CAPÍTULO 5: Cumplimiento, cuestiones éticas y profesionales en materia de ciberseguridad
Introducción
Las tecnologías no son «neutrales» desde el punto de vista ético, ya que reflejan los valores que les «imprimimos» con nuestras elecciones de diseño, así como los valores que guían nuestra distribución y uso de las mismas. Las tecnologías revelan y dan forma a lo que los seres humanos valoran, a lo que creemos que es «bueno» en la vida y que vale la pena buscar. Las prácticas de ciberseguridad tienen como objetivo asegurar -es decir, mantener a salvo- los datos, los sistemas informáticos y las redes (software y hardware). Aunque esos datos, sistemas y redes pueden tener algún valor económico o de otro tipo en sí mismos, lo que las prácticas de ciberseguridad protegen principalmente es la integridad, la funcionalidad y la fiabilidad de las instituciones/prácticas humanas que dependen de esos datos, sistemas y redes.
No existe un código de ética de la ciberseguridad único y detallado que pueda adaptarse a todos los contextos y profesionales; por lo tanto, se debe alentar a las organizaciones y profesiones a desarrollar políticas internas explícitas, procedimientos, directrices y mejores prácticas de ética de la ciberseguridad que se adapten específicamente a sus propias actividades y desafíos.
Un reglamento de ciberseguridad comprende directivas que salvaguardan las tecnologías de la información y los sistemas informáticos para obligar a las empresas y organizaciones a proteger sus sistemas e información de ciberataques como virus, gusanos, troyanos, phishing, ataques de denegación de servicio (DOS), accesos no autorizados (robo de propiedad intelectual o información confidencial) y ataques a sistemas de control. Existen numerosas medidas para prevenir los ciberataques.
Ha habido intentos de mejorar la ciberseguridad a través de la regulación y los esfuerzos de colaboración entre el gobierno y el sector privado para fomentar las mejoras voluntarias de la ciberseguridad. Los reguladores de la industria, incluidos los reguladores bancarios, han tomado nota del riesgo de la ciberseguridad y han comenzado o planean comenzar a incluir la ciberseguridad como un aspecto de los exámenes regulatorios.
Al final de este módulo, aprenderá:
- Visión general de las normativas de ciberseguridad y los cumplimientos necesarios a nivel mundial y en la UE.
- Visión general de las cuestiones éticas en la ciberseguridad
- Algunas buenas prácticas sugeridas
Visión general de la normativa de ciberseguridad y de los cumplimientos necesarios a nivel mundial y en la UE
En general, el cumplimiento se define como el seguimiento de las normas y el cumplimiento de los requisitos. En ciberseguridad, el cumplimiento significa crear un programa que establezca controles basados en el riesgo para proteger la integridad, confidencialidad y accesibilidad de la información almacenada, procesada o transferida. Sin embargo, el cumplimiento de la ciberseguridad no se basa en una norma o reglamento independiente. Dependiendo de la industria, las diferentes normas pueden superponerse, lo que puede crear confusión y exceso de trabajo para las organizaciones que utilizan un enfoque basado en listas de verificación. Por ejemplo, el sector sanitario debe cumplir los requisitos de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), pero si un proveedor también acepta pagos a través de un dispositivo de punto de servicio (POS), entonces también debe cumplir los requisitos de la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). Y no es raro que las empresas tengan que cumplir varias normativas a la vez, lo que hace aún más difícil el cumplimiento. Entre ellas se encuentran, entre otras, las siguientes:
- NIST (Instituto Nacional de Normas y Tecnología)
- CIS Controls (Centro de Controles de Seguridad de Internet)
- ISO (Organización Internacional de Normalización)
- HIPAA(Ley de Portabilidad y Responsabilidad del Seguro Médico) / HITECH
Normativa general
- PCI-DSS (norma de seguridad de datos del sector de las tarjetas de pago)
- GDPR(Reglamento General de Protección de Datos)
- CCPA(Ley de Privacidad del Consumidor de California)
- AICPA (Instituto Americano de Contables Públicos)
- SOX (Ley Sarbanes-Oxley)
- COBIT(Objetivos de control para las tecnologías de la información y relacionadas)
- GLBA(Ley Gramm-Leach-Bliley)
- FISMA (Ley Federal de Modernización de la Seguridad de la Información de 2014)
- FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones)
- FERPA(Ley de Derechos Educativos y Privacidad de la Familia de 1974)
- ITAR (Reglamento sobre el tráfico internacional de armas)
- COPPA (Norma de protección de la privacidad de los niños en línea)
- NERC CIP Standards (Normas de protección de infraestructuras críticas NERC)
Por supuesto, es muy importante cumplir los requisitos normativos. Las empresas tienen que cumplir las leyes y reglamentos estatales, federales e internacionales que son relevantes para sus operaciones. El incumplimiento de las mismas le expondrá a posibles demandas y responsabilidades financieras, por no hablar de la ruptura de la confianza con clientes, socios y otros. Sin embargo, es costoso, complejo y requiere la experiencia adecuada sólo para estar al tanto de las normas existentes, por no hablar de adoptar otras nuevas. El resultado es que las empresas a menudo se centran en cumplir los requisitos mínimos en lugar de aplicar políticas de ciberseguridad adecuadas, lo que en el entorno actual, en el que los atacantes van siempre un paso por delante de nuestras defensas, no es nada bueno.
Para observar las mejores prácticas y cumplir con los requisitos técnicos y de otro tipo, las organizaciones suelen utilizar marcos para el cumplimiento de la ciberseguridad y el cumplimiento normativo. Estos marcos proporcionan las mejores prácticas y directrices para ayudar a mejorar la seguridad, optimizar los procesos de negocio, cumplir con los requisitos reglamentarios y realizar otras tareas necesarias para lograr objetivos de negocio específicos, como entrar en un nicho de mercado o vender a los organismos gubernamentales.
Los regímenes de cumplimiento normativo suelen establecer requisitos muy específicos y a menudo estrictos que las organizaciones y los sectores industriales deben seguir, para cumplir con las normas establecidas y con la legislación vigente. Estos requisitos pueden ser numerosos y complejos, por lo que los marcos diseñados para ayudar a satisfacer las demandas de cumplimiento son una adición bienvenida a la base de recursos y conocimientos de la mayoría de las empresas. Algunos ejemplos típicos son los siguientes:
| La Ley | Qué regula | Empresa afectada | |||
| NIST
|
Este marco se creó para proporcionar una guía personalizable sobre cómo gestionar y reducir los riesgos relacionados con la ciberseguridad combinando las normas, directrices y mejores prácticas existentes. También ayuda a fomentar la comunicación entre las partes interesadas internas y externas mediante la creación de un lenguaje común de riesgos entre las diferentes industrias. | Se trata de un marco voluntario que puede aplicar cualquier organización que desee reducir su riesgo global. | |||
| Controles CIS | Proteja los activos y datos de su organización de los vectores de ciberataque conocidos. | Empresas que buscan reforzar la seguridad en el internet de las cosas (IoT). | |||
| ISO 27000 Familia | Esta familia de normas proporciona requisitos de seguridad en torno al mantenimiento de los sistemas de gestión de la seguridad de la información (SGSI) mediante la aplicación de controles de seguridad. | Esta normativa es amplia y puede adaptarse a una gran variedad de empresas. Todas las empresas pueden utilizar esta familia de reglamentos para evaluar sus prácticas de ciberseguridad. | |||
| ISO 31000 Familia | Este conjunto de normas regula los principios de aplicación y gestión de riesgos. | Esta normativa es amplia y puede adaptarse a una gran variedad de empresas. Todas las empresas pueden utilizar esta familia de reglamentos para evaluar sus prácticas de ciberseguridad. | |||
| HIPAA/ HITECH | Esta ley consta de dos partes. El Título I protege la asistencia sanitaria de las personas que cambian de trabajo o son despedidas. El Título II pretende simplificar el proceso de atención sanitaria mediante el paso a los datos electrónicos. También protege la privacidad de los pacientes individuales. Esto se amplió a través de la norma HITECH / Omnibus. | Cualquier organización que maneje datos sanitarios. Esto incluye, pero no se limita a, los consultorios médicos, los hospitales, las compañías de seguros, los socios comerciales y los empleadores. | |||
| PCI-DSS
|
Un conjunto de 12 normas diseñadas para reducir el fraude y proteger la información de las tarjetas de crédito de los clientes. | Empresas que manejan información de tarjetas de crédito. | |||
| GDPR
|
Regula la protección de datos y la privacidad de los ciudadanos de la Unión Europea. | Cualquier empresa que haga negocios en la Unión Europea o que trate los datos de un ciudadano de la Unión Europea. | |||
| CCPA | Derechos de privacidad y protección del consumidor para los residentes de California. | Cualquier empresa, incluida cualquier entidad con ánimo de lucro, que haga negocios en California y recoja datos personales de los consumidores. | |||
| AICPA
SOC2 |
La seguridad, la disponibilidad, la integridad del procesamiento y la privacidad de los sistemas que procesan los datos de los usuarios y la confidencialidad de estos sistemas. | Organizaciones de servicios que procesan los datos de los usuarios. | |||
| SOX
|
Esta ley obliga a las empresas a mantener sus registros financieros durante un máximo de siete años. Se implantó para evitar otro escándalo de Enron. | Los consejos de administración de las empresas públicas estadounidenses, la dirección y las empresas de contabilidad pública. | |||
| La Ley | Qué regula | Empresa afectada | |||
| COBIT
|
Este marco se desarrolló para ayudar a las organizaciones a gestionar el gobierno de la información y la tecnología vinculando los objetivos de negocio y de TI. | Organizaciones responsables de los procesos empresariales relacionados con la tecnología y el control de calidad de la información. Esto incluye, pero no se limita a, áreas como la auditoría y el aseguramiento, el cumplimiento, las operaciones de TI, la gobernanza y la seguridad y la gestión de riesgos. | |||
| GLBA
|
Esta ley permite que las compañías de seguros, los bancos comerciales y los bancos de inversión estén dentro de la misma empresa. En cuanto a la seguridad, obliga a las empresas a asegurar la información privada de clientes y consumidores. | Esta ley define las «instituciones financieras» como: «…empresas que ofrecen productos o servicios financieros a particulares, como préstamos, asesoramiento financiero o de inversión, o seguros». | |||
| FISMA
|
Esta ley reconoce que la seguridad de la información es una cuestión de seguridad nacional. Por ello, ordena que todas las agencias federales desarrollen un método de protección de sus sistemas de información. | Todas las agencias federales entran en el ámbito de este proyecto de ley. | |||
| FedRAMP
|
Servicios en la nube en todo el Gobierno Federal. | Departamentos y agencias ejecutivas. | |||
| FERPA
|
El artículo 3.1 de la ley se refiere a la protección de los registros educativos de los estudiantes. | Cualquier institución postsecundaria, incluidas, entre otras, las academias, los colegios, los seminarios, las escuelas técnicas y las escuelas de formación profesional. | |||
| ITAR
|
Controla la venta de artículos de defensa y servicios de defensa (que proporcionan capacidad militar o de inteligencia crítica). | Cualquiera que produzca o venda artículos de defensa y servicios de defensa. | |||
| COPPA
|
La recopilación en línea de información personal sobre niños menores de 13 años. | Cualquier persona o entidad bajo jurisdicción estadounidense. | |||
| NERC CIP Standards
|
Mejorar la seguridad del sistema eléctrico norteamericano. | Todos los propietarios y operadores de sistemas de energía a granel. | |||
| NIST
|
Este marco se creó para proporcionar una guía personalizable sobre cómo gestionar y reducir los riesgos relacionados con la ciberseguridad combinando las normas, directrices y mejores prácticas existentes. También ayuda a fomentar la comunicación entre las partes interesadas internas y externas mediante la creación de un lenguaje común de riesgos entre las diferentes industrias. | Se trata de un marco voluntario que puede aplicar cualquier organización que desee reducir su riesgo global. | |||
| CIS Controls
|
Proteja los activos y datos de su organización de los vectores de ciberataque conocidos. | Empresas que buscan reforzar la seguridad en el internet de las cosas (IoT). | |||
Visión general de las cuestiones éticas en la ciberseguridad
La base de todos los sistemas de seguridad está formada por los principios morales y las prácticas de las personas implicadas y las normas de la profesión. Es decir, aunque las personas son parte de la solución, también son la mayor parte del problema. Los problemas de seguridad con los que una organización puede tener que lidiar incluyen la toma de decisiones responsable, la confidencialidad, la privacidad, la piratería, el fraude y el mal uso, la responsabilidad, los derechos de autor, los secretos comerciales y el sabotaje. Esta metafórica carrera armamentística no tiene visos de detenerse a medida que las tecnologías interconectadas se arraigan más en el tejido de la vida profesional.
El personal de seguridad informática suele tener acceso a datos confidenciales y conocimientos sobre las redes y los sistemas de las personas y las empresas, lo que les confiere un gran poder. Se puede abusar de ese poder, ya sea deliberada o inadvertidamente. Pero no hay normas obligatorias en materia de ciberseguridad que los profesionales estén obligados a seguir. De hecho, muchos profesionales de TI ni siquiera se dan cuenta de que sus trabajos implican cuestiones éticas. Sin embargo, toman decisiones a diario que plantean cuestiones éticas. Muchas de las cuestiones éticas tienen que ver con la privacidad. Por ejemplo:
- ¿Debe leer el correo electrónico privado de los usuarios de su red sólo porque puede hacerlo? ¿Es correcto leer el correo electrónico de los empleados como medida de seguridad para garantizar que no se divulgue información sensible de la empresa? ¿Es correcto leer el correo electrónico de los empleados para asegurarse de que no se infringen las normas de la empresa (por ejemplo, contra el uso personal del sistema de correo electrónico)? Si lee el correo electrónico de los empleados, ¿debe revelarles esa política? ¿Antes o después?
- ¿Es correcto controlar los sitios web visitados por los usuarios de su red? ¿Debe mantener rutinariamente registros de los sitios visitados? ¿Es una negligencia no supervisar ese uso de Internet, para evitar la posibilidad de que haya pornografía en el lugar de trabajo que pueda crear un entorno laboral hostil?
- ¿Está bien colocar registradores de teclas en las máquinas de la red para capturar todo lo que el usuario escribe? ¿Qué pasa con los programas de captura de pantalla para poder ver todo lo que se muestra? ¿Se debe informar a los usuarios de que se les está vigilando de esta manera?
- ¿Se puede leer los documentos y mirar los archivos gráficos que están almacenados en los ordenadores de los usuarios o en sus directorios en el servidor de archivos?
Recuerde que no se trata de cuestiones legales. Una empresa puede muy bien tener el derecho legal de controlar todo lo que un empleado hace con su equipo informático. Se trata de los aspectos éticos de tener la capacidad de hacerlo.
Un concepto común en cualquier discusión ética es la «pendiente resbaladiza». Esto se refiere a la facilidad con la que una persona puede pasar de hacer algo que no parece realmente poco ético, como escanear el correo electrónico de los empleados «sólo por diversión», a hacer cosas cada vez menos éticas, como hacer pequeños cambios en sus mensajes de correo o desviar mensajes al destinatario equivocado. El concepto de pendiente resbaladiza también puede ir más allá del uso de sus habilidades informáticas. Si está bien leer el correo electrónico de otros empleados, ¿también está bien rebuscar en los cajones de sus escritorios cuando no están allí? ¿Abrir sus maletines o bolsos?
Luego están los problemas de dinero. La proliferación de ataques a la red, hackeos, virus y otras amenazas a sus infraestructuras informáticas han hecho que muchas empresas «tengan miedo, mucho miedo». Como consultor de seguridad, puede ser muy fácil jugar con ese miedo para convencer a las empresas de que gasten mucho más dinero del que realmente necesitan. ¿Está mal que cobres cientos o incluso miles de dólares por hora por tus servicios, o es un caso de «lo que el mercado soporte»?
Otra cuestión ética consiste en prometer más de lo que puedes cumplir o manipular los datos para obtener honorarios más altos. Puedes instalar tecnologías y configurar los parámetros para hacer más segura la red de un cliente, pero nunca podrás hacerla completamente segura.
Sugerencias de buenas prácticas generales
No existe un código de ética de la ciberseguridad único y detallado que pueda adaptarse a todos los contextos y profesionales; por lo tanto, se debe alentar a las organizaciones y profesiones a desarrollar políticas internas explícitas, procedimientos, directrices y mejores prácticas de ética de la ciberseguridad que se adapten específicamente a sus propias actividades y desafíos. Algunas de las orientaciones más populares son las que se sugieren a continuación:
Mantener la ética de la ciberseguridad en el punto de mira: La ética es un aspecto omnipresente en la práctica de la ciberseguridad. Debido al inmenso poder social de la tecnología de la información, las cuestiones éticas están prácticamente siempre en juego cuando nos esforzamos por mantener esa tecnología y su funcionamiento seguros.
Considerar las vidas humanas y los intereses detrás de los sistemas: En contextos técnicos, es fácil perder de vista lo que son la mayoría de los sistemas con los que trabajamos: a saber, formas de mejorar la vida humana y proteger los intereses humanos.
Establecer cadenas de responsabilidad ética y rendición de cuentas: En los entornos organizativos, el «problema de las muchas manos» es un reto constante para la práctica responsable y la rendición de cuentas.
Practicar la planificación de la ciberseguridad en caso de catástrofe y la respuesta a la crisis: La mayoría de la gente no quiere anticiparse al fracaso o a la crisis; quiere centrarse en el potencial positivo de un proyecto o sistema.
Promover los valores de transparencia, autonomía y confianza: Para preservar una relación sana entre los profesionales de la seguridad y el público es importante comprender la importancia de la transparencia, la autonomía y la confianza en la relación.
Hacer que la reflexión y la práctica éticas sean habituales, omnipresentes, iterativas y gratificantes: La reflexión y la práctica ética, como ya hemos dicho, es una parte esencial y central de la excelencia profesional en ciberseguridad.
Algunas de las mejores prácticas populares para la ética en la ciberseguridad.
Practicar la autorreflexión/examen: Esto implica dedicar tiempo a pensar regularmente en la persona que quieres llegar a ser, en relación con la persona que eres hoy.
Busque ejemplos morales: Muchos de nosotros pasamos gran parte de nuestro tiempo, a menudo más de lo que creemos, juzgando los defectos de los demás.
Ejercer la imaginación moral: Puede ser difícil darse cuenta de nuestras obligaciones éticas, o de su importancia, porque nos cuesta imaginar cómo lo que hacemos puede afectar a los demás.
Reconocer nuestra propia fuerza moral: En su mayor parte, vivir bien en el sentido ético hace la vida más fácil, no más difícil.
Buscar la compañía de otras personas morales: En el siglo IV a.C., el filósofo griego Aristóteles afirmó que un amigo virtuoso puede ser un «segundo yo», que representa las mismas cualidades de carácter que valoramos y aspiramos a conservar en nosotros mismos.