Protección de Datos Ing. Karina Astudillo B. Gerente de IT 1
Agenda El porqué de la importancia de implementar protección de datos Panorama de seguridad informática mundial Casos relevantes en Ecuador Confidencialidad, Integridad y Disponibilidad de la Información Tipos de ataques a la seguridad de la información Conceptos claves sobre protección de datos Seguridad Perimetral vs Protección de Datos Principios de la protección de datos El Hábeas Data como garantía constitucional en Ecuador Ley ecuatoriana de Comercio Electrónico Soluciones para protección de datos Métodos de Autenticación Mecanismos de protección Sistemas Anti-X y de Prevención de Intrusos basados en Host (HIPS) Sistemas de Prevención de Pérdida de Datos (DLP) y Network Admission Control Sistemas de Encripción 2
IMPORTANCIA DE LA PROTECCIÓN DE DATOS 3
Panorama de seguridad informática El Top 20 de programas maliciosos en Internet (Fuente: Kaspersky Security Bulletin 2010). 4
ITU Study on the Financial Aspects of Network Security: Malware and Spam. Final Report 2008 5
Casos relevantes en Ecuador 360% de incremento en delitos informáticos en Ecuador entre 2009 y 2010! Fraudes electrónicos (phishing) Clonación de tarjetas Ataques a websites del gobierno (defacements) Estafas / Suplantación de identidad Infracciones de Propiedad Intelectual Virus, Worms, Troyanos 6
Objetivos de Seguridad Confidencialidad Integridad Disponibilidad Copyright 2011, Elixircorp S.A. http://www.elixircorp.biz 7
Ataques a la seguridad INTERRUPCIÓN: Este es un ataque a la disponibilidad INTERCEPCIÓN: Ataque a la confidencialidad MODIFICACIÓN: Ataque a la integridad FABRICACIÓN: Ataque a la autenticidad 8
Tipos de ataques Reconocimiento Acceso Virus, Worms y Troyanos Denegación de Servicio 9
CONCEPTOS CLAVES SOBRE PROTECCIÓN DE DATOS 10
Seguridad Perimetral Vs Protección de Datos La seguridad perimetral es la primera defensa ante intrusiones. Como su nombre indica actúa sobre el perímetro o borde de la red. Ejemplos de equipos de protección perimetral: firewalls, IDS/IPS, sistemas anti-x, etc. 11
Seguridad Perimetral Vs Protección de Datos Y qué pasa si un cracker o un programa malicioso rebasa las protecciones perimetrales? Entonces nuestra suerte dependerá de cuán bien hayamos protegido nuestros datos! 12
Qué es la Protección de Datos? La protección de datos consiste en la implementación de medidas directas sobre nuestra información que permitan garantizar los 3 objetivos de seguridad: Confidencialidad, Integridad y En un contexto legal, la legislación sobre protección de datos debe asegurar que los datos personales no sean procesados sin el conocimiento y, con ciertas excepciones, sin el consentimiento del sujeto de los datos. Disponibilidad Se debe asegurar además que dichos datos se procesen de manera precisa, aplicando un conjunto de estándares que garanticen la seguridad.
El hábeas data como derecho constitucional 14
Legislación - Ecuador 1 2 3 4 5 Ley Orgánica de Transparencia y Acceso a la Información Pública Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos Ley de Propiedad Intelectual Ley Especial de Telecomunicaciones Constitución de la República (Habeas Data) Código de Procedimiento Penal (CPP) Código de Procedimiento Civil (CPC) 15
Ley de Comercio Electrónico Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002 Ver el reglamento en http://www.corpece.org.ec 16
Conceptos introducidos por la ley Mensajes de Datos Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros. Principio de Equivalencia Funcional Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2) Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados. 17
Conceptos introducidos por la ley Mensajes de Datos como medio de prueba El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia. Firma Electrónica No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente. 18
Conceptos introducidos por la ley Penalización Delito de fraude informático Alteración funcionamiento de programa informático Delito de falsificación electrónica Modificación del mensaje de datos Delito de daño informático Destrucción de programas o mensajes 19
Infracciones Informáticas (CPP) INFRACCIONES INFORMATICAS REPRESION MULTAS Delitos contra la información protegida (CPP Art. 202) 1. Violentando claves o sistemas 2. Seg. nacional o secretos comerciales o industriales 3. Divulgación o utilización fraudulenta 4. Divulgación o utilización fraudulenta por custodios 5. Obtención y uso no autorizados 6 m. - 1 año 3 años 3 a 6 años 9 años 2 m. - 2 años $500 a $1000 $1.000 - $1500 $2.000 - $10.000 $2.000 - $10.000 $1.000 - $2.000 Destrucción maliciosa de documentos (CCP Art. 262) 6 años --- Falsificación electrónica (CPP Art. 353) 6 años --- Daños informáticos (CPP Art. 415) 1. Daño dolosamente 2. Serv. público o vinculado con la defensa nacional 3. No delito mayor Apropiación ilícita (CPP Art. 553) 1. Uso fraudulento 2. Uso de medios (claves, tarjetas magnéticas, etc.) 6 m. - 3 años 5 años 8 m. - 4 años 6 m. - 5 años 5 años $60 $150 $200 - $600 $200 - $600 $500 - $1000 $1.000 - $2.000 Estafa (CPP Art. 563) 5 años $500-1.000 20
SOLUCIONES PARA PROTECCIÓN DE DATOS 21
Mecanismos de autenticación Algo que sé. Ej: clave. Algo que tengo. Ej: smartcard. Algo que soy. Ej: biométrico. Autenticación de dos y tres vías. Copyright 2011, Elixircorp S.A. http://www.elixircorp.biz 22
Video: Captura de teclado virtual 23
Mecanismos de protección Definición de una Política de Seguridad Corporativa. DRP y BCP. Implantación de un Sistema de Gestión de Seguridad de Información (SGSI). Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas. Capacitación del personal de sistemas en seguridad informática. Protección perimetral. Uso de tecnologías Anti-X. NAC y DLP. AAA y Encripción. Ejecución de auditorías de seguridad informática anuales. 24
Sistemas Anti-X Antivirus / Antimalware / Antispam Basados en firmas o reglas Patrones Heurísticos Copyright 2011, Elixircorp S.A. http://www.elixircorp.biz 25
Sistemas Prevención de Intrusos (IPS) Network / Host Intrusion Prevention Systems (NIPS / HIPS) Basados en firmas Basados en comportamiento Copyright 2011, Elixircorp S.A. http://www.elixircorp.biz 26
DLP (Data Lost Prevention Systems) Perfiles por usuario y de grupo. Clasificación de documentos. Niveles de acceso por perfil. Prevención de lectura / modificación/ borrado / robo de información. Medios extraíbles (CD/DVD/USB). Correo electrónico. Upload / Download de archivos. Copyright 2011, Elixircorp S.A. http://www.elixircorp.biz 27
NAC (Network Admission Control) Autenticación (802.1X) Perfiles de dispositivos. Asignación a VLAN s. VLAN de Cuarentena. Servidor de Remediación. Copyright 2011, Elixircorp S.A. http://www.elixircorp.biz 28
Esquemas de Encripción Encripción simétrica (clave de sesión). Protocolos: DES / 3DES Encripción asimétrica (clave pública / clave privada) PKI. Protocolos: AES RSA Diffie-Hellman 29
Sistemas de Encripción Programas para encripción de archivos individuales. Encripción integrada en el sistema de archivos. Encripción del disco completo. Encripción del correo electrónico (certificados / firmas digitales) 30
Preguntas? 31
GRACIAS POR SU TIEMPO! 32