Esta presentación me llevó a un campo menos familiar: como explicar conceptos de seguridad de la información, ofreciendo al mismo tiempo consejos prácticos y útiles a los profesionales de la traducción.
2. Agenda
Propiedades de la información
Normativa nacional e internacional
Amenazas y defensas
Herramientas y mejores prácticas
3. El flujo de trabajo y las amenazas
presentes
Internet
Cliente
Traductor
Intruso??
Desastres naturales???
Fallas de
hardware??
4. Propiedades de la información
Antes que nada, ¿de que hablamos cuando
hablamos de información?
Documentos, archivos
No solo digitales, pueden ser en papel también
Un archivo es un bien (asset)
Debemos cuidar los nuestros
Cuando alguien nos envía un archivo, implícitamente
nos está confiando el cuidado de un bien
La información tiene valor para quienes están
en contacto en ella
5. Propiedades de la información
Confidencialidad
La confidencialidad es la propiedad o capacidad por
la cual la información no pueda ser vista por
personas o sistemas no autorizados
Integridad
La integridad es la propiedad de mantener los datos
libres de modificaciones introducidas de manera no
autorizada
Disponibilidad
La disponibilidad es la propiedad por la cual los
datos están listos para ser accedidos o utilizados
cada vez que se los requiera
6. Clasificación de la información
No todos los datos son iguales
Las normas refieren a la “clasificación” de la
información para definir como tratar
determinados datos
Pueden variar, pero en general se habla de
“Secreta”
“Confidencial”
“Reservada”
“Pública”
7. Normativa internacional
Existen normas internacionales que hablan sobre
la gestión de la información
USA
Sarbanes-Oxley: industria financiera
HIPAA: registros médicos
Europa
Leyes de protección de datos personales
Igualmente nos afectan ya que los requisitos de
confidencialidad por ejemplo se transfieren a todos
quienes procesan la información
¡El traductor, por mas que no viva en la región origen!
8. Normativa Nacional
Ley 18.331: Protección de datos personales
http://www.datospersonales.gub.uy
Recomiendo repasar la parte de “Jurisprudencia” y ver los
casos donde se ha denunciado robo de información
Ley 18.600: Documento y firma electrónica
“La Ley N°. 18.600 de 21 de setiembre de 2009, sobre
"Documento Electrónico y Firma Electrónica” busca
establecer medidas que amparen y garanticen la
seguridad y confianza de los mismos, ya que éstos sirven
de sustento a las transacciones electrónicas que tienen
lugar en ámbitos como el Gobierno Electrónico y el
Comercio Electrónico.” (Sitio web
AGESIC, http://www.agesic.gub.uy)
9. Estándares
Hay varios estándares que hablan sobre
seguridad de la información
BS 7799
http://en.wikipedia.org/wiki/BS_7799
ISO 17999 / ISO 27002
http://en.wikipedia.org/wiki/ISO/IEC_27000-series
ISO 27001
http://en.wikipedia.org/wiki/ISO/IEC_27000-series
11. Amenazas a la confidencialidad
Maliciosas
Robo de información
Físico
Robo de una notebook
A través de software malicioso (virus, etc.)
No maliciosas
Mal manejo de información
Dejar un documento sin querer en un restaurant
13. Amenazas a la integridad
Maliciosas
Modificación intencional del contenido de
un archivo
Software malicioso
Intercepción de comunicaciones
No maliciosas
Corrupción de archivos debido a fallas de
hardware
Rotura de discos duros, pen drives
14. Amenazas a la disponibilidad
Maliciosas
Destrucción de equipamiento
Borrado de archivos (software malicioso)
No maliciosas
Fallas de hardware
Discos duros, pen drives
Fallas de hardware
Fallas de hardware
16. Cifrado (encriptación)
Cifrado:
“Cualquier técnica que permita enmascarar u
ocultar información de tal manera que solamente
quienes conocen un cierto secreto pueden
hacerla inteligible”
El secreto es la “clave”
Historia muy larga e interesante
Cifrado de César
Máquina Enigma (2da. Guerra Mundial)
Algoritmos modernos (DES / 3DES / AES)
17. Desafíos para utilizar cifrado
Encontrar herramientas que se
adapten a nuestros flujos de trabajo
Cuidado de la(s) clave(s)
Si perdemos u olvidamos la clave es lo
mismo que si perdiéramos la información
¿Cómo compartir las claves con otros
colaboradores o con clientes?
18. Copias de seguridad
La defensa contra la corrupción y
pérdida de datos está en la redundancia
Múltiples copias
Múltiples medios
Desafíos
Versionado
No sobre escribir las versiones mas nuevas con la
copia de seguridad mas antigua
Fallas de hardware
20. Herramientas
Veremos herramientas para
garantizar diferentes aspectos de la
seguridad de la información
Foco en herramientas libres
Para todos estos usos existen múltiples
alternativas, gratuitas, de código libre y
de pago
Nada dice que estas sean las mejores
22. Confidencialidad en el
almacenamiento
Truecrypt
Permite crear “volúmenes”
Son archivos “.tc” que se pueden copiar y que
además se comportan como si fueran
pendrives
Es decir aparecen como una “letra” en el Explorador
de Windows
Se cifra con una clave que puede ser una
palabra o una frase
27. Usando TrueCrypt (v)
Una vez que el volumen esta
montado, lo podemos utilizar como si
fuera un pen drive.
El archivo cifrado se puede copiar de
un computador a otro
¡Si se pierde, nadie que no conozca
la clave puede leerlo!
28. Copias de seguridad
Para que las copias de seguridad
sean efectivas deben
Realizarse con frecuencia regular
Realizarse en diversidad de medios
No sirve copiar lo mismo en dos carpetas del
mismo disco duro
Hay que tener extremo cuidado de no
sobre-escribir cambios
29. Copias de seguridad
Herramientas “locales” (copia a pen
drives o discos duros externos)
SyncToy
Herramientas “en la nube”
Dropbox
34. Dropbox
Respaldo en la nube: http://dropbox.com
Gratuito hasta 2 GB
Hay que crearse un usuario con una direccion de email
cualquiera
Util para respaldo de archivos pequenos y que
cambian frecuuentemente
Una vez instalado el software, este mantiene copias de
todo el contenido de la carpeta “Dropbox” en la nube
Se puede instalar en todos los PCs que se desee y se
sincronizan las copias entre todos ellos
37. Asegurando la integridad
Firma electrónica
La firma electrónica es una “prueba” (en
el sentido matemático) que se adjunta a
un archivo o documento y permite
verificar su integridad
La firma electrónica puede tener
validez legal o puede ser un acuerdo
entre partes
39. Firma electronica (ii)
Para que tenga validez *legal* hace falta
un marco legislativo (como la ley
18.600)
Además de una infraestructura que permita
verificar las firmas
Para firmar entre partes solo hace falta
comprar un certificado digital
En Uruguay se puede hacer con El Correo; o
si no se pueden comprar por Internet