1 IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y FORMACION SOBRE GOBIERNO Y SOCIEDAD.

1

IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y FORMACION SOBRE GOBIERNO Y SOCIEDAD

Gobierno DigitalGobierno Digital

e-governmente-government

Seguridad y Fraudes en los Seguridad y Fraudes en los

Sistemas InformáticosSistemas Informáticos

Juan Sabalain – Pablo SiscaJuan Sabalain – Pablo Sisca

[email protected]

[email protected]

Agosto de 2002© 2002 CYBSEC S.A.

2

mailto:[email protected]

mailto:[email protected]

3© 2002 CYBSEC S.A.

Seguridad y Fraudes en los Sistemas InformáticosSeguridad y Fraudes en los Sistemas Informáticos

TemarioTemario

- El Fraude Informático.

- Seguridad en el e-government.

- Responsabilidades en Internet.

- Soluciones de Seguridad para el e-government.


El Fraude InformáticoEl Fraude Informático

¿Qué son los ACTIVOS INFORMATICOS ?

Es el valor de los datos que se mantienen y administran

con los equipos informáticos.

Recientemente se toma conciencia que lo mas valiosoen un sistema informático, es la información que se encuentra almacenada en los equipos y no el costode los equipos y los sistemas.



El nuevo valor de la información requiere Seguridad y esto significa mantener:

LA CONFIABILIDAD LA DISPONIBILIDAD LA CONTINUIDAD

de los sistemas y sus datos.



¿Qué es un Incidente de Seguridad?

Es el acceso a un Sistema Informático con la intención de producir beneficio económico, fraude, dolo, etc.

Sus objetivos mas comunes son:

- Ingreso no autorizado a un Server.- Robo de información.- Modificación de datos.- Uso de los recursos sin autorización.



¿Por qué la mayoría de los casos de

fraude informático no se reportan?

- Publicidad negativa.- Falta de normas legales.

¿Qué medidas se pueden tomar en caso de un fraude informático?



Prevención del Fraude Informático

Podremos considerar que un sistema informático garantiza LA SEGURIDAD y previene EL FRAUDE cuando contempla los siguientes factores:

FACTOR HUMANO FACTOR TECNOLÓGICO

- Motivación y ética del personal. - El Sistema es confiable.

- Conciencia de las consecuencias. - Existen políticas adecuadas. - Profesionales interdisciplinarios.


Seguridad en el e-governmentSeguridad en el e-government

- Filosofía de Internet.

- El e-government funciona sobre Internet.

- Existen grandes riesgos, que son manejables.

- Existen grandes beneficios, que son indiscutibles.



Un Sistema de e-government con un nivel de seguridad

realmente efectivo y homogéneo es posible.

Exige un marcado cambio de filosofia: en el e-government,

la seguridad es un componente básico de todo el

proceso, no es un opcional condicionado a tiempos y costos.


Una digresión, hablemos del Estado y de InternetUna digresión, hablemos del Estado y de Internet

Los Estados, la Administración Publica nacen hace

miles de años (Grecia, Roma, etc.)

Internet nace en forma masiva hace 6 años.

El desafío, es integrar ambas historias y funcionalidades

en un conjunto armónico y ..................EFICIENTE

Esto representa dos culturas y dos dimensiones en

el tiempo.



Los Estados y las Administraciones disponen de:

Leyes y Normas

Jurisdiccion territorial

Personas fisicas y juridicas.

Poder ofensivo y defensivo.

Internet dispone:

Solo del cyberespacio, donde todo es posible.


El desafío posible: la convergencia de los ambientes;

La convergencia entre:

• Gestión del Estado o de la Administración

• Funcionalidades informaticas

es el: e-government



¿cuál es el potencial hoy del e-government?

-Permitir la interaccion entre la Administración

Publica, Ciudadanos y Empresas en tiempo real.

-Esto es posible mediante el uso de procesos

informáticos locales y remotos, que administran

documentos digitales y disponen de las

capacidades necesarias para autenticar

ambos extremos de la transaccion.

Funcionamiento básico del e-government



Sistema dee-government

Cliente(Browser)

http:https:

INTERNET



Vulnerabilidades en el Sistema de e-government

Sistema dee-government

Software de

e-government

Plataforma

(Sistema Operativo)

Un intruso puede interceptarinterceptar la

información que viaja en Internet.



Vulnerabilidades en la transmisión de la Información

5399021201212121

¿Qué puede hacer un intruso?

- Lectura

- Modificación

- Borrado - Destruccion

- Falsificación.

INTERNET



Vulnerabilidades en el Cliente

- Un Web Site Malicioso puede robar información de la

computadora del Cliente.

-Un Web Site Malicioso puede simular y fingir ser un Site

de e-government

¿Se debe proteger a los usuarios?

SI, es condición básica de cualquier desarrollo que

el usuario este efectivamente protegido.



Se registran millones de dólares anuales por fraude en

Internet , y todo hace prever que al menos los intentos de

fraude documental y de todo tipo serán de gran volumen

en el inicio del e-government.

¿Qué hacer?

- Brindar información y concientizar a la gente.

- Garantizar la privacidad y confidencialidad.

- Generar confianza en los Sites de e-government.

¿ Como se protege un Sistema de e-government ante ataques informáticos?

Tipos de ataques informáticos:

- Ataques de denegación de servicio- Cambio de Página del Sistema.- Fraude documental, etc.etc.- Fraude de identidad.

- Robo de información.

- Sabotaje.


Responsabilidades en InternetResponsabilidades en Internet



¿Quién protege a un usuario del sectorpublico o privado, en caso de ser es atacadopor un intruso informatico?

Ataques informáticos a usuarios:

- Uso indebido de la identidad.

- Uso no autorizado del equipo informático.

- Destrucción de la información.

- Robo de información.

- Denegación de Servicio.



-Los fraudes y delitos se producen en Internet y en los sistemas que se conectan por la red. Esta configuración es la que básicamente se utiliza en ele-government.

-Lo normal es que la Administración Publica administrael e-government.

-La responsabilidad de Asegurar el e-government es de quien lo administra. Asegurar es una actividad de 24 hs. por 365 días.



¿Quién es responsable de la seguridad de Internet?

- El usuario.- Las empresas.- El Estado.- Estados Unidos, la UE- El mundo??.

Es una responsabilidad de TODOS


Soluciones de Seguridad para el e-governmentSoluciones de Seguridad para el e-government

Existen herramientas para solucionar los problemas de

Seguridad Informática.

- Diseño en un entorno asegurado.

- Firewalls.

- Sistemas de detección de intrusiones.

- Certificados digitales.

- Encriptación de las comunicaciones.

- Penetration Test periódicos.

- Actualización constante.


Diseño en un entorno aseguradoiseño en un entorno asegurado

El diseño seguro de un Sistema de e-government debe

realizarse teniendo en cuenta:

- Seguridad de toda la red.

- Seguridad de la plataforma a utilizar.

- Seguridad de la aplicaciones.




FirewallsFirewalls

Un sistema que permite cumplir con una política de acceso.

Se utiliza para proteger una red de computadoras seguras

conectada a una red insegura (Internet).

FirewallRed Interna

INTERNET



Sistemas de detección de intrusionesSistemas de detección de intrusiones

- Son sistemas diseñados para detectar en forma continua

cuando un intruso trata de ingresar en forma no autorizada

o trata de realizar una acción “peligrosa” y/o ofensiva.

- Los IDS funcionan las 24 horas, los 365 días del año.

- Detectan intrusiones en tiempo real tomando acciones

preestablecidas.

- Disparan alarmas según procedimientos preestablecidos.


Certificados digitalesCertificados digitales

Elevan el nivel de seguridad en el Sistema de e-government,

ya que el Usuario sabe que opera en un Site seguro.

Permiten autenticar personas y equipos informáticos.

Permiten además activar la encriptación de la información que

se transmite.



Encriptación de las comunicacionesEncriptación de las comunicaciones

Las comunicaciones que se transmiten entre los Sistemas

Informáticos se deben encriptar con algoritmos fuertes cuando

los datos viajan por redes públicas no seguras.

El protocolo de encriptación más utilizando en Internet es el

SSLSSL, que es muy fuerte y se encuentra presente en la mayoría

de los Browsers.



Penetration Test periódicosPenetration Test periódicos

Se trata de emular y simular comportamientos y técnicas que

son utilizadas por intrusos para producir incidentes de seguridad,

Esta metodología es muy eficiente para analizar el nivel de

seguridad real y el grado de exposición al riesgo, de los

sistemas de e-government ante posibles ataques y/o incidentes.

Permite detectar vulnerabilidades en sistemas tales como el

e-government y corregirlas en forma muy rápida y eficaz.



Actualización constanteActualización constante

Actualización diaria de los Sistemas con respecto a nuevas

vulnerabilidades.

Capacitación de los Administradores de Seguridad.

Entrenamiento sobre el manejo de intrusiones y/o ataques

informáticos.



Conclusiones Conclusiones

- Operar en e-government sin seguridad, será una irresponsabilidad, que llegará a ser sancionada por las normas que sean de aplicación, pero la sanción mas dura será la de los propios usuarios de la sociedad

- Los incidentes de seguridad, dejarán de ser un problema técnico, serán un problema que afectará a las Administraciones que lo utilicen y a sus niveles de Dirección, ya que directamente significarán perder confiabilidad y también perder activos valiosos.

Pero la pregunta es:

El e-government es posible?


La base conceptual La base conceptual

Los sistemas de e-government técnicamente son una realidad, y las ventajas comprobables que

aportan superan cualquier valuación en contra.

Al estado de la tecnología, el e-government puede considerarse que es una deuda de los

Gobiernos y Administraciones con la Sociedad.

La repuesta es: SI es posible

36

desean que discutamos entre todos estos temas?

Muchas gracias por acompañarnos . . .

36

http://www.cybsec.com

1 IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y FORMACION SOBRE GOBIERNO Y SOCIEDAD.

Documents

Transcript of 1 IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y FORMACION SOBRE GOBIERNO Y SOCIEDAD.