¿Con qué problemas legales debe estar familiarizado un administrador de sistemas?

20

¿Qué asuntos legales debe investigar como administrador de sistemas para evitar que usted o su empleador sean acusados ​​de negligencia o de violar la privacidad, etc.?

Si bien las leyes varían de un país a otro y de un estado a otro, aún podría ser esclarecedor si tiene un ejemplo de una ley que usted o alguien que conoce ha violado sin darse cuenta.

untagged nombre de usuario
fuente
por cierto, desearía tener un buen sinónimo de "gotcha" - odio esa palabra.
nombre de usuario

Respuestas:

15

Varía en gran medida en algunas cosas, como en qué industria se encuentra (lo siguiente se aplica solo a los EE. UU.) ...

  • Cuidado de la salud: HIPAA
  • Educación: FERPA
  • Si su empresa cotiza con la SEC: Sarbanes Oxley
  • Si su empresa realiza transacciones con tarjeta de crédito - PCI DSS

Muchos de los trabajos más pequeños que he trabajado han sido bastante malos acerca de que PCI DSS almacena información CC en texto plano, servidor de bases de datos de acceso público ... conceptos básicos que simplemente se descuidaron.

andyh_ky
fuente
1
Uno de los desafíos, particularmente para las pequeñas empresas, es que algunas de las regulaciones mencionadas (HIPAA, por ejemplo) pueden ser confusas o ambiguas. La teoría es que los registros están escritos para no obligar a las empresas a encerrarse en soluciones particulares, pero dar ese margen de maniobra por sentado podría ser problemático.
Milner
+1 @Milner, los intentos en estas regulaciones de ser 'agnósticos a la tecnología' dejan poca dirección clara, lo cual es bueno y malo. Lo mejor que la mayoría de nosotros puede hacer es tener una Política + Procedimientos claros que expliquen cómo abordar las áreas grises, y luego apegarse a ellas (o revisarlas y luego apegarse a ellas). Tener que explicar por qué no siguió su propio SOP es una mala situación.
nedm
1
¿Podemos agregar reglas federales de descubrimiento ( law.com/jsp/legaltechnology/… ) en los EE. UU. (Requisitos de retención). Además, existen leyes de notificación de incumplimiento en muchos estados y se aprobó un estándar federal de notificación de incumplimiento de información de atención médica como parte de ARRA y actualmente se está redactando ( dwt.com/LearningCenter/Advisories?find=79311 )
nedm
7

Lo siguiente se aplica solo a los Estados Unidos;

CIPA: Ley de protección de Internet para niños

Especialmente si está empleado por una entidad educativa estatal o federal: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Ley de Libertad de Información

Nuevamente, si está empleado por una entidad gubernamental: http://www.fcc.gov/foia/

FERPA: Ley de Derechos Educativos y Privacidad de la Familia

Educación: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

l0c0b0x
fuente
3
Pornografía infantil: su negocio puede hundirse porque sus servidores estaban en un centro de datos AL LADO DE algunos servidores que tenían pornografía infantil (en los EE. UU.). Realmente no puedes ser demasiado paranoico sobre esto.
Kara Marfia
5

Tenga en cuenta el aspecto legal del análisis de red y la detección de intrusos. En algunos lugares, un uso no autorizado de nmappuede considerarse un delito, al igual que intentar ingresar a los sistemas con fines de seguridad (no maliciosos).

Tenga en cuenta los problemas de licencia de software, tanto para los usuarios finales (si los trata) como para sus servidores y otros administradores de sistemas. Conozca las posibles ramificaciones si elige ejecutar software pirateado en un servidor empresarial.

Tenga en cuenta las leyes de privacidad para su lugar de negocios, en las leyes locales, estatales y federales. Sepa qué información es y no puede almacenar. También sepa qué información es y qué no puede ver, tanto en términos legales como según las pautas de su empresa.

Por otro lado, tenga en cuenta las leyes de retención de información para su lugar de negocios. Sepa qué información debe conservar, cuánto tiempo necesita conservarla y a quién debe divulgarla cuando se le solicite. Sea capaz de trazar la línea entre la privacidad y el cumplimiento de las reglamentaciones (y sepa cuándo defender una u otra).

Tim
fuente
1
Las licencias tienen más que solo piratería. Una gran cantidad de software que damos por sentado en el hogar que tiene licencias liberales de uso personal tienen una licencia mucho más restrictiva para uso comercial. No es seguro asumir que es freeware en todas partes.
Pausado hasta nuevo aviso.
4

Estoy en el Reino Unido, y diría que las leyes más importantes para un negocio de comercio electrónico promedio serían:

  • La Ley de Protección de Datos
  • Reglamento de Venta a Distancia y Ley de Descripciones Comerciales
  • Ciertas partes de la Ley de Sociedades - por ejemplo, usted tiene que tengan su número de domicilio social y en un sitio web de negocios, incluso si no lo hace nada venta. Lo he visto roto muchas veces.
  • Cumplimiento de PCI (ok, no es una ley pero es importante)
Draemon
fuente
3

En realidad, esta pregunta solo puede responderse si nos dice dónde se encuentra.

Personalmente, considero que SysAdmin es la persona que está a cargo de todos y cada uno de los datos, por lo que conlleva el mayor riesgo cuando los datos se pierden / exponen / abusan (incluso si no enfrentará consecuencias legales, su jefe vendrá a usted y tendrá que explicar por qué demonios los datos podrían salir de su empresa).

Yo personalmente me aseguro de que:

  • En caso de que sea necesario, puedo acceder a cada información ( todo , después de todo, estoy parado en el lado equivocado del ventilador cuando la mierda lo golpea)
  • Le digo esto a mi jefe
  • Le digo a mi jefe que no accederé a nada sin permiso
  • Le digo a mi jefe que pediré a otra parte que me vigile a mí y al solicitante si no me siento cómodo con la solicitud de acceso a datos
  • Quiero que todo lo anterior esté firmado y sellado por escrito

Otras cosas que me aseguro:

  • Escuchar todo
  • Ver todo
  • No hables de nada

Estos puntos no se tratan de husmear en los archivos o algo así, se trata solo de conversar regularmente con colegas y compañeros de trabajo e intentar unir las diferentes piezas.

Hablar de nada, nada significa no participar en el chat desde cierto punto, las personas acuden a mí regularmente con solicitudes sobre contraseñas perdidas, archivos para restaurar u otras cosas. Eso podría conducir a ciertas opiniones sobre personas que de otra manera trabajarían duro, no quiero eso.

  • Cuéntales a todos sobre las cosas que mi jefe y yo acordamos

Esto puede ser en términos de hablar de persona a persona, correos de la empresa o carteles con recordatorios amistosos de que hay una fiesta en la empresa que podría acceder a todos los datos.

Estos no son exactamente ejemplos de leyes con las que me tropecé. Pero esa es la parte donde "Hablar de nada" entra en juego. Lamento decepcionarte con ejemplos.

servidorhorror
fuente
2

Su legislación de protección de datos. El AUP de su empleador, conózcalo al revés, ¡también se aplica a usted!

Maximus Minimus
fuente
1

Existen diversas legislaciones estatales sobre PII (información de identificación personal) en caso de violación de datos. El 1386 de California requiere que todas las personas afectadas por la violación de datos (compromiso de su información) sean notificadas. Muchos otros estados tienen disposiciones similares.

Además, como aclaración sobre PCI-DSS, que no es un requisito estrictamente legal, las marcas de tarjetas (MasterCard, Visa, Discover, AmEx) requieren que sus bancos comerciales exijan que los proveedores se adhieran a PCI-DSS. Si viola PCI, no será procesado legalmente, sin embargo, su banco comercial puede multarlo con miles de dólares al día (o más) mientras esté en violación. Si no cumple, eventualmente perderá su capacidad de realizar transacciones con tarjeta de crédito, lo que sería un beso mortal para la mayoría de los minoristas en línea.

David Yu
fuente
1

PCI DSS para clientes que aceptan tarjetas de crédito, y la posibilidad de que cada vez que habilite el registro se le solicite que produzca esos registros en el futuro. A veces es mejor no haber grabado nada.

rayo
fuente
1

El descubrimiento electrónico es un gran "problema". Estos son los requisitos en los EE. UU. Para preservar la información electrónica en caso de una demanda y ponerla a disposición de la otra parte.

El administrador del sistema debe pasar algún tiempo con los abogados de la compañía ANTES de la primera vez que se demanda a la compañía para que tenga un plan para cumplir con estos requisitos si alguna vez tiene que hacerlo. No preservar todos los registros electrónicos necesarios (y de la manera correcta) inmediatamente después de que se presente una demanda y perjudique enormemente a la empresa (incluida la pérdida de una demanda que de otra manera no se habría perdido).

Will M
fuente
0

En un entorno policial o del consejo de la corona, debe tener cuidado al manejar la evidencia digital. Lo último que desea es que se le exija testificar en la corte cuando todo lo que hizo fue ayudar a convertir algún tipo de medio de un formato a otro.

Matt Hanson
fuente