Diagnóstico sobre la seguridad de la información y la ... de la Informacion en... · y la...
-
Upload
truonghuong -
Category
Documents
-
view
213 -
download
0
Transcript of Diagnóstico sobre la seguridad de la información y la ... de la Informacion en... · y la...
Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales
Pablo Pérez San-JoséGerente del Observatorio (INTECO)[email protected]
5ª Jornada de la IIª Edición de la Cátedra de Riesgos en Sistemas de Información (IE)Web 2.0 y SeguridadMadrid, 31 de marzo de 2009
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
2
Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online
Metodología
AnálisisCualitativo
35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc.
3 grupos de discusión: juristas, usuarios adultos y menores.
AnálisisCuantitativo
2.860 encuestas a usuarios habituales de Internet, mayores de 15 años. (error muestral: ±1,87%)
Colaboración con la Agencia Española de Protección de Datos
Informe disponible en:http://observatorio.inteco.esComentarios y sugerencias:
3
¿Qué son las redes sociales?
Plataformas online desde las que los usuarios una vez registrados con un perfil personal pueden utilizar herramientas que permiten interactuar con otros usuarios mediante mensajes, imágenes o vídeos y localizar a otros usuarios en función de las características publicadas por éstos en sus perfiles
4
¿De cuántas personas estamos hablando?
Fuente: INTECO + Universal McCann
272 millones de usuarios en el mundo(el 58% de los usuarios de Internet)
7.850.000 usuarios en España(el 44,6% de los usuarios de Internet)
5
36,5%
32,5%
21,0%
7,9%
2,2%
0%
5%
10%
15%
20%
25%
30%
35%
40%
15 a 24 25-34 35-49 50-64 >65
Segmentación por edad de los usuarios de redes sociales en España (junio 2008)
Uso de las redes sociales por menores
En España, 7 de cada 10 usuarios de redes sociales son menores de 35 años
Fuente: INTECO
En las franjas más jóvenes se concentra el uso de redes sociales de ocio, mientras que a partir de los 25 años aumenta el uso de redes de contenido profesional
6
Principales usos de las redes sociales
Usos de las redes sociales por los usuarios españoles (%). Octubre 2008
Fuente: INTECO a partir de Zed Digital
8,5
9,5
19,3
25,0
34,8
46,2
50,2
52,1
55,0
62,1
70,9
0 10 20 30 40 50 60 70 80
Buscar empleo/Recomendar profesionales
Descargar juegos/Buscar amigos
Descargar aplicaciones
Informarse sobre cosas que interesan al usuario
Etiquetar amigos en las fotos
Cotillear
Enviar mensajes públicos
Actualizar el perfil
Comentar las fotos de los amigos
Enviar mensajes privados
Compartir o subir fotos
Redes de Ocio
Redes
Profesionales
7
Riesgos: 3 momentos clave
Alta como usuario1
Participación en la red social2
Baja del servicio3
Hay tres momentos clave en el uso de las redes sociales en los que es posible identificar riesgos para la seguridad y privacidad:
8
Riesgos para la privacidad y seguridad de la información
Alta como usuario1
Lagunas en la información legal y condiciones de uso
Fuente: www.facebook.com
9
Alta como usuario1
Formularios de registro con multitud de datos personales publicables de carácter sensible (nivel medio y alto)
Riesgos para la privacidad y seguridad de la información
10
1
Ausencia de sistemas efectivos para identificar la edad de los usuarios
Fuente: www.facebook.com
Alta como usuario
Riesgos para la privacidad y seguridad de la información
11
Alta como usuario1
Grado de publicidad del perfil de usuario demasiado elevado y máximo grado activado por defecto
Fuente: INTECO a partir de Ofcom. Office of Communications
Riesgos para la privacidad y seguridad de la información
12
Publicación excesiva de información personal (propia y de terceros).
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
13
Participación en la red social2
Indexación no autorizada por parte de buscadores
Riesgos para la privacidad y seguridad de la información
14
Participación en la red social2
Instalación y uso de cookies sin conocimiento del usuario
Riesgos para la privacidad y seguridad de la información
15
Recepción de publicidad hipercontextualizada
Fuente: www.facebook.com
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
16
Cesión de los derechos de propiedad intelectual de los contenidos publicados, incluyendo textos, imágenes, videos, etc.
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
17
Fuente: www.elmundo.es (5 de diciembre de 2008)
Código malicioso (malware)
'Koobface' se extiende mediante el envío de notas a amigos de alguien que ha sido infectado. Los mensajes, con encabezados de materia como "te ves genial en esta nueva película", dirigen a los destinatarios a un sitio donde se les pide que descarguen lo que se afirma es una actualización del
reproductor Flash de Adobe Systems. Si descargan el software, los usuarios acabarán con su ordenador infectado
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
18
Análisis ScanSafe: más 600 webs de redes sociales incluían código malicioso (spyware y adware).
61,7 63,2
55,2 57,252,8
40,046,9 48,0
36,540,0 41,3
20,924,1 24,9 23,6 24,2 24,1
55,9
0%
10%
20%
30%
40%
50%
60%
70%
80%
Enero Febrero Marzo Abril Mayo Junio
Troyano Adware publicitario Herramienta EspíasGusanos Virus Heurístico Otros
Presencia de malware por categorías (% sobre total de ordenadores escaneados)
Troyanos
Adware
Spyware
Participación en la red social2
Riesgos para la privacidad y seguridad de la información
19
Fuente: http://securitylabs.websense.com (22 de septiembre de 2008)
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
Troyano en un .zip
Facebookmail es un dominio usado por Facebook para contactar con sus usuarios
Este formulario realmente lleva al genuino Facebook.com para incrementar la legitimidad del engaño
20
Suplantación de identidad de los usuarios de la red social para cometer fraude online: phishing y pharming
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
21
Recepción de comunicaciones comerciales electrónicas no solicitadas (spam)
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
Perfiles falsos
Aplicaciones que acceden a lista contactos
Creación de grupos
22
Participación en la red social2
Riesgos para la privacidad y seguridad de la información
Riesgos específicos para los menores de edad:
23
Baja del servicio3
Imposibilidad de realizar baja efectiva
Riesgos para la privacidad y seguridad de la información
24
Baja del servicio3
Conservación de datos y cumplimiento del principio de calidad de los datos
Fuente: www.facebook.com
Riesgos para la privacidad y seguridad de la información
25
Recomendaciones
INDUSTRIA
Redes Sociales y plataformas
colaborativas
Operadores y proveedores
acceso Internet
Fabricantes y proveedores de soluciones de
seguridad
Actitud proactiva para el cumplimiento de la normativa: vigilancia de contenidos, mayores controles de acceso y autenticación, etc.Sistemas eficaces de verificación de edad para controlar el acceso a menores a los servicios y los contenidos.Redacción de condiciones de uso y políticas de privacidad con un lenguaje comprensible Aplicaciones desarrolladas conforme a estándares de calidad, seguridad y privacidad (funcionalidad - seguridad).Configuración por defecto del máximo grado de seguridad en el perfil del usuario.Herramientas que limiten la posibilidad de que terceros publiquen información personal sobre el usuario Control de la indexación y almacenamiento de los perfiles por buscadores.Creación de plataformas de comunicación fehaciente y segura con las FCSE, Ministerio Fiscal y Autoridades Judiciales.Informar a los usuarios sobre las políticas de seguridad y privacidad de la plataforma (códigos éticos).Formación a los usuarios sobre configuración del perfil y control de la difusión de sus datos personales.
26
Recomendaciones
AA.PP.
No basta con “prohibir” hace falta garantizar la protección.Impulsar las “buenas prácticas” y la autorregulación.Derecho internacional homogéneo en materia de protección de datos personales y derecho al honor, intimidad y propia imagen (problema internacional)Elaborar informes, recomendaciones y dictámenes públicos.Promocionar acuerdos directos entre la industria audiovisual o musical y las plataformas de difusión de contenidosDotar a los FCSE de herramientas tecnológicas que les permitan investigar, mantener la cadena de custodia de las pruebas electrónicas y bloquear situaciones delictivas o perjudicialesFormación específica en Derecho Tecnológico destinada a jueces y fiscalesRealizar campañas de concienciación y divulgación dirigidas a los usuariosElaboración de manuales y guías de carácter formativo
www.inteco.es
http://observatorio.inteco.es