Delitos informticos en el sector financiero

Armando Carvajal Gerente Consultora - globalteksecurity Master en seguridad informtica Universidad Oberta de inform Catalunya Especialista en construccin de software para redes construcci Uniandes Ing. Sistemas Universidad Incca de Colombia

Antecedentes

QU ES EL RIESGO?
Es la Incertidumbre sobre la ocurrencia de un evento que afecte el logro de los objetivos de la organizacin mediante el siniestro de activos Amenazas? Vulnerabilidades? Impacto?

EL RIESGO OPERACIONAL

Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnologa, la infraestructura o por la ocurrencia de acontecimientos externos

EL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIN DEL TERRORISMO

Es la posibilidad de prdida o dao que puede sufrir una entidad vigilada por su propensin a ser utilizada directamente o a travs de sus operaciones como instrumento para el lavado de activos y/o canalizacin de recursos hacia la realizacin de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades

Mapa mundial - Riesgo operativo

Circulares Superfinanciera

La Circular Externa 041 de 2007, aprob la implementacin del Sistema de Administracin de Riesgo Operativo

Circulares Superfinanciera
La Circular Externa 052 de 2007, trata sobre los requerimientos mnimos de seguridad y calidad en el manejo de informacin a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios

Administracin del riesgo - Estrategia Reactiva

Las estrategias de riesgo reactivas se han denominado humorsticamente "Escuela de gestin del riesgo de Indiana Jones En las pelculas, Indiana Jones, cuando se enfrentaba a una dificultad insuperable, siempre deca "No te preocupes, pensar en algo!". Nunca se preocupaba de los problemas hasta que ocurran, entonces reaccionaba como un hroe
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html

Administracin del riesgo - Estrategia Proactiva

Una estrategia considerablemente ms inteligente para el control del riesgo es ser proactivo La estrategia proactiva empieza mucho antes de que comiencen los trabajos tcnicos Se identifican los riesgos potenciales, se valoran su probabilidad y su impacto y se establece una prioridad segn su importancia
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html

Identifique

Identificar riesgos y amenazas

Mida

Retroalimenta r y Medir

Evale
Controle
Evaluar el impacto en A. xxxxxx

Controlar y (minimizar) las amenazas

La Informacin es un activo?

La informacin es un activo y como cualquier otro activo que genera valor al patrimonio, ste es importante para la organizacin y por consiguiente debe ser adecuadamente protegido

Relacin entre riesgos y activos

Los riesgos son inherentes a los activos de la organizacin y la nica forma de administrarlos es gestionndolos Se debe hacer anlisis de riesgos para hacer gestin de la seguridad de la informacin

Matriz de Riesgo Consolidada

Una vez Evaluados los activos, las amenazas, la probabilidad de ocurrencia de los riesgos y el nivel del impacto en el sistema de informacin, podemos construir esta matriz de riesgo consolidada la cual nos da las prioridades de inversin en seguridad informtica (sealados en rojo)

Por que medir el riesgo?

"La medicin es el primer paso para el control y la mejora. puede medir, no se puede entender. Si no se entiende, controlar. Si no se puede controlar, no se puede mejorar. Si algo no se no se puede

H.James Harrington

Delitos Informticos

Que es un delito?
El delito es definido como una conducta tpica (tipificada por la ley), antijurdica (contraria a Derecho) y culpable Supone una conducta infraccional del Derecho penal, es decir, una accin u omisin tipificada y penada por la ley

Es lo mismo crimen y delito?

Crimen y delito son trminos equivalentes: Su diferencia radica en que delito es genrico y por crimen se entiende un delito ms grave o especficamente un delito ofensivo en contra de las personas

Es un delito explorar puertos?

Crear delitos, crmenes y castigos son facultades soberanas de quienes estn a la cabeza de un sistema normativo Eso explica que en Singapur sea un delito mascar chicle en lugares pblicos y un crimen botarlo en el piso y en Chile sea un delito fumar marihuana incluso dentro de un espacio privado, o en Alemania el negar el holocausto

Que es el cibercrimen?
El alcance de este trmino es an incierto, curiosamente el trmino aparece en el portal www.wikipedia.org, as: Cybercrime is a term used broadly to describe activity in which computers or networks are a tool, a target, or a place of criminal activity These categories are not exclusive and many activities can be characterized as falling in one or more categories

Por que el cibercrimen?

Por el desconocimiento de los riesgos e implicaciones de la tecnologa Porque libremente en Internet se encuentran herramientas para explotar vulnerabilidades, Ej.: metaesploit.org Las nuevas generaciones de terroristas estn creciendo en un mundo digital

Por que el cibercrimen?

Autoridades con limitaciones graves de presupuesto y atados a la lentitud de la ley La mentalidad de los criminales es la misma respecto de delitos informticos Internet es un nuevo canal para cometer delitos

Ciberterror
Es la convergencia entre el terrorismo y el ciberespacio Son las amenazas y ataques contra la infraestructura informtica y la informacin de un gobierno o empresa Causan dao a sistemas crticos para buscar el pnico

Ciberterror
No lo sentimos pero el ciberespacio esta bajo constante ataque Por el momento el carro-bomba representa una mayor amenaza que la bomba lgica. Dorothy E. Denning

Security Trends

Escenario promedio de intrusin en un delito informtico

1: Reconnaissance: reconocim
El intruso hace reconocimiento de la victima mediante: Google, Prueba de conectividad con ping, traceroute, dig, nslookup, enumeracin de servicios (nmap) y finalmente hace anlisis de vulnerabilidades (nessus)

2: Exploitation: (ataque)
El intruso basado en el anlisis de vulnerabilidades busca el cdigo que ataca la vulnerabilidad El objetivo mas atacado es el servidor web mediante exploits o encontrando errores de validacion en formularios Siempre se hace desde un IP diferente al Ip desde donde se hizo el reconocimiento

3: Reinforcement:(afianzar)
El intruso dentro de la victima obtiene sus programas o utilitarios de ataque usando tftp, ftp o scp Borra las pistas de la penetracin Instala un backdoor para prximas penetraciones Generalmente se parcha el sistema para que otro atacante no entre

4: Consolidation
Usando otro IP diferente a los anteriores Penetra la victima por medio del backdoor ya instalado que escucha por un puerto de tipo servidor Otra opcin es que un proceso en la victima cliente IRC llama al servidor del atacante y permite ejecutar comandos remotos

5: Pillage(pillaje)
El intruso ejecuta la ultima parte del plan Generalmente roba informacin critica Ataca a otras victimas basados en el IP de la victima anterior Podra hacer lo que desee con nuestro servidor atacado

Ejemplo de delitos informticos

Caso Colombiano

Total 535

Segun Dijin, Fredy Bautista Garcia, Octubre de 2007

Ejemplo de delitos informticos en el sector financiero: Phising

http://www.elpais.com.co/paisonline/notas/Noviem bre272007/robos.html

http://www.eltiempo.com/bogota/2007-11-30/ARTICULO-WEB-NOTA_INTERIOR-3838706.html

Continuacion

Marco Legal de los delitos en Colombia

Marco legal Colombiano

Ley 527 de 1999, comercio electrnico Ley 599 de 2000 Cdigo Penal - Artculos 195, 240, 247, 270,271, 272 Ley 679 de 2000 Estatuto para contrarrestar la Pornografa Infantil Ley 906 Cdigo de Procedimiento Penal Artculos 235,236,275

Marco legal Colombiano

Faltan mas normas y leyes para tratar los delitos informticos La falta de legislacin nos lleva a que la conducta punible no sea castigada Estamos evolucionando en 2007 leyes penales se modifican

Educar y concientizar a los usuarios

Colombia necesita un marco jurdico robusto Capacitar al personal tcnico en seguridad informtica Crear grupos elite de investigacin forense en las organizaciones Seguir estndares 17799:2005 (27002:2005), 27001, Cobit

Reflexiones

Reflexiones (1/3)
Si software maligno se robara la base de datos de las tarjetas de credito con sus claves cuanto perderia la organizacion? Se cuenta con estadisticas de manejo de incidentes de robos informaticos? Si una entidad de control nos pide las politicas de seguridad de la informacion, la tenemos?

Reflexiones (2/3)
Podria facturar si se diera un atentado de bomba o terremoto ? Que pasaria si la competencia tiene la base de datos de nuestros clientes? Si nos piden el ultimo analisis de riesgos?

Reflexiones (3/3)
Si una entidad de control nos pide el plan con fechas del disenio e implementacion del SGSI, lo tenemos? Si una entidad de control nos pide el BIA para sustentar el BCP, lo tenemos? Si nos piden las ultimas 3 auditorias tecnicas al SGSI lo tenemos?

En general las organizaciones no cuentan con un sistema de gestin para la seguridad de la informacin Por que?

Problemtica comn (1/4)

El Cambio, los nuevos proyectos, los requerimientos de entes de Gobierno no dan tiempo al rea de Tecnologa para concentrarse en la seguridad de La informacin No se ha hecho un Anlisis de Riesgos que permita determinar los riesgos, amenazas y vulnerabilidades que puedan afectar la continuidad del negocio

Problemtica comn (2/4)

No se han definido las polticas de seguridad de la informacin dentro de la Compaa y por tanto no existe un documento disponible para todos los funcionarios. No existe un plan de inversin en seguridad de la informacin que responda a los riesgos y amenazas ms relevantes

Problemtica Comn (3/4)

No hay suficientes controles concretos para disminuir los riesgos y amenazas contra la seguridad de la informacin y contra la productividad, los que existen son componentes bsicos de la infraestructura de computacin No hay anlisis de impacto del negocio (BIA) ni planes de contingencia que garanticen la continuidad de las operaciones en caso de desastre

Problemtica Comn (4/4)

La seguridad fsica del centro de cmputo de la oficina principal, ha presentado deficiencias y problemas que no han sido evaluados y corregidos apropiadamente Dado que no existe el anlisis de riesgos, no hay forma sistemtica de gestionarlos para disminuirlos hasta un nivel razonable

Solucin propuesta

Solucin: Disear un SGSI basados en ISO 27002 y 27001

Se debe disear un SGSI que reporte mtricas Debe permitir asegurar la informacin hasta alcanzar el equilibrio entre el ahorro logrado por la seguridad brindada y el costo de los salvaguardas

Ciclo Metodolgico propuesto

Debe ser un ciclo metodolgico estructurado y articulado de la siguiente manera:
Entendimiento de los Requerimientos Cualquier segmento Determinacin de la Brecha Anlisis GAP Anlisis del Riesgo

Elaboracin Planes de Tratamiento

Evaluacin del Riesgo

Documentacin e implantacin SGSI

Definicin Polticas de Seguridad

Acompaamiento de un tercero experto

Anlisis GAP de requerimientos de Seguridad

Activos de Informacin, documentacin y Controles Existentes

Requerimientos de Certificacin Requerimientos de Seguridad

Anlisis GAP (Brecha)

Activos Valorados

Alistamiento para el Anlisis de Riesgos

Estado de Implantacin

Estado Deseable = ? Una ilusin ?

Estado Actual

Controles

Anlisis de Riesgos Retomando toda la informacin obtenida, se debe llevar a cabo el anlisis de riesgos utilizando alguna metodologa: Ejemplo Magerit, AS NZS4360 (Para Colombia NTC5254)
Comunicacin Definir el Contexto Seguimiento y Monitoreo Anlisis GAP

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos Anlisis Riesgos Tratar Riesgos Tratamiento

Propuesta concreta
Se recomienda iniciar por el proceso que le produce los mayores ingresos a la org Una vez implantado y definiendo como se puede verificar y asegurar su correcto funcionamiento, se plantea ampliar su alcance e ir aadiendo nuevos procesos al SGSI De esta manera el costo y el esfuerzo son menores

Propuesta con foco

El foco debe estar centrado en los controles legales y en los controles mnimos comunes que una entidad debe implantar para la seguridad de su informacin Se debe hacer transferencia de conocimientos por parte de asesores para que la organizacin sea autnoma

Metodologa para tratamiento de riesgo

Evaluacin de Riesgo

Riesgo Aceptable?

Aceptar

Seguimiento y Monitoreo

Eliminar Comunicacin

Prevenir

Proteger

Transferir

Considerar Posibilidad, Costo y beneficio

Recomendar Estrategias de Tratamiento

Seleccionar Estrategia de tratamiento

Preparar Planes de Tratamiento (Recursos y Tiempo necesarios)

Eliminar

Prevenir

Proteger

Transferir

Riesgo Aceptable?

Aceptar

Etapas para disear un SGSI

Etapas para disear un SGSI

Anlisis de riesgos: la base de todo el sistema de gestin SGSI: 1-Poltica SGSI: 2-Organizacin SGSI: 3-Gestin de activos SGSI: 4-Personal SGSI: 5-Seguridad Fsica SGSI: 6-Comunicaciones y operaciones SGSI: 7-Control de acceso SGSI: 8-Adquisicin, mantenimiento y desarrollo de Sist. Inf. SGSI: 9-Gestin de incidentes SGSI: 10-Gestin continuidad del negocio SGSI: 11-Legislacin Vigente

Etapas de implementacin
La implementacin de la norma ISO 17799:2005 (ahora 27002:2005) considera 11 dominios que a su vez se reflejan en 39 objetivos de control que terminan en 133 controles Se pueden visualizar los dominios como grupos o etapas que idealmente se deben seguir en forma secuencial pero no es mandatorio

Anlisis de riesgos: la base de todo el sistema de gestin

Para la implantacin de un SGSI hay que tener en cuenta que todas las medidas que se implementen en la organizacin debern justificarse sobre la base del anlisis de riesgos que se haya realizado previamente
Entregable: Inventario de activos valuado con amenazas, controles, responsable

SGSI: 1-Politica
La poltica de seguridad tiene por objetivo aportar las directrices de la seguridad de la informacin de acuerdo con los requerimientos y legislacin vigente; fundamental para la implantacin del resto de los controles
Entregable: Politica de seguridad publicada y firmada por junta directiva

SGSI: 2-Organizacin
Implica la creacin de un comit que supervisar los diferentes aspectos de la seguridad de la informacin; ser el grupo que tendr el apoyo directo de la alta gerencia y podr conceptuar y decidir sobre los cambios del SGSI
Entregable: Documento de creacion del comite, sus miembros y funciones

SGSI: 3-Gestion de activos

Este dominio promueve la proteccin y tratamiento de los activos de informacin importantes para la organizacin; establece responsabilidades sobre ellos y clasifica la informacin basada en su confidencialidad
Entregable: Documento con la clasificacion de los activos de informacion

SGSI: 4-Personal
La seguridad de la informacin depende del recurso humano (ing.social), deberan implantarse controles de seguridad que abarquen el ciclo de vida de los trabajadores, desde su seleccin hasta el momento en que dejen la organizacin
Entregable: Documento con plan de capacitacion sobre politicas de seguridad de la informacion

SGSI: 5-Seguridad Fsica

Aspectos relativos a la seguridad fsica de la organizacin, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad fsica de los equipos
Entregable: Documento de auditoria sobre controles existentes y mejoras

SGSI: 6-Comunicaciones y operaciones

Se tratan todos los aspectos relativos a la seguridad de las operaciones Considera el mayor numero de controles legales y mecanismos conocidos de proteccin de la informacin
Entregable: Documento con sugerencias y soluciones especificas ademas de la segregacion de funciones

SGSI: 7-Control de acceso

En este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la informacin que se est protegiendo, puede considerarse que este dominio se refiere a los accesos lgicos a la informacin; no tiene que ver con lo fisico
Entregable: Documento de politicas con segregacion de roles, gestion contrasenias

SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sistemas de Informacin Realizar pruebas tcnicas como: Anlisis de vulnerabilidades de la red Pruebas de penetracin a cada servidor de datos Revisin de configuraciones de dispositivos de red
Entregable: Documento con el resultado de las pruebas tecnicas

SGSI: 9-Gestion de incidentes

A pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mnimo posible
Entregable: Documento de tipo plantilla para que el rea de atencin de incidentes pueda manejarlos

El objetivo de la seguridad de la informacin es evitar que las actividades propias de la organizacin se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organizacin son imprescindibles
Entregables: Documento que muestre el analisis del impacto del negocio en caso de desastre

SGSI: 10-Gestion continuidad del negocio

SGSI: 11-Legislacion Vigente

Este ltimo dominio trata de garantizar el cumplimiento de la legislacin vigente y de las regulaciones que afecten a la organizacin. Cada sector en particular adems de la normatividad general tiene su propia legislacin
Entregable: Documento con matriz de regulaciones contra cumplimiento

Conclusiones

Conclusiones (1/2)
Se debe gestionar el riesgo para conocer sus vulnerabilidades e impacto Se debe gestionar el riesgo basados en un SGSI para administrar los incidentes de la SI Hay que hacer auditorias tcnicas para evaluar si se estn cumpliendo las normas mnimas Se debe buscar gradualmente la certificacin ISO 27001:2005 pero esto no se debe hacer en el momento del diseo del sistema de gestin

Conclusiones (2/2)
La seguridad de la informacin no es un problema de ndole tecnolgico Hay que hacer BIA para mejores planes de contingencia o BCP Se debe probar con mnimo 6 meses de diseo e implementacin

Bibliografia
Icontec Norma ISO NSC 17799:2005 (Ahora 27002:2005) Icontec Norma ISO NSC 27001 Borradores del proyecto sobre SGSI de la superintendencia financiera Real Digital Forensics, Keith J. Jones, AddisonWesley, 2006 Revista Sistemas, Acis # 96, Jeimy Cano, abriljunio 2006

Como nos mediran las entidades de control?

Ms informacin en www.globalteksecurity.com, Email: info@globalteksecurity.com