Rischio legale per i server non aggiornati

Naviga le tue risposte
2

Poiché uno dei 10 domini sul CISSP è legale / governativo, ho pensato che questo sarebbe il posto migliore per chiederlo.

Recentemente ho fatto una valutazione della sicurezza per un'organizzazione no-profit. Ho scoperto che i loro sistemi avevano bisogno di una certa attenzione. Voglio chiarire loro che solo perché la vostra rete non ha dati sensibili su di esso, siete ancora a rischio. Un punto è se qualcuno mette file illegali sul tuo server, sei responsabile.

Altri esempi? Voglio essere sicuro di non perdere qualcos'altro. Da una nota a margine, qualcuno sa dove posso trovare esattamente quali sono alcune di queste sanzioni (tempo / spese monetarie)?

    
posta Jeff 07.02.2012 - 05:35
fonte

2 risposte

1

È ancora in gran parte il caso che la responsabilità per violazioni del computer (non inclusa la divulgazione di informazioni private) sia legalmente irreprensibile. Ci sono un sacco di leggi che riguardano la privacy dei dati, ma per quanto riguarda la protezione delle risorse informatiche, non c'è davvero uno standard. "Grossa negligenza" su Internet è ancora uno standard sostanzialmente inesistente. Quindi, per la responsabilità ultima sei probabilmente in un posto molto sicuro.

Detto questo, nulla impedisce la presentazione di un caso e l'incorrere in spese giudiziarie, compresa la rappresentanza legale. Indagini di uso improprio del tuo server potrebbero non comportare alcun addebito, ma potresti perdere i tuoi server per un lungo periodo mentre sono sequestrati come prove. Le forze dell'ordine negli Stati Uniti, almeno, non sono conosciute per i rigiri molto veloci.

L'applicazione di patch è in genere molto meno costosa di uno di questi risultati.

    
risposta data 07.02.2012 - 17:26
fonte
0

Le questioni legali sono molto complicate, cambiano (alcune volte in modo drammatico) tra diversi paesi e giurisdizioni. Anche quando ci sono leggi e regolamenti chiari (ad esempio, la protezione della privacy nel Regno Unito / UE), le sanzioni / multe sono solitamente piuttosto piccole e le probabilità di "essere scoperti" sono ancora più basse. Sono a conoscenza di alcuni casi in cui presumibilmente sono state commesse violazioni, ma il business non sembrava preoccuparsene, e in effetti non ha subito alcuna penalizzazione o le sanzioni sono state ridotte.

Inserire "file illegali" (qualunque cosa sia), potrebbe o non potrebbe essere considerato una violazione legale, e potrebbe o non potrebbe comportare alcuna penalità. In alcuni casi, è sufficiente dimostrare che hai cancellato i file e hai messo una protezione migliore sul posto per evitare qualsiasi penalità (cioè, dopo "essere scoperti").

Con questo in mente, penso che, nonostante tutto, il rischio legale potrebbe essere un buon modo per sottolineare perché un'azienda o un'organizzazione dovrebbe proteggere i propri dati. Potrebbe non essere sufficiente per fare una discussione convincente. Forse è più facile trovare altri motivi (esporre i dettagli finanziari dell'azienda, cattiva pubblicità o scarsa immagine dell'azienda).

Ovviamente, un avvocato nel tuo paese ti consiglierebbe molto meglio di me. Soprattutto se sono specializzati in questi settori (copyright, privacy, e-commerce ecc.)

e ovviamente ho dimenticato di menzionare quello IANAL.

    
risposta data 07.02.2012 - 16:50
fonte

Leggi altre domande sui tag

Active Directory: le workstation dovrebbero essere separate dai server per proteggerle da hack dei domini correlati? iOS utilizza i certificati integrati per autenticare i peer quando si utilizzano VPN ipsec?