CÓDIGOS DE ÉTICA Y RESPONSABILIDAD PROFESIONAL EN LA COMPUTACIÓN FORENSE
Jorge R. Andrade
Centro de Estudios de Postgrados.
Universidad Don Bosco
Antiguo Cuscatlán, El Salvador
{aaannndrade@gmail.com}
RESUMEN: Esta investigación da un panorama en relación a los códigos éticos y la responsabilidad profesional que deben estar presentes al realizar casos de informática forense. Asimismo pueden sostenerse en ámbitos de la tecnología de la información (TI) como diseñadores de software, arquitectos de redes, analista de sistemas, profesionales de la seguridad informática, etc. Este trabajo se realizó en base a diferentes teorías éticas con orientación en las reglas de la deontología: no hagas a los demás lo que no quieras que te hagan a ti, poniendo en contexto la “Regla de Oro” en los procedimientos del profesional de la tecnología de la información (TI). Se pretende que los profesionales tengan una visión de cómo afrontar desafíos en los cuales se involucren conflictos de aspectos éticos y decidir en cuanto a sus habilidades y decisiones morales en problemáticas de búsqueda de evidencia digital. En conclusión los códigos éticos deben influir en las habilidades del profesional para sobre guardar el peritaje informático.
PALABRAS CLAVE: Códigos éticos, computación forense, informática forense, teorías éticas.
ABSTRACT: This research gives a scenario regarding the ethical and professional responsibility codes that must be present at time of computer forensics cases. Likewise they can be sustained in areas such as Information Technology (IT) software designers, network architects, systems analyst, information security professionals, among others. This work was done on the basis of different ethical theories with a focus on the rules of ethics: Do unto others as you would have them do to you, is basically put into context the “Golden Rule” in the general procedures of Information Technology (IT) professional. It is intended to the IT professionals have a vision of how to face certain challenges in which conflicts of ethical issues involved and to decide as to their abilities and moral decisions for evidence of problems or computer expert. Ultimately it may be inferred that ethical codes should influence the professional skills to keep on computer expertise.
KEYWORDS: Computer forensics, ethical theories, ethical codes.
INTRODUCCIÓN
Principalmente la falta de preparación académica o la poca importancia en los planes de estudio a nivel universitario o en centros de capacitación profesional en relación a la seguridad de la información hace que una de las ciencias como es la ciencia de la informática forense este por debajo de los niveles de preparación profesional tanto a nivel práctico y teórico, si a estas problemáticas le adicionamos los códigos de ética que debe de gestionar el personal para poder tener una mejor visión sobre los desafíos que involucran los peritajes informáticos tenemos como resultado una ciencia incapaz de sobresalir ante los temas del delito informático que envuelven a nuestra sociedad, ya que debido al alto índice de delitos informáticos en la actualidad se debe dar una mejor respuesta a los retos de seguridad pero para contrarrestar estos problemas se debe gestionar al capital humano por medio de las capacitaciones y un buen currículo que abone todas las problemáticas actuales.
Para poner en perspectiva en el ámbito internacional sobre cómo se gestiona los códigos de ética a los profesionales en el área de informática forense, institutos como el High Technology Crime Investigation Assosiation (HTCIA) y el American College of Forensic Examiners Institute son alguna de las entidades más reconocidas en las cuales el profesional en informática forense debe adherirse no solamente a los aspectos técnicos sino que a los estatutos, normas y códigos de ética que ahí han establecido para poder desempeñarse como inspector certificado en el área. Algunas normas éticas que ponen énfasis estas instituciones a los informáticos forenses es que no debe existir algún interés propio en el resultado de algún caso en específico ya sea por factores económicos o por alguna relación entre las personas investigadas del caso. Además el informático forense debe tomar una postura de imparcialidad en el cual se sujete a los hechos de un caso y reportar todos los detalles independientemente de los deseos de los defensores en el proceso. Esta postura ética del informático forense hace que hable con la verdad incluso cuando este tipo de notificaciones no sean del agrado de las partes y dan como resultado una buena labor para que en la audiencia las partes que intervienen con los procesos de ley puedan tomar mejores decisiones o aplicaciones de las leyes.
RESEÑA SOBRE LA PROBLEMÁTICA
La computación forense es unas de las ciencias de la rama de la informática que desde hace unos años ha venido a involucrarse en la sociedad salvadoreña, todavía se encuentra en un punto en la cual los temas del delito informático no se tratan con la especialidad técnica que se debería realizar; por desconocimiento, por falta de leyes sobre delitos informáticos, por poco personal especializado en esta rama, por un sinfín de mecanismos que actualmente necesitan ir tomando forma para poder representar los delitos informáticos como se debiera.
Hay instituciones estatales encargadas de velar por los casos de delitos informáticos y por lo que conlleva todo este proceso, como son la Corte Suprema de Justicia, la Policía Nacional Civil y la Fiscalía General de la República quienes se encargan de darle seguimiento a estos delitos y que la ley se aplique a ellos, pero al tener debilidades sobre los aspectos de la informática forense y las leyes sobre la aplicación de estas tecnologías estos delitos quedan en la impunidad.
Las universidades y centros de formación profesional entran con un papel de mucha importancia ante estas problemáticas, recientemente se han ido formando especializaciones referentes a la seguridad de la información pero que no complementa la informática forense, la visión sobre esta ciencia es de verla como una materia más para rellenar las habilidades de los gestores de la seguridad de la información, pero este tipo de visión no es suficiente. También un problema que se da es que este tipo de ciencias son complementadas con la teoría y la práctica para desarrollar las competencias adecuadas de los participantes, y la debilidad que se muestra es en la práctica ya que para realizar este tipo de acciones se debe contar con instalaciones, equipos especializados y personal capacitado en la materia, lo cual no existe a un nivel apropiado.
La informática forense es una ciencia que se debe complementar con otras ciencias y por ello su dificultad para generar personal competente, ya que toma un rumbo multidisciplinario. El conocimiento es amplio ya que reúne aspectos complejos de la informática como la Ingeniería Social, networking, bases de datos, lenguajes de programación, ethical hacking, leyes del código penal, procesal penal, investigación, entre otros conocimientos.
Teniendo un panorama un poco amplio sobre la informática forense nos encontramos con un aspecto muy importante y es la ética profesional de los candidatos, por ser una ciencia multidisciplinaria y por la investigación sobre la evidencia digital y el proceso que incluye toda la investigación. Actualmente se requiere que estos profesionales posean códigos de ética, códigos de buenas prácticas y principios éticos para poder desenvolverse según sus habilidades y competencias y poder detectar dilemas éticos sobre el peritaje informático y dar acertadas resoluciones a cualquier tipo de caso.
LA ÉTICA EN LA CURRICULA DE INFORMÁTICA FORENSE
¿Por qué la ética debe estar presente en el modelo curricular de la informática forense? En primer lugar, los estudiantes o profesionales que inicien sus procesos como informáticos forenses deben comportarse éticamente como algo innato en sus actividades en los diferentes casos de peritaje en los cuales estén desarrollando, ya que su análisis o veredicto corresponderá a que jueces o abogados tomen mejores resoluciones ante problemas del delito informático.
En la actualidad del país nos encontramos que no existe una carrera específicamente de la ciencia de la informática forense como tal, pero existen carreras, diplomados, maestrías que intervienen con la seguridad de la información y tocan aspectos de la informática forense pero están orientadas a la parte teórica que a la parte práctica mucho menos con los códigos éticos que deberían ser fundamental en la formación de los estudiantes.
En la clasificación de universidades públicas y privadas a nivel metropolitano, encontramos que en los pensum de las carreras de Ingeniería en Sistemas o afines se imparten materias con orientación a la seguridad de la información y con poco ámbito en la ciencia de la computación forense, mucho menos enfatiza sobre los códigos éticos del profesional.
Universidad Nacional de El Salvador (UES): Seguridad Informática y Auditoría de Sistemas como materias electivas-optativas. [1]
Universidad Don Bosco (UDB): Auditoría de Sistemas, Seguridad en Redes como materias electivas [2] y Seguridad en Redes (modalidad técnico en Computación). [3]
Universidad Francisco Gavidia (UFG): Auditoría de Sistemas Computacionales, Criptografía y Seguridad de Redes como materias electivas [4] y Auditoría de Sistemas Computacionales (Licenciatura en Sistemas Informaticos) [5]
Universidad Evangélica de El Salvador (UESS): Auditoría de Sistemas [6] y Seguridad en Redes (modalidad Técnico de Redes) [7]
Universidad Politécnica de El Salvador (UPES): Auditoría Informática. [8]
Universidad Modular Abierta (UMA): Auditoría Informática, Seguridad de Sistemas Informáticos (Licenciatura en Informática) y Criptografía y Delito Informático como materias electivas. [9]
Universidad Pedagógica de El Salvador (PEDAGOGICA): Auditoría de Sistemas (Licenciatura en Gerencia Informática). [10]
A nivel de Maestrías:
Universidad de El Salvador (UES): Maestría Desarrollo de Software, materias impartidas: Arquitectura y Seguridad Web, Auditoría de Sistemas e Informática Forense. [11]
Universidad Don Bosco (UDB): Maestría en Seguridad y Gestión de Riesgos Informáticos: Fundamentos de la Seguridad Informática, Matemáticas aplicadas a la Criptografía, Criptografía, Protocolos Criptográficos, Protocolos de Seguridad en Redes, Seguridad en Sistemas Operativos, Lenguaje y Base de Datos, Gestión de la Seguridad Informática, Auditoría de los Sistemas Informáticos, Gestión de Continuidad del Negocio, Informática Forense y Delitos Informáticos, Protección y Respaldo de Datos. Negocio Electrónico y Derecho Informático [12]
Universidad Francisco Gavidia (UFG): Maestría Informática Aplicada en Redes: materias impartidas: Seguridad en Aplicaciones para la Red, Seguridad en Comunicaciones. [13]
Lamentablemente la educación de la ética en aspectos de la seguridad de la información y específicamente en la informática forense son prácticamente nulas, existen materias sobre ética empresarial, ética general, ética profesional en algunos pensum pero no están orientados en los planes de estudios de la seguridad informática como tal, esta delimitante no permite al estudiante o al profesional investigar los problemas éticos y morales que intervienen en muchos de los casos de peritaje informático. Cabe mencionar que algunas materias sobre la seguridad de la información se ven en Ingeniería en Telecomunicaciones pero a nivel de una o dos materias como son la Seguridad en Redes, Criptografía y Seguridad en Redes y Auditoría de Sistemas, y así como en esta carrera se encuentran en otras modalidades a nivel de maestrías, diplomados o cursos profesionales.
OBJETIVOS DE LA ENSEÑANZA DE LA ÉTICA EN LA CURRICULA DE INFORMÁTICA FORENSE
La enseñanza de la ética en esta ciencia; la informática forense, es poder inculcar el deseo y la voluntad de ser ético en los estudiantes y profesionales como parte de algo natural y de interrelación para poder contribuir con las buenas prácticas de profesionales responsables y éticos. Además, forjar profesionales que tengan la capacidad de detectar los problemas éticos, poseer el conocimiento necesario para evaluar situaciones, encontrar soluciones a problemáticas de índole ético. Este tipo de enseñanza no solo podría ser aplicable específicamente al área de la computación forense, sino que también a otras áreas de la tecnología donde las situaciones éticas estén palpables a resolver y que se tenga una visión y lógica de como poder resolver o tener un lineamiento o las bases necesarias para poder actuar de manera justa ante hechos que son altamente anti-éticos a simple vista.
Probablemente se encuentren problemas en el cual la sociedad moderna se esfuerza por ser moral pero no se encuentran las bases suficientes de ética para llevarlo a cabo. Actualmente la moral se marca de manera individual por ciertos factores como la tradición, el bien de la humanidad, la propiedad, la revelación divina, el bien común, entre otros. No se debe tomar este ámbito individual de la moral para poder hacer uso de ellos sino que se deben alinearse con buenas prácticas éticas y responsables; es decir, que un conjunto de profesionales con un punto de vista moral diferente lleguen a acuerdos o conclusiones éticas similares o que tengan más frecuencia en la interrelación de ideas.
Quizá este planteamiento no podría iniciar con solamente una materia de ética sino que a lo largo de la carrera universitaria ver otro tipo de talleres o seminarios para lograr la madurez y tener una opinión mucho más amplia y concreta de acuerdo a las necesidades planteadas que sirvan de solidez a los estudiantes. Así mismo, en los cursos profesionales poder incluir este tipo de temáticas y mostrar a los participantes la importancia de la ética profesional en el ámbito técnico de este tipo de ciencias.
Una buena enseñanza de ética a este nivel enfatizaría las necesidades de las buenas normas de ética en esta profesión, reconocer los problemas éticos, recopilarlos, evaluarlos, discutirlos, analizarlos desde puntos de vista diferente; abrirían las diferentes perspectivas y se comenzarían a cerrar esas brechas que se tienen actualmente en la sociedad en relación a casos del delito informático.
TEORÍAS ÉTICAS Y LA IDENTIFICACIÓN DE PROBLEMAS ÉTICOS
Existen una cantidad de teorías éticas como por ejemplo: la ética aristotélica, ética kantiana (la regla de oro), pragmática, dialógica, entre otras. La ética aristotélica se relaciona con la virtud en cuanto a la capacidad y la aptitud de las personas/empleados, referente a la ética dialógica por la deliberación de ideas para alcanzar un objetivo común, la ética pragmática en cuanto a que no se deben sustentarse en las acciones sino que en los resultados, la ética kantiana relacionada con dignidad humana, como es de tratar al ser humano como un fin y nunca solo como un medio y que toda acción moral deber ser convertida en ley universal.
Para la identificación de problemas éticos se pueden definir en un primer paso como el RECONOCIMIENTO DEL PROBLEMA ético, en segundo lugar la RECOLECCIÓN DE INFORMACIÓN, teniendo en cuenta que en estos primeros puntos se necesita la deliberación para obtener otros puntos de vista y ayudar en el buen análisis. El tercer punto es EL ABORDAMIENTO que se le dé al problema ético con relación a la teórica ética y poder fortalecer el panorama en base a los diferentes puntos de vista, en cuarto lugar obtener una DECISIÓN en cuanto al problema y en un último lugar la REVISIÓN EXHAUSTIVA de los resultados en cuanto a las decisiones que hemos tomado en el punto número cuatro. Para tener mejores resultados sobre el proceso de la identificación de problemas éticos se puede aplicar el ciclo de Deming o también conocido como circulo PDCA (Planear-Hacer-Chequear-Revisar) que servirá como estrategia de mejora continua en los procesos, este tipo de estrategias son para mejorar la calidad en los procesos.
RECONOCIMIENTO DEL PROBLEMA: se mide a través de indicadores como el daño (como a las personas, instituciones, sociedad, etc.) o el conflicto, no todos son cuestiones éticas, pero cuando se disminuye la dignidad, esperanza o derechos de las personas hay un problema ético latente.
RECOLECCIÓN DE INFORMACIÓN: se recolecta toda la información de las partes interesadas para recabar los hechos del problema ético.
EL ABORDAMIENTO: se aplican las diferentes teorías éticas para las diferentes perspectivas, como por ejemplo: el utilitarismo, el bien común, la teoría de la justicia, la ética de la virtud, entre otros.
DECISIÓN y REVISIÓN EXHAUSTIVA: la mayoría de problemas deberán aterrizar casi siempre en la misma línea, la discusión formal debe tomar posición en este sentido. Habrán problemas difíciles de manejar en cuanto a opiniones, como por ejemplo: el aborto, el uso de armas, eutanasia, etc. Se puede tomar un problema ético de difícil solución cuando hayan distintos enfoques y conduzcan a diferentes caminos pero la mayoría de problemas empresariales y de índole técnico referente a la informática forense tienen una base empírica que no son intrínsecamente difíciles de resolver, por ejemplo: robo de información, eliminación de información sensible, acceso no autorizado, entre otros. Hacer un hábito de revisar las decisiones del pasado permite aprender de nuestros errores del pasado.
La propuesta anterior para la identificación de problemas éticos, como cualquier marco tiene ventajas y desventajas, entre las ventajas se puede mencionar la simplicidad que tiene el proceso y su potencialidad que le da el ciclo de Deming, por ejemplo un caso ético que se puede poner en contexto es la manipulación de un empleado a la información sensible de la empresa expuesta en una memoria USB (Universal Serial Bus) y brindada a la competencia, simplemente este caso se puede poner en estudio en el proceso de la identificación del problema y poder tener una mejor propuesta para la resolución de este caso.
En la desventaja se puede mencionar el planteamiento ético con el que se realiza el análisis, hay que recordar que la perspectiva de cada persona es diferente a otra y esto puede influir entre lo ético y lo moral con el que se solucione el problema, al final se trata de dar las competencias necesarias al estudiante para que pueda determinar los diferentes componentes y tomar un enfoque sincretista que de no estar acordes a los demás planteamientos sea paralelo, el propósito es enseñar las habilidades para que el estudiante o profesional argumente desde diferentes puntos de vista e identifique problemas éticos. Un ejemplo podría ser la enseñanza de un lenguaje de programación, este no se limita a ensenar la habilidad sino que integra la competencia de pensar de manera diferente para llegar a un mismo fin.
PLANTEAMIENTO DE LA ÉTICA EN LA INFORMÁTICA FORENSE
La aplicación de la ética en la informática forense desde el punto de vista ético empresarial deberemos definir algunas perspectivas que ayudarán a establecer patrones de su aplicación y ayudarán al estudiante o profesional informático forense.
UTILITARISMO: Evalúa una acción por sus consecuencias, a veces los beneficios no se distribuyen de manera uniforme y se introduce el elemento de la injusticia. A esto deberán surgir estas interrogantes: ¿Cuáles son los beneficios de la acción pretendida? ¿Cuáles son los daños creados? ¿Quién se beneficiará y a quién perjudicará?
DERECHOS: Los derechos exigen que actuemos de una manera que se respete la dignidad de otras personas mediante el cumplimiento de normas, políticas y la protección de los derechos morales legales, a lo cual debemos hacer las siguientes valoraciones, ¿Qué derechos se respetan o se infringen por este acción? ¿Cuáles son esos derechos?
BIEN COMÚN: No es más que el enfoque común el cual se basa en una visión de la sociedad como una comunidad cuyos miembros están unidos en la búsqueda compartida de valores y objetivos en común para una satisfacción en conjunto, en una sociedad pluralista cuyos individuos se identifican a sí mismos de diversas maneras, como miembros de subgrupos, se debe preguntar: ¿Qué es la comunidad o cuales son las comunidades en la que la decisión tome un hecho? ¿Qué es el bien común? ¿Cuáles son los objetivos del grupo?
IMPARCIALIDAD: Iguales deben ser tratados por igual y desigual por desiguales (filosofía aristotélica), la justicia debe aplicarse sin ninguna distinción, sino entramos en estados fallidos, ¿Trata a todos de la misma manera o tiene favoritismo y hace uso de la discriminación?
VIRTUD: Se centra en las actitudes, disposiciones o rasgos de carácter como la honestidad, la honradez, la integridad, la compasión, etc. Los hábitos forman a la persona humana. Estas virtudes no son virtudes individuales sino en relación con una comunidad. Esta ética de la virtud puede proporcionar ideas muy profundas en algunos casos, pero en otros no, porque no todas las decisiones de peso definen al ser humano. Este apartado con relación a la informática forense en pocas ocasiones contribuye a la solución de un problema ético en seguridad de la información, pero se deben preguntar: ¿De qué manera esta acción me define como persona humana?, ¿Cómo nos definimos como una empresa, una organización, una sociedad?, ¿Qué debo o que es lo que queremos ser y llegar a ser?
El planteamiento de enseñar ética en la informática forense, es porque se desea que los futuros profesionales se comporten éticamente ante los casos de delito informático en la sociedad, por la responsabilidad social y legal que representa. Se cae posiblemente en la falacia del conocimiento si se asume que se enseña el comportamiento ético mediante la enseñanza de la toma de decisiones éticas. Se podría sólo tener confianza en la enseñanza empresarial que humaniza al estudiante a través de la apertura de un mundo de diferentes perspectivas con un compromiso común para el bien.
PROPUESTAS EN LA INCLUSIÓN DE LA ÉTICA EN LA INFORMÁTICA FORENSE
Actualmente en el sistema de educación del país se refleja que las universidades no invierten en especialidades que contengan muchas carreras prácticas ya que la inversión de construir locales, acceso a equipos especializados, formación del personal, entre otros. Interviene en muchos costos y que no están dispuestos a invertir ya que la educación lo ven como un negocio y no como un compromiso social para el desarrollo de la sociedad. Ante este primer obstáculo deberían de crearse mecanismos en el cual el apoyo que exista por parte de las autoridades de las universidades o de gerentes en centros de capacitación profesional para adoptar este tipo de enfoques darán la verdadera experiencia en el forjamiento de estos profesionales a estas nuevas ciencias de la informática que todavía están gestándose en nuestra sociedad, no solamente basta con modelos curriculares que propongan la parte teórica (propiamente de la informática forense) que en la actualidad de esta manera se está gestionando, con poca intervención en el proceso practico que con lleva este tipo de carreras y que forma parte de la experiencia profesional. Es de tener la visión sobre estos aspectos éticos que conlleva a la resolución de estos casos, sin una buena planificación de estos puntos el producto estará en la anarquía como comúnmente es el diario vivir de los procesos legales en el país, donde profesionales incapaces aumentarían al problema social-legal.
Además el comportamiento de los estudiantes deberá estar dispuestos y aprobar este tipo de propuestas ya que han sido implementadas por países en desarrollo y que les han dado excelentes resultados en cuanto a los casos de peritaje informático. Hay que recordar que la implementación de una norma o marcos de ética en conjunto con la práctica son fuertemente correlacionadas. Comúnmente cursos de ética son vistos como una asignatura más en el caso de las carreras de ingeniería o carreras técnicas, pero el grado de comprensión y disponibilidad de conocimiento sobre estas temáticas éticas hilvanados con la informática forense hacen que el profesional este aún más capacitado y pueda desarrollarse en ambientes fuera de su sociedad teniendo las competencias de otros grupos sociales. El conocimiento de fondo filosófico-técnico deberá estar presente para poder dar una mejor reflexión sobre los casos de envíos de spam, clonación de tarjetas de crédito, ataques de ingeniería social, envió de correos electrónicos malintencionados, etc.
CÓDIGOS DE ÉTICA EN LA TECNOLOGÍA DE LA INFORMACIÓN (TI)
Los códigos de ética que han sido creados en los conceptos básicos del análisis Kantiano generando potencialmente códigos deontológicos exclusivamente para las áreas de la Tecnología de la Información (TI) para aquellos dilemas éticos que se presenten en este tipo de áreas. Implementando códigos de ética y códigos de buenas prácticas especialmente para fortalecer la profesión ética. Para la validación y el cumplimiento de este tipo de códigos por parte de los profesionales se hace énfasis en algunos aspectos como por ejemplo: [14]
a) Los profesionales de TI abarcarán un alto nivel de habilidad y conocimiento.
b) Deberán mantener altos niveles de confidencialidad.
c) Se deberá reconocer que exista una confianza pública en los códigos de ética y sus buenas prácticas.
d) El profesional de TI respetará los códigos éticos.
e) Los profesionales de TI deberán actuar con integridad.
f) Deberán esforzarse por aumentar sus competencias y prestigios de la profesión.
g) Todas las tareas asignadas serán realizadas de manera profesional.
h) Los profesionales de TI deberán utilizar sus conocimientos especializados y habilidades para el bienestar humano.
i) La alta dirección deberá promover los mecanismos para gestionar todos los códigos éticos.
j) Dentro de la organización los miembros deberán cooperarse entre sí, y tratar con honestidad y respeto.
k) Deberán abstenerse de utilizar los conocimientos de carácter confidencial para favorecer sus propios intereses, y no deberán violar información privada o confidencial a las cuales tienen acceso o se les ha confiado.
l) Los miembros deberán respetar y cumplir las leyes del estado así como todo su entorno.
Relacionados estos códigos de ética se deben sustentar con los principios éticos básicos del profesional, los cuales son:
a) Coherencia
b) Respeto a las personas
c) Autonomía
d) Integridad
e) Justicia
f) Utilidad
g) Competencia
Complementando los códigos de ética y las buenas prácticas de la organización con los principios éticos básicos del profesional se fundamente la “Regla de Oro” como alineación con la teoría de Kantiana.
A continuación una vez planteados los códigos de ética directamente con el área de la Tecnología de la Información (TI) se presentan códigos de ética y códigos de buenas prácticas implementados por instituciones o empresas las cuales certifican a los informáticos forenses para poder optar a certificaciones avaladas a nivel mundial y que tienen el peso de su trayectoria, así como el de sus miembros activos.
CÓDIGOS DE ÉTICA Y RESPONSABILIDAD PROFESIONAL DE INSTITUTOS AUTORIZADOS PARA LA CERTIFICACIÓN DE INFORMÁTICOS FORENSES
Actualmente instituciones como The International Society of Forensics Computer Examiners (ISFCE) encargadas de certificar a profesionales en la informática forense aplican sus propios códigos de ética para aquellas personas que se someten a estos exámenes, entre los requisitos éticos se encuentran los siguientes: [15]
a) Demostrar compromiso y diligencia en el desempeño de las funciones asignadas.
b) Demostrar integridad en la realización de tareas profesionales.
c) Mantener la máxima objetividad en todos los exámenes forenses y los hallazgos actuales con precisión.
d) Realizar exámenes basados en lo establecido, procedimientos validados.
e) Cumplir con los más altos estándares morales y éticos y cumplir con el Código de la ISFCE
f) Testificar sinceridad en todos los asuntos ante cualquier junta, tribunal o procedimiento.
g) Evitar cualquier acción que pudiera presentar a sabiendas un conflicto de intereses.
h) Cumplir con todos los ordenamientos jurídicos de los tribunales
i) Examinar a fondo todas las pruebas dentro del alcance del trabajo.
j) Las personas certificadas son responsables de mantener la certificación en los más altos estándares éticos y demostrar integridad, imparcialidad, diligencia y profesionalidad.
k) No participar en cualquier conducta no ética o ilegal
La High Technology Crime Investigation Association (HTCIA) posee los siguientes parámetros de códigos de ética: [16]
a) El HTCIA valora la verdad al descubierto dentro de la información digital y las técnicas eficaces utilizados para descubrir que la verdad, de modo que nadie sea condenado injustamente.
b) El HTCIA valora la seguridad de nuestra sociedad y de sus ciudadanos a través de la aplicación de nuestras leyes y la protección de nuestra infraestructura y economías.
c) El HTCIA valora la integridad de sus miembros y de las pruebas que se exponen a través de mejores prácticas de investigación y de computación forense comunes incluyendo técnicas especializadas que se utilizan para recopilar evidencia digital.
d) El HTCIA valora la red de confianza de los profesionales forenses y de investigación dentro de las empresas privadas y públicas, incluyendo la aplicación de ley que comparten nuestros valores y nuestra visión.
e) El HTCIA valora la confidencialidad de sus miembros y la información, los conocimientos y técnicas que comparten dentro de la asociación.
La Global Information Assurance Certification (GIAC), es el proveedor líder y desarrollador de ciber certificaciones de seguridad. GIAC prueba y valida la capacidad de los profesionales en seguridad de la información, la medicina forense, y la seguridad del software. [17]
a) Aceptaré la responsabilidad en la toma de decisiones con la consideración de la seguridad y el bienestar de la comunidad.
b) No voy a participar o ser parte en actos poco éticos o ilegales afectó negativamente, la comunidad, mi reputación profesional, o la disciplina seguridad de la información.
c) Voy a ofrecer un servicio competente con las expectativas de mi certificación y posición.
d) Voy a proteger la información confidencial y de propiedad con la que tengo contacto.
e) Quiero minimizar los riesgos para la confidencialidad, integridad o disponibilidad de la tecnología de la información, en consonancia con la práctica de gestión de riesgos.
f) Voy a evitar conflictos de intereses.
g) No voy a abusar de cualquier información o privilegios que me proporcionan mis responsabilidades.
h) No voy a tergiversar mis habilidades o mi trabajo a la comunidad, mi empleador, o mis compañeros.
La SANS Technology Institute ofrece certificaciones fuertemente orientadas a los elementos técnicos informáticos con códigos de ética: [18]
a) Me esforzaré para conocerme a mí mismo y ser honesto acerca de mi capacidad.
b) Voy a realizar mis actividades de una manera que asegure la profesión donde se considera la de integridad y profesionalismo.
c) Respetare a la privacidad y la confidencialidad.
d) Voy a luchar por la excelencia técnica en la profesión de TI mediante el mantenimiento y la mejora de mi propio conocimiento y habilidades. Reconozco que hay muchos recursos gratuitos disponibles en Internet y libros asequibles y que la falta de presupuesto de formación de mi empleador no es una excusa ni limita mi capacidad para estar al día en IT.
e) Cuando sea posible voy a demostrar mi capacidad de rendimiento con mis habilidades a través de proyectos, liderazgo, y / o programas educativos acreditados y voy a animar a otros a hacer lo mismo.
f) No voy a dudar en buscar ayuda u orientación cuando me enfrente a una tarea más allá de mis capacidades o experiencia. Voy a adoptar asesoramiento de otros profesionales y aprender de sus experiencias y errores. Voy a tratar esto como una oportunidad para aprender nuevas técnicas y enfoques. Cuando se plantea la situación de que mi asistencia está llamada, voy a responder voluntariamente a compartir mis conocimientos con los demás.
g) Voy a ofrecer mis conocimientos para mostrar a otros cómo convertirse en profesionales de la seguridad en su propio derecho. Me esforzaré por ser percibido como un empleado y ser honesto y digno de confianza.
h) No voy a defender los intereses privados a expensas de los usuarios finales, colegas o mi empleador.
i) No voy a abusar de mi poder. Voy a utilizar mis conocimientos técnicos, derechos de usuario y permisos sólo para cumplir con mis responsabilidades de mi empleador.
j) Voy a evitar y estar alerta a cualquier circunstancia o acciones que pudieran conducir a conflictos de intereses o la percepción de conflictos de intereses. Si se produce tal circunstancia, notificaré a mi empleador o socios de negocios.
k) No voy a robar la propiedad, el tiempo o los recursos.
l) Voy a rechazar sobornos o comisiones ilegales e informarán de su actividad ilegal.
m) Voy a informar sobre las actividades ilegales de mí mismo y los demás, sin respeto a los castigos involucrados. No voy a tolerar los que mienten, roban, engañan o como un medio para el éxito en TI.
n) No voy a lastimar a otros, sus propiedades, reputación o empleo por acciones falsas o maliciosas.
o) No utilizaré la disponibilidad y el acceso a la información para obtener beneficios personales a través de espionaje corporativo.
p) Estoy obligado a reportar todas las vulnerabilidades del sistema que podrían resultar en un daño significativo.
q) Yo respeto a la propiedad intelectual y tendré cuidado de dar crédito por el trabajo de otros. Nunca voy a robar o mal uso con derechos de autor, materiales patentados, secretos comerciales o cualquier otro activo intangible.
r) Voy a documentar con precisión mis procedimientos de configuración y las modificaciones que he hecho para el equipo. Esto asegurará que los demás se les informará de los procedimientos y los cambios que he hecho.
s) Yo respeto a la privacidad de la información de mis compañeros de trabajo. No voy a examinar o analizar su información, incluyendo datos, archivos, registros, o el tráfico de red, excepto como se define por los roles designados, la política de uso aceptable de la organización, según lo aprobado por los recursos humanos, y sin el permiso del usuario final.
t) Voy a obtener permiso antes de entrar a los sistemas de sondeo en una red en busca de vulnerabilidades.
u) Respeto el derecho a la confidencialidad con mis empleadores, clientes y usuarios, excepto según lo dictado por la ley aplicable. Yo respeto a la dignidad humana.
v) Guardo como un tesoro y defenderé la igualdad, la justicia y el respeto por los demás.
w) No voy a participar en cualquier forma de discriminación, ya sea por motivos de raza, color, origen nacional, ascendencia, sexo, orientación sexual, identidad o expresión de género / sexual, estado civil, credo, religión, edad, discapacidad, condición de veterano, o política ideología.
De las tres instituciones mostradas cada una de ellas posee diferentes códigos de ética en las cuales sus solicitantes serán sometidos a evaluaciones y deberán aprobar este tipo de requerimientos, además serán evaluados por sus comportamientos en la sociedad, en lo laboral, en las normas de la institución, en las leyes federales, en las políticas de las empresas privadas y gubernamentales, en su comportamiento con los demás colegas y el público en general, así como su participación en la educación de manera desinteresada como en asistencia a proyectos sin fines de lucro, el apoyo a otras personas que están iniciando su carrera profesional y que necesiten asistencia para el fortalecimiento de sus conocimientos y experiencia.
SANS Technology Institute muestra una idea de lo que este articulo quiere mostrar y es que hacen uso de varias teorías éticas en el cual los códigos éticos y la responsabilidad profesional potencializan los altos niveles de compromiso que hay por parte de los buenos profesionales en la informática forense, una buena preparación con todo este tipo de elementos hace que los sistemas de la sociedad tengan una mejor proyección tanto a nivel organizacional, social, económico y educacional.
Si se consideran este tipo de modelos para la ciencia de la informática forense, en el cual las universidades como centros de capacitación profesional se apoyarán en instituciones federales del país en lineamiento con el perfil del estudiante o profesional se estarían dando los primeros pasos para contrarrestar las nuevas amenazas emergentes a nivel mundial y que están latentes en nuestra sociedad.
CASO DE ESTUDIO
Ingeniero de CAESS “hackea” sistema interno y estafa a la empresa más $95 mil.
Un ingeniero en sistemas que estafó a la empresa de electricidad CAESS con más de $95 mil alterando la base de datos y el sistema interno fue condenado a ocho años de cárcel. El hombre se apropió del pago de recibos de electricidad de los usuarios.
José Nicolás Albayero Portillo fue detenido unos minutos después de “hackear” el sistema. Tras el proceso judicial en su contra fue condenado por el delito de estafa agravada y continuada; además tendrá que devolver a la empresa el dinero de la estafa.
“El sistema fue ‘hackeado’. Con un reclamo de un usuario la empresa inició la investigación porque el sistema interno no presentaba ninguna falla, aunque consideramos que este sujeto no actuó solo ni la empresa ni la Fiscalía pudo comprobar esta hipótesis”, señaló la fiscal del caso.
El reclamo de una empresa usuaria alertó a la compañía. Luego de una investigación, la empresa colocó un dispositivo para rastrear el equipo móvil desde donde el ladrón ingresaba al sistema interno y hacía los movimientos para que algunos recibos aparecieran como pagados.
Según se estableció en el proceso judicial, Albayero realizó modificaciones al pago de 704 recibos de electricidad de varios clientes de CAESS en los últimos dos años. El total de lo estafado a la empresa suma $95,962.48. [19]
Aplicando los códigos de ética, las buenas prácticas y principios éticos, tenemos que se rompe con el respeto a las personas, la autonomía, la Integridad, la justicia. Además se abusa del poder, se utilizan los conocimientos técnicos, los derechos de usuario y permisos para sacar ventaja y lograr un beneficio económico propio. Se comete robo a la organización.
CONCLUSIÓN
La importancia de la enseñanza de las diferentes teorías éticas en la informática forense se debe a la necesidad actual de la profesión y su multidisciplinariedad y por las necesidades de como poder resolver los conflictos de peritaje informático y como el profesional o estudiante puedan tener las habilidades y destrezas para afrontarlos. Se debe de considerar la inclusión de ética en este tipo de formaciones, como es la informática forense, o consolidarse en aspectos de la seguridad de la información a nivel universitario y de centros de capacitación profesional. No se debe dar por finalizado con el hecho de que son aspectos del conocimiento humano, o con algún tipo de cursos, conferencias, ejercicios con muy poca intervención de las normas de conducta profesional y que se deje de contribuir a las capacidades del estudiante para enfrentar los desafíos éticos.
Las autoridades pertinentes deberán tener la visión para presentar profesionales completos y competentes basados en la formación científica y ética, que por medio del análisis forense se pueda reconstruir la escena de un ataque informático, el personal que realiza el análisis debe ser altamente entrenado en seguridad informática, tener amplio conocimiento de las herramientas, el sistema operativo, además el analista debe poseer altas cualidades éticas con el fin de no manipular la información para el beneficio propio o de terceros.
Los expertos en informática forense como deber ser buenos científicos informáticos capacitados para hacer frente a diversas complejidades técnicas, deben ser educados en leyes para ser capaces de evaluar y resolver las pruebas informáticas. Ser entrenados en los principios de la ciencia forense, la obediencia a los principios de buenas conductas y buenas prácticas, mantener la documentación completa de sus acciones (cadena de custodia) y por último, pero no menos importante, que deben ser capaces de juzgar sus acciones en el contexto de estrés psicológico y la posible actividad criminal, por lo que es necesario reflejar los problemas profundos de la ética profesional.
Realizar propuestas a toda esta problemática, posiblemente iniciar sobre aspectos en la educación superior, incluir carreras donde se pueda adoptar este tipo de especialidades, hay que tener en cuenta que los delitos informáticos van en aumento, tenemos que tener en consideración las nuevas problemáticas tecnológicas como el Big Data y el Internet de Todo para poder afrontar estos nuevos retos. Sobre estas nuevas especialidades inculcar la ética profesional desde de todos los ámbitos, que se incluya en términos tecnológicos, en casos de estudio, en el seguimiento y cumplimiento de códigos éticos para forjar buenos profesionales y que sirvan al bien común de la sociedad. A parte poder introducir leyes que garanticen el cumplimiento de la ley ante delitos informáticos y de igual manera poder incluir este tipo de apartado en los modelos curriculares de la computación forense.
REFERENCIAS
[1] Plan de estudio de Ingeniería de Sistemas Informáticos en Universidad de El Salvador. Disponible en 20/09/2014.
https://academica.ues.edu.sv/consultas/plan_estudio/diagrama_carrera.php?carrera=I10515-1998&facultad=ingenieria
[2] Plan de estudio de Ingeniería en Ciencias de la Computación en Universidad Don Bosco. Disponible en 20/09/2014. http://www.udb.edu.sv/udb/archivo/pensum/ing_compu.pdf
[3] Plan de estudio de Técnico en Ingeniería en Computación en Universidad Don Bosco. Disponible en 20/09/2014. http://www.udb.edu.sv/udb/archivo/pensum/tec_computacion.pdf
[4] Plan de estudio de Ingeniería en Ciencias de la Computación en Universidad Francisco Gavidia. Disponible en 20/09/2014. http://nuevoingreso.ufg.edu.sv/ni.carreras.php?carrera=010302&plan=116&sede=ss#
[5] Plan de estudio de Licenciatura en Sistemas Informáticos en Universidad Francisco Gavidia. Disponible en 20/09/2014. http://nuevoingreso.ufg.edu.sv/ni.carreras.php?carrera=010319&plan=168&sede=ss#
[6] Plan de estudio de Ingeniería en Sistemas en Universidad Evangélica de El Salvador. Disponible en 20/09/2014. http://www.uees.edu.sv/carreras/pensumpdf/ingenieria2013.pdf
[7] Plan de estudio de Técnico en Redes en Universidad Evangélica de El Salvador. Disponible en 20/09/2014. http://www.uees.edu.sv/carreras/pensumpdf/ingenieria2013.pdf
[8] Plan de estudio de Ingeniería en Ciencias de la Computación en Universidad Politécnica de El Salvador. Disponible en 20/09/2014.http://www.upes.edu.sv/facultades/ingenieria-y-arquitectura/ingenieria-en-ciencias-de-la-computacion.html?start=2
[9] Plan de estudio de Licenciatura en Informática en Universidad Modular Abierta. Disponible en 20/09/2014. http://www.uma.edu.sv/principal/carreras/pensums/pensum_informatica.pdf
[10] Plan de estudio de Licenciatura en Gerencia Informática en Universidad Pedagógica de El Salvador. Disponible en 20/09/14. http://www.pedagogica.edu.sv/DescargasDocumentos/PEMSUM/Pensum-Carreras-Ciencias-Economicas/Licenciatura%20en%20Gerencia%20Informatica.pdf
[11] Plan de estudio de Maestría Desarrollo de Software en Universidad de El Salvador. Disponible en 20/09/14. http://www.fia.ues.edu.sv/web/msoftware/pensum
[12] Plan de estudio de Maestría en Seguridad y Gestión de Riesgos Informáticos en Universidad Don Bosco. Disponible en 20/09/14. http://postgrados.udb.edu.sv/msgri.php
[13] Plan de estudio de Maestría en Informática Aplicada en Redes. Disponible en 20/09/14. http://postgrados.ufg.edu.sv/2.0/mstr-info-y-redes/pensum-mstr-info-y-redes.html
[14] Dinah Payne & Brett J.L. Landre: A Uniform Code of Ethics, Business and IT Professional Ethics, 2006. Disponible en 20/09/2014. http://www.academia.edu/853298/A_uniform_code_of_ethics_business_and_IT_professional_ethics
[15] Códigos de ética y responsabilidad profesional de International Society of Forensics Computer Examiners (ISFCE). Disponible en 20/09/2014. https://www.isfce.com/ethics2.htm
[16] Códigos de ética y estatuas de High Technology Crime Investigation Association (HTCIA). Disponible en 20/09/2014. http://www.htcia.org/code-of-ethics-bylaws/
[17] Códigos de ética de Global Information Assurance Certification (GIAC). Disponible en 20/09/2014. http://www.giac.org/about/ethics/code
[18] Códigos de ética de IT de SANS Technology Institute. Disponible en 20/09/2014. https://www.sans.org/security-resources/ethics.php#__utma=56421037.706942594.1411179148.1411179236.1411234382.3&__utmb=56421037.4.9.1411234391621&__utmc=56421037&__utmx=-&__utmz=56421037.1411234382.3.2.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=(not%20provided)&__utmv=-&__utmk=254846604
[19] Caso de estudio. Disponible en 09/20/2014 http://mobile.lapagina.com.sv/detail.php?news_id=94500
Thomas Schwarz, S.J., Teaching Ethics and Computer Forensics: The Markkula Center for Applied Ethics Approach, 2005.
Larry E. Daniel & Lars E. Daniesl, Digital Forensics for Legal Professionals: Understanding Digital Evidendce from the Warrant to the Courtroom, 2012.
Alasdair MacIntyre: After Virtue, University of Notre Dame Press, Notre Dame, Indiana. 2Nd edition, 1984.
By J.R. Kerberos
aanndrade 