Introducción…
EL GOBIERNO BRINDA SERVICIOS
Educación
Comunicación
Salud
Seguridad
Seguridad Social
Identidad
…hay que re-pensar políticas
de gestión de servicios online!
Gobierno - Ciudadano
e-Gov
o-Gov
i-Gov
Identidad
Seguridad Información
Privacidad
Ciberseguridad
Infraestructuras Críticas
ciberdelito
ciberterrorismo
Impericia (negligencia,
desconocimiento, etc.)
Ciberdelincuente vs Hacker
Delincuente vs Apasionado
hacker :
alguien que estudia formal o
informalmente y se atreve a
conocer mucho más allá de lo
que los manuales de uso o
configuración nos dicen.
PRIVACIDAD …SIBIOS, SUBE, y otras yerbas
… que ES privado y que HAGO público ?
Nombre y Apellido: Pedro Janices
DNI: 18.390.468
Pasaporte: 18.390.468N
Nacionalidad: Argentina
Ocupación: empleado público
Intereses:
Tecnologías, seguridad, biometría
Privacidad de datos: qué es lo que compartes?
CIITI 2012 / UAI / ROSARIO - ONTI
Public Release
Balanza
ventajas
riesgos
relaciones
estafas
distancia
difamación
velocidad
habeas data
Social Networks
Más de 70 redes sociales
•
•
•
•
•
•
•
•
Comunicarse x txt
Comunicarse x voz
Mostrar fotografías
Mostrar videos
Comentar viajes y turismo
Buscar pareja
Relación de negocios
Compras y contrataciones
Sumando los medios de comunicación que
poseen blogs
nick
nombres
e-mail
e-mail de
recupero
RS-2
RS-1
domicilio
Madurez
de la
clave
opinione
s
Fotos y
videos
IP de
origen
Vínculos
sociales
Tipo de
browser
Bio:
facial y
vocal
telefonía
Tarjeta
de
Crédito
RS-3
RS-X
Toda tu
información digital
Echelon 2.0 ?
Aprox 10 social networks
concentran el 90% del trafico
Al menos en 5 jurisdicciones
(país base jurídico) diferentes
Edad de registro varía de 13
a 18 años o por invitación
NO poseen verificación de ID
Solo se distingue un FACTOR de
autenticación (PASSWORD)
No hay verificación REAL de edad
Colectan datos CEDIDOS como
nombres, sexos, domicilios,
TELEFONOS
Generan perfiles de comportamiento,
opiniones politicas, sexuales,
adquisitivas, de ocio, etc.
Manipulación de opiniones por
saturación, bullying, etc.
Versiones mobile solo https en login
o transferencia de imágenes de user
Comunicaciones interceptables
NO declaran las políticas de guarda
de datos personales y de los lugares
de back-up de la información
Minería de datos y reacciones
…un ejemplo
Fotos/Videos
Relaciones
familiares
menores
Relaciones
sociales
Nivel Económico
Escuela, colegio,
universidad
horarios
Vacaciones /
viajes de
negocios
Ausencias
Vehículos
Lugares
frecuentados
(gps)
Rutas
Al subir contenido o al enviarlo por otros medios a nuestros Servicios,
concedes a X (y a sus colaboradores) una licencia mundial para usar, alojar,
almacenar, reproducir, modificar, crear obras derivadas (por ejemplo,
las que resulten de la traducción, la adaptación u otros cambios que
realicemos para que tu contenido se adapte mejor a nuestros
Servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir
dicho contenido. X usará los derechos que le confiere esta licencia
únicamente con el fin de proporcionar, promocionar y mejorar los
Servicios y de desarrollar servicios nuevos.
Las leyes de California, EE.UU., excluyendo los conflictos de
leyes de California, se aplicarán a cualquier controversia que
surja o se relacione con las presentes condiciones o los
Servicios.
Todos los reclamos que surjan o se relacionen con las presentes
condiciones o los Servicios se deberán presentar
exclusivamente en los tribunales federales o estatales del
Condado de Santa Clara, California, EE.UU., y usted y X
aceptan someterse a la jurisdicción personal de dichos tribunales.
EN LOS CASOS PERMITIDOS POR LA LEY, NI X NI SUS PROVEEDORES O DISTRIBUIDORES
SERÁN RESPONSABLES DE LA PÉRDIDA DE BENEFICIOS, DE INGRESOS NI DE DATOS, NI
DE PÉRDIDAS FINANCIERAS NI DE DAÑOS INDIRECTOS, ESPECIALES, DERIVADOS,
EJEMPLARES NI PUNITIVOS.
EN LA MEDIDA EN QUE LA LEY LO PERMITA, LA COBERTURA TOTAL DE X, ASÍ COMO LA DE
SUS PROVEEDORES Y DISTRIBUIDORES, POR CUALQUIER RECLAMACIÓN RELACIONADA
CON ESTAS CONDICIONES, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA, SE LIMITA AL
IMPORTE QUE HAYAS PAGADO PARA USAR LOS SERVICIOS (O, SI X ASÍ LO DECIDE, A LA
REANUDACIÓN DE LOS SERVICIOS).
EN NINGÚN CASO, NI X NI SUS PROVEEDORES Y DISTRIBUIDORES SERÁN RESPONSABLES
POR CUALQUIER PÉRDIDA O DAÑO QUE NO SEAN PREVISIBLES DE FORMA RAZONABLE.
Acerca de estas condiciones….
X puede modificar estas condiciones o las condiciones adicionales que se apliquen a un
Servicio para, por ejemplo, reflejar cambios legislativos o en los Servicios.
… las modificaciones que afecten a nuevas funciones de un Servicio o los cambios que
se hagan por cuestiones legales entrarán en vigor de forma inmediata.
Según un informe que Facebook remitió a la SEC estadounidense,
la red social tiene 83 millones de cuentas apócrifas, de los 995 millones de
perfiles registrados que posee. Es decir, un 8,3%.
La empresa clasifica los perfiles falsos en tres categorías: duplicados, las
inclasificables e indeseables.
Y admite tener 4,8% de usuarios con cuentas duplicadas, algo prohibido en
los términos del servicio que el usuario firma;
alrededor de 10 millones de cuentas “indeseables” (perfiles usados para
fines prohibidos, por ejemplo, envío de spam) y una buena porción de
inclasificables, que son las pertenecientes a empresas, mascotas o
productos de usuarios, y que deberían estar como "páginas".
Estos datos no son una buena noticia para los anunciantes, y tampoco
para Facebook que, en el mismo informe, afirma que la publicidad es lo
que mantiene su infraestructura.
La compañía calcula que tiene 552 millones de usuarios que acceden
diariamente.
Nuevas políticas,
viejos trucos?
Argentina
http://www.microsoft.co
m/privacystatement/esar/core/default.aspx
En Inglés
http://www.microsoft.co
m/privacy/default.aspx
y sigue…
usabilidad?
Localización (anónima) del dispositivo
Menores de 13 años, adoptaran medidas para eliminar los datos (14 a 17?)
Usuarios internacionales (no figura Latinoamérica)
Otros Terceros… léanlo ustedes…
http://www.apple.com/es/privacy/ 21/mayo/2012
Quien tiene mas datos tuyos?
http://www.azarask.in/blog/post/privacy-icons/
Cuanto y porque?
Marco de datos coleccion (privacidad)
OBJETIVO
La información a recabar deberá estar en el marco de competencias y
responsabilidades del organismo que los requiere
PROPORCIONALIDAD
La cantidad de datos, el método y la duración del almacenamiento deben
ser los apropiados
CALIDAD
La calidad de los datos deben ser los correctos para los propósitos en los
que quieren utilizarse
TRANSPARENCIA
Debe informarse a la persona de los que se toman los datos la forma de
obtención, el almacenamiento y los métodos en que seran auditados
V 6.00
Infraestructura Crítica
Infraestructura de Información
Ciberseguridad
Amenaza Cibernetica
Protección
Son aquellas instalaciones, redes,
servicios y equipos físicos y de
Es
cualquierdeacción
que pueda
tecnología
la información
situado
resultar
en
unPúblico
acceso
no autorizado,
Son
acciones
llevadas
a cabo
en ellas
Sector
Nacional,
Este
término
entiende
al marco
exfiltración,
manipulación
o reducir
Refiere
a las
normas,
procesos
y
para
garantizar,
defender
Organismos
u
básico
de
losProvinciales
sistemas
dey/o
menoscabo
de
la integridad,
acciones
de cuyos
seguridad
que
permiten
las
vulnerabilidades
decuya
un se
sistema
Organismos
Privados
información
activos
basan
confidencialidad
o
disponibilidad
de
a
las
organizaciones
practicar
de
información,
así como
mitigar
interrupción
otransmitir,
destrucción
pueden
en
procesar,
recibir
y/olas
un
sistema
dereducir
información
o la el en
técnicas
alimportante
mínimo
amenazas
de
Ciberseguridad,
tener
unapara
repercusión
almacenar
información
por
vía
información
que
se
almacena,
número
ataques
a ladispositivos
mejorando
seguridad
de la o es
la salud,de
la la
seguridad,
electrónica,
incluyendo
procesado
oyesta
en transito
infraestructuras
informáticas.
información
laintegridad
capacidad
deen ounel
información,
la
física
electrónicos,
dispositivos
de
sistema
deeconómico
información
electrónico,
recuperación
de ylos
sistemas
bienestar
y social
comunicaciones
todo
otro de los
sea
cual fuera
su el
finalidad.
información
yo los
activos
ciudadanos
en
eficaz
hardware,
software
o
datoasociados
asociados.
de las instituciones
afuncionamiento
estos.
estatales y las administraciones
públicas.
Conocimiento en la problemática internacional que nos afecta
Participación en los grupos de debate en problemáticas especificas
Presentación del Proyecto ICIC (Res/JGM 580/2011)
ARGENTINA Sede del encuentro de más de 43 países
Resolución JGM 580/2011
Marco regulatorio específico que favorece la identificación y protección de las
infraestructuras estratégicas y críticas así como mejorar la ciberseguridad.
Consta de 18 objetivos, entre ellos:
Colaborar con el sector privado
para elaborar en conjunto
políticas de resguardo de la
seguridad digital con
actualización constante
Establecer prioridades y planes
estratégicos para liderar el
abordaje de la ciberseguridad
Investigar nuevas tecnologías y
herramientas en materia de
seguridad informática
Elaborar un informe anual de la
situación en materia de
ciberseguridad, a efectos de su
publicación abierta y
transparente
Monitorear los servicios que el
Sector Público Nacional brinda a
través de la red de Internet y
aquellos que se identifiquen
como Infraestructura Crítica para
la prevención de posibles fallas
de Seguridad.
Mas….
Identificación y
protección de las
infraestructuras
estratégicas y críticas
de:
Sector Público
Nacional y
Organismos
interjurisdiccionale
s
Organismos
Provinciales
Organizaciones
Civiles
Sector Privado
Relevamiento y Monitoreo
Research y Prevención
Respuesta a Incidentes
Concientización y Capacitación
TIPOS DE SERVICIO
SIN ADHESIÓN
CON ADHESIÓN
EVALUACIÓN DE DATACENTERS
MEJORA CONTINUA
Cómo
mantenemos
el impulso?
Cuál es la
visión?
Definir la Meta
Dónde estamos
ahora?
Evaluar el nivel
de Madurez
Dónde
queremos
estar?
Definir el
Objetivo
Cómo hacemos
para llegar?
Definir el
Proyecto
Llegamos?
Evaluar el nivel
de Madurez
Reconocer donde tenemos problemas
es el primer paso para solucionarlo
Identificación y análisis de
las infraestructuras
críticas de información
Generación de un marco
metodológico para el
control de la correcta
administración de la
información de las
Infraestructuras Críticas.
Coordinación de planes
de acción, prevención y
monitoreo con
organismos públicos y
privados.
GENERACION
INTERNACIONA
L
TRANSPOR
TE
REGIONAL
DISTRIBUCION
EElec
LOCAL
RCom
Prevenir es más inteligente que reparar
NIVEL 0
Se realizan los análisis en forma periódica para
organizaciones, adheridas o no. Se compone de análisis de
infraestructura base expuesta a internet: Dominios, Servicios y
Direcciones.
ADHESIÓ
N
NIVEL 1
EXPLORACION MEDIA:
Detección temprana de vulnerabilidades o fallas en los
sistemas analizados.
NIVEL 2
EXPLORACION ALTA:
ejecutando procesos especializados,
disponibilidad para el servicio.
NIVEL 3
Este nivel es intento de IMPACTO DESTRUCTIVO
El sistema NO deberá ser el PRODUCTIVO, será un análogo a
un ataque real al sistema. Asimismo se brinda una consultoría
Especializada en la problemática.
sin
riesgos
de
EVALUACIÓN DE DATACENTERS
ICIC/DC-2012
TEMAS DE EVALUACIÓN
1. Protección contra incendios
8.
Organización y personal
2. Protección contra daños de agua
9.
Equipamiento
3. Electricidad y comunicaciones
10. Resguardo y recuperación
4. Aire acondicionado
11. Medios Magnéticos
5. Controles de acceso
12. Operación del Data Center
6. Mantenimiento general
13. Redes y conectividad
7. Cableado y redundancia
14. Administración de equipos
EVALUACIÓN DE DATACENTERS
NIVEL DE MADUREZ
Conocer que ocurrió para que no vuelva a suceder
Atención y coordinación
de los incidentes de
seguridad ocurridos en
redes teleinformáticas
Cooperación con
unidades de redes
informáticas del Sector
Público Nacional,
provincial y privado
Repositorio de información
de eventos de seguridad
ocurridos a nivel provincial,
nacional y mundial
Informes de
equipos de similar
naturaleza
Informes en base al
research propio
Informes en base a
informes de las
empresas
BD Registrar, analizar, coordinar, documentar e
incorporar a la base de conocimiento
C
Organismo de seguridad competente en
judicializar el incidente (Fuerza de
Seguridad Interna o Externa según
competencia)
Concientizar y capacitar como ejes de la prevención
CIUDADANOS
Concientización en
el uso seguro de
herramientas
digitales
Informes y alertas
sobre riesgos en el
uso de
herramientas
digitales
Acciones
presenciales en
establecimientos
educativos.
Generación de
materiales de
concientización
(videos, papers,
etc.)
Guías y
recomendaciones
de buenas
prácticas
ORGANISMOS PÚBLICOS
Y PRIVADOS
Desarrollo de
alianzas estratégicas
de capacitación en
políticas de
seguridad
Informes y alertas
sobre riesgos en el
uso de herramientas
digitales
Charlas de
concientización y
prevención en el uso
responsable de
herramientas
digitales
Guías y
recomendaciones de
buenas prácticas
Charlas de
concientización en
marcos Técnicos,
Jurídicos y
Gerenciales
POLÍTICA DE SEGURIDAD
ICIC/PS-2012
POLÍTICA DE SEGURIDAD ICIC 2012
Cuatro capítulos
introductorios, con los
términos generales y el
establecimiento de la
Evaluación y el Tratamiento de
los riesgos
Once capítulos
que abarcan las diferentes
cláusulas, aspectos o
dominios de la seguridad de la
información. Se presentan de
manera sistemática y
consistente.
POLÍTICA DE SEGURIDAD ICIC 2012
ESTRUCTURA
Capítulos
Introductorios
Política de
Seguridad
Capítulos
Cláusulas
Políticas x cláusula
Objetivo = resultado deseado
Controles = para mitigar riesgos
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Introducción
Términos y Definiciones
Estructura de la Política Modelo
Evaluación y Tratamiento de Riesgos
Política de Seguridad
Organización
Clasificación de Activos
Recursos Humanos
Seguridad Física Ambiental
Gestión de Comunicaciones /Operaciones
Gestión de Accesos
Adquisición, Desarrollo y Mantenimiento de
Sistemas
13. Gestión de Incidentes de Seguridad
14. Gestión de la Continuidad
15. Cumplimiento
ALGUNOS
RESULTADOS…
CIUDADANOS
RESULTADOS CUANTITATIVOS
OCTUBRE – DICIEMBRE 2011
NÚMERO DE ACCIONES
50
CANTIDAD TOTAL DE CHICOS
6894
CANTIDAD TOTAL DE
DOCENTES Y DIRECTIVOS
300
EVALUACIÓN DE DATACENTERS
Áreas
1
11 ACCIONES
2
3
Protección contra
incendio
Protección contra
daños por agua
Electricidad y
Telecomunicaciones
Aire Acondicionado
Puntos de Mejora- Organización: 4
5 Control de Acceso
• Políticas de Seguridad
6 Mantenimiento general
• Roles y responsabilidades RRHH Cableado y
7 redundancia
• Plan de Continuidad
Organización y
8 personal
• Acuerdos con Proveedores
9 Equipamiento
• Procesos y procedimientos
Resguardo y
10 recuperación
• Matriz de Riesgos
11 Medios magnéticos
12 Operación del CPD
13 Redes y Conectividad
Administración de
14 equipos
Promedio
ORGANISMO
4 5 6
7 8
1
2
3
9
10
11
PROM
1,5
0,0
0,5
0,0
1,0
2,0
3,4
0,7
1,9
0,8
1,6
1,2
1,0
2,5
0,5
1,0
1,3
2,3
3,1
0,9
1,6
0,7
2,7
1,6
3,0
0,5
2,5
0,5
2,4
2,8
2,1
1,8
2,3
0,1
2,8
1,9
2,5
2,5
3,0
1,5
2,4
3,2
4,0
2,0
2,0
1,2
1,6
1,5
3,2
2,0
2,8
0,4
1,6
0,0
0,4
1,5
2,4
2,8
3,0
4,0
3,2
0,4
3,4
2,4
1,6
2,8
4,0
0,0
1,5
4,0
2,5
3,5
1,0
3,0
1,5
0,0
0,6
2,6
3,4
1,4
3,0
0,0
2,4
1,7
1,5
0,0
0,5
0,0
0,2
1,5
1,5
0,6
1,9
0,9
0,8
0,9
1,5
2,0
1,0
1,0
1,1
1,5
3,4
1,5
2,8
1,5
1,2
1,7
4,0
1,0
0,0
2,5
2,7
3,2
4,0
0,9
2,8
0,5
3,7
2,3
2,0
4,0
0,5
0,0
1,0
3,2
4,0
1,2
0,4
0,0
4,0
1,5
0,5
1,0
0,0
0,8
2,6
3,1
1,3
1,8
0,8
2,5
3,0
4,0
2,0
0,0
0,8
2,4
2,4
2,4
2,4
0,8
1,6
1,8
1,5
2,0
4,0
0,0
0,5
0,0
0,0
1,6
3,6
3,2
1,2
0,0
3,2
1,6
2,5 1,5 1,0 0,5 1,4 2,4 3,1 1,6
2,0
0,5 2,3
7
1,7
EVALUACIÓN DE DATACENTERS
Madurez
Mantenimiento general
Aire Acondicionado
Resguardo y recuperación
Redes y Conectividad
Electricidad y Telecomunicaciones
Medios magnéticos
Cableado y redundancia
Equipamiento
Protección contra daños por agua
Control de Acceso
Administración de equipos
Operación del CPD
Protección contra incendio
Organización y personal
0.0
0.5
1.0
1.5
2.0
2.5
3.0
CHEQUEOS GAP
27 ACCIONES
Evaluación:
• 3 grupos de testeos
• 15 ítems mínimos a cumplir
• Se contempla DNS y SPF
•
•
•
29,6 % en riesgo ALTO
66,7 %en riesgo MEDIO
03,7 % SIN RIESGO
ORGANISM
O
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
TOTAL
Grupo 1 Grupo 2
Grupo 3
SIN ADHESIÓN
Análisis de las ICI
Evaluación de
Datacenters
Análisis Nivel 0
CON ADHESIÓN
Análisis y
recomendaciones de las
ICI
Evaluación de
Datacenters y gestión de
mejoras
Nivel 1
Análisis Proactivos
Nivel 2
Nivel 3
Concientización en la
prevención y en el uso
responsable de
herramientas digitales en
establecimientos
educativos
Asistencia en el armado
de las Políticas de
Seguridad
Articulación de la
información de incidentes
Capacitación y
Concientización
Técnico
Personal
Gerencial
Jurídico
CREACION DEL
GRUPO DE EXPERTOS EN SEGURIDAD INFORMATICA Y
EN LEGISLACION DE SEGURIDAD INFORMATICA
1er objetivo:
2do objetivo:
3er objetivo:
Colaboración en las propuestas de
marcos, regulaciones, procesos e
información tecnológica en la
materia
Colaboración en la confección de
propuestas de normas sobre
delitos informáticos
Colaboración en la generación de
contenido de concientización y
capacitación
LA ARGENTINA SOMOS TODOS
Creación de ICIC´s
Provinciales
• Articulación y Coordinación
• Asistencia Técnica y
Laboratorios
• Capacitación de
Capacitadores
• Buenas Prácticas
• Intercambio de Información
• Intercambio de Materiales de
LA SEGURIDAD LA
HACEMOS ENTRE TODOS
GOBIERNO - UNIVERSIDAD - EMPRESAS
GRACIAS !
[email protected]
r
WWW.ICIC.GOB.AR
OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION (ONTI)
SUBSECRETARIA DE TECNOLOGIAS DE GESTION
JEFATURA DE GABINETE DE MINISTROS
2012
Descargar

www.uai.edu.ar