II congreso mercosur de derecho informatico - PowerPoint PPT Presentation

1 / 34
About This Presentation
Title:

II congreso mercosur de derecho informatico

Description:

II congreso mercosur de derecho informatico. La Seguridad en el uso de los ... antivirus el producto Norton Antivirus Enterprise, con instalaci n del agente en ... – PowerPoint PPT presentation

Number of Views:44
Avg rating:3.0/5.0
Slides: 35
Provided by: albe95
Category:

less

Transcript and Presenter's Notes

Title: II congreso mercosur de derecho informatico


1
II congreso mercosur de derecho informatico
  • La Seguridad en el uso de los recursos
    informaticos de la empresa
  • Dr. Alberto Soto
  • Director IIISI

2
  • Los componentes de un sistema de información son
  • Hardware
  • Software (de Base y de Aplicación)
  • Estructura de Datos
  • Personal

3
(No Transcript)
4
(No Transcript)
5
  • INTEGRIDAD la información debe permanecer tal
    cual fue generada
  • CONFIDENCIALIDAD la información debe ser
    conocida solo por el personal autorizado
  • DISPONIBILIDAD la información debe estar cada
    vez que sea solicitada
  • NO REPUDIO la emisión y recepción de información
    no puede ser negada.

6
  • ESTRATEGIA
  • POLITICAS
  • NORMAS Y PROCEDIMIENTOS
  • PLANES DE CONTINGENCIAS

7
  • Ejemplos de Políticas
  • La empresa considera como crítica a la
    operatividad y a la información involucrada en el
    área de Despacho, por lo tanto las normas y
    procedimientos deberán generar las medidas
    necesarias para este objetivo.
  • La institución deberá contar con medidas
    antivirus y antispam que aseguren la debida
    protección de sus sistemas

8
  • Ejemplo de Normas y Procedimientos
    correspondientes
  • El área de Despacho contará con duplicidad en los
    switchs involucrados, y doble tendido de fibra
    óptica, con recorridos diferentes.
  • Para cubrir eventuales emergencias energéticas,
    contará con un sistema ininterrumpible de energía
    con una hora de baterías, y un motogenerador que
    tenga el doble de capacidad (en KVA) de la UPS
    citada, con una operatividad de seis horas. Este
    sistema deberá contar con un registro de
    mantenimiento, el cual deberá ser verificado por
    el Jefe del Data Center con periodicidad mensual.

9
  • Ejemplo de Normas y Procedimientos
    correspondientes
  • La empresa utilizará como protección antivirus el
    producto Norton Antivirus Enterprise, con
    instalación del agente en cada estación de
    trabajo del sistema de información.
  • La actualización de dicho agente deberá
    realizarse desde el servidor central, en forma
    diaria, debiendo concretarse al encenderse la
    estación de trabajo.
  • El Administrador de Seguridad deberá tomar las
    medidas necesarias para recibir un mail con
    información de virus entrante, a fin de obtener
    estadísticas mensuales al respecto.
  • Asimismo, al recibir dicho mail , debe concurrir
    inmediatamente a la misma para verificar la forma
    de entrada del virus.

10
  • Es una norma generada por un ente u organización
    (nacional o internacional), que trata de
    homogeneizar un determinado tema
  • CCITT - ISO - IRAM - BS - IEEE
  • Estándares Internacionales de Contabilidad.
    Estándares Internacionales de Reportes
    Financieros. IAS-IFRS
  • PUEDEN SER PRIVADAS O PUBLICAS

11
  • - ISO 27000, vocabulario y definiciones
    (terminología para el resto de estándares de la
    serie).- ISO 27001, especificación del sistema
    de gestión de la seguridad de la información
    (SGSI). Esta norma será certificable bajo los
    esquemas nacionales de cada país.- ISO 27002, ex
    ISO 17799, que describe el Código de buenas
    prácticas para la gestión de la seguridad de la
    información.- ISO 27003, que contendrá una guía
    de implementación.- ISO 27004, estándar
    relacionado con las métricas y medidas en materia
    de seguridad para evaluar la efectividad del
    sistema de gestión de la seguridad de la
    información.- ISO 27005, que proporcionará el
    estándar base para la gestión del riesgo de la
    seguridad en sistemas de información.

12
  • Una Metodología
  • para la
  • Seguridad de la Información

13
Sistema de Información
Test de Penetración interno y externo
Relevamiento interno normativa existente
14
  • Comunicación A 4609 del Banco Central de la
    República Argentina

15
Circular 4609 BCRA 1. Sustituir el último
párrafo del punto 3.1.4.4. de la Sección 3 de la
norma sobre Requisitos mínimos de gestión,
implementación y control de los riesgos
relacionados con Tecnología Informática y
Sistemas de Información, por el siguiente Se
deberá proteger la integridad de la información
registrada en dichos reportes, la que deberá ser
resguardada adecuadamente, manteniéndose en
archivo por un término no menor al plazo de
prescripción para las acciones derivadas de cada
tipo de operación. En ningún caso, la guarda de
dichos registros de seguridad o pistas de
auditoría, podrá ser inferior a 6 (seis) años.
Para ello, se utilizarán soportes de
almacenamiento no modificables o soportes
reutilizables, siempre que se proteja la
integridad de la información con medidas de
control que permitan evidenciar la no alteración
posterior a su generación. En caso de ser CD
(Compact Disc), deberá registrarse oportunamente
el número de serie del mismo al momento de
generación y/o firmas digitales.
16
(No Transcript)
17
  • Libertad o restricción?
  • Análisis funcional del / los equipos de trabajo
  • Filtros?
  • Formas de monitoreo / control, sin invadir
    privacidad, sin ver contenidos
  • Normas internas
  • Legislación vigente
  • Capacitación e información al personal

18
  • Formas de monitoreo / control, sin invadir
    privacidad, sin ver contenidos
  • Log en un sistema UNIX, para nevegaciòn por
    internet y envìo de correo electrònico
  • asoto_at_..... hora, minuto segundo, dia, mes año
    de inicio navegacion url visitada, datos de
    finalización, datos estacion de trabajo
  • asoto_at_..... hora, minuto segundo, dia, mes año
    de salida de mail, cuenta destinataria, peso del
    mail, datos estaciòn de trabajo
  • Idem correo recibido

19
Coincido parcialmente con esta opinión de los
medios comisivos, pero debemos recordar que  en 
materia penal no existe analogía, razón por la
cual, si un delito no está tipificado, no es
delito. Es muy distinto en el ámbito civil o
comercial. Además, debemos tener en cuenta el
aspecto procesal, y dentro del mismo, las
pruebas. En México, a un Juez de Primera
Instancia, le pregunté sobre la responsabilidad
en la emisión de correo electrónico, y me
respondió rápidamente es de la persona que tiene
asignada la computadora. Le respondí que hay
errores atribuibles a los vendedores de software,
a los programas de computación, que implican a
los que están sentados en una computadora
personal en una red, sin ser los responsables de
dichos errores.
20
  • Universidad de Guadalajara (creo que en el 2002)
  • Toda la lista del Rector, recibió un mail en son
    de broma, cuando se estaba debatiendo la
    asignación de recursos extraordinarios a esa casa
    de altos estudios.
  • Se ubicó al emisor (cuenta emisora), se
    rescindió la relación laboral al titular
  • Causa falta de probidad y honradez, según la Ley
    Federal de Trabajo.
  • Trabajador se presenta ante la junta de
    Conciliación y fue reincorporado.
  • No pudo demostrarse que la persona titular de la
    cuenta, había enviado los mensajes a la lista, y
    sí, se comprobó que el sistema de correo
    electrónico tenía fallas en el sistema de acceso.
  • Si bien no tiene relación directa con nuestro
    ejemplo, el contenido del mensaje no equivalía a
    lo señalado en el aviso de rescisión.

21
-En Argentina, la Resolución de fecha 4 de marzo
1999, emitida por la Cámara de Apelaciones
Criminal y Correccional, Sala 6, en los autos
"Edgardo Martolio c/Jorge Lanata s / querella",
equiparó el correo electrónico a la
correspondencia epistolar y lo amparó con su
garantía constitucional.
22
-SUMARIO DESPIDO CON CAUSA. Uso indebido de
correo electrónico por parte del trabajador.
Recepción y reenvío de e-mails con contenido
pornográfico S. 72/03 - "V.R.I c/Vestiditos SA
s/despido" - JUZGADO NACIONAL DE PRIMERA
INSTANCIA EN LO LABORAL N 24 - 27/05/2003
"Juzgo como suficientemente acreditado que la
reclamante utilizó repetida y constantemente su
horario y herramienta de trabajo (sistema de
correo electrónico de la accionada) pese a las
indicaciones que en contrario le fueran
reiteradamente impartidas, para recepcionar y
reenviar el tan particular y en diversos aspectos
objetable material literario y gráfico y
perturbando . Es un fallo importante, donde
hubo despido directo, sin preavisos tal como lo
prevé la legislación (LCT)
23
Envío de correos electrónicos personales en
horario laboral. G. D. M. del R. c/ Y.P.F.
Yacimientos Petrolíferos Fiscales S.A. s/
despido arribados al tribunal luego del recurso
interpuesto por la actora contra la sentencia de
primera instancia que le fue adversa. Señaló el
tribunal se advierten imputados diversos
incumplimientos a la Srta. García, mas cabe poner
de manifiesto que, con acreditar uno o alguno de
ellos se entenderá ajustada a derecho la
disolución del vínculo siempre -claro está- que
resulte suficientemente injurioso a la luz de lo
normado por el art. 242 LCT. Con que resulte
probado que la actora dedicó cierta cantidad de
tiempo durante su jornada de labor en trabajos
que ninguna relación tenían con sus funciones y
utilizaba para ello los medios de comunicación de
la compañía (por ejemplo e-mails) existiría sin
duda una violación al deber de diligencia y buena
fe que generaría pérdida de confianza...
24
CORREO ELECTRONICO. Ingreso a la casilla de
e-mail del imputado sin orden de juez competente.
Violación al derecho a la intimidad. Nulidad del
acto C. 19418 - "Grimberg, Alfredo H. s/
sobreseimiento" - CNCRIM Y CORREC DE LA CAPITAL
FEDERAL - SALA I - 11/02/2003 "El correo
electrónico es sin lugar a dudas correspondencia
privada que está protegida por la Constitución
Nacional y otros tratados sobre derechos humanos
incorporados a ella." "El reconocimiento de la
libertad de intimidad, y el consecuente derecho a
la vida privada, configuran un valor que está
estrechamente relacionado con la dignidad del ser
humano en función de la idea política dominante
en las sociedades en vísperas del siglo XIX. La
violación de estas garantías básicas conllevan la
nulidad de las actuaciones que dependen de esos
actos procesales, más allá de la distinción que
la doctrina ha hecho sobre prohibición de prueba
y prohibición de valoración de la prueba."
25
"La única forma en que se puede ingresar al
ámbito privado es por orden de juez competente,
mediante auto fundado, ya que esa es la autoridad
a la que se refiere la Constitución Nacional. El
hecho de que anónimamente se haya hecho llegar la
correspondencia del correo electrónico de la
parte imputada, lleva sin duda a la invalidez de
dicho acto que es la base de toda posible
acusación."
26
  • Otro fallo CORREO ELECTRONICO. E-Mail.
    Naturaleza. Valor Probatorio. Protección
    Jurídica. PRUEBA ANTICIPADA Allanamiento de
    computadoras de la demandada para determinar la
    existencia de correos electrónicos por aquella
    remitidos o recibidos. Correspondencia entre
    comerciantes . Expte. 39749 - "G., D. E. c/C. SA
    s/ diligencia preliminar" - JUZGADO COMERCIAL N
    18 - Sec. N 36 - 23/10/2001
  • No se advierten motivos para que -aún sin
    existencia de legislación específica- el
    denominado "correo electrónico" escape a dicha
    protección, tanto más si así fue admitido
    jurisprudencialmente en el ámbito del derecho
    penal, donde la analogía está prohibida (CNCrim.
    y Correc., Sala VI, marzo 4-999, "Lanata, Jorge").

27
  • Dos fallos de tribunales españoles dejaron sin
    efecto despidos por uso indebido de e-mail
    laborales. En tanto que un pronunciamiento avaló
    la privacidad y el derecho a la intimidad, el
    otro consideró que la potestad del empleador del
    despido fue extrema ya que al empleado se lo pudo
    haber sancionado. Los fallos completos pueden
    obtenerse en http//www.diariojudicial.com/mail-n
    oticia.asp?ID14331
  • En Francia, se ha determinado que las cuentas de
    correo electrónico en el ámbito laboral están
    amparadas por el secreto de la correspondencia
    epistolar.
  • En el caso Tareg Al Baho, Ministere Public /
    Francoise V, Merc F et Hans H el Tribunal
    Correccional de Paris condenó a los demandados
    por violación del secreto de la correspondencia.
    Los demandados eran directivos de la Escuela
    Superior de Física y Química Industrial de París,
    que interceptaron el correo electrónico del
    demandante, porque sospechaban que el mismo
    utilizaba dicho sistema con fines personales.

28
El Tribunal de Trabajo de Bruselas en mayo del
2002, basándose en el Art. 8 del Convenio Europeo
de Derechos Humanos, resolvió que el envío de
correo electrónico personal desde la empresa
pertenece a la vida privada del trabajador,
considerando que el análisis del numero de
mensaje, su tamaño y su carácter privado, eran
datos suficientes para proceder a su sanción, sin
necesidad de intervenir el mismo tomando
conocimiento de su contenido. El empleador lo
había despedido por falta grave, previo acceso a
su correo electrónico. Este último fallo indica a
las claras no es necesario mirar contenidos
para controlar el correo electrónico, sino que
pueden utilizarse otras pautas y ejercer un
control total sobre los recursos de la empresa.
29
El proyecto en Càmara de Diputados pretende
incorporar como artículo 86 bis a la LCT la
facultad de los empleadores de fiscalizar y
auditar las casillas de correos electrónicos de
sus empleados. La iniciativa faculta al empleador
para acceder y controlar toda la información que
circule por el correo electrónico laboral.
Además, otorga la posibilidad para que las
empresas prohíban el uso de esa herramienta
laboral para fines personales. También estipula
que "la titularidad del correo electrónico
corresponde al empleador independientemente del
nombre y clave de acceso que sean necesarios para
su uso. Sin embargo, la iniciativa establece que
el empleador no podrá prohibir el uso de las
direcciones de correo electrónico que pudiera
tener el trabajador que sean de carácter personal
o privado, aunque los mismos sean abiertos desde
el lugar de trabajo.
30
Pablo Palazzi, consideró que, desde el punto de
vista penal, las empresas están cubiertas más
allá de que la iniciativa se termine sancionando
o no ya que, destacó, la Ley de Delitos
Informáticos penaliza sólo el acceso indebido.
Acceso indebido???
31
"Violación de Secretos y de la
Privacidad" ARTICULO 4º Sustitúyese el artículo
153 del Código Penal, por el siguiente Artículo
153 Será reprimido con prisión de quince (15)
días a seis (6) meses el que abriere o accediere
indebidamente a una comunicación electrónica, una
carta, un pliego cerrado, un despacho
telegráfico, telefónico o de otra naturaleza, que
no le esté dirigido o se apoderare indebidamente
de una comunicación electrónica, una carta, un
pliego, un despacho u otro papel privado, aunque
no esté cerrado o indebidamente suprimiere o
desviare de su destino una correspondencia o una
comunicación electrónica que no le esté
dirigida. En la misma pena incurrirá el que
indebidamente interceptare o captare
comunicaciones electrónicas o telecomunicaciones
provenientes de cualquier sistema de carácter
privado o de acceso restringido. La pena será de
prisión de un (1) mes a un (1) año, si el autor
además comunicare a otro o publicare el
contenido de la carta, escrito, despacho o
comunicación electrónica. Si el hecho lo
cometiere un funcionario público que abusare de
sus funciones, sufrirá además, inhabilitación
especial por el doble del tiempo de la condena.
32
  • NORMAS INTERNAS
  • Debe contener como mínimo lo siguiente
  • -Información sobre la importancia de utilizar una
    herramienta provista por la empresa,
  • el significado del nombre de la empresa en el
    correo electrónico,
  • la responsabilidad que se asume en el uso de esa
    herramienta,
  • Que el mail sea utilizado dentro y para el
    ámbito laboral.
  • Que la navegaciòn por internet es solo para fines
    laborales
  • La explicación anterior debe abarcar los
    aspectos legales de la responsabilidad
  • civil y penal ante la comisión de ilícitos,

33
  • NORMAS INTERNAS
  • el alcance que le compete al empleado y al
    empleador.
  • Debe explicitar lo permitido y lo prohibido,
    conteniendo ejemplos claros.
  • Debe explicitar la funcionalidad del sistema de
    correo electrónico, y de la
  • navegaciòn por internet con identificación de
    cargos y nombre de los administradores
  • y/o responsbles.
  • Debe informar si hay control de llamadas
    telefònicas y su forma de registro.
  • -Debe asegurar el respeto a la privacidad, pero
    que el personal tenga conocimiento
  • que se recurrirá a la justicia de ser necesario,
    y se podrá obtener la orden respectiva.
  • -Debe guardarse información que permita la
    identificación del autor de un ilícito,
  • adecuándose a la legislación vigente en su país,
    respecto de la forma y los tiempos.
  • -La norma debe ser comunicada a la totalidad del
    personal, en forma fehaciente.

34
II congreso mercosur de derecho informatico
  • Muchas gracias !!!!
  • Dr. Alberto Soto
  • Director IIISI
  • asoto_at_ibero-americano.org
  • www.ibero-americano.org
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "II congreso mercosur de derecho informatico" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!