Post on 22-Jan-2016
Cumplimiento conCumplimiento conreglamentación de reglamentación de
derechos cibernéticosderechos cibernéticos
Lcda. Carmen R. Cintrón FerrerLcda. Carmen R. Cintrón Ferrer2003-2009, Derechos Reservados2003-2009, Derechos Reservados
AgendaAgenda
IntroducciónIntroducción Dimensión de ResponsabilidadDimensión de Responsabilidad Áreas de cumplimiento Áreas de cumplimiento Ejercicios de aplicaciónEjercicios de aplicación Responsabilidad organizacionalResponsabilidad organizacional ProyeccionesProyecciones
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
IntroducciónIntroducciónInterrogantesInterrogantes
¿Cuál legislación/reglamentación?¿Cuál legislación/reglamentación? ¿Qué implica cumplimiento?¿Qué implica cumplimiento? ¿A quién corresponde cumplir?¿A quién corresponde cumplir? ¿Cuándo cumplir?¿Cuándo cumplir?
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
IntroducciónIntroducciónInterrogantesInterrogantes
¿Cuál legislación/reglamentación?¿Cuál legislación/reglamentación? Legislación FederalLegislación Federal Legislación de Puerto RicoLegislación de Puerto Rico Regulaciones adoptadas por las Regulaciones adoptadas por las
agenciasagencias Pólíticas y procedimientos de la Pólíticas y procedimientos de la
organizaciónorganización
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
IntroducciónIntroducciónInterrogantesInterrogantes
¿Qué implica cumplimiento?¿Qué implica cumplimiento? Identificar dimensión de responsabilidadIdentificar dimensión de responsabilidad Designar Oficial(es) responsablesDesignar Oficial(es) responsables Adoptar o modificar políticas y Adoptar o modificar políticas y
procedimientosprocedimientos Divulgar procesos y adiestrar Divulgar procesos y adiestrar
funcionariosfuncionarios
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
IntroducciónIntroducciónInterrogantesInterrogantes
¿A quién corresponde cumplir?¿A quién corresponde cumplir? A la organizaciónA la organización A sus oficiales y funcionariosA sus oficiales y funcionarios A quienes integran la organizaciónA quienes integran la organización
Nota: La participación del asesor legal en los Nota: La participación del asesor legal en los reclamos de cumplimiento es necesaria.reclamos de cumplimiento es necesaria.
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
IntroducciónIntroducciónInterrogantesInterrogantes
¿Cuándo cumplir?¿Cuándo cumplir? Iniciativa continua - Iniciativa continua - En protección de En protección de
derechos civiles reconocidosderechos civiles reconocidos Por reclamo – Por reclamo – A solicitud de un tribunal o A solicitud de un tribunal o
agencia reguladora en cumplimiento con agencia reguladora en cumplimiento con requisitos aplicablesrequisitos aplicables
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Dimensión de ResponsabilidadDimensión de Responsabilidad
Responsabilidad directaResponsabilidad directa Responsabilidad indirecta y vicariaResponsabilidad indirecta y vicaria Responsabilidad fiduciariaResponsabilidad fiduciaria NegligenciaNegligencia
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Dimensión de ResponsabilidadDimensión de Responsabilidad PrimariaPrimaria
Áreas de responsabilidad primaria Áreas de responsabilidad primaria (directa o (directa o indirecta):indirecta):
Indolencia, ignorancia o negligencia al administrar los Indolencia, ignorancia o negligencia al administrar los recursos de información (RI) de la organizaciónrecursos de información (RI) de la organización
Faltar al deber de protección de los RI de la organizaciónFaltar al deber de protección de los RI de la organización Uso indebido con la intención, o no, de causar dañoUso indebido con la intención, o no, de causar daño Dejar de tomar medidas para evitar propagación de virusDejar de tomar medidas para evitar propagación de virus ““Internal monitoring” – empleados, clientes, visitantesInternal monitoring” – empleados, clientes, visitantes ““Downstream liability” – permitir a 3ros utilizar nuestra Downstream liability” – permitir a 3ros utilizar nuestra
infraestructura tecnológica para causar daño a otrosinfraestructura tecnológica para causar daño a otros ““Attack back” – ripostar al atacante de manera similarAttack back” – ripostar al atacante de manera similar
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Dimensión de ResponsabilidadDimensión de Responsabilidad Vicaria o FiduciariaVicaria o Fiduciaria
Áreas de responsabilidad vicaria:Áreas de responsabilidad vicaria: Adoptar políticas y procedimientos relativos a Adoptar políticas y procedimientos relativos a
la protección de los RIla protección de los RI Actuaciones de empleados o dependientes Actuaciones de empleados o dependientes
Áreas de responsabilidad fiduciaria:Áreas de responsabilidad fiduciaria: Debida protección y cuidado de información (o Debida protección y cuidado de información (o
RI) de terceros de los cuales somos RI) de terceros de los cuales somos depositariosdepositarios
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Dimensión de ResponsabilidadDimensión de Responsabilidad basada en actos negligentesbasada en actos negligentes
Responsabilidad debido a negligencia surge Responsabilidad debido a negligencia surge por:por: Dejar de divulgar posibles riesgos de seguridadDejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más recienteFallar en implantar la tecnología más reciente Fallar en la operación de la tecnologíaFallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar Dejar de ejercer la debida rigurosidad al implantar
políticas o procedimientospolíticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y Dejar de fiscalizar el cumplimiento con políticas y
procedimientos, según requiere la leyprocedimientos, según requiere la ley Dejar de tomar medidas para evitar o reducir el Dejar de tomar medidas para evitar o reducir el
impacto en daños de uso indebido o de los riesgosimpacto en daños de uso indebido o de los riesgos
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Dimensión de ResponsabilidadDimensión de Responsabilidad basada en actos negligentesbasada en actos negligentes
““Standard of due care”: Standard of due care”:
Describe las precauciones que debemos tomar para Describe las precauciones que debemos tomar para proteger los recursos y la información de los proteger los recursos y la información de los clientesclientes
Actuar de acuerdo con las normas y procedimientos Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgosprescritos para operar y reducir los riesgos
Incrementar y fortalecer las medidas de resguardar Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por el perímetro de acción o de responsabilidad por riesgos riesgos
Reducir el margen de error humanoReducir el margen de error humano Actuar como un buen padre de familia lo haríaActuar como un buen padre de familia lo haría Estándares de ISO17799Estándares de ISO17799
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Dimensión de ResponsabilidadDimensión de Responsabilidad basada en actos negligentesbasada en actos negligentes
¿Qué hacer?:¿Qué hacer?: Ejercer el “standard of due care”Ejercer el “standard of due care” Integrar participación del asesor legar y de la Oficina Integrar participación del asesor legar y de la Oficina
de recursos humanosde recursos humanos Cumplir con la legislación aplicableCumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación Notificar o divulgar los incidentes de actuación
indolenteindolente Colaborar con la gerencia, auditores, agencias Colaborar con la gerencia, auditores, agencias
reguladoras y del orden público en la investigación del reguladoras y del orden público en la investigación del incidenteincidente
Tomar medidas para evitar que se repitan estos Tomar medidas para evitar que se repitan estos incidentesincidentes
Educar a las partes directamente responsables Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetroMantener al día la tecnología que fiscaliza el perímetro
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Áreas de cumplimientoÁreas de cumplimiento
Privacidad de la información personalPrivacidad de la información personal Privacidad datos o transacciones médicasPrivacidad datos o transacciones médicas Privacidad datos o transacciones financierasPrivacidad datos o transacciones financieras Protección actuaciones discriminatoriasProtección actuaciones discriminatorias Protección actuaciones Protección actuaciones
fraudulentas/delictivasfraudulentas/delictivas Protección de propiedad intelectualProtección de propiedad intelectual Protección de propiedad industrialProtección de propiedad industrial
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Áreas de cumplimientoÁreas de cumplimiento Privacidad de la información personalPrivacidad de la información personal
Federal Privacy ActFederal Privacy Act Children’s Online Privacy ActChildren’s Online Privacy Act Federal Educational Rights and Privacy Federal Educational Rights and Privacy
ActAct Electronic Communications Privacy ActElectronic Communications Privacy Act Consumidores (Dpto. Comercio)Consumidores (Dpto. Comercio) Tratado de la Unión Europea (1998)Tratado de la Unión Europea (1998)
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Áreas de cumplimientoÁreas de cumplimiento
Protección frente a otros actos delictivosProtección frente a otros actos delictivos
Cyberstalking – Cyberstalking – Vigilar y seguir a un cibernauta Vigilar y seguir a un cibernauta mientras navega en Internetmientras navega en Internet (“Shadowing a user (“Shadowing a user from site to site while navigating the Internet”) from site to site while navigating the Internet”) constituye hostigamiento (California)constituye hostigamiento (California)
Identity theft – Identity theft – Impostura Impostura (E-sign)(E-sign) SPAM – “SPAM – “remital of bulk unsolicited mail” remital of bulk unsolicited mail”
(legislación pendiente ante el Congreso & California)(legislación pendiente ante el Congreso & California) ““Reverse computer tresspass & Data mining” Reverse computer tresspass & Data mining”
CGI ejecuta código que revierte datos del usuario al CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para servidor WEB. Utilizar datos y “cookies” para “profiling” “profiling”
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Áreas de cumplimientoÁreas de cumplimiento Actuaciones discriminatoriasActuaciones discriminatorias
Ley ADALey ADA American Disabilities Act – PL336 (1990):American Disabilities Act – PL336 (1990): Sec.508 – standards for electronic and information Sec.508 – standards for electronic and information
technologytechnology Hostigamiento en el empleo y en la Hostigamiento en el empleo y en la
academia:academia: Civil Rights Act (1964) – Título VIICivil Rights Act (1964) – Título VII Education Act (1972) – Título IXEducation Act (1972) – Título IX
Persecusión, vigilancia o discriminación en el Persecusión, vigilancia o discriminación en el entorno de empleo:entorno de empleo: MaternidadMaternidad Edad, raza, color, sexo, origen, …Edad, raza, color, sexo, origen, … LicenciasLicencias
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Áreas de cumplimientoÁreas de cumplimientoDerechos patrimonialesDerechos patrimoniales
Protección propiedad intelectual:Protección propiedad intelectual: Digital Millenium Copyright ActDigital Millenium Copyright Act TEACH ActTEACH Act RIAA/MPAARIAA/MPAA PlagioPlagio Derechos de propiedad de:Derechos de propiedad de:
EmpleadosEmpleados Facultad o investigadoresFacultad o investigadores ContratistasContratistas
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Áreas de cumplimientoÁreas de cumplimientoDerechos patrimonialesDerechos patrimoniales
Protección propiedad industrial:Protección propiedad industrial:
PatentesPatentes Marcas de fábricaMarcas de fábrica Nombre comercialNombre comercial Secretos del negocioSecretos del negocio OtrosOtros
****Carmen R. Cintron Ferrer, 2003-
2009, Derechos Reservados
Responsabilidad OrganizacionalResponsabilidad Organizacional
Violación de leyes o regulacionesViolación de leyes o regulaciones Actuaciones delictivasActuaciones delictivas Negligencia en protección de Negligencia en protección de
propiedad intelectual de 3rospropiedad intelectual de 3ros Negligencia en protección de datosNegligencia en protección de datos Negligencia en protección de activosNegligencia en protección de activos Negligencia evitar daños a tercerosNegligencia evitar daños a terceros
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
Responsabilidad OrganizacionalResponsabilidad Organizacional
Medidas mitigantes:Medidas mitigantes:
Políticas y procedimientos para cumplirPolíticas y procedimientos para cumplir Políticas y procedimientos para protegerPolíticas y procedimientos para proteger Medidas para anticipar y reducir el impactoMedidas para anticipar y reducir el impacto Plan de acción para implantar políticasPlan de acción para implantar políticas Procedimiento para asegurar cumplimientoProcedimiento para asegurar cumplimiento Plan de adiestramiento (“awareness”)Plan de adiestramiento (“awareness”)
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
Manejo de records institucionales:Manejo de records institucionales: Clasificar confidencial/público:Clasificar confidencial/público:
Acceso públicoAcceso público Acceso internoAcceso interno ConfidencialConfidencial
Establecer normas relativas al acceso y Establecer normas relativas al acceso y la protección de archivos de:la protección de archivos de:
Correo electrónicoCorreo electrónico Mensajería electrónicaMensajería electrónica Transacciones electrónicasTransacciones electrónicas Documentos electrónicos (Propiedad intelectual)Documentos electrónicos (Propiedad intelectual) Historial de navegaciónHistorial de navegación Vigilancia electrónica (cámaras)Vigilancia electrónica (cámaras)Carmen R. Cintron Ferrer, 2003-
2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
Sarbanes-Oaxley:Sarbanes-Oaxley: Convertir en prioridad gerencial el manejo de documentos Convertir en prioridad gerencial el manejo de documentos
electrónicos electrónicos Mantener inventarios y records de tecnología informáticaMantener inventarios y records de tecnología informática Adoptar política de revisión, retención, disposición de éstosAdoptar política de revisión, retención, disposición de éstos Documentar las formas de distribución de documentos Documentar las formas de distribución de documentos
electrónicoselectrónicos Adiestar al personal sobre política y procedimientosAdiestar al personal sobre política y procedimientos Establecer comité para atender reclamaciones legalesEstablecer comité para atender reclamaciones legales Reducir o eliminar huellas electrónicasReducir o eliminar huellas electrónicas Detener procesos de disposición de documentos al inicio de Detener procesos de disposición de documentos al inicio de
reclamaciones legalesreclamaciones legales Auditar periódicamente el cumplimiento con estas políticas y Auditar periódicamente el cumplimiento con estas políticas y
procesosprocesos Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
USA Patriot Act:USA Patriot Act: Establecer procedimiento atienda incidentes o Establecer procedimiento atienda incidentes o
reclamosreclamos Designar Oficial de seguridad y Comité de apoyoDesignar Oficial de seguridad y Comité de apoyo Adiestrar al personal para:Adiestrar al personal para:
Se abstengan de proveer informaciónSe abstengan de proveer información Referir solicitudes de agentes del orden público al Oficial Referir solicitudes de agentes del orden público al Oficial
de seguridad y/o al Asesor legalde seguridad y/o al Asesor legal Manejar escenarios donde advengan conocimiento de Manejar escenarios donde advengan conocimiento de
situaciones de emergencia y asegurar éstos se canalicen situaciones de emergencia y asegurar éstos se canalicen por vía interna antes de referir a entidades del orden por vía interna antes de referir a entidades del orden públicopúblico
Proteger la privacidad e intimidad de la comunidadProteger la privacidad e intimidad de la comunidad Reducir el tiempo que se mantienen las bitácoras o Reducir el tiempo que se mantienen las bitácoras o
copias de resguardo de transacciones electrónicascopias de resguardo de transacciones electrónicasCarmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
Respaldo a HIPAA:Respaldo a HIPAA: Establecer procedimientos garanticen la Establecer procedimientos garanticen la
privacidad de datos médicos electrónicosprivacidad de datos médicos electrónicos Eliminar el uso del #SS como identificador Eliminar el uso del #SS como identificador
universaluniversal Orientar al personal maneja datos médicosOrientar al personal maneja datos médicos Orientar a la comunidad sobre derechos y Orientar a la comunidad sobre derechos y
deberesdeberes Adoptar Plan de SeguridadAdoptar Plan de Seguridad Designar Oficial de SeguridadDesignar Oficial de Seguridad
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
Gramm-Leach Bliley:Gramm-Leach Bliley: Designar Oficial de PrivacidadDesignar Oficial de Privacidad Adoptar Política sobre Privacidad de datos financierosAdoptar Política sobre Privacidad de datos financieros Divulgar Política a la comunidad institucionalDivulgar Política a la comunidad institucional Establecer mecanismos aseguren cumplimientoEstablecer mecanismos aseguren cumplimiento
National Strategy to Secure Cyberspace:National Strategy to Secure Cyberspace: Establecer centros de compartir vulnerabilidades (ISAC)Establecer centros de compartir vulnerabilidades (ISAC) Definir guías para conferir autoridad al CIO para enfrentar Definir guías para conferir autoridad al CIO para enfrentar
los problemas asociados a seguridadlos problemas asociados a seguridad Adoptar “best practices” en el ámbito de seguridad Adoptar “best practices” en el ámbito de seguridad Desarrollar programas para concienzar usuariosDesarrollar programas para concienzar usuarios
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
Prohibir prácticas de piratería de programación:Prohibir prácticas de piratería de programación: Uso de SW sin autorización o excediendo éstaUso de SW sin autorización o excediendo ésta Poner a disposición de 3ros SW institucionalPoner a disposición de 3ros SW institucional Copiar, reproducir, transmitir, distribuir SWCopiar, reproducir, transmitir, distribuir SW Proveer recursos para violentar las protecciones de Proveer recursos para violentar las protecciones de
derechos de autor del SWderechos de autor del SW Violar las disposiciones del DMCAViolar las disposiciones del DMCA
Concienzar sobre la responsabilidad personal:Concienzar sobre la responsabilidad personal: Cumplir con leyes y reglamentos, y prácticas vigentesCumplir con leyes y reglamentos, y prácticas vigentes Violar dichas disposicionesViolar dichas disposiciones
Fiscalizar el cumplimiento con las políticas de usoFiscalizar el cumplimiento con las políticas de uso Fiscalizar uso adecuado de licencias de SWFiscalizar uso adecuado de licencias de SW
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyeccionesMedidas a tomarMedidas a tomar
Respaldo a DMCA Respaldo a DMCA (“copyrights”)(“copyrights”):: Designar Oficial de CumplimientoDesignar Oficial de Cumplimiento Adoptar política de cumplimiento y protección de Adoptar política de cumplimiento y protección de
derechos de autor Divulgar política y educar derechos de autor Divulgar política y educar comunidadcomunidad
Fiscalizar cumplimiento con la políticaFiscalizar cumplimiento con la política Establecer mecanismo para solicitar autorización uso Establecer mecanismo para solicitar autorización uso
material protegido cuando no aplica “fair use”material protegido cuando no aplica “fair use” Establecer procedimiento para responder ante Establecer procedimiento para responder ante
reclamaciones de violación a derechos de autor:reclamaciones de violación a derechos de autor: Material publicado en el WEBMaterial publicado en el WEB Material accedido del WEBMaterial accedido del WEB
Adoptar procedmiento para defender personal cuando Adoptar procedmiento para defender personal cuando indebidamente se les reclame violación al DMCAindebidamente se les reclame violación al DMCA
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados
ProyeccionesProyecciones
AdoptarAdoptar
ExaminarExaminar
InvertirInvertir
InvestigarInvestigar
ColaborColaborarar
CumplirCumplir
Carmen R. Cintron Ferrer, 2003-2009, Derechos Reservados