La seguridad en los sistemas de informaci

1
La seguridad en los sistemas de información de
las entidades públicas y los desafíos para las
entidades de control fiscal
Capítulo Colombia
Lucio Augusto Molina Focazzio, CISA Vicepresidente
Internacional de ISACA Consultor en Auditoria de
Sistemas y Seguridad Informatica
2
Agenda
3
Agenda
4
NOTICIAS

• Hackers sustraen us10.000.000 del Citibank
• Hackers roban información de 15,700 clientes del
  Western Union, mientras su Web site estaba
  desprotegido por labores de mantenimiento.

5
MAYORES DESASTRES
6
(No Transcript)
7
TIPOS DE ATAQUES ()

1. Virus
2. Abuso de Internet
3. Robo de portátiles / móviles
4. Acceso no autorizado a la información
5. Penetración del sistema
6. Negación del servicio
7. Robo de información propietaria
8. Sabotaje
9. Fraude financiero
10. Fraude con telecomunicaciones

FuenteCSI/FBI Computer Crime and Security Survey
8
Denial of Service
Packet Forging/ Spoofing
High
Hacking gets easier and easier
Packet Forging/ Spoofing
DDOS
Stealth Diagnostics
Sweepers
Back Doors
Sophistication of Hacker Tools
Sniffers
Exploiting Known Vulnerabilities
Hijacking Sessions
Disabling Audits
Self Replicating Code
Technical Knowledge Required
Password Cracking
Password Guessing
Low
2000
1990
1980
PROBANDO LA VULNERABILDAD DE UNA RED
Evolución
9
(No Transcript)
10
(No Transcript)
11
Agenda
12
Aspectos Generales

• Los controles son considerados esenciales para
  una Organización desde el punto de vista
  legislativo
• Protección de datos y privacidad de la
  información
• Salvaguarda de los registros organizacionales
• Derechos de propiedad Intelectual
• Auditoría y Cumplimiento

13
QUÉ ES SEGURIDAD

• Evitar el ingreso de personal no autorizado
• Sobrevivir aunque algo ocurra
• Cumplir con las leyes y reglamentaciones
  gubernamentales y de los entes de control del
  Estado
• Adherirse a los acuerdos de licenciamiento de
  software
• Prevención, Detección y Respuesta contra acciones
  no autorizadas

14
QUÉ DEBE SER PROTEGIDO?

• Sus Datos
• Confidencialidad Quiénes deben conocer qué
• Integridad Quiénes deben cambiar qué
• Disponibilidad - Habilidad para utilizar sus
  sistemas
• Sus Recursos
• Su organización y sus sistemas

15
QUÉ DEBE SER PROTEGIDO?

• Su Reputación
• Revelación de información confidencial
• Realización de fraudes informáticos
• No poder superar un desastre
• Utilización de software ilegal

16
Fraude por Computador

• Utilizar un computador para obtener beneficio
  personal o causar daño a los demás.
• Dada la proliferación de las redes y del personal
  con conocimientos en sistemas, se espera un
  incremento en la frecuencia y en la cantidad de
  pérdidas.
• Se especula que muy pocos fraudes por computador
  son detectados y una menor porción es reportada.

17
Falta de Estadísticas de Fraudes por Computador

• Estadísticas no disponibles y la mayoría de
  pérdidas desconocidas.
• Razones por las cuales no hay estadísticas
• La compañías prefieren manejar directamente los
  fraudes detectados para evitar vergüenzas y
  publicidad adversa
• Las encuestas sobre abusos con
  computadores son frecuentemente
  ambiguas dificultando la interpretación
  de los datos
• La mayoría de los fraudes por computador
  probablemente no se descubren.

18
De Quién nos Defendemos?

• Gente de adentro Empleados o personas allegadas.
• Anti gobernistas Razones obvias para justificar
  un ataque.
• Un cracker que busca algo en específico Es
  problemático pues suele ser un atacante
  determinado. Puede estar buscando un punto de
  salto.

19
De qué nos defendemos?

• Fraude
• Extorsión
• Robo de Información
• Robo de servicios
• Actos terroristas
• Reto de penetrar un sistema
• Deterioro

20
De qué nos defendemos?

• Desastres Naturales
• Terremotos
• Inundaciones
• Huracanes
• Incendios

21
De qué nos defendemos?

• Tecnología
• Fallas en procedimientos
• Fallas en el software aplicativo
• Fallas en el software Operativo
• Fallas en el hardware
• Fallas en los equipos de soporte
• Paros, huelgas

22
Técnicas de Ataque

• Inyectar Código malicioso
• Virus y Gusanos
• Se propaga furtivamente.
• Generalmente tiene
  propósitos maliciosos.
• Worm.Melissa
• Worm.I Love You

23
Técnicas de Ataque

• 2. Robo de Información
• Buscar información almacenada en el disco o en la
  memoria del computador cargándola al computador
  del atacante.
• Robo de computadores o discos
• Propósito
• Espionaje
• Adquirir software o información sin pagar
• Encontrar debilidades en el sistema
• Alteración de información tributaria

24
Técnicas de ataque

• 3. Espionaje
• Intercepción pasiva del tráfico de la red.
• Uso de software para monitorear el flujo de los
  paquetes en la red (Packet Sniffer)
• Propósito
• Capturar Login ID y passwords
• Capturar o filtrar información de contribuyentes
• Capturar e-mails o direcciones de e-mail

25
Técnicas de Ataque

• 4. Falsificación o Alteración de datos
• Alteración o borrado de datos o programas
• Propósito
• Fraude
• Malversación de fondos
  o desfalco
• Técnicas
• Caballos de Troya
• Bombas Lógicas
• (Cambio de la contabilidad)

26
Técnicas de Ataque

• 5. Suplantación Suplantar un usuario o un
  computador.
• Objetivos
• Conseguir el Login ID y el password de la cuenta
  de un usuario
• Instalar demonios y lanzar un ataque desde un
  usuario inocente
• Ocultar la identidad del atacante

27
Técnicas de Ataque

• 6. Ingeniería social El atacante deriva
  información sensitiva o útil para un ataque a
  partir del conocimiento de su víctima.
• 7. Error humano Gracias a Murphy, algo
  inevitable.
• Un buen esquema de seguridad debe poseer alguna
  tolerancia a los errores humanos.

28
Efectos de las Amenazas y los Ataques

• Interrupción de actividades
• Dificultades para toma de decisiones
• Sanciones
• Costos excesivos
• Pérdida o destrucción de activos
• Desventaja competitiva
• Insatisfacción del usuario (pérdida de imagen)

29
Agenda
30
Desafíos

• Importancia
• Garantizar
• Supervivencia de la Organización
• Confianza de
• Ciudadanos
• Entidades gubernamentales
• Prevenir y detectar riesgos informáticos

31
Actividades

• Auditoría Continua
• Aseguramiento Continuo
• Cambios en el ambiente regulatorio
• Seguridad como un requerimiento del negocio
• Benchmarking
• Indicadores
• Administración de la Información

32
CÓMO NOS DEFENDEMOS?

• Reglamentaciones y leyes
• Políticas de seguridad integral entendidas y
  aceptadas
• Administración consciente y bien calificada
• Administración de seguridad con poder suficiente
• Educación de los usuarios
• Refuerzo de la seguridad interna
• Análisis de Riesgos

33
CÓMO NOS DEFENDEMOS?

• Seguridad física
• Auditoría preventiva y proactiva
• Auditores certificados
• Auto-ataques
• Planes de Recuperación de Desastres
• Mejoramiento de los sistemas de información
• Compartir Información con otras entidades del
  estado

34
CÓMO NOS DEFENDEMOS?

• Procesos Documentados
• Auditabilidad de los procesos
• Administración de Cumplimiento
• Auditoria Continua

35
CÓMO NOS DEFENDEMOS?

• Uso de MEJORES PRACTICAS (marcos de referencia y
  de estándares Internacionales)
• CobiT (Governance, Control and Audit for
  Information and Related Technology ? Control
  Objectives for TI)
• ISO 17799
• ITIL

36
Agenda
37
PROCESOS DE NEGOCIO
Criterios

• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad

COBIT
INFORMACION
C O B I T
RECURSOS DE TI

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• personas

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
PRESTACION DE SERVICIOS Y SOPORTE
38
ISO 17799

• Primer estándar internacional dedicado a la
  Seguridad Informática
• Controles relacionados con mejores prácticas en
  seguridad de Información
• Desarrollado por la Industria para la Industria
• Aprobado como un estándar internacional ISO 17799

39
Secciones del ISO 17799

1. Políticas de Seguridad
2. Estructura Organizacional de la Seguridad
3. Clasificación y Control de Activos
4. Seguridad del Personal
5. Seguridad Física y Ambiental
6. Administración de las Operaciones y de las
   Comunicaciones
7. Controles de Acceso
8. Desarrollo y Mantenimiento de Sistemas
9. Gerencia de la Continuidad del Negocio
10. Cumplimiento con requerimientos

40
ITIL - Information Technology Infrastructure
Library

• Es un marco de trabajo (framework) para la
• Administración de Procesos de IT
• Es un standard de facto para Servicios de IT
• Fue desarrollado a fines de la década del 80
• Originalmente creado por la CCTA (una agencia
  del
• Gobierno del Reino Unido)

41
Que es ITIL?
Service Support Se orienta en asegurar que el
Usuario tenga acceso a los Servicios apropiados
para soportar las funciones de negocio.
Planning to Implement Service Management Plantea
una guía para establecer una metodología de
administración orientada a servicios.
The Business Perspective Cubre el rango de
elementos concernientes al entendimiento y mejora
en la provisión de servicios de TI como una parte
Integral de los requerimientos generales del
negocio.
ICT Infrastructure Management Cubre los aspectos
relacionados con la administración de los
elementos de la Infraestructura.
Security Management Cubre los aspectos
relacionados con la administración del
aseguramiento lógico de la información.
Service Delivery Se orienta a detectar el
Servicio que la Organización requiere del
proveedor de TI a fin de brindar el apoyo
adecuado a los clientes del negocio.
Application Management Se encarga del control y
manejo de las aplicaciones operativas y en fase
de desarrollo.
42
Agenda
43
PREGUNTAS?
44
Capítulo Colombia
www.isaca.org
lucio_molina_at_etb.net.co Bogotá, Colombia