capítulo colombia

Derechos reservados Lucio Molina Focazzio 1

La seguridad en los sistemas de información de las entidades

públicas y los desafíos para las entidades de control fiscal

Capítulo Colombia

Lucio Augusto Molina Focazzio, CISALucio Augusto Molina Focazzio, CISA

Vicepresidente Internacional de ISACA

Consultor en Auditoria de Sistemas y Seguridad Informatica


Agenda

Uso de Mejores PrácticasUso de Mejores Prácticas

Seguridad InformáticaSeguridad Informática

DesafíosDesafíos

ConclusionesConclusiones

La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy


Agenda



NOTICIAS• Hackers sustraen us$10.000.000 del

Citibank

• Hackers roban información de 15,700 clientes del Western Union, mientras su Web site estaba desprotegido por labores de mantenimiento.


MAYORES DESASTRES

FECHA INCIDENTE SITIO

2001 Terrorismo World Trade Center 1999 Terremoto Colombia 1998 Huracán Honduras 1995 Bomba Oklahoma, USA 1995 Terremoto Kobe, Japón 1993 Bomba World Trade Center USA 1993 Incendio Los Angeles, USA 1992 Acc.Aéreo New York USA


a b c d e f g h i j

2004 2003 2002 2001a) Virusb) Abuso de Internetc) Robo de portátiles / móvilesd) Acceso no autorizado a la

informacióne) Penetración del sistemaf) Negación del serviciog) Robo de información

propietariah) Sabotajei) Fraude financieroj) Fraude con

telecomunicaciones

Fuente:CSI/FBI Computer Crime and Security Survey

TIPOS DE ATAQUES (%)


PROBANDO LA VULNERABILDAD DE UNA RED

Sophistication of Hacker Tools

Packet Forging/ Spoofing

Technical Knowledge Required

2000

Packet Forging/ Spoofing

Denial of Service

19901980

Password Guessing

Self Replicating Code

Password Cracking

Exploiting Known Vulnerabilities

Disabling Audits

Back Doors

Hijacking Sessions

Sweepers

Sniffers

Stealth Diagnostics

High

Low

DDOS

Hacking gets easier and easier

Evolución


Agenda


Seguridad Informática Seguridad Informática


Aspectos Generales

• Los controles son considerados esenciales para una Organización desde el punto de vista legislativo: – Protección de datos y privacidad de la

información – Salvaguarda de los registros organizacionales– Derechos de propiedad Intelectual

• Auditoría y Cumplimiento


QUÉ ES SEGURIDAD

Evitar el ingreso de personal no autorizadoSobrevivir aunque “algo” ocurraCumplir con las leyes y reglamentaciones

gubernamentales y de los entes de control del Estado

Adherirse a los acuerdos de licenciamiento de software

Prevención, Detección y Respuesta contra acciones no autorizadas


QUÉ DEBE SER PROTEGIDO?

• Sus DatosConfidencialidad – Quiénes deben conocer qué

Integridad – Quiénes deben cambiar qué

Disponibilidad - Habilidad para utilizar sus sistemas

• Sus Recursos Su organización y sus sistemas


QUÉ DEBE SER PROTEGIDO?

• Su Reputación Revelación de información confidencial Realización de fraudes informáticos No poder superar un desastre Utilización de software ilegal

Derechos reservados Lucio Molina Focazzio

Fraude por ComputadorUtilizar un computador para obtener beneficio

personal o causar daño a los demás.• Dada la proliferación de las redes y del personal

con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas.

• Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada.

Derechos reservados Lucio Molina Focazzio

Falta de Estadísticas de Fraudes por Computador

Estadísticas no disponibles y la mayoría de pérdidas desconocidas.

Razones por las cuales no hay estadísticas:1. La compañías prefieren manejar directamente los

fraudes detectados para evitar vergüenzas y publicidad adversa

2. Las encuestas sobre abusos con computadores son frecuentemente ambiguas dificultando la interpretación de los datos

3. La mayoría de los fraudes por computador probablemente no se descubren.


¿De Quién nos Defendemos?

• Gente de adentro: Empleados o personas allegadas.

• Anti gobernistas: Razones obvias para justificar un ataque.

• Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto.


De qué nos defendemos?

• Fraude• Extorsión• Robo de Información• Robo de servicios• Actos terroristas• Reto de penetrar un sistema• Deterioro


De qué nos defendemos?

• Desastres Naturales

– Terremotos

– Inundaciones

– Huracanes

– Incendios


De qué nos defendemos?• Tecnología

– Fallas en procedimientos– Fallas en el software

aplicativo– Fallas en el software

Operativo– Fallas en el hardware– Fallas en los equipos de

soporte– Paros, huelgas


Técnicas de Ataque

1. Inyectar Código malicioso:• Virus y Gusanos

• Se propaga furtivamente.• Generalmente tiene

propósitos maliciosos.– Worm.Melissa– Worm.I Love You


Técnicas de Ataque

2. Robo de Información Buscar información almacenada en el disco o en la

memoria del computador cargándola al computador del atacante.

Robo de computadores o discos Propósito:

• Espionaje• Adquirir software o información sin pagar• Encontrar debilidades en el sistema

Alteración de información tributaria


Técnicas de ataque3. Espionaje

Intercepción pasiva del tráfico de la red. Uso de software para monitorear el flujo de los

paquetes en la red (Packet Sniffer)Propósito:– Capturar Login ID y passwords– Capturar o filtrar información de

contribuyentes– Capturar e-mails o direcciones de e-mail


Técnicas de Ataque4. Falsificación o Alteración de datos

Alteración o borrado de datos o programasPropósito– Fraude– Malversación de fondos

o desfalco– Técnicas

– Caballos de Troya– Bombas Lógicas

(Cambio de la contabilidad)


Técnicas de Ataque

5. Suplantación: Suplantar un usuario o un computador.Objetivos:– Conseguir el Login ID y el password de la cuenta

de un usuario– Instalar demonios y lanzar un ataque desde un

usuario inocente– Ocultar la identidad del atacante


Técnicas de Ataque6. Ingeniería social: El atacante deriva

información sensitiva o útil para un ataque a partir del conocimiento de su víctima.

7. Error humano: Gracias a Murphy, algo inevitable. Un buen esquema de seguridad debe poseer

alguna tolerancia a los errores humanos.


Efectos de las Amenazas y los Ataques

• Interrupción de actividades• Dificultades para toma de decisiones• Sanciones• Costos excesivos• Pérdida o destrucción de activos• Desventaja competitiva• Insatisfacción del usuario (pérdida de imagen)


Agenda


DesafíosDesafíos



Desafíos

• Importancia– Garantizar Supervivencia de la Organización

• Confianza de:CiudadanosEntidades gubernamentales

• Prevenir y detectar riesgos informáticos


Actividades

• Auditoría Continua

• Aseguramiento Continuo

• Cambios en el ambiente regulatorio

• Seguridad como un requerimiento del negocio

• Benchmarking

• Indicadores

• Administración de la Información


¿CÓMO NOS DEFENDEMOS?

• Reglamentaciones y leyes• Políticas de seguridad integral entendidas y

aceptadas• Administración consciente y bien calificada• Administración de seguridad con poder suficiente• Educación de los usuarios• Refuerzo de la seguridad interna• Análisis de Riesgos



• Seguridad física• Auditoría preventiva y proactiva• Auditores certificados• Auto-ataques• Planes de Recuperación de Desastres• Mejoramiento de los sistemas de información• Compartir Información con otras entidades del

estado



• Procesos Documentados

• Auditabilidad de los procesos

• Administración de Cumplimiento

• Auditoria Continua



• Uso de MEJORES PRACTICAS (marcos de referencia y de estándares Internacionales)– CobiT (Governance, Control and Audit for

Information and Related Technology Control Objectives for TI)

– ISO 17799– ITIL


Agenda



DesafíosDesafíos



PROCESOS DE NEGOCIOPROCESOS

DE NEGOCIO

INFORMACIONINFORMACION

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

Criterios

COBITCOBIT

RECURSOSDE TI

RECURSOSDE TI

• datos• sistemas de aplicación• tecnología• instalaciones• personas

• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y

ORGANIZACIONPLANEACON Y ORGANIZACION

ADQUISICION EIMPLEMENTACION

ADQUISICION EIMPLEMENTACION

PRESTACION DE SERVICIOS Y

SOPORTE

PRESTACION DE SERVICIOS Y

SOPORTE

MONITOREOMONITOREO

CC

OO

BB

II

TT


ISO 17799

• Primer estándar internacional dedicado a la Seguridad

Informática

• Controles relacionados con mejores prácticas en

seguridad de Información

• Desarrollado por la Industria para la Industria

• Aprobado como un estándar internacional ISO 17799


Secciones del ISO 17799

1. Políticas de Seguridad2. Estructura Organizacional de la Seguridad3. Clasificación y Control de Activos4. Seguridad del Personal5. Seguridad Física y Ambiental6. Administración de las Operaciones y de las

Comunicaciones7. Controles de Acceso 8. Desarrollo y Mantenimiento de Sistemas9. Gerencia de la Continuidad del Negocio10. Cumplimiento con requerimientos


ITIL - Information Technology Infrastructure

Library Es un marco de trabajo (framework) para la

Administración de Procesos de IT

Es un standard de facto para Servicios de IT

Fue desarrollado a fines de la década del 80

Originalmente creado por la CCTA (una agencia del

Gobierno del Reino Unido)


ICT Infrastructure ICT Infrastructure ManagementManagementCubre los aspectos relacionados con la administración de los elementos de la Infraestructura.

Service DeliveryService DeliverySe orienta a detectar el Servicio que la Organización requiere del proveedor de TI a fin de brindar el apoyo adecuado a los clientes del negocio.

Service SupportService SupportSe orienta en asegurar que el Usuario tenga acceso a los Servicios apropiados para soportar las funciones de negocio.

The Business The Business PerspectivePerspectiveCubre el rango de elementos concernientes al entendimiento y mejora en la provisión de servicios de TI como una parte Integral de los requerimientos generales del negocio.

Application ManagementApplication ManagementSe encarga del control y manejo de las aplicaciones operativas y en fase de desarrollo.

Planning to Implement Service ManagementPlanning to Implement Service ManagementPlantea una guía para establecer una metodología de administración orientada a servicios.

Security Security ManagementManagementCubre los aspectos relacionados con la administración del aseguramiento lógico de la información.

Que es ITIL?


Agenda



DesafíosDesafíos

ConclusionesConclusiones



PREGUNTAS?


[email protected]á, Colombia

Capítulo Colombia

www.isaca.orgwww.isaca.org

capítulo colombia

Documents