Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Delitos Informaticos en El Sector Financiero
Delitos Informaticos en El Sector Financiero
financiero
Armando Carvajal
Gerente Consultora - globalteksecurity
Master en seguridad inform
informtica Universidad Oberta de
Catalunya
Especialista en construcci
construccin de software para redes Uniandes
Ing. Sistemas Universidad Incca de Colombia
Antecedentes
QU ES EL RIESGO?
Es la Incertidumbre sobre la ocurrencia de un evento
que afecte el logro de los objetivos de la organizacin
mediante el siniestro de activos
Amenazas?
Vulnerabilidades?
Impacto?
EL RIESGO OPERACIONAL
Circulares Superfinanciera
Circulares Superfinanciera
La Circular Externa 052 de 2007, trata
sobre los requerimientos mnimos de
seguridad y calidad en el manejo de
informacin a travs de medios y canales
de distribucin de productos y servicios
para clientes y usuarios
Controlar y (minimizar)
las amenazas
Se
identifican
los
riesgos
potenciales,
se
valoran
su
probabilidad y su impacto y se
establece una prioridad segn su
importancia
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html
Evale
Identificar
riesgos y
amenazas
Mida
Controle
Evaluar el
impacto en A.
xxxxxx
La Informacin es un activo?
La informacin es un activo y
como cualquier otro activo que
genera valor al patrimonio, ste
es
importante
para
la
organizacin y por consiguiente
debe
ser
adecuadamente
protegido
Si algo no se
no se puede
H.James Harrington
Delitos Informticos
Que es un delito?
El delito es definido como una conducta
tpica (tipificada por la ley), antijurdica
(contraria a Derecho) y culpable
Supone una conducta infraccional del
Derecho penal, es decir, una accin u
omisin tipificada y penada por la ley
Que es el cibercrimen?
El alcance de este trmino es an incierto,
curiosamente el trmino aparece en el portal
www.wikipedia.org, as: Cybercrime is a term
used broadly to describe activity in which
computers or networks are a tool, a target, or a
place of criminal activity
These categories are not exclusive and many
activities can be characterized as falling in one
or more categories
Ciberterror
Es la convergencia entre el terrorismo y el
ciberespacio
Son las amenazas y ataques contra la
infraestructura informtica y la informacin
de un gobierno o empresa
Causan dao a sistemas crticos para
buscar el pnico
Ciberterror
No lo sentimos pero el ciberespacio
esta bajo constante ataque
Por el momento el carro-bomba
representa una mayor amenaza que la
bomba lgica. Dorothy E. Denning
Security Trends
Escenario promedio de
intrusin en un delito
informtico
1: Reconnaissance: reconocim
El intruso hace reconocimiento de la
victima mediante:
Google, Prueba de conectividad con ping,
traceroute, dig, nslookup, enumeracin de
servicios (nmap) y finalmente hace
anlisis de vulnerabilidades (nessus)
2: Exploitation: (ataque)
El intruso basado en el anlisis de
vulnerabilidades busca el cdigo que
ataca la vulnerabilidad
El objetivo mas atacado es el servidor
web mediante exploits o encontrando
errores de validacion en formularios
Siempre se hace desde un IP diferente al
Ip desde donde se hizo el reconocimiento
3: Reinforcement:(afianzar)
El intruso dentro de la victima obtiene sus
programas o utilitarios de ataque usando tftp, ftp
o scp
Borra las pistas de la penetracin
Instala un backdoor para prximas
penetraciones
Generalmente se parcha el sistema para que
otro atacante no entre
4: Consolidation
Usando otro IP diferente a los anteriores
Penetra la victima por medio del backdoor ya
instalado que escucha por un puerto de tipo
servidor
Otra opcin es que un proceso en la victima
cliente IRC llama al servidor del atacante y
permite ejecutar comandos remotos
5: Pillage(pillaje)
Ejemplo de delitos
informticos
Caso Colombiano
Total 535
Ejemplo de delitos
informticos en el sector
financiero: Phising
http://www.elpais.com.co/paisonline/notas/Noviem
bre272007/robos.html
http://www.eltiempo.com/bogota/2007-11-30/ARTICULO-WEB-NOTA_INTERIOR-3838706.html
Continuacion
Reflexiones
Reflexiones (1/3)
Si software maligno se robara la base de datos
de las tarjetas de credito con sus claves cuanto
perderia la organizacion?
Se cuenta con estadisticas de manejo de
incidentes de robos informaticos?
Si una entidad de control nos pide las politicas
de seguridad de la informacion, la tenemos?
Reflexiones (2/3)
Podria facturar si se diera un atentado de
bomba o terremoto ?
Que pasaria si la competencia tiene la
base de datos de nuestros clientes?
Si nos piden el ultimo analisis de riesgos?
Reflexiones (3/3)
Si una entidad de control nos pide el plan
con fechas del disenio e implementacion
del SGSI, lo tenemos?
Si una entidad de control nos pide el BIA
para sustentar el BCP, lo tenemos?
Si nos piden las ultimas 3 auditorias
tecnicas al SGSI lo tenemos?
Solucin propuesta
Determinacin de la
Brecha
Anlisis GAP
Elaboracin Planes de
Tratamiento
Documentacin e
implantacin SGSI
Definicin Polticas de
Seguridad
Acompaamiento de un
tercero experto
Activos
de
Informacin,
documentacin y
Controles
Existentes
Requerimientos de Certificacin
Anlisis
GAP
(Brecha)
Activos Valorados
Requerimientos de Seguridad
Estado de
Implantacin
Estado Actual
Controles
Alistamiento
para el
Anlisis de
Riesgos
Anlisis de Riesgos
Retomando toda la informacin obtenida, se debe llevar a cabo el
anlisis de riesgos utilizando alguna metodologa: Ejemplo Magerit, AS
NZS4360 (Para Colombia NTC5254)
Comunicacin
Definir el Contexto
Seguimiento y
Monitoreo
Anlisis GAP
Identificar Riesgos
Analizar Riesgos
Evaluar Riesgos
Anlisis Riesgos
Tratar Riesgos
Tratamiento
Propuesta concreta
Se recomienda iniciar por el proceso que le
produce los mayores ingresos a la org
Una vez implantado y definiendo como se
puede verificar y asegurar su correcto
funcionamiento, se plantea ampliar su alcance
e ir aadiendo nuevos procesos al SGSI
De esta manera el costo y el esfuerzo son
menores
Riesgo
Aceptable?
Eliminar
Comunicacin
Prevenir
Aceptar
Proteger
Transferir
Eliminar
Prevenir
Riesgo
Aceptable?
Proteger
Transferir
Aceptar
Seguimiento y
Monitoreo
Etapas de implementacin
La implementacin de la norma ISO 17799:2005
(ahora 27002:2005) considera 11 dominios que a
su vez se reflejan en 39 objetivos de control
que terminan en 133 controles
Se pueden visualizar los dominios como grupos
o etapas que idealmente se deben seguir en
forma secuencial pero no es mandatorio
SGSI: 1-Politica
La poltica de seguridad tiene por objetivo
aportar las directrices de la seguridad de
la informacin de acuerdo con los
requerimientos y legislacin vigente;
fundamental para la implantacin del
resto de los controles
Entregable: Politica de seguridad publicada y firmada por
junta directiva
SGSI: 2-Organizacin
Implica la creacin de un comit que
supervisar los diferentes aspectos de la
seguridad de la informacin; ser el grupo
que tendr el apoyo directo de la alta
gerencia y podr conceptuar y decidir
sobre los cambios del SGSI
Entregable: Documento de creacion del comite, sus
miembros y funciones
SGSI: 4-Personal
La seguridad de la informacin depende del
recurso humano (ing.social), deberan
implantarse controles de seguridad que
abarquen el ciclo de vida de los
trabajadores, desde su seleccin hasta el
momento en que dejen la organizacin
Entregable: Documento con plan de capacitacion sobre
politicas de seguridad de la informacion
SGSI: 6-Comunicaciones y
operaciones
Se tratan todos los aspectos relativos a la
seguridad de las operaciones
Considera el mayor numero de controles
legales y mecanismos conocidos de
proteccin de la informacin
Entregable: Documento con sugerencias y soluciones
especificas ademas de la segregacion de
funciones
Conclusiones
Conclusiones (1/2)
Se debe gestionar el riesgo para conocer sus
vulnerabilidades e impacto
Se debe gestionar el riesgo basados en un SGSI para
administrar los incidentes de la SI
Hay que hacer auditorias tcnicas para evaluar si se
estn cumpliendo las normas mnimas
Se debe buscar gradualmente la certificacin ISO
27001:2005 pero esto no se debe hacer en el momento
del diseo del sistema de gestin
Conclusiones (2/2)
La seguridad de la informacin no es un
problema de ndole tecnolgico
Hay que hacer BIA para mejores planes
de contingencia o BCP
Se debe probar con mnimo 6 meses de
diseo e implementacin
Bibliografia
Icontec Norma ISO NSC 17799:2005 (Ahora
27002:2005)
Icontec Norma ISO NSC 27001
Borradores del proyecto sobre SGSI de la
superintendencia financiera
Real Digital Forensics, Keith J. Jones, AddisonWesley, 2006
Revista Sistemas, Acis # 96, Jeimy Cano, abriljunio 2006