MSPA-505 Modulo 5

Módulo 5: Ética, Seguridad y Privacidad en un Mundo Interconectado MSPA 505 Educación en Computadoras para Administradores Públicos

Objetivos Repasar conceptos y estructura de contenido para la alineación efectiva del programa de seguridad con los objetivos empresariales de la empresa. Reconocer la importancia del comportamiento ético en el uso de sistemas de información para preservar la integridad y seguridad de los datos y aplicaciones. Discutir mediante foros medidas para preservar el marco legal y reglamentario para proteger a la empresa u organización.

Definición de Etica, Privacidad y Seguridad ▪ Ética: Conjunto de principios y reglas morales que regulan el comportamiento y relaciones del ser humano (diccionarios.com) ▪ Privacidad: práctica que enfatiza en determinar y establecer estándares sobre la manera en que los datos se procesarán y compartirán con terceros, y asegurar se observen dichos estándares establecidos. ▪ Seguridad: La definición básica de Seguridad es el estado de sentirse seguro. En informática se puede definir como practicas y controles que se aplican y manejan en sistemas de información y operaciones para preserver la integridad y confiabilidad de datos, aplicaciones y procesos.

Preceptos de Ética ▪ Hacer las cosas corectamente aún cuando nadie nos esté observando. ▪ Crítico para la imágen de toda empresa. ▪ Seguir estándares, normas, procedimientos o Programa de ética de la empresa ▪ Diligencia y cuidado (Due-Dilligence, Due-Care) ▪ Honestidad, Confidencialidad, Profesionalismo ▪ Preservar la imágen de la empresa, terceros u otras personas ▪ No abusar de privilegio o posiciones

Reglas Básicas – Ética / etiqueta en las Comunicaciones Electrónicas ▪ Saludar al inicio del mensaje. ▪ Incluir mensajes cortos, concisos y precisos con cortesía y respeto. ▪ Asegurar corrección en la redacción. ▪ Evitar las abreviaturas, nunca se debe asumir que el destinatario entiende las mismas (definirlas y explicarlas). ▪ Evitar imágenes (emoticons). ▪ Escribir el texto en un mismo tipo y tamaño. o Recuerde que escribir el texto en letras mayúsculas equivale a gritar. ▪ Incluir firma electrónica. ▪ Nada es privado en Internet. ▪ Cuidado con: o Comentarios emitidos – “No escribas nada que no dirías a la persona de frente” o Comentarios sobre el lugar de empleo o Fotos y videos que se publican (todo permanece)

Línea de ▪ Cada vez mas ataques e intrusiones a sistemas y bases tiempo – de datos empresariales se registran. La siguiente incidentes y cronología presenta una fracción de los ataques mas ataques de prominentes en años recientes, y siguen en aumento. Seguridad a Los datos personales y corporativos tienen un valor alto empresas y en el mercado digital, o “deep dark web”, por lo que es organizaciones responsabilidad de todo empleado y usuarios ejercer debido cuidado en el Manejo de sistemas, especialmente los que se transmiten mediante comunicaciones electrónicas como correo electrónico para asegurar no se comprometa la integridad y seguridad de los datos, sistemas y aplicaciones.

Línea de tiempo – incidentes y ataques de Seguridad a empresas y organizaciones 2005 • TJX/T.J. Maxx: Considered the largest single retail data breach to date, this breach affected up to 94 million cardholders. Hackers broke into the Wi-Fi network at a Minnesota Marshall’s store and, from there, infiltrated the payment info database of parent company TJX. Although the breach was announced in 2017, it occurred in 2005, and hackers got information dataing back to 2003. • Gap Inc.: A contractor’s stolen laptop gave thieves access to unencrypted personal data of 800,000 job applicants—including 2007 Social Security numbers. • Hannaford Supermarkets: Malicious software scraped card data form 4.2 million debit and credit cards 2008 • Michaels: Thieves tampered with PIN pads at about 80 Michaels stores to collect debit card PINs between February and May 2011 2011. Michaels estimated just under 100 compromised cards were later used fraudulently. • Giant breach that included 7-Eleven, J.C. Penney and Hannaford Supermarkets (see above), as well as payment processor Heartland Payment Systems: Roughly 160 million credit and debit card numbers were compromised in a large 2012 hacking operation that ran between 2005 and 2012. • Nordstrom: Thieves distracted sales staff at a store in Florida and installed keyloggers on 10 registers. Nordstrom has not 2013 released the number of cards affected in the incident but suspects it was limited to a single store. Source: http://creditcardforum.com/blog/wp-content/uploads/2014/01/Data-breach-time-line1.jpg

Source: https://trtpost-wpengine.netdna-ssl.com/files/2015/04/Timeline-of- High-Profile-Retail-Breaches.png

Ejemplos de ataques e intrusiones recientes que han impactado empresas y agencias gubernamentales Source: http://thehill.com/policy/cybersecurity/255674-opm-begins-mailing-breach-notifications

Source: http://www.usatoday.com/story/money/2016/02/26/cyber-hack-gained-access- more-than-700000-irs-accounts/80992822/

Source: http://www.usatoday.com/story/tech/2015/05/26/irs-breach-100000- accounts-get-transcript/27980049/

Protección de Contraseñas de Acceso Fuente: http://www.infoworld.com/t/access-control/morto-worm-reveals-how-bad-it-passwords-171336

Protección de contraseñas ▪ Parámetros de Seguridad o Mínimo de caracteres o Periodo de expiración o Recordar las últimas contraseñas o “Case Sensitive” (mayúscula/minúscula) o Combinaciones de Letras, números y caracteres especiales

Protección de Datos en el Medio Cibernético ▪ Virus Informático: Programa de Computadora diseñado para insertarse y replicarse a otros programas almacenados en la computadora. Puede tener efectos positivos o negativos tales como interrumpir la ejecución de un programa o aplicación, borrarlo, extraerlo, copiarlo o corromper recursos de memoria. o Conficker o Blaster Código Malicioso Fuente: http://www.thefreedictionary.com

Blaster Worm – LovSan bug ▪ Malware That Changed The World – The Blaster Worm September 4, 2009 · 14 comments http://www.security-faqs.com/malware-that-changed-the-world-the-blaster-worm.html

Source: http://content.presspage.com/uploads/1104/hc-15-2918-healthcare- data-breach-survey-graphic.jpg

Puerto Rico no es la excepción Source: http://www.noticel.com/noticia/154389/alto-funcionario-del-colegio-de-medicos-roba-los-expedientes-de- su-matricula.html

Programa de Seguridad ▪ Mattord & Whitman (2007) definen un Programa de Seguridad como un documento estratégico donde se definen las actividades relativas a la gestión de seguridad y cómo se van a llevar a cabo para asegurar eficiencia y efectividad. ▪ Seguridad es una gestión de responsabilidad institucional por lo que se debe fijar responsabilidad departamental y ejecutiva ▪ Debe estar alineado con la visión, metas y objetivos empresariales ▪ Alineado con el marco legal vigente ▪ Alineado con la cultura organizacional y estructura de procesos. o Charter – carta constitutiva de Seguridad y Privacidad – establece el alcánce y responsabilidades de la gestion de seguidad, privacidad, y cumplimiento. o Manejo de la Gestión de Seguridad o Seguridad Física o Seguridad de la Infraestructura de Red o Manejo y Respuesta a Incidentes o Continuidad de Operaciones durante el Incidente o Políticas de Personal

Modelo de una carta constitutiva de seguridad Fuente: http://www.it.ufl.edu/policies/security/uf-it- sec-charter.html

Fuente: http://www.assurityriver.com/info_security_charter.shtml

Marco Conceptual (Vista Holística) ▪ Control de Autorización/Autenticación ▪ Programa de Riesgo o Controles de Acceso Remotos (Terceros), ▪ Programa de Privacidad Internos ▪ Accesos Físicos (Cámaras, Tarjetas, etc…) ▪ Clasificación y Administración de Datos ▪ Protección de Perímetro (Comunicación Inalámbrica) o Transferencia/Transmisión o Aplicaciones ▪ Manejo y Respuesta a Incidentes o Dispositivos Móviles o Portales ▪ Plan de Contingencia, Continuidad de o Bases de Datos Operaciones y Restauro de Operaciones o Datos Compartidos con Terceros (Consultores) ▪ Cumplimiento ▪ Estándares Operacionales y de Control ▪ Auditoria o Alineados a la Cultura y Naturaleza Operacional de la Empresa • Observando Requerimientos de Ley

Elementos de un Programa para el Manejo de Incidentes ▪ Un programa o política donde se establece la ▪ Notificación (anónimo, identificado) naturaleza de incidentes que impactan o ▪ Autenticar o validar la fuente interrumpen las operaciones de la empresa, ▪ Control o Aislamiento del Evento mide el riesgo, establece el alcance. o Cadena de Evidencia ▪ Establece los pasos a seguir para controlar y o Proceso de Ocupación de Equipo mitigar el incidente o Manejo de Evidencia Electrónica Investigación y Reporte o Marco Legal ▪ Medidas de Control y Continuidad de Procesos ▪ Recuperación, Restauración o Manejo de Evidencia ▪ Lecciones Aprendidas (Lessons Learned) ▪ Seguimiento o Establecer hasta donde el incidente es o Repaso de Políticas, Estándares y operacional o de naturaleza criminal Procedimientos. Preparación Detección y Contención, Actividades ▪ Análisis Erradicación y Post-Incidente Recuperación

Integración de la Logística de Trabajo ▪ Security Charter (CISO) ▪ Estrategia Corporativa de Seguridad (CISO) ▪ Programa de Seguridad (CISO, SecManager) o Políticas, Estándares y Procedimientos ▪ Programa de Riesgo ▪ Política para Manejo de Incidentes o Investigaciones ▪ Plan de Contingencia/Continuidad de Operaciones ▪ Protección de Activo o Mudanzas o Bajas, Descarte, Destrucción

Conclusión ▪ Los programas de seguridad, control y cumplimiento deben estar integrados con los objetivos de todas las unidades de negocio, contemplando el marco regulatorio, de ley y de cultura organizacional para asegurar su efectividad. ▪ Es crítico prestar especial atención a la metodología de manejo de incidentes, velando que no se contaminen los procesos, herramientas y aplicabilidad a las mismas de manera que observen el marco legal y reglamentario vigente. ▪ Recuerden que la misión de todo empleado, servidor o investigador, mas alla de proteger los activos y datos de la empresa, es proteger la integridad y confiabilidad de los servicios que la organización ofrece a sus usuarios y clientes.

Referencias ▪ Assurity River Group. (2012). Fast & Flexible Policy Improvement with our Information Security Program Charter. Recuperado el 20 de agosto de 2012 de http://www.assurityriver.com/info_security_charter.shtml ▪ Quintero, L.M. (2014). Alto funcionario del colegio de medicos roba los expedients de su matricula. Noticel. Recuperado de: http://www.noticel.com/noticia/154389/alto-funcionario-del-colegio-de-medicos- roba-los-expedientes-de-su-matricula.html ▪ Conklin, W.A. (2008). An Introduction to the DSH EBK: Competency and Functional Framework for IT Security Workforce Development. Recuperado el 20 de agosto de 2012 de http://www.swdsi.org/swdsi2009/Papers/9J02.pdf ▪ Syed, A. (2004). Role of Security Charter in the Success of your Organization. Recuperado el 20 de agosto de 2012 de http://hosteddocs.ittoolbox.com/Role%20of%20Security- Charter%20in%20the%20success%20of%20your%20organization.pdf ▪ Whitman, M. & Mattord, H. (2007). Principles of Incident Response and Disaster Recovery. Course Technology.