Defensa informática
ISSA: Perú necesita un “cibercomando” contra ataques informáticos


Entrevista. Roberto Pullo Valladares, ingeniero en Computación y Sistemas, presidente de la Information Systems Security Association (ISSA) – Capítulo Peruano. Propone un mayor desarrollo en la defensa informática del país. Para él, los ciber activistas de Anonymous son un “quinto poder” necesario

¿En qué se sustenta la idea de que los peruanos tienen “escasa conciencia en términos de la protección y riesgos en materia de seguridad informática”, como dice su nota de prensa?

Perú es uno de los países que poco ha legislado en temas de seguridad de la información y seguridad informática y, sobretodo, en planeamiento de ciber defensa y ciber seguridad. No solamente hablamos de proteger una página web, sino estrategias de seguridad nacional.  Actualmente existen artículos como el 207 A, B y C del Código Penal, el proyecto de ley de ciber delitos, la Ley de Protección de Datos Personales, pero no existen lineamientos de ciber seguridad.

¿Significa esto que falta lo teórico?

Falta ver el tema de la defensa cibernética de manera estructurada a nivel del Gobierno, existen entidades gubernamentales como Ongei (…) en las Fuerzas Armadas existen profesionales muy preparados en temas de protección cibernética, lo que falta es el espacio para poder fusionar estas fuerzas, colocar elemento académico y privado y crear una estrategia nacional.

¿Y cómo se define la ciber guerra?

Normalmente clasificamos los ataques bélicos en aire mar y tierra, es el territorio físico, pero nos estamos olvidando del terreno cibernético; allí es donde los países que quieren atacar a otros utilizan este espacio (…) para obtener así beneficios diversos o solo para que el país objetivo se pueda paralizar u obtener información privilegiada.

¿Entonces los ataques a puntos vitales digitales definen la ciber guerra?

Principalmente (sí). Ya hubo situaciones como la del gusano Stuxnet que arrasó sobre los sistemas informáticos de empresas industriales.

¿Qué tanto dependen los servicios básicos peruanos, como el agua y electricidad, de las redes, en caso de ser atacados en una ciber guerra?

Estos sistemas tienen un software que los monitoriza, y están programados en un lenguaje determinado (…) Este lenguaje de programación si es vulnerado podría colapsar: o no distribuir energía o distribuirla mal o paralizarla y no activarse, etc.

¿Han ocurrido ataques de ese tipo en Latinoamérica?

Registrados, no.

¿Qué tan actualizados están los programas que controlan estas plantas?

En lo que es software normalmente no hay conciencia ni criterio o experiencia en el común de profesionales de tecnología de información (TI) respecto a estos temas.

¿Entonces no están actualizados?

Pueden estar programados (los sistemas), pero que exista personal profesional que los proteja con códigos seguros o que esos sistemas de control sean protegidos, sí hay una gran brecha.

¿Es suficiente el conocimiento que se imparte de ciber defensa en Perú?

Hay muchas brechas. Existen algunas carreras en las universidades, es un curso por allí de seguridad informática pero todavía no hay ese impulso que debería haber de adiestrar a los profesionales de TI en el desarrollo seguro.

¿Dónde termina un hackeó y dónde empieza la ciber guerra?

Paralizar una página web con una denegación de servicio (DDOS) por un tema de protesta es distinto a invertir dinero para crear software malicioso exclusivamente para atacar la infraestructura crítica de un Estado…

¿Los objetivos del atacante determinan si hay o no una ciber guerra?

Exactamente.

Hay una frase muy conocida que dice “la mejor defensa es un buen ataque” ¿qué necesita este país para hacer un ataque cibernético?

Para empezar: lineamientos, estrategia y crear –que es la propuesta de ISSA Perú- un ciber comando, y no solamente hablamos de militares metidos en defensa cibernética, sino de juntar a todos los muy buenos profesionales peruanos que tenemos aquí relacionados a la seguridad de la información, reclutarlos, efectuarles una buena propuesta económica (…) y unir este ciber comando ante una posible amenaza.

¿Sería tanto para defender sitios del Estado como atacar, cierto?

Se pueden hacer miles de cosas, pero si no los tenemos reunidos, no los tenemos en constante capacitación y entrenamiento (no se podrá).

Anonymous mencionó que si este país busca asesoramiento en ciber guerra es perder el tiempo ¿Qué opina de esto?

La verdad es que nada es seguro, pero no tener nada es peor. Ahora, sobre el actuar de Anonymous y del grupo de activistas mi comentario es que todo organismo necesita elementos de desfogue, elementos de protección. Para mí (Anonymous) es un quinto poder que tiene que estar allí. Pero de protestar contra la ley SOPA a pasar al hecho delictivo, atacar una nación, es diferente.

Este año Anonymous filtró documentos del ministerio de Relaciones Exteriores, es más, también difundió correos electrónicos de la Divindat. ¿Qué nos dice el hecho de ver la Policía Informática pasar por esto?

Para que el Perú pueda tener una buena base de protección, requiere inversión. Requiere que los entes protectores tengan dinero para educarse y tener herramientas. Se requiere de una constante capacitación y estrategias. Ahora bien, que se expongan datos de páginas web del Estado yo analizaría bien el asunto y preguntaría de quién es la culpa. ¿Del analista, del ingeniero, del experto en seguridad informática que ve una libertad expuesta en internet y simplemente ingresa o la responsabilidad de quien no protegió adecuadamente la página?

¿Y para usted de quién es la culpa?

Es una gran pregunta que la dejo a los lectores.

Hay webs con la etiqueta de Anonymous que promueven ataques DDOS (para sobrecargar páginas) entre sus seguidores, para quienes no es difícil hacer caso. ¿Qué se puede hacer cuando los gobiernos son atacados por sus propios ciudadanos?

El Gobierno y entidades públicas y privadas deben estar preparados para soportar cualquier embestida…

Pero si hablamos de embestidas de 500 computadoras o 100…

Hay temas que no vamos a poder solucionarlos de la noche a la mañana…

¿Pero es posible frenar estos ataques?

Hay herramientas y, principalmente, estrategias para sortear el tema, pasa también por un asunto de codificación de sitios web. Son dos asuntos que van de la mano, pero nada es infalible.

¿En líneas generales qué proponen para fortalecer la defensa informática del Estado?

Establecer una estrategia relacionada a la ciber guerra donde se deben tener vínculos entre centros de estudios, Gobierno y militares.

¿Si este país es tan vulnerable en el sentido  digital, no sería mejor revalorar el papel como soporte de información?

El tema de tener información en papel, con todo lo que se viene, está tendiendo a desaparecer. Estaríamos aislados del mundo. No usar el papel reduce brechas, actos de corrupción, porque el papel que tú podías falsificar  es electrónico. ¿Nosotros vamos a quitar esos avances? Creo que no. Debiéramos reforzar los elementos para proteger la parte electrónica.

Dato:

El jueves 12 de abril ISSA Perú llevará a cabo el congreso "Cybersecurity Government", evento que mostrará los riesgos, vulnerabilidades, retos, amenazas, avances sobre defensa tecnológica en materia de la seguridad informática. Más información en issaperu.org

FUENTE:LaRepública.pe


Michoacán, sin una ley estatal de protección de datos personales


En este momento no existe ninguna ley estatal que garantice seguridad a la ciudadanía con relación a sus datos personales, pues los michoacanos corren riesgo de que estos les sean robados.
El diputado César Morales Gaytán, entrevistado sobre la necesidad de una ley de protección de datos personales para Michoacán, consideró primordial proteger de la delincuencia organizada el domicilio y las cuentas bancarias, entre otros referentes.

Por su parte, Ricardo Villagómez Villafuerte, presidente consejero del Instituto para la Transparencia y Acceso a la Información Pública del Estado de Michoacán (Itaimich), explicó que aunque existe una ley que se publicó en el Diario Oficial de la Federación a mediados de 2010, solo ocho entidades de la República cuentan con una ley propia.

“Esa ley lo que establece es que todos los particulares tienen que estar obligados a proteger los datos de los ciudadanos, todas las empresas tienen que resguardar los datos que por alguna situación les fueron concedidos”.

El Congreso ya trabaja en la materia
La diputada Rosa María Molina Rojas aseguró que ya trabajan en el tema para evitar que se continúe utilizando los datos personales con fines distintos a los que fueron destinados.

Adelantó que a nivel estatal también se impondrán sanciones para los infractores en caso de que publiquen, transfieran, faciliten o permitan la obtención de datos personales sin contar con autorización previa.

“Ya estamos en reuniones, pero también queremos convocar a la sociedad civil para que participe y en este sentido nos exponga qué es lo que más les molesta y preocupa de que sus datos sean públicos”.

El tema preocupa a los empresarios
El sector empresarial también se dijo interesado por participar en la creación de dicha ley, para el resguardo de sus datos personales. El presidente de la Cámara Nacional de Comercio (Canaco) y Servicios Turísticos de Morelia (Servitur), José Maldonado López, dijo que es fundamental proteger la privacidad de las personas como un derecho humano y por seguridad.

“Puede llegar a casos de extorsión o de secuestro, porque a veces hasta se venden bases de datos de ciertos clientes y de ciertas empresas y pues eso sí nos afecta, eso es para cuestiones referentes a promociones de bancos o de tarjetas, pero si esos datos llegan a manos no adecuadas nos afectaría. No cualquier individuo debe tener nuestra información”.

Instituciones financieras, quienes más datos divulgan
Domingo Ruiz López, abogado fiscalista y especialista en la materia, dijo que los entes que más incurren en este tipo de acciones de transferencia de datos son las empresas dedicadas a los servicios financieros, como las tarjetas de crédito.

“Sí hay una atropello sistemático a la violación de datos personales, de pronto lo llama un promotor para vendernos una tarjeta de crédito, nos llama un domingo a las 7 de la mañana y nos preguntamos de dónde sacó el nombre y los teléfonos de las personas”.

FUENTE:Diario Provincia

Llaman a partidos a garantizar protección de datos personales

El secretario de la Comisión de Puntos Constitucionales de la Cámara de Diputados, Nazario Norberto Sánchez, llamó a los partidos políticos a garantizar a la ciudanía la protección de sus datos personales, en este proceso electoral.

En un comunicado, precisó que se ha solicitado a los partidos políticos evitar cualquier mal uso de los datos personales de los electores ante la difusión de propaganda y mensajes de candidatos a puestos de elección popular.

“Hacemos un llamado respetuoso a la conciencia de los partidos políticos para que en el marco de las campañas políticas garanticen a los ciudadanos su derecho a la protección de datos personales, para no caer en violaciones legales”, apuntó el diputado federal del PRD.

Mencionó que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) aclaró que no puede regular este proceso, porque ni los partidos políticos ni los candidatos son entidades gubernamentales y por tanto no está facultado para regularlos.

Norberto Sánchez explicó que de esta manera, “en ellos (los partidos políticos) recaerá la responsabilidad penal ante cualquier mal uso de los datos personales de los electores”.

El también integrante de la Comisión de Gobernación de San Lázaro comentó que ya se han registrado algunas protestas de habitantes a quienes le son enviados mensajes de propaganda política mediante llamadas telefónicas, correos electrónicos y mensajes de celular.

Ante ello, subrayó que “aún con todo, los partidos políticos deben respetar las disposiciones establecidas en los artículos 14 y 36 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares”.

En esta legislación, apuntó, se establece el compromiso que el responsable principal de los datos personales debe observar, al velar por el cumplimiento de los principios de protección de dichos datos personales establecidos por la ley.

Recordó que en la misma legislación se establecen sanciones para quien no cumple con la privacidad y protección de datos a la entidad responsable de la información

FUENTE:El Porvenir

Reglamento de Protección de Datos Personales: Que no hay que hacer

La semana pasada hubo una reunión en la SNI (Sociedad Nacional de Industrias) para discutir sobre el reglamento de la ley de "Protección de Datos Personales". Erick Iriarte, Coordinador del Grupo de Aspectos Legales del Comite de TICs de la SNI, nos facilitó siete puntos que han determinado. Asimismo, invita al público a enviar sus ideas y comentarios para mejorar el reglamento hasta el día 12 de abril.


Que no hay que hacer (con el reglamento)
vía Erick Iriarte (@coyotegris)


Está próximo a publicarse el borrador o reglamento de la ley de Protección de Datos Personales, ley que estaba inspirada en un equilibrio entre un modelo reglamentarista y un modelo abierto que respete al usuario y que brinde la posibilidad de seguir creciendo económicamente, facilitando el desarrollo a una industria que vele por la privacidad de los usuarios. En este contexto escribo las siguientes líneas de lo que "No se debe hacer" con el reglamento:


A) No debe afectar la competitividad del país. La Meta 45 de la Agenda de Competitividad dice: "Permitir que los datos de registro de personas y empresas sean de acceso abierto para todo el sector público", siendo con ello necesario para el desarrollo de las actividades de todos los sectores, se debe establecer claramente los parámetros de "bases de acceso público".


B) No debe impedir la innovación y el desarrollo de la industria en todas sus vertientes. Es decir, antes que normas restrictivas y taxativas se debe dar fuerza a la innovación en la gestión de datos, permitiendo el crecimiento de servicios que le sean útiles al ciudadano, respetando su privacidad pero basados en la libertad contractual de los individuos.


C) No debe buscar un reglamentarismo exagerado que termine afectando actividades vigentes. Se debe respetar el principio de especialidad y sectorialización, respetando la ley de protección de datos, pero reconociendo las peculiaridades de los diversos sectores.


D) No debe crear elementos contrarios a la libertad de los individuos. Siendo entonces que el individuo debe estar informado de sus derechos y sus deberes en relación a sus datos personales, pero también generarle opciones para que vía contractual pueda compartir libremente su información.


E) No debe impedir el uso de medios electrónicos para manifestar la voluntad. El reconocimiento explícito del articulo 141A del Código Civil debe ser norte del Reglamento, de esta manera se facilitara mucho de los servicios que brinda el sector público y privado.


F) No debe ir contra la corriente en la apertura de "open data" para la transparencia. La lucha contra la corrupción y el acceso a la información pública son el otro lado de la moneda de la protección de datos personales, no son una confrontación sino que debemos velar que no se abuse de la protección de datos personales para impedir una lucha contra la corrupción y sobre todo se impida un adecuado "control y veeduría ciudadana" sobre los actos gubernamentales.


G) No debe olvidar que estamos insertos en APEC. Y con ello debemos crear una reglamentación abierta y pensando en los acuerdos que ya hemos firmado y estamos firmando, que nos piden normativa sobre Protección de Datos en el Marco del Privacy Framework de APEC.


La Ley de Protección de Datos Personales y su reglamentación es una oportunidad para demostrar que el Perú es punto de encuentro en la Cuenca del Pacífico con Europa, un modelo a seguir en la región para su equilibrio y sobre todo un instrumento para continuar con el desarrollo humano de todos y todas. ¿Será entonces que el Reglamento reflejará esta importante misión que tiene?

FUENTE:Perú21


IFAI, maniatado para frenar tráfico de datos
Es difícil integrar una averiguación ya que se desconoce en dónde están ubicados los comercializadores de las bases, dice el organismo


Aunque la venta de bases de datos de Afores, aseguradoras o bancos sea considerada como un delito que atenta contra la confidencialidad y viola la Ley Federal de Protección de Datos Personales, la falta de elementos complica el que las autoridades puedan proceder para detener y en su caso sancionar a quienes cometan este ilícito.

Para Alejandro del Conde, secretario de Datos Personales del Instituto Federal de Acceso a la Información (IFAI) en estos casos se procedería en contra de 3 presuntos responsables: las empresas que tuvieron a su cargo la recopilación de los datos, llámese Afores, bancos o compañías de seguros; quien venda la base de datos y quien la compre; no obstante, dijo, es “complejo” determinar los elementos probatorios para interponer una denuncia.

Entrevistado por La Razón, el funcionario aseguró que es difícil integrar una averiguación sobre este particular ya que se desconoce dónde están ubicadas las personas que intentan comercializar dichas bases de datos e incluso los anuncios colocados en Internet pueden tratarse de un fraude. “Uno puede depositar y nunca recibir nada o quién sabe qué le estén mandando y desde ese momento, es complejo determinar al responsable”.

Por el contrario, mencionó que “si el IFAI tiene denuncia, tiene elementos que puedan presuponer que hay una vulneración a los datos personales, que esa base de datos es de una empresa y que hubo transferencia ilegítima, el Instituto hará una verificación, junto con las autoridades correspondientes”.

El viernes pasado, en estas páginas se informó que en México existe un mercado negro de venta de bases de datos de trabajadores afiliados a alguna Afore, sin que “a pesar de las estrictas medidas de seguridad” con las que cuentan las empresas para reguardar su información, se haya podido frenar este ilícito que atenta contra la confidencialidad de los datos personales.

Al respecto, Alejandro del Conde comentó que si bien hasta el momento el IFAI no ha recibido ninguna queja al respecto de este caso, sí se encuentra en alerta ante estas situaciones y ha estado en contacto con las autoridades de los diferentes sectores para conocer las medidas que están adoptando con el fin de evitar que se vulneren las bases de datos.

Además, explicó, quien tenga en su poder datos confidenciales y no pueda acreditar que los obtuvo mediante la autorización expresa del titular, a través del Aviso de Privacidad “va a tener muchos problemas para poderlos usar en su beneficio, ya que cada vez hay más gente consciente del valor de sus datos personales

FUENTE:El Golfo Info