Capítulo 2

LEGISLACIÓN
RELEVANTE A LA
TECNOLOGÍA DE
LA INFORMACIÓN
 Objetivos
1. Discutir los delitos de TI y explicar las tres categorías
principales de delitos que involucran computadoras. Definir
ciberataques, e ilustrar los recientes ciberataques realizados
contra empresas estadounidenses
2. Resumir la Ley Sarbanes-Oxley del 2002 de la legislación
federal sobre integridad financiera
3. Describir y discutir la legislación federal de seguridad
financiera relevante para los auditores de TI
4. Describir y discutir la legislación relacionada con la
privacidad relevante para los auditores de TI
5. Discutir leyes estatales relevantes para los auditores de TI
6. Discutir leyes internacionales de privacidad relevantes
para los auditores de TI
 Entorno legal

Desde principios de la década de

1970:
 Leyes aprobadas en los Estados
Unidos para tratar los delitos de
TI relacionados con:
Fraude y Protección y
Privacidad
abuso seguridad de
de los datos
informático datos
 Delitos de TI
Tres (3) categorías de delitos de TI:
 La computadora es el objetivo
 Robo de información almacenada en una computadora;
acceso no autorizado o modificación de registros
 Computadora utilizada para cometer delitos
 Uso fraudulento de tarjetas ATM, tarjetas de crédito,
telecomunicaciones y fraude financiero por transacciones
informáticas
 Incidente de la computadora; computadora no es
necesaria para cometer el crimen; hace que el crimen
sea difícil de identificar/rastrear
 Ejemplo más popular: pornografía infantil
 Delitos de TI
 Informe sobre delitos en Internet de 20161:
 Denuncias de actividades delictivas recibidas por el
FBI: 298,728
 Pérdidas reportadas superiores a 1,300 millones de
dólares
 Informe sobre delitos en Internet 20152:
 288,012 denuncias de actividades delictivas recibidas por el
FBI
 Pérdidastotales de aproximadamente $1.2 mil millones
 Prueba documental 2.1 - delitos de Internet
denunciados con frecuencia
1 - https://pdf.ic3.gov/2016_IC3Report.pdf
2 - https://pdf.ic3.gov/2015_IC3Report.pdf
Delitos de TI: 2014 - 2016
Entonces, ¿cómo
llamamos a un crimen
notoriamente
informático que las
organizaciones
comúnmente tratan, y
que puede involucrar los
tres tipos de delitos de
TI que se acaban de
explicar?
Ciberataques

 Intentos de hackers
de dañar o destruir
una red o sistema
informático
 ¡Han aumentado
significativamente
en los últimos años!
 Ciberataques
 Dependiendo de su contexto, etiquetado como:
 Cibercampañas

 Relacionadas con las ciberoperaciones; implican la

planificación y coordinación de ciberataques
 Ciberterrorismo

 Uso de computadoras por motivos políticos para causar

interrupciones, miedo generalizado
 Ciberguerra

 Ataques políticamente motivados contra los sistemas de

información para desactivar sitios web oficiales, redes,
servicios esenciales
Ejemplos de ciberataques – Prueba
documental 2.2
 Para combatir los delitos de TI,
creamos/aprobamos/promulgamos???
 Leyes federales de seguridad para
combatir los delitos de TI
 Ley Sarbanes-Oxley de 2002
 Ley de fraude y abuso informático, 1984
 Ley de seguridad informática de 1987
 Ley de seguridad nacional del 2002 con la Ley de
mejora de la seguridad cibernética
 Normas de Seguridad de Datos de la Industria de
Tarjetas de Pago del 2004
 Ley federal de gestión de la seguridad de la
información del 2002
 Leyes de firma electrónica – Ley Uniforme de
Transacciones Electrónicas de 1999 y Ley de Firmas
Electrónicas en Comercio Global y Nacional de 2000
 Ley Sarbanes-Oxley del 2002
 La legislación poderosa más reciente
 Resultado de escándalos financieros (Enron,
WorldCom, etc.)
 Creó la Junta de Supervisión de Contabilidad de
Empresas Públicas (PCAOB)
 “Guardián autorizado sobre la profesión contable"
 Requiere que los directores ejecutivos y directores
financieros acrediten la exactitud de los estados
financieros de su empresa
 Ley Sarbanes-Oxley del 2002
 Requiere que los auditores expresen una opinión
separada sobre la eficacia de los sistemas de control
interno de la compañía
 Requiere rotación del auditor (no empresa de
auditoría)
 Socio de auditoría o socio de revisión concurrente
 Firma contable no puede tener responsabilidades
conflictivas (por ejemplo, auditor externo contratado
para funciones de auditoría interna, etc.)
 Las sanciones incluyen multas/encarcelamiento
Ley de fraude y abuso informático
de 1984

 Protege contra:
 Intrusión (entrada no autorizada)
 Excediendo el acceso autorizado

 Intrusión destructiva intencional e imprudente

 Intercambio de información sobre cómo

obtener acceso no autorizado
 Las sanciones incluyen multas y/o
encarcelamiento
 Ley de seguridad informática
de 1987
 Protege la información confidencial en
sistemas gubernamentales federales
 Estableció un programa de seguridad
informática del gobierno federal llamado
Instituto Nacional de Estándares y
Tecnología (NIST)
 NIST ayuda a desarrollar estándares, guías y
capacitación en seguridad de sistemas
informáticos en todo el gobierno
 Ley de seguridad nacional del
2002
 Previene ataques terroristas en los EE.UU. y
reduce la vulnerabilidad de los EE.UU. al
terrorismo
 Incluye disposiciones para Ley de mejora de
la seguridad cibernética que:
 Demanda cadenas perpetuas para hackers que
temerariamente ponen en peligro vidas
 Permite la vigilancia de la red para recopilar datos
personales y privados (por ejemplo, números
teléfonos, direcciones IP, direcciones URL’s,
correos electrónicos, etc.) sin una orden judicial!
 Ley de seguridad nacional del
2002
En virtud de la ley:
 Proveedores de servicios de Internet (ISP’s)
son requeridos para entregar los registros
de los usuarios a las autoridades
encargadas de hacer cumplir la ley,
anulando la legislación actual que prohíbe
este tipo de comportamiento
 Normas de seguridad de datos de la
industria de tarjetas de pago del 2004

 Requisitos para las entidades que

almacenan, procesan o transmiten datos
del titular de la tarjeta para proteger
dichos datos con el fin de reducir el
fraude con tarjeta de crédito
 El PCI DSS es mantenido, administrado y
promovido por el Consejo de
Estándares de Seguridad PCI en
todo el mundo
 Normas de seguridad de datos de la
industria de tarjetas de pago del 2004

 Consejo fundado en 2006 por compañías

de tarjetas de crédito:
 American Express, Discover, JCB
International, MasterCard y Visa, Inc.
 Estas empresas comparten por igual la
gobernanza, la ejecución y el cumplimiento
de la labor del Consejo
 Ley federal de gestión de la
seguridad de la información de 2002
 Requisito para agencias federales
 Para desarrollar, documentar y poner en
marcha programas de seguridad de la
información
 Para proteger los sistemas y aplicaciones
que apoyan las operaciones y activos de las
agencias
 Incluyendo sistemas y aplicaciones
proporcionados o administrados por otra
agencia, contratista u otra fuente
 Leyes de firma electrónica

 Ley Uniforme de Transacciones

Electrónicas de 1999 (UETA)
 Complementa las leyes estatales relativas a
retención de registros en papel y la validez
de las firmas electrónicas
 Simplemente hace que las firmas
electrónicas sean válidas y de conformidad
con los requisitos legales cuando las partes
dispuestas a realizar una transacción han
acordado proceder electrónicamente
 Leyes de firma electrónica
 Ley de Firmas Electrónicas en Comercio Global
y Nacional del 2000 (ESIGN)
 Ley federal que reconoce las firmas y registros
electrónicos otorgados a todas las partes contratantes
la opción de usar documentos electrónicos y
firmarlos electrónicamente
 Los documentos con firmas y registros electrónicos
son igualmente buenos que sus equivalentes en papel
estándar y, por lo tanto, están sujetos al mismo
examen legal de autenticidad que se aplica a los
documentos tradicionales en papel y a las firmas con
tinta húmeda
 Leyes federal de privacidad para
combatir los delitos de TI
 Ley de privacidad de 1974
 Ley de privacidad de las comunicaciones electrónicas
de 1986
 Ley de decencia en las comunicaciones, 1996
 Ley de protección de la privacidad infantil en línea,
1998
 Ley de Portabilidad y Responsabilidad del Seguro
Médico, 1996
 Ley de TI Sanitaria para la Salud Económica y Clínica,
2009
 Ley Gram-Leach-Bliley, 1999
 Ley PATRIOTA de los Estados Unidos, 2001
 Ley de privacidad de 1974
 Proporciona protección a las personas
contra la invasión de la privacidad
personal al:
 Permitir que las personas determinen qué y
cómo la información se recopila
 Asegurar a las personas que la información
recopilada está protegida y utilizada para un
propósito específico
 Asegurar que la información es actual y
precisa
Ley de privacidad de 1974 -
Ejemplo
 Ley de privacidad de
comunicaciones electrónicas 1986
 Prohíbe:
Intercepción y divulgación de
comunicaciones por cable, orales o
electrónicas
Fabricación o posesión de dispositivos
interceptores
 Ley de decencia en las
comunicaciones de 1996
 Prohíbe la puesta a disposición de
material indecente o evidentemente
ofensivo a los menores a través de redes
informáticas
 Multas de hasta $250,000 y 2 años de
prisión
 Los empleadores no son responsables de
las acciones de un empleado a menos que
esté dentro del alcance de su empleo
 Ley de protección de la privacidad
infantil en línea, 1998
 Se aplica a la recopilación en línea de
información personal de niños menores
de 13 años
 La ley define específicamente qué
información personal es para un niño
 Multas de hasta $16,000 por infracción1

1 - https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-
questions
 Ley de la HIPAA de 1996

 Protege la confidencialidad y la seguridad de la

información sanitaria
 Por ejemplo, los registros médicos de los pacientes, la
información de salud proporcionada a los planes de
salud, médicos, hospitales, proveedores de atención
médica
 Restringe a las aseguradoras a rechazar a los
trabajadores en función de las condiciones de
salud preexistentes
 Requiere medidas de seguridad y privacidad para
proteger la información personal
 Ley de TI Sanitaria para la Salud
Económica y Clínica, 2009
 Proporciona al Departamento de Salud y Servicios
Humanos de los EE. UU. la autoridad para establecer
programas para mejorar la calidad, la seguridad y la
eficiencia de la atención médica a través de "uso
significativo" y la promoción de las TI de la salud,
incluidos los registros médicos electrónicos y el
intercambio electrónico de información sanitaria privada
y segura
 Uso significativo –
 Estándares mínimos del gobierno de los EE.UU. para el uso de
registros médicos electrónicos, y para el intercambio de datos
clínicos del paciente entre proveedores de atención médica,
proveedores de atención médica y aseguradoras, y proveedores de
atención médica y pacientes.
 Ley Gram-Leach-Bliley de
1999
 Requiere a las instituciones
financieras para:
Evaluar, gestionar y controlar el
riesgo
Supervisar proveedores de servicios

Ajustar los programas de seguridad

en función del riesgo
 Ley PATRIOTA de los Estados
Unidos del 2001
 Disuade y castiga actos terroristas en
EE.UU. y en todo el mundo
 Mejora las herramientas de
investigación de las fuerzas del orden
 Leyes estatales comunes para
combatir los delitos de TI

 Leyes de notificación de
incumplimientos de seguridad
 Legislación sobre ciberseguridad
 Leyes estatales de privacidad en las
redes sociales
 Leyes de eliminación de datos
 Estatutos sobre delitos informáticos
Leyes internacionales comunes de
privacidad
 Ley de Protección de Información
Personal y Documentos Electrónicos del
2000 (Ley PIPED, o PIPEDA)—Canadá
 Ley de protección de datos personales en
posesión de particulares del 2010—
México
 Directiva de protección de datos de la
Unión Europea de 1995
 Ley de puerto seguro de 1998