560 likes | 708 Views
Introducción…. EL GOBIERNO BRINDA SERVICIOS. Educación. Seguridad. Comunicación. Seguridad Social. Identidad. Salud. …hay que re-pensar políticas de gestión de servicios on-line!. Gobierno - Ciudadano. e - Gov. o- Gov. i - Gov. Identidad. Seguridad Información. Privacidad.
E N D
EL GOBIERNO BRINDA SERVICIOS Educación Seguridad Comunicación Seguridad Social Identidad Salud …hay que re-pensar políticas de gestión de servicios on-line!
Gobierno - Ciudadano e-Gov o-Gov i-Gov Identidad Seguridad Información Privacidad Ciberseguridad Infraestructuras Críticas ciberdelito ciberterrorismo Impericia (negligencia, desconocimiento, etc.)
Ciberdelincuente vs Hacker Delincuente vs Apasionado hacker : alguien que estudia formal o informalmente y se atreve a conocer mucho más allá de lo que los manuales de uso o configuración nos dicen.
PRIVACIDAD …SIBIOS, SUBE, y otrasyerbas … que ES privado y que HAGO público ? Los datos biométricos son igual o menos sensitivos que los datos biográficos!!! Nombre y Apellido: Pedro Janices DNI: 18.390.468 Pasaporte: 18.390.468N Nacionalidad: Argentina Ocupación: empleado público Intereses: Tecnologías, seguridad, biometría Su cesto de basura seguro da más información de Usted que sus datos biométricos!!!
Privacidad de datos: quées lo quecompartes? CIITI 2012 / UAI / ROSARIO - ONTI Public Release
Social Networks Más de 70 redes sociales • Comunicarse x txt • Comunicarse x voz • Mostrar fotografías • Mostrar videos • Comentar viajes y turismo • Buscar pareja • Relación de negocios • Compras y contrataciones Sumando los medios de comunicación que poseen blogs
nick nombres RS-2 e-mail e-mail de recupero RS-1 RS-3 domicilio Madurez de la clave RS-X opiniones Fotos y videos IP de origen Vínculos sociales Toda tu información digital Tipo de browser Bio: facial y vocal telefonía Tarjeta de Crédito Echelon 2.0 ?
Aprox 10 social networks concentran el 90% del trafico Al menos en 5 jurisdicciones (país base jurídico) diferentes Edad de registro varía de 13 a 18 años o por invitación NO poseen verificación de ID Solo se distingue un FACTOR de autenticación (PASSWORD) No hay verificación REAL de edad Versiones mobile solo https en login o transferencia de imágenes de user Colectan datos CEDIDOS como nombres, sexos, domicilios, TELEFONOS Generan perfiles de comportamiento, opiniones politicas, sexuales, adquisitivas, de ocio, etc. Comunicaciones interceptables NO declaran las políticas de guarda de datos personales y de los lugares de back-up de la información Manipulación de opiniones por saturación, bullying, etc.
Minería de datos y reacciones …un ejemplo Fotos/Videos Relaciones familiares menores Relaciones sociales 211 Nivel Económico Escuela, colegio, universidad horarios Vacaciones / viajes de negocios Ausencias Vehículos Rutas Lugares frecuentados (gps)
Al subir contenido o al enviarlo por otros medios a nuestros Servicios, concedes a X(y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resulten de la traducción, la adaptación u otros cambios que realicemos para que tu contenido se adapte mejor a nuestros Servicios),comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido. X usará los derechos que le confiere esta licencia únicamente con el fin de proporcionar, promocionar y mejorar los Servicios y de desarrollar servicios nuevos. Las leyes de California, EE.UU., excluyendo los conflictos de leyes de California, se aplicarán a cualquier controversia que surja o se relacione con las presentes condiciones o los Servicios. Todos los reclamos que surjan o se relacionen con las presentes condiciones o los Servicios se deberán presentar exclusivamente en los tribunales federales o estatales del Condado de Santa Clara, California, EE.UU., y usted y Xaceptan someterse a la jurisdicción personal de dichos tribunales. EN LOS CASOS PERMITIDOS POR LA LEY, NI XNI SUS PROVEEDORES O DISTRIBUIDORES SERÁN RESPONSABLES DE LA PÉRDIDA DE BENEFICIOS, DE INGRESOS NI DE DATOS, NI DE PÉRDIDAS FINANCIERAS NI DE DAÑOS INDIRECTOS, ESPECIALES, DERIVADOS, EJEMPLARES NI PUNITIVOS. EN LA MEDIDA EN QUE LA LEY LO PERMITA, LA COBERTURA TOTAL DE X, ASÍ COMO LA DE SUS PROVEEDORES Y DISTRIBUIDORES, POR CUALQUIER RECLAMACIÓN RELACIONADA CON ESTAS CONDICIONES, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA, SE LIMITA AL IMPORTE QUE HAYAS PAGADO PARA USAR LOS SERVICIOS (O, SI X ASÍ LO DECIDE, A LA REANUDACIÓN DE LOS SERVICIOS). EN NINGÚN CASO, NI X NI SUS PROVEEDORES Y DISTRIBUIDORES SERÁN RESPONSABLES POR CUALQUIER PÉRDIDA O DAÑO QUE NO SEAN PREVISIBLES DE FORMA RAZONABLE. Acerca de estas condiciones…. Xpuede modificar estas condiciones o las condiciones adicionales que se apliquen a un Servicio para, por ejemplo, reflejar cambios legislativos o en los Servicios. … las modificaciones que afecten a nuevas funciones de un Servicio o los cambios que se hagan por cuestiones legales entrarán en vigor de forma inmediata.
Según un informe que Facebook remitió a la SEC estadounidense, la red social tiene 83 millones de cuentas apócrifas, de los 995 millones de perfiles registrados que posee. Es decir, un 8,3%. La empresa clasifica los perfiles falsos en tres categorías: duplicados, las inclasificables e indeseables. Y admite tener 4,8% de usuarios con cuentas duplicadas, algo prohibido en los términos del servicio que el usuario firma; alrededor de 10 millones de cuentas “indeseables” (perfiles usados para fines prohibidos, por ejemplo, envío de spam) y una buena porción de inclasificables, que son las pertenecientes a empresas, mascotas o productos de usuarios, y que deberían estar como "páginas". Estos datos no son una buena noticia para los anunciantes, y tampoco para Facebook que, en el mismo informe, afirma que la publicidad es lo que mantiene su infraestructura. La compañía calcula que tiene 552 millones de usuarios que acceden diariamente. Según un informe que Facebook remitió a la SEC estadounidense, la red social tiene 83 millones de cuentas apócrifas, de los 995 millones de perfiles registrados que posee. Es decir, un 8,3%. La empresa clasifica los perfiles falsos en tres categorías: duplicados, las inclasificables e indeseables. Y admite tener 4,8% de usuarios con cuentas duplicadas, algo prohibido en los términos del servicio que el usuario firma; alrededor de 10 millones de cuentas “indeseables” (perfiles usados para fines prohibidos, por ejemplo, envío de spam) y una buena porción de inclasificables, que son las pertenecientes a empresas, mascotas o productos de usuarios, y que deberían estar como "páginas". Estos datos no son una buena noticia para los anunciantes, y tampoco para Facebook que, en el mismo informe, afirma que la publicidad es lo que mantiene su infraestructura. La compañía calcula que tiene 552 millones de usuarios que acceden diariamente.
Nuevas políticas, viejos trucos? Argentina http://www.microsoft.com/privacystatement/es-ar/core/default.aspx En Inglés http://www.microsoft.com/privacy/default.aspx y sigue… usabilidad?
Localización (anónima) del dispositivo Menores de 13 años, adoptaran medidas para eliminar los datos (14 a 17?) Usuarios internacionales (no figura Latinoamérica) Otros Terceros… léanlo ustedes… http://www.apple.com/es/privacy/ 21/mayo/2012 HAY QUE LEER LAS CONDICONES DE SERVICIO
Quien tiene mas datos tuyos? ? Gobiernos Empresas http://www.azarask.in/blog/post/privacy-icons/
Cuanto y porque? Marco de datoscoleccion (privacidad) OBJETIVO La información a recabardeberáestar en el marco de competencias y responsabilidades del organismoque los requiere PROPORCIONALIDAD La cantidad de datos, el método y la duración del almacenamientodebenser los apropiados CALIDAD La calidad de los datosdebenser los correctospara los propósitos en los quequierenutilizarse TRANSPARENCIA Debeinformarse a la persona de los que se toman los datos la forma de obtención, el almacenamiento y los métodos en queseranauditados
Son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información situado en el Sector Público Nacional, Organismos Provinciales u Organismos Privados cuya interrupción o destrucción pueden tener una repercusión importante en la salud, la seguridad, la información, la integridad física o el bienestar económico y social de los ciudadanos o en el eficaz funcionamiento de las instituciones estatales y las administraciones públicas. Infraestructura Crítica Es cualquier acción que pueda resultar en un acceso no autorizado, exfiltración, manipulación o menoscabo de la integridad, confidencialidad o disponibilidad de un sistema de información o la información que se almacena, o es procesado o esta en transito en un sistema de información electrónico, sea cual fuera su finalidad. Infraestructura de Información Son las acciones llevadas a cabo para garantizar, defender y/o reducir las vulnerabilidades de un sistema de información, así como mitigar las amenazas de Ciberseguridad, mejorando la seguridad de la información y la capacidad de recuperación de los sistemas de información y los activos asociados . Este término entiende al marco básico de los sistemas de información cuyos activos se basan en procesar, transmitir, recibir y/o almacenar información por vía electrónica, incluyendo dispositivos electrónicos, dispositivos de comunicaciones y todo otro hardware, software o dato asociados a estos. Refiere a las normas, procesos y acciones de seguridad que permiten a las organizaciones practicar técnicas para reducir al mínimo el número de ataques a infraestructuras informáticas. Ciberseguridad Amenaza Cibernetica Protección
2009 Conocimiento en la problemática internacional que nos afecta 2010 Participación en los grupos de debate en problemáticas especificas 2011 Presentación del Proyecto ICIC (Res/JGM 580/2011) 2013 ARGENTINA Sede del encuentro de más de 43 países
Resolución JGM 580/2011 Marco regulatorioespecíficoquefavorece la identificación y protección de lasinfraestructurasestratégicas y críticasasícomomejorar la ciberseguridad. Consta de 18 objetivos, entre ellos:
Sector Público Nacional y Organismos interjurisdiccionales • Organismos Provinciales • Organizaciones Civiles • Sector Privado Identificación y protección de las infraestructuras estratégicas y críticas de:
Relevamiento y Monitoreo Research y Prevención Respuesta a Incidentes Concientización y Capacitación
TIPOS DE SERVICIO SIN ADHESIÓN CON ADHESIÓN
Evaluación de datacentersMEJORA CONTINUA Cuál es la visión? Definir la Meta Dónde estamos ahora? Evaluar el nivel de Madurez Cómo mantenemos el impulso? Dónde queremos estar? Definir el Objetivo Cómo hacemos para llegar? Definir el Proyecto Llegamos? Evaluar el nivel de Madurez
Reconocer donde tenemos problemas es el primer paso para solucionarlo
Identificación y análisis de las infraestructuras críticas de información • Coordinación de planes de acción, prevención y monitoreo con organismos públicos y privados. • Generación de un marco metodológico para el control de la correcta administración de la información de las Infraestructuras Críticas.
GENERACION • INTERNACIONAL • EElec • RCom • TRANSPORTE • REGIONAL • DISTRIBUCION • LOCAL
NIVEL 0 • NIVEL 1 • NIVEL 2 Se realizan los análisis en forma periódica para organizaciones, adheridas o no. Se compone de análisis de infraestructura base expuesta a internet: Dominios, Servicios y Direcciones. ADHESIÓN EXPLORACION MEDIA: Detección temprana de vulnerabilidades o fallas en los sistemas analizados. EXPLORACION ALTA: ejecutando procesos especializados, sin riesgos de disponibilidad para el servicio. • NIVEL 3 Este nivel es intento de IMPACTO DESTRUCTIVO El sistema NO deberá ser el PRODUCTIVO, será un análogo a un ataque real al sistema. Asimismo se brinda una consultoría Especializada en la problemática.
temas de evaluación • Protección contra incendios • Protección contra daños de agua • Electricidad y comunicaciones • Aire acondicionado • Controles de acceso • Mantenimiento general • Cableado y redundancia • Organización y personal • Equipamiento • Resguardo y recuperación • Medios Magnéticos • Operación del Data Center • Redes y conectividad • Administración de equipos
Atención y coordinación de los incidentes de seguridad ocurridos en redes teleinformáticas • Repositorio de información de eventos de seguridad ocurridos a nivel provincial, nacional y mundial • Cooperación con unidades de redes informáticas del Sector Público Nacional, provincial y privado
Informes en base al research propio Informes en base a informes de las empresas Informes de equipos de similar naturaleza Registrar, analizar, coordinar, documentar e incorporar a la base de conocimiento BDC Organismo de seguridad competente en judicializar el incidente (Fuerza de Seguridad Interna o Externa según competencia)
Concientización en el uso seguro de herramientas digitales • Informes y alertas sobre riesgos en el uso de herramientas digitales • Generación de materiales de concientización (videos, papers, etc.) Ciudadanos • Acciones presenciales en establecimientos educativos. • Guías y recomendaciones de buenas prácticas
Desarrollo de alianzas estratégicas de capacitación en políticas de seguridad • Informes y alertas sobre riesgos en el uso de herramientas digitales Organismos públicos y privados • Charlas de concientización y prevención en el uso responsable de herramientas digitales • Charlas de concientización en marcos Técnicos, Jurídicos y Gerenciales • Guías y recomendaciones de buenas prácticas
Política de seguridad icic 2012estructura Capítulos Introductorios Introducción Términos y Definiciones Estructura de la Política Modelo Evaluación y Tratamiento de Riesgos Capítulos Cláusulas Política de Seguridad Organización Clasificación de Activos Recursos Humanos Seguridad Física Ambiental Gestión de Comunicaciones /Operaciones Gestión de Accesos Adquisición, Desarrollo y Mantenimiento de Sistemas Gestión de Incidentes de Seguridad Gestión de la Continuidad Cumplimiento Política de Seguridad Políticas x cláusula Objetivo = resultado deseado Controles = para mitigar riesgos
Ciudadanos Resultados cuantitativos octubre – diciembre 2011
Evaluación de datacenters 11 ACCIONES • Puntos de Mejora- Organización: • Políticas de Seguridad • Roles y responsabilidades RRHH • Plan de Continuidad • Acuerdos con Proveedores • Procesos y procedimientos • Matriz de Riesgos