Post on 09-Jun-2015
description
1
Ing. Karina Astudillo B.
Gerente de IT
Protección de Datos
Agenda El porqué de la importancia de implementar protección de datos
Panorama de seguridad informática mundial
Casos relevantes en Ecuador
Confidencialidad, Integridad y Disponibilidad de la Información
Tipos de ataques a la seguridad de la información
Conceptos claves sobre protección de datos
Seguridad Perimetral vs Protección de Datos
Principios de la protección de datos
El Hábeas Data como garantía constitucional en Ecuador
Ley ecuatoriana de Comercio Electrónico
Soluciones para protección de datos
Métodos de Autenticación
Mecanismos de protección
Sistemas Anti-X y de Prevención de Intrusos basados en Host (HIPS)
Sistemas de Prevención de Pérdida de Datos (DLP) y Network Admission Control
Sistemas de Encripción 2
IMPORTANCIA DE LA
PROTECCIÓN DE DATOS
3
Panorama de seguridad informática
4
El Top 20 de programas maliciosos en Internet (Fuente: Kaspersky Security Bulletin 2010).
5
ITU Study on the Financial
Aspects of Network Security:
Malware and Spam.
Final Report 2008
Casos relevantes en Ecuador
Fraudes electrónicos (phishing)
Clonación de tarjetas
Ataques a websites del gobierno (defacements)
Estafas / Suplantación de identidad
Infracciones de Propiedad Intelectual
Virus, Worms, Troyanos
¡360% de incremento en delitos informáticos en Ecuador entre 2009 y 2010!
6
Objetivos de Seguridad
Integridad
Confidencialidad
Disponibilidad
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 7
Ataques a la seguridad
INTERRUPCIÓN: Este es un ataque a la disponibilidad
INTERCEPCIÓN: Ataque a la confidencialidad
MODIFICACIÓN: Ataque a la integridad
FABRICACIÓN: Ataque a la autenticidad
8
Tipos de ataques
Reconocimiento
Acceso
Virus, Worms y Troyanos
Denegación de Servicio
9
CONCEPTOS CLAVES SOBRE
PROTECCIÓN DE DATOS
10
Seguridad Perimetral Vs Protección de Datos
La seguridad perimetral es la primera defensa ante intrusiones.
Como su nombre indica actúa sobre el perímetro o borde de la red.
Ejemplos de equipos de
protección perimetral:
firewalls, IDS/IPS,
sistemas anti-x, etc.
11
Seguridad Perimetral Vs Protección de Datos
¿Y qué pasa si un cracker o un programa malicioso rebasa las protecciones perimetrales?
Entonces nuestra suerte dependerá de cuán bien hayamos protegido nuestros datos!
12
¿Qué es la Protección de Datos?
La protección de datos consiste en la implementación de medidas directas sobre nuestra información que permitan garantizar los 3 objetivos de seguridad:
Confidencialidad,
Integridad y
Disponibilidad
En un contexto legal, la legislación sobre protección de datos debe asegurar que los datos personales no sean procesados sin el conocimiento y, con ciertas excepciones, sin el consentimiento del sujeto de los datos.
Se debe asegurar además que dichos datos se procesen de manera precisa, aplicando un conjunto de estándares que garanticen la seguridad.
El hábeas data como derecho constitucional
14
Legislación - Ecuador
Código de Procedimiento Penal (CPP)
Código de Procedimiento Civil (CPC)
1
Ley Orgánica de Transparencia y Acceso a la Información Pública
2
Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos
3 Ley de Propiedad Intelectual
4 Ley Especial de Telecomunicaciones
5
Constitución de la República (Habeas Data)
15
Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002
Ver el reglamento en http://www.corpece.org.ec
Ley de Comercio Electrónico
16
Conceptos introducidos por la ley
Mensajes de Datos
Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros.
Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados.
Principio de Equivalencia Funcional
Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2)
17
Conceptos introducidos por la ley
Mensajes de Datos como medio de prueba
El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia.
Firma Electrónica
No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente.
18
Penalización
Delito de fraude informático
Alteración funcionamiento de
programa informático
Delito de falsificación electrónica
Modificación del mensaje de datos
Delito de daño informático
Destrucción de programas o
mensajes
Conceptos introducidos por la ley
19
Infracciones Informáticas (CPP)
INFRACCIONES INFORMATICAS REPRESION MULTAS
Delitos contra la información protegida (CPP Art. 202)
1. Violentando claves o sistemas
2. Seg. nacional o secretos comerciales o industriales
3. Divulgación o utilización fraudulenta
4. Divulgación o utilización fraudulenta por custodios
5. Obtención y uso no autorizados
6 m. - 1 año
3 años
3 a 6 años
9 años
2 m. - 2 años
$500 a $1000
$1.000 - $1500
$2.000 - $10.000
$2.000 - $10.000
$1.000 - $2.000
Destrucción maliciosa de documentos (CCP Art. 262) 6 años ---
Falsificación electrónica (CPP Art. 353) 6 años ---
Daños informáticos (CPP Art. 415)
1. Daño dolosamente
2. Serv. público o vinculado con la defensa nacional
3. No delito mayor
6 m. - 3 años
5 años
8 m. - 4 años
$60 – $150
$200 - $600
$200 - $600
Apropiación ilícita (CPP Art. 553)
1. Uso fraudulento
2. Uso de medios (claves, tarjetas magnéticas, etc.)
6 m. - 5 años
5 años
$500 - $1000
$1.000 - $2.000
Estafa (CPP Art. 563) 5 años $500 - 1.000
20
SOLUCIONES PARA
PROTECCIÓN DE DATOS
21
Mecanismos de autenticación
Algo que sé. Ej: clave.
Algo que tengo. Ej: smartcard.
Algo que soy. Ej: biométrico.
Autenticación de dos y tres vías.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
22
Mecanismos de protección
Definición de una Política de Seguridad Corporativa.
DRP y BCP.
Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).
Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.
Capacitación del personal de sistemas en seguridad informática.
Protección perimetral.
Uso de tecnologías Anti-X.
NAC y DLP.
AAA y Encripción.
Ejecución de auditorías de seguridad informática anuales.
24
Sistemas Anti-X
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 25
Antivirus / Antimalware / Antispam
Basados en firmas o reglas
Patrones Heurísticos
Sistemas Prevención de Intrusos (IPS)
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 26
Network / Host Intrusion Prevention Systems (NIPS / HIPS)
Basados en firmas
Basados en comportamiento
DLP (Data Lost Prevention Systems)
Perfiles por usuario y de grupo.
Clasificación de documentos.
Niveles de acceso por perfil.
Prevención de lectura / modificación/ borrado / robo de información. Medios extraíbles (CD/DVD/USB).
Correo electrónico.
Upload / Download de archivos.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 27
NAC (Network Admission Control)
Autenticación (802.1X)
Perfiles de dispositivos.
Asignación a VLAN’s.
VLAN de Cuarentena.
Servidor de Remediación.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 28
Esquemas de Encripción
Encripción simétrica (clave de sesión).
Protocolos: DES / 3DES
AES
29
Encripción asimétrica (clave pública / clave privada) – PKI.
Protocolos:
RSA
Diffie-Hellman
Sistemas de Encripción
Programas para encripción de archivos individuales.
Encripción integrada en el sistema de archivos.
Encripción del disco completo.
Encripción del correo electrónico (certificados / firmas digitales)
30
¿Preguntas?
Mayor información
Website: http://www.elixircorp.biz
Blog: http://www.SeguridadInformaticaFacil.com
Facebook: www.facebook.com/elixircorp
Twitter: www.twitter.com/elixircorp
Google+: http://google.com/+SeguridadInformaticaFacil
¡Gracias por su tiempo!
Karina.Astudillo@elixircorp.biz
Twitter: KAstudilloB
Facebook: Kastudi