Capítulo Colombia
La seguridad en los sistemas de
información de las entidades
públicas y los desafíos para las
entidades de control fiscal
Lucio Augusto Molina Focazzio, CISA
Vicepresidente Internacional de ISACA
Consultor en Auditoria de Sistemas y Seguridad Informatica
Derechos reservados Lucio Molina Focazzio
1
Agenda
Conclusiones
Uso de Mejores Prácticas
Desafíos
Seguridad Informática
La Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio
2
Agenda
La Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio
3
NOTICIAS
• Hackers sustraen us$10.000.000 del
Citibank
• Hackers roban información de 15,700
clientes del Western Union, mientras su
Web site estaba desprotegido por labores
de mantenimiento.
Derechos reservados Lucio Molina Focazzio
4
MAYORES DESASTRES
FECHA
2001
1999
1998
1995
1995
1993
1993
1992
INCIDENTE
Terrorismo
Terremoto
Huracán
Bomba
Terremoto
Bomba
Incendio
Acc.Aéreo
Derechos reservados Lucio Molina Focazzio
SITIO
World Trade Center
Colombia
Honduras
Oklahoma, USA
Kobe, Japón
World Trade Center USA
Los Angeles, USA
New York USA
5
Derechos reservados Lucio Molina Focazzio
6
TIPOS DE ATAQUES (%)
2004
2003
2002
2001
a)
b)
c)
100
90
80
70
60
50
40
30
20
10
0
d)
e)
f)
g)
h)
i)
j)
Virus
Abuso de Internet
Robo de portátiles /
móviles
Acceso no autorizado a la
información
Penetración del sistema
Negación del servicio
Robo de información
propietaria
Sabotaje
Fraude financiero
Fraude con
telecomunicaciones
a b c d e f g h i j
Derechos reservados Lucio Molina Focazzio
Fuente:CSI/FBI Computer Crime
and Security Survey
7
High
Hacking gets easier and easier
Denial of Service
Packet Forging/
Packet Forging/ Spoofing
Spoofing
Back Sweepers
Doors
Exploiting Known
Vulnerabilities
Self Replicating
Code
DDOS
Stealth
DiagnosticsSophistication
of Hacker
Sniffers
Tools
Hijacking
Sessions
Disabling
Audits
Password
Cracking
Technical
Knowledge
Required
Password
Guessing
Low
1980
1990
2000
PROBANDO LA VULNERABILDAD DE UNA RED
Derechos reservados Lucio Molina Focazzio
Evolución
8
Derechos reservados Lucio Molina Focazzio
9
Derechos reservados Lucio Molina Focazzio
10
Agenda
Seguridad Informática
La Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio
11
Aspectos Generales
• Los controles son considerados esenciales
para una Organización desde el punto de
vista legislativo:
– Protección de datos y privacidad de la
información
– Salvaguarda de los registros organizacionales
– Derechos de propiedad Intelectual
• Auditoría y Cumplimiento
Derechos reservados Lucio Molina Focazzio
12
QUÉ ES SEGURIDAD
 Evitar el ingreso de personal no autorizado
 Sobrevivir aunque “algo” ocurra
 Cumplir con las leyes y reglamentaciones
gubernamentales y de los entes de control del
Estado
 Adherirse a los acuerdos de licenciamiento de
software
 Prevención, Detección y Respuesta contra
acciones no autorizadas
Derechos reservados Lucio Molina Focazzio
13
QUÉ DEBE SER PROTEGIDO?
• Sus Datos
Confidencialidad – Quiénes deben conocer
qué
Integridad – Quiénes deben cambiar qué
Disponibilidad - Habilidad para utilizar
sus sistemas
• Sus Recursos
Su organización y sus sistemas
Derechos reservados Lucio Molina Focazzio
14
QUÉ DEBE SER PROTEGIDO?
• Su Reputación
Revelación de información confidencial
Realización de fraudes informáticos
No poder superar un desastre
Utilización de software ilegal
Derechos reservados Lucio Molina Focazzio
15
Fraude por Computador
Utilizar un computador para obtener
beneficio personal o causar daño a los
demás.
• Dada la proliferación de las redes y del
personal con conocimientos en sistemas, se
espera un incremento en la frecuencia y en
la cantidad de pérdidas.
• Se especula que muy pocos fraudes por
computador son detectados y una menor
porción es reportada.
Derechos reservados Lucio Molina Focazzio
Falta de Estadísticas de
Fraudes por Computador
Estadísticas no disponibles y la mayoría de pérdidas
desconocidas.
Razones por las cuales no hay estadísticas:
1. La compañías prefieren manejar directamente los
fraudes detectados para evitar vergüenzas y publicidad
adversa
2. Las encuestas sobre abusos con
computadores son frecuentemente
ambiguas dificultando la interpretación
de los datos
3. La mayoría de los fraudes por computador
probablemente no se descubren.
Derechos reservados Lucio Molina Focazzio
¿De Quién nos Defendemos?
• Gente de adentro: Empleados o
personas allegadas.
• Anti gobernistas: Razones obvias para
justificar un ataque.
• Un cracker que busca algo en específico:
Es problemático pues suele ser un
atacante determinado. Puede estar
buscando un punto de salto.
Derechos reservados Lucio Molina Focazzio
18
De qué nos defendemos?
•
•
•
•
•
•
•
Fraude
Extorsión
Robo de Información
Robo de servicios
Actos terroristas
Reto de penetrar un sistema
Deterioro
Derechos reservados Lucio Molina Focazzio
19
De qué nos defendemos?
• Desastres Naturales
– Terremotos
– Inundaciones
– Huracanes
– Incendios
Derechos reservados Lucio Molina Focazzio
20
De qué nos defendemos?
• Tecnología
– Fallas en procedimientos
– Fallas en el software
aplicativo
– Fallas en el software
Operativo
– Fallas en el hardware
– Fallas en los equipos de
soporte
– Paros, huelgas
Derechos reservados Lucio Molina Focazzio
21
Técnicas de Ataque
1. Inyectar Código malicioso:
•
Virus y Gusanos
• Se propaga furtivamente.
• Generalmente tiene
propósitos maliciosos.
– Worm.Melissa
– Worm.I Love You
Derechos reservados Lucio Molina Focazzio
22
Técnicas de Ataque
2. Robo de Información
 Buscar información almacenada en el disco o en la
memoria del computador cargándola al
computador del atacante.
 Robo de computadores o discos
Propósito:
•
•
•
Espionaje
Adquirir software o información sin pagar
Encontrar debilidades en el sistema
 Alteración de información tributaria
Derechos reservados Lucio Molina Focazzio
23
Técnicas de ataque
3. Espionaje
 Intercepción pasiva del tráfico de la red.
 Uso de software para monitorear el flujo
de los paquetes en la red (Packet Sniffer)
Propósito:
– Capturar Login ID y passwords
– Capturar o filtrar información de
contribuyentes
– Capturar e-mails o direcciones de e-mail
Derechos reservados Lucio Molina Focazzio
24
Técnicas de Ataque
4. Falsificación o Alteración de datos
 Alteración o borrado de datos o programas
Propósito
– Fraude
– Malversación de fondos
o desfalco
– Técnicas
– Caballos de Troya
– Bombas Lógicas
(Cambio de la contabilidad)
Derechos reservados Lucio Molina Focazzio
25
Técnicas de Ataque
5. Suplantación: Suplantar un usuario o un
computador.
Objetivos:
– Conseguir el Login ID y el password de la cuenta
de un usuario
– Instalar demonios y lanzar un ataque desde un
usuario inocente
– Ocultar la identidad del atacante
Derechos reservados Lucio Molina Focazzio
26
Técnicas de Ataque
6. Ingeniería social: El atacante deriva
información sensitiva o útil para un
ataque a partir del conocimiento de su
víctima.
7. Error humano: Gracias a Murphy, algo
inevitable.
Un buen esquema de seguridad debe poseer
alguna tolerancia a los errores humanos.
Derechos reservados Lucio Molina Focazzio
27
Efectos de las Amenazas y los
Ataques
•
•
•
•
•
•
•
Interrupción de actividades
Dificultades para toma de decisiones
Sanciones
Costos excesivos
Pérdida o destrucción de activos
Desventaja competitiva
Insatisfacción del usuario (pérdida de imagen)
Derechos reservados Lucio Molina Focazzio
28
Agenda
Desafíos
Seguridad Informática
La Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio
29
Desafíos
• Importancia
– Garantizar
Supervivencia de la Organización
• Confianza de:
Ciudadanos
Entidades gubernamentales
• Prevenir y detectar riesgos
informáticos
Derechos reservados Lucio Molina Focazzio
30
Actividades
•
•
•
•
•
•
•
Auditoría Continua
Aseguramiento Continuo
Cambios en el ambiente regulatorio
Seguridad como un requerimiento del negocio
Benchmarking
Indicadores
Administración de la Información
Derechos reservados Lucio Molina Focazzio
31
¿CÓMO NOS
DEFENDEMOS?
• Reglamentaciones y leyes
• Políticas de seguridad integral entendidas y
aceptadas
• Administración consciente y bien calificada
• Administración de seguridad con poder
suficiente
• Educación de los usuarios
• Refuerzo de la seguridad interna
• Análisis de Riesgos
Derechos reservados Lucio Molina Focazzio
32
¿CÓMO NOS
DEFENDEMOS?
•
•
•
•
•
•
•
Seguridad física
Auditoría preventiva y proactiva
Auditores certificados
Auto-ataques
Planes de Recuperación de Desastres
Mejoramiento de los sistemas de información
Compartir Información con otras entidades del
estado
Derechos reservados Lucio Molina Focazzio
33
¿CÓMO NOS DEFENDEMOS?
•
•
•
•
Procesos Documentados
Auditabilidad de los procesos
Administración de Cumplimiento
Auditoria Continua
Derechos reservados Lucio Molina Focazzio
34
¿CÓMO NOS DEFENDEMOS?
• Uso de MEJORES PRACTICAS (marcos de
referencia y de estándares Internacionales)
– CobiT (Governance, Control and Audit for
Information and Related Technology  Control
Objectives for TI)
– ISO 17799
– ITIL
Derechos reservados Lucio Molina Focazzio
35
Agenda
Uso de Mejores Prácticas
Desafíos
Seguridad Informática
La Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio
36
PROCESOS
DE NEGOCIO
INFORMACION
C
COBIT
RECURSOS
DE TI
O
•
•
•
•
•
B
I
Criterios
• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad
datos
sistemas de aplicación
tecnología
instalaciones
personas
PLANEACON Y
ORGANIZACION
MONITOREO
ADQUISICION E
IMPLEMENTACION
T
PRESTACION DE
SERVICIOS Y
SOPORTE
Derechos reservados Lucio Molina Focazzio
37
ISO 17799
• Primer estándar internacional dedicado a la Seguridad
Informática
• Controles relacionados con mejores prácticas en
seguridad de Información
• Desarrollado por la Industria para la Industria
• Aprobado como un estándar internacional ISO 17799
Derechos reservados Lucio Molina Focazzio
38
Secciones del ISO 17799
1.
Políticas de Seguridad
2. Estructura Organizacional de la Seguridad
3. Clasificación y Control de Activos
4. Seguridad del Personal
5. Seguridad Física y Ambiental
6. Administración de las Operaciones y de las
Comunicaciones
7. Controles de Acceso
8. Desarrollo y Mantenimiento de Sistemas
9. Gerencia de la Continuidad del Negocio
10. Cumplimiento con requerimientos
Derechos reservados Lucio Molina Focazzio
39
ITIL - Information
Technology Infrastructure
Library
Es un marco de trabajo (framework) para la
Administración de Procesos de IT
Es un standard de facto para Servicios de IT
Fue desarrollado a fines de la década del 80
Originalmente creado por la CCTA (una agencia del
Gobierno del Reino Unido)
Derechos reservados Lucio Molina Focazzio
40
Que es ITIL?
Planning to Implement Service Management
Service Support
Plantea una guía para establecer una metodología
de administración orientada a servicios.
Se orienta en asegurar que el Usuario
tenga acceso a los Servicios apropiados
para soportar las funciones de negocio.
The Business
Perspective
ICT Infrastructure
Management
Cubre el rango de
elementos concernientes al
entendimiento y mejora en
la provisión de servicios de
TI como una parte Integral
de los requerimientos
generales del negocio.
Cubre los aspectos
relacionados con la
administración de los
elementos de la
Infraestructura.
Security
Management
Service Delivery
Se orienta a detectar el
Servicio que la
Organización requiere
del proveedor de TI a fin
de brindar el apoyo
adecuado a los clientes
del negocio.
Derechos reservados Lucio Molina Focazzio
Application Management
Se encarga del control y
manejo de las aplicaciones
operativas y en fase de
desarrollo.
Cubre los aspectos
relacionados con la
administración del
aseguramiento lógico
de la información.
41
Agenda
Conclusiones
Uso de Mejores Prácticas
Desafíos
Seguridad Informática
La Seguridad en el Mundo de Hoy
Derechos reservados Lucio Molina Focazzio
42
PREGUNTAS?
Derechos reservados Lucio Molina Focazzio
43
Capítulo Colombia
www.isaca.org
[email protected]
Bogotá, Colombia
Derechos reservados Lucio Molina Focazzio
44
Descargar

Presentación de PowerPoint - Auditoría General de la República