Consulting Project

Consulting Project

Foro de Seguridad en Redes

“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”

Dra. Mónica Abalo LaforgiaConsulting Project | Directora

AGENDA

Aspectos de la Seguridad en Internet

La Protección de Datos en la Sociedad de la Información

Conclusiones

Preguntas

“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”

Consulting Project

Consulting Project

AGENDA

Aspectos de la Seguridad en InternetQué es la Seguridad

Definición e identificación de Vulnerabilidades y Amenazas

Concepto y Características del Delito Informático

El Proyecto de Ley. Criterios de regulación

Clases y Evolución

“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”

Consulting Project

Consulting Project

QUÉ ES LA SEGURIDAD

Clases

Mitos

•Software Infalible

•Escenarios simples y pocos

• Robo de información sólo a nivel de red

• Asegurar el “end-point” resuelve el problema

• Comportamiento del usuario es seguro

SEGURIDAD DE ACCESO

SEGURIDAD REACTIVA

Preocupa a individuos y organizaciones

Concepto relativo

INFRAESTRUCTURA + DATOS

=SEGURIDAD

Consulting Project

Consulting Project

PRINCIPIOS GENERALES DE SEGURIDAD

Ponderación del Riesgo

AMENAZAS

VULNERABILIDADES

Políticas de seguridad “customizadas”

Condiciones de Éxito

(i) Utilidad(ii) Coherencia (iii)Practicable

(iv) Adecuada culturalmente

Obligaciones del responsable

Vs.

Consulting Project

Consulting Project

DELITO INFORMÁTICO Consulting

ProjectConsulting

Project

Conducta Antijurídica:

CONCEPTO

MEDIO: utiliza recursos informáticosOBJETO: contra recursos, medios o sistemas informáticos

Contra las PERSONAS

Contra el HONOR

Contra la INTEGRIDAD SEXUAL

Contra el ESTADO CIVIL

Contra la LIBERTAD

Contra la PROPIEDAD

Contra la SEGURIDAD PÚBLICA

PORNOGRAFÍA INFANTIL

INSERCIÓN DE DATOS PERSONALES FALSOS

ACCESO NO AUTORIZADO A BASES DE DATOS

SPAM

ESTAFAS Y DEFRAUDACIONES UTILIZANDO SISTEMAS INFORMÁTICOS

DAÑOS A SISTEMAS DE INFORMACIÓN

FALSIFICACIÓN DE DOCUMENTOS ELECTRÓNICOS O FIRMA DIGITAL

Código Penal Vigente Delitos Informáticos

BIENES JURÍDICOS PROTEGIDOS

Contra el ORDEN PÚBLICO

Contra la SEGURIDAD DE LA NACIÓN

Contra los PODERES PÚBLICOS Y ORDEN CONSTITUCIONAL

Contra la ADMINISTRACIÓN PÚBLICA

Contra la FE PÚBLICA

DELITOS INFORMÁTICOS

SITUACIÓN ARGENTINA RIESGOS

Consulting Project

Consulting Project

Infinidad de Proyectos presentados

Cámaras del Sector y Organismos Públicos (ONTI)

Nemirovsci y Otros Expte 5864-D-2006

Falta de conocimiento del funcionamiento y naturaleza de Internet

Definiciones amplias que abarquen otros bienes jurídicos protegidos

Proteger lo ya protegido

NO HAY LEYES PERFECTAS

CAPACITACIÓN

INFORMACIÓN

ASESORAMIENTO

INTERPRETACIÓN ARMÓNICA DEL ORDENAMIENTO JURÍDICO

Responsabilidad Responsabilidad

Social Social

CLASES Y EVOLUCIÓN

Pérdida de Información por distintos medios (Internet, intranet, dispositivos externos)

Hackers: adolescentes con conocimientos informáticos. Sin intereses económicos

Crackers: anonimato limitado. Intereses económicosPhishing: redes de crimen organizado.

Vishing:•E-mail con número de teléfono

•Llamado que emula la central telefónica del banco

Pharming:•Manipulación de DNS del PC para desviar a páginas falsas

•Se utilizan gusanos y troyanos

Scam:•Ofrecimiento vía e-mail de trabajo desde el hogar

• Se utiliza para blanquear dinero

Consulting Project

Consulting Project

PHISHING… UNA PRÁCTICA QUE NO DESCANSA

Consulting Project

Consulting Project

Entidades Atacadas

93(2006)/178(2007)U.S.A

U.K

España

Canadá e Italia

91,4%73%

10%

4%

3%

“Spam”: correo electrónico no solicitado(Junk mail)

“Spamming”: acción de enviar mensajes de correo electrónico a varias personas con fines primariamente publicitarios

DEFINICIÓNC

on

sec

uen

cia

s

Año 1999

Abogados especialistas en migraciones Canter & Siegel

Ofrecimiento de servicios

ORIGEN

Fue juzgado como una acción negativa por la sociedad

Cancelación del servicio Internet

Desafiliación como “barristers” en el Estado de Arizona

Ganancias por la publicación del libro

SPAM – CONCEPTOS GENERALES

Consulting Project

Consulting Project

DESDE EL ISPTiempo de lectura

Tiempo de conexión

Realizar quejas

Solicitud infructuosa de OPT-OUT

DESDE EL USUARIO

QUIÉN LOS ASUME?

Costos operativos en RR.HH y tecnológicos:• atención de reclamos• saturación de redes y servidores• filtrado de mails

SOLUCIONES ?

TÉCNICAS Y FISICAS (listas blancas y listas negras)

JURIDICAS

Regulación

Auto -regulación

SPAM – COSTOS Y SOLUCIONESConsulting

ProjectConsulting

Project

ALGUNOS NÚMEROS …

El Spam sigue creciendo inmune a cualquier medida en su contra

Fuente: Hispasec 22/05/06 (Estudio realizado por Ipswitch)

Año 2006 2005 … 2003

2002

Período 1º Q 4º Q … Julio Diciembre

62%

57% ... 50%

40%

Temáticas del Spam

Variaciones

2005-2006 5%

2003-2006 12%

42% sexo y pornografía

Hipotecas y Préstamos

Medicamentos

Software pirata

Lotería y Juegos

Consulting Project

Consulting Project

AGENDA

La Protección de Datos en la Sociedad de la InformaciónConcepto y Características

Aspectos relevantes de la Ley 25.326

Situación Argentina y resto del Mundo

El Servicio WHOIS: concepto, posturas y criterios. El Debate

La Protección de la Propiedad Intelectual en Internet

Consulting Project

Consulting Project“ASPECTOS CLAVE DE LA SEGURIDAD EN

INTERNET”

Dato = Información

Flujo de información entre sus integrantes que se realiza en tiempo

real

Sociedad

Información de cualquier tipo referida a personas físicas o de existencia

ideal determinadas o determinables (Art. 2 – Ley 25.326

Dato Personal

Información Asociación en forma directa o indirecta a una persona física DATO PERSONAL

Dato Personal In

form

ació

n

Flujo

Soci

edad

Dato Personal

AUTODETERMINACION INFORMATIVA

CONCEPTO Y CARACTERÍSTICASConsulting

ProjectConsulting

Project

Artículo 19 C.N.    

“ Las acciones privadas de los hombres que de ningún modo ofendan al orden y la moral pública ni perjudiquen a un tercero, están reservadas a Dios y exenta de la autoridad de los magistrados …”

Derecho a la Intimidad se relaciona con:

Autodeterminación Informativa

Anonimato

Posibilidad de controlar la información referida así misma que una determinada persona quiere compartir con los otros

FUNDAMENTOSConsulting

ProjectConsulting

Project

DERECHO A LA INTIMIDAD VS. PROTECCIÓN DE DATOS

DO NOT

DISTURB

Derecho a la Intimidad

DERECHO PERSONALÍSIMO

DERECHO AUTONOMO

DERECHO FUNDAMENTAL

Derecho a la Intimidad Protección de Datos

Consulting Project

Consulting Project

Sistema “SAFE HARBOUR”

Basado en la protección referida al consumo de sectores determinados

Órgano de Control: FTC

ESTADOS UNIDOS

Arg

en

tin

aLeyes que regulan el tratamiento de datos personales: Chile y Paraguay

Proyecto de Ley en discusión: Brasil

LATINOAMERICA

Sistema jurídico mixto (Consumo + Derecho Humano)

Ley general con protecciones específicas

Único país en Latinoamérica con adecuación internacional

1º Legislación Europea: “Convenio del Consejo de Europa de protección de las personas con respecto al tratamiento automatizado de datos de carácter personal de 1981”

Directiva 95/46/CE

Directiva 97/66/CE

Directiva 2002/58/CE

UNIÓN EUROPEA

SITUACIÓN ARGENTINA Y RESTO DEL MUNDO

Consulting Project

Consulting Project

ASPECTOS RELEVANTES DE LA LEY 25.326Consulting

ProjectConsulting

Project

Ley 25.326

Decreto Reglamentario 1558/2001

OBJETO (Art. 1º)

Datos personales sometidos a procesamiento

Asentadas en banco de datos

Destinados a “dar informes” (o que excedan el uso personal – Dec Regl.1558/01

Responsable (Base de Datos)

Titular (Contenido)

Usuario (Tratamiento de Datos )

Tratamiento de datos - procedimiento sistemático

Datos sensibles

SUJETOS Y DEFINICIONES

REGULACIÓN

ASPECTOS RELEVANTES DE LA LEY 25.326Consulting

ProjectConsulting

ProjectP

rincip

ios

Gen

era

lesPRESUNCION DE

LEGITIMIDAD

CALIDAD DE LOS DATOS

CONSENTIMIENTO INFORMADO

DEBER DE CONFIDENCIALIDAD

RE

GL

AS

Datos Sensibles: No pueden ser objeto de tratamiento.

Excepción: Fines estadísticos o científicos o autorización legal

Condición: Disociación de los datos

Prohibición de formar banco de datos que revelen datos sensibles

Datos que contengan información que revelen: origen racial y ético, convicciones políticas y religiosas, orientación política o sindical, salud e identidad sexual

DATOS SENSIBLES

ASPECTOS RELEVANTES DE LA LEY 25.326

Consulting Project

Consulting Project

DERECHOS DE LOS TITULARES

CONTENIDO DE LA INFORMACIÓN

(Art. 15)

DERECHO DE RECTIFICACIÓN,

ACTUALIZACIÓN O SUSPENSIÓN (Art. 16)

DERECHO DE BLOQUEO (Art. 27)

DERECHO DE ACCESO(Art. 14)

Administrativas

Penales (Art. 117 Bis y 157 Bis Código Penal)

SANCIONES ORGANO DE CONTROL

ELEMENTOS DEL “DATO PERSONAL”

Referido a personas identificadas o identificables

Comprende información de carácter numérico

Tratamiento de datos

Dirección IP:

información numérica

Entidad tratante Relacionarla con una persona física

DATO PERSONAL

LA DIRECCIÓN IP COMO DATO PESONAL

Consulting Project

Consulting Project

EL SERVICIO WHOIS

DEFINCIÓN:

Servicio de informar datos sobre un nombre de dominio

Polémica

Qué  datos se debe pedir al solicitante

Qué  datos se deben poner a disposición del público y como hacerloGrupo de Trabajo del Art. 29

Dictamen 2/2003

Consulting Project

Consulting Project

ICANN

• Solicitante Empresa vs. Particular

• Publicación del nombre vs. Principio de Oposición

• Publicación de “domicilio” y “teléfono” vs. Derecho de aparición en Guía

• Actuación del Proveedor de Servicio como intermediario

• Aplicación de las Directivas sobre Protección de Datos

• Limitación del acceso masivo con fines de marketing directo

• Preocupación del WHOIS = Guía inversa

• POSIBILIDAD DE REGISTRAR NOMBRES DE DOMINIO SIN PUBLICACIÓN DE DATOS PERSONALES

• Desde 1999, ICANN fue la encargada de fijar las Políticas para el Whois.

• Solicitante de un nombre de dominio debe proveer información exacta, actualizada y accesible

• Grupo de Trabajo de WHOIS de ICANN definió 2 posturas

• Sony, eBay, etc y el Grupo de Incumbencia de Propiedad Intelectual votaron la postura amplia

• El el Consejo General sobre Nombres de Dominio de ICANN recomendó (al 12 de noviembre de 2006) la adhesión a la postura restringida

EL SERVICIO WHOISConsulting

ProjectConsulting

Project

EL SERVICIO WHOIS

PREGUNTAS A REALIZAR PARA DEFINIR UNA POLÍTICA DE WHOIS

Consulting Project

Consulting Project

Los datos solicitados por el Registro requieren del consentimiento informado de su titular ?

Es el titular de los datos informado adecuadamente sobre la finalidad de los datos recabados ?

Excede el tratamiento de esos datos la finalidad para la cual fueron recabados ?

Es el Registro una base de dato de acceso público irrestricto ?Qué datos NO requieren el consentimiento informado de su titular ?(Art. 5º Ley 25.326: Nombre, DNI, Identificación tributaria o previsional, Ocupación, Domicilio y Fecha de Nacimiento)

Le cabe al Registro como responsable del banco de datos aplicar las medidas de seguridad ?

Es el número de teléfono un dato que requiera el consentimiento de su titular para ser incluido en una base de datos ?

AGENDA

Aspectos de la Seguridad en Internet

La Protección de Datos y de la Propiedad Intelectual en la Sociedad de la InformaciónConclusiones

Preguntas

“ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”

Consulting Project

Consulting Project

CONCLUSIONES Y PROPUESTAS

CONCLUSIONES

Mesura y racionalidad al imponer obligaciones a los proveedores de servicios de información y telecomunicación para la protección eficaz de los usuarios.

Consulting Project

Consulting Project

El principio de autodeterminación informativa es un elemento esencial de la protección a la intimidad.Una política de seguridad debe considerar tanto la infraestructura como la información.

Delitos informáticos son actividades profesionalizadasEs importante repensar cuál es el objetivo que se quiere para el WHOIS

¡ Muchas Gracias !

Consulting Project

Consulting Project

Consultas: monica@consultingproject.com.ar

url: www.consultingproject.com.ar