Seguridad Num 14

Embed Size (px)

DESCRIPTION

.- Transmitir los principios de la seguridad orientada a WWW

Text of Seguridad Num 14

No.1 4 / Julio-Agosto 201 2 ISSN: 1 251 478, 1 251 477

Gestin de Seguridad y Riesgos

14

Distintos enfoques en la prctica seguraDatos Biomtricos PenTest Gerencia Incidentes Seguridad Riesgo Tecnolgico Voto Electrnico

ContenidoLeyes de proteccin de datos personales en < 04 > el mundo y la proteccin de datos biomtricos - Parte II

Gestin de incidentes de seguridad informtica con agentes inteligentes Riesgo tecnolgico y su impacto para las organizaciones - Parte I Sin la Gerencia no hay paraiso

< 10 > < 12 >

< 17 >

La importancia de las pruebas de penetracin - Parte II

< 21 > < 27 >

Mxico, el voto electrnico y el 2012

Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de Informacin y Comunicacin. Subdireccin de Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI, revista especializada en temas de seguridad del UNAM-CERT. Se autoriza la reproduccin total o parcial de este artculo con fines de difusin y divulgacin de los conocimientos aqu expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.

EditorialGestin de seguridad y riesgos: Distintos enfoques en la prctica seguraLa guerra pica entre la seguridad y la funcionalidad implica un constante cambio, un ciclo continuo de altas y bajas que busca el equilibrio adecuado. Por un lado tenemos el batalln de la administracin y los usuarios finales, quienes buscan practicidad, ahorro y soluciones. Por el otro, estn los guerreros de la seguridad, ellos resguardan, protegen y neutralizan. Ambas partes se necesitan una a la otra. Esta dualidad de seguridad y funcionalidad, este sncope entre armona y contraste es lo que permite ganar una batalla an mayor, la lucha contra los ataques a la tecnologa. En tu revista .Seguridad Cultura de prevencin para TI queremos ofrecerte una visin integral, con un certero bosquejo de los aspectos gerenciales y operativos de la seguridad, pero al mismo tiempo con valiosas aproximaciones a la cultura de proteccin de datos, a la importancia de analizar riesgos, de entenderlos y neutralizarlos. Te invitamos a encontrar en los artculos de esta edicin, la bitcora de guerra de la lucha entre la Gestin de seguridad y los riesgos tecnolgicos: Distintos enfoques en la prctica segura. L.C.S Jazmn Lpez Snchez Editora Subdireccin de Seguridad de la Informacin

.Seguridad, Cultura de prevencin TI / Nmero 1 4 / JulioAgosto 201 2 / ISSN No. 1 251 478, 1 251 477 / Revista Bimestral

DIRECCIN GENERAL DE CMPUTO Y DE TECNOLOGAS DE INFORMACIN Y COMUNICACINDIRECTOR GENERAL Dr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS INSTITUCIONALES Act. Jos Fabin Romo ZamudioSUBDIRECTOR DE SEGURIDAD DE LA INFORMACIN/ UNAM-CERT Ing. Rubn Aquino Luna DIRECCIN EDITORIAL L.A. Clica Martnez Aponte EDITORA L.C.S. Jazmn Lpez Snchez ARTE Y DISEO L.D.C.V. Abraham vila Gonzlez DESARROLLO WEB Ing. Jess Mauricio Andrade Guzmn Ing. Angie Aguilar Domnguez REVISIN DE CONTENIDO Ing. Miguel ngel Mendoza Lpez Ing. Jess Mauricio Andrade Guzmn Ing. Abraham Cueto Molina Ing. Miguel Ral Bautista Soria Ing. Jess Tonatihu Snchez Neri Ing. Manuel Quintero Lpez Ing. Mario Martnez Moreno COLABORADORES EN ESTE NMERO Isai Rojas Gonzlez, Gabriel Snchez Prez, Linda Karina Toscano Medina, Mara del Carmen Prudente Txteco, Gualberto Aguilar Torres // Gunnar Eyal Wolf Iszaevich // Johnny Villalobos Murillo // Erika Gladys De Len Guerrero // Alexandra Ramrez Castro // Jeffrey Steve Borbn Sanabria

Leyes de proteccin de datos personales en el mundo y la proteccin de datos biomtricos Parte IIIsai Rojas Gonzlez, Gabriel Snchez Prez, Linda Karina Toscano Medina, Mara del Carmen Prudente Txteco, Gualberto Aguilar Torres

la primera entrega del artculo se describieron conceptos bsicos referentes a la proteccin de datos personales y a la biometra, se hizo una breve introduccin a las leyes y acuerdos de proteccin de datos personales que existen en el mundo y se enumeraron algunos de los casos ms relevantes con el objetivo de dar a conocer los antecedentes que existen respecto a cmo son considerados los datos biomtricos por las leyes de proteccin de datos personales de distintos pases en el mundo. En esta segunda parte se describen algunos de los riesgos que estn asociados al uso de datos biomtricos y que motivan a la bsqueda de medidas de proteccin, se habla de la forma en questosson consideradosanivel internacional, sobre el contexto de las leyes de proteccin de datos personales y sobre una serie de recomendaciones emitidas por organismos

internacionales referentes a cmo deben ser obtenida y procesada esta informacin.

Riesgos asociados al uso de los datos biomtricosUn sistema biomtrico que no es protegido adecuadamente puede facilitar la obtencin de informacin personal sensible. Por ejemplo, si un atacante roba la base de datos de un sistema de reconocimiento facial en el cual se almacenan fotografas, se podra inferir la raza de cada uno de los usuarios, lo que podra ser causa de discriminacin u otras acciones. Algunos datos biomtricos pueden ser obtenidos realizando el proceso inverso de captura y almacenamiento, como es el caso de las huellas dactilares. stas tienen rasgos nicos conocidos

UNAMCERT

04

como minucias, durante el proceso de captura, estos son identificados y codificados para despus almacenarlos como una secuencia de datos denominada plantilla de minucias, de tal forma que, en lugar de almacenar una fotografa de la huella dactilar, se almacenan plantillas de minucias. Se dice que una huella dactilar reconstruida a partir de la plantilla de minucias tiene un resultado positivo en ms del 90% de los casos, y que este tipo de reconstrucciones son ms frecuentes de lo que se podrasuponer. Esto indica que pueden identificarse personas o falsificaridentidades mediante huellas dactilares que son obtenidas exitosamente, en su forma

La recoleccin de datos biomtricos es otro aspecto de preocupacin, as lo seala la Comisin Nacional de Informtica y Libertades (Francia) en su informe de actividades del ao 2007, que en uno de sus fragmentos dice: Algunos datos biomtricos presentan la particularidad depoderserrecabadosyutilizados sin que el interesado se d cuenta. Es el caso de las huellas genticas, ya que todos vamos dejando involuntariamente un rastro de nuestro

1 Plantilla de minucias: Se denomina al conjunto de caractersticas nfimas de una huella dactilar que se almacenan como un patrn de datos nico que hace identificable de manera inequvoca al titular de la huella. 2 Fingerprint Biometrics: Address Privacy Before Deployment. Publicado por el Comisionado de Informacin y Privacidad de Ontario en noviembre de 2008.

original, incluso desde una base de datos de cuerpo, aunque sea nfimo, del cual se puede extraer el cdigo ADN. Lo mismo sucede con las plantillas de minucias. huellas dactilares, de las que tambin vamos En 2003, el Grupo de Proteccin de las Personas dejando un rastro, ms o menos fcil de procesar, en lo que Respecta al Tratamiento de Datos en nuestra vida cotidiana . Personales, creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, La Comisin indica que la biometra con rastro adopt un documento de trabajo sobre biometra, requiere de medidas de seguridad especiales en la introduccin del documento se puede para garantizar la proteccin de las personas afectadas. apreciar la siguiente inquietud:

Una utilizacin amplia y sin control de la biometra es preocupante desde el punto de vista de la proteccin de los derechos ylibertadesfundamentalesdelaspersonas. Este tipo de datos es de una naturaleza especial, ya que tienen que ver con las caractersticas comportamentales y fisiolgicas de una persona y pueden permitir su identificacin inequvoca

Proteccin jurdica de los datos biomtricosPorsu naturaleza, losdatosbiomtricosson datos personales, sin embargo, en muy pocas legislaciones en el mundo se consideran de maneraexplcitacomo datos personales ymenos an como datos personales sensibles, lo anterior da origen a diversas controversias.

En Espaa y Argentina, las leyes de proteccin de datos personales, no han tipificado de manera explcita a los datos biomtricos, es por ello que organismos regulatorios han sido los encargados 05

UNAMCERT

de debatir y emitir resoluciones para cada caso especfico de controversia, lo han hecho evaluando las circunstancias particulares de cada situacin.

Australia. El comit de reforma de la ley de privacidad, recomend que se agregaran los datos biomtricos a la definicin de datos sensibles. El cambio an no ha sido incluido en la versin actual de la ley con fecha del 4 de julio En el ao 2006, la Agencia Espaola de de 201 1 . Proteccin de Datos resuelve que el uso de la huella dactilar como medio para controlar el Rusia. Actualmente, se encuentra en proceso de acceso de alumnos al colegio resulta excesivo y modificacin a su ley federal de proteccin de desproporcionado para esa finalidad. datos de 2006, el propsito es mejorar algunos

Porotrolado, en Argentinaen el 2009, laDireccin Nacional de Proteccin de Datos Personales resolvi, respecto a un banco de datos de aficionados al ftbol, que pueden ser tratados los datos biomtricos, porserdatos estrictamente de identificacin, cuando sean necesarios para la finalidad pretendida (seguridad en estadios de ftbol). La mayora de las leyes de proteccin de datos personales en el mundo se encuentran en una situacin de ambigedad en lo que se refiere a los datos biomtricos. La legislacin en Mxico tiene el mismo inconveniente, la ley en s no hace mencin explcita de los datos biomtricos ni de su tratamiento. Algunos pases comienzan a incluir de manera explcita el concepto de datos biomtricos y la maneraenqueestosdebentratars