Delitos Informaticos en El Sector Financiero

download Delitos Informaticos en El Sector Financiero

of 80

description

Riesgos

Transcript of Delitos Informaticos en El Sector Financiero

  • Delitos informticos en el sector financieroArmando CarvajalGerente Consultora - globalteksecurityMaster en seguridad informtica Universidad Oberta de CatalunyaEspecialista en construccin de software para redes - UniandesIng. Sistemas Universidad Incca de Colombia

  • Antecedentes

  • QU ES EL RIESGO?

    Es la Incertidumbre sobre la ocurrencia de un evento que afecte el logro de los objetivos de la organizacin mediante el siniestro de activosAmenazas?Vulnerabilidades?Impacto?

  • EL RIESGO OPERACIONAL

    Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnologa, la infraestructura o por la ocurrencia de acontecimientos externos

  • EL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIN DEL TERRORISMO Es la posibilidad de prdida o dao que puede sufrir una entidad vigilada por su propensin a ser utilizada directamente o a travs de sus operaciones como instrumento para el lavado de activos y/o canalizacin de recursos hacia la realizacin de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades

  • Mapa mundial - Riesgo operativo

  • Circulares Superfinanciera La Circular Externa 041 de 2007, aprob la implementacin del Sistema de Administracin de Riesgo Operativo

  • Circulares Superfinanciera La Circular Externa 052 de 2007, trata sobre los requerimientos mnimos de seguridad y calidad en el manejo de informacin a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios

  • Las estrategias de riesgo reactivas se han denominado humorsticamente "Escuela de gestin del riesgo de Indiana Jones

    En las pelculas, Indiana Jones, cuando se enfrentaba a una dificultad insuperable, siempre deca "No te preocupes, pensar en algo!".

    Nunca se preocupaba de los problemas hasta que ocurran, entonces reaccionaba como un hroeTomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.htmlAdministracin del riesgo - Estrategia Reactiva

  • Una estrategia considerablemente ms inteligente para el control del riesgo es ser proactivo

    La estrategia proactiva empieza mucho antes de que comiencen los trabajos tcnicos

    Se identifican los riesgos potenciales, se valoran su probabilidad y su impacto y se establece una prioridad segn su importanciaTomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.htmlRetroalimentar y MedirIdentificar riesgos y amenazasEvaluar el impacto en A. xxxxxxControlar y (minimizar) las amenazasAdministracin del riesgo - Estrategia Proactiva

  • La informacin es un activo y como cualquier otro activo que genera valor al patrimonio, ste es importante para la organizacin y por consiguiente debe ser adecuadamente protegido

    La Informacin es un activo?

  • Relacin entre riesgos y activosLos riesgos son inherentes a los activos de la organizacin y la nica forma de administrarlos es gestionndolosSe debe hacer anlisis de riesgos para hacer gestin de la seguridad de la informacin

  • Matriz de Riesgo ConsolidadaUna vez Evaluados los activos, las amenazas, la probabilidad de ocurrencia de los riesgos y el nivel del impacto en el sistema de informacin, podemos construir esta matriz de riesgo consolidada la cual nos da las prioridades de inversin en seguridad informtica (sealados en rojo)

  • Por que medir el riesgo?"La medicin es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar.

    H.James Harrington

  • Delitos Informticos

  • Que es un delito?El delito es definido como una conducta tpica (tipificada por la ley), antijurdica (contraria a Derecho) y culpableSupone una conducta infraccional del Derecho penal, es decir, una accin u omisin tipificada y penada por la ley

  • Es lo mismo crimen y delito?Crimen y delito son trminos equivalentes:Su diferencia radica en que delito es genrico y por crimen se entiende un delito ms grave o especficamente un delito ofensivo en contra de las personas

  • Es un delito explorar puertos?Crear delitos, crmenes y castigos son facultades soberanas de quienes estn a la cabeza de un sistema normativoEso explica que en Singapur sea un delito mascar chicle en lugares pblicos y un crimen botarlo en el piso y en Chile sea un delito fumar marihuana incluso dentro de un espacio privado, o en Alemania el negar el holocausto

  • Que es el cibercrimen?El alcance de este trmino es an incierto, curiosamente el trmino aparece en el portal www.wikipedia.org, as: Cybercrime is a term used broadly to describe activity in which computers or networks are a tool, a target, or a place of criminal activityThese categories are not exclusive and many activities can be characterized as falling in one or more categories

  • Por que el cibercrimen?Por el desconocimiento de los riesgos e implicaciones de la tecnologaPorque libremente en Internet se encuentran herramientas para explotar vulnerabilidades, Ej.: metaesploit.orgLas nuevas generaciones de terroristas estn creciendo en un mundo digital

  • Por que el cibercrimen?Autoridades con limitaciones graves de presupuesto y atados a la lentitud de la leyLa mentalidad de los criminales es la misma respecto de delitos informticosInternet es un nuevo canal para cometer delitos

  • CiberterrorEs la convergencia entre el terrorismo y el ciberespacioSon las amenazas y ataques contra la infraestructura informtica y la informacin de un gobierno o empresaCausan dao a sistemas crticos para buscar el pnico

  • CiberterrorNo lo sentimos pero el ciberespacio esta bajo constante ataquePor el momento el carro-bomba representa una mayor amenaza que la bomba lgica. Dorothy E. Denning

  • Security Trends

  • Escenario promedio de intrusin en un delito informtico

  • 1: Reconnaissance: reconocimEl intruso hace reconocimiento de la victima mediante: Google, Prueba de conectividad con ping, traceroute, dig, nslookup, enumeracin de servicios (nmap) y finalmente hace anlisis de vulnerabilidades (nessus)

  • 2: Exploitation: (ataque)El intruso basado en el anlisis de vulnerabilidades busca el cdigo que ataca la vulnerabilidadEl objetivo mas atacado es el servidor web mediante exploits o encontrando errores de validacion en formulariosSiempre se hace desde un IP diferente al Ip desde donde se hizo el reconocimiento

  • 3: Reinforcement:(afianzar)El intruso dentro de la victima obtiene sus programas o utilitarios de ataque usando tftp, ftp o scpBorra las pistas de la penetracinInstala un backdoor para prximas penetracionesGeneralmente se parcha el sistema para que otro atacante no entre

  • 4: ConsolidationUsando otro IP diferente a los anterioresPenetra la victima por medio del backdoor ya instalado que escucha por un puerto de tipo servidorOtra opcin es que un proceso en la victima cliente IRC llama al servidor del atacante y permite ejecutar comandos remotos

  • 5: Pillage(pillaje)El intruso ejecuta la ultima parte del planGeneralmente roba informacin criticaAtaca a otras victimas basados en el IP de la victima anteriorPodra hacer lo que desee con nuestro servidor atacado

  • Ejemplo de delitos informticos

  • Total 535 Segun Dijin, Fredy Bautista Garcia, Octubre de 2007Caso Colombiano

    Grfico1

    17

    85

    15

    25

    385

    16

    8

    Sheet1

    Propiedad IntelectualAmenazasInfor.Bien JurdicoPornografa InfantilFraudeFishingRobo Inf.

    17851525385168

  • Ejemplo de delitos informticos en el sector financiero: Phising

  • http://www.elpais.com.co/paisonline/notas/Noviembre272007/robos.html

  • http://www.eltiempo.com/bogota/2007-11-30/ARTICULO-WEB-NOTA_INTERIOR-3838706.html

  • Continuacion

  • Marco Legal de los delitos en Colombia

  • Marco legal ColombianoLey 527 de 1999, comercio electrnicoLey 599 de 2000 Cdigo Penal - Artculos 195, 240, 247, 270,271, 272 Ley 679 de 2000 Estatuto para contrarrestar la Pornografa Infantil Ley 906 Cdigo de Procedimiento Penal Artculos 235,236,275

  • Marco legal ColombianoFaltan mas normas y leyes para tratar los delitos informticosLa falta de legislacin nos lleva a que la conducta punible no sea castigadaEstamos evolucionando en 2007 leyes penales se modifican

  • Educar y concientizar a los usuariosColombia necesita un marco jurdico robustoCapacitar al personal tcnico en seguridad informticaCrear grupos elite de investigacin forense en las organizacionesSeguir estndares 17799:2005 (27002:2005), 27001, Cobit

  • Reflexiones

  • Reflexiones (1/3)Si software maligno se robara la base de datos de las tarjetas de credito con sus claves cuanto perderia la organizacion?Se cuenta con estadisticas de manejo de incidentes de robos informaticos?Si una entidad de control nos pide las politicas de seguridad de la informacion, la tenemos?

  • Reflexiones (2/3)Podria facturar si se diera un atentado de bomba o terremoto ?Que pasaria si la competencia tiene la base de datos de nuestros clientes?Si nos piden el ultimo analisis de riesgos?

  • Reflexiones (3/3)Si una entidad de control nos pide el plan con fechas del disenio e implementacion del SGSI, lo tenemos?Si una entidad de control nos pide el BIA para sustentar el BCP, lo tenemos?Si nos piden las ultimas 3 auditorias tecnicas al SGSI lo tenemos?

  • En general las organizaciones no cuentan con un sistema de gestin para la seguridad de la informacin

    Por que?

  • Problemtica comn (1/4)El Cambio, los nuevos proyectos, los requerimientos de entes de Gobierno no dan tiempo al rea de Tecnologa para concentrarse en la seguridad de La informacin

    No se ha hecho un Anlisis de Riesgos que permita determinar los riesgos, amenazas y vulnerabilidades que puedan afectar la continuidad del negocio

  • Problemtica comn (2/4)

    No se han definido las polticas de seguridad de la informacin dentro de la Compaa y por tanto no existe un documento disponible para todos los funcionarios.

    No existe un plan de inversin en seguridad de la informacin que responda a los riesgos y amenazas ms relevantes

  • No hay suficientes controles concretos para disminuir los riesgos y amenazas contra la seguridad de la informacin y contra la productividad, los que existen son componentes bsicos de la infraestructura de computacin

    No hay anlisis de impacto del negocio (BIA) ni planes de contingencia que garanticen la continuidad de las operaciones en caso de desastre

    Problemtica Comn (3/4)

  • La seguridad fsica del centro de cmputo de la oficina principal, ha presentado deficiencias y problemas que no han sido evaluados y corregidos apropiadamente

    Dado que no existe el anlisis de riesgos, no hay forma sistemtica de gestionarlos para disminuirlos hasta un nivel razonableProblemtica Comn (4/4)

  • Solucin propuesta

  • Se debe disear un SGSI que reporte mtricas

    Debe permitir asegurar la informacin hasta alcanzar el equilibrio entre el ahorro logrado por la seguridad brindada y el costo de los salvaguardasSolucin: Disear un SGSI basados en ISO 27002 y 27001

  • Ciclo Metodolgico propuesto

    Debe ser un ciclo metodolgico estructurado y articulado de la siguiente manera:

  • Anlisis GAP de requerimientos de Seguridad ControlesEstado Actual

  • Anlisis de Riesgos

    Retomando toda la informacin obtenida, se debe llevar a cabo el anlisis de riesgos utilizando alguna metodologa: Ejemplo Magerit, AS NZS4360 (Para Colombia NTC5254)

  • Propuesta concretaSe recomienda iniciar por el proceso que le produce los mayores ingresos a la orgUna vez implantado y definiendo como se puede verificar y asegurar su correcto funcionamiento, se plantea ampliar su alcance e ir aadiendo nuevos procesos al SGSIDe esta manera el costo y el esfuerzo son menores

  • Propuesta con focoEl foco debe estar centrado en los controles legales y en los controles mnimos comunes que una entidad debe implantar para la seguridad de su informacinSe debe hacer transferencia de conocimientos por parte de asesores para que la organizacin sea autnoma

  • Metodologa para tratamiento de riesgo

  • Etapas para disear un SGSI

  • Anlisis de riesgos: la base de todo el sistema de gestin

    SGSI: 1-PolticaSGSI: 2-OrganizacinSGSI: 3-Gestin de activosSGSI: 4-PersonalSGSI: 5-Seguridad FsicaSGSI: 6-Comunicaciones y operacionesSGSI: 7-Control de accesoSGSI: 8-Adquisicin, mantenimiento y desarrollo de Sist. Inf.SGSI: 9-Gestin de incidentesSGSI: 10-Gestin continuidad del negocioSGSI: 11-Legislacin VigenteEtapas para disear un SGSI

  • Etapas de implementacinLa implementacin de la norma ISO 17799:2005 (ahora 27002:2005) considera 11 dominios que a su vez se reflejan en 39 objetivos de control que terminan en 133 controlesSe pueden visualizar los dominios como grupos o etapas que idealmente se deben seguir en forma secuencial pero no es mandatorio

  • Anlisis de riesgos: la base de todo el sistema de gestinPara la implantacin de un SGSI hay que tener en cuenta que todas las medidas que se implementen en la organizacin debern justificarse sobre la base del anlisis de riesgos que se haya realizado previamenteEntregable: Inventario de activos valuado con amenazas, controles, responsable

  • SGSI: 1-PoliticaLa poltica de seguridad tiene por objetivo aportar las directrices de la seguridad de la informacin de acuerdo con los requerimientos y legislacin vigente; fundamental para la implantacin del resto de los controlesEntregable: Politica de seguridad publicada y firmada por junta directiva

  • SGSI: 2-OrganizacinImplica la creacin de un comit que supervisar los diferentes aspectos de la seguridad de la informacin; ser el grupo que tendr el apoyo directo de la alta gerencia y podr conceptuar y decidir sobre los cambios del SGSIEntregable: Documento de creacion del comite, sus miembros y funciones

  • SGSI: 3-Gestion de activosEste dominio promueve la proteccin y tratamiento de los activos de informacin importantes para la organizacin; establece responsabilidades sobre ellos y clasifica la informacin basada en su confidencialidadEntregable: Documento con la clasificacion de los activos de informacion

  • SGSI: 4-PersonalLa seguridad de la informacin depende del recurso humano (ing.social), deberan implantarse controles de seguridad que abarquen el ciclo de vida de los trabajadores, desde su seleccin hasta el momento en que dejen la organizacinEntregable: Documento con plan de capacitacion sobre politicas de seguridad de la informacion

  • SGSI: 5-Seguridad FsicaAspectos relativos a la seguridad fsica de la organizacin, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad fsica de los equipos Entregable: Documento de auditoria sobre controles existentes y mejoras

  • SGSI: 6-Comunicaciones y operacionesSe tratan todos los aspectos relativos a la seguridad de las operacionesConsidera el mayor numero de controles legales y mecanismos conocidos de proteccin de la informacinEntregable: Documento con sugerencias y soluciones especificas ademas de la segregacion de funciones

  • SGSI: 7-Control de accesoEn este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la informacin que se est protegiendo, puede considerarse que este dominio se refiere a los accesos lgicos a la informacin; no tiene que ver con lo fisicoEntregable: Documento de politicas con segregacion de roles, gestion contrasenias

  • SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sistemas de InformacinRealizar pruebas tcnicas como:Anlisis de vulnerabilidades de la redPruebas de penetracin a cada servidor de datosRevisin de configuraciones de dispositivos de redEntregable: Documento con el resultado de las pruebas tecnicas

  • SGSI: 9-Gestion de incidentesA pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mnimo posibleEntregable: Documento de tipo plantilla para que el rea de atencin de incidentes pueda manejarlos

  • SGSI: 10-Gestion continuidad del negocioEl objetivo de la seguridad de la informacin es evitar que las actividades propias de la organizacin se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organizacin son imprescindiblesEntregables: Documento que muestre el analisis del impacto del negocio en caso de desastre

  • SGSI: 11-Legislacion VigenteEste ltimo dominio trata de garantizar el cumplimiento de la legislacin vigente y de las regulaciones que afecten a la organizacin. Cada sector en particular adems de la normatividad general tiene su propia legislacinEntregable: Documento con matriz de regulaciones contra cumplimiento

  • Conclusiones

  • Conclusiones (1/2)Se debe gestionar el riesgo para conocer sus vulnerabilidades e impactoSe debe gestionar el riesgo basados en un SGSI para administrar los incidentes de la SIHay que hacer auditorias tcnicas para evaluar si se estn cumpliendo las normas mnimasSe debe buscar gradualmente la certificacin ISO 27001:2005 pero esto no se debe hacer en el momento del diseo del sistema de gestin

  • Conclusiones (2/2)

    La seguridad de la informacin no es un problema de ndole tecnolgicoHay que hacer BIA para mejores planes de contingencia o BCPSe debe probar con mnimo 6 meses de diseo e implementacin

  • BibliografiaIcontec Norma ISO NSC 17799:2005 (Ahora 27002:2005)Icontec Norma ISO NSC 27001Borradores del proyecto sobre SGSI de la superintendencia financieraReal Digital Forensics, Keith J. Jones, Addison-Wesley, 2006Revista Sistemas, Acis # 96, Jeimy Cano, abril-junio 2006

  • Ms informacin en www.globalteksecurity.com, Email: [email protected]

    Como nos mediran las entidades de control?

    *********************************************