6 2 8_lucio_molina_focazzio

328 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
328
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

6 2 8_lucio_molina_focazzio

  1. 1. La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de control fiscal Capítulo Colombia Lucio Augusto Molina Focazzio, CISA Vicepresidente Internacional de ISACA Consultor en Auditoria de Sistemas y Seguridad Informatica
  2. 2. Agenda Uso de Mejores Prácticas Seguridad Informática Desafíos Conclusiones La Seguridad en el Mundo de Hoy
  3. 3. Agenda La Seguridad en el Mundo de Hoy
  4. 4. NOTICIAS <ul><li>Hackers sustraen us$10.000.000 del Citibank </li></ul><ul><li>Hackers roban información de 15,700 clientes del Western Union, mientras su Web site estaba desprotegido por labores de mantenimiento . </li></ul>
  5. 5. MAYORES DESASTRES
  6. 7. <ul><li>Virus </li></ul><ul><li>Abuso de Internet </li></ul><ul><li>Robo de portátiles / móviles </li></ul><ul><li>Acceso no autorizado a la información </li></ul><ul><li>Penetración del sistema </li></ul><ul><li>Negación del servicio </li></ul><ul><li>Robo de información propietaria </li></ul><ul><li>Sabotaje </li></ul><ul><li>Fraude financiero </li></ul><ul><li>Fraude con telecomunicaciones </li></ul>Fuente:CSI/FBI Computer Crime and Security Survey TIPOS DE ATAQUES (%)
  7. 8. PROBANDO LA VULNERABILDAD DE UNA RED Sophistication of Hacker Tools Packet Forging/ Spoofing Technical Knowledge Required 2000 Packet Forging / Spoofing Denial of Service 1990 1980 Password Guessing Self Replicating Code Password Cracking Exploiting Known Vulnerabilities Disabling Audits Back Doors Hijacking Sessions Sweepers Sniffers Stealth Diagnostics High Low DDOS Hacking gets easier and easier Evolución
  8. 11. Agenda La Seguridad en el Mundo de Hoy Seguridad Informática
  9. 12. Aspectos Generales <ul><li>Los controles son considerados esenciales para una Organización desde el punto de vista legislativo: </li></ul><ul><ul><li>Protección de datos y privacidad de la información </li></ul></ul><ul><ul><li>Salvaguarda de los registros organizacionales </li></ul></ul><ul><ul><li>Derechos de propiedad Intelectual </li></ul></ul><ul><li>Auditoría y Cumplimiento </li></ul>
  10. 13. QUÉ ES SEGURIDAD <ul><li>Evitar el ingreso de personal no autorizado </li></ul><ul><li>Sobrevivir aunque “algo” ocurra </li></ul><ul><li>Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado </li></ul><ul><li>Adherirse a los acuerdos de licenciamiento de software </li></ul><ul><li>Prevención, Detección y Respuesta contra acciones no autorizadas </li></ul>
  11. 14. QUÉ DEBE SER PROTEGIDO? <ul><li>Sus Datos </li></ul><ul><ul><li>Confidencialidad – Quiénes deben conocer qué </li></ul></ul><ul><ul><li>Integridad – Quiénes deben cambiar qué </li></ul></ul><ul><ul><li>Disponibilidad - Habilidad para utilizar sus sistemas </li></ul></ul><ul><li>Sus Recursos </li></ul><ul><ul><li>Su organización y sus sistemas </li></ul></ul>
  12. 15. QUÉ DEBE SER PROTEGIDO? <ul><li>Su Reputación </li></ul><ul><ul><li>Revelación de información confidencial </li></ul></ul><ul><ul><li>Realización de fraudes informáticos </li></ul></ul><ul><ul><li>No poder superar un desastre </li></ul></ul><ul><ul><li>Utilización de software ilegal </li></ul></ul>
  13. 16. Fraude por Computador <ul><li>Utilizar un computador para obtener beneficio personal o causar daño a los demás . </li></ul><ul><li>Dada la proliferación de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas. </li></ul><ul><li>Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada. </li></ul>
  14. 17. Falta de Estadísticas de Fraudes por Computador <ul><li>Estadísticas no disponibles y la mayoría de pérdidas desconocidas. </li></ul><ul><li>Razones por las cuales no hay estadísticas: </li></ul><ul><li>La compañías prefieren manejar directamente los fraudes detectados para evitar vergüenzas y publicidad adversa </li></ul><ul><li>Las encuestas sobre abusos con computadores son frecuentemente ambiguas dificultando la interpretación de los datos </li></ul><ul><li>La mayoría de los fraudes por computador probablemente no se descubren. </li></ul>
  15. 18. ¿ De Quién nos Defendemos? <ul><li>Gente de adentro : Empleados o personas allegadas. </li></ul><ul><li>Anti gobernistas: Razones obvias para justificar un ataque. </li></ul><ul><li>Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto. </li></ul>
  16. 19. De qué nos defendemos? <ul><li>Fraude </li></ul><ul><li>Extorsión </li></ul><ul><li>Robo de Información </li></ul><ul><li>Robo de servicios </li></ul><ul><li>Actos terroristas </li></ul><ul><li>Reto de penetrar un sistema </li></ul><ul><li>Deterioro </li></ul>
  17. 20. De qué nos defendemos? <ul><li>Desastres Naturales </li></ul><ul><ul><li>Terremotos </li></ul></ul><ul><ul><li>Inundaciones </li></ul></ul><ul><ul><li>Huracanes </li></ul></ul><ul><ul><li>Incendios </li></ul></ul>
  18. 21. De qué nos defendemos? <ul><li>Tecnología </li></ul><ul><ul><li>Fallas en procedimientos </li></ul></ul><ul><ul><li>Fallas en el software aplicativo </li></ul></ul><ul><ul><li>Fallas en el software Operativo </li></ul></ul><ul><ul><li>Fallas en el hardware </li></ul></ul><ul><ul><li>Fallas en los equipos de soporte </li></ul></ul><ul><ul><li>Paros, huelgas </li></ul></ul>
  19. 22. Técnicas de Ataque <ul><li>Inyectar Código malicioso: </li></ul><ul><ul><li>Virus y Gusanos </li></ul></ul><ul><ul><ul><li>Se propaga furtivamente. </li></ul></ul></ul><ul><ul><ul><li>Generalmente tiene propósitos maliciosos. </li></ul></ul></ul><ul><ul><ul><ul><li>Worm.Melissa </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Worm.I Love You </li></ul></ul></ul></ul>
  20. 23. Técnicas de Ataque <ul><li>2. Robo de Información </li></ul><ul><ul><li>Buscar información almacenada en el disco o en la memoria del computador cargándola al computador del atacante. </li></ul></ul><ul><ul><li>Robo de computadores o discos </li></ul></ul><ul><ul><li>Propósito: </li></ul></ul><ul><ul><ul><li>Espionaje </li></ul></ul></ul><ul><ul><ul><li>Adquirir software o información sin pagar </li></ul></ul></ul><ul><ul><ul><li>Encontrar debilidades en el sistema </li></ul></ul></ul><ul><ul><li>Alteración de información tributaria </li></ul></ul>
  21. 24. Técnicas de ataque <ul><li>3. Espionaje </li></ul><ul><ul><li>Intercepción pasiva del tráfico de la red. </li></ul></ul><ul><ul><li>Uso de software para monitorear el flujo de los paquetes en la red (Packet Sniffer) </li></ul></ul><ul><ul><li>Propósito: </li></ul></ul><ul><ul><li>Capturar Login ID y passwords </li></ul></ul><ul><ul><li>Capturar o filtrar información de contribuyentes </li></ul></ul><ul><ul><li>Capturar e-mails o direcciones de e-mail </li></ul></ul>
  22. 25. Técnicas de Ataque <ul><li>4. Falsificación o Alteración de datos </li></ul><ul><ul><li>Alteración o borrado de datos o programas </li></ul></ul><ul><ul><li>Propósito </li></ul></ul><ul><ul><li>Fraude </li></ul></ul><ul><ul><li>Malversación de fondos o desfalco </li></ul></ul><ul><ul><li>Técnicas </li></ul></ul><ul><ul><ul><li>Caballos de Troya </li></ul></ul></ul><ul><ul><ul><li>Bombas Lógicas </li></ul></ul></ul><ul><ul><li>(Cambio de la contabilidad) </li></ul></ul>
  23. 26. Técnicas de Ataque <ul><li>5. Suplantación: Suplantar un usuario o un computador . </li></ul><ul><ul><li>Objetivos: </li></ul></ul><ul><ul><li>Conseguir el Login ID y el password de la cuenta de un usuario </li></ul></ul><ul><ul><li>Instalar demonios y lanzar un ataque desde un usuario inocente </li></ul></ul><ul><ul><li>Ocultar la identidad del atacante </li></ul></ul>
  24. 27. Técnicas de Ataque <ul><li>6. Ingeniería social: El atacante deriva información sensitiva o útil para un ataque a partir del conocimiento de su víctima. </li></ul><ul><li>7. Error humano : Gracias a Murphy, algo inevitable. </li></ul><ul><ul><li>Un buen esquema de seguridad debe poseer alguna tolerancia a los errores humanos. </li></ul></ul>
  25. 28. Efectos de las Amenazas y los Ataques <ul><li>Interrupción de actividades </li></ul><ul><li>Dificultades para toma de decisiones </li></ul><ul><li>Sanciones </li></ul><ul><li>Costos excesivos </li></ul><ul><li>Pérdida o destrucción de activos </li></ul><ul><li>Desventaja competitiva </li></ul><ul><li>Insatisfacción del usuario (pérdida de imagen) </li></ul>
  26. 29. Agenda Seguridad Informática Desafíos La Seguridad en el Mundo de Hoy
  27. 30. Desafíos <ul><li>Importancia </li></ul><ul><ul><li>Garantizar </li></ul></ul><ul><ul><li>Supervivencia de la Organización </li></ul></ul><ul><li>Confianza de: </li></ul><ul><ul><li>Ciudadanos </li></ul></ul><ul><ul><li>Entidades gubernamentales </li></ul></ul><ul><li>Prevenir y detectar riesgos informáticos </li></ul>
  28. 31. Actividades <ul><li>Auditoría Continua </li></ul><ul><li>Aseguramiento Continuo </li></ul><ul><li>Cambios en el ambiente regulatorio </li></ul><ul><li>Seguridad como un requerimiento del negocio </li></ul><ul><li>Benchmarking </li></ul><ul><li>Indicadores </li></ul><ul><li>Administración de la Información </li></ul>
  29. 32. ¿CÓMO NOS DEFENDEMOS? <ul><li>Reglamentaciones y leyes </li></ul><ul><li>Políticas de seguridad integral entendidas y aceptadas </li></ul><ul><li>Administración consciente y bien calificada </li></ul><ul><li>Administración de seguridad con poder suficiente </li></ul><ul><li>Educación de los usuarios </li></ul><ul><li>Refuerzo de la seguridad interna </li></ul><ul><li>Análisis de Riesgos </li></ul>
  30. 33. ¿CÓMO NOS DEFENDEMOS? <ul><li>Seguridad física </li></ul><ul><li>Auditoría preventiva y proactiva </li></ul><ul><li>Auditores certificados </li></ul><ul><li>Auto-ataques </li></ul><ul><li>Planes de Recuperación de Desastres </li></ul><ul><li>Mejoramiento de los sistemas de información </li></ul><ul><li>Compartir Información con otras entidades del estado </li></ul>
  31. 34. ¿CÓMO NOS DEFENDEMOS? <ul><li>Procesos Documentados </li></ul><ul><li>Auditabilidad de los procesos </li></ul><ul><li>Administración de Cumplimiento </li></ul><ul><li>Auditoria Continua </li></ul>
  32. 35. ¿CÓMO NOS DEFENDEMOS? <ul><li>Uso de MEJORES PRACTICAS (marcos de referencia y de estándares Internacionales) </li></ul><ul><ul><li>CobiT (Governance, Control and Audit for Information and Related Technology  Control Objectives for TI) </li></ul></ul><ul><ul><li>ISO 17799 </li></ul></ul><ul><ul><li>ITIL </li></ul></ul>
  33. 36. Agenda Uso de Mejores Prácticas Seguridad Informática Desafíos La Seguridad en el Mundo de Hoy
  34. 37. PROCESOS DE NEGOCIO INFORMACION <ul><li>efectividad </li></ul><ul><li>eficiencia </li></ul><ul><li>confidencialidad </li></ul><ul><li>integridad </li></ul><ul><li>disponibilidad </li></ul><ul><li>cumplimiento </li></ul><ul><li>confiabilidad </li></ul>Criterios C OBI T RECURSOS DE TI <ul><li>datos </li></ul><ul><li>sistemas de aplicación </li></ul><ul><li>tecnología </li></ul><ul><li>instalaciones </li></ul><ul><li>personas </li></ul>PLANEACON Y ORGANIZACION ADQUISICION E IMPLEMENTACION PRESTACION DE SERVICIOS Y SOPORTE MONITOREO C O B I T
  35. 38. ISO 17799 <ul><li>Primer estándar internacional dedicado a la Seguridad Informática </li></ul><ul><li>Controles relacionados con mejores prácticas en seguridad de Información </li></ul><ul><li>Desarrollado por la Industria para la Industria </li></ul><ul><li>Aprobado como un estándar internacional ISO 17799 </li></ul>
  36. 39. Secciones del ISO 17799 <ul><li>Políticas de Seguridad </li></ul><ul><li>Estructura Organizacional de la Seguridad </li></ul><ul><li>Clasificación y Control de Activos </li></ul><ul><li>Seguridad del Personal </li></ul><ul><li>Seguridad Física y Ambiental </li></ul><ul><li>Administración de las Operaciones y de las Comunicaciones </li></ul><ul><li>Controles de Acceso </li></ul><ul><li>Desarrollo y Mantenimiento de Sistemas </li></ul><ul><li>Gerencia de la Continuidad del Negocio </li></ul><ul><li>Cumplimiento con requerimientos </li></ul>
  37. 40. ITIL - Information Technology Infrastructure Library <ul><li>Es un marco de trabajo (framework) para la </li></ul><ul><li>Administración de Procesos de IT </li></ul><ul><li>Es un standard de facto para Servicios de IT </li></ul><ul><li>Fue desarrollado a fines de la década del 80 </li></ul><ul><li>Originalmente creado por la CCTA (una agencia del </li></ul><ul><li>Gobierno del Reino Unido) </li></ul>
  38. 41. Que es ITIL? ICT Infrastructure Management Cubre los aspectos relacionados con la administración de los elementos de la Infraestructura. Service Delivery Se orienta a detectar el Servicio que la Organización requiere del proveedor de TI a fin de brindar el apoyo adecuado a los clientes del negocio. Service Support Se orienta en asegurar que el Usuario tenga acceso a los Servicios apropiados para soportar las funciones de negocio. The Business Perspective Cubre el rango de elementos concernientes al entendimiento y mejora en la provisión de servicios de TI como una parte Integral de los requerimientos generales del negocio. Application Management Se encarga del control y manejo de las aplicaciones operativas y en fase de desarrollo. Planning to Implement Service Management Plantea una guía para establecer una metodología de administración orientada a servicios. Security Management Cubre los aspectos relacionados con la administración del aseguramiento lógico de la información.
  39. 42. Agenda Uso de Mejores Prácticas Seguridad Informática Desafíos Conclusiones La Seguridad en el Mundo de Hoy
  40. 43. PREGUNTAS?
  41. 44. [email_address] Bogotá, Colombia Capítulo Colombia www.isaca.org

×