SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

EN LA ERA DIGITAL

Fuente: Laudon, K. y Laudon, J. (2012)

Aspectos Éticos

Privacidad y Secreto

“La tecnología y los

sistemas de información

amenazan los derechos

individuales de privacidad

al hacer que la invasión

de la misma sea algo

económico, redituable y

efectivo” (Laudon y

Laudon, 2012).

Un secreto, o también

información clasificada, es

información sensible que

debe ser restringida por ley o

regulación a diferentes tipos

de personas.

Para poder acceder a los

documentos clasificados

como secretos se necesita un

permiso de seguridad.

La seguridad se refiere a

políticas, procedimientos

y medidas técnicas que

se utilizan para evitar el

acceso sin autorización,

la alteración, el robo o el

daño físico a los

sistemas de información.

El control está vinculado a

los métodos, políticas y

procedimientos

organizacionales que

refuerzan la seguridad de los

activos de la organización, la

precisión y confiabilidad de

sus registros, y la

adherencia operacional a los

estándares gerenciales.

Seguridad y Control

Marco Legal Venezolano

Constitución de la

República Bolivariana de

Venezuela (2000)

Art. 48. Secreto e

inviolabilidad de la

comunicación.

Ley Orgánica de

Telecomunicaciones (2011)

Art. 12. #2. Derecho a la

privacidad y a la inviolabilidad

de telecomunicaciones.

Ley Especial Contra Delitos

Informáticos (2001)

Art.11. Espionaje Informático.

Art.13. Hurto.

Art.14. Fraude.

Art.16. Manejo fraudulento y uso

indebido de las tecnologías de la

información.

Art. 20. Violación de la privacidad.

Art. 21. Violación de la privacidad de

las comunicaciones.

Art. 26. Oferta engañosa mediante el

uso de tecnologías.

Desafíos de Internet para la Privacidad

• Cookies- obtener registros y desarrollar perfiles cruzando con otras fuentes

• Bugs Web- incrustados de manera invisible

• Google- Dirección de publicidad con base en historiales, venta de datos

Fuente: Laudon, K. y Laudon, J. (2012)

Desafíos de Internet para la Privacidad

Truste

La industria en línea en EEUU ha optado por la autorregulación y ha

desarrollado sellos digitales como el Truste que permite a los sitios Web

adherirse a políticas de privacidad con el fin de darle la opción a los

consumidores de no participar en los programas de redes de publicidad.

Uno de ellos fue DoubleClick de Google.

Otras empresas individuales como AOL, Yahoo y Google, adoptaron su

propia política acerca del rastreo de las personas en línea Google redujo

el tiempo de retención de los datos de rastreo.

Vulnerabilidades en Internet (desde lo corporativo)

• Dependencia. Vulnerables si fallan los

sistemas.

• Spam. Correo basura con fin comercial.

• Robo de identidad. Impostores.

• Fraude del clic. Anuncios fraudulentos y

debilitar a la competencia.

• Códigos maliciosos

En lo corporativo “Cuando Internet se vuelve parte de la red

corporativa, los sistemas de información de la organización son

aún más vulnerables”( Laudon y Laudon, 2012).

Tecnomeritocrática Hackers

Alternativa Empresarial

Internet como producción cultural (Castells, 2001)

Hackers

Craker, en la comunidad Hacker se denomina así al que tiene una

intención criminal. Sin embargo, ambos obtienen acceso sin

autorización al encontrar debilidades en los sistemas de seguridad.

Amenazas Globales. Ciberterrorismo y ciberguerra.

Por lo menos 20 países están desarrollando capacidades ofensivas y

defensivas de ciberguerra.

Amenazas Globales

En La Nube

• Verificar política de seguridad

• Consultar cómo responden ante la pérdida

accidental de la información

• Comprobar si están dispuestos a ser auditados

Plataforma Móvil

• Definir política de seguridad

• Proteger, controlar y bloquear (cuando sea

necesario) los dispositivos

• Mantener actualizados los teléfonos inteligentes con

los parches de seguridad en cuanto a

antivirus/antispam

• Vigilar las formas remotas

Seguridad en la Nube y en Plataforma Móvil (Visión Corporativa)

Caso Facebook

Sophos (2010) c.p. Laudon

y Laudon (2012) dice que

representa el riesgo más

grande de todos los sitios

de redes sociales, por su

alcance y fácil exposición.

Fácil propagación de virus

maliciosos.

Robo de identidad.

¿Cómo comparten tu información?

Servicios de publicidad, medición y análisis

(solo información que no permita la

identificación personal).

(...) usamos toda la información que tenemos

acerca de ti para mostrarte anuncios relevantes.

No compartimos información que te identifica de

forma personal (es decir, información, como tu

nombre o dirección de correo electrónico, que

pueda servir para contactarse contigo o revelar

tu identidad) con socios que prestan servicios

de publicidad, medición o análisis, a menos que

nos des tu permiso.

Caso Facebook

Proveedores generales, proveedores de servicios y

otros socios.

Transferimos información a proveedores generales,

proveedores de servicios y otros socios que nos

ayudan a mantener nuestro negocio en todo el mundo,

por ejemplo, prestar servicios de infraestructura

técnica, analizar el uso que se hace de nuestros

Servicios, medir la eficacia de los anuncios y servicios,

brindar atención al cliente, facilitar los pagos o realizar

investigaciones académicas y encuestas. Estos socios

deben cumplir con estrictos requisitos de

confidencialidad que se ajustan a esta Política de

datos y a los acuerdos que suscribimos con ellos.

Wikileaks - Silk Road

Wikileaks desarrolla una versión no censurable de Wikipedia para la

publicación masiva y el análisis de documentos secretos ,

manteniendo a sus autores en el anonimato y haciendo pública

alguna información sin contar con autorización o aprobación oficial.

Su principal interés se centra en los países con regímenes

totalitarios , y su meta es conseguir la mayor influencia política

posible. Por el momento han recibido más de 1,2 millones de

documentos provenientes de sociedades con regímenes críticos y de

fuentes anónimas.

Silk Road

Es un mercado negro en línea desde un sitio de internet operado

como uno de los servicios ocultos de la red, Tor, que es conocido en

términos informáticos como Internet profunda.

Soluciones Técnicas

P3P (Plataform for Privacy Preferences)

Es un estándar para comunicar la política de un sitio Web a los usuarios

y que estos puedan compararla con sus preferencias de privacidad, y

así rechazar cookies, y ciertos niveles de privacidad (solo para

miembros de World Wide Web).

Encriptación. Es la codificación la información de archivos o de un

correo electrónico para que no pueda ser descifrado en caso de ser

interceptado por alguien mientras esta información viaja por la red.

Firewalls. Evitan que usuarios sin autorización accedan a redes

privadas. Controlan el flujo de tráfico de red entrante y saliente, es un

portero que examina las credenciales de cada usuario antes de acceder

a la red.

Ataque a un sistema de computadoras o red que causa

que un servicio o recurso sea inaccesible a los usuarios

legítimos.

Saturación de los puertos

Servidor sobrecargado

“Denegación”

DDoS

Medios de Ataques

PC “Zombis”

Botnet

2010

Entre 6 y 24 millones

de computadoras

forman parte de

botnets en todo el

mundo.

Amenazas Internas: Los empleados

• Este ex-técnico de la CIA que trabajó como

consultor para la Agencia Nacional de Seguridad

está acusado de espionaje por los EE UU.

• Ha develado que el Gobierno de EEUU utiliza un

programa de espionaje para vigilar las

comunicaciones de millones de personas en todo

el mundo.

• Los documentos que Snowden sacó a la luz

pública se publicaron para uso interno en la

intranet de la Agencia de Seguridad Nacional

(NSA).

• La NSA cree saber cómo superó Snowden sus

controles para sacar los datos de la Agencia,

pero no ha revelado qué método utilizó.

Snowden y Venezuela

Un documento del ex analista

estadounidense Edward Snowden,

publicado por Telesur, afirma que

la Agencia de Seguridad Nacional

de EE UU (NSA) espió a cientos

de directivos de la petrolera estatal

venezolana PDVSA, entre ellos a

su ex presidente Rafael Ramírez.

Chelsea Manning

Ex-soldado y analista

de inteligencia del

ejército de los Estados

Unidos. Manning cobró

notoriedad internacional

por haber filtrado a

WikiLeaks miles de

documentos

clasificados acerca de

las guerras de

Afganistán.

FinFisher Spyware

Intercepción de tráfico de Venezuela hecho vía Lituania 32 países, incluyendo Venezuela, usan el software FinFisher para espiar a sus ciudadanos.

FinFisher es una suite de spyware, creada y comercializada por la empresa Gamma International, cuyo cliente exclusivo son los gobiernos. Es comercializado como un software con fines de inteligencia y seguridad nacional.

A pesar de que el software se presenta a sí mismo como una herramienta para la lucha contra el crimen, amplia evidencia existe de que es usado principalmente para investigar y atacar a disidentes.

FinFisher Spyware

Intercepción de tráfico de Venezuela vía Lituania

• Un número significativo de servidores de FinFisher que CitizenLab pudo detectar, usaron www.Yahoo.com como página de señuelo.

• De forma que un servidor ubicado en Lituania, sirve como "intermediario" o "proxy" para cierto servidor maestro ubicado en Venezuela. Ello significa que conexiones de usuarios en Venezuela hacia Yahoo.com, podrían ser reenviadas hacia Lituania, antes de ir a los servidores de Yahoo, con lo cual, la data (incluyendo contraseñas) puede ser interceptada y analizada sin que el usuario tenga conocimiento de ello.

• FinFisher no es detectable por los antivirus tradicionales. Una alternativa es usar el programa Detekt que, aunque no es infalible, puede ayudar a averiguar si en un ordenador existe software espía como el desarrollado por Gamma o por Hacking Team.

Detekt

DETEKT es la herramienta de Amnistía Internacional que permite averiguar si están espiando un ordenador.

La principal característica del software de espionaje usado por gobiernos es que es indetectable por programas antispyware tradicionales: es en base a este supuesto que compañías como FinFisher se posicionan como proveedores de este tipo de software. Amnistía Internacional, junto con las organizaciones Privacy International, Digitale Gesellschaft y la EFF decidieron desarrollar y liberar Detekt, una herramienta que escanea tu computadora en busca de huellas de spyware comúnmente empleado contra defensores de derechos humanos, periodistas y activistas.

Futuro de la seguridad/privacidad en Internet

De acuerdo con el equipo de Investigación y Análisis

de Kaspersky Lab para América Latina, las empresas y

usuarios finales tendrán que poner especial énfasis en

temas de seguridad por el incremento de ataques que

ahora no sólo serán de malware, sino híbridos (malware

y humanos) en donde “la participación de empleados

deshonestos serán parte para ayudar a evadir los

sistemas de seguridad de las empresas”

Google crea un mapa interactivo de ataques DDoS en todo el mundo.

http://www.digitalattackmap.com

Obama propone una Declaración de derechos en Internet que proteja la privacidad

El Gobierno del presidente Barack Obama propuso la promulgación

por el Congreso de EE UU de una "Declaración de derechos" en

Internet para proteger la privacidad de los datos de los usuarios en

la red.

Edward Snowden ¿Qué podemos hacer?

• The first step that anyone could take is to encrypt your phone calls and their text messages.

• You should encrypt your hard disk, so that if your computer is stolen the information isn’t

obtainable to an adversary

• Use a password manager. One of the main things that gets people’s private information

exposed, not necessarily to the most powerful adversaries, but to the most common ones, are

data dumps.

• The other thing there is two-factor authentication. The value of this is if someone does steal

your password, or it’s left or exposed somewhere … [two-factor authentication] allows the

provider to send you a secondary means of authentication — a text message or something like

that.

Entrevista de Micah Lee a Edward Snowden.Oct.2015. Moscú.

Publicada en The Intercept 12/11/2015

Últimas tendencias en seguridad de la información empresarial

• Agentes de control de acceso a la nube.

• Control de acceso adaptable.

• Sandboxing (entorno seguro de ejecución acotado)

generalizado y confirmación IOC).

• Detección en el punto final y soluciones de respuestas.

• El análisis del Big Data en el corazón de las plataformas de

seguridad de próxima generación.

• Plataformas de inteligencia en las que se incluyen servicios de

reputación.

• El confinamiento y el aislamiento como estrategia de seguridad.

• Software-defined Security.

• Prueba interactiva de las aplicaciones de seguridad.

• Gatewatys, intermediarios y firewalls para afrontar el Internet de

las Cosas

Últimas tendencias en seguridad de la información empresarial

Impacto en la Economía y la Sociedad

Ventas y productividad

Riesgo de reputación

Espionaje

Relaciones diplomáticas

Económicos

Socio-políticos

Conclusiones

• Los datos digitales son vulnerables a la destrucción, el mal uso, el error, el fraude y las fallas de hardware o software.

• La falta de seguridad y un control sólido puede hacer que las empresas pierdan ventas y productividad. Los activos de información, como los registros confidenciales de los empleados, los secretos comerciales o los planes de negocios, pierden gran parte de su valor si se revelan a personas externas o si exponen a la empresa a una responsabilidad legal.

• Las empresas necesitan establecer un buen conjunto de controles, tanto generales como de aplicación, para sus sistemas de información y de esa forma asegurar la continuidad del negocio, tales como: cifrado, codificación, encriptación de mensajes.

Conclusiones

Los expertos en materia de seguridad empresarial y el mismo Edward Snowden, coinciden en que una de las recomendaciones de seguridad más importantes es la Autenticación de dos pasos, lo cual añade una capa de seguridad al tratar de acceder a una cuenta de red social o aplicación. • Tal como su nombre lo indica, verifica dos veces: Primero con una contraseña y luego con una forma diferente, es un segundo código de seguridad que llega a través de un mensaje de texto o aplicación, que se solicita para verificar que la persona realmente es quien dice ser.

Referencias

Castells (2001). La Galaxia Internet. Barcelona. Areté.

Díaz, M. (2015). Detekt. Averigua si alguien está espiando tu ordenador.

Disponible en http://hipertextual.com/2015/01/detekt .

Díaz, M. (2015). Intercepción de tráfico de Venezuela hecho vía Lituania:

32 países, incluyendo Venezuela, usan el software FinFisher para espiar a sus

ciudadanos. Citizen Lab. Disponible

http://www.aporrea.org/tecno/n280162.html

Eset Security. (2015). Informe Tendencias 2015: El mundo corporativo en la

mira. Disponible en www.eset-la.com.

Gellman, Barton; Blake, Aaron; Miller, Greg (2013) Edward Snowden

identificado como fuente de fuga de la NSA. El Washington Post.

Gutierrez, C.(2015). Kaspersky Lab nos ofrece sus predicciones en temas

de seguridad para el 2016. Disponible en

https://www.fayerwayer.com/2015/11/kaspersky-lab-nos-ofrece-sus-

predicciones-en-temas-de-seguridad-para-el-2016

Referencias

Institute Ponemon. (2014).Fourth Annual Benchmark Study on

Patient Privacy and Data Security. Disponible en

www.ponemon.org/blog/fourth-annual-benchmark-study-on-

patient-privacy-and-data-security

Laudon, K. y Laudon, J. (2012).Sistemas de Información

Gerencial. México: Pearson Educación.

¡Gracias

por su atención!