Derechos reservados Lucio Molina Focazzio 1 La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de.

Author: Cristina Bustamante Hidalgo

0 downloads 2 Views

1 Derechos reservados Lucio Molina Focazzio 1 La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de control fiscal Capítulo Colombia Lucio Augusto Molina Focazzio, CISA Vicepresidente Internacional de ISACA Consultor en Auditoria de Sistemas y Seguridad Informatica

4 Derechos reservados Lucio Molina Focazzio 4 NOTICIAS Hackers sustraen us$10.000.000 del Citibank Hackers roban información de 15,700 clientes del Western Union, mientras su Web site estaba desprotegido por labores de mantenimiento.

7 7 a)Virus b)Abuso de Internet c)Robo de portátiles / móviles d)Acceso no autorizado a la información e)Penetración del sistema f)Negación del servicio g)Robo de información propietaria h)Sabotaje i)Fraude financiero j)Fraude con telecomunicaciones Fuente:CSI/FBI Computer Crime and Security Survey TIPOS DE ATAQUES (%)

8 Derechos reservados Lucio Molina Focazzio 8 PROBANDO LA VULNERABILDAD DE UNA RED Sophistication of Hacker Tools Packet Forging/ Spoofing Technical Knowledge Required 2000 Packet Forging/ Spoofing Denial of Service 19901980 Password Guessing Self Replicating Code Password Cracking Exploiting Known Vulnerabilities Disabling Audits Back Doors Hijacking Sessions Sweepers Sniffers Stealth Diagnostics High Low DDOS Hacking gets easier and easier Evolución

10 10

12 Derechos reservados Lucio Molina Focazzio 12 Aspectos Generales Los controles son considerados esenciales para una Organización desde el punto de vista legislativo: –Protección de datos y privacidad de la información –Salvaguarda de los registros organizacionales –Derechos de propiedad Intelectual Auditoría y Cumplimiento

13 Derechos reservados Lucio Molina Focazzio 13 QUÉ ES SEGURIDAD Evitar el ingreso de personal no autorizado Sobrevivir aunque “algo” ocurra Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado Adherirse a los acuerdos de licenciamiento de software Prevención, Detección y Respuesta contra acciones no autorizadas

14 Derechos reservados Lucio Molina Focazzio 14 QUÉ DEBE SER PROTEGIDO? Sus Datos Confidencialidad – Quiénes deben conocer qué Integridad – Quiénes deben cambiar qué Disponibilidad - Habilidad para utilizar sus sistemas Sus Recursos uSu organización y sus sistemas

15 Derechos reservados Lucio Molina Focazzio 15 QUÉ DEBE SER PROTEGIDO? Su Reputación uRevelación de información confidencial uRealización de fraudes informáticos uNo poder superar un desastre uUtilización de software ilegal

16 Derechos reservados Lucio Molina Focazzio Fraude por Computador Utilizar un computador para obtener beneficio personal o causar daño a los demás. Dada la proliferación de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas. Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada.

17 Derechos reservados Lucio Molina Focazzio Falta de Estadísticas de Fraudes por Computador Estadísticas no disponibles y la mayoría de pérdidas desconocidas. Razones por las cuales no hay estadísticas: 1.La compañías prefieren manejar directamente los fraudes detectados para evitar vergüenzas y publicidad adversa 2.Las encuestas sobre abusos con computadores son frecuentemente ambiguas dificultando la interpretación de los datos 3.La mayoría de los fraudes por computador probablemente no se descubren.

18 Derechos reservados Lucio Molina Focazzio 18 ¿ De Quién nos Defendemos? Gente de adentro: Empleados o personas allegadas. Anti gobernistas: Razones obvias para justificar un ataque. Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto.

21 Derechos reservados Lucio Molina Focazzio 21 De qué nos defendemos? Tecnología –Fallas en procedimientos –Fallas en el software aplicativo –Fallas en el software Operativo –Fallas en el hardware –Fallas en los equipos de soporte –Paros, huelgas

22 Derechos reservados Lucio Molina Focazzio 22 Técnicas de Ataque 1.Inyectar Código malicioso: Virus y Gusanos Se propaga furtivamente. Generalmente tiene propósitos maliciosos. –Worm.Melissa –Worm.I Love You

23 Derechos reservados Lucio Molina Focazzio 23 Técnicas de Ataque 2. Robo de Información  Buscar información almacenada en el disco o en la memoria del computador cargándola al computador del atacante.  Robo de computadores o discos Propósito: Espionaje Adquirir software o información sin pagar Encontrar debilidades en el sistema  Alteración de información tributaria

24 Derechos reservados Lucio Molina Focazzio 24 Técnicas de ataque 3. Espionaje  Intercepción pasiva del tráfico de la red.  Uso de software para monitorear el flujo de los paquetes en la red (Packet Sniffer) Propósito: –Capturar Login ID y passwords –Capturar o filtrar información de contribuyentes –Capturar e-mails o direcciones de e-mail

25 Derechos reservados Lucio Molina Focazzio 25 Técnicas de Ataque 4. Falsificación o Alteración de datos  Alteración o borrado de datos o programas Propósito –Fraude –Malversación de fondos o desfalco –Técnicas –Caballos de Troya –Bombas Lógicas (Cambio de la contabilidad)

26 Derechos reservados Lucio Molina Focazzio 26 Técnicas de Ataque 5. Suplantación: Suplantar un usuario o un computador. Objetivos: –Conseguir el Login ID y el password de la cuenta de un usuario –Instalar demonios y lanzar un ataque desde un usuario inocente –Ocultar la identidad del atacante

27 Derechos reservados Lucio Molina Focazzio 27 Técnicas de Ataque 6. Ingeniería social: El atacante deriva información sensitiva o útil para un ataque a partir del conocimiento de su víctima. 7. Error humano: Gracias a Murphy, algo inevitable. Un buen esquema de seguridad debe poseer alguna tolerancia a los errores humanos.

28 Derechos reservados Lucio Molina Focazzio 28 Efectos de las Amenazas y los Ataques Interrupción de actividades Dificultades para toma de decisiones Sanciones Costos excesivos Pérdida o destrucción de activos Desventaja competitiva Insatisfacción del usuario (pérdida de imagen)

30 Derechos reservados Lucio Molina Focazzio 30 Desafíos Importancia –Garantizar Supervivencia de la Organización Confianza de: Ciudadanos Entidades gubernamentales Prevenir y detectar riesgos informáticos

31 Derechos reservados Lucio Molina Focazzio 31 Actividades Auditoría Continua Aseguramiento Continuo Cambios en el ambiente regulatorio Seguridad como un requerimiento del negocio Benchmarking Indicadores Administración de la Información

32 Derechos reservados Lucio Molina Focazzio 32 ¿CÓMO NOS DEFENDEMOS? Reglamentaciones y leyes Políticas de seguridad integral entendidas y aceptadas Administración consciente y bien calificada Administración de seguridad con poder suficiente Educación de los usuarios Refuerzo de la seguridad interna Análisis de Riesgos

33 Derechos reservados Lucio Molina Focazzio 33 ¿CÓMO NOS DEFENDEMOS? Seguridad física Auditoría preventiva y proactiva Auditores certificados Auto-ataques Planes de Recuperación de Desastres Mejoramiento de los sistemas de información Compartir Información con otras entidades del estado

35 Derechos reservados Lucio Molina Focazzio 35 ¿CÓMO NOS DEFENDEMOS? Uso de MEJORES PRACTICAS (marcos de referencia y de estándares Internacionales) –CobiT (Governance, Control and Audit for Information and Related Technology  Control Objectives for TI) –ISO 17799 –ITIL

37 Derechos reservados Lucio Molina Focazzio 37 PROCESOS DE NEGOCIO PROCESOS DE NEGOCIO INFORMACION efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad Criterios C OBI T RECURSOS DE TI RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones personas datos sistemas de aplicación tecnología instalaciones personas PLANEACON Y ORGANIZACION PLANEACON Y ORGANIZACION ADQUISICION E IMPLEMENTACION ADQUISICION E IMPLEMENTACION PRESTACION DE SERVICIOS Y SOPORTE PRESTACION DE SERVICIOS Y SOPORTE MONITOREO COBIT

38 Derechos reservados Lucio Molina Focazzio 38 ISO 17799 Primer estándar internacional dedicado a la Seguridad Informática Controles relacionados con mejores prácticas en seguridad de Información Desarrollado por la Industria para la Industria Aprobado como un estándar internacional ISO 17799

39 Derechos reservados Lucio Molina Focazzio 39 Secciones del ISO 17799 1. Políticas de Seguridad 2. Estructura Organizacional de la Seguridad 3. Clasificación y Control de Activos 4. Seguridad del Personal 5. Seguridad Física y Ambiental 6. Administración de las Operaciones y de las Comunicaciones 7. Controles de Acceso 8. Desarrollo y Mantenimiento de Sistemas 9. Gerencia de la Continuidad del Negocio 10. Cumplimiento con requerimientos

40 Derechos reservados Lucio Molina Focazzio 40 ITIL - Information Technology Infrastructure Library Es un marco de trabajo (framework) para la Administración de Procesos de IT Es un standard de facto para Servicios de IT Fue desarrollado a fines de la década del 80 Originalmente creado por la CCTA (una agencia del Gobierno del Reino Unido)

41 Derechos reservados Lucio Molina Focazzio 41 ICT Infrastructure Management Cubre los aspectos relacionados con la administración de los elementos de la Infraestructura. Service Delivery Se orienta a detectar el Servicio que la Organización requiere del proveedor de TI a fin de brindar el apoyo adecuado a los clientes del negocio. Service Support Se orienta en asegurar que el Usuario tenga acceso a los Servicios apropiados para soportar las funciones de negocio. The Business Perspective Cubre el rango de elementos concernientes al entendimiento y mejora en la provisión de servicios de TI como una parte Integral de los requerimientos generales del negocio. Application Management Se encarga del control y manejo de las aplicaciones operativas y en fase de desarrollo. Planning to Implement Service Management Plantea una guía para establecer una metodología de administración orientada a servicios. Security Management Cubre los aspectos relacionados con la administración del aseguramiento lógico de la información. Que es ITIL?

Derechos reservados Lucio Molina Focazzio 1 La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de.

Recommend Documents