1 / 44

Capítulo Colombia

La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de control fiscal. Capítulo Colombia. Lucio Augusto Molina Focazzio, CISA Vicepresidente Internacional de ISACA Consultor en Auditoria de Sistemas y Seguridad Informatica.

ross-osborn
Download Presentation

Capítulo Colombia

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La seguridad en los sistemas de información de las entidades públicas y los desafíos para las entidades de control fiscal Capítulo Colombia Lucio Augusto Molina Focazzio, CISA Vicepresidente Internacional de ISACA Consultor en Auditoria de Sistemas y Seguridad Informatica

  2. Uso de Mejores Prácticas Desafíos Conclusiones Seguridad Informática La Seguridad en el Mundo de Hoy Agenda

  3. La Seguridad en el Mundo de Hoy Agenda

  4. NOTICIAS • Hackers sustraen us$10.000.000 del Citibank • Hackers roban información de 15,700 clientes del Western Union, mientras su Web site estaba desprotegido por labores de mantenimiento.

  5. MAYORES DESASTRES

  6. TIPOS DE ATAQUES (%) • Virus • Abuso de Internet • Robo de portátiles / móviles • Acceso no autorizado a la información • Penetración del sistema • Negación del servicio • Robo de información propietaria • Sabotaje • Fraude financiero • Fraude con telecomunicaciones Fuente:CSI/FBI Computer Crime and Security Survey

  7. Denialof Service Packet Forging/ Spoofing High Hacking gets easier and easier Packet Forging/ Spoofing DDOS StealthDiagnostics Sweepers Back Doors Sophistication of Hacker Tools Sniffers Exploiting Known Vulnerabilities Hijacking Sessions Disabling Audits Self Replicating Code Technical Knowledge Required Password Cracking PasswordGuessing Low 2000 1980 1990 PROBANDO LA VULNERABILDAD DE UNA RED Evolución

  8. Seguridad Informática La Seguridad en el Mundo de Hoy Agenda

  9. Aspectos Generales • Los controles son considerados esenciales para una Organización desde el punto de vista legislativo: • Protección de datos y privacidad de la información • Salvaguarda de los registros organizacionales • Derechos de propiedad Intelectual • Auditoría y Cumplimiento

  10. QUÉ ES SEGURIDAD • Evitar el ingreso de personal no autorizado • Sobrevivir aunque “algo” ocurra • Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado • Adherirse a los acuerdos de licenciamiento de software • Prevención, Detección y Respuesta contra acciones no autorizadas

  11. QUÉ DEBE SER PROTEGIDO? • Sus Datos • Confidencialidad – Quiénes deben conocer qué • Integridad – Quiénes deben cambiar qué • Disponibilidad - Habilidad para utilizar sus sistemas • Sus Recursos • Su organización y sus sistemas

  12. QUÉ DEBE SER PROTEGIDO? • Su Reputación • Revelación de información confidencial • Realización de fraudes informáticos • No poder superar un desastre • Utilización de software ilegal

  13. Fraude por Computador Utilizar un computador para obtener beneficio personal o causar daño a los demás. • Dada la proliferación de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas. • Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada.

  14. Falta de Estadísticas de Fraudes por Computador Estadísticas no disponibles y la mayoría de pérdidas desconocidas. Razones por las cuales no hay estadísticas: • La compañías prefieren manejar directamente los fraudes detectados para evitar vergüenzas y publicidad adversa • Las encuestas sobre abusos con computadores son frecuentemente ambiguas dificultando la interpretación de los datos • La mayoría de los fraudes por computador probablemente no se descubren.

  15. ¿De Quién nos Defendemos? • Gente de adentro: Empleados o personas allegadas. • Anti gobernistas: Razones obvias para justificar un ataque. • Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto.

  16. De qué nos defendemos? • Fraude • Extorsión • Robo de Información • Robo de servicios • Actos terroristas • Reto de penetrar un sistema • Deterioro

  17. De qué nos defendemos? • Desastres Naturales • Terremotos • Inundaciones • Huracanes • Incendios

  18. De qué nos defendemos? • Tecnología • Fallas en procedimientos • Fallas en el software aplicativo • Fallas en el software Operativo • Fallas en el hardware • Fallas en los equipos de soporte • Paros, huelgas

  19. Técnicas de Ataque • Inyectar Código malicioso: • Virus y Gusanos • Se propaga furtivamente. • Generalmente tiene propósitos maliciosos. • Worm.Melissa • Worm.I Love You

  20. Técnicas de Ataque 2. Robo de Información • Buscar información almacenada en el disco o en la memoria del computador cargándola al computador del atacante. • Robo de computadores o discos Propósito: • Espionaje • Adquirir software o información sin pagar • Encontrar debilidades en el sistema • Alteración de información tributaria

  21. Técnicas de ataque 3. Espionaje • Intercepción pasiva del tráfico de la red. • Uso de software para monitorear el flujo de los paquetes en la red (Packet Sniffer) Propósito: • Capturar Login ID y passwords • Capturar o filtrar información de contribuyentes • Capturar e-mails o direcciones de e-mail

  22. Técnicas de Ataque 4. Falsificación o Alteración de datos • Alteración o borrado de datos o programas Propósito • Fraude • Malversación de fondos o desfalco • Técnicas • Caballos de Troya • Bombas Lógicas (Cambio de la contabilidad)

  23. Técnicas de Ataque 5. Suplantación: Suplantar un usuario o un computador. Objetivos: • Conseguir el Login ID y el password de la cuenta de un usuario • Instalar demonios y lanzar un ataque desde un usuario inocente • Ocultar la identidad del atacante

  24. Técnicas de Ataque 6. Ingeniería social: El atacante deriva información sensitiva o útil para un ataque a partir del conocimiento de su víctima. 7. Error humano: Gracias a Murphy, algo inevitable. Un buen esquema de seguridad debe poseer alguna tolerancia a los errores humanos.

  25. Efectos de las Amenazas y los Ataques • Interrupción de actividades • Dificultades para toma de decisiones • Sanciones • Costos excesivos • Pérdida o destrucción de activos • Desventaja competitiva • Insatisfacción del usuario (pérdida de imagen)

  26. Desafíos Seguridad Informática La Seguridad en el Mundo de Hoy Agenda

  27. Desafíos • Importancia • Garantizar Supervivencia de la Organización • Confianza de: Ciudadanos Entidades gubernamentales • Prevenir y detectar riesgos informáticos

  28. Actividades • Auditoría Continua • Aseguramiento Continuo • Cambios en el ambiente regulatorio • Seguridad como un requerimiento del negocio • Benchmarking • Indicadores • Administración de la Información

  29. ¿CÓMO NOS DEFENDEMOS? • Reglamentaciones y leyes • Políticas de seguridad integral entendidas y aceptadas • Administración consciente y bien calificada • Administración de seguridad con poder suficiente • Educación de los usuarios • Refuerzo de la seguridad interna • Análisis de Riesgos

  30. ¿CÓMO NOS DEFENDEMOS? • Seguridad física • Auditoría preventiva y proactiva • Auditores certificados • Auto-ataques • Planes de Recuperación de Desastres • Mejoramiento de los sistemas de información • Compartir Información con otras entidades del estado

  31. ¿CÓMO NOS DEFENDEMOS? • Procesos Documentados • Auditabilidad de los procesos • Administración de Cumplimiento • Auditoria Continua

  32. ¿CÓMO NOS DEFENDEMOS? • Uso de MEJORES PRACTICAS (marcos de referencia y de estándares Internacionales) • CobiT (Governance, Control and Audit for Information and Related Technology  Control Objectives for TI) • ISO 17799 • ITIL

  33. Uso de Mejores Prácticas Desafíos Seguridad Informática La Seguridad en el Mundo de Hoy Agenda

  34. PROCESOS DE NEGOCIO Criterios • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad COBIT INFORMACION C O B I T RECURSOS DE TI • datos • sistemas de aplicación • tecnología • instalaciones • personas PLANEACON Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION PRESTACION DE SERVICIOS Y SOPORTE

  35. ISO 17799 • Primer estándar internacional dedicado a la Seguridad Informática • Controles relacionados con mejores prácticas en seguridad de Información • Desarrollado por la Industria para la Industria • Aprobado como un estándar internacional ISO 17799

  36. Secciones del ISO 17799 • Políticas de Seguridad • Estructura Organizacional de la Seguridad • Clasificación y Control de Activos • Seguridad del Personal • Seguridad Física y Ambiental • Administración de las Operaciones y de las Comunicaciones • Controles de Acceso • Desarrollo y Mantenimiento de Sistemas • Gerencia de la Continuidad del Negocio • Cumplimiento con requerimientos

  37. ITIL - Information Technology Infrastructure Library • Es un marco de trabajo (framework) para la • Administración de Procesos de IT • Es un standard de facto para Servicios de IT • Fue desarrollado a fines de la década del 80 • Originalmente creado por la CCTA (una agencia del • Gobierno del Reino Unido)

  38. Que es ITIL? Planning to Implement Service Management Plantea una guía para establecer una metodología de administración orientada a servicios. Service Support Se orienta en asegurar que el Usuario tenga acceso a los Servicios apropiados para soportar las funciones de negocio. The Business Perspective Cubre el rango de elementos concernientes al entendimiento y mejora en la provisión de servicios de TI como una parte Integral de los requerimientos generales del negocio. ICT Infrastructure Management Cubre los aspectos relacionados con la administración de los elementos de la Infraestructura. Security Management Cubre los aspectos relacionados con la administración del aseguramiento lógico de la información. Service Delivery Se orienta a detectar el Servicio que la Organización requiere del proveedor de TI a fin de brindar el apoyo adecuado a los clientes del negocio. Application Management Se encarga del control y manejo de las aplicaciones operativas y en fase de desarrollo.

  39. Uso de Mejores Prácticas Desafíos Conclusiones Seguridad Informática La Seguridad en el Mundo de Hoy Agenda

  40. PREGUNTAS?

  41. Capítulo Colombia www.isaca.org lucio_molina@etb.net.co Bogotá, Colombia

More Related