1

Ing. Karina Astudillo B.

Gerente de IT

Protección de Datos

Agenda El porqué de la importancia de implementar protección de datos

Panorama de seguridad informática mundial

Casos relevantes en Ecuador

Confidencialidad, Integridad y Disponibilidad de la Información

Tipos de ataques a la seguridad de la información

Conceptos claves sobre protección de datos

Seguridad Perimetral vs Protección de Datos

Principios de la protección de datos

El Hábeas Data como garantía constitucional en Ecuador

Ley ecuatoriana de Comercio Electrónico

Soluciones para protección de datos

Métodos de Autenticación

Mecanismos de protección

Sistemas Anti-X y de Prevención de Intrusos basados en Host (HIPS)

Sistemas de Prevención de Pérdida de Datos (DLP) y Network Admission Control

Sistemas de Encripción 2

IMPORTANCIA DE LA

PROTECCIÓN DE DATOS

3

Panorama de seguridad informática

4

El Top 20 de programas maliciosos en Internet (Fuente: Kaspersky Security Bulletin 2010).

5

ITU Study on the Financial

Aspects of Network Security:

Malware and Spam.

Final Report 2008

Casos relevantes en Ecuador

Fraudes electrónicos (phishing)

Clonación de tarjetas

Ataques a websites del gobierno (defacements)

Estafas / Suplantación de identidad

Infracciones de Propiedad Intelectual

Virus, Worms, Troyanos

¡360% de incremento en delitos informáticos en Ecuador entre 2009 y 2010!

6

Objetivos de Seguridad

Integridad

Confidencialidad

Disponibilidad

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 7

Ataques a la seguridad

INTERRUPCIÓN: Este es un ataque a la disponibilidad

INTERCEPCIÓN: Ataque a la confidencialidad

MODIFICACIÓN: Ataque a la integridad

FABRICACIÓN: Ataque a la autenticidad

8

Tipos de ataques

Reconocimiento

Acceso

Virus, Worms y Troyanos

Denegación de Servicio

9

CONCEPTOS CLAVES SOBRE

PROTECCIÓN DE DATOS

10

Seguridad Perimetral Vs Protección de Datos

La seguridad perimetral es la primera defensa ante intrusiones.

Como su nombre indica actúa sobre el perímetro o borde de la red.

Ejemplos de equipos de

protección perimetral:

firewalls, IDS/IPS,

sistemas anti-x, etc.

11

Seguridad Perimetral Vs Protección de Datos

¿Y qué pasa si un cracker o un programa malicioso rebasa las protecciones perimetrales?

Entonces nuestra suerte dependerá de cuán bien hayamos protegido nuestros datos!

12

¿Qué es la Protección de Datos?

La protección de datos consiste en la implementación de medidas directas sobre nuestra información que permitan garantizar los 3 objetivos de seguridad:

Confidencialidad,

Integridad y

Disponibilidad

En un contexto legal, la legislación sobre protección de datos debe asegurar que los datos personales no sean procesados sin el conocimiento y, con ciertas excepciones, sin el consentimiento del sujeto de los datos.

Se debe asegurar además que dichos datos se procesen de manera precisa, aplicando un conjunto de estándares que garanticen la seguridad.

El hábeas data como derecho constitucional

14

Legislación - Ecuador

Código de Procedimiento Penal (CPP)

Código de Procedimiento Civil (CPC)

1

Ley Orgánica de Transparencia y Acceso a la Información Pública

2

Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos

3 Ley de Propiedad Intelectual

4 Ley Especial de Telecomunicaciones

5

Constitución de la República (Habeas Data)

15

Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002

Ver el reglamento en http://www.corpece.org.ec

Ley de Comercio Electrónico

16

Conceptos introducidos por la ley

Mensajes de Datos

Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros.

Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados.

Principio de Equivalencia Funcional

Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2)

17

Conceptos introducidos por la ley

Mensajes de Datos como medio de prueba

El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia.

Firma Electrónica

No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente.

18

Penalización

Delito de fraude informático

Alteración funcionamiento de

programa informático

Delito de falsificación electrónica

Modificación del mensaje de datos

Delito de daño informático

Destrucción de programas o

mensajes

Conceptos introducidos por la ley

19

Infracciones Informáticas (CPP)

INFRACCIONES INFORMATICAS REPRESION MULTAS

Delitos contra la información protegida (CPP Art. 202)

1. Violentando claves o sistemas

2. Seg. nacional o secretos comerciales o industriales

3. Divulgación o utilización fraudulenta

4. Divulgación o utilización fraudulenta por custodios

5. Obtención y uso no autorizados

6 m. - 1 año

3 años

3 a 6 años

9 años

2 m. - 2 años

$500 a $1000

$1.000 - $1500

$2.000 - $10.000

$2.000 - $10.000

$1.000 - $2.000

Destrucción maliciosa de documentos (CCP Art. 262) 6 años ---

Falsificación electrónica (CPP Art. 353) 6 años ---

Daños informáticos (CPP Art. 415)

1. Daño dolosamente

2. Serv. público o vinculado con la defensa nacional

3. No delito mayor

6 m. - 3 años

5 años

8 m. - 4 años

$60 – $150

$200 - $600

$200 - $600

Apropiación ilícita (CPP Art. 553)

1. Uso fraudulento

2. Uso de medios (claves, tarjetas magnéticas, etc.)

6 m. - 5 años

5 años

$500 - $1000

$1.000 - $2.000

Estafa (CPP Art. 563) 5 años $500 - 1.000

20

SOLUCIONES PARA

PROTECCIÓN DE DATOS

21

Mecanismos de autenticación

Algo que sé. Ej: clave.

Algo que tengo. Ej: smartcard.

Algo que soy. Ej: biométrico.

Autenticación de dos y tres vías.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz

22

Video: Captura de teclado virtual

23

Mecanismos de protección

Definición de una Política de Seguridad Corporativa.

DRP y BCP.

Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).

Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.

Capacitación del personal de sistemas en seguridad informática.

Protección perimetral.

Uso de tecnologías Anti-X.

NAC y DLP.

AAA y Encripción.

Ejecución de auditorías de seguridad informática anuales.

24

Sistemas Anti-X

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 25

Antivirus / Antimalware / Antispam

Basados en firmas o reglas

Patrones Heurísticos

Sistemas Prevención de Intrusos (IPS)

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 26

Network / Host Intrusion Prevention Systems (NIPS / HIPS)

Basados en firmas

Basados en comportamiento

DLP (Data Lost Prevention Systems)

Perfiles por usuario y de grupo.

Clasificación de documentos.

Niveles de acceso por perfil.

Prevención de lectura / modificación/ borrado / robo de información. Medios extraíbles (CD/DVD/USB).

Correo electrónico.

Upload / Download de archivos.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 27

NAC (Network Admission Control)

Autenticación (802.1X)

Perfiles de dispositivos.

Asignación a VLAN’s.

VLAN de Cuarentena.

Servidor de Remediación.

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 28

Esquemas de Encripción

Encripción simétrica (clave de sesión).

Protocolos: DES / 3DES

AES

29

Encripción asimétrica (clave pública / clave privada) – PKI.

Protocolos:

RSA

Diffie-Hellman

Sistemas de Encripción

Programas para encripción de archivos individuales.

Encripción integrada en el sistema de archivos.

Encripción del disco completo.

Encripción del correo electrónico (certificados / firmas digitales)

30

¿Preguntas?

Mayor información

Website: http://www.elixircorp.biz

Blog: http://www.SeguridadInformaticaFacil.com

Facebook: www.facebook.com/elixircorp

Twitter: www.twitter.com/elixircorp

Google+: http://google.com/+SeguridadInformaticaFacil

¡Gracias por su tiempo!

Karina.Astudillo@elixircorp.biz

Twitter: KAstudilloB

Facebook: Kastudi