Your SlideShare is downloading. ×

Protección de Datos

143
views

Published on

Presentación sobre los riesgos a la seguridad de la información, medidas preventivas y mecanismos de control para proteger los datos.

Presentación sobre los riesgos a la seguridad de la información, medidas preventivas y mecanismos de control para proteger los datos.


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
143
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Protección de Datos Ing. Karina Astudillo B. Gerente de IT 1
  • 2. Agenda  El porqué de la importancia de implementar protección de datos      Conceptos claves sobre protección de datos      Panorama de seguridad informática mundial Casos relevantes en Ecuador Confidencialidad, Integridad y Disponibilidad de la Información Tipos de ataques a la seguridad de la información Seguridad Perimetral vs Protección de Datos Principios de la protección de datos El Hábeas Data como garantía constitucional en Ecuador Ley ecuatoriana de Comercio Electrónico Soluciones para protección de datos      Métodos de Autenticación Mecanismos de protección Sistemas Anti-X y de Prevención de Intrusos basados en Host (HIPS) Sistemas de Prevención de Pérdida de Datos (DLP) y Network Admission Control Sistemas de Encripción 2
  • 3. IMPORTANCIA DE LA PROTECCIÓN DE DATOS 3
  • 4. Panorama de seguridad informática El Top 20 de programas maliciosos en Internet (Fuente: Kaspersky Security Bulletin 2010). 4
  • 5. ITU Study on the Financial Aspects of Network Security: Malware and Spam. Final Report 2008 5
  • 6. Casos relevantes en Ecuador ¡360% de incremento en delitos informáticos en Ecuador entre 2009 y 2010!       Fraudes electrónicos (phishing) Clonación de tarjetas Ataques a websites del gobierno (defacements) Estafas / Suplantación de identidad Infracciones de Propiedad Intelectual Virus, Worms, Troyanos 6
  • 7. Objetivos de Seguridad Confidencialidad Integridad Disponibilidad Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 7
  • 8. Ataques a la seguridad     INTERRUPCIÓN: Este es un ataque a la disponibilidad INTERCEPCIÓN: Ataque a la confidencialidad MODIFICACIÓN: Ataque a la integridad FABRICACIÓN: Ataque a la autenticidad 8
  • 9. Tipos de ataques     Reconocimiento Acceso Virus, Worms y Troyanos Denegación de Servicio 9
  • 10. CONCEPTOS CLAVES SOBRE PROTECCIÓN DE DATOS 10
  • 11. Seguridad Perimetral Vs Protección de Datos   La seguridad perimetral es la primera defensa ante intrusiones. Como su nombre indica actúa sobre el perímetro o borde de la red.  Ejemplos de equipos de protección perimetral: firewalls, IDS/IPS, sistemas anti-x, etc. 11
  • 12. Seguridad Perimetral Vs Protección de Datos   ¿Y qué pasa si un cracker o un programa malicioso rebasa las protecciones perimetrales? Entonces nuestra suerte dependerá de cuán bien hayamos protegido nuestros datos! 12
  • 13. ¿Qué es la Protección de Datos?  La protección de datos consiste en la implementación de medidas directas sobre nuestra información que permitan garantizar los 3 objetivos de seguridad:    Confidencialidad, Integridad y Disponibilidad   En un contexto legal, la legislación sobre protección de datos debe asegurar que los datos personales no sean procesados sin el conocimiento y, con ciertas excepciones, sin el consentimiento del sujeto de los datos. Se debe asegurar además que dichos datos se procesen de manera precisa, aplicando un conjunto de estándares que garanticen la seguridad.
  • 14. El hábeas data como derecho constitucional 14
  • 15. Legislación - Ecuador  1  2 Ley Orgánica de Transparencia y Acceso a la Información Pública Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos  Ley de Propiedad Intelectual  Ley Especial de Telecomunicaciones 3 4  5 Constitución de la República (Habeas Data) Código de Procedimiento Penal (CPP) Código de Procedimiento Civil (CPC) 15
  • 16. Ley de Comercio Electrónico   Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002 Ver el reglamento en http://www.corpece.org.ec 16
  • 17. Conceptos introducidos por la ley Mensajes de Datos   Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros. Principio de Equivalencia Funcional  Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2) Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados. 17
  • 18. Conceptos introducidos por la ley Firma Electrónica Mensajes de Datos como medio de prueba  El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia.  No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente. 18
  • 19. Conceptos introducidos por la ley  Penalización  Delito de fraude informático   Delito de falsificación electrónica   Alteración funcionamiento de programa informático Modificación del mensaje de datos Delito de daño informático  Destrucción de programas o mensajes 19
  • 20. Infracciones Informáticas (CPP) INFRACCIONES INFORMATICAS REPRESION MULTAS 6 m. - 1 año 3 años 3 a 6 años 9 años 2 m. - 2 años $500 a $1000 $1.000 - $1500 $2.000 - $10.000 $2.000 - $10.000 $1.000 - $2.000 Destrucción maliciosa de documentos (CCP Art. 262) 6 años --- Falsificación electrónica (CPP Art. 353) 6 años --- Daños informáticos (CPP Art. 415) 1. Daño dolosamente 2. Serv. público o vinculado con la defensa nacional 3. No delito mayor 6 m. - 3 años 5 años 8 m. - 4 años $60 – $150 $200 - $600 $200 - $600 Apropiación ilícita (CPP Art. 553) 1. Uso fraudulento 2. Uso de medios (claves, tarjetas magnéticas, etc.) 6 m. - 5 años 5 años Delitos contra la información protegida (CPP Art. 202) 1. Violentando claves o sistemas 2. Seg. nacional o secretos comerciales o industriales 3. Divulgación o utilización fraudulenta 4. Divulgación o utilización fraudulenta por custodios 5. Obtención y uso no autorizados Estafa (CPP Art. 563) 5 años $500 - $1000 $1.000 - $2.000 $500 - 1.000 20
  • 21. SOLUCIONES PARA PROTECCIÓN DE DATOS 21
  • 22. Mecanismos de autenticación  Algo que sé. Ej: clave.  Algo que tengo. Ej: smartcard.  Algo que soy. Ej: biométrico.  Autenticación de dos y tres vías. 22 Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
  • 23. Video: Captura de teclado virtual 23
  • 24. Mecanismos de protección     Definición de una Política de Seguridad Corporativa. DRP y BCP. Implantación de un Sistema de Gestión de Seguridad de Información (SGSI). Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.       Capacitación del personal de sistemas en seguridad informática. Protección perimetral. Uso de tecnologías Anti-X. NAC y DLP. AAA y Encripción. Ejecución de auditorías de seguridad informática anuales. 24
  • 25. Sistemas Anti-X  Antivirus / Antimalware / Antispam   Basados en firmas o reglas Patrones Heurísticos Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 25
  • 26. Sistemas Prevención de Intrusos (IPS)  Network / Host Intrusion Prevention Systems (NIPS / HIPS)   Basados en firmas Basados en comportamiento Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 26
  • 27. DLP (Data Lost Prevention Systems)     Perfiles por usuario y de grupo. Clasificación de documentos. Niveles de acceso por perfil. Prevención de lectura / modificación/ borrado / robo de información.    Medios extraíbles (CD/DVD/USB). Correo electrónico. Upload / Download de archivos. Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 27
  • 28. NAC (Network Admission Control)      Autenticación (802.1X) Perfiles de dispositivos. Asignación a VLAN’s. VLAN de Cuarentena. Servidor de Remediación. Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 28
  • 29. Esquemas de Encripción   Encripción simétrica (clave de sesión). Protocolos:   DES / 3DES AES   Encripción asimétrica (clave pública / clave privada) – PKI. Protocolos:  RSA  Diffie-Hellman 29
  • 30. Sistemas de Encripción     Programas para encripción de archivos individuales. Encripción integrada en el sistema de archivos. Encripción del disco completo. Encripción del correo electrónico (certificados / firmas digitales) 30
  • 31. ¿Preguntas?
  • 32. Mayor información      Website: http://www.elixircorp.biz Blog: http://www.SeguridadInformaticaFacil.co m Facebook: www.facebook.com/elixircorp Twitter: www.twitter.com/elixircorp Google+: http://google.com/+SeguridadInformatica Facil
  • 33. ¡Gracias por su tiempo! Karina.Astudillo@elixircorp.biz Twitter: KAstudilloB Facebook: Kastudi