la seguridad de las infraestructuras tecnológicas para ... · - robo de información. ... una...
TRANSCRIPT
La Seguridad de las Infraestructuras Tecnológicas para garantizar un Gobierno
Electrónico
SEMINARIO SOBRE E-GOVERMENTTRIBUNAL SUPREMO ELECTORAL
CIUDAD DE GUATEMALA, 17 DE DIC. DE 2007
Gines G. Garcés T.
Seguridad en los Sistemas Informáticos
Temario
- El Fraude Informático.
- Seguridad en el e-government.
- Responsabilidades en Internet.
- Soluciones de Seguridad para el e-government.
4
El Fraude Informático
¿Qué son los ACTIVOS INFORMATICOS ?
Es el valor de los datos que se mantienen y administran
con los equipos informáticos.
Recientemente se toma conciencia que lo mas valioso
en un sistema informático, es la información que se
encuentra almacenada en los equipos y no el costo
de los equipos y los sistemas.
El Fraude Informático
El nuevo valor de la información requiere Seguridad y esto significa mantener:
LA CONFIABILIDAD
LA DISPONIBILIDAD
LA CONTINUIDAD
de los sistemas y sus datos.
El Fraude Informático
Un Incidente de Seguridad es el acceso a un
Sistema Informático con la intención de producir
beneficio económico, fraude, dolo, etc.
Sus objetivos mas comunes son:
- Ingreso no autorizado a un Server.
- Robo de información.
- Modificación de datos.
- Uso de los recursos sin autorización.
7
El Fraude Informático
¿Por qué la mayoría de los casos de fraude
informático no se reportan?
-Publicidad negativa (Reputación)
-Falta de normas legales.
El Fraude Informático
Prevención del Fraude InformáticoPodemos considerar que un sistema informático garantiza LA
SEGURIDAD y previene EL FRAUDE cuando contempla
algunos de los siguientes factores:
FACTOR HUMANO FACTOR TECNOLÓGICO- Motivación y ética del personal. - El Sistema es confiable.
- Conciencia de las consecuencias. - Existen políticas adecuadas.
- Profesionales interdisciplinarios.
Seguridad en el e-government
- Filosofía de Internet.
- El e-government funciona sobre Internet.
- Existen grandes riesgos, que son manejables.
- Existen grandes beneficios, que son indiscutibles.
Seguridad en el e-government
Un Sistema de e-government con un nivel de seguridad
realmente efectivo y homogéneo es posible.
Exige un marcado cambio de filosofía: “En el e-government,
la seguridad es un componente básico de todo el
proceso, no es un opcional condicionado a tiempos y costos”.
Gobierno y la Internet
Los Estados y la Administración Publica nacen hace
miles de años (Grecia, Roma, etc.).
Internet nace en forma masiva hace 6 años.
El desafío, es integrar ambas historias y funcionalidades
en un conjunto armónico y EFICIENTE.
Esto representa dos culturas y dos dimensiones en
el tiempo.
Una digresión, hablemos del Estado y de Internet
Los Estados y las Administraciones disponen de:
Leyes y Normas
Jurisdiccion territorial
Personas fisicas y juridicas.
Poder ofensivo y defensivo.
Internet dispone:
Solo del cyberespacio, donde
todo es posible.
El desafío posible: la convergencia de los ambientes;
La convergencia entre:
• Gestión del Estado o de la Administración
• Funcionalidades informaticas
es el: e-government
Seguridad en el e-government
¿cuál es el potencial hoy del e-government?
-Permitir la interaccion entre la Administración
Publica, Ciudadanos y Empresas en tiempo real.
-Esto es posible mediante el uso de procesos
informáticos locales y remotos, que administran
documentos digitales y disponen de las
capacidades necesarias para autenticar
ambos extremos de la transaccion.
Seguridad en el e-government
Vulnerabilidades en el Sistema de e-government
Sistema de
e-government
Software de
e-government
Plataforma
(Sistema Operativo)
Un intruso puede interceptar la
información que viaja en Internet.
Seguridad en el e-government
Vulnerabilidades en la transmisión de la Información
5399021201212121
¿Qué puede hacer un intruso?
- Lectura
- Modificación
- Borrado - Destrucción
- Falsificación.
INTERNET
Seguridad en el e-government
Vulnerabilidades en el Cliente
- Un Web Site Malicioso puede robar información de la
computadora del Cliente.
- Un Web Site Malicioso puede simular y fingir ser un Site
de e-government.
¿Se debe proteger a los usuarios?
SI, es condición básica de cualquier desarrollo que
el usuario este efectivamente protegido.
Seguridad en el e-government
Se registran millones de dólares anuales por fraude en
Internet , y todo hace prever que al menos los intentos de
fraude documental y de todo tipo serán de gran volumen
en el inicio del e-government
¿Qué hacer?
- Brindar información y concientizar a la gente.
- Garantizar la privacidad y confidencialidad.
- Generar confianza en los Sites de e-government.
¿ Como se protege un Sistema de
e-government ante ataques informáticos?
Tipos de ataques informáticos:
- Ataques de denegación de servicio
- Cambio de Página del Sistema.
- Fraude documental, etc.etc.
- Fraude de identidad.
- Robo de información.
- Sabotaje.
Responsabilidades en Internet
Responsabilidades en Internet
Ataques informáticos a usuarios:
- Uso indebido de la identidad.
- Uso no autorizado del equipo informático.
- Destrucción de la información.
- Robo de información.
- Denegación de Servicio.
Responsabilidades en Internet
-Los fraudes y delitos se producen en Internet y en
los sistemas que se conectan por la red. Esta
configuración es la que básicamente se utiliza en ele-government.
-Lo normal es que la Administración Publica administra
el e-government.
-La responsabilidad de Asegurar el e-government
es de quien lo administra.
Asegurar es una actividad de 24 hs. por 365 días.
Responsabilidades en Internet
¿Quién es responsable de la seguridad de Internet?
- El usuario.
- Las empresas.
- El Estado.
- El mundo.
Es una responsabilidad de TODOS
Soluciones de Seguridad para el e-government
Existen herramientas para solucionar los problemas de
Seguridad Informática.
- Diseño en un entorno asegurado.
- Firewalls.
- Sistemas de detección de intrusiones.
- Certificados digitales.
- Encriptación de las comunicaciones.
- Penetration Test periódicos.
- Actualización constante.
Diseño en un entorno asegurado
El diseño seguro de un Sistema de e-government debe
realizarse teniendo en cuenta:
- Seguridad de toda la red.
- Seguridad de la plataforma a utilizar.
- Seguridad de la aplicaciones.
Soluciones de Seguridad para el e-government
Soluciones de Seguridad para el e-government
Firewalls
Un sistema que permite cumplir con una política de acceso.
Se utiliza para proteger una red de computadoras seguras
conectada a una red insegura (Internet).
FirewallRed
Interna
INTERNET
Soluciones de Seguridad para el e-government
Sistemas de detección de intrusiones
- Son sistemas diseñados para detectar en forma continua
cuando un intruso trata de ingresar en forma no autorizada
o trata de realizar una acción “peligrosa” y/o ofensiva.
- Los IDS funcionan las 24 horas, los 365 días del año.
- Detectan intrusiones en tiempo real tomando acciones
preestablecidas.
- Disparan alarmas según procedimientos preestablecidos.
Certificados digitales
Elevan el nivel de seguridad en el Sistema de e-government,
ya que el Usuario sabe que opera en un Site seguro.
Permiten autenticar personas y equipos informáticos.
Permiten además activar la encriptación de la información que
se transmite.
Soluciones de Seguridad para el e-government
Encriptación de las comunicaciones
Las comunicaciones que se transmiten entre los Sistemas
Informáticos se deben encriptar con algoritmos fuertes cuando
los datos viajan por redes públicas no seguras.
El protocolo de encriptación más utilizando en Internet es el
SSL, que es muy fuerte y se encuentra presente en la mayoría
de los Browsers.
Soluciones de Seguridad para el e-government
Penetration Test periódicos
Se trata de emular y simular comportamientos y técnicas que
son utilizadas por intrusos para producir incidentes de
seguridad,
Esta metodología es muy eficiente para analizar el nivel de
seguridad real y el grado de exposición al riesgo, de los
sistemas de e-government ante posibles ataques y/o incidentes.
Permite detectar vulnerabilidades en sistemas tales como el
e-government y corregirlas en forma muy rápida y eficaz.
Soluciones de Seguridad para el e-government
Actualización constante
Actualización diaria de los Sistemas con respecto a nuevas
vulnerabilidades.
Capacitación de los Administradores de Seguridad.
Entrenamiento sobre el manejo de intrusiones y/o ataques
informáticos.
Soluciones de Seguridad para el e-government
Conclusiones
- Operar en e-government sin seguridad, será una
irresponsabilidad, que llegará a ser sancionada por las
normas que sean de aplicación, pero la sanción mas
dura será la de los propios usuarios de la sociedad
- Los incidentes de seguridad, dejarán de ser un
problema técnico, serán un problema que afectará a
las Administraciones que lo utilicen y a sus niveles de
Dirección, ya que directamente significarán perder
confiabilidad y también perder activos valiosos.
Pero la pregunta es:
El e-government es posible?
La base conceptual
Los sistemas de e-government técnicamente son una
realidad, y las ventajas comprobables que
aportan superan cualquier valuación en contra.
Al estado de la tecnología, el e-government puede
considerarse que es una deuda de los
Gobiernos y Administraciones con la Sociedad.
La repuesta es: SI es posible