La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados.

Publicada porPatricia Belmonte Méndez Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados."— Transcripción de la presentación:

1 Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados

2 Módulos  Introducción  Principios de seguridad  Tecnologías de seguridad  Redes inalámbricas y usuarios móviles  Entorno del comercio-e  Implantación de programas de seguridad  Perspectivas sociales y futuras  Referencias

3 Módulo Perspectivas sociales y legales  Legislación penal aplicable  Encausamiento criminal  Manejo de la evidencia (“Forensics”)  Demandas en daños (“torts”)  Responsabilidad frente a terceros  Agencias reguladoras  Organizaciones de apoyo  Recapitulación final

4  Computer Fraud and Abuse Act (1986) 18USCCh47 sec. 1030 define dos tipos de delito grave: “Unauthorized access to a federal interest computer with the intention to commit fraudulent theft” “Malicious damage involving alteration of information in, or preventing the use of a federal interest computer provoking loses of $10000 or more, except medical records” “A federal interest computer includes financial institutions” “If convicted the penalty could be 5 -10 years” “defines a misdemeanor for traffic in passwords” Test cases: Robert Morris (Cornell student) & Zinn (HS) Perspectivas sociales y legales Legislación penal aplicable

5  Computer Fraud and Abuse Act (1986) La sec.1030 define diferentes escenarios delictivos: Espionaje contra el gobierno federal - sec. 1030(a)(1) Uso no autorizado de equipo - sec. 1030(a)(2) Incursionar (“tresspass”) en equipo – sec. 1030(a)(3) Acceder con intención de defraudar – sec. 1030(a)(4) Afectar el uso o integridad (DoS) – sec. 1030(a)(5) Tráfico de claves (“passwords”) – sec. 1030(a)(6) Extorsión – sec. 1030(a)(7) ¿Virus? Perspectivas sociales y legales Legislación penal aplicable

6  Credit Card Fraud 18USC sec. 1029 define como delito grave: Poseer por lo menos 15 números de tarjetas de contrabando Atacar un sistema de computadoras para acceder información sobre números de tarjetas de crédito al cual no tiene autorización de acceso, aún cuando no pueda demostrase daños ascendentes a $5000 ó más Perspectivas sociales y legales Legislación penal aplicable

7  Federal Trade Commission Act 15 USC sec. 1685 abarca operaciones en el Web: Divulgar las políticas sobre privacidad de los ISP Exponer de forma clara y visible las normas Prevenir el “online profiling” Política de no intervención en el WEB para regular privacidad, excepto referente a menores (COPA) Guías sobre prácticas legítimas y razonables (“Fair practices”) que cobijen al consumidor Perspectivas sociales y legales Legislación penal aplicable

8  Children’s Online Privacy Protection Act (COPPA) 15USC sec. 6501dispone: Sitios Web comerciales dirigidos a niños (“online services targeted to children”) menores de 13 años. Recoger información personal acerca de niños Exige consentimiento de los padres Obliga a notificar acerca de la información que se recoge El incumplimiento da base a que se determine una práctica engañosa o injusta (“unfair or deceptive”) Cuestionamiento constitucional

9  Interceptación de comunicaciones 18USC sec. 2511 proscribe la interceptación de comunicaciones telefónicas y electrónicas, incluyendo al gobierno, quien necesita una orden de cateo (“warrant”) Un intruso que coloca un “sniffer” puede considerarse como una interceptación ilegal Cierto tipo de vigilancia (“monitoring”) por parte de las organizaciones, también, puede considerarse una interceptación ilegal Perspectivas sociales y legales Legislación penal aplicable

10  Copyrights (18 USC 2319): Define como delito menos grave la reproducción y/o distribución de material protegido por derechos de autor cuando por lo menos se han hecho 10 copias y el valor total excede $1000. De exceder el valor los $2,500 el delito se convierte en grave Si un sistema de computadores ha sido comprometido y está siendo utilizado para la distribución ilegal de material protegido el dueño o proveedor del SW puede estar incurriendo en delito punible independientemente que se demuestren o no daños en exceso de $5000 Perspectivas sociales y legales Legislación penal aplicable

11 Perspectivas sociales y legales C onsecuencias penales de otros actos  Cyberstalking – Vigilar y seguir a un cibernauta mientras navega en Internet ( “Shadowing a user from site to site while navigating the Internet”) constituye hostigamiento (California)  Identity theft – Impostura (E-sign)  SPAM – “ remital of bulk unsolicited mail” (legislación pendiente ante el Congreso & California)  Reverse computer tresspass & Data mining – CGI ejecuta código que revierte datos del usuario al servidor WEB. Utilizar datos y “cookies” para “profiling”

12  Electronic Communications Privacy Act (1986) ECPA Reemplaza en parte el Omnibus Crime Act (1968) Extiende las protecciónes del título III sobre privacidad a la transmisión y almacenamiento de las comunicaciones electrónicas. Protege el contenido de la comunicación y documento electrónico Incluye los segmentos de comunicación inalámbrica Abarca la expectativa de privacidad que cubre el empleo Perspectivas sociales y legales Legislación aplicable

13  Computer Security Act (1987) Extiende el PL-100-235 para: Asigna al National Institute for Standards and Technology (NIST) - Dpto. de Comercio federal, responsabilidad sobre la seguridad de todos los sistemas de gobierno no militares La NSA provee respaldo técnico al NIST en la fijación de estándares aplicables a documentos e información clasificada El NIST fija los estándares a la información no clasificada Perspectivas sociales y legales Legislación aplicable

14  National Information Infrastructure Protection Act (1996) PL-104-294 amplia los delitos por fraude y abuso de tecnología para integrar: Obtener y divulgar información relativa a la defensa nacional Uso indebido de tecnología para obtener información del gobierno federal en sistemas públicos o privados Integra la presencia en Internet Aumenta a delito grave los delitos dondeel impacto del uso indebido o impropio es sustancial Redefine “protected computer” para aclarar transacciones “interstate or foreign commerce” Aplica a todas las transmisiones o amenazas por cualquier medio que pretendan interferir con las operaciones normales, negar acceso a usuario legítmos, borrar archivos,corromper programas,o ataponar el tráfico en las redes. Perspectivas sociales y legales Legislación aplicable

15  Gramm-Leach Bliley Financial Services Modernization Act – GLBA (1999) Impone a las instituciones financieras la obligación afirmativa de proteger la información de sus clientes Requiere divulgar a los clientes los escenarios de compartir información entre instituciones y permitirles “opt out” Requiere divulgar anualmente las medidas que tiene implantadas para proteger la información de los clientes Incluye datos personales, datos financieros, sobre servicios y sobre transacciones del cliente Perspectivas sociales y legales Legislación aplicable

16  Health Insurance Portability and Accountability Act – HIPPA (1996) Establece estándares para la transmisión electrónica de datos entre proveedores médicos y los aseguradores o el gobierno Seguridad y privacidad en el ámbito administrativo:  Certificación  Procedimientos  Planificación de contingencias  Procesos de seguridad para personal, “incident response”, etc  Auditorías Seguridad y privacidad en el ámbito físico:  Control de los medios  Control de acceso físico  Monitoreo sobre el uso de los equipos y estaciones de trabajo Seguridad y privacidad en el ámbito técnico:  Autenticación de usuarios Perspectivas sociales y legales Legislación aplicable

17  “Prosecution” o encausamiento criminal: Debe haberse cometido un delito Debe existir evidencia admisible que lo sostenga Debe haber interés o intención de encausar Participación del asesor legal de la organización Integración de los agentes del orden público Perspectivas sociales y legales Encausamiento criminal

18  Áreas asociadas al proceso de encausar: Mecanismo valorar activos de información perdidos o impactados Tipo de daños o de pérdidas cubiertas por ley Demostrar que se siguieron los procesos de operación establecidos y existen copias de resguardo y bitácoras Documentación adecuada del(os) incidente(s) De reclutarse asesores externos para retornar a las operaciones normales se debe:  Hacer por lo menos dos imágenes de los discos (“Backup”)  Depositar una de las copias sellada en área restricta bajo control de acceso  Hacer procesos de “secure checksums” para identificar cambios o adulteración ulterior Verificar otras bitácoras que puedan contener datos sobre transacciones relacionadas y hacer copia de éstas Perspectivas sociales y legales Encausamiento criminal

19  Admisibilidad de la evidencia: Documento original es la mejor evidencia Se obtuvo por medios lícitos, en cumplimiento con las reglas de procedimiento criminal y la constitución Documento se produjo o tramitó siguiendo los procedimientos establecidos. Documento se depositó, guardó y custodió adecuadamente para evitar su adulteración o modificación indebida. Documento lo presenta quien lo produjo o tramitó. El proceso de almacenarlo, guardarlo y custodiarlo lo describe la(s) persona(s) a cargo Los peritos deben ser calificados, previo a su presentación Perspectivas sociales y legales Manejo de la evidencia

20  Admisibilidad de la evidencia: A los efectos de presentación en evidencia las bitácoras se consideran ‘hearsay’. (Declaraciones sobre lo que escucharon de un tercero.) Sólo se admiten en evidencia como excepción. Para admitirse deben:  Recopilarse como parte de las operaciones regulares  Examinarse como parte de las operaciones regulares  Protegerse contra adulteración o interceptación  Certificarse como que no han sido adulterados Para admitirse como evidencia forense hay que probar:  Precisión del proceso que los crea  Precisión del contenido  Cadena de custodia (“chain of custody”)  Transparencia (puede ser reproducido por 3ro con el mismo resultado) Perspectivas sociales y legales Manejo de la evidencia

21 Actos negligentes pueden conllevar reclamaciones de daños y perjuicios (“torts” ) por responsabilidad personal o fiduciaria frente a terceros. Ámbito o dimensión de la responsabilidad:  Actos propios  Actos de otros por los cuales respondemos (fiduciarios) Perspectivas sociales y legales Responsabilidad frente a terceros

22  Resposabilidad basada en actos negligentes: Áreas de responsabilidad primaria:  Indolencia, ignorancia o negligencia al administrar los recursos de información de la organización  Uso indebido con la intención, o no, de causar daño  “Internal monitoring” – empleados, clientes, visitantes  “Downstream liability” – permitir a 3ros utilizar nuestra infraestructura tecnológica para causar daño a otros  “Attack back” – ripostar al atacante de manera similar Responsabilidad fiduciaria:  Divulgación indebida sobre clientes, proveedores, otros  Violación a derechos de propiedad industrial e intelectual Perspectivas sociales y legales Responsabilidad frente a terceros

23  Responsabilidad por negligencia surge por: Dejar de divulgar posibles riesgos de seguridad Fallar en implantar la tecnología más reciente Fallar en la operación de la tecnología Dejar de ejercer la debida rigurosidad al implantar políticas o procedimientos Dejar de fiscalizar el cumplimiento con políticas y procedimientos Perspectivas sociales y legales Responsabilidad frente a terceros

24  “Standard of due care”: Describe las precauciones que debemos tomar para proteger los recursos y la información de los clientes Actuar de acuerdo con las normas y procedimientos prescritos para operar y reducir los riesgos Incrementar y fortalecer las medidas de resguardar el perímetro de acción o de responsabilidad por riesgos Reducir el margen de error humano Actuar como un buen padre de familia lo haría Estándares de ISO17799 Perspectivas sociales y legales Responsabilidad frente a terceros

25  ¿Qué hacer?: Ejercer el “standard of due care” Fortalecer las relaciones con la división legal y recursos humanos Cumplir con la legislación aplicable Notificar o divulgar los incidentes de actuación indolente Colaborar con la gerencia, auditores, agencias reguladoras y del orden público en las investigación del incidente Tomar medidas para evitar que se repitan estos incidentes Educar a las partes directamente responsables Mantener al día la tecnología que fiscaliza el perímetro Perspectivas sociales y legales Responsabilidad frente a terceros

26  “NIST –Information Security Standards”  “US Dpt. Of Justice Computer Crime and Intellectual Property Section (CCIPS)”  “US Department of Commerce Safe Harbor”  GLB & HIPAA  “USA Patriot Act”  “Homeland Security Agency” Perspectivas sociales y legales Agencias reguladoras

27  “European Data Privacy Initiatives” (1998): Notificar qué se recopilando Elección – “opt–in”/ “opt–out” Transferencia – basada cumplimiento requerimientos Aceso a datos garantizado Seguridad – frente a acceso indebido o no autorizado Integridad – metodología para corregir datos errados Perspectivas sociales y legales Agencias reguladoras

28  Asociaciones de profesionales en el área: National White Collar Crime Center National Consortium for Justice Information and Statistics (SEARCH) High Technology Crime Investigators Association (HTCIA) National Cybercrime Training Partnership (NTCP) “Hay una necesidad imperiosa de profesionales en este campo que dominen la tecnología y se interesen por el cumplimiento con el sistema de ley.” Perspectivas sociales y legales Organizaciones de apoyo

29  Organizaciones particulares que certifican prácticas seguras del comercio en WEB y la protección al consumidor: TRUSTe – revisa regularmente sedes certificadas y recomienda cambios en procesos BBBOnline – programa de certificación de negocios sujetos a sus prácticas recomendadas Webtrust – certificación por auditores de cumplimiento con estándares en:  Business Practice Disclosure  Transaction Integrity  Information Protection

30 Preguntas

31 Referencias  Tanenbaum, Computer Networks  Maiwald, Network Security  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)

Descargar ppt "Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados."

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
A continuación mencionaremos algunos conceptos de calidad.

A continuación mencionaremos algunos conceptos de calidad.
Declaración de derechos y Responsabilidades de Facebook 1.Privacidad 2. Compartir el contenido y la información 3. Seguridad.

Declaración de derechos y Responsabilidades de Facebook 1.Privacidad 2. Compartir el contenido y la información 3. Seguridad.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
CÓDIGO DE ÉTICA CORPORATIVO ,,, PRIVACIDAD

CÓDIGO DE ÉTICA CORPORATIVO ,,, PRIVACIDAD
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS

LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Claudia Stéphanie Prado Aguirre

Claudia Stéphanie Prado Aguirre
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque

Políticas de Seguridad por Julio César Moreno Duque
COMENTARIOS PROYECTO DE LEY QUE MODIFICA LEY 17.336 SOBRE PROPIEDAD INTELECTUAL (Boletín N 5.012-03) Asociación de Derecho e Informática de Chile, ADI-

COMENTARIOS PROYECTO DE LEY QUE MODIFICA LEY SOBRE PROPIEDAD INTELECTUAL (Boletín N ) Asociación de Derecho e Informática de Chile, ADI-

Presentaciones similares

Anuncios Google