Special problems in information security: from privacy to emerging technologies for hyperconnected systems

García Martínez, Francisco (2019). Special problems in information security: from privacy to emerging technologies for hyperconnected systems. Thesis (Master thesis), E.T.S. de Ingenieros Informáticos (UPM).

Description

Title: Special problems in information security: from privacy to emerging technologies for hyperconnected systems
Author/s:
  • García Martínez, Francisco
Contributor/s:
  • Dawson, Maurice
Item Type: Thesis (Master thesis)
Masters title: Ingeniería Informática
Date: July 2019
Subjects:
Faculty: E.T.S. de Ingenieros Informáticos (UPM)
Department: Otro
Creative Commons Licenses: Recognition - No derivative works - Non commercial

Full text

[img]
Preview
PDF - Requires a PDF viewer, such as GSview, Xpdf or Adobe Acrobat Reader
Download (949kB) | Preview

Abstract

Desde las últimas elecciones en Estados Unidos, Francia y otros países, las “fake news” se han convertido en una herramienta para manipular a los votantes. Esta creación de “fake news” crea un problema que se extiende por toda una sociedad creando división. Sin embargo, los medios de comunicación no han escudriñado lo suficiente en el uso indebido de los datos. A diario, parece que hay brechas de seguridad que causan que millones de usuarios vean su información personal recogida, expuesta y vendida en la “Dark Web” a cambio de criptomonedas. Recientemente, han aparecido noticias en las redes sociales anunciando casos de correos electrónicos leídos sin el consentimiento del usuario. Estas cuestiones suscitan preocupación por el uso indebido de los datos personales y, lo que es más importante, por la forma en que pueden utilizarse para la guerra de la información y la explotación de grupos específicos mediante el uso de Internet. Es esencial que las organizaciones revisen continuamente las políticas de datos actuales para asegurarse de que no se conviertan en víctimas de la guerra de la información. Sin embargo, no sólo es responsabilidad de las organizaciones preservar los derechos y libertades de sus empleados y clientes, sino también de los gobiernos y las naciones. Por eso, actualmente se están elaborando normativas en materia de protección de datos. En Europa, la creación del Reglamento General de Protección de Datos (RGPD) ha constituido un enorme avance en la privacidad de datos, otorgando mayor poder a los consumidores online, que estaban condenados a la pérdida total del control de su información personal. Aunque a primera vista pueda parecer que sólo afecta a las empresas de la Unión Europea, el Reglamento establece claramente que toda empresa que tenga negocios en la UE debe cumplir con el GDPR. Otros países no pertenecientes a la UE, como los Estados Unidos, han visto los beneficios del RGPD y ya están desarrollando sus propias leyes de privacidad. Inicialmente, estas regulaciones eran exclusivamente a nivel estatal, pero últimamente se están proponiendo iniciativas nacionales. Presentaremos algunos ejemplos representativos y los compararemos con el GDPR. Además, nada de esto tendría sentido sin el desarrollo de tecnologías y aplicaciones seguras que preserven la privacidad y la confidencialidad. Numerosos estándares y códigos de buenas prácticas recomiendan la implementación de prácticas de seguridad desde las primeras etapas del proceso de desarrollo de aplicaciones. Comúnmente conocidas como "seguridad por defecto", estas prácticas consisten en programar teniendo en cuenta la seguridad para empezar a abordar las amenazas y vulnerabilidades antes de que la integración de las medidas de seguridad resulte demasiado tediosa. Una manera efectiva de averiguar si la aplicación es segura es mediante técnicas de análisis del código fuente. Estos análisis reportan debilidades o malas prácticas en el código una vez que se evalúan frente un conjunto predefinido de reglas. De esa forma, los programadores son capaces de detectar y corregir estos problemas, evitando la explotación de dichas vulnerabilidades en el futuro y garantizando la protección de los datos personales de los usuarios. En este proyecto, se ha realizado un análisis estático del código fuente para evaluar la aplicación de escritorio de un Sistema Nacional de Denuncias para la Policía Nacional de un país latinoamericano. Finalmente, para educar a los usuarios en estos temas, proponemos un marco que permita el desarrollo de un laboratorio virtual que incorpore tecnologías emergentes, como la Internet Industrial de los Objetos y los sistemas hiperconectados, incorporando componentes de código abierto. Este laboratorio virtual proporcionaría un entorno de aprendizaje en el que los conceptos de ciberseguridad y seguridad de la información podrían enseñarse en un entorno exploratorio.---ABSTRACT---Since the last elections in the United States, France, and other nations, fake news has become a tool to manipulate voters. This creation of fake news creates a problem that ripples through an entire society creating division. However, the media has not scrutinized enough on data misuse. Daily it appears that there are breaches causing millions of users to have their personal information taken, exposed, and sold on the Dark Web in exchange of encrypted currencies. Recently, news has surfaced of major social media sites allowing emails to be read without user consent. These issues bring upon concern for the misuse of data and more importantly, how can this be used for information warfare and the exploitation of targeted groups through the use of the Internet. It is essential that organizations continuously review current data policies to ensure that they do not become victims of information warfare. Nevertheless, it is not only the organizations’ responsibility to preserve the rights and freedoms of their employees and customers, but also governments and nations should have a word in this matter. That is why data protection regulations are being developed. In Europe, the creation of the General Data Protection Regulation (GDPR) constituted an enormous advance in data privacy, empowering the online consumers, who were doomed to the complete loss of control of their personal information. Although it may first seem that it only affects companies within the European Union, the regulation clearly states that every company who has businesses in the EU must be compliant with the GDPR. Other non-EU countries, like the United States, have seen the benefits of the GDPR and are already developing their own privacylaws. Initially, these regulations were exclusively at the state level, but national initiatives are lately being proposed. We will present some representative examples and compare them to the GDPR. Furthermore, none of this would make sense without the development of secure technologies and applications that preserve privacy and confidentiality. Numerous standards and codes of best practice recommend the implementation of security practices since the early stages of the application development process. Commonly known as ‘security-as-default’, these practices consist in coding while keeping security in mind to start addressing threats and vulnerabilities before integrating security measures becomes too laborious. An effective way to find out whether the application is secure is by performing source code analysis. These analysis report weaknesses or poor practices in the code once run against predefined set of rules. Consequently, developers are able to detect and correct these issues, preventing the application from future exploits and ensuring individuals’ data is protected. A static source code analysis was performed to assess the desktop application of a National Crime Reporting System for a Latin American country’s National Police. Finally, to educate users in these issues, we are proposing a framework that allows for the development of a virtual lab that incorporates emerging technologies, such as the Industrial Internet of Things and hyperconnected systems while incorporating open source components. This virtual lab would provide a learning environment where cybersecurity and information security concepts can be taught in an exploratory environment.

More information

Item ID: 57396
DC Identifier: http://oa.upm.es/57396/
OAI Identifier: oai:oa.upm.es:57396
Deposited by: Biblioteca Facultad de Informatica
Deposited on: 25 Nov 2019 09:21
Last Modified: 26 Nov 2019 07:51
  • Logo InvestigaM (UPM)
  • Logo GEOUP4
  • Logo Open Access
  • Open Access
  • Logo Sherpa/Romeo
    Check whether the anglo-saxon journal in which you have published an article allows you to also publish it under open access.
  • Logo Dulcinea
    Check whether the spanish journal in which you have published an article allows you to also publish it under open access.
  • Logo de Recolecta
  • Logo del Observatorio I+D+i UPM
  • Logo de OpenCourseWare UPM