1 / 27

Consulting Project

Foro de Seguridad en Redes “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”. Dra. Mónica Abalo Laforgia Consulting Project | Directora. Consulting Project. Consulting Project. “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”. AGENDA. Aspectos de la Seguridad en Internet.

koto
Download Presentation

Consulting Project

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Foro de Seguridad en Redes “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” Dra. Mónica Abalo LaforgiaConsulting Project | Directora Consulting Project

  2. Consulting Project “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” AGENDA Aspectos de la Seguridad en Internet La Protección de Datos en la Sociedad de la Información Conclusiones Preguntas

  3. Consulting Project “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” AGENDA Aspectos de la Seguridad en Internet • Qué es la Seguridad • Definición e identificación de Vulnerabilidades y Amenazas • Concepto y Características del Delito Informático • El Proyecto de Ley. Criterios de regulación • Clases y Evolución

  4. Consulting Project QUÉ ES LA SEGURIDAD Preocupa a individuos y organizaciones Concepto relativo Mitos • Software Infalible • Escenarios simples y pocos • Robo de información sólo a nivel de red • Asegurar el “end-point” resuelve el problema • Comportamiento del usuario es seguro Clases SEGURIDAD DE ACCESO SEGURIDAD REACTIVA INFRAESTRUCTURA + DATOS = SEGURIDAD

  5. Consulting Project PRINCIPIOS GENERALES DE SEGURIDAD Ponderación del Riesgo Vs. AMENAZAS VULNERABILIDADES Políticas de seguridad “customizadas” • Utilidad • Coherencia • Practicable • Adecuada culturalmente Condiciones de Éxito Obligaciones del responsable

  6. Consulting Project DELITO INFORMÁTICO CONCEPTO Conducta Antijurídica: BIENES JURÍDICOS PROTEGIDOS MEDIO: utiliza recursos informáticos OBJETO: contra recursos, medios o sistemas informáticos Código Penal Vigente Delitos Informáticos • Contra el ORDEN PÚBLICO • Contra la SEGURIDAD DE LA NACIÓN • Contra los PODERES PÚBLICOS Y ORDEN CONSTITUCIONAL • Contra la ADMINISTRACIÓN PÚBLICA • Contra la FE PÚBLICA • Contra las PERSONAS • Contra el HONOR • Contra la INTEGRIDAD SEXUAL • Contra el ESTADO CIVIL • Contra la LIBERTAD • Contra la PROPIEDAD • Contra la SEGURIDAD PÚBLICA • PORNOGRAFÍA INFANTIL • INSERCIÓN DE DATOS PERSONALES FALSOS • ACCESO NO AUTORIZADO A BASES DE DATOS • SPAM • ESTAFAS Y DEFRAUDACIONES UTILIZANDO SISTEMAS INFORMÁTICOS • DAÑOS A SISTEMAS DE INFORMACIÓN • FALSIFICACIÓN DE DOCUMENTOS ELECTRÓNICOS O FIRMA DIGITAL

  7. Consulting Project DELITOS INFORMÁTICOS RIESGOS SITUACIÓN ARGENTINA • Infinidad de Proyectos presentados • Cámaras del Sector y Organismos Públicos (ONTI) • Nemirovsci y Otros Expte 5864-D-2006 • Falta de conocimiento del funcionamiento y naturaleza de Internet • Definiciones amplias que abarquen otros bienes jurídicos protegidos • Proteger lo ya protegido • NO HAY LEYES PERFECTAS Responsabilidad Social CAPACITACIÓN INFORMACIÓN ASESORAMIENTO INTERPRETACIÓN ARMÓNICA DEL ORDENAMIENTO JURÍDICO

  8. Consulting Project CLASES Y EVOLUCIÓN Pérdida de Información por distintos medios (Internet, intranet, dispositivos externos) Hackers: adolescentes con conocimientos informáticos. Sin intereses económicos Crackers: anonimato limitado. Intereses económicos Phishing: redes de crimen organizado. • Vishing: • E-mail con número de teléfono • Llamado que emula la central telefónica del banco • Scam: • Ofrecimiento vía e-mail de trabajo desde el hogar • Se utiliza para blanquear dinero • Pharming: • Manipulación de DNS del PC para desviar a páginas falsas • Se utilizan gusanos y troyanos

  9. Consulting Project PHISHING… UNA PRÁCTICA QUE NO DESCANSA Entidades Atacadas 93(2006)/178(2007) U.S.A U.K España Canadá e Italia 91,4% 73% 10% 4% 3%

  10. SPAM – CONCEPTOS GENERALES DEFINICIÓN Consulting Project “Spam”: correo electrónico no solicitado (Junk mail) “Spamming”: acción de enviar mensajes de correo electrónico a varias personas con fines primariamente publicitarios ORIGEN Año 1999 Abogados especialistas en migraciones Canter & Siegel Ofrecimiento de servicios Fue juzgado como una acción negativa por la sociedad Cancelación del servicio Internet Desafiliación como “barristers” en el Estado de Arizona Ganancias por la publicación del libro Consecuencias

  11. Consulting Project SPAM – COSTOS Y SOLUCIONES QUIÉN LOS ASUME? DESDE EL ISP DESDE EL USUARIO Tiempo de lectura Tiempo de conexión Realizar quejas Solicitud infructuosa de OPT-OUT • Costos operativos en RR.HH y tecnológicos: • atención de reclamos • saturación de redes y servidores • filtrado de mails SOLUCIONES ? TÉCNICAS Y FISICAS (listas blancas y listas negras) JURIDICAS Regulación Auto -regulación

  12. Consulting Project ALGUNOS NÚMEROS … El Spam sigue creciendo inmune a cualquier medida en su contra Variaciones Temáticas del Spam • 42% sexo y pornografía • Hipotecas y Préstamos • Medicamentos • Software pirata • Lotería y Juegos 2005-2006 5% 2003-2006 12% Fuente: Hispasec 22/05/06 (Estudio realizado por Ipswitch)

  13. Consulting Project “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” AGENDA La Protección de Datos en la Sociedad de la Información • Concepto y Características • Aspectos relevantes de la Ley 25.326 • Situación Argentina y resto del Mundo • El Servicio WHOIS: concepto, posturas y criterios. El Debate • La Protección de la Propiedad Intelectual en Internet

  14. Consulting Project CONCEPTO Y CARACTERÍSTICAS Dato Personal Dato = Información Sociedad Sociedad Información Flujo de información entre sus integrantes que se realiza en tiempo real Flujo Dato Personal Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables (Art. 2 – Ley 25.326 Dato Personal • Información • Asociación en forma directa o indirecta a una persona física • DATO PERSONAL AUTODETERMINACION INFORMATIVA

  15. Artículo 19 C.N. “ Las acciones privadas de los hombres que de ningún modo ofendan al orden y la moral pública ni perjudiquen a un tercero, están reservadas a Dios y exenta de la autoridad de los magistrados …” Derecho a la Intimidad se relaciona con: Consulting Project FUNDAMENTOS Autodeterminación Informativa Anonimato Posibilidad de controlar la información referida así misma que una determinada persona quiere compartir con los otros

  16. DERECHO A LA INTIMIDAD VS. PROTECCIÓN DE DATOS Protección de Datos DERECHO PERSONALÍSIMO Derecho a la Intimidad DERECHO AUTONOMO Personales DERECHO FUNDAMENTAL Derecho a la Intimidad Protección de Datos Consulting Project DO NOT DISTURB

  17. SITUACIÓN ARGENTINA Y RESTO DEL MUNDO UNIÓN EUROPEA LATINOAMERICA 1º Legislación Europea: “Convenio del Consejo de Europa de protección de las personas con respecto al tratamiento automatizado de datos de carácter personal de 1981” Directiva 95/46/CE Directiva 97/66/CE Directiva 2002/58/CE Leyes que regulan el tratamiento de datos personales: Chile y Paraguay Proyecto de Ley en discusión: Brasil ESTADOS UNIDOS Sistema “SAFE HARBOUR” Basado en la protección referida al consumo de sectores determinados Órgano de Control: FTC Consulting Project Sistema jurídico mixto (Consumo + Derecho Humano) Ley general con protecciones específicas Único país en Latinoamérica con adecuación internacional Argentina

  18. Consulting Project ASPECTOS RELEVANTES DE LA LEY 25.326 REGULACIÓN Ley 25.326 Decreto Reglamentario 1558/2001 OBJETO (Art. 1º) Datos personales sometidos a procesamiento Asentadas en banco de datos Destinados a “dar informes” (o que excedan el uso personal – Dec Regl.1558/01 SUJETOS Y DEFINICIONES Responsable (Base de Datos) Titular (Contenido) Usuario (Tratamiento de Datos ) Tratamiento de datos - procedimiento sistemático Datos sensibles

  19. Consulting Project ASPECTOS RELEVANTES DE LA LEY 25.326 PRESUNCION DE LEGITIMIDAD CALIDAD DE LOS DATOS Principios Generales CONSENTIMIENTO INFORMADO DEBER DE CONFIDENCIALIDAD DATOS SENSIBLES Datos que contengan información que revelen: origen racial y ético, convicciones políticas y religiosas, orientación política o sindical, salud e identidad sexual Datos Sensibles: No pueden ser objeto de tratamiento. Excepción: Fines estadísticos o científicos o autorización legal Condición: Disociación de los datos Prohibición de formar banco de datos que revelen datos sensibles REGLAS

  20. Consulting Project ASPECTOS RELEVANTES DE LA LEY 25.326 DERECHOS DE LOS TITULARES CONTENIDO DE LA INFORMACIÓN (Art. 15) DERECHO DE ACCESO (Art. 14) DERECHO DE RECTIFICACIÓN, ACTUALIZACIÓN O SUSPENSIÓN (Art. 16) DERECHO DE BLOQUEO (Art. 27) SANCIONES ORGANO DE CONTROL Administrativas Penales (Art. 117 Bis y 157 Bis Código Penal)

  21. Consulting Project LA DIRECCIÓN IP COMO DATO PESONAL ELEMENTOS DEL “DATO PERSONAL” Referido a personas identificadas o identificables Comprende información de carácter numérico Tratamiento de datos Dirección IP: información numérica Entidad tratante Relacionarla con una persona física DATO PERSONAL

  22. Consulting Project EL SERVICIO WHOIS Polémica DEFINCIÓN: Servicio de informar datos sobre un nombre de dominio Qué  datos se debe pedir al solicitante Qué  datos se deben poner adisposición del público y como hacerlo Grupo de Trabajo del Art. 29 Dictamen 2/2003 ICANN • Solicitante Empresa vs. Particular • Publicación del nombre vs. Principio de Oposición • Publicación de “domicilio” y “teléfono” vs. Derecho de aparición en Guía • Actuación del Proveedor de Servicio como intermediario • Aplicación de las Directivas sobre Protección de Datos • Limitación del acceso masivo con fines de marketing directo • Preocupación del WHOIS = Guía inversa • POSIBILIDAD DE REGISTRAR NOMBRES DE DOMINIO SIN PUBLICACIÓN DE DATOS PERSONALES • Desde 1999, ICANN fue la encargada de fijar las Políticas para el Whois. • Solicitante de un nombre de dominio debe proveer información exacta, actualizada y accesible • Grupo de Trabajo de WHOIS de ICANN definió 2 posturas • Sony, eBay, etc y el Grupo de Incumbencia de Propiedad Intelectual votaron la postura amplia • El el Consejo General sobre Nombres de Dominio de ICANN recomendó (al 12 de noviembre de 2006) la adhesión a la postura restringida

  23. Consulting Project EL SERVICIO WHOIS

  24. Consulting Project EL SERVICIO WHOIS PREGUNTAS A REALIZAR PARA DEFINIR UNA POLÍTICA DE WHOIS Los datos solicitados por el Registro requieren del consentimiento informado de su titular ? Es el titular de los datos informado adecuadamente sobre la finalidad de los datos recabados ? Excede el tratamiento de esos datos la finalidad para la cual fueron recabados ? Es el Registro una base de dato de acceso público irrestricto ? Qué datos NO requieren el consentimiento informado de su titular ? (Art. 5º Ley 25.326: Nombre, DNI, Identificación tributaria o previsional, Ocupación, Domicilio y Fecha de Nacimiento) Es el número de teléfono un dato que requiera el consentimiento de su titular para ser incluido en una base de datos ? Le cabe al Registro como responsable del banco de datos aplicar las medidas de seguridad ?

  25. Consulting Project “ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” AGENDA Aspectos de la Seguridad en Internet La Protección de Datos y de la Propiedad Intelectual en la Sociedad de la Información Conclusiones Preguntas

  26. Consulting Project CONCLUSIONES Y PROPUESTAS CONCLUSIONES Mesura y racionalidad al imponer obligaciones a los proveedores de servicios de información y telecomunicación para la protección eficaz de los usuarios. El principio de autodeterminación informativa es un elemento esencial de la protección a la intimidad. Una política de seguridad debe considerar tanto la infraestructura como la información. Delitos informáticos son actividades profesionalizadas Es importante repensar cuál es el objetivo que se quiere para el WHOIS

  27. Consulting Project ¡ Muchas Gracias ! Consultas: monica@consultingproject.com.ar url: www.consultingproject.com.ar

More Related