1. RESUMEN DEL PROYECTO

Transcripción

1 TECNOLOGÍAS DE LA SEGURIDAD EN IT Y SU APLICACIÓN EN EL SECTOR FINANCIERO, LA MOVILIDAD Y LA CIBERSEGURIDAD Autor: Laiseca Segura, Sebastián. Director: Cesteros García, Francisco José Entidad Colaboradora: ICAI Universidad Pontificia Comillas 1. RESUMEN DEL PROYECTO No hay duda de que las nuevas tecnologías de la información, muy especialmente las basadas en la movilidad, están cada vez más integradas en la sociedad. Este proyecto final de carrera pretende contestar a la cuestión del impacto de un ataque informático en las entidades financieras. La primera cuestión que se presenta en este estudio es el marco legal vigente. La legislación aplicable a estas nuevas tecnologías es algo de suma importancia, ya que los deberes y responsabilidades de las entidades financieras en cuanto a la seguridad de la información es parte de algo mayor que su propia integridad. Esto se debe a que hoy en día las entidades financieras almacenan un sin fin de información crítica sobre todos sus clientes. Aquí se podría incluir desde los datos personales más íntimos hasta los credenciales de acceso de un cliente. Para poder realmente fijar un marco legal que pueda englobar a todas las tecnologías de la información aplicables a la industria financiera, hay que analizar una cantidad de leyes orgánicas, reales decretos, convenios, normas y demás. Por esta razón, en este proyecto se empieza por comentar el impacto de diferentes fuentes legales, siguiendo el esquema jerárquico vigente en el territorio español.

2 Constitución Tratados Internacionales Leyes (Emanadas de las cortes) Leyes (Actos con fuerza de ley emanados del gobierno) Leyes Orgánicas Leyes Ordinarias Reales decretos-leyes. Reales decretos legislativos. Reales decretos (del Gobierno) Reglamentos Órdenes de las comisiones delegadas del Gobierno. Circulares, instrucciones, etc., de las autoridades inferiores. Figura 0.0: Jerarquía de la normativa establecida en la constitución española Posiblemente la fuente legal con más relevancia para este proyecto final de carrera es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Hay un sin fin de estudios realizados sobre la LOPD y su reglamento de desarrollo, pero estos no suelen entrar en los aspectos técnicos que han de adoptarse en una entidad financiera. El problema de las leyes es su problema de adaptación a las nuevas tecnologías. Se ha de encontrar una ley que sea capaz de perdurar a los cambios tecnológicos, y que no requiera de una constante actualización tan pronto vayan produciéndose los cambios. Estos cambios pueden ser meramente incrementales, como por ejemplo el aumentar el número de bits de una encriptación, a radicales; como por ejemplo las posibilidades de los Smartphones y la banca online. Por esta razón, la LOPD hace referencias continuamente al estado de la tecnología actual, salida fácil para tratar la problemática. Aquí es donde entra en juego el PCI DSS y sus estándares. Bien es verdad que estos estándares procedimentales están pensados exclusivamente para el pago con tarjetas de crédito. Aun así, se puede ampliar su aplicación al resto de actividades informáticas de una entidad financiera. Se debe ver como un referente mínimo de seguridad aplicables a toda la industria financiera. Las normas ISO complementan a la LOPD y a los estándares PCI, al sentar las bases organizativas y de gestión de la seguridad informática en las entidades financieras. Existe una familia de normas específica para la seguridad informática, la familia de

3 normas Actualmente se esta trabajando en una norma de aplicación específica para el sector financiero, la norma ISO 27015, y verá la luz en los próximos meses. La siguiente sección del proyecto clasifica las amenazas en el sector de la información. Se ha tratado de obtener una visión global de la situación mediante fuentes muy variadas. El problema de estas fuentes es que atienden a intereses particulares de las mismas. Parte del trabajo realizado en este proyecto final de carrera ha sido el filtrado de la información disponible de las diferentes publicaciones, desde un punto de vista crítico. El contrastar la información entre fuentes de distinta naturaleza ha sido parte del procedimiento habitual. Se introduce esta sección con una visión de la seguridad informática de las entidades financieras, vista desde la propia entidad. Para ello, las encuestas realizadas por Deloitte a las propias entidades financieras entre los años 2010 y 2012 han resultado indispensables. La realidad es que la concienciación de la seguridad informática está cambiando el cuadro de la organización de los grandes bancos, mediante nuevos puestos que reportan directamente a los directivos de la entidad. Aun así, a la luz de los resultados de las encuestas, se muestra una incongruencia organizativa de las entidades financieras con su política de seguridad. La siguiente parte del proyecto pretende describir los ataques informáticos a los que están sometidas a diario las entidades financieras. Se recurre al modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información para contextualizar la naturaleza de los ataques relevantes. Figura 0.1: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información. Se hace especial hincapié en los ataques distribuidos de denegación de servicio, ya que su impacto en la sociedad es tremendamente elevado. En la cuarta sección de este proyecto final de carrera, se lleva a cabo un estudio económico y social de los ataques informáticos. Se introduce el ROSI (return on security investment) para las entidades financieras. El ROSI, a diferencia del ROI

4 (return on investment) sí puede ser aplicado a las inversiones en seguridad. Se discute este indicador económico, pros y contras, y se propone un ejemplo de cálculo. En el siguiente apartado se introducen los problemas en las incongruencias de las fuentes, y se citan estudios con resultados de impacto global. Estudios que si bien proceden de fuentes fiables, un razonamiento lógico y crítico de los mismos puede echar por tierra los resultados. Mediante la ayuda de un estudio de la universidad de Cambridge publicado en el año 2012 sobre los costes de la seguridad informática, se procede a diferenciar en más detalle los diferentes costes que pueden asociarse a los ataques informáticos. Se diferencian los costes directos de los costes indirectos, así como en quien repercuten los costes. Figura 0.2: Marco para el análisis de los costes de los delitos informáticos. Se finaliza la sección con una aplicación de este modelo a las tecnologías de la información referentes a la movilidad, así como una aproximación del modelo a la banca online. El último apartado del proyecto final de carrera comprende las diferentes conclusiones del estudio llevado a cabo. Esto es, se realiza un balance general del fraude, se analiza en profundidad el problema de las fuentes de la información, y se proponen una serie de puntos de mejora para los diferentes actores del sector. Estas conclusiones pasan por un aumento de la educación social, especialmente sobre las amenazas de las nuevas tecnologías para los usuarios. En cuanto a los estados, lo más importante es un aumento de los acuerdos internacionales para perseguir los delitos informáticos pasadas las fronteras, así como un endurecimiento de los intentos de los ataques informáticos sin éxito. Las entidades financieras han de cumplir con los estándares de seguridad, pero especialmente las normas procedimentales, normas ISO, para mantener una política de mejora continua de la seguridad. Desde un punto de vista de la organización industrial, y a raíz de la rápida evolución de las nuevas tecnologías, no se puede dejar de lado un estudio de la ética en cuanto a

5 las actividades descritas en este proyecto final de carrera. Por esta razón se incluyen las consideraciones éticas del conocimiento y de su aplicación.

6 SECURITY TECHNOLOGIES IN I.T. AND THE APPLICATIONS FOR THE FINANCIAL SECTOR, MOBILITY AND CYBER SECURITY Author: Laiseca Segura, Sebastian. Director: Cesteros García, Francisco José Collaborating Entity: ICAI - Universidad Pontificia Comillas 2. PROJECT SUMMARY There is no doubt that the new information technologies, particularly those based on mobility, are increasingly integrated into society. This final degree project aims to answer the question of the impact of a cyber attack on the financial institutions. The first issue presented in this study is the current legal framework. The applicable law to these new technologies is something very important, since the duties and responsibilities of the financial institutions, in terms of information security, are part of something larger than their own integrity. This is because today's financial institutions store endless critical information about all of their clients. This could include from personal data to the access credentials of a client. To effectively set a legal framework that can encompass all applicable information technologies on the financial industry, organic laws, royal decrees, agreements, rules and other sources of law should be analysed. For this reason, this project will start by commenting the impact of different legal sources, following the hierarchical law scheme applicable in the Spanish territory.

7 Constitution International Treaties Laws (Issued in the courts) Laws (Acts into law emanated from the goverment) Organic Laws. Ordinary Laws. Royal decree-laws. Royal legislative decrees. Royal decrees Regulation (Government) Orders Government delegate committees. Circulars, instructions, etc., of the lower authorities Figure 0.0: Hierarchy of the rules established in the Spanish Constitution Possibly the most important legal source for this final degree project is the Organic Law 15/1999, of December 13, Protection of Personal Data and the Royal Decree 1720/2007, of 21 December, approving the Regulation implementing the Organic Law 15/1999 of 13 December on the protection of personal data. There are countless studies on the Data Protection Act and its implementing regulation, but these do not usually get into the technical aspects to be taken into account by a financial institution. The problem with the law is the problem of adaptation to the new technologies. The law has to find a way to endure technological changes, and make sure it does not require a constant update as soon changes occur, because they will. These changes may be merely incremental, such as increasing the number of bits of an encryption, or radical, such as Smartphones and possibilities of online banking. For this reason, the LOPD continually makes references to "the state of the current technology," easy way to treat the problem. This is where the PCI DSS and its standards come in play. Truth be told, these procedural standards were designed exclusively for credit card payments. Even so, one can extend its application to other IT activities within the financial industry. It should be seen as a benchmark minimumsecurity requirement applicable to the entire financial industry. ISO standards complement the Data Protection Act and PCI standards, laying the organizational and security management foundation within the financial institutions. There is a family of specific standards for computer security, family of standards. They are currently working on a specific application of these standards for the financial sector, ISO 27015, and should be released in the coming months. The next section of the project classifies threats in the information sector. We have tried to get an overall picture of the situation through varied sources. The problem with this is that the sources serve specific interests. Part of the work done in this final degree project has been to filter the available information about the various

8 publications, always from a critical standpoint. The contrast of the available information issued from different sources has been part of the standard procedure. This section is introduced with an overview of the information security for financial institutions, viewed from the inside. To do this, the surveys conducted by Deloitte to the financial institutions between 2010 and 2012 have been indispensable. The reality is that awareness of computer security is changing the picture of the organization of large banks, through new positions that report directly to the management of the institution. However, in light of the survey results, an inconsistency of the organization of the financial institutions and their security policy is shown. The next part of the project seeks to describe cyber attacks that are daily aimed towards the financial institutions. It uses the model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory to contextualize the nature of relevant attacks. Figure 0.1: Model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory. Special emphasis is placed on the distributed denial of service attacks, as the impact on society is extremely high. In the fourth section of this final project, economic and social studies of the attacks are carried out. The ROSI (return on security investment) is introduces for the financial institutions. The ROSI, unlike the ROI (return on investment) can be applied to security investments. This economic indicator is discussed, pros and cons, and a calculation example is proposed. The following section introduces the problems with the inconsistencies of the sources, and cites studies with global impact. As can be seen, logical and critical reasoning may scupper the results of trusted sources. With the help of a study from the University of Cambridge, published in 2012, on the costs of information security, the differentiation, in a more detailed way, of the

9 various costs that may be associated with the attacks are commented. Special attention was given to differentiate direct costs indirect costs, as well as to who affect the costs. Figure 0.2: Framework for the analysis of the costs of cybercrime. The section ends with an application of this model to the information technology related to mobility, as well as a model approach to online banking. The last section of this final degree project covers the various conclusions of the conducted study. That is, its an overview of the current balance of cybercrime, the problems concerning the sources of information and proposes tasks for improvement for the different actors in the sector. These findings go through an increase in social education, especially regarding the threats of new technologies. As for the governments, the most important is a proliferation of international agreements to pursue cybercrime past borders, as well as a tightening of the laws regarding hacking attempts without success. Financial institutions have to comply with safety standards, but especially with the ISO procedural standards, to maintain a proper policy of continuous safety improvement. From the point of view of the industrial organization, and because of the rapid development of new technologies, one cannot leave out a study of ethics in terms of the activities described in this final project. For this reason we include ethical considerations of knowledge and its application.