Si estas leyendo este blog, entonces te interesa la ciberseguridad. Siempre les doy las gracias al cine, porque gracias a el, es que muchas personas piensan que es fácil estar y trabajar en este mundo. Desafortunadamente, existen algunas implicaciones legales que podrían hacer que llevemos la pijama de rayas por un tiempo, cabe destacar que no estóy hablando de los casos claros y aparentes, si eres un delincuente, obviamente, debes tener tus consecuencias y tu cita con la justicia. En este artículo me refiero a personas comunes, que están dentro de nuestras organizaciones o son contratadas por las mismas, y que creyendo que están haciendo su trabajo, terminan teniendo una responsabilidad legal con consecuencias nefastas para si mismos.
¡Ojo! estoy consciente que las regulaciones son diferentes en cada país, pero ésta es una aproximación general, basadas en lo que hemos visto en las noticias en lo últimos años.
Entre las maneras en que la ciberseguridad te puede llevar a la cárcel, se me ocurren las siguientes:
-
1. Realizar pruebas de penetración en infraestructuras tecnológicas, sin la autorización expresa
- Cuando somos contratados para hacer pruebas de penetración, un error que comenten muchos novatos, es que no están atentos a realizar un documento donde la organización nos da, explicitamente, el permiso para realizar estas pruebas dentro de los servidores, computadoras y equipos de esa organización. Es decir, no es solo tener aprobado el presupuesto o incluso haber recibido un adelanto del pago, no!, se trata de que debemos estar muy pendientes de tener esa autorización, porque sin ese documento, podemos ser acusados de ingreso no autorizado a un sistema. Hacer la autorizacion es una forma fácil de evitar que no nos paguen o de que vayamos a estar encerrados un buen rato. En resumen, pide tu autorización escrita.
-
2. Realizar las mismas pruebas, pero sobrepasandose a los acuerdos establecidos
- Aquí no aplica que «es mejor pedir perdón que pedir permiso». Partamos del principio en el que ya te habías cuidado de lo descrito en el apartado anterior, y que tenías tu documento (firmado, sellado, con huella dactilar, con sangre y demás) donde te autorizaban a realizar la prueba de penetración, pero te dijeron, no te metas en este servidor o no analices tal IP o tal vez no ejecutes ataques de Denegación de Servicios (DoS), sin embargo, viste que era muy sencillo ingresar a ese sistema, te pareció que esa inclusion en tu reporte sería un excelente valor agregado o simplemente «la voz en tu cabeza te decía, hazlo» (sí, la mayoria tenemos esa voz y no estamos locos, bueno, no tanto). Pues no mi amigo, bienvenido al mundo de la violación de contrato, con ese simple hecho te has ganado todos los numeros del sorteo para una demanda por parte de tu cliente. Entonces, no hagas más de lo que te autorizaron hacer.
3. Incumplir los acuerdos de confidencialidad que firmamos al ingresar a la organización.
Cuando solo queremos trabajar y no lo firmamos ningun acuerdo no podemos cumplirlo, entonces, mejor exigimos todos estos documentos y los firmamos, pero no sin leerlos y mucho menos sin quedarnos con una copia de los mismos. ¿La razón? Simplemente porque cuando suceda una fuga / perdida / borrado / desaparición de datos e información, y por casualidad se llega a determinar de que incumpliste alguno de los acuerdos que firmaste 6 años atras cuando ingresaste, ese pequeño pero importante detalle te puede acarrerar responsabilidades legales. Entonces, cuando ingreses a una organización, revisa bien los acuerdos y documentos que firmas y ten una copia de los mismos.
4. La responsabilidad generada por incumplir regulaciones estadales
5. Acción u omisión de actividades durante un incidente
6. Ocultar ser victima de un ataque informático
Estas fueron las posibles maneras que se me ocurrieron que pudieran causarte implicaciones legales a ti y/o a tu organización; seguro hay más, por favor, hazmelas saber; ten estos aspectos en cuenta y evita caer en problemas por desconocimiento, acción u omisión.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.