Permanezca Legal

Permanezca Legal

Un hacker ético debe conocer las sanciones por un hackeo no autorizado en un sistema. Ninguna actividad de hacking ético relacionada al pen test de una red o auditoría de seguridad no debe comenzar hasta que en un documento legal firmado se otorgue permiso expreso al hacker ético para llevar a cabo las actividades de hacking en el sistema objetivo. Los hackers éticos necesitan ser juiciosos con sus habilidades de hacker y deben reconocer las consecuencias del mal uso de esas habilidades.

Ley del perfeccionamiento de la Cyber Seguridad y la ACT SPY

The Securely Protect Yourself Against Cyber Trespass Act of 2007 (SPY ACT) se ocupa del uso de software espía en los sistemas informáticos y, esencialmente, prohíbe lo siguiente:

  • Tomar el control remoto de un equipo cuando no haya sido autorizado para hacerlo
  • Utilizar una computadora para enviar información no solicitada a las personas (comúnmente conocido como envío de correo basura “spam”)
  • Redirigir un navegador web a otro sitio que no esté autorizado por el usuario
  • Mostrar anuncios que ocasionen que el usuario tenga que cerrarlos fuera del navegador web (ventanas emergentes o “pop-up’s”)
  • Recopilar información personal a través del registro de pulsaciones (keylogger)
  • Cambiar la página web predeterminada del navegador
  • Engañar al usuario para que haga clic en un enlace en una página web o duplicar una página web similar para engañar a un usuario

18 USC §1029 y 1030

El Código de EE.UU. clasifica y define las leyes de los Estados Unidos por títulos. El Título 18 detalla
“Los crímenes y procedimiento penal”. Artículo 1029, “Fraude y actividad relacionada en la conexión con puntos de acceso “, establece que si usted produce, vende o utiliza dispositivos de telecomunicaciones de acceso falsificados o con la intención de cometer algún fraude para obtener productos o servicios con un valor de más de $1,000, usted ha violado la ley. La Sección 1029 penaliza el uso indebido de contraseñas de computadoras y otros dispositivos de acceso, tales como tarjetas inteligentes.
La Sección 1030, “El fraude y la actividad relacionada con computadoras conectadas,” prohíbe el acceso a computadoras protegidas y causar daño sin permiso. Este estatuto tipifica la propagación de virus y gusanos y romper los sistemas informáticos por individuos no autorizados.

Las leyes estatales de EE.UU.

Además de las leyes federales, muchos estados tienen sus propias leyes relacionadas con el hacking y la auditoría de redes y sistemas informáticos. Al realizar pruebas de penetración, debe revisar las leyes estatales aplicables asegúrese que se encuentra del lado correcto de la ley. En muchos casos, un contrato firmado y pruebas de NDA serán suficientes para determinar la intención y la naturaleza de las pruebas.

El Instituto Nacional de Seguridad tiene un sitio web con una lista de todas las leyes estatales aplicables a los crímenes informáticos. En la URL http://nsi.org/Library/Compsec/computerlaw/statelaws.html

Ley Federal de Gestores de Integridad Financiera

La Ley de Integridad Financiera para Los administradores federales de 1982 (FMFIA) es básicamente un acta de responsabilidad para garantizar que esas agencias de gestión financiera están trabajando con responsabilidad y que aseguran la protección de sus activos. Esta descripción puede ser interpretada de forma que abarque todas las garantías medibles para proteger los activos de intentos de hacking. El Acta asegura que esencialmente

  • Fondos, bienes y otros activos están protegidos contra el derroche, pérdida, uso no autorizado o apropiación indebida.
  • Los costos están en conformidad con las leyes aplicables.

 

Ley de Libertad de Información (FOIA)

La Ley de Libertad de Información (5 USC 552), o la FoIA, se refiere a muchas piezas de información y de documentos acerca de las organizaciones públicas. La mayoría de los registros y documentos del gobierno pueden obtenerse a través de la FOIA. Cualquier información obtenida mediante esta Ley es una forma limpia de recopilar información acerca de un objetivo potencial.

Ley Federal de Seguridad y de la Gestión de la Información (FISMA)

Ley Federal de Seguridad y de la Gestión de la Información (FISMA) básicamente da a los hackers éticos el poder para hacer los tipos de pruebas que realizan y lo convierte en un requisito obligatorio para las agencias gubernamentales. Un programa de seguridad de la información debe incluir lo siguiente:

  • Evaluaciones periódicas de riesgo y de magnitud los daños que podrían resultar del acceso no autorizado, uso, divulgación, alteración, modificación o destrucción de la información y de los sistemas de información que apoyan las operaciones y activos de la agencia
  • Las políticas y procedimientos en que se basan las evaluaciones de riesgo, reducción del costo, seguridad de los riesgos de la seguridad de la información a un nivel aceptable, y asegurarse de que la seguridad informática incorporada a lo largo del ciclo de vida de cada sistema de información de la agencia.
  • Planes subordinadas para proporcionar una adecuada seguridad de la información para redes, instalaciones, sistemas de información, o grupos de sistemas de información, según proceda
  • Formación de conciencia de seguridad para informar al personal (incluidos los contratistas y otros usuarios de riesgos los sistemas de seguridad de la información asociados con sus actividades y sus responsabilidades en cumplimiento con las políticas y procedimientos de los organismos diseñados para reducir estos riesgos
  • Verificación y evaluación periódica de la eficacia de las políticas de seguridad de la información, procedimientos y prácticas (incluida la gestión, operativos y controles técnicos de todos los sistemas de información de la agencia identificada en su inventario) con una frecuencia dependiendo del riesgo, pero no menos una vez al año
  • Un proceso para planificar, implementar , evaluar y documentar medidas correctivas para corregir cualquier deficiencia en las políticas de seguridad de la información, procedimientos y prácticas de la agencia
  • Procedimientos para la detectar, reportar y responder a incidentes de seguridad  (incluyendo la mitigación de  los riesgos asociados a este tipo de incidentes antes de que se presente un daño sustancial y notificar y consultar con el centro federal de respuesta de incidentes de seguridad, y cuando sea conveniente, a las fuerzas del orden, a las oficinas relevantes del Inspector General y cualquier otra agencia u oficina, y cualquier otra agencia u oficina, de conformidad con la ley o según las indicaciones del Presidente.
  • Planes y procedimientos para garantizar la continuidad de las operaciones para los sistemas de información que apoyan las operaciones y activos de la agencia,

Ley de Privacidad de 1974

La Ley de Privacidad de 1974 (5 USC 552a) garantiza la no divulgación de información personal y asegura que las agencias gubernamentales no divulguen información sin el consentimiento  previo y por escrito de la persona cuya información está en cuestión.

Ley Patriota de EE.UU.

Esta ley, con el nombre oficial de Unión y Fortalecimiento de  para Proporcionar  las Herramientas Necesarias para Interceptar y Obstruir el Terrorismo (Ley Patriota de los EE.UU.) del 2001, da al gobierno la autoridad para interceptar las comunicaciones de voz en casos de hackig informático y otros tipos de investigaciones. La Ley Patriota se promulgó principalmente para combatir la actividad terrorista, pero también puede ser interpretado como un mecanismo de intervención telefónica para descubrir y evitar intentos de hacking.

Ley para la Eliminación de Trámites Gobierno (GPEA)

La Ley para la Eliminación de Trámites Gobierno (GPEA) de 1998 requiere que las agencias federales ofrezcan a la gente la opción de usar las comunicaciones electrónicas en la interacción con una agencia de gobierno. GPEA también fomenta el uso de la firma electrónica. Cuando información gubernamental valiosa se almacena en formato electrónico, los objetivos y las apuestas de los hackers aumentan.

Leyes Cibernéticas en otros países

Otros países tienen cada uno sus propias leyes aplicables en materia de protección de la información y ataques de hackers. Cuando usted está realizando pruebas de penetración para organizaciones internacionales, es imprescindible conocer las leyes que gobiernan la nación para asegurarse de que las pruebas son legales en el país. Con el uso de Internet y ataques remotos regionales e internacionales, las fronteras se pueden cruzar con gran rapidez. Cuando se está realizando un ataque remoto externo, los datos pueden ser almacenados en los servidores de otro país y las leyes de ese país pueden aplicar. Es mejor prevenir que lamentar, así que realice la investigación previa antes de participar en una prueba de penetración para una entidad internacional. En algunos países, las leyes pueden ser más indulgentes que en los Estados Unidos, y este hecho puede ser una ventaja a medida que realizan pruebas de recopilación de información (gathering)

¿Deseas participar en nuestro grupo de estudio para aplicar la certificación CEH? 

Aplicación de medidas para la implantación de la L.O.P.D. en las empresas

Obtendrás información ampliada a la que has leído en este artículo, y material adicional, visita https://ehack.mx/portfolio-view/material-de-estudio-ceh-online/ para más información o ecríbenos a ceh@ehack.mx

 

Ethical hack
Ethical hack


Fuentes:

Tipos De Test de Penetración: Imagen cortesía en FreeDigitalPhotos.net by stockimages

Licencia de Creative Commons
1.7 - Permanezca Legal by Roberto C. González basado en una obra de CEH is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.

 

Comentarios de Facebook

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *