seguridad de la información: un diagnóstico del presente ... · seguridad de la información: ......

Seguridad de la información: un diagnóstico del presente para perfilar el futuro

José de la Peña Muñoz – revista SIC – 24 de mayo de 2011

VII Ciclo de Conferencias UPM – TASSI. Curso 2010 - 2011

LA BATALLA DE LA PRIVACIDAD

LOS CIBERESTROPICIOS

EL CIBERCACHONDEO

EL GRANO EN EL...

UNA LECTURA PROFESIONAL DEL CASO

WIKILEAKS.

EL CONTROL DEL USO DE PRIVILEGIOS

CUANDO LO QUE SE JUEGA ES “PASTA”

EL FRENTE LEGISLATIVO. LA SEGUNDA OLA.

EL SURTIDO

- Ley de acceso electrónico de los ciudadanos a los servicios públicos.- Ley de conservación de datos relativos a las comunicaciones electrónicas

y a las redes públicas de comunicaciones.

-LOPD (modificada por LES), Reglamento de Desarrollo, y leyes y normas concernidas.

- Ley de firma, LSSI-CE.

- Ley de medidas de impulso de la sociedad de la información (LISI).

- Reales Decretos. Esquema Nacional de Seguridad y Esquema Nacionalde Interoperabilidad.

- Código Penal español vigente.

- Directiva Protección Datos Personales. (Futura reforma).

- Anteproyecto de Ley General de Telecomunicaciones.

- Ley de Protección de Infraestructuras Críticas y Reglamento.

- Blanqueo de Capitales, Secreto Bancario, Normativa Bursátil, Juego...

- ¿Evidencias electrónicas? (¿Merecería la pena?).

EL DESPERTAR DEL FRENTE PENAL

REFORMA DEL CÓDIGO PENAL ESPAÑOL

-MEJORAS:

-Adaptación de la tipificación a las formas que tomanlos delitos relacionados con las TIC.-Responsabilidades de las personas jurídicas (sector privado).

-A MEDIAS:

-No te menciona la “suplantación de identidad” en su relaciónconcreta con las TIC. Pero algo se dice...

-CHAPUZAS:

-”... Si el resultado producido fuera grave”.

Se amplía su catalogación. Se distinguen las conductas punibles en ataques a sistemas de información en dos apartados:

• Dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informaticos ajenos, así como obstaculizar o interrumpir el funcionamiento

de un sistema informático ajeno• En cuanto al descubrimiento y revelación de secretos, comprendería “el acceso sin

autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo”

Delitos de acceso a sistemas (artículo 197 apartado 3): “El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”. Igualmente en este artículo se ha introducido el apartado 8 que puntualiza: “Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado”.


La modificación del artículo 264 establece pena de prisión de seis meses a dos años para “El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesible datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave”, así como al que “Por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno cuando el resultado producido fuera grave”.

En el artículo 248 también se considera ahora reos de estafa a “Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro” y “Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo


MODIFICACIÓN DE LA LOPD POR LA LES

-La Ley de Economía Sostenible (Ley 2/ 2011 de 4 de marzo) ha modificado laLOPD por “la puerta de atrás”.

-La reforma se centra fundamentalmente en el régimen sancionador. Son losresponsables de ficheros de titularidad privada los que si cometen infracciónse les sancionacon sanción económica.

-Se da carta de naturaleza a la figura del APERCIBIMIENTO como algo alternativoa la multa. La AEPD puede aplicarlo excepcionalmente no iniciando el procedimiento sancionador cuando los hechos constituyan infracción leveo grave, y el infractor no hubiese sido sancionado o apercibido con anterioridad.

MODIFICACIÓN DE LA LOPD POR LA LES

UE. PROTECCIÓN DE DATOS PERSONALES-I

UE. PROTECCIÓN DE DATOS PERSONALES-II

PROPOSICIÓN DE REFORMA DE LA DIRECTIVA SOBRE PROTECCIÓNDE DATOS PERSONALES

-Introducir un principio general que imponga el tratamiento transparente.

-Introducir obligaciones específicas para responsables de tratamiento relativasal tipo de información que debe comunicarse y a las modalidades de su comu-nicación, incluso en lo que se refiere a niños.

-Elaborar uno o más modelos normalizados europeos (declaraciones de confi-dencialidad) que deberán utilizar los responsables del tratamiento.

-Examinar las modalidades de la introducción de una obligación de notificacióngeneral de las violaciones de datos personales, indicando los destinatarios deeste tipo de notificaciones y los criterios a los que se supeditará la obligaciónde notificar.

UE. PROTECCIÓN DE DATOS PERSONALES-III

LA COMISIÓN EUROPEA estudiará también los medios que permitan:

-Reforzar el principio de minimización de datos.

-Mejorar las condiciones de un verdadero ejercicio de los derechos de acceso,rectificación, supresión y bloqueo (fijando plazos de respuestas a solicitudes delas personas en cuestión, autorizando el ejercicio de derechos por vía electró-nica o instaurando la gratuidad como principio del ejercicio del derecho de acceso).

-Clarificar el llamado “derecho a ser olvidado”, es decir, el derecho de laspersonas a que sus datos no se traten y se supriman cuando dejan de sernecesarios con fines legítimos. Se trata, por ejemplo, del caso en que lapersona retira su consentimiento al tratamiento de datos, o del caso en quehaya expirado el plazo de conservación de datos.

UE. PROTECCIÓN DE DATOS PERSONALES-IV

-Garantizar a los interesados la “portabilidad de los datos”, es decir, conferira los individuos el derecho explícito a retirar datos (p.e. fotos o listas deamigos...) de una aplicación o un servicio, de modo que los datos retiradospuedan transferirse a otra aplicación u otro servicio, siempre que ello seatécnicamente posible, sin que los responsables del tratamiento lo obstaculicen.

OTRAS ACCIONES QUE SE ESTUDIARÁN:

-Determinar si otras categorías de datos deberían considerarse “sensibles”, porejemplo los datos genéticos.

-Precisar más y armonizar las condiciones que deben cumplirse para realizar eltratamiento de determinadas categorías de datos sensibles.

-Posibilidad de ampliar el poder de recurrir a los órganos jurisdiccionales nacionales a las autoridades de control y a las asociaciones de la sociedadcivil, así como a otras asociaciones que representen los intereses de lasinteresados.

UE. PROTECCIÓN DE DATOS PERSONALES-V

-Evaluar la necesidad de endurecer las disposiciones vigentes en materia desanciones, por ejemplo previendo expresamente sanciones penales para lasviolaciones de las normas de protección de datos.

POSIBLES MEDIDAS DIRIGIDAS A REFORZAR LA RESPONSABILIDADDE LOS RESPONSABLES DEL TRATAMIENTO:

-Hacer obligatoria la designación de un responsable de protección de datosindependiente y armonizar las normas relativas a sus tareas y competencias.

-Introducir en la legislación la obligación para los responsables de tratamientode realizar un análisis de impacto respecto a la protección de datos en casosespecíficos (p.e. datos sensibles o cuando el tipo de tratamiento implica riesgos específicos, en particular en caso de uso de tecnologías, mecanismoso procedimientos específicos, como la elaboración de perfiles o la video-vigilancia.

-Estudiar la viabilidad de instaurar regímenes europeos de certificación en elámbito de la protección de la intimidad y los datos.

UE. PROTECCIÓN DE DATOS PERSONALES-VI

-Mejorar y racionalizar los procedimientos actuales de transferencia internacional de datos...

-Clarificar el procedimiento de evaluación del carácter adecuado del nivel deprotección garantizado en un tercer país o una organización internacional, y precisar los criterios y condiciones aplicables.

-Examinar los medios de fomentar más las iniciativas en materia deautorregulación, en particular la promoción activa de los códigos de conducta.

-Seguir de cerca la elaboración de las normas técnicas internacionales porlos organismos de normalización como el CEN y la ISO, con el fin de garantizar que completan adecuadamente las normas jurídicas y respetanefectivamente a nivel operativo las exigencias esenciales en materiade protección de datos.

TELECOMUNICACIONES

FUTURA LEY GENERAL DE TELECOMUNICACIONES

-Eleva las garantías de seguridad de las redes y servicios de comunicacioneselectrónicas, en especial frente a a situaciones que atenten contra laintegridad de las infraestructuras críticas y el funcionamiento de los S.I.

-Protección más eficaz de datos de carácter personal: se aplican las normasde protección de datos a los que se obtengan de las etiquetas de los pro-ductos comerciales mediante dispositivos RFID para que no se crucen conpor ejemplo datos sobre tarjetas de crédito. Además se establece quehay que dar información al usuario sobre los archivos o programas informá-ticos (cookies) que se almacenan en los ordenadores y demás dispositivospara facilitar la navegación en Internet.

-Inclusión de la Agencia Española de Protección de Datos como entidadreguladora en matería de garantía de los derechos de protección dedatos de carácter personal.

ESQUEMA NACIONAL DE SEGURIDAD

-Clasificación de la información, catalogación de sistemas, políticas,medidas y organización.

-Planes de adecuación: se agotarán los plazos máximos.

-Las prioridades se están centrando en adoptar o readaptar lasmedidas de tipo organizativo.

-Algunas administraciones han indicado, a los efectos de adecuarse a lo dispuesto en el ENS, la dificultad que entraña identificar la informaciónafectada por la Ley 11, por lo que a todos los efectos prácticos habrá quetener en cuenta toda la información, salvedad hecha de la afectada porla legislación sobre secretos oficiales.

-A finales de 2011, podría ver la luz un documento CCN-STIC en el quese proporcionen indicadores para cuadro de mando ENS.

PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS

-Ley de protección de infraestructuras críticas. BOE 29 abril.

-Reglamento de protección de Infraestructuras críticas. BOE 21 de mayo.

-HERMES, Sistema para la gestión del Catálogo Nacional de InfraestructurasEstratégicas.

-Necesidad de “ajustar” la visión global, es decir aquella que integra la infraestructuras críticas “clásicas” y y las infraestructuras críticasde información. (Confrontación de seguridades).

-¿Cuánto cuesta esto y quién lo paga?


-Infraestructura estratégica: las instalaciones, redes, sistemas y equipos físicosy de TI sobre las que descansa el funcionamiento de los servicios esenciales.

-Infraestructura crítica: las infraestructuras estratégicas cuyo funcionamiento esindispensable y no permite soluciones alternativas, por lo que su perturbacióno destrucción tendría un grave impacto sobre los servicios esenciales.

-Infraestructura crítica europea: aquellas infraestructuras críticas situadas enalgún Estado miembro de la UE, cuya perturbación o destrucción afectaríagravemente al menos a dos estados miembros.

-Sectores estratégicos: Administración, Espacio, Industria nuclear, Industriaquímica, Instalaciones de investigación, Agua, Energía, salud, TIC, Transporte,Alimentación y Sistema financiero y tributario.


-El Catálogo Nacional de Infraestructuras Críticas.

-El Sistema de Protección de Infraestructuras críticas:

-La Secretaría de Estado de Seguridad.-El CNPIC.-Ministerios y otros Organismos.-Comunidades Autónomas y Ciudades con Estatuto de Autonomía.-Delegaciones del Gobierno en autonomías y ciudades con estatuto.-las corporaciones locales (a través de su asociación más representativa.-La Comisión Nacional para la Protección de Infraestructuras Críticas.-El grupo de Trabajo interdepartamental para la protección de lasinfraestructuras críticas.

-Los operadores críticos del sector público y privado.


-Instrumentos y Comunicación del Sistema:

-El Plan Nacional de Protección de Infraestructuras Críticas.-Los Planes Estratégicos Sectoriales.-Los Planes de Seguridad del Operador.-Los Planes de Protección Específicos.-Los planes de apoyo operativo.

-Seguridad de las comunicaciones. Evaluación y certificación por CCN.

-Responsable de seguridad y enlace. Director de seguridad por Mº Interior.

-Delegado de seguridad de la infarestructura crítica

INFRAESTRUCTURAS CRÍTICAS Y NORMAS. ESPAÑA

-La legislación sobre infraestructuras críticas ha despertado el lógico interésen profundizar en la gestión de la continuidad de negocios, actividad yservicicos, epígrafe en el que el uso y protección de las TIC es capital.

-AENOR, a través del SCI/196, está elaborando una norma de continuidadmuy sintonizada por las necesidades en este ámbito en el contexto de lasinfraestructuras críticas.

-Está norma en preparación aportaría un modelo de Sistema de Gestión quesería certificable.

-Junto con las iniciativas en los terrenos legislativos, esta norma ayudaría aconsolidar una visión de la continuidad a escala sectorial e intersectorial.

CONTINUIDAD Y DISPONIBILIDAD

PROTECCIÓN DE LOS CIUDADANOS DE LA UE

ESTRATEGIA EUROPEA DE SEGURIDAD INTERIOR

1-Desmantelar las redes criminales internacionales que amenazan a nuestrasociedad.

2-Prevenir el terrorismo y luchar contra la radicalización y el reclutamientode terroristas.

3-Aumentar el nivel de seguridad de los ciudadanos y las empresas en el ciberespacio:

-Creación de un Centro Europeo de Ciberdelincuencia.-Creación de una red de equipos de intervención en caso deemergencia informática.

-Creación de un Sistema Europeo de Intercambio de Informacióny Alerta, EISAS.

4-Reforzar la seguridad mediante la gestión de fronteras.

5-Mejorar la capacidad de recuperación de Europa ante crisis y catástrofes.

LA INDUSTRIA DE SEGURIDAD TIC

McAFEE, UN CASO PARADIGMÁTICO

EL PEZ GRANDE SE COME AL CHICO

• Intel compra McAfee, la joya de la corona de la seguridad, por 5.800 millones €

• McAfee ya había engullido: Foundstone, Wireless Security, PreventSys, SiteAdvisor, Citadel, Onigma, SafeBoot, ScanAlert, Reconnex, Secure Computing,Solidcore, MX Logic, Trust Digital, TenCube

• Seguridad software vs seguridad hardware vs seguridad embebida. ¿Dónde?

¿CÓMO SERÁ LA DIGESTIÓN? ¿Y LAS NUEVAS CRIATURAS?

• ¿Cómo valora la adquisición de Intel por McAfee?

- Son dos partners excelentes, dos compañías grandes, sanas, que juntan elmundo de la seguridad informática con el del fabricante de hardware. Dehecho si en la operación hubiera participado un tercer actor de red hubierasido estupendo: chips + red + seguridad TIC.

Declaraciones a SIC (noviembre de 2010) de Juan Miguel Velasco, Director Asociado de Servicios y Proyectos de Seguridad de Telefónica España:

McAFEE, UN CASO PARADIGMÁTICO

EL MERCADO SIGUE MUTANDO: RANKING

TENDENCIAS DE LA FUNCIÓN DEL CISO

EL CISO-FINSTRO

EL CISO DE ÚLTIMA GENERACIÓN

EL CISO-FINSTRO

¿QUO VADIS CISO?

¿QUO VADIS CISO?

• Los responsables de seguridad van a tener que destinar un mayorporcentaje de su tiempo al cumplimiento de leyes y normas.

• Habrán de perder el miedo a comprender y entender el negociode su compañía, y, por supuesto, a aprender y servirse de la jerga corporativa –no técnica– para establecer relaciones fluidas y comprensibles con la alta dirección.

• Coexistencia con ‘competidores internos’. (Servicios Jurídicos, Auditores Internos, Riesgos Corporativos, Cumplimiento Normativo, ¿Responsable de Evidencias Digitales?, ¿de Privacidad...?).

• Conflicto de competencias (algo muy sensible al modelo organizativode la seguridad de la información y la seguridad TIC por el que cadaentidad haya apostado).

• Incremento de la presión de auditoría sobre la idoneidad y calidadde los controles fijados por Control e implantados por Seguridad.

TENDENCIAS DE LA FUNCIÓN DE CISO - I

RETOS

• ¿Qué podría aportar el directivo de una organización que cumpleen un momento determinado la función de CISO a la mejora de losnegocios, a la diferenciación de los servicios de su empresa frentea los de la competencia?

- Maximizar el valor de las competencias de seguridad.- Orientar metodologías y tecnologías con propósitos de seguridad también a otras finalidades, obviamente de negocio.

- Proporcionar información concreta de valor para el negocio a lasáreas de negocio.

- Adaptación de soluciones de seguridad TIC para usos en seguridad física tradicional.

TENDENCIAS DE LA FUNCIÓN DE CISO - II

TENDENCIAS DE LA FUNCIÓN DE CISO - III

Casimiro Juanes Calvo, Responsable de Seguridad IT.

Grupo Ericsson.

“El día en que las funciones de seguridadno demuestren valor para el negocio,dejaremos de existir”.

SIC 80, junio de 2008.

TENDENCIAS DE LA FUNCIÓN DE CISO - IV

Pedro Pablo López Bernal, Gerente de Infraestructura

de Seguridad, Auditoría y Normalización.RURAL SI

“A muchos profesionales les da miedo afrontar el reto que supone alcanzar una visión global de la seguridad en sus organizaciones, y prefieren refugiarse en terrenos muy técnicoso en áreas acotadas”.

SIC 87, noviembre de 2009.

ESCENARIOS CON FUTURO

LA INTERNET DE LAS PERSONAS LA INTERNET DE LAS COSAS

EL ETERNO DILEMA PENDULAR

Ya está en ciernes una oleada de conflictos éticos, legales y supranacionales para determinar las prevalencias de derechos: intimidad, propiedad, protección de datos, libertad de información, libertad sindical...

Privacidad vs seguridad vs libertad

EL PROBLEMA PERSISTENTE EN LA RED: LA IDENTIDAD

¿Quién es, qué puede o no hacer y cómo se evidencia lo que ha hecho?

LOS ‘MALOS’ SIEMPRE ENCUENTRAN EL CAMINO

NO OLVIDAR NUNCA QUE...

NO OLVIDAR NUNCA

TODA PROTECCIÓN ... EN SU DEBIDA PROPORCIÓN

[email protected]

¡Muchas gracias!

En la adaptación de las TIC a los valores de la sociedad todavía estamos en la infancia.

seguridad de la información: un diagnóstico del presente ... · seguridad de la información: ......

Documents