Delitos informáticos en el sector
financiero
Armando Carvajal
Gerente Consultoría - globalteksecurity
Master en seguridad informática Universidad Oberta de Catalunya
Especialista en construcción de software para redes - Uniandes
Ing. Sistemas – Universidad Incca de Colombia
Antecedentes
¿QUÉ ES EL RIESGO?
• Es la Incertidumbre sobre la ocurrencia de un evento
que afecte el logro de los objetivos de la organización
mediante el siniestro de activos
• Amenazas?
• Vulnerabilidades?
• Impacto?
EL RIESGO OPERACIONAL
Es la posibilidad de incurrir en pérdidas por deficiencias,
fallas o inadecuaciones, en el recurso humano, los
procesos, la Tecnología, la infraestructura o por la
ocurrencia de acontecimientos externos
EL RIESGO DE LAVADO DE ACTIVOS Y
FINANCIACIÓN DEL TERRORISMO
Es la posibilidad de pérdida o daño que puede sufrir una
entidad vigilada por su propensión a ser utilizada
directamente o a través de sus operaciones como
instrumento para el lavado de activos y/o canalización
de recursos hacia la realización de actividades
terroristas, o cuando se pretenda el ocultamiento de
activos provenientes de dichas actividades
Mapa mundial - Riesgo operativo
Circulares Superfinanciera
La Circular Externa 041 de 2007, aprobó
la implementación del Sistema de
Administración de Riesgo Operativo
Circulares Superfinanciera
La Circular Externa 052 de 2007, trata
sobre los requerimientos mínimos de
seguridad y calidad en el manejo de
información a través de medios y canales
de distribución de productos y servicios
para clientes y usuarios
Administración del riesgo - Estrategia Reactiva
Las estrategias de riesgo reactivas se
han
denominado
humorísticamente
"Escuela de gestión del riesgo de Indiana
Jones“
En las películas, Indiana Jones, cuando
se
enfrentaba
a
una
dificultad
insuperable, siempre decía "¡No te
preocupes, pensaré en algo!".
Nunca se preocupaba de los problemas
hasta
que
ocurrían,
entonces
reaccionaba como un héroe
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html
Administración del riesgo - Estrategia Proactiva
Retroalimentar
y Medir
Controlar
y (minimizar)
las amenazas
Se
identifican
los
riesgos
potenciales,
se
valoran
su
probabilidad y su impacto y se
establece una prioridad según su
importancia
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html
Identifique
Evalúe
La estrategia proactiva empieza
mucho antes de que comiencen los
trabajos técnicos
Identificar
riesgos y
amenazas
Mida
Una estrategia considerablemente
más inteligente para el control del
riesgo es ser proactivo
Controle
Evaluar el
impacto en A.
xxxxxx
La Información es un activo?
La información es un activo y
como cualquier otro activo que
genera valor al patrimonio, éste
es
importante
para
la
organización y por consiguiente
debe
ser
adecuadamente
protegido
Relación entre riesgos y activos
• Los riesgos son inherentes a los activos
de la organización y la única forma de
administrarlos es gestionándolos
• Se debe hacer análisis de riesgos para
hacer gestión de la seguridad de la
información
Matriz de Riesgo Consolidada
Una vez Evaluados los activos, las amenazas, la
probabilidad de ocurrencia de los riesgos y el nivel del
impacto en el sistema de información, podemos construir
esta matriz de riesgo consolidada la cual nos da las
prioridades de inversión en seguridad informática
(señalados en rojo)
Por que medir el riesgo?
"La medición es el primer paso para el control y la mejora. Si algo no se
puede medir, no se puede entender. Si no se entiende, no se puede
controlar. Si no se puede controlar, no se puede mejorar.“
H.James Harrington
Delitos Informáticos
Que es un delito?
• El delito es definido como una conducta
típica (tipificada por la ley), antijurídica
(contraria a Derecho) y culpable
• Supone una conducta infraccional del
Derecho penal, es decir, una acción u
omisión tipificada y penada por la ley
Es lo mismo crimen y delito?
• Crimen y delito son términos equivalentes:
• Su diferencia radica en que delito es
genérico y por crimen se entiende un
delito más grave o específicamente un
delito ofensivo en contra de las personas
Es un delito explorar puertos?
• Crear delitos, crímenes y castigos son
facultades soberanas de quienes están a la
cabeza de un sistema normativo
• Eso explica que en Singapur sea un delito
mascar chicle en lugares públicos y un crimen
botarlo en el piso y en Chile sea un delito fumar
marihuana incluso dentro de un espacio privado,
o en Alemania el negar el holocausto
Que es el cibercrimen?
• El alcance de este término es aún incierto,
curiosamente el término aparece en el portal
www.wikipedia.org, así: “Cybercrime is a term
used broadly to describe activity in which
computers or networks are a tool, a target, or a
place of criminal activity
• These categories are not exclusive and many
activities can be characterized as falling in one
or more categories”
Por que el cibercrimen?
• Por el desconocimiento de los riesgos e
implicaciones de la tecnología
• Porque libremente en Internet se
encuentran herramientas para explotar
vulnerabilidades, Ej.: metaesploit.org
• Las nuevas generaciones de terroristas
están creciendo en un mundo digital
Por que el cibercrimen?
• Autoridades con limitaciones graves de
presupuesto y atados a la lentitud de la ley
• La mentalidad de los criminales es la
misma respecto de delitos informáticos
• Internet es un nuevo canal para cometer
delitos
Ciberterror
• Es la convergencia entre el terrorismo y el
ciberespacio
• Son las amenazas y ataques contra la
infraestructura informática y la información
de un gobierno o empresa
• Causan daño a sistemas críticos para
buscar el pánico
Ciberterror
• No lo sentimos … pero el ciberespacio
esta bajo constante ataque
• “Por el momento el carro-bomba
representa una mayor amenaza que la
bomba lógica”. Dorothy E. Denning
Security Trends
Escenario promedio de
intrusión en un delito
informático
1: Reconnaissance: reconocim
• El intruso hace reconocimiento de la
victima mediante:
• Google, Prueba de conectividad con ping,
traceroute, dig, nslookup, enumeración de
servicios (nmap) y finalmente hace
análisis de vulnerabilidades (nessus)
2: Exploitation: (ataque)
• El intruso basado en el análisis de
vulnerabilidades busca el código que
ataca la vulnerabilidad
• El objetivo mas atacado es el servidor web
mediante exploits o encontrando errores
de validacion en formularios
• Siempre se hace desde un IP diferente al
Ip desde donde se hizo el reconocimiento
3: Reinforcement:(afianzar)
• El intruso dentro de la victima obtiene sus
programas o utilitarios de ataque usando tftp, ftp
o scp
• Borra las pistas de la penetración
• Instala un backdoor para próximas
penetraciones
• Generalmente se parcha el sistema para que
otro atacante no entre
4: Consolidation
• Usando otro IP diferente a los anteriores
• Penetra la victima por medio del backdoor ya
instalado que escucha por un puerto de tipo
servidor
• Otra opción es que un proceso en la victima
cliente IRC llama al servidor del atacante y
permite ejecutar comandos remotos
5: Pillage(pillaje)
• El intruso ejecuta la ultima parte del plan
• Generalmente roba información critica
• Ataca a otras victimas basados en el IP de
la victima anterior
• Podría hacer lo que desee con nuestro
servidor atacado
Ejemplo de delitos
informáticos
Caso Colombiano
Robo Inf.
Fishing
8
16
Fraude
Pornografía Infantil
Infor.Bien Jurídico
385
25
15
Amenazas
Propiedad Intelectual
Total 535
85
17
Segun Dijin, Fredy Bautista
Garcia, Octubre de 2007
Ejemplo de delitos
informáticos en el sector
financiero: “Phising”
http://www.elpais.com.co/paisonline/notas/Noviem
bre272007/robos.html
http://www.eltiempo.com/bogota/2007-11-30/ARTICULO-WEB-NOTA_INTERIOR-3838706.html
Continuacion…
Marco Legal de los delitos en
Colombia
Marco legal Colombiano
• Ley 527 de 1999, comercio electrónico
• Ley 599 de 2000 Código Penal - Artículos
195, 240, 247, 270,271, 272
• Ley 679 de 2000 Estatuto para
contrarrestar la Pornografía Infantil
• Ley 906 Código de Procedimiento Penal
Artículos 235,236,275
Marco legal Colombiano
• Faltan mas normas y leyes para tratar los
delitos informáticos
• La falta de legislación nos lleva a que la
conducta punible no sea castigada
• Estamos evolucionando en 2007 leyes
penales se modifican
Educar y concientizar a los usuarios
• Colombia necesita un marco jurídico
robusto
• Capacitar al personal técnico en seguridad
informática
• Crear grupos elite de investigación
forense en las organizaciones
• Seguir estándares 17799:2005
(27002:2005), 27001, Cobit
Reflexiones
Reflexiones (1/3)
• Si software maligno se robara la base de datos
de las tarjetas de credito con sus claves cuanto
perderia la organizacion?
• Se cuenta con estadisticas de manejo de
incidentes de robos informaticos?
• Si una entidad de control nos pide las politicas
de seguridad de la informacion, la tenemos?
Reflexiones (2/3)
• Podria facturar si se diera un atentado de
bomba o terremoto ?
• Que pasaria si la competencia tiene la
base de datos de nuestros clientes?
• Si nos piden el ultimo analisis de riesgos?
Reflexiones (3/3)
• Si una entidad de control nos pide el plan
con fechas del disenio e implementacion
del SGSI, lo tenemos?
• Si una entidad de control nos pide el BIA
para sustentar el BCP, lo tenemos?
• Si nos piden las ultimas 3 auditorias
tecnicas al SGSI lo tenemos?
“En general las organizaciones no cuentan
con un sistema de gestión para la
seguridad de la información”
Por que?
Problemática común (1/4)
El Cambio, los nuevos proyectos, los
requerimientos de entes de Gobierno no
dan tiempo al área de Tecnología para
concentrarse en la seguridad de La
información
No se ha hecho un Análisis de Riesgos que
permita determinar los riesgos, amenazas y
vulnerabilidades que puedan afectar la
continuidad del negocio
Problemática común (2/4)
No se han definido las políticas de
seguridad de la información dentro de la
Compañía
y por tanto no existe un
documento disponible para todos los
funcionarios.
No existe un
plan de inversión en
seguridad de la información que responda
a los riesgos y amenazas más relevantes
Problemática Común (3/4)
No hay suficientes controles concretos para
disminuir los riesgos y amenazas contra la
seguridad de la información y contra la
productividad,
los
que
existen
son
componentes básicos de la infraestructura de
computación
No hay análisis de impacto del negocio (BIA)
ni planes de contingencia que garanticen la
continuidad de las operaciones en caso de
desastre
Problemática Común (4/4)
La seguridad física del centro de cómputo de la
oficina principal, ha presentado deficiencias y
problemas que no han sido evaluados y
corregidos apropiadamente
Dado que no existe el análisis de riesgos, no hay
forma
sistemática
de
gestionarlos
para
disminuirlos hasta un nivel razonable
Solución propuesta
Solución: Diseñar un SGSI basados en ISO
27002 y 27001
Se debe diseñar un SGSI
que reporte métricas
Debe permitir asegurar la
información hasta alcanzar el
equilibrio entre el ahorro
logrado por la seguridad
brindada y el costo de los
salvaguardas
Ciclo Metodológico propuesto
Debe ser un ciclo metodológico
estructurado y articulado de la
siguiente manera:
Entendimiento de los
Requerimientos
Cualquier segmento
Determinación de la
Brecha
Análisis GAP
Análisis del Riesgo
Elaboración Planes de
Tratamiento
Evaluación del Riesgo
Documentación e
implantación SGSI
Definición Políticas de
Seguridad
Acompañamiento de un
tercero experto
Análisis GAP de requerimientos de Seguridad
Activos
de
Información,
documentación y
Controles
Existentes
Requerimientos de Certificación
Análisis
GAP
(Brecha)
Activos Valorados
Requerimientos de Seguridad
Estado de
Implantación
Estado Deseable = ? Una ilusión ?
Estado Actual
Controles
Alistamiento
para el
Análisis de
Riesgos
Análisis de Riesgos
Retomando toda la información obtenida, se debe llevar a cabo el
análisis de riesgos utilizando alguna metodología: Ejemplo Magerit, AS
NZS4360 (Para Colombia NTC5254)
Comunicación
Definir el Contexto
Seguimiento y
Monitoreo
Análisis GAP
Identificar Riesgos
Analizar Riesgos
Evaluar Riesgos
Análisis Riesgos
Tratamiento
Tratar Riesgos
Propuesta concreta
• Se recomienda iniciar por el proceso que le
produce los mayores ingresos a la org
• Una vez implantado y definiendo como se
puede verificar y asegurar su correcto
funcionamiento, se plantea ampliar su alcance
e ir añadiendo nuevos procesos al SGSI
• De esta manera el costo y el esfuerzo son
menores
Propuesta con foco
• El foco debe estar centrado en los
controles legales y en los controles
mínimos comunes que una entidad debe
implantar para la seguridad de su
información
• Se debe hacer transferencia de
conocimientos por parte de asesores para
que la organización sea autónoma
Metodología para tratamiento de riesgo
Evaluación de Riesgo
Riesgo
Aceptable?
Eliminar
Comunicación
Prevenir
Aceptar
Proteger
Transferir
Considerar Posibilidad, Costo y beneficio
Recomendar Estrategias de Tratamiento
Seleccionar Estrategia de tratamiento
Preparar Planes de Tratamiento (Recursos y Tiempo necesarios)
Eliminar
Prevenir
Riesgo
Aceptable?
Proteger
Transferir
Aceptar
Seguimiento y
Monitoreo
Etapas para diseñar un SGSI
Etapas para diseñar un SGSI
Análisis de riesgos: la base de todo el sistema de gestión
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
SGSI:
1-Política
2-Organización
3-Gestión de activos
4-Personal
5-Seguridad Física
6-Comunicaciones y operaciones
7-Control de acceso
8-Adquisición, mantenimiento y desarrollo de Sist. Inf.
9-Gestión de incidentes
10-Gestión continuidad del negocio
11-Legislación Vigente
Etapas de implementación
• La implementación de la norma ISO 17799:2005
(ahora 27002:2005) considera 11 dominios que a
su vez se reflejan en 39 objetivos de control
que terminan en 133 controles
• Se pueden visualizar los dominios como grupos
o etapas que idealmente se deben seguir en
forma secuencial pero no es mandatorio
Análisis de riesgos: la base de todo el
sistema de gestión
Para la implantación de un SGSI hay que
tener en cuenta que todas las medidas
que se implementen en la organización
deberán justificarse sobre la base del
análisis de riesgos que se haya realizado
previamente
Entregable: Inventario de activos valuado con amenazas,
controles, responsable
SGSI: 1-Politica
La política de seguridad tiene por objetivo
aportar las directrices de la seguridad de
la información de acuerdo con los
requerimientos y legislación vigente;
fundamental para la implantación del
resto de los controles
Entregable: Politica de seguridad publicada y firmada por
junta directiva
SGSI: 2-Organización
Implica la creación de un comité que
supervisará los diferentes aspectos de la
seguridad de la información; será el grupo
que tendrá el apoyo directo de la alta
gerencia y podrá conceptuar y decidir
sobre los cambios del SGSI
Entregable: Documento de creacion del comite, sus
miembros y funciones
SGSI: 3-Gestion de activos
Este dominio promueve la protección y
tratamiento de los activos de información
importantes para la organización;
establece responsabilidades sobre ellos y
clasifica la información basada en su
confidencialidad
Entregable: Documento con la clasificacion de los activos
de informacion
SGSI: 4-Personal
La seguridad de la información depende del
recurso humano (ing.social), deberían
implantarse controles de seguridad que
abarquen el ciclo de vida de los
trabajadores, desde su selección hasta el
momento en que dejen la organización
Entregable: Documento con plan de capacitacion sobre
politicas de seguridad de la informacion
SGSI: 5-Seguridad Física
Aspectos relativos a la seguridad física de la
organización, especialmente los
destinados a reducir los riesgos de que se
produzcan accesos no autorizados o
Interrupciones en las actividades; incluye
desde los edificios hasta la seguridad
física de los equipos
Entregable: Documento de auditoria sobre controles existentes y mejoras
SGSI: 6-Comunicaciones y
operaciones
Se tratan todos los aspectos relativos a la
seguridad de las operaciones
Considera el mayor numero de controles
legales y mecanismos conocidos de
protección de la información
Entregable: Documento con sugerencias y soluciones
especificas ademas de la segregacion de
funciones…
SGSI: 7-Control de acceso
En este punto se trata de evitar que
personal no autorizado pueda lograr el
acceso a la información que se está
protegiendo, puede considerarse que este
dominio se refiere a los accesos lógicos a
la información; no tiene que ver con lo
fisico
Entregable: Documento de politicas con segregacion de
roles, gestion contrasenias…
SGSI: 8-Adquisicion, mantenimiento y desarrollo
de Sistemas de Información
• Realizar pruebas técnicas como:
• Análisis de vulnerabilidades de la red
• Pruebas de penetración a cada servidor
de datos
• Revisión de configuraciones de
dispositivos de red
Entregable: Documento con el resultado de las pruebas
tecnicas
SGSI: 9-Gestion de incidentes
A pesar de los anteriores controles pueden
presentarse incidentes de seguridad que
se deben gestionar de manera que el
impacto que puedan provocar sea el
mínimo posible
• Entregable: Documento de tipo plantilla para
que el área de atención de incidentes pueda
manejarlos
SGSI: 10-Gestion continuidad
del negocio
El objetivo de la seguridad de la información es
evitar que las actividades propias de la
organización se vean interrumpidas por alguna
circunstancia; los planes de continuidad de
negocio para cualquier organización son
imprescindibles
Entregables: Documento que muestre el analisis del impacto del
negocio en caso de desastre
SGSI: 11-Legislacion Vigente
• Este último dominio trata de garantizar el
cumplimiento de la legislación vigente y de
las regulaciones que afecten a la
organización. Cada sector en particular
además de la normatividad general tiene
su propia legislación
Entregable: Documento con matriz de regulaciones contra
cumplimiento
Conclusiones
Conclusiones (1/2)
• Se debe gestionar el riesgo para conocer sus
vulnerabilidades e impacto
• Se debe gestionar el riesgo basados en un SGSI para
administrar los incidentes de la SI
• Hay que hacer auditorias técnicas para evaluar si se
están cumpliendo las normas mínimas
• Se debe buscar gradualmente la certificación ISO
27001:2005 pero esto no se debe hacer en el momento
del diseño del sistema de gestión
Conclusiones (2/2)
• La seguridad de la información no es un
problema de índole tecnológico
• Hay que hacer BIA para mejores planes
de contingencia o BCP
• Se debe probar con mínimo 6 meses de
diseño e implementación
Bibliografia
• Icontec Norma ISO NSC 17799:2005 (Ahora
27002:2005)
• Icontec Norma ISO NSC 27001
• Borradores del proyecto sobre SGSI de la
superintendencia financiera
• Real Digital Forensics, Keith J. Jones, AddisonWesley, 2006
• Revista Sistemas, Acis # 96, Jeimy Cano, abriljunio 2006
Como nos medirían las entidades de control?
Más información en www.globalteksecurity.com, Email: [email protected]
Descargar

02-DelitosInformaticosSectorFinanciero