El siguiente texto fue publicado en un grupo académico, luego fue publicado bajo permiso en el blog «EEST N8 Quilmes».
Realizada correcciones mínimas se publica acá.
El mismo trata temas conocidos como full disclosure, responsive disclosure, bug bounty program y el denominado «hacking ético» pero desde otra perspectiva.
Cuando uno se capacita en seguridad se da cuenta la necesidad de tener un amplio conocimiento tanto en cuestiones propias de la profesión como en el de otras profesiones, ejemplo claro es el Derecho.
La capacitación en materias de derecho puede comprender hasta un cuarto del plan de estudios de algunas carreras de seguridad. El derecho se define como un orden normativo el cual establece la conducta del hombre en la sociedad, define qué se puede y qué no se puede hacer y cuales son las obligaciones. Comprender el derecho nos permite entender que consecuencias jurídicas tienen nuestras acciones, a modo de ejemplo si constituye un delito penal (es una acción típica) o si es un delito civil es decir produce un daño (recordemos que acá, contrario a lo penal, vale la analogía).
En consecuencia, comprender el derecho, nos permitiría tener una noción de las consecuencias que pueden producir nuestras acciones y nuestras posibles responsabilidades.
Es común ver en distintas personas que se dedican a la informática, específicamente en seguridad, no tener en cuenta ciertas cuestiones.
Si bien no es a modo de crítica sino de reflexión, plantearé una serie de interrogantes que pueden ser de utilidad (al menos como breve repaso) al momento de encontrar una falla en un sistema o reportar un error:
a) ¿se detectó el error por un uso normal o por un uso no esperado por el propietario del sistema?
b) ¿tenemos una autorización para realizar pruebas en el sistema?
c) ¿nuestro accionar configura un delito (civil o penal)?
e) ¿puede generar una consecuencia negativa la divulgación de la información al detectar una vulnerabilidad?
f) ¿es nuestro rol realizar este tipo de tareas?
g) ¿estamos comunicando el problema por los canales adecuados?
h) ¿tiene el propietario del sistema la obligación de reparar el problema?
Cabe destacar que las respuestas a estas preguntas no deben ser según nuestra apreciación personal de como deberían ser las cosas o nos gustarían que sean, sino como lo establecen las normas. Es decir uno puede pensar que su accionar es el correcto, pero tal vez el efecto que producen puede ser negativo y en consecuencia producir un daño, lo cual constituye una responsabilidad.
Reitero, el derecha define el orden normativo que establece la conducta del hombre en la sociedad, y si bien es comprensible que en un pensamiento particular se pueda pensar que se hace lo correcto (probablemente por no tener noción real de las consecuencias de las propias acciones), en las normas puede indicar lo contrario y tal vez haciéndonos algunos interrogantes (que por encontrarnos obnubilados por cuestiones técnicas, no concomes o no nos interesa) podemos dar respuestas a una serie de cuestiones que escapa a lo técnico informático específicamente.
Cabe más decir que el derecho es muy amplio y está sumamente desarrollado, por lo que lo anteriormente descripto puede ser solo a modo de ejemplo. Las leyes, los fallos y bastante doctrina está disponible en gran cantidad de portales. Tal vez encuentren otro tipo de fallas al leerlos (y que pueden ser muy divertidas encontrarlas también).
