La Seguridad de las Infraestructuras Tecnológicas para garantizar un Gobierno

Electrónico

SEMINARIO SOBRE E-GOVERMENTTRIBUNAL SUPREMO ELECTORAL

CIUDAD DE GUATEMALA, 17 DE DIC. DE 2007

Gines G. Garcés T.

Seguridad en los Sistemas Informáticos

Temario

- El Fraude Informático.

- Seguridad en el e-government.

- Responsabilidades en Internet.

- Soluciones de Seguridad para el e-government.

4

El Fraude Informático

¿Qué son los ACTIVOS INFORMATICOS ?

Es el valor de los datos que se mantienen y administran

con los equipos informáticos.

Recientemente se toma conciencia que lo mas valioso

en un sistema informático, es la información que se

encuentra almacenada en los equipos y no el costo

de los equipos y los sistemas.

El Fraude Informático

El nuevo valor de la información requiere Seguridad y esto significa mantener:

LA CONFIABILIDAD

LA DISPONIBILIDAD

LA CONTINUIDAD

de los sistemas y sus datos.

El Fraude Informático

Un Incidente de Seguridad es el acceso a un

Sistema Informático con la intención de producir

beneficio económico, fraude, dolo, etc.

Sus objetivos mas comunes son:

- Ingreso no autorizado a un Server.

- Robo de información.

- Modificación de datos.

- Uso de los recursos sin autorización.

7

El Fraude Informático

¿Por qué la mayoría de los casos de fraude

informático no se reportan?

-Publicidad negativa (Reputación)

-Falta de normas legales.

El Fraude Informático

Prevención del Fraude InformáticoPodemos considerar que un sistema informático garantiza LA

SEGURIDAD y previene EL FRAUDE cuando contempla

algunos de los siguientes factores:

FACTOR HUMANO FACTOR TECNOLÓGICO- Motivación y ética del personal. - El Sistema es confiable.

- Conciencia de las consecuencias. - Existen políticas adecuadas.

- Profesionales interdisciplinarios.

Seguridad en el e-government

- Filosofía de Internet.

- El e-government funciona sobre Internet.

- Existen grandes riesgos, que son manejables.

- Existen grandes beneficios, que son indiscutibles.

Seguridad en el e-government

Un Sistema de e-government con un nivel de seguridad

realmente efectivo y homogéneo es posible.

Exige un marcado cambio de filosofía: “En el e-government,

la seguridad es un componente básico de todo el

proceso, no es un opcional condicionado a tiempos y costos”.

Gobierno y la Internet

Los Estados y la Administración Publica nacen hace

miles de años (Grecia, Roma, etc.).

Internet nace en forma masiva hace 6 años.

El desafío, es integrar ambas historias y funcionalidades

en un conjunto armónico y EFICIENTE.

Esto representa dos culturas y dos dimensiones en

el tiempo.

Una digresión, hablemos del Estado y de Internet

Una digresión, hablemos del Estado y de Internet

Una digresión, hablemos del Estado y de Internet

Los Estados y las Administraciones disponen de:

Leyes y Normas

Jurisdiccion territorial

Personas fisicas y juridicas.

Poder ofensivo y defensivo.

Internet dispone:

Solo del cyberespacio, donde

todo es posible.

El desafío posible: la convergencia de los ambientes;

La convergencia entre:

• Gestión del Estado o de la Administración

• Funcionalidades informaticas

es el: e-government

Seguridad en el e-government

¿cuál es el potencial hoy del e-government?

-Permitir la interaccion entre la Administración

Publica, Ciudadanos y Empresas en tiempo real.

-Esto es posible mediante el uso de procesos

informáticos locales y remotos, que administran

documentos digitales y disponen de las

capacidades necesarias para autenticar

ambos extremos de la transaccion.

Funcionamiento básico del e-government

Seguridad en el e-government

Seguridad en el e-government

Vulnerabilidades en el Sistema de e-government

Sistema de

e-government

Software de

e-government

Plataforma

(Sistema Operativo)

Un intruso puede interceptar la

información que viaja en Internet.

Seguridad en el e-government

Vulnerabilidades en la transmisión de la Información

5399021201212121

¿Qué puede hacer un intruso?

- Lectura

- Modificación

- Borrado - Destrucción

- Falsificación.

INTERNET

Seguridad en el e-government

Vulnerabilidades en el Cliente

- Un Web Site Malicioso puede robar información de la

computadora del Cliente.

- Un Web Site Malicioso puede simular y fingir ser un Site

de e-government.

¿Se debe proteger a los usuarios?

SI, es condición básica de cualquier desarrollo que

el usuario este efectivamente protegido.

Seguridad en el e-government

Se registran millones de dólares anuales por fraude en

Internet , y todo hace prever que al menos los intentos de

fraude documental y de todo tipo serán de gran volumen

en el inicio del e-government

¿Qué hacer?

- Brindar información y concientizar a la gente.

- Garantizar la privacidad y confidencialidad.

- Generar confianza en los Sites de e-government.

¿ Como se protege un Sistema de

e-government ante ataques informáticos?

Tipos de ataques informáticos:

- Ataques de denegación de servicio

- Cambio de Página del Sistema.

- Fraude documental, etc.etc.

- Fraude de identidad.

- Robo de información.

- Sabotaje.

Responsabilidades en Internet

Responsabilidades en Internet

Ataques informáticos a usuarios:

- Uso indebido de la identidad.

- Uso no autorizado del equipo informático.

- Destrucción de la información.

- Robo de información.

- Denegación de Servicio.

Responsabilidades en Internet

-Los fraudes y delitos se producen en Internet y en

los sistemas que se conectan por la red. Esta

configuración es la que básicamente se utiliza en ele-government.

-Lo normal es que la Administración Publica administra

el e-government.

-La responsabilidad de Asegurar el e-government

es de quien lo administra.

Asegurar es una actividad de 24 hs. por 365 días.

Responsabilidades en Internet

¿Quién es responsable de la seguridad de Internet?

- El usuario.

- Las empresas.

- El Estado.

- El mundo.

Es una responsabilidad de TODOS

Soluciones de Seguridad para el e-government

Existen herramientas para solucionar los problemas de

Seguridad Informática.

- Diseño en un entorno asegurado.

- Firewalls.

- Sistemas de detección de intrusiones.

- Certificados digitales.

- Encriptación de las comunicaciones.

- Penetration Test periódicos.

- Actualización constante.

Diseño en un entorno asegurado

El diseño seguro de un Sistema de e-government debe

realizarse teniendo en cuenta:

- Seguridad de toda la red.

- Seguridad de la plataforma a utilizar.

- Seguridad de la aplicaciones.

Soluciones de Seguridad para el e-government

Soluciones de Seguridad para el e-government

Firewalls

Un sistema que permite cumplir con una política de acceso.

Se utiliza para proteger una red de computadoras seguras

conectada a una red insegura (Internet).

FirewallRed

Interna

INTERNET

Soluciones de Seguridad para el e-government

Sistemas de detección de intrusiones

- Son sistemas diseñados para detectar en forma continua

cuando un intruso trata de ingresar en forma no autorizada

o trata de realizar una acción “peligrosa” y/o ofensiva.

- Los IDS funcionan las 24 horas, los 365 días del año.

- Detectan intrusiones en tiempo real tomando acciones

preestablecidas.

- Disparan alarmas según procedimientos preestablecidos.

Certificados digitales

Elevan el nivel de seguridad en el Sistema de e-government,

ya que el Usuario sabe que opera en un Site seguro.

Permiten autenticar personas y equipos informáticos.

Permiten además activar la encriptación de la información que

se transmite.

Soluciones de Seguridad para el e-government

Encriptación de las comunicaciones

Las comunicaciones que se transmiten entre los Sistemas

Informáticos se deben encriptar con algoritmos fuertes cuando

los datos viajan por redes públicas no seguras.

El protocolo de encriptación más utilizando en Internet es el

SSL, que es muy fuerte y se encuentra presente en la mayoría

de los Browsers.

Soluciones de Seguridad para el e-government

Penetration Test periódicos

Se trata de emular y simular comportamientos y técnicas que

son utilizadas por intrusos para producir incidentes de

seguridad,

Esta metodología es muy eficiente para analizar el nivel de

seguridad real y el grado de exposición al riesgo, de los

sistemas de e-government ante posibles ataques y/o incidentes.

Permite detectar vulnerabilidades en sistemas tales como el

e-government y corregirlas en forma muy rápida y eficaz.

Soluciones de Seguridad para el e-government

Actualización constante

Actualización diaria de los Sistemas con respecto a nuevas

vulnerabilidades.

Capacitación de los Administradores de Seguridad.

Entrenamiento sobre el manejo de intrusiones y/o ataques

informáticos.

Soluciones de Seguridad para el e-government

Conclusiones

- Operar en e-government sin seguridad, será una

irresponsabilidad, que llegará a ser sancionada por las

normas que sean de aplicación, pero la sanción mas

dura será la de los propios usuarios de la sociedad

- Los incidentes de seguridad, dejarán de ser un

problema técnico, serán un problema que afectará a

las Administraciones que lo utilicen y a sus niveles de

Dirección, ya que directamente significarán perder

confiabilidad y también perder activos valiosos.

Pero la pregunta es:

El e-government es posible?

La base conceptual

Los sistemas de e-government técnicamente son una

realidad, y las ventajas comprobables que

aportan superan cualquier valuación en contra.

Al estado de la tecnología, el e-government puede

considerarse que es una deuda de los

Gobiernos y Administraciones con la Sociedad.

La repuesta es: SI es posible

Preguntas y

respuestas

Gracias por su fina

atención

Expositor: Gines G. Garcés T.