Riesgo legal para servidores no parcheados

2

Dado que uno de los 10 dominios en el CISSP es legal / gobernante, pensé que este sería el mejor lugar para preguntar.

Recientemente hice una evaluación de seguridad para una organización sin fines de lucro. Encontré que sus sistemas necesitaban alguna atención. Quiero dejarles claro que solo porque su red no tenga datos confidenciales, usted todavía está en riesgo. Un punto es que si alguien coloca archivos ilegales en su servidor, usted es responsable.

¿Algún otro ejemplo? Quiero asegurarme de que no me pierdo nada más. En una nota al margen, ¿alguien sabe dónde puedo encontrar exactamente cuáles son algunas de estas multas (tiempo / tarifas monetarias)?

    
pregunta Jeff 07.02.2012 - 05:35
fuente

2 respuestas

1

En la mayoría de los casos, la responsabilidad por infracciones informáticas (sin incluir la divulgación de información privada) sigue siendo legalmente irreprochable. Hay muchas leyes que surgen sobre la privacidad de los datos, pero en cuanto a la protección de los recursos informáticos en sí mismos no existe un estándar. La "negligencia grave" en Internet sigue siendo una norma básicamente inexistente. Por lo tanto, para toda responsabilidad, probablemente estés en un lugar muy seguro.

Dicho esto, nada impide que se presente un caso e incurra en gastos relacionados con los tribunales, incluida la representación legal. Es posible que las investigaciones sobre el uso indebido de su servidor no generen cargos, pero podría perder sus servidores durante un tiempo prolongado mientras estén confiscados como evidencia. La aplicación de la ley en los EE. UU. Al menos no es conocida por cambios muy rápidos.

La aplicación de parches suele ser mucho menos costosa que cualquiera de esos resultados.

    
respondido por el Jeff Ferland 07.02.2012 - 17:26
fuente
0

Los problemas legales son muy complicados, cambian (algunas veces de manera dramática) entre diferentes países y jurisdicciones. Incluso cuando hay leyes y regulaciones claras (por ejemplo, protección de la privacidad en el Reino Unido / UE), las sanciones / multas suelen ser bastante pequeñas, y las posibilidades de "quedar atrapados" son incluso menores. Soy consciente de algunos casos en los que supuestamente se cometieron infracciones, pero a la empresa no pareció importarle y, de hecho, no enfrentó ninguna sanción como resultado, o las sanciones fueron pequeñas.

Colocar 'archivos ilegales' (sea lo que sea), podría o no contar como una infracción legal, y podría o no conllevar sanciones. En algunos casos, es suficiente para demostrar que eliminó los archivos y colocó una mejor protección para evitar cualquier penalización (es decir, después de "ser capturado").

Teniendo eso en cuenta, creo que, a pesar de ello, el riesgo legal puede ser una buena manera de enfatizar por qué una empresa u organización debería proteger sus datos. Puede que no sea suficiente para hacer un argumento convincente. Quizás sea más fácil encontrar otras razones (exponiendo los detalles financieros de la compañía, mala publicidad o mala imagen de la compañía).

Por supuesto, un abogado en tu país te aconsejaría mucho mejor que yo. Especialmente si se especializan en estas áreas (derechos de autor, privacidad, comercio electrónico, etc.)

y, por supuesto, olvidé mencionar que IANAL.

    
respondido por el Yoav Aner 07.02.2012 - 16:50
fuente

Lea otras preguntas en las etiquetas