consulting project consulting project foro de seguridad en redes aspectos clave de la seguridad en...
TRANSCRIPT
Consulting Project
Consulting Project
Foro de Seguridad en Redes
“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”
Dra. Mónica Abalo LaforgiaConsulting Project | Directora
AGENDA
Aspectos de la Seguridad en Internet
La Protección de Datos en la Sociedad de la Información
Conclusiones
Preguntas
“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”
Consulting Project
Consulting Project
AGENDA
Aspectos de la Seguridad en InternetQué es la Seguridad
Definición e identificación de Vulnerabilidades y Amenazas
Concepto y Características del Delito Informático
El Proyecto de Ley. Criterios de regulación
Clases y Evolución
“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”
Consulting Project
Consulting Project
QUÉ ES LA SEGURIDAD
Clases
Mitos
•Software Infalible
•Escenarios simples y pocos
• Robo de información sólo a nivel de red
• Asegurar el “end-point” resuelve el problema
• Comportamiento del usuario es seguro
SEGURIDAD DE ACCESO
SEGURIDAD REACTIVA
Preocupa a individuos y organizaciones
Concepto relativo
INFRAESTRUCTURA + DATOS
=SEGURIDAD
Consulting Project
Consulting Project
PRINCIPIOS GENERALES DE SEGURIDAD
Ponderación del Riesgo
AMENAZAS
VULNERABILIDADES
Políticas de seguridad “customizadas”
Condiciones de Éxito
(i) Utilidad(ii) Coherencia (iii)Practicable
(iv) Adecuada culturalmente
Obligaciones del responsable
Vs.
Consulting Project
Consulting Project
DELITO INFORMÁTICO Consulting
ProjectConsulting
Project
Conducta Antijurídica:
CONCEPTO
MEDIO: utiliza recursos informáticosOBJETO: contra recursos, medios o sistemas informáticos
Contra las PERSONAS
Contra el HONOR
Contra la INTEGRIDAD SEXUAL
Contra el ESTADO CIVIL
Contra la LIBERTAD
Contra la PROPIEDAD
Contra la SEGURIDAD PÚBLICA
PORNOGRAFÍA INFANTIL
INSERCIÓN DE DATOS PERSONALES FALSOS
ACCESO NO AUTORIZADO A BASES DE DATOS
SPAM
ESTAFAS Y DEFRAUDACIONES UTILIZANDO SISTEMAS INFORMÁTICOS
DAÑOS A SISTEMAS DE INFORMACIÓN
FALSIFICACIÓN DE DOCUMENTOS ELECTRÓNICOS O FIRMA DIGITAL
Código Penal Vigente Delitos Informáticos
BIENES JURÍDICOS PROTEGIDOS
Contra el ORDEN PÚBLICO
Contra la SEGURIDAD DE LA NACIÓN
Contra los PODERES PÚBLICOS Y ORDEN CONSTITUCIONAL
Contra la ADMINISTRACIÓN PÚBLICA
Contra la FE PÚBLICA
DELITOS INFORMÁTICOS
SITUACIÓN ARGENTINA RIESGOS
Consulting Project
Consulting Project
Infinidad de Proyectos presentados
Cámaras del Sector y Organismos Públicos (ONTI)
Nemirovsci y Otros Expte 5864-D-2006
Falta de conocimiento del funcionamiento y naturaleza de Internet
Definiciones amplias que abarquen otros bienes jurídicos protegidos
Proteger lo ya protegido
NO HAY LEYES PERFECTAS
CAPACITACIÓN
INFORMACIÓN
ASESORAMIENTO
INTERPRETACIÓN ARMÓNICA DEL ORDENAMIENTO JURÍDICO
Responsabilidad Responsabilidad
Social Social
CLASES Y EVOLUCIÓN
Pérdida de Información por distintos medios (Internet, intranet, dispositivos externos)
Hackers: adolescentes con conocimientos informáticos. Sin intereses económicos
Crackers: anonimato limitado. Intereses económicosPhishing: redes de crimen organizado.
Vishing:•E-mail con número de teléfono
•Llamado que emula la central telefónica del banco
Pharming:•Manipulación de DNS del PC para desviar a páginas falsas
•Se utilizan gusanos y troyanos
Scam:•Ofrecimiento vía e-mail de trabajo desde el hogar
• Se utiliza para blanquear dinero
Consulting Project
Consulting Project
PHISHING… UNA PRÁCTICA QUE NO DESCANSA
Consulting Project
Consulting Project
Entidades Atacadas
93(2006)/178(2007)U.S.A
U.K
España
Canadá e Italia
91,4%73%
10%
4%
3%
“Spam”: correo electrónico no solicitado(Junk mail)
“Spamming”: acción de enviar mensajes de correo electrónico a varias personas con fines primariamente publicitarios
DEFINICIÓNC
on
sec
uen
cia
s
Año 1999
Abogados especialistas en migraciones Canter & Siegel
Ofrecimiento de servicios
ORIGEN
Fue juzgado como una acción negativa por la sociedad
Cancelación del servicio Internet
Desafiliación como “barristers” en el Estado de Arizona
Ganancias por la publicación del libro
SPAM – CONCEPTOS GENERALES
Consulting Project
Consulting Project
DESDE EL ISPTiempo de lectura
Tiempo de conexión
Realizar quejas
Solicitud infructuosa de OPT-OUT
DESDE EL USUARIO
QUIÉN LOS ASUME?
Costos operativos en RR.HH y tecnológicos:• atención de reclamos• saturación de redes y servidores• filtrado de mails
SOLUCIONES ?
TÉCNICAS Y FISICAS (listas blancas y listas negras)
JURIDICAS
Regulación
Auto -regulación
SPAM – COSTOS Y SOLUCIONESConsulting
ProjectConsulting
Project
ALGUNOS NÚMEROS …
El Spam sigue creciendo inmune a cualquier medida en su contra
Fuente: Hispasec 22/05/06 (Estudio realizado por Ipswitch)
Año 2006 2005 … 2003
2002
Período 1º Q 4º Q … Julio Diciembre
62%
57% ... 50%
40%
Temáticas del Spam
Variaciones
2005-2006 5%
2003-2006 12%
42% sexo y pornografía
Hipotecas y Préstamos
Medicamentos
Software pirata
Lotería y Juegos
Consulting Project
Consulting Project
AGENDA
La Protección de Datos en la Sociedad de la InformaciónConcepto y Características
Aspectos relevantes de la Ley 25.326
Situación Argentina y resto del Mundo
El Servicio WHOIS: concepto, posturas y criterios. El Debate
La Protección de la Propiedad Intelectual en Internet
Consulting Project
Consulting Project“ASPECTOS CLAVE DE LA SEGURIDAD EN
INTERNET”
Dato = Información
Flujo de información entre sus integrantes que se realiza en tiempo
real
Sociedad
Información de cualquier tipo referida a personas físicas o de existencia
ideal determinadas o determinables (Art. 2 – Ley 25.326
Dato Personal
Información Asociación en forma directa o indirecta a una persona física DATO PERSONAL
Dato Personal In
form
ació
n
Flujo
Soci
edad
Dato Personal
AUTODETERMINACION INFORMATIVA
CONCEPTO Y CARACTERÍSTICASConsulting
ProjectConsulting
Project
Artículo 19 C.N.
“ Las acciones privadas de los hombres que de ningún modo ofendan al orden y la moral pública ni perjudiquen a un tercero, están reservadas a Dios y exenta de la autoridad de los magistrados …”
Derecho a la Intimidad se relaciona con:
Autodeterminación Informativa
Anonimato
Posibilidad de controlar la información referida así misma que una determinada persona quiere compartir con los otros
FUNDAMENTOSConsulting
ProjectConsulting
Project
DERECHO A LA INTIMIDAD VS. PROTECCIÓN DE DATOS
DO NOT
DISTURB
Derecho a la Intimidad
DERECHO PERSONALÍSIMO
DERECHO AUTONOMO
DERECHO FUNDAMENTAL
Derecho a la Intimidad Protección de Datos
Consulting Project
Consulting Project
Sistema “SAFE HARBOUR”
Basado en la protección referida al consumo de sectores determinados
Órgano de Control: FTC
ESTADOS UNIDOS
Arg
en
tin
aLeyes que regulan el tratamiento de datos personales: Chile y Paraguay
Proyecto de Ley en discusión: Brasil
LATINOAMERICA
Sistema jurídico mixto (Consumo + Derecho Humano)
Ley general con protecciones específicas
Único país en Latinoamérica con adecuación internacional
1º Legislación Europea: “Convenio del Consejo de Europa de protección de las personas con respecto al tratamiento automatizado de datos de carácter personal de 1981”
Directiva 95/46/CE
Directiva 97/66/CE
Directiva 2002/58/CE
UNIÓN EUROPEA
SITUACIÓN ARGENTINA Y RESTO DEL MUNDO
Consulting Project
Consulting Project
ASPECTOS RELEVANTES DE LA LEY 25.326Consulting
ProjectConsulting
Project
Ley 25.326
Decreto Reglamentario 1558/2001
OBJETO (Art. 1º)
Datos personales sometidos a procesamiento
Asentadas en banco de datos
Destinados a “dar informes” (o que excedan el uso personal – Dec Regl.1558/01
Responsable (Base de Datos)
Titular (Contenido)
Usuario (Tratamiento de Datos )
Tratamiento de datos - procedimiento sistemático
Datos sensibles
SUJETOS Y DEFINICIONES
REGULACIÓN
ASPECTOS RELEVANTES DE LA LEY 25.326Consulting
ProjectConsulting
ProjectP
rincip
ios
Gen
era
lesPRESUNCION DE
LEGITIMIDAD
CALIDAD DE LOS DATOS
CONSENTIMIENTO INFORMADO
DEBER DE CONFIDENCIALIDAD
RE
GL
AS
Datos Sensibles: No pueden ser objeto de tratamiento.
Excepción: Fines estadísticos o científicos o autorización legal
Condición: Disociación de los datos
Prohibición de formar banco de datos que revelen datos sensibles
Datos que contengan información que revelen: origen racial y ético, convicciones políticas y religiosas, orientación política o sindical, salud e identidad sexual
DATOS SENSIBLES
ASPECTOS RELEVANTES DE LA LEY 25.326
Consulting Project
Consulting Project
DERECHOS DE LOS TITULARES
CONTENIDO DE LA INFORMACIÓN
(Art. 15)
DERECHO DE RECTIFICACIÓN,
ACTUALIZACIÓN O SUSPENSIÓN (Art. 16)
DERECHO DE BLOQUEO (Art. 27)
DERECHO DE ACCESO(Art. 14)
Administrativas
Penales (Art. 117 Bis y 157 Bis Código Penal)
SANCIONES ORGANO DE CONTROL
ELEMENTOS DEL “DATO PERSONAL”
Referido a personas identificadas o identificables
Comprende información de carácter numérico
Tratamiento de datos
Dirección IP:
información numérica
Entidad tratante Relacionarla con una persona física
DATO PERSONAL
LA DIRECCIÓN IP COMO DATO PESONAL
Consulting Project
Consulting Project
EL SERVICIO WHOIS
DEFINCIÓN:
Servicio de informar datos sobre un nombre de dominio
Polémica
Qué datos se debe pedir al solicitante
Qué datos se deben poner a disposición del público y como hacerloGrupo de Trabajo del Art. 29
Dictamen 2/2003
Consulting Project
Consulting Project
ICANN
• Solicitante Empresa vs. Particular
• Publicación del nombre vs. Principio de Oposición
• Publicación de “domicilio” y “teléfono” vs. Derecho de aparición en Guía
• Actuación del Proveedor de Servicio como intermediario
• Aplicación de las Directivas sobre Protección de Datos
• Limitación del acceso masivo con fines de marketing directo
• Preocupación del WHOIS = Guía inversa
• POSIBILIDAD DE REGISTRAR NOMBRES DE DOMINIO SIN PUBLICACIÓN DE DATOS PERSONALES
• Desde 1999, ICANN fue la encargada de fijar las Políticas para el Whois.
• Solicitante de un nombre de dominio debe proveer información exacta, actualizada y accesible
• Grupo de Trabajo de WHOIS de ICANN definió 2 posturas
• Sony, eBay, etc y el Grupo de Incumbencia de Propiedad Intelectual votaron la postura amplia
• El el Consejo General sobre Nombres de Dominio de ICANN recomendó (al 12 de noviembre de 2006) la adhesión a la postura restringida
EL SERVICIO WHOISConsulting
ProjectConsulting
Project
EL SERVICIO WHOIS
PREGUNTAS A REALIZAR PARA DEFINIR UNA POLÍTICA DE WHOIS
Consulting Project
Consulting Project
Los datos solicitados por el Registro requieren del consentimiento informado de su titular ?
Es el titular de los datos informado adecuadamente sobre la finalidad de los datos recabados ?
Excede el tratamiento de esos datos la finalidad para la cual fueron recabados ?
Es el Registro una base de dato de acceso público irrestricto ?Qué datos NO requieren el consentimiento informado de su titular ?(Art. 5º Ley 25.326: Nombre, DNI, Identificación tributaria o previsional, Ocupación, Domicilio y Fecha de Nacimiento)
Le cabe al Registro como responsable del banco de datos aplicar las medidas de seguridad ?
Es el número de teléfono un dato que requiera el consentimiento de su titular para ser incluido en una base de datos ?
AGENDA
Aspectos de la Seguridad en Internet
La Protección de Datos y de la Propiedad Intelectual en la Sociedad de la InformaciónConclusiones
Preguntas
“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”
Consulting Project
Consulting Project
CONCLUSIONES Y PROPUESTAS
CONCLUSIONES
Mesura y racionalidad al imponer obligaciones a los proveedores de servicios de información y telecomunicación para la protección eficaz de los usuarios.
Consulting Project
Consulting Project
El principio de autodeterminación informativa es un elemento esencial de la protección a la intimidad.Una política de seguridad debe considerar tanto la infraestructura como la información.
Delitos informáticos son actividades profesionalizadasEs importante repensar cuál es el objetivo que se quiere para el WHOIS
¡ Muchas Gracias !
Consulting Project
Consulting Project
Consultas: [email protected]
url: www.consultingproject.com.ar