Upload
ross-osborn
View
19
Download
0
Embed Size (px)
DESCRIPTION
La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de control fiscal. Capítulo Colombia. Lucio Augusto Molina Focazzio, CISA Vicepresidente Internacional de ISACA Consultor en Auditoria de Sistemas y Seguridad Informatica. - PowerPoint PPT Presentation
Citation preview
Derechos reservados Lucio Molina Focazzio 1
La seguridad en los sistemas de información de las entidades
públicas y los desafíos para las entidades de control fiscal
Capítulo Colombia
Lucio Augusto Molina Focazzio, CISALucio Augusto Molina Focazzio, CISA
Vicepresidente Internacional de ISACA
Consultor en Auditoria de Sistemas y Seguridad Informatica
Derechos reservados Lucio Molina Focazzio 2
Agenda
Uso de Mejores PrácticasUso de Mejores Prácticas
Seguridad InformáticaSeguridad Informática
DesafíosDesafíos
ConclusionesConclusiones
La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio 3
Agenda
La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio 4
NOTICIAS• Hackers sustraen us$10.000.000 del
Citibank
• Hackers roban información de 15,700 clientes del Western Union, mientras su Web site estaba desprotegido por labores de mantenimiento.
Derechos reservados Lucio Molina Focazzio 5
MAYORES DESASTRES
FECHA INCIDENTE SITIO
2001 Terrorismo World Trade Center 1999 Terremoto Colombia 1998 Huracán Honduras 1995 Bomba Oklahoma, USA 1995 Terremoto Kobe, Japón 1993 Bomba World Trade Center USA 1993 Incendio Los Angeles, USA 1992 Acc.Aéreo New York USA
Derechos reservados Lucio Molina Focazzio 6
Derechos reservados Lucio Molina Focazzio 7
a b c d e f g h i j
2004 2003 2002 2001a) Virusb) Abuso de Internetc) Robo de portátiles / móvilesd) Acceso no autorizado a la
informacióne) Penetración del sistemaf) Negación del serviciog) Robo de información
propietariah) Sabotajei) Fraude financieroj) Fraude con
telecomunicaciones
Fuente:CSI/FBI Computer Crime and Security Survey
TIPOS DE ATAQUES (%)
Derechos reservados Lucio Molina Focazzio 8
PROBANDO LA VULNERABILDAD DE UNA RED
Sophistication of Hacker Tools
Packet Forging/ Spoofing
Technical Knowledge Required
2000
Packet Forging/ Spoofing
Denial of Service
19901980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers
Stealth Diagnostics
High
Low
DDOS
Hacking gets easier and easier
Evolución
Derechos reservados Lucio Molina Focazzio 9
Derechos reservados Lucio Molina Focazzio 10
Derechos reservados Lucio Molina Focazzio 11
Agenda
La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy
Seguridad Informática Seguridad Informática
Derechos reservados Lucio Molina Focazzio 12
Aspectos Generales
• Los controles son considerados esenciales para una Organización desde el punto de vista legislativo: – Protección de datos y privacidad de la
información – Salvaguarda de los registros organizacionales– Derechos de propiedad Intelectual
• Auditoría y Cumplimiento
Derechos reservados Lucio Molina Focazzio 13
QUÉ ES SEGURIDAD
Evitar el ingreso de personal no autorizadoSobrevivir aunque “algo” ocurraCumplir con las leyes y reglamentaciones
gubernamentales y de los entes de control del Estado
Adherirse a los acuerdos de licenciamiento de software
Prevención, Detección y Respuesta contra acciones no autorizadas
Derechos reservados Lucio Molina Focazzio 14
QUÉ DEBE SER PROTEGIDO?
• Sus DatosConfidencialidad – Quiénes deben conocer qué
Integridad – Quiénes deben cambiar qué
Disponibilidad - Habilidad para utilizar sus sistemas
• Sus Recursos Su organización y sus sistemas
Derechos reservados Lucio Molina Focazzio 15
QUÉ DEBE SER PROTEGIDO?
• Su Reputación Revelación de información confidencial Realización de fraudes informáticos No poder superar un desastre Utilización de software ilegal
Derechos reservados Lucio Molina Focazzio
Fraude por ComputadorUtilizar un computador para obtener beneficio
personal o causar daño a los demás.• Dada la proliferación de las redes y del personal
con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas.
• Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada.
Derechos reservados Lucio Molina Focazzio
Falta de Estadísticas de Fraudes por Computador
Estadísticas no disponibles y la mayoría de pérdidas desconocidas.
Razones por las cuales no hay estadísticas:1. La compañías prefieren manejar directamente los
fraudes detectados para evitar vergüenzas y publicidad adversa
2. Las encuestas sobre abusos con computadores son frecuentemente ambiguas dificultando la interpretación de los datos
3. La mayoría de los fraudes por computador probablemente no se descubren.
Derechos reservados Lucio Molina Focazzio 18
¿De Quién nos Defendemos?
• Gente de adentro: Empleados o personas allegadas.
• Anti gobernistas: Razones obvias para justificar un ataque.
• Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto.
Derechos reservados Lucio Molina Focazzio 19
De qué nos defendemos?
• Fraude• Extorsión• Robo de Información• Robo de servicios• Actos terroristas• Reto de penetrar un sistema• Deterioro
Derechos reservados Lucio Molina Focazzio 20
De qué nos defendemos?
• Desastres Naturales
– Terremotos
– Inundaciones
– Huracanes
– Incendios
Derechos reservados Lucio Molina Focazzio 21
De qué nos defendemos?• Tecnología
– Fallas en procedimientos– Fallas en el software
aplicativo– Fallas en el software
Operativo– Fallas en el hardware– Fallas en los equipos de
soporte– Paros, huelgas
Derechos reservados Lucio Molina Focazzio 22
Técnicas de Ataque
1. Inyectar Código malicioso:• Virus y Gusanos
• Se propaga furtivamente.• Generalmente tiene
propósitos maliciosos.– Worm.Melissa– Worm.I Love You
Derechos reservados Lucio Molina Focazzio 23
Técnicas de Ataque
2. Robo de Información Buscar información almacenada en el disco o en la
memoria del computador cargándola al computador del atacante.
Robo de computadores o discos Propósito:
• Espionaje• Adquirir software o información sin pagar• Encontrar debilidades en el sistema
Alteración de información tributaria
Derechos reservados Lucio Molina Focazzio 24
Técnicas de ataque3. Espionaje
Intercepción pasiva del tráfico de la red. Uso de software para monitorear el flujo de los
paquetes en la red (Packet Sniffer)Propósito:– Capturar Login ID y passwords– Capturar o filtrar información de
contribuyentes– Capturar e-mails o direcciones de e-mail
Derechos reservados Lucio Molina Focazzio 25
Técnicas de Ataque4. Falsificación o Alteración de datos
Alteración o borrado de datos o programasPropósito– Fraude– Malversación de fondos
o desfalco– Técnicas
– Caballos de Troya– Bombas Lógicas
(Cambio de la contabilidad)
Derechos reservados Lucio Molina Focazzio 26
Técnicas de Ataque
5. Suplantación: Suplantar un usuario o un computador.Objetivos:– Conseguir el Login ID y el password de la cuenta
de un usuario– Instalar demonios y lanzar un ataque desde un
usuario inocente– Ocultar la identidad del atacante
Derechos reservados Lucio Molina Focazzio 27
Técnicas de Ataque6. Ingeniería social: El atacante deriva
información sensitiva o útil para un ataque a partir del conocimiento de su víctima.
7. Error humano: Gracias a Murphy, algo inevitable. Un buen esquema de seguridad debe poseer
alguna tolerancia a los errores humanos.
Derechos reservados Lucio Molina Focazzio 28
Efectos de las Amenazas y los Ataques
• Interrupción de actividades• Dificultades para toma de decisiones• Sanciones• Costos excesivos• Pérdida o destrucción de activos• Desventaja competitiva• Insatisfacción del usuario (pérdida de imagen)
Derechos reservados Lucio Molina Focazzio 29
Agenda
Seguridad InformáticaSeguridad Informática
DesafíosDesafíos
La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio 30
Desafíos
• Importancia– Garantizar Supervivencia de la Organización
• Confianza de:CiudadanosEntidades gubernamentales
• Prevenir y detectar riesgos informáticos
Derechos reservados Lucio Molina Focazzio 31
Actividades
• Auditoría Continua
• Aseguramiento Continuo
• Cambios en el ambiente regulatorio
• Seguridad como un requerimiento del negocio
• Benchmarking
• Indicadores
• Administración de la Información
Derechos reservados Lucio Molina Focazzio 32
¿CÓMO NOS DEFENDEMOS?
• Reglamentaciones y leyes• Políticas de seguridad integral entendidas y
aceptadas• Administración consciente y bien calificada• Administración de seguridad con poder suficiente• Educación de los usuarios• Refuerzo de la seguridad interna• Análisis de Riesgos
Derechos reservados Lucio Molina Focazzio 33
¿CÓMO NOS DEFENDEMOS?
• Seguridad física• Auditoría preventiva y proactiva• Auditores certificados• Auto-ataques• Planes de Recuperación de Desastres• Mejoramiento de los sistemas de información• Compartir Información con otras entidades del
estado
Derechos reservados Lucio Molina Focazzio 34
¿CÓMO NOS DEFENDEMOS?
• Procesos Documentados
• Auditabilidad de los procesos
• Administración de Cumplimiento
• Auditoria Continua
Derechos reservados Lucio Molina Focazzio 35
¿CÓMO NOS DEFENDEMOS?
• Uso de MEJORES PRACTICAS (marcos de referencia y de estándares Internacionales)– CobiT (Governance, Control and Audit for
Information and Related Technology Control Objectives for TI)
– ISO 17799– ITIL
Derechos reservados Lucio Molina Focazzio 36
Agenda
Uso de Mejores PrácticasUso de Mejores Prácticas
Seguridad InformáticaSeguridad Informática
DesafíosDesafíos
La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio 37
PROCESOS DE NEGOCIOPROCESOS
DE NEGOCIO
INFORMACIONINFORMACION
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
Criterios
COBITCOBIT
RECURSOSDE TI
RECURSOSDE TI
• datos• sistemas de aplicación• tecnología• instalaciones• personas
• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y
ORGANIZACIONPLANEACON Y ORGANIZACION
ADQUISICION EIMPLEMENTACION
ADQUISICION EIMPLEMENTACION
PRESTACION DE SERVICIOS Y
SOPORTE
PRESTACION DE SERVICIOS Y
SOPORTE
MONITOREOMONITOREO
CC
OO
BB
II
TT
Derechos reservados Lucio Molina Focazzio 38
ISO 17799
• Primer estándar internacional dedicado a la Seguridad
Informática
• Controles relacionados con mejores prácticas en
seguridad de Información
• Desarrollado por la Industria para la Industria
• Aprobado como un estándar internacional ISO 17799
Derechos reservados Lucio Molina Focazzio 39
Secciones del ISO 17799
1. Políticas de Seguridad2. Estructura Organizacional de la Seguridad3. Clasificación y Control de Activos4. Seguridad del Personal5. Seguridad Física y Ambiental6. Administración de las Operaciones y de las
Comunicaciones7. Controles de Acceso 8. Desarrollo y Mantenimiento de Sistemas9. Gerencia de la Continuidad del Negocio10. Cumplimiento con requerimientos
Derechos reservados Lucio Molina Focazzio 40
ITIL - Information Technology Infrastructure
Library Es un marco de trabajo (framework) para la
Administración de Procesos de IT
Es un standard de facto para Servicios de IT
Fue desarrollado a fines de la década del 80
Originalmente creado por la CCTA (una agencia del
Gobierno del Reino Unido)
Derechos reservados Lucio Molina Focazzio 41
ICT Infrastructure ICT Infrastructure ManagementManagementCubre los aspectos relacionados con la administración de los elementos de la Infraestructura.
Service DeliveryService DeliverySe orienta a detectar el Servicio que la Organización requiere del proveedor de TI a fin de brindar el apoyo adecuado a los clientes del negocio.
Service SupportService SupportSe orienta en asegurar que el Usuario tenga acceso a los Servicios apropiados para soportar las funciones de negocio.
The Business The Business PerspectivePerspectiveCubre el rango de elementos concernientes al entendimiento y mejora en la provisión de servicios de TI como una parte Integral de los requerimientos generales del negocio.
Application ManagementApplication ManagementSe encarga del control y manejo de las aplicaciones operativas y en fase de desarrollo.
Planning to Implement Service ManagementPlanning to Implement Service ManagementPlantea una guía para establecer una metodología de administración orientada a servicios.
Security Security ManagementManagementCubre los aspectos relacionados con la administración del aseguramiento lógico de la información.
Que es ITIL?
Derechos reservados Lucio Molina Focazzio 42
Agenda
Uso de Mejores PrácticasUso de Mejores Prácticas
Seguridad InformáticaSeguridad Informática
DesafíosDesafíos
ConclusionesConclusiones
La Seguridad en el Mundo de HoyLa Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio 43
PREGUNTAS?
Derechos reservados Lucio Molina Focazzio 44
[email protected]á, Colombia
Capítulo Colombia
www.isaca.orgwww.isaca.org