Upload
david-zarza
View
53
Download
3
Embed Size (px)
Citation preview
La Importancia de la Seguridad Informática: Las políticas y la
Legislación
M. Farias-ElinosLab. de Investigación y Desarrollo de Tecnología
Avanzada (LIDETEA)Universidad La Salle
Grupo de Seguridad de Internet-2web: seguridad.internet2.ulsa.mxe-mail: [email protected]
Contenido
Antecedentes
Definiciones
Legislación InformáticaLegislación en México y en el mundo
Las políticas de seguridad
Conclusiones
Antecedentes
El uso de los medios electrónicos infomáticos como la Internet y redes de comunicaciones es algo que se ha masificado en México en las diferentes áreas.
Gobierno
Educación e Investigación
Salud
Comercio / Industria
Antecedentes
El porqué de la seguridad
En cualquier sociedad, un pequeño porcentaje de la gente es maliciosa. Se estima que Internet tiene40 millones de usuarios. Aún si el porcentaje deusuarios maliciosos es menor al 1% de esta sociedad, el número de usuarios maliciosos estan grande que debería ser preocupante.
Definiciones
Seguridad:(sustantivo femenino). Certeza, firmeza, confianza. Sin riesgo(sust.) Dicese de las cosas ciertas, firmes y/o libres depeligo o riesgo. Estado de las cosas bajo protección(lat. Securitis) Confianza, tranquilidad de una personaprocedente de la idea de que no hay ningún peligro que temer
Definiciones
Proteger derechosEl derecho a la privacidad
El derecho a estar informado
Proter los activosInformación (Bases de Datos, documentos digitales)
Equipos (Sistemas de control, redes, etc.)
Reforzar las reglasLeyes, políticas y procedimientos
Definiciones
Problemática
Falta de una cultura informática
Falta de una cultura de seguridad en cómputo
Dificultad al involucrar: Ética, Política, Derecho,Sociedad.
Dificultad de “vender” la idea de seguridad
El no dar acceso libre al documento de las políticas
Falta de especialistas: Seguridad, Informática, etc.
Problemática
Trabajo aislado de personasAbogados
Ingenieros
Legislación Informática
LegislaciLegislacióón Informn Informááticatica o Derecho Derecho InformInformááticotico.
El conjunto de leyes, normas y principios aplicables a los hechos y actos derivados de lainformática
Dr. Julio Tellez
Legislación Informática
Aplicación del los campos actuales del derechoen la Informática
La protección jurídica de la información personal
La protección jurídica del software
El flujo de datos fronterizo
Los convenios y/o contratos informáticos
Los delitos informáticos
El valor probatorio de los documentos electromagnéticos
Delito Informático
Toda conducta ilícita susceptible de sersancionada por el Derecho Penal, que hace referente al uso indebido de cualquier medio informático.
Clasificación del delito informático
Como instrumento o medioFalsificación de documentos
Alteración de contabilidad
Planeación o simulación dedelitos convencionales (robo,homicidio, etc.)
Lectura, robo copia o alteraciónde información confidencial
Daño de información
Acceso y uso no autorizado derecursos de cómputo
Sabotaje
Como fin u objetivoBloqueo de sistemas deinformación
Destrucción de programas
Daño o vloqueo de recursos delsistema (periféricos, memoria, etc)
Daño dísico a equipo decómputo
Sabotaje político o terroristo
Robo o “secuestro” de soportesde información en medios magnéticos
Clasificación del delito informático
Otra clasificaciónDelitos contra la intimidad (espionaje y uso de lainformación)Delitos contra el patrimonioFraudeViolación a la propiedad intelectual e industrialFalsedad
Legislación en México
NoNo existeexiste un Derecho Informático.
Leyes relacionaldas con la InformáticaLey Federal del Derecho de AutorLey de la Propiedad IntelectualLey Federal de Telecomunicaciones
Ley de Información Estadística y Geográfica
Legislación en México
Organismos de la Administración Pública Federal con atribuciones vinculadas con la Informática
Secretaría de GobernaciónSecretaría de Relaciones ExterioresSecretaría de Hacienda y Crédito PúblicoSecretaría de EconomíaSecretaría de Comunicaciones y TransportesSecretaria de Contraloría y Desarrollo AdministrativoSecretaría de Educación PúblicaComisión Federal de TelecomunicacionesConsejo Nacional de Ciencia y Tecnología
Iniciativas jurídicas en México
En materia informática22 de marzo del 2000 en Materia de delito informático
En materia de correo electrónico28 de abril de 1999
15 de diciembre de 1999
22 de marzo del 2000
Proyecto Norma Oficial MexicanaPROY-NOM-151-SCFI-2001
Iniciativas jurídicas en México
Protección de datos personales14 de febrero del 2001: Ley Federa de Protección deDatos PresonalesReformas al artículo 16 de la Constitusión Política delos Estados Unidos Mexicanos
Legislación Informática en el mundo
Aspectos legislados:Abuso fraudulento en el procesamiento deinformación (Japón y Austria)Daño de equipo de cómputo y uso ilegal del mismo(Japón)Lucrar utilizando inadecuadamente bases de datos(Japón y Nueva Zelanda)Sabotaje de negocios ajenos (Japón)
Piratería y adquisición ilegal de programas (Francia,Alemania, Japón, Escocia, Gran Bretaña, El Salvador)
Legislación Informática en el mundo
Fraude o robo de información confidencial yprogramas (Francia, Gran Bretaña, Austria, Suiza,Japón, Estados Unidos)Alteración de programas (Japón, Gran Bretaña)Regulación de delitos informáticos (Chile, El Salvador [proyecto])
Protección a la intimidad, dignidad yautodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento de datos personales(proyecto en Costa rica)
Políticas de seguridad (PSC)
Conjunto de reglas y principios que gobiernan una identidad u organismo
Cada regla define una acción, mecanismo y/oprocedimiento
Lograr la seguridad, órden y buen uso de los sistemas de información
Especifícan las condiciones, derechos yobligaciones sobre el uso de los sistemas decómputo
¿Porqué de las PSC?
Prevenir la pérdida de la información
Tener un uso adecuado y eficiente de los sistemasde cómputo y de las telecomunicaciones
Una forma de poder ir a la par con la tecnología yuna respuesta a la falta de legislación informática
Ventajas de las PSC's
Ayudan a la adquisición del HW y del SW
Permiten actuar a las autoridades en el caso deuna violación de la seguridad
Permite tener procedimientosPara eventualidadesPara llevar acabo una auditoría
Evita la excusa llamada ignorancia
Características de las PSC's
Documentar con vigencia permanente yactualizable periodicamente
Debe ser referencia para otros esquemas deseguridad
Enfocada a la problemática particular de cada organización
Tener una estructira bien definida
Debe de tener fecha y versión
Características de las PSC's
Aceptada como documento oficial por las autoridades y la comunidad
Debe ser clara, exacta, precisa, concisa
Establecer condiciones aceptables y no aceptables
Accesible a toda la comunidad
Aprobada por todas las personas afectadas
Características de las PSC's
Establecer obligaciones y derechosAdministradores
UsuariosInvestigadoresAlumnosPersonal administrativoDocentesSoporte técnicoDesarrolladoresEtc.
¿Cómo realizar una PSC?
Detectar la problemática
Respondre a las preguntas¿Qué se debe de proteger?¿Contra qué se debe de proteger?¿Qué tipo de usuarios se tienen?
¿Quién debe de poder usar los recursos?¿Qué constituye un uso adecuado de los recursos?¿Quién debe proporcionar acceso al sistema?
¿Cómo realizar una PSC?
¿Quién debe tener privilegios de administrador?¿Cuales son los derechos y responsabilidades de los administradores?¿Cómo debe de manejarse la información sensible?
Desarrollo de una PSC
PreparaciónRedacciónEdiciónAprobaciónDifusiónRevisiónAplicaciónActualizacion
Contenido de una PSC
Ámbito de aplicación
Análisis de riesgo
Enunciados de políticas
Sanciones
Sección de sus éticos de los recursos informáticos
Sección de procedimientos para el manejo deincidentes
Ejemplos de políticas
De cuentasOtorgada a usuarios legítimos
Conformada por un nombre y una contraseñaTiempo de vida
De contraseñasLongitud mínima de 8 caracteresContener metacaracteresNo permitir la repetibilidad
Ejemplos de políticas
De control de accesoUso de aplicaciones de comunicación segura (SSH)
Usar cuentas propiasEsquemas de autenticación
De uso adecuadoNo se aceptan copias no autorizadasNo se permiten transferir archivos que no tengan relación con la organización.
Ejemplos de políticas
De respaldosAlmacenamiento seguro de las cintas
Gardar por lo menos dos versiones anteriores
De correo electrónicoEl usuario es el único autorizado para leer su correo
Se prohíbe el uso con fines no laboralesLos correos deben de estar “firmados” (Digital ID, PGP)
Ejemplo de políticas
De monitoreo del sistema (acounting)Activación y registro de bitácoras
Realizar un corte semanal de las actividades delregistradasAnálisis de la información de las bitácoras(estadística)
¿Quienes participan en la PSC?
Administradores de sistema
Persona con autoridad
Regresentante jurídico
Editor / Redactor
Usuario típico (docente, secretaria, desarrollador, etc.)
Procedimiento técnico que apoye a las PSC's.
Áreas por trabajar
Legislación:Vincular la parte tecnológica con la parte legal
Especialistas que sepan obtener evidencias que puedan ser aceptadas en la legislación (Auditoria de laseguridad, Cómputo forense)Legislación informática global o mundial
Áreas por trabajar
Políticas de seguridadDefinir esquemas que permitan minimizar el efecto delas eventualidadesDefinir esquemas de seguridad globales y específicasAnálisis de riesgos y vulnerabilidadesExpertos en el análisis de vulnerabilidades
Áreas por trabajar
Desarrollo de herramientas para el monitoreo delos sistemas
Esquemas de criptografía
Conclusiones
Una legislación informática permite implantar esquemas de seguridad robustos
Existen adaptación de algunas leyes al ámbito computacional y tecnológico
Derechos de autorProtección industrial
Regulación de las comunicaciones
Conclusiones
Inexistencia de legislación en cuanto a:Tipificación de delitos informáticos
Uso ilícito del equipo de cómputo y detelecomunicacionesSeguridad jurídica en el uso de medios electrónicosReconocimeinto legal de las transacciones electrónicas
Conclusiones
Se ha promovido:Reconocimiento penal sobre faltas de respeto a laintegridad humana en espacios virtualesRegulación del uso del correo electrónico
Falta por promoverLa confidencialidad de la informaciónLa validez de los documentos electrónicosLa protección de la intimidad de los usuarios de latecnología
Conclusiones
La seguridad en cómputo no es un lujo
Esfuerzo en conjunto
Falacia al hablar del 100% de seguridad
El 50% de los incidentes son internos
Las políticas es una manera de ir un paso adelantede la legislación
Las políticas son únicas por cada organización
Las políticas reducen el riesgo
La Importancia de la Seguridad Informática: Las políticas y la
Legislación
M. Farias-ElinosLab. de Investigación y Desarrollo de Tecnología
Avanzada (LIDETEA)Universidad La Salle
Grupo de Seguridad de Internet-2web: seguridad.internet2.ulsa.mxe-mail: [email protected]