Diplomado de Seguridad Informática ITAM Seguridad en la

Diplomado de Seguridad InformáticaITAM

Seguridad en la Información: Aspectos Legales

Jorge Navarro

Febrero 10, 2010

© 2010 – Jorge Navarro Isla

Consultor en Derecho y TIC

BREVIARIO

•CMSI

•Valor de la información

•Confidencialidad (P)

•Acceso (A)

•Integridad (I)

•No Repudio (N)

•Gobernanza corporativa

•Compliance



CMSI





Agenda de Túnez para la Sociedad de la Información — Túnez 2005

• Creación de confianza de los usuarios y seguridad en lautilización de TIC

• Colaboración de todas las partes - cultura mundial deciberseguridad

• Resolución 57/239 AG ONU y otros marcos regionalesrelevantes.

• Acción nacional y más cooperación internacional para fortalecerla seguridad mejorando la protección de la información, laprivacidad y datos personales. (39)

• Importancia de enjuiciar la ciberdelincuencia - mayorcooperación internacional

• Promulgación de leyes que permitan su investigación yenjuiciamiento.

• Resoluciones de la AG ONU 55/63 y 56/121 sobre la lucha contrala utilización de la tecnología de la información con finesdelictivos

• Convenio sobre el Delito Cibernético del Consejo de Europa (40).• Spam – Múltiples enfoques – Plan de Acción de Londres, MOU,

OCDE, APEC.

© 2010 - JorgeNavarro Isla


http://www.itu.int/index-es.html



http://es.youtube.com/watch?v=mGuyOsSUAB0&feature=related



http://es.youtube.com/watch?v=mGuyOsSUAB0&feature=related



http://es.youtube.com/watch...



Compromiso de San Salvador

Segunda Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe San Salvador

(febrero de 2008) e-LAC 2010

• 80% de los gobiernos locales interactúen con los ciudadanos y con otras ramas de la administración pública

usando Internet o duplicar el número actual.

• Coadyuvar al uso de documentos electrónicos y firma electrónica y/o digital con fuerza probatoria en las gestiones gubernamentales, tanto por parte de los funcionarios y servidores públicos como por los

ciudadanos.

• Fomentar mecanismos de contratación electrónica en el sector público.



UNCITRAL



Fomento de la confianza en el comercio electrónico: cuestionesjurídicas de la utilización internacional de métodos deautenticación y firma electrónicas (Viena 2009)

La creación de confianza en el comercio electrónico reviste gran importancia para su

desarrollo.

Se precisen normas especiales para aumentar la certidumbre y la seguridad en su utilización.

- Textos legislativos: instrumentos jurídicos internacionales (tratados, convenios y

convenciones); leyes modelo transnacionales; legislación interna (basada a menudo en leyes

modelo); instrumentos de autorreglamentación; o acuerdos contractuales.

Redes cerradas - sistema de pagos interbancarios - funcionan con reglas contractuales

convenidos previamente “acuerdos entre socios comerciales”, - proporcionan y garantizan a

los miembros del grupo la funcionalidad, fiabilidad y seguridad operacionales necesarias.

Redes abiertas

PROBLEMAS

1. Vulnerabilidades en Redes2. Vulnerabilidades Procesos

3. Vulnerabilidades en controles legales

Fuga de informaciónSistemas informáticos inoperantes Daños irreparables a los sistemas

Violación de normas legales



Contexto Latinoamericano

• Crimen organizado – 1er Mundo

• Presupuestos, educación y leyes de países en vías de desarrollo– México, Colombia, Perú, Bolivia…



GOBIERNO CORPORATIVO :

Problemas de seguridad:

1. Física: Accesos y manejo de documentos , ejemplo: Ingeniería Social

2. Técnica e Informática: Uso incorrecto e indebido de equipos, ejemplos: descarga de archivos MP3, pornografía,

vulnerabilidad de redes WIFI, ausencia de respaldos o back-ups, etc.

3) Jurídica: NDA con clientes, cláusulas de confidencialidad contractuales con proveedores, empleados, miembros del consejo de administración, accionistas, auditores externos,

comisarios, apoderados. Énfasis en los reglamentos interiores de trabajo, contratos colectivos e individuales de trabajo o de

prestación de servicios independientes.



Compliance

• Leyes, Reglamentos, Reglas, NOMs, Circulares, Boletines y Contratos.

• Quien maneje información confidencial debe considerar las disposiciones de las cuerpos legales siguientes:



Compliance

1. CONSTITUCIÓN2. Código Penal Federal (CPF)3. Ley Federal del Trabajo4. Ley Federal de Telecomunicaciones5. Ley de Vías Generales de Comunicación6. Ley de la Propiedad Industrial (LPI)4. Ley Federal del Derecho de Autor (LFDA)5. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental –

Lineamientos IFAI;6. Leyes estatales – Leyes de protección de datos Colima, D.F.; Código Civil Jalisco.6. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos

(LFRASP)8. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público9. Ley de Obras Públicas y Servicios Relacionados con las Mismas10. Ley Federal de Protección al Consumidor 12. Ley de Instituciones de Crédito – Circular Única - CNBV13. Ley del Mercado de Valores14. Ley para regular las Sociedades de Información Crediticia15. Legislación Extranjera atendiendo al origen o destino de la información

confidencial o protegida. Por ejemplo: la Ley Sarbanes-Oxley de los EE.UU.A. (OCDE, Unión Europea, Tratados específicos)



Normatividad Resumen y Comentario

•Código de Comercio

•Código Civil

•Ley Federal de Protección al Consumidor

•Código Federal de Procedimientos Civiles

•Reformas LAASP, LOPS

Regula la expresión del consentimiento a través de medios electrónicos, el documento electrónico (mensaje de datos o MD) y su valor probatorio. Protección al consumidor en línea.

Solo se hace referencia a la fiabilidad del método utilizado para generar, comunicar, recibir o archivar el MD.

No se estableció el método para dotar de valor probatorio a los mensajes de datos (en los que consten derechos y obligaciones) dados sus atributos: Integridad, autenticidad, No-Repudio y Accesibilidad.

El incumplimiento de estos atributos genera problemas en materia de:

Validez jurídica o fuerza probatoria en proceso judicial: -No se garantiza que el MD no haya sido alterado por las partes o por 3os con posterioridad a su generación-No se garantiza que el mensaje haya sido generado por quien dicehaberlo generado-No se garantiza que quien emitió el MD lo acepte como propio-No se garantiza que las partes legitimadas o autorizadas para ello lo accedan.- No se puede acceder a la información.



Código de Comercio• Artículo 49.- Los comerciantes están obligados a conservar por un plazo mínimo de diez

años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquieraotros documentos en que se consignen contratos, convenios o compromisos que dennacimiento a derechos y obligaciones.

• Para efectos de la conservación o presentación de originales, en el caso de mensajes dedatos, se requerirá que la información se haya mantenido íntegra e inalterada a partir delmomento en que se generó por primera vez en su forma definitiva y sea accesible para suulterior consulta. La Secretaría de Comercio y Fomento Industrial emitirá la Norma OficialMexicana que establezca los requisitos que deberán observarse para la conservación demensajes de datos.

Código Federal de Procedimientos Civiles• Artículo 210-A.- Se reconoce como prueba la información generada o comunicada que

conste en medios electrónicos, ópticos o en cualquier otra tecnología.• Para valorar la fuerza probatoria de la información a que se refiere el párrafo anterior, se

estimará primordialmente la fiabilidad del método en que haya sido generada,comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personasobligadas el contenido de la información relativa y ser accesible para su ulterior consulta.

• Cuando la ley requiera que un documento sea conservado y presentado en su formaoriginal, ese requisito quedará satisfecho si se acredita que la información generada,comunicada, recibida o archivada por medios electrónicos, ópticos o de cualquier otratecnología, se ha mantenido íntegra e inalterada a partir del momento en que se generópor primera vez en su forma definitiva y ésta pueda ser accesible para su ulteriorconsulta.



Ley Federal del Trabajo

• Artículo 776.- Son admisibles en el proceso todos los medios de prueba que no sean contrarios a la moral y al derecho, y en especial los siguientes:

I. Confesional;

II. Documental;

III. Testimonial;

IV. Pericial;

V. Inspección;

VI. Presuncional;

VII. Instrumental de actuaciones; y

VIII. Fotografías y, en general, aquellos medios aportados por los descubrimientos de la ciencia.




Norma de conservación de Mensajes de Datos (documentos electrónicos) NOM- 151-SCFI-2002

Creada por la Secretaría de Economía,establece las prácticas prácticas comerciales y los requisitos que deben observar los comerciantes y todas las personas que con quienes los comerciantes pacten operaciones, para la conservación de los mensajes de datos que consignen contratos, convenios o compromisosque den nacimiento a derechos y obligaciones (fundamento en el artículo 49 del Código de Comercio).

Teniendo como base el sistema de encriptación asimétrico con el algoritmo MD-5 (Message Digest Algorithm 5) de 128 bits. (Algoritmo crackeado- Australian Department of Defense).

Resuelve en buena medida el tema de la Integridad.




•Reformas al Código de Comercio en materia de firma electrónica

•Se introduce el “Título II.- Comercio Electrónico” en el que cubre aspectos relativos a los atributos de integridad, autenticidad y no-repudio. El concepto de firma electrónica avanzada (FEA) se introdujo como forma idónea de autentificación. •La FEA es aquella cuya fiabilidad está soportada por una infraestructura de llave pública (PKI).•Cubre los atributos de integridad, autenticidad y no-repudio, toda vez que permite autentificar al emisor del MD y posibilita la identificación de cualquier modificación que se haga al MD (que contenga obligaciones y derechos) posterior a su generación.•La PKI se compone de autoridades certificadoras, prestadores de servicios de certificación y de los certificados digitales emitidos por dichos agentes certificadores y que dan sustento legal a la FEA.•Se basa en el modelo sobre firmas electrónicas de la Ley Modelo de UNCITRAL y complementa la parte relativa a Mensaje de Datos detallando conceptos como Intermediario, Acuse de Recibo, Copia, Error, etc. •Incorpora la figura del Prestador de Servicios de Certificación reconociendo, por parte de las instituciones financieras, al Banco de México para regular y coordinar a la autoridad registradora central, registradora y certificadora (IES). •Así mismo, reconoce como Autoridad Registradora Central a la Secretaría de Economía (además de Banco de México art. 106 y Secretaría de la Función Pública).




•Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación (PSC)

•Reglas Generales a las que deberán de sujetarse los PSC

• Pueden fungir como PSCs: Personas morales decarácter privado, fedatarios públicos y lasinstituciones públicas que provean certificadosdigitales que avalen la validez jurídica de la FEA.

• Se establecen:i) Requisitos de carácter humano, económico, material y

tecnológico que deben cumplir ante la SE lasempresas que deseen prestar servicios decertificación, con el fin de ser acreditados comocertificadores;

ii) Reglas relativas al procedimiento de acreditación antela SE;

iii) Los datos del PSC que se deben incluir en loscertificados digitales ;

iv) Las obligaciones a las que están sujetos los PSC,tales como la emisión, conservación y registro decertificados en territorio nacional, y

v) Las sanciones a que pueden ser acreedores.



Reglamentación Resumen

Infraestructura Extendida de Seguridad (IES) - Circular-Telefax 6/2005 (15 de marzo de 2005).

Creado por el Banco de México, define el esquema de emisión decertificados digitales, describiendo las responsabilidades de laagencia registradora, agencia certificadora y agente certificador.

Se crea para proporcionar mayor seguridad a las transaccionesfinancieras a través de los sistemas de pagos.

Es una infraestructura interna del sistema financiero, de validación,certificación y control de los datos utilizados en la generación defirmas electrónicas avanzadas, mediante la expedición yadministración de certificados digitales, en donde Banxico fungecomo Autoridad Registradora Central y las instituciones de crédito ydemás instituciones financieras como Agencias Certificadoras y/oRegistradoras.

La instrumentación de esta infraestructura se efectuó a través decirculares de Banxico, que establece las facultades de lasentidades, así como los requisitos técnicos e informáticos mínimoscon que deben las instituciones financieras interesadas en actuarcomo Agencias Certificadoras y/o Registradoras y los requisitos delos Certificados Digitales que emitan.



Reglamentación Resumen

Reformas al Código Fiscal de la Federación

•Se establece un capítulo específico en materia de medioselectrónicos (aplicable a Organismos Fiscales Autónomos solo siasí lo establece su ley) en el cual se reconoce la firma electrónicaavanzada para la presentación de trámites ante el SAT; seestablecen los requisitos para la obtención y operación de loscertificados digitales correspondientes;• Los requisitos para su obtención y operación, define laautorización para que terceros puedan auxiliar al SAT en losservicios de Registro e Información sobre certificados emitidos.•Se define el método de verificación de integridad y autoría de undocumento digital;•Se establece que los documentos notariales cuando seacompañen a un documento digital deberán estar digitalizados.•SAT se erige como Autoridad Certificadora Central.•Habilita la opción de usar el Comprobante Fiscal Digital (facturaelectrónica) sin necesidad de conservar documentos en papel ylos requisitos que deben cumplirse para utilizarlos :Las personas físicas y morales que cuenten con un certificado defirma electrónica avanzada vigente y lleven su contabilidad ensistema electrónico, podrán emitir los comprobantes de lasoperaciones que realicen mediante documentos electrónicos quecuenten con sello digital.



Compliance

• LPI Artículo 82.- Secretos Industriales. • Leyenda de Confidencialidad

• Doctrina

- Listas de clientes y proveedores,

- formulación de procesos industriales,

- estrategias de mercado o para el lanzamiento de productos,

- resultados de estudios comerciales y de mercado,

- procesos legales,

- listas de precios,

- bases de datos y

- en general cualquier información sensible que represente un valor económico para la empresa.



La revelación ilegal de secretos tiene implicaciones delicadas

– Arts. 210, 211, 211 Bis.- Revelación de secretos

– Art. 214.- Ejercicio indebido de autoridad

Compliance



Compliance

CLAUSULAS DE PROTECCION DE LA INFORMACION CONFIDENCIAL

• La firma de contratos de confidencialidad es estrictamente necesaria para precisar la información confidencial sujeta a protección y confirma la obligación de respetarla en los términos de las leyes aplicables, que en general son de orden público.

• En adición a los contratos específicos, se debe introducir en el material la leyenda “CONFIDENCIAL” y hacer referencia a la calidad de “SECRETO INDUSTRIAL” .

• En adición, es preciso establecer en el Reglamento Interno de Trabajo medidas para advertir en forma expresa la prohibición de disponer de material confidencial.

• Cláusulas de confidencialidad en los contratos de asistencia técnica, administración, gestión, servicios profesionales, servicios mercantiles, de fabricación y maquila, de publicidad, de mercadeo, de investigación de mercado, de contratación de personal, de servicios externos de personal y asesoría (outsourcing).



• Cláusulas de confidencialidad en contratos de licencia.

• Cláusulas de intransferibilidad de información confidencial en todo tipo de contratos, convenios y acuerdos.

• Prohibición de duplicar información sensible.

• Dispositivos de Seguridad en medios físicos o electrónicos.

• Mecanismos para verificar la entrega de información confidencial.

Compliance

CLAUSULAS DE PROTECCION DE LA INFORMACION CONFIDENCIAL



Compliance

Cómputo ForensePrincipio de Intercambio de Locard. En CASEY.2000. Pág.4

Víctima Sospechoso

Escena del crimen

Evidencia



¿Cuál es el fin de la prueba?

Aportar la evidencia suficiente para que se pueda decidir con certeza sobre el asunto

en proceso, sea penal, civil, laboral, administrativo o comercial.

I

Cómputo Forense



DELITOS INFORMATICOS

Código Penal Federal

Art. 167 F II.-Destruir componentes de la red pública de telecomunicaciones

Art. 167 F IV.- interrupción o interferencia dolosa de comunicaciones con fin de lucro.

Art. 168 Bis.- Decodificación ilícita de señales satelitales

Art. 173.- Apertura indebida de una comunicación escrita dirigida a otro destinatario

Art. 177.- Intervención de comunicación privada sin mandato judicial.

Art. 368 F. II.- Robo de fluidos.- Uso ilícito de medios de transmisión.

Código Federal de Procedimientos Penales.- MD son indicios

•



DELITOS E ILICITOS INFORMATICOS

Código Penal Federal

Artículo 211 bis 1 – 211 bis 7

i) acceso ilícito a los sistemas y equipos de informática,

ii) conocimiento y copia indebida de información excediendo la autorización conferida, y

iii) daño o pérdida de información



¡Muchas gracias!

Jorge Navarro

[email protected]



mailto:[email protected]



Documents

Diplomado de Seguridad Informática ITAM Seguridad en la