Upload
dangdiep
View
215
Download
0
Embed Size (px)
Citation preview
Agenda
I. Ciberseguridad: ¿Solo leyes y tratados?
II. Ecosistema legal internacional
III. Ecosistema legal nacional
IV. Conclusiones
La Ley en la ciberseguridad
2© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
• Constitución Federal
• Constituciones de los Estados y
Estatuto Orgánico del D.F.
• Leyes Federales y estatales: Orgánicas o reglamentarias
• Normas generales de entidades de los poderes federales y
estatales
• Jurisprudencia y Criterios del PJ: Federal y de los Estados
Ámbito nacional
4© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
i) Reglamentos
ii) Decretos
iii) Acuerdos
iv) Órdenes
v) Planes
vi) Programas
vii) Reglas Generales
viii) Normas Oficiales
Mexicanas
ix) Normas Técnicas
x) Disposiciones
Generales
xi) Circulares
xii) Resoluciones
xiii) Manuales
xiv) Formatos Oficiales
xv) Lineamientos
xvi) Parámetros
xvii) Agendas
xviii) Estrategias
xix) Códigos de Ética
xx) Convenios entre
poderes y/o con
particulares
• Tratados celebrados por el
Presidente ratificados por el Senado
(Art. 133 Constitucional):
• Otros instrumentos
• Sentencias de Tribunales extranjeros (i.e. TCE)
Ámbito internacional
5© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
i) Acuerdos
ii) Convenios
iii) Convenciones
i) las Leyes Modelo
ii) las Declaraciones
iii) las Resoluciones
iv) las Directrices
v) los Manuales
vi) los Estándares
xvi) las Reglas
xviii) los Marcos
xix) Mejores Prácticas Internacionales
iv) Pactos o
v) Protocolos, y pueden ser
bilaterales o multilaterales
Recomendación UIT–T X.1205
“Ciberseguridad”
• Herramientas, políticas, conceptos de
seguridad, salvaguardas de seguridad,
directrices, métodos de gestión de
riesgos, acciones, formación, prácticas
idóneas, seguros y tecnologías
• Protegen activos de organización y
usuarios en ciberentorno
• Dispositivos informáticos conectados,
Usuarios, servicios/aplicaciones,
sistemas de comunicaciones,
comunicaciones multimedios
¿Qué es la ciberseguridad?
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 6
• Totalidad de la información transmitida y/o
almacenada en el ciberentorno
• Garantiza se alcancen y mantengan
propiedades de seguridad de activos y
usuarios contra riesgos de seguridad en
ciberentorno
• Las propiedades de seguridad:
disponibilidad; integridad, que puede
incluir la autenticidad y el no repudio;
confidencialidad
¿Qué es la ciberseguridad?
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 7
Actores internacionales de la ciberseguridad
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 8
Leyes, regulación
administrativa y
su ejecución
Vigilancia, alerta y
respuesta a incidentes
Privacidad,
protección de datos
y al consumidor
Estándares técnicos y
soluciones industriales
Combate al spam
Intercambio
de información
ITU
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 9
Leyes, regulación
administrativa y su ejecución
• APEC
• OEA
• ASEAN
• Interpol
• ONUCDPC
• Consejo de Europa
• Grupo de los 6 (G8)
• Unión Europea
• Ministerios de
Justicia Nacionales
ITUVigilancia, alerta y
respuesta a incidentes
• FIRST
• ENISA
• Grupo EGC
• IWWN
• CERT-CC
Intercambio de información
• OCDE
• Telecomunidad Asia-
Pacífico (APT)
• APEC
• ENISA
• Banco Mundial
• Unión Africana
• OEA
• Liga Árabe
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 10
Privacidad, protección de
datos y al consumidor
• Grupo discusión sobre
administración de la
Identidad ITU-T
• EPIC
• Privacy International
• OCDE
• Conf. Internacional de
Protección de Datos y Priv.
• IWGDPT
• Unión Europea
ITUEstándares técnicos y
soluciones industriales
• Cámara de Comercio
Internacional
• Grupo de Estudio 17 ITU-T
• ISO
• ETSI
• IETF
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 11
Combate al Spam
• Seoul-Melbourne MoU
• Plan de Acción de Londres (LAP)
• OCDE
• APECTEL, ECSG
• Antiphising Working Group (APWG)
• CNSA
• MAAWG
• CAUCE Regional y Nacional
• Stop Spam Alliance
ITU
Plataforma de cinco elementos
Agenda sobre ciberseguridad global
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 12
Secretario General de la UIT | GEANC
01/ MEDIDAS LEGALES
Las metas incluyen estrategias para diseñar
legislación modelo sobre ciberdelito que es
compatible y aplicable mundialmente
02/ MEDIDAS TÉCNICAS Y DE PROCEDIMIENTO
Las metas incluyen estrategias para diseñar un
marco mundial de protocolos de seguridad,
normas y planes de acreditación de programas
y equipos informáticos
Agenda sobre ciberseguridad global
Plataforma de cinco elementos
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 13
03/ ESTRUCTURAS INSTITUCIONALES
Los métodos incluyen estrategias mundiales –
tendentes- a establecer estructuras
institucionales y políticas sobre ciberdelito,
vigilancia, alerta y respuesta ante incidentes, y
un sistema de identidad digital genérica y
universal
04/ CREACIÓN DE CAPACIDADES
Las metas incluyen objetivos estratégicos para
facilitar la constitución de capacidades
humanas e institucional en las esferas 1, 2 y 3
Agenda sobre ciberseguridad global
Plataforma de cinco elementos
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 14
05/ COOPERACIÓN INSTITUCIONAL
Los métodos incluyen propuestas encaminadas
a establecer un marco de diálogo, cooperación
y coordinación internacionales
La Supercarretera de la Información
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 16
https://youtu.be/LaUsZQGwNXY
Ecosistema legal internacional
• Organización del Tratado del Atlántico Norte (OTAN)
• Comisión de las Naciones Unidas para el Derecho Mercantil
Internacional (CNUDMI o UNCITRAL)
• Unión Internacional de Telecomunicaciones / UIT
• Comisión Económica para América Latina y el Caribe de las
Naciones Unidas (CEPAL)
• Organización de Estados Americanos (OEA) /
Comité Interamericano contra el Terrorismo (CICTE)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 17
Ecosistema legal internacional
• Organización para la Cooperación y
el Desarrollo Económicos (OCDE)
• Foro de Cooperación Económica
Asia-Pacífico (APEC)
• Unión Europea / Consejo de Europa
• NETMundial
• Relatores de los Derechos Humanos
ONU y OEA
• Otros instrumentos internacionales
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 18
Algunos retos para la ciberseguridad
Estados de Desarrollo de Gobierno Electrónico
Principios
1. Gobierno al alcance de todos desde cualquier parte
2. No pedir al ciudadano información que ya está en registros del gobierno
3. Calidad de servicios homogénea en todas las agencias de gobierno
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 20
Fuente: Moreno, Hernán. El fin del Gobierno electrónico, CEPAL, 2007
B Burocracia
Burocracia e Informática
Burocracia e Informática
e Interoperabilidad
BI
BII
Algunos retos para la ciberseguridad
Tipología de Análisis y Estados Desarrollo
Desafío /
Estado evolución B BI BII
Semántico Formularios papelFormularios papel y
digitalesFormularios digitales
Organizacional Agencias autónomas en manejo de información
Agencias autónomas en
manejo de información
propia. Uso de información
de otras agencias.
Técnico
Máquinas de escribir,
calculadoras, archivo,
documentos papel,
certificaciones, sellos
Máquinas de escribir,
calculadoras, archivo,
documentos papel,
computadoras,
impresoras, archivos
digitales, certificaciones,
sellos
Computadoras, impresoras,
archivos digitales, firma y
pago electrónico
Gobernanza Marco legal, reglamento interno agencia
Marco legal, reglamento
interno agencia,
interoperabilidad,
estándares, coordinación con
otras agencias
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Fuente: Moreno, Hernán. El fin del Gobierno electrónico, CEPAL, 200721
Ecosistema legal nacional
• Constitución Federal
• Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental / Reglamento / Lineamientos
• Ley Federal de Protección de Datos en Posesión de los Particulares /
Reglamento / Recomendaciones/ Lineamientos / Parámetros / Criterios
• Ley Federal de Telecomunicaciones y Radiodifusión
• Ley Federal de Archivos /Reglamentos/ Lineamientos para la
clasificación
• Código de Comercio / Reglamento en materia de Prestación de
Servicios de Certificación; Normas Generales; NOM-151
• Código Fiscal de la Federación / Reglamento / Miscelánea Fiscal 2014
23© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Ecosistema legal nacional
• Ley de Instituciones de Crédito; Circular Única
de Bancos
• Ley de la Propiedad Industrial; Ley Federal del
Derecho de Autor
• Código Penal Federal; Código Federal de
Procedimientos Penales; Ley de Seguridad
Nacional, Acuerdos de PGR para preservar
evidencias 2011
• Ley Federal del Trabajo
• Ley Federal de Responsabilidades
Administrativas de los Servidores Públicos
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 24
Ecosistema legal nacional
• Ley Orgánica de la Administración Pública
Federal / Reglamentos Interiores/ Estatutos
Orgánicos; Ley Federal de la Policía Federal
• PND 2013- 2018; Programa Nacional de
Seguridad Pública 2014-2018; Programa para
la Seguridad Nacional 2014- 2018; Estrategia
Digital Nacional; Acuerdo (Mayo 8, 2014) y
MAAGTICSI.
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 25
Reglamento
LFPDPPP
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 26
1 Persona o
departamento de
datos personales
2 Avisos de
privacidad
3 Derechos de
acceso,
rectificación,
cancelación y
oposición
4Medidas de seguridad
administrativas,
técnicas y físicas para
proteger los datos
personales
5 Procedimiento para la
atención de
reclamaciones de
protección de derechos
A
Designación
persona o
departamento
datos personales
• Elemento del aviso
• Elaborar aviso
• Estrategia de
publicación
• Organización y
normatividad
• Modelo operativo
• Inventario datos
personales
• Cultura organizacional
• Formación
• Flujo de atención
• Responsabilidades
B
• Estructura
organizacional
• Formación
• Marco normativo
• Avisos en
aplicaciones
• Avisos en procesos
• Capacitación
atención ARCO
• Modelo de
atención
• Modelo de gestión
• Medidas de protección
datos personales
• Análisis GAP
• Plan director
• Gestión de incidentes
• Funciones y obligaciones
• Directrices, lineamientos,
principios, derechos,
deberes y organización
• Formación y
sensibilización
C
• Documentar
funciones
• Mejora continua
• Autoevaluación
• Avisos en nuevos
productos y
servicios
• Actualización de
avisos con cambios
normativos
• Código y modelo
de autorregulación
ARCO
• Código y modelo de
autorregulación datos
personales
• Manual de funciones y
obligaciones
• Implementación de
funciones
A – Acciones básicas
B – Implementación de organización, atención y plan
de implementación de medidas de seguridad
C – Modelo de autorregulación
1 Art 6, 14 y 30 de la Ley; Arts 47 y 48 del Reglamento2 Arts 16 y 17 de la ley; Arts 23 a 31 del Reglamento3 Capítulo IV de la Ley y Capítulo VI del Reglamento4 Art 19 de la Ley; Arts 3 Fraccs. V, VI y VII; 48 y Capítulo III del Reglamento5 Capítulo VII de la Ley; Capítulo VIII del Reglamento
Mejores prácticas
Recomendaciones en materia de
Seguridad de Datos personales del
IFAI (DOF: 30/10/2013)
Recomendación General consiste en
adoptar un Sistema de Gestión de
Seguridad de Datos Personales
(SGSDP) basado en el ciclo PHVA
(Planear-Hacer-Verificar-Actuar).
El SGSDP tiene como objetivo proveer
un marco de trabajo para el tratamiento
de datos personales, que permita
mantener vigente y mejorar el
cumplimiento de la legislación sobre
protección de datos personales y
fomentar las buenas prácticas.
Planear
Implementar /
Operar
Monitorear /
Revisar
Mejorar
SGSDP
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 28
Recomendaciones en materia de Seguridad de
Datos personales del IFAI (DOF: 30/10/2013)
12
3
546
789
Establecer el alcance y objetivos
Elaborar una política de
gestión de datos personalesEstablecer funciones y obligaciones
de quienes traten datos personalesElaborar un inventario
de datos personales
Realizar el análisis de riesgo
de los datos personalesIdentificar las medidas de
seguridad y análisis de brecha
Implementar las medidas de
seguridad aplicables a los
datos personales
Revisiones y Auditoría
Mejora continua y capacitación
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 29
Investigación de delitos informáticos
Procesos en la investigación
Procesamiento del
lugar de los hechos
IDENTIFICACIÓN
FIGURACIÓN Y
ASEGURAMIENTO
EMBALAJE Y
PRESERVACIÓN
Procesamiento de la
posible evidencia
PRESERVACIÓN
PROCESAMIENTO
Emisión de
resultados
ANÁLISIS
CONCLUSIONES
SOLICITUD DE
INTERVENCIÓN
INTEGRACIÓN DE
LA INVESTIGACIÓN
CADENA DE CUSTODIA
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 32
Delitos informáticos
Código Penal Federal
Espionaje Art 127 al 129
Códigos maliciosos, ingeniería social, intervención de comunicaciones
Rebelión Art 133 al 135
Páginas WEB, comunicaciones móviles
Terrorismo Art 133 al 135
Códigos maliciosos, páginas WEB, comunicaciones móviles
Sabotaje Art 140
Códigos maliciosos, ingeniería social, accesos no autorizados
Conspiración Art 141
Difusión a través de internet y dispositivos móviles
Delitos en materia de vías de comunicación Art 167 a 168
Códigos maliciosos, intervención de comunicaciones, decodificación de
comunicaciones© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 33
Delitos informáticos
Código Penal Federal
Violación de correspondencia Art 173, 176 177
Códigos maliciosos, intervención de comunicaciones, decodificación de
comunicaciones
Delitos contra la salud Art 193 y 194
Difusión a través de Internet y dispositivos móviles
Corrupción de las personas Art 200, 202, 202 bis
Difusión a través de Internet y dispositivos móviles
Trata de personas Art 205, 206 bis
Difusión a través de Internet y dispositivos móviles
Revelación de secretos Art 210, 211, 211 bis
Códigos maliciosos, ingeniería social, redes bot
Accesos no autorizados a sistemas de cómputo Art 211 bis 1 al 211 bis 7
Códigos maliciosos, ingeniería social, redes bot© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 34
Delitos informáticos
Código Penal Federal
Falsedad Art 234 al 246
Falsificación de documentos a través de software y hardware, phising,
distribución a través de internet y dispositivos móviles
Delitos contra la paz y seguridad de las personas (amenazas) Art 282 y 283
Correo electrónico, mensajería instantánea, mensajes escritos, telefonía móvil
Homicidio Art 302
Códigos maliciosos, redes informáticas, sistemas informáticos
Robo Art 367, 368Códigos maliciosos, ingeniería social, redes informáticas, sistemas informáticos
Fraude Art 286
Phising, pharming, ingeniería social, códigos maliciosos, redes bot
Extorsión Art 390
Correos electrónicos, mensajería instantánea, mensajes de texto
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 35
Delitos informáticos
Código Penal Federal
Operaciones con recursos de procedencia ilícita Art 400
Fraudes financieros, páginas WEB, dispositivos móviles
Delitos electorales Art 403, 405
Correos electrónicos, redes sociales, mensajería instantánea
Delitos en materia de derechos de autor Art 424
Códigos maliciosos, ingeniería social, redes bot
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 36
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal
de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.
Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 200,000 profesionales,
todos comprometidos a ser el modelo de excelencia.
Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,
bajo el nombre de “Deloitte”.
Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas
(en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus
finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrir
cualquier persona o entidad que consulte esta publicación.