Post on 27-Jan-2016
Los tres pilares de la seguridad de la
informaciónHoracio Bruera
Carranza Torres & Asociados
Jornada Estrategia y Negocios17/09/2010
Encuesta Symantec
Encuesta de Symantec
Información
Datos personales
Secretos comerciale
s
Obras e invencione
s
Pilares de la seguridad de la
información
Legal(leyes, contratos,
reglamentos, códigos de
conducta, etc.)
Técnico(hardware, software,
seguridad física)
Organizacional(capacitación,
auditorías, aplicación práctica,
definición de perfiles, etc.)
Pilares Información
Datos personales
Secretos comerciales
Obras e invenciones
Legal
Técnico
Organizacional
Datos personales
LPDP
Medidas técnicas
Medidas organizativa
s
Secretos comerciale
s
LCI
Medidas razonables
Obras
LPI
Medidas de protección tecnológica
Gestión de activos de PI
El usuario de mala fe
Datos
• Software original licenciado a un cliente.
• El cliente copió y vendió la copia sin autorización.
• El registro se hizo con posterioridad al hecho.
Pilares
• La falta de registro suspende los derechos (organizacional).
• La falta de registro no beneficia al usuario de mala fe (lo legal).
El “pirata” informático
Datos
• Había “Código de conducta”, “Principios de ética”, y “Política de seguridad informática”
• Había claves personales
• El personal de informática tenía una clave genérica
Pilares
• No se pudo acreditar la autoría (organizacional)
• No se probó la notificación de los reglamentos (organizacional)
El duplicador de datosDatos
• Servicio oneroso brindado a través de Internet
• Base de datos registrada
• Acceso legítimo• Copia ilegítima
de los datos para comercializarlos como información exclusiva en Internet
Pilares
• Una copia parcial de la información suministrada es suficiente para configurar el delito (legal)La base de datos estaba registrada (organizacional)
• Se acreditó el origen de la información (organizacional)
Un funcionario poco funcionalDatos
• Base de datos almacenada en CDs
• El funcionario la obtuvo por pedido
• No se violaron sistemas de confidencialidad y seguridad
• El funcionario pidió que lo capacitaran y reenvió instrucciones por mail
Pilares
• La entrega o traspaso de una base de datos respecto de la cual pesa el deber de confidencialidad viola la LPDP (legal)
• El acceso a datos de registros públicos no autorizado por ley o funcionario viola la LPDP (legal)
La empleada infielDatos
• Documento titulado “Cumplimiento de Seguridad Informática” (incluía NDA)
• Se auditaron sólo los mails vinculados con la empresa competidora.
• Se auditó en presencia de un escribano.
Pilares
• El envío de información confidencial no es compatible con la prosecución de la relación laboral (legal).
• El proceder de la empresa dejó salvaguardada la intimidad (organizacional).
El e-mail particular
Datos
• Envío de información al e-mail personal
• Información sobre clientes y ventas
• Se hizo un seguimiento a través del pc anywhere
• Había clave personal y convenio de confidencialidad
Pilares
• No se probó el carácter confidencial de la información (legal)
• No se probó la autoría del envío (organizacional)
El telemarketer curioso
Datos
• Ingreso mediante una clave
• Reemplazo de claves
• Acuerdo de confidencialidad y seguridad de clave
• Capacitación sobre seguridad
• Compromiso de respetar la política de privacidad
Pilares
• El acceso por mera curiosidad no es ilegal (legal)
• El sistema se caía frecuentemente (técnico)
• Falta de aplicación práctica (organizacional)
Los phishers
Datos
• Hay sitio web oficial del Banco.
• En una página paralela se solicita el número de cuenta y el código de transferencia.
• Las cuentas eran del mismo Banco.
Pilares
• La víctima proporcionó los datos en una página paralela (organizacional)
• Hay fraude aun cuando no se verifiquen todos los pasos del procedimiento de phishing (legal)
Desafíos
Redes sociales
Cloud computing
Dispositivo
s móviles
¡Muchas gracias!Horacio Bruera
www.carranzatorres.com.arhoraciob@carranzatorres.com.ar