La Importancia de la Seguridad Informática: Las políticas y la

Legislación

M. Farias-ElinosLab. de Investigación y Desarrollo de Tecnología

Avanzada (LIDETEA)Universidad La Salle

Grupo de Seguridad de Internet-2web: seguridad.internet2.ulsa.mxe-mail: i2seguridad@cicese.mx

Contenido

Antecedentes

Definiciones

Legislación InformáticaLegislación en México y en el mundo

Las políticas de seguridad

Conclusiones

Antecedentes

El uso de los medios electrónicos infomáticos como la Internet y redes de comunicaciones es algo que se ha masificado en México en las diferentes áreas.

Gobierno

Educación e Investigación

Salud

Comercio / Industria

Antecedentes

El porqué de la seguridad

En cualquier sociedad, un pequeño porcentaje de la gente es maliciosa. Se estima que Internet tiene40 millones de usuarios. Aún si el porcentaje deusuarios maliciosos es menor al 1% de esta sociedad, el número de usuarios maliciosos estan grande que debería ser preocupante.

Definiciones

Seguridad:(sustantivo femenino). Certeza, firmeza, confianza. Sin riesgo(sust.) Dicese de las cosas ciertas, firmes y/o libres depeligo o riesgo. Estado de las cosas bajo protección(lat. Securitis) Confianza, tranquilidad de una personaprocedente de la idea de que no hay ningún peligro que temer

Definiciones

Proteger derechosEl derecho a la privacidad

El derecho a estar informado

Proter los activosInformación (Bases de Datos, documentos digitales)

Equipos (Sistemas de control, redes, etc.)

Reforzar las reglasLeyes, políticas y procedimientos

Definiciones

Problemática

Falta de una cultura informática

Falta de una cultura de seguridad en cómputo

Dificultad al involucrar: Ética, Política, Derecho,Sociedad.

Dificultad de “vender” la idea de seguridad

El no dar acceso libre al documento de las políticas

Falta de especialistas: Seguridad, Informática, etc.

Problemática

Trabajo aislado de personasAbogados

Ingenieros

Legislación Informática

LegislaciLegislacióón Informn Informááticatica o Derecho Derecho InformInformááticotico.

El conjunto de leyes, normas y principios aplicables a los hechos y actos derivados de lainformática

Dr. Julio Tellez

Legislación Informática

Aplicación del los campos actuales del derechoen la Informática

La protección jurídica de la información personal

La protección jurídica del software

El flujo de datos fronterizo

Los convenios y/o contratos informáticos

Los delitos informáticos

El valor probatorio de los documentos electromagnéticos

Delito Informático

Toda conducta ilícita susceptible de sersancionada por el Derecho Penal, que hace referente al uso indebido de cualquier medio informático.

Clasificación del delito informático

Como instrumento o medioFalsificación de documentos

Alteración de contabilidad

Planeación o simulación dedelitos convencionales (robo,homicidio, etc.)

Lectura, robo copia o alteraciónde información confidencial

Daño de información

Acceso y uso no autorizado derecursos de cómputo

Sabotaje

Como fin u objetivoBloqueo de sistemas deinformación

Destrucción de programas

Daño o vloqueo de recursos delsistema (periféricos, memoria, etc)

Daño dísico a equipo decómputo

Sabotaje político o terroristo

Robo o “secuestro” de soportesde información en medios magnéticos

Clasificación del delito informático

Otra clasificaciónDelitos contra la intimidad (espionaje y uso de lainformación)Delitos contra el patrimonioFraudeViolación a la propiedad intelectual e industrialFalsedad

Legislación en México

NoNo existeexiste un Derecho Informático.

Leyes relacionaldas con la InformáticaLey Federal del Derecho de AutorLey de la Propiedad IntelectualLey Federal de Telecomunicaciones

Ley de Información Estadística y Geográfica

Legislación en México

Organismos de la Administración Pública Federal con atribuciones vinculadas con la Informática

Secretaría de GobernaciónSecretaría de Relaciones ExterioresSecretaría de Hacienda y Crédito PúblicoSecretaría de EconomíaSecretaría de Comunicaciones y TransportesSecretaria de Contraloría y Desarrollo AdministrativoSecretaría de Educación PúblicaComisión Federal de TelecomunicacionesConsejo Nacional de Ciencia y Tecnología

Iniciativas jurídicas en México

En materia informática22 de marzo del 2000 en Materia de delito informático

En materia de correo electrónico28 de abril de 1999

15 de diciembre de 1999

22 de marzo del 2000

Proyecto Norma Oficial MexicanaPROY-NOM-151-SCFI-2001

Iniciativas jurídicas en México

Protección de datos personales14 de febrero del 2001: Ley Federa de Protección deDatos PresonalesReformas al artículo 16 de la Constitusión Política delos Estados Unidos Mexicanos

Legislación Informática en el mundo

Aspectos legislados:Abuso fraudulento en el procesamiento deinformación (Japón y Austria)Daño de equipo de cómputo y uso ilegal del mismo(Japón)Lucrar utilizando inadecuadamente bases de datos(Japón y Nueva Zelanda)Sabotaje de negocios ajenos (Japón)

Piratería y adquisición ilegal de programas (Francia,Alemania, Japón, Escocia, Gran Bretaña, El Salvador)

Legislación Informática en el mundo

Fraude o robo de información confidencial yprogramas (Francia, Gran Bretaña, Austria, Suiza,Japón, Estados Unidos)Alteración de programas (Japón, Gran Bretaña)Regulación de delitos informáticos (Chile, El Salvador [proyecto])

Protección a la intimidad, dignidad yautodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento de datos personales(proyecto en Costa rica)

Políticas de seguridad (PSC)

Conjunto de reglas y principios que gobiernan una identidad u organismo

Cada regla define una acción, mecanismo y/oprocedimiento

Lograr la seguridad, órden y buen uso de los sistemas de información

Especifícan las condiciones, derechos yobligaciones sobre el uso de los sistemas decómputo

¿Porqué de las PSC?

Prevenir la pérdida de la información

Tener un uso adecuado y eficiente de los sistemasde cómputo y de las telecomunicaciones

Una forma de poder ir a la par con la tecnología yuna respuesta a la falta de legislación informática

Ventajas de las PSC's

Ayudan a la adquisición del HW y del SW

Permiten actuar a las autoridades en el caso deuna violación de la seguridad

Permite tener procedimientosPara eventualidadesPara llevar acabo una auditoría

Evita la excusa llamada ignorancia

Características de las PSC's

Documentar con vigencia permanente yactualizable periodicamente

Debe ser referencia para otros esquemas deseguridad

Enfocada a la problemática particular de cada organización

Tener una estructira bien definida

Debe de tener fecha y versión

Características de las PSC's

Aceptada como documento oficial por las autoridades y la comunidad

Debe ser clara, exacta, precisa, concisa

Establecer condiciones aceptables y no aceptables

Accesible a toda la comunidad

Aprobada por todas las personas afectadas

Características de las PSC's

Establecer obligaciones y derechosAdministradores

UsuariosInvestigadoresAlumnosPersonal administrativoDocentesSoporte técnicoDesarrolladoresEtc.

¿Cómo realizar una PSC?

Detectar la problemática

Respondre a las preguntas¿Qué se debe de proteger?¿Contra qué se debe de proteger?¿Qué tipo de usuarios se tienen?

¿Quién debe de poder usar los recursos?¿Qué constituye un uso adecuado de los recursos?¿Quién debe proporcionar acceso al sistema?

¿Cómo realizar una PSC?

¿Quién debe tener privilegios de administrador?¿Cuales son los derechos y responsabilidades de los administradores?¿Cómo debe de manejarse la información sensible?

Desarrollo de una PSC

PreparaciónRedacciónEdiciónAprobaciónDifusiónRevisiónAplicaciónActualizacion

Contenido de una PSC

Ámbito de aplicación

Análisis de riesgo

Enunciados de políticas

Sanciones

Sección de sus éticos de los recursos informáticos

Sección de procedimientos para el manejo deincidentes

Ejemplos de políticas

De cuentasOtorgada a usuarios legítimos

Conformada por un nombre y una contraseñaTiempo de vida

De contraseñasLongitud mínima de 8 caracteresContener metacaracteresNo permitir la repetibilidad

Ejemplos de políticas

De control de accesoUso de aplicaciones de comunicación segura (SSH)

Usar cuentas propiasEsquemas de autenticación

De uso adecuadoNo se aceptan copias no autorizadasNo se permiten transferir archivos que no tengan relación con la organización.

Ejemplos de políticas

De respaldosAlmacenamiento seguro de las cintas

Gardar por lo menos dos versiones anteriores

De correo electrónicoEl usuario es el único autorizado para leer su correo

Se prohíbe el uso con fines no laboralesLos correos deben de estar “firmados” (Digital ID, PGP)

Ejemplo de políticas

De monitoreo del sistema (acounting)Activación y registro de bitácoras

Realizar un corte semanal de las actividades delregistradasAnálisis de la información de las bitácoras(estadística)

¿Quienes participan en la PSC?

Administradores de sistema

Persona con autoridad

Regresentante jurídico

Editor / Redactor

Usuario típico (docente, secretaria, desarrollador, etc.)

Procedimiento técnico que apoye a las PSC's.

Áreas por trabajar

Legislación:Vincular la parte tecnológica con la parte legal

Especialistas que sepan obtener evidencias que puedan ser aceptadas en la legislación (Auditoria de laseguridad, Cómputo forense)Legislación informática global o mundial

Áreas por trabajar

Políticas de seguridadDefinir esquemas que permitan minimizar el efecto delas eventualidadesDefinir esquemas de seguridad globales y específicasAnálisis de riesgos y vulnerabilidadesExpertos en el análisis de vulnerabilidades

Áreas por trabajar

Desarrollo de herramientas para el monitoreo delos sistemas

Esquemas de criptografía

Conclusiones

Una legislación informática permite implantar esquemas de seguridad robustos

Existen adaptación de algunas leyes al ámbito computacional y tecnológico

Derechos de autorProtección industrial

Regulación de las comunicaciones

Conclusiones

Inexistencia de legislación en cuanto a:Tipificación de delitos informáticos

Uso ilícito del equipo de cómputo y detelecomunicacionesSeguridad jurídica en el uso de medios electrónicosReconocimeinto legal de las transacciones electrónicas

Conclusiones

Se ha promovido:Reconocimiento penal sobre faltas de respeto a laintegridad humana en espacios virtualesRegulación del uso del correo electrónico

Falta por promoverLa confidencialidad de la informaciónLa validez de los documentos electrónicosLa protección de la intimidad de los usuarios de latecnología

Conclusiones

La seguridad en cómputo no es un lujo

Esfuerzo en conjunto

Falacia al hablar del 100% de seguridad

El 50% de los incidentes son internos

Las políticas es una manera de ir un paso adelantede la legislación

Las políticas son únicas por cada organización

Las políticas reducen el riesgo

La Importancia de la Seguridad Informática: Las políticas y la

Legislación

M. Farias-ElinosLab. de Investigación y Desarrollo de Tecnología

Avanzada (LIDETEA)Universidad La Salle

Grupo de Seguridad de Internet-2web: seguridad.internet2.ulsa.mxe-mail: i2seguridad@cicese.mx