.alvarez@geoabogados.com

  6. Relaciones empresa – empleado Aspectos de derechos de autor • Autor. • Titular o derechohabiente. • Derechos morales: irrenunciables, inalienables, inembargables e imprescriptibles. • Derechos patrimoniales. carlos.alvarez@geoabogados.com

  7. Relaciones empresa – empleado Aspectos de derechos de autor • Derechos del empleado. • Patrimoniales: cesión, contrato laboral, sus funciones, guía y responsabilidad del empleador. • Morales: paternidad de la obra, registro. carlos.alvarez@geoabogados.com

  8. Relaciones empresa – empleado Aspectos de derechos de autor • Derechos de la empresa. • Patrimoniales: explotación económica, relación contractual, dirección del empleador y por su cuenta y riesgo; registro como titular. • Morales: paternidad de la obra, registro. carlos.alvarez@geoabogados.com

  9. Relaciones empresa – empleado Aspectos de derecho laboral • La Seguridad de la Información no es solamente informática. • Risk assessment: sistemas físicos, lógicos y humanos. • Moda: ethical hacking, asumido por muchos como estudio de seguridad. • Ni siquiera confían en credenciales del contratista. • Descuido de temas estandarizados: disposición de basuras, manejo de claves, arquitectura de oficinas, manejo de empleados, etc. • Incidente de seguridad: despido e indemnización del empleado comprometido. carlos.alvarez@geoabogados.com

  10. Relaciones empresa – empleado Aspectos de derecho laboral • Política de seguridad. • Qué se puede, qué no se puede, qué se debe, qué no se debe, qué conviene y qué no conviene. • Práctico: cargos que pueden usar programas de mensajería instantánea, recursos de red autorizados por empleado, etc. • Traducción a lenguaje legal: derechos, obligaciones, prohibiciones y sanciones. • Incorporación al cuerpo regulatorio de relaciones empresa – empleado. • Fuerza obligatoria – consecuencias reales. • Mensaje de advertencia: primeros casos. carlos.alvarez@geoabogados.com

  11. Relaciones empresa – empleado Aspectos de derecho laboral • Postura incorrecta. • Legislación laboral: marco de conducta de empleados. • Define obligaciones, prohibiciones y causas de despido. • Iluminado por la buena fe en la ejecución del contrato. • Fidelidad y obediencia de los empleados para con su empleador: no trampas ni abusos. • Insuficiencia de este marco, consecuentes vulnerabilidades de seguridad. carlos.alvarez@geoabogados.com

  12. Relaciones empresa – empleado Aspectos de derecho laboral • Postura incorrecta. • Abogados laboralistas: el Código define suficientemente bien las relaciones empresa – empleado. • Si acaso puede firmarse una cláusula de confidencialidad. • Realidad: Código define principios a seguir en el curso de la relación laboral. • Consecuencia de esta postura: uso de IM en equipos críticos, conexión a la Red sin autenticar y sin, al menos, firewall en el portátil. carlos.alvarez@geoabogados.com

  13. Relaciones empresa – empleado Aspectos de derecho laboral • Conclusiones de los aspectos laborales. • Una parte fundamental de los sistemas de información está conformada por los Recursos Humanos que los administran. Invertir en seguridad física, electrónica y lógica es necesario pero no suficiente. • Una cláusula de confidencialidad es insuficiente para lograr un aseguramiento aceptable de la información de la empresa. carlos.alvarez@geoabogados.com

  14. Relaciones empresa – empleado Aspectos de derecho laboral • Conclusiones de los aspectos laborales. • - La empresa debe conocer en detalle lo que se debe y lo que no se debe, lo que se puede y lo que no se puede y lo que conviene y lo que no conviene, en relación con el uso de su información y de los sistemas que la contienen y administran. • Ese detalle debe traducirse a un lenguaje legal que permita a la empresa definir consecuencias concretas para los eventos que ella considere como Incidentes de Seguridad. carlos.alvarez@geoabogados.com

  15. Aspectos de derecho penal • El encuadre de los casos. • Bien jurídico: merece especial protección del Estado, existe un cuerpo ordenado de delitos que sancionan su violación (vida e integridad personal, patrimonio económico, administración de justicia, etc.). • Información: legalmente es un activo más respecto del que se pueden ejercer prerrogativas patrimoniales y morales. • No es considerado por la Ley tan importante como para merecer la existencia de ese cuerpo intencionalmente dirigido a protegerlo. carlos.alvarez@geoabogados.com

  16. Aspectos de derecho penal • El encuadre de los casos. • Único delito informático: Acceso abusivo a un sistema informático. • Es querellable (no se inicia de oficio). • Es un delito que protege el bien jurídico Libertad Individual. • Su redacción es incompleta; excluye conductas que configuran Incidentes de Seguridad. • Éstas deben encuadrarse en tipos penales tradicionales. carlos.alvarez@geoabogados.com

  17. Aspectos de derecho penal • Los tipos penales. • Artículo 192. Violación ilícita de comunicaciones. Tipifica las conductas de sustracción, ocultamiento, extravío, destrucción, interceptación, control o impedimento de comunicaciones privadas dirigidas a persona diferente de quien despliega esta conducta. Adicionalmente tipifica el enterarse indebidamente del contenido de estas comunicaciones y la revelación de las mismas. carlos.alvarez@geoabogados.com

  18. Aspectos de derecho penal • Los tipos penales. • Art. 193. Ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Tipifica el ofrecimiento, la venta o la compra, no autorizados, de instrumentos aptos para interceptar la comunicación privada entre personas. • Art. 194. Divulgación y empleo de documentos reservados. Tipifica como conductas punibles la divulgación y el empleo de documentos reservados en provecho propio o ajeno. carlos.alvarez@geoabogados.com

  19. Aspectos de derecho penal • Los tipos penales. • Art. 195. Acceso abusivo a un sistema informático. Tipifica la introducción en un sistema informático (hack) que se encuentre protegido con alguna medida de seguridad; adicionalmente tipifica el mantenerse en ese sistema en contra de la voluntad de quien tiene derecho de excluir al atacante. • Art. 196. Violación ilícita de comunicaciones o correspondencia de carácter oficial. Este delito tipifica las mismas conductas mencionadas en el artículo 192, definiendo que el objeto material del delito debe ser calificado, o sea que las comunicaciones deben ser de carácter oficial. carlos.alvarez@geoabogados.com

  20. Aspectos de derecho penal • Los tipos penales. • Art. 197. Utilización ilícita de equipos transmisores o receptores. Tipifica la posesión y el uso ilícitos de aparatos de radiofonía o televisión y de cualquier medio electrónico diseñado para emitir o recibir señales. • Art. 308. Violación de reserva industrial o comercial. Tipifica el empleo, la revelación y la divulgación de descubrimientos, invenciones científicas, procesos o aplicaciones industriales o comerciales que deban permanecer en reserva, llegados al conocimiento del delincuente en razón de su cargo o habiendo accedido a ellos indebidamente. carlos.alvarez@geoabogados.com

  21. Aspectos de derecho penal • Los tipos penales. • Art. 463. Espionaje. Tipifica la obtención, el empleo y la revelación indebidos de secreto político, económico o militar relacionado con la seguridad del Estado. carlos.alvarez@geoabogados.com

  22. Conclusiones • La Seguridad Jurídica, en esta materia, es inexistente debido a que la Información no es considerada un bien jurídico que por sí mismo merezca la protección del Estado y, consecuentemente, porque las conductas que constituyen los Incidentes de Seguridad no han sido tipificadas como delitos. • La falta de conocimiento e interés acerca de la Seguridad de la Información es la causa de la asunción, tanto del sector privado como del Congreso, de una visión incompleta del tema, que se traduce en la existencia prolongada de vulnerabilidades humanas en las empresas, muy por encima del Riesgo Residual, y en el evidente atraso de la legislación penal. carlos.alvarez@geoabogados.com

  23. Conclusiones • La atención dada por los niveles directivos del sector privado, a la Seguridad de la Información, es insuficiente. Los mismos ingenieros de sistemas deben buscar que al interior de sus organizaciones sea conocido que la responsabilidad por el manejo seguro de la información compete a todo el personal, no exclusivamente a ellos. • La legislación laboral define un marco general dentro del que cada empresa debe entrar a implementar su propia Política de Seguridad, eliminando las vulnerabilidades que para su caso específico representan los Recursos Humanos. • El Acceso abusivo a un sistema informático es un delito incompleto, redactado sin tener en cuenta la realidad tecnológica y sus implicaciones prácticas en la sociedad. carlos.alvarez@geoabogados.com

  24. Conclusiones • Es necesario iniciar una labor de concientización que, a través de la judicialización masiva de casos y de la expedición de jurisprudencia en la materia, brinde seguridad jurídica, al menos mientras el marco legal es actualizado. carlos.alvarez@geoabogados.com

  25. Carlos S. Álvarez Cabrera Consultor Legal en Seguridad de la Información carlos.alvarez@geoabogados.com (1) 531 1456, (1) 531 4182

More Related