IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y

FORMACION SOBRE GOBIERNO Y SOCIEDAD

1
 Gobierno Digital
e-government

Seguridad y Fraudes en los

Sistemas Informticos
Juan Sabalain Pablo Sisca

juansaba@cybsec.com
psisca@cybsec.com

Agosto de 2002 2
2002 CYBSEC S.A.
 Seguridad y Fraudes en los Sistemas Informticos

Temario

- El Fraude Informtico.
- Seguridad en el e-government.
- Responsabilidades en Internet.
- Soluciones de Seguridad para el e-government.

3
2002 CYBSEC S.A.
 El Fraude Informtico

Qu son los ACTIVOS INFORMATICOS ?

Es el valor de los datos que se mantienen y administran

con los equipos informticos.

Recientemente se toma conciencia que lo mas valioso

en un sistema informtico, es la informacin que se
encuentra almacenada en los equipos y no el costo
de los equipos y los sistemas.

4
2002 CYBSEC S.A.
 El Fraude Informtico

El nuevo valor de la informacin

requiere Seguridad y esto significa
mantener:
LA CONFIABILIDAD
LA DISPONIBILIDAD
LA CONTINUIDAD

de los sistemas y sus datos.

5
2002 CYBSEC S.A.
 El Fraude Informtico

Qu es un Incidente de Seguridad?

Es el acceso a un Sistema Informtico con la

intencin de producir beneficio econmico,
fraude, dolo, etc.

Sus objetivos mas comunes son:

- Ingreso no autorizado a un Server.

- Robo de informacin.
- Modificacin de datos.
- Uso de los recursos sin autorizacin.
6
2002 CYBSEC S.A.
 El Fraude Informtico

Por qu la mayora de los casos de

fraude informtico no se reportan?

- Publicidad negativa.
- Falta de normas legales.

Qu medidas se pueden tomar

en caso de un fraude informtico?

7
2002 CYBSEC S.A.
 El Fraude Informtico

Prevencin del Fraude Informtico

Podremos considerar que un sistema informtico garantiza

LA SEGURIDAD y previene EL FRAUDE cuando contempla
los siguientes factores:

FACTOR HUMANO FACTOR TECNOLGICO

- Motivacin y tica del personal. - El Sistema es confiable.
- Conciencia de las consecuencias. - Existen polticas adecuadas.
- Profesionales interdisciplinarios.

8
2002 CYBSEC S.A.
 Seguridad en el e-government

- Filosofa de Internet.

- El e-government funciona sobre Internet.

- Existen grandes riesgos, que son manejables.

- Existen grandes beneficios, que son indiscutibles.

9
2002 CYBSEC S.A.
 Seguridad en el e-government

Un Sistema de e-government con un nivel de seguridad

realmente efectivo y homogneo es posible.

Exige un marcado cambio de filosofia: en el e-government,

la seguridad es un componente bsico de todo el
proceso, no es un opcional condicionado a tiempos y costos.

10
2002 CYBSEC S.A.
 Una digresin, hablemos del Estado y de Internet

Los Estados, la Administracin Publica nacen hace

miles de aos (Grecia, Roma, etc.)
Internet nace en forma masiva hace 6 aos.
El desafo, es integrar ambas historias y funcionalidades
en un conjunto armnico y ..................EFICIENTE
Esto representa dos culturas y dos dimensiones en
el tiempo.

11
2002 CYBSEC S.A.
 Una digresin, hablemos del Estado y de Internet

12
2002 CYBSEC S.A.
 Una digresin, hablemos del Estado y de Internet

13
2002 CYBSEC S.A.
 Una digresin, hablemos del Estado y de Internet

Los Estados y las Administraciones disponen de:

Leyes y Normas
Jurisdiccion territorial
Personas fisicas y juridicas.
Poder ofensivo y defensivo.

Internet dispone:

Solo del cyberespacio, donde

todo es posible.
14
2002 CYBSEC S.A.
 El desafo posible: la convergencia de los ambientes;

La convergencia entre:
Gestin del Estado o de la Administracin
Funcionalidades informaticas

es el: e-government

15
2002 CYBSEC S.A.
 Seguridad en el e-government

cul es el potencial hoy del e-government?

-Permitir la interaccion entre la Administracin
Publica, Ciudadanos y Empresas en tiempo real.
-Esto es posible mediante el uso de procesos
informticos locales y remotos, que administran
documentos digitales y disponen de las
capacidades necesarias para autenticar
ambos extremos de la transaccion.
16
2002 CYBSEC S.A.
 Seguridad en el e-government

Funcionamiento bsico del e-government

http:
https:

INTERNET

Cliente
(Browser) Sistema de
e-government

17
2002 CYBSEC S.A.
 Seguridad en el e-government

Vulnerabilidades en el Sistema de e-government

Software de
e-government

Sistema de Plataforma
e-government (Sistema Operativo)

18
2002 CYBSEC S.A.
 Seguridad en el e-government

Vulnerabilidades en la transmisin de la Informacin

Un intruso puede interceptar la

INTERNET
informacin que viaja en Internet.

Qu puede hacer un intruso?

- Lectura
5399021201212121 - Modificacin
- Borrado - Destruccion
- Falsificacin.
19
2002 CYBSEC S.A.
 Seguridad en el e-government

Vulnerabilidades en el Cliente

- Un Web Site Malicioso puede robar informacin de la

computadora del Cliente.

-Un Web Site Malicioso puede simular y fingir ser un Site

de e-government
Se debe proteger a los usuarios?

SI, es condicin bsica de cualquier desarrollo que

el usuario este efectivamente protegido.

20
2002 CYBSEC S.A.
 Seguridad en el e-government

Se registran millones de dlares anuales por fraude en

Internet , y todo hace prever que al menos los intentos de
fraude documental y de todo tipo sern de gran volumen
en el inicio del e-government.
Qu hacer?

- Brindar informacin y concientizar a la gente.

- Garantizar la privacidad y confidencialidad.
- Generar confianza en los Sites de e-government.

21
2002 CYBSEC S.A.
 Responsabilidades en Internet

Como se protege un Sistema de

e-government ante ataques informticos?

Tipos de ataques informticos:

- Ataques de denegacin de servicio

- Cambio de Pgina del Sistema.
- Fraude documental, etc.etc.
- Fraude de identidad.
- Robo de informacin.
- Sabotaje.
22
2002 CYBSEC S.A.
 Responsabilidades en Internet

Quin protege a un usuario del sector

publico o privado, en caso de ser es atacado
por un intruso informatico?
Ataques informticos a usuarios:

- Uso indebido de la identidad.

- Uso no autorizado del equipo informtico.
- Destruccin de la informacin.
- Robo de informacin.
- Denegacin de Servicio.

23
2002 CYBSEC S.A.
 Responsabilidades en Internet

-Los fraudes y delitos se producen en Internet y en

los sistemas que se conectan por la red. Esta
configuracin es la que bsicamente se utiliza en el
e-government.

-Lo normal es que la Administracin Publica administra

el e-government.

-La responsabilidad de Asegurar el e-government

es de quien lo administra.
Asegurar es una actividad de 24 hs. por 365 das.

24
2002 CYBSEC S.A.
 Responsabilidades en Internet

Quin es responsable de la seguridad de Internet?

- El usuario.
- Las empresas.
- El Estado.
- Estados Unidos, la UE
- El mundo??.

Es una responsabilidad de TODOS

25
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Existen herramientas para solucionar los problemas de

Seguridad Informtica.

- Diseo en un entorno asegurado.

- Firewalls.
- Sistemas de deteccin de intrusiones.
- Certificados digitales.
- Encriptacin de las comunicaciones.
- Penetration Test peridicos.
- Actualizacin constante.

26
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Diseo en un entorno asegurado

El diseo seguro de un Sistema de e-government debe

realizarse teniendo en cuenta:

- Seguridad de toda la red.

- Seguridad de la plataforma a utilizar.
- Seguridad de la aplicaciones.

27
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Firewalls

Un sistema que permite cumplir con una poltica de acceso.

Se utiliza para proteger una red de computadoras seguras
conectada a una red insegura (Internet).

INTERNET

Red Firewall
Interna
28
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Sistemas de deteccin de intrusiones

- Son sistemas diseados para detectar en forma continua

cuando un intruso trata de ingresar en forma no autorizada
o trata de realizar una accin peligrosa y/o ofensiva.

- Los IDS funcionan las 24 horas, los 365 das del ao.

- Detectan intrusiones en tiempo real tomando acciones

preestablecidas.
- Disparan alarmas segn procedimientos preestablecidos.
29
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Certificados digitales

Elevan el nivel de seguridad en el Sistema de e-government,

ya que el Usuario sabe que opera en un Site seguro.

Permiten autenticar personas y equipos informticos.

Permiten adems activar la encriptacin de la informacin que

se transmite.

30
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Encriptacin de las comunicaciones

Las comunicaciones que se transmiten entre los Sistemas

Informticos se deben encriptar con algoritmos fuertes cuando
los datos viajan por redes pblicas no seguras.

El protocolo de encriptacin ms utilizando en Internet es el

SSL,
SSL que es muy fuerte y se encuentra presente en la mayora
de los Browsers.

31
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Penetration Test peridicos

Se trata de emular y simular comportamientos y tcnicas que

son utilizadas por intrusos para producir incidentes de seguridad,
Esta metodologa es muy eficiente para analizar el nivel de
seguridad real y el grado de exposicin al riesgo, de los
sistemas de e-government ante posibles ataques y/o incidentes.

Permite detectar vulnerabilidades en sistemas tales como el

e-government y corregirlas en forma muy rpida y eficaz.

32
2002 CYBSEC S.A.
 Soluciones de Seguridad para el e-government

Actualizacin constante

Actualizacin diaria de los Sistemas con respecto a nuevas

vulnerabilidades.

Capacitacin de los Administradores de Seguridad.

Entrenamiento sobre el manejo de intrusiones y/o ataques

informticos.

33
2002 CYBSEC S.A.
 Conclusiones

- Operar en e-government sin seguridad, ser una

irresponsabilidad, que llegar a ser sancionada por las
normas que sean de aplicacin, pero la sancin mas
dura ser la de los propios usuarios de la sociedad

- Los incidentes de seguridad, dejarn de ser un

problema tcnico, sern un problema que afectar a
las Administraciones que lo utilicen y a sus niveles de
Direccin, ya que directamente significarn perder
confiabilidad y tambin perder activos valiosos.

Pero la pregunta es:

El e-government es posible?
34
2002 CYBSEC S.A.
 La base conceptual

La repuesta es: SI es posible

Los sistemas de e-government tcnicamente son
una realidad, y las ventajas comprobables que
aportan superan cualquier valuacin en contra.
Al estado de la tecnologa, el e-government
puede considerarse que es una deuda de los
Gobiernos y Administraciones con la Sociedad.

35
2002 CYBSEC S.A.
Desean que discutamos
entre todos estos temas?

36
Muchas gracias
por acompaarnos . . .

www.cybsec.com

37