1 © 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Priv Pub Priv Medidas de Protección de datos José Casado Meléndez – Consulting Engineer Public Sector

2 © 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 2 Priv Pub Priv Agenda ¿Necesidad de proteger los datos? Ley Orgánica de Protección de datos Cifrado de las Comunicaciones Detección de Intrusión

3 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 3 ¿Protección de datos? Gobierno MoD, MInterior Confidencial, Difusión limitada Empresa privada Patentes Desarrollo Competencia Uso de Internet Red abierta Mantenimiento remoto Comercio electrónico Banca electrónica LOPD Datos de carácter personal

4 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 4 Introducción a la LOPD UN POCO DE HISTORIA LEY ORGÁNICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD). Real Decreto 1332/94, de 20 de junio por el que se desarrollan algunos preceptos de la Ley Orgánica. DIRECTIVA 95/46/EC del Parlamento y el Consejo Europeo, de 24 de octubre de 1995, sobre protección de las personas en relación con el procesamiento de sus datos personales y el libre movimiento de dichos datos. Instrucción 1/1998, de 19 de enero, de la agencia de protección de datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación.

5 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 5 Introducción a la LOPD 1 LOPD, EL OBJETO El objeto de la LOPD es “Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. Prácticamente el cien por cien de las empresas manejan datos personales en el desarrollo de su actividad y están sometidas a la Ley Orgánica de Protección de Datos (LOPD). La protección de datos ha recibido un importante impulso a lo largo de estos últimos años, si bien desde 2005 es más acusado, debido a su inclusión en la nueva Constitución Europea como derecho fundamental y a la aprobación de un nuevo reglamento para la LOPD, que regulará formalmente todo lo dispuesto por la ley orgánica de 1999.

6 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 6 Introducción a la LOPD 2 OBJETIVOS Confidencialidad Limitación del acceso a la información de personas internas o externas Integridad Seguridad de control sobre las modificaciones y supresiones realizadas en los datos, garantizando que la información no se pierda o deteriore Disponibilidad Garantía de la disponibilidad a tiempo de la información Auditabilidad Garantía de completa revisión y comprobación de los medios utilizados para tratar y controlar los datos.

7 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 7 Introducción a la LOPD 3 AMBITOS DE APLICACION  ÁMBITO TÉCNICO Control de acceso lógico. Control de acceso físico. Copias de respaldo. Gestión de soportes. Registro de accesos. Cifrado de las comunicaciones. ÁMBITO LEGAL ÁMBITO LEGAL Solicitud de inscripción de ficheros (Agencia Española de Protección de Datos). Leyendas en formularios de recogida de datos. Contratos con empleados. Contratos con terceros. Transferencias internacionales. ÁMBITO DOCUMENTAL ÁMBITO DOCUMENTAL Documento de seguridad. Procedimientos técnicos. Códigos tipo. ÁMBITO ORGANIZATIVO ÁMBITO ORGANIZATIVO Identificación de ficheros. Clasificación de ficheros. Identificación de responsables. Asignación de responsabilidades. Planificación y realización de auditorías. Difusión y concienciación. Establecimiento y seguimiento de planes de mejora. Identificación de áreas y personas clave Ide ntif ica ció n de fic her os Revi sión de medi das de segu ridad Def inici ón del pla n de acc ión Impl anta ción Medi das Segu ridad Adecuación a la LOPD y al RMS

8 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 8 Agenda ¿Necesidad de proteger los datos? Ley Orgánica de Protección de datos Cifrado de las Comunicaciones Concepto de Comunicaciones seguras Detección de Intrusión

9 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 9 VPN Definición “ Una Red Privada Virtual (VPN) conecta los componentes y recursos de una red sobre otra con una transmisión segura.” Conectividad desplegada sobre una infraestructura compartida con las mismas politicas que una red privada Central Oficina regional Oficina Casa Usuarios moviles Virtual Private Network Partners Customers

10 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 10 VPN Basics Creando una red privada a través de Internet para: privacidad TCP/IP protocolos control of traffic Funciones criticas Accesibilidad Autenticación Confidencialidad Integridad de los datos The Internet

11 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 11 VPNs de Acceso remoto y oficina a oficina  Oficina a oficina (LAN-to- LAN) Entre las redes de entidades Las redes son más confiables  Acceso remoto Acceso a central de usuarios remotos Las redes no son tan confiables

12 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 12 Protocolos de Tunneling (sin encriptación) L2F—Layer 2 Forwarding (Cisco Implementation) L2TP—Layer 2 Tunneling Protocol (IETF Review) PPTP—Point-to-Point Tunneling Protocol (Microsoft) GRE—Generic Routing Encapsulation (Cisco Implementation) Internet Client Server RAS Tunneling Protocol

13 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 13 IPsec VPN (Protocolo de tunneling con encriptación) Una VPN que usa IPSec para asegurar la autenticidad, integridad y confidencialidad de los datos. Host AHost B Router ARouter B IPSec Tunnel El tunel se autentica Se asegura la integridad de los datos Se asegura la confidencialidad de los datos

14 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 14 Autenticación IPsec hace foco en la autenticación de dos dispositivos de red IP address/preshared key Digital certificates Es la primera fase de IPsec ISAKMP Protocol UDP 500 Secure Net ISAKMP Oakley ISAKMP Oakley Key

15 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 15 Authentication data (00ABCDEF) Authentication data (00ABCDEF) IP header + Data AHAH IP HDR DataData AH Integridad Router ARouter B Hash

16 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 16 Data payload is encrypted Router A Router B Encapsulating Security Payload (Confidencialidad)  Data confidentiality (encryption)  Algoritmos DES, 3DES, AES IP HDR Encrypted ESP HDR Data ESP Trailer ESP Auth Authenticated

17 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 17 Agenda ¿Necesidad de proteger los datos? Ley Orgánica de Protección de datos Cifrado de las Comunicaciones Concepto de Comunicaciones seguras Concepto avanzado de identidad Certificado digital

18 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 18 Certificado digital  Matematicamente mas resistente El origen es realmente quien dice ser Los datos no se han cambiado en tránsito El receptor puede probar la Identidad  Proporciona una manera mas escalable de autenticación

19 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 19 ¿Que hay en un certificado?  Contiene: Serial Number Validity dates Issuer’s name Subject’s name Subject’s public key info  Firmado por una autoridad

20 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 20 Claves asimétricas RSA Key public key De Alice private key De Alice KJklzeAidJfdlwiej47 DlItfd578MNSbXoE Bob Alice Pay to Terry Smith $100.00 One Hundred and xx/100 Dollars Pay to Terry Smith $100.00 One Hundred and xx/100 Dollars DecryptEncrypt

21 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 21 Validación común con CA Internet Alice’s Certificate Alice Bob Bob’s Certificate Certificate/CRL Database CA LDAP 2.Check CRL for Validity of Bob’s Certificate CA Public Key Key PUB 1.Verify Bob’s Certificate with CA Public Key Bob y Alice tienen una copia de la clave pública de la CA. Bob y Alice verifican la firma del certificado con la clave pública de la CA Bob y Alice verifican que el certificado no esté en una lista de revocación

22 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 22 Agenda ¿Necesidad de proteger los datos? Ley Orgánica de Protección de datos Cifrado de las Comunicaciones Concepto de Comunicaciones seguras Detección de Intrusión

23 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 23 La evolución de los ataques Hacia motivos económicos Las amenazas son cada vez mas difíciles de detectar y mitigar Threat Severity 1990199520002005 Financiero: Robo y daño Fama: Virus y Malware Notoriedad: Intrusión básica y Virus 2007 2010

24 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 24 Servicios de detección de Intrusión  Detección Inteligente Firmas especificas de vulnerabilidades Detección de anomalías Filtros de reputación  Precisión en la respuesta Nivel de riesgo de la amenaza Correlación global  Despliegue flexible Despliegue en modo IDS/IPS Virtualización del sensor Software y Hardware bypass

25 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 25 Despliegue de IDS IPS Sensor Internet Host El interface de monitorización recibe copia del tráfico de red, pero no está en línea con el mismo. Interface de gestión. El tráfico de la red no pasa por el Red de gestión

26 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 26 Despliegue IPS Internet Host Interface de gestión. El tráfico de la red no pasa por el El sensor se coloca en línea con el tráfico de red y tiene la capacidad de denegar paquetes cuando lo estima oportuno. Red de gestión

27 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 27 Detección de Anomalia Internet Potencial ataque de Buffer Overflow A A B B C C Transaction A Transaction B Transaction C Web Server Cluster Detección de anomalía protege de ataques de día-cero sobre vulnerabilidades no conocidas.

28 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 28  Algoritmos de detección de anomalía para detectar y parar amenazas de día cero  Aprendizaje en tiempo real del comportamiento normal de red  Detección automática protección de comportamientos anomalos en la red  Resultado: Protección contra ataques que aún no se conocen Internet Detección de Anomalías en tiempo real por amenazas de dia cero Tráfico en baseline Traffic en baseline Detectada actividad anomala, indicando un potencial ataque de día cero.

29 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 29 Política en tiempo real del nivel de riesgo Event Severity Signature Fidelity Attack Relevancy Asset Value of Target Urgencia de la amenaza? Cuanta probabilidad de ser un falso positivo? Relevante para el destino OS? Es un host crítico? = Risk Rating + + + Risk RatingIPS Policy Action RR < 34 Alarma RR >35 and < 84 Alarma y Log Paquetes RR > 85 Deniega el ataque = IPS Policy Action Una medida cuantitativa de cada amenaza antes de la mitigación Network Context Que otra información de riesgo tenemos? +

30 © 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 30 Cisco