Seguridad y Control en las Organizaciones Electrónicas (e-business) IMAI- XX Encuentro Nacional de Auditores Internos Agosto 12, 2005 Ing. Director del Programa en Comercio Electrónico ITESM Campus Monterrey jose.luis.figueroa@itesm.mx http://www.ruv.itesm.mx/pce Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 1 1
Objetivo Repasar las amenazas que enfrentan los negocios electrónicos ante los progresivos ataques tecnológicos e identificar algunas estrategias de seguridad. 2 2
Hace dos años Antecedentes del comercio electrónico Qué es el comercio electrónico? Principales amenazas Usted es el principal protector de su privacía, vale la pena estar conscientes y defender sus derechos Algunas cifras recientes Los administradores de las empresas: 62% consideran que la seguridad de la información debe ser prioridad de los directores generales. 50% considera que el mayor obstáculo para un programa efectivo de seguridad es la falta de conciencia de los usuarios. 64% reconoce que su principal foco de atención son las amenazas internas. 98% cree que la seguridad de la información es importante o muy importante para alcanzar los objetivos de su negocio de su organización. Encuesta aplicada por Kio Networks a los asistentes del b:secure Conference 2005. 3 3
20% elabora reportes mensuales sobre seguridad para el consejo de administración. 41.5% considera que su departamento de seguridad de la información es efectivo para satisfacer las necesidades de su organización. 39% opina que la inversión de su empresa en seguridad es poco efectiva considerando sus objetivos de negocio y las amenazas que enfrentan. Encuesta aplicada por Kio Networks a los asistentes del b:secure Conference 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 4 4
Por qué invertir en seguridad? 1.- Para evitar o minimizar riesgos asociados con: Robo o pérdida de información. Transacciones fraudulentas. Mal uso de la información o los recursos informáticos. Alteración no-autorizada de la información. Incumplimiento de leyes y regulaciones nacionales y/o internacionales. 2.- Por congruencia con los esfuerzos de la organización (Ej. Modelo de Gobierno Corporativo). Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 5 5
Problemas con la seguridad 2003 2005 Código malicioso Hackeo y cyberbandalismo Fraude con las tarjetas de crédito Spoofing Sniffing Trabajos internos Pharming Adware Podcasting Phishing Engaño al usuario para que brinde datos confidenciales. Ingeniería Social Los casos de Kevin Mitnick y Frank Abagnale. Fuente: www.emarketer.com Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 6 6
Implementando la seguridad Redes Servidores Escritorios Productos para la seguridad 7 7
IPS (Intrusion Prevention System) Objetivos: Detectar de manera efectiva ataques conocidos y no conocidos. Evitar que esos ataques sean exitosos. IPS (IntrusionPrevention System) Se implementan: A la salida a Internet. Extranets - aliados, proveedores, clientes. A la entrada de la DMZ o de redes departamentales. Entre departamentos. Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. 8 8
Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones Recomendaciones Administrativas Mejores Prácticas Modelo de Gobierno de la Seguridad en la Información Auditorías Digitales Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, Junio 2005. Navarro Jorge, Derecho informático, http://www.netmedia.info/bsecure, Junio 2005. 9 9
Mejores Prácticas Son modelos probados de seguridad Informática que nos: Brindan una cobertura muy amplia. Evitan redescubrir el hilo negro. Permiten conocer en dónde estamos (análisis de brechas) y ser sujetos a un proceso de certificación (algunos de ellos). Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. Modelo Británico BS-7799 Parte I: ISO 17799. Define 10 rubros de seguridad y 128 controles. Parte II: Define como hacer la gestión de la seguridad (ISMS). 10 10
ISO-17799 Rubros del ISO 17799 Política de seguridad Organización de la seguridad. Clasificación y control de activos. Seguridad en el personal. Seguridad física. Comunicaciones y operaciones de IT. Control de accesos. Desarrollo y mantenimiento de sistemas. Continuidad del negocio. Cumplimiento de requerimientos legales (Compliance). Modelo de Gobierno de la Seguridad de Información Cómo lograr que los usuarios (a todos los niveles) colaboren con todos los planes y medidas de seguridad? Cómo deben interactuar los distintos responsables de seguridad de la organización?. Cuáles son sus tareas y niveles de autoridad?. Qué políticas deben existir y qué mecanismos hay que implementar para vigilar y reforzar su cumplimiento? Cómo saber si estamos realmente seguros? 11 11
Modelo de Gobierno de la Seguridad de la Información Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. Tabla comparativa entre el Modelo de un Gobierno Corporativo y el Modelo de Gobierno de Seguridad Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. 12 12
Auditoría Digital Está lista su empresa para salir a Internet? La auditoría digital son medidas de Seguridad y Control para garantizar la seguridad de las transacciones y la fiabilidad de la información obtenida a través de la Web. Es una de las medidas tecnológicas de mayor efectividad que utilizan los especialistas en seguridad informática(ej.certificados de ISACA). Navarro Jorge, Derecho informático, http://www.netmedia.info/bsecure/articulos.php?id_sec=53&id_art=5420, Junio 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 13 13
Nuevos Retos de los Negocios Electrónicos RFID (Identificación por Radiofrecuencia) VoIP (Voz sobre el protocolo de Internet) Venta Multicanal Publicidad en línea RSS (Sindicación de contenido) Banda Ancha Inalámbrica Daccach T. José Camilo, Tendencias en Negocios Electrónicos, http://www.hispasec.com/unaaldia/2473, Julio 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 14 14
Estrategia de la Seguridad Toda compañía debe estar consciente de que cada organización es dueña de su información. Un buen análisis de vulnerabilidades permitirá a las compañías reducir el riesgo de sufrir intrusiones. Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. 15 15
Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. 16 16
Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. Elementos de Éxito Soporte de la alta dirección. La prioridad tiene que venir desde arriba. Entre más alto mejor. Si se puede ligar a un proyecto de Gobierno Corporativo tanto mejor. Si no, al menos definir un Comité de Seguridad. Manejo del cambio cultural. La oposición al cambio es alto natural en todos los grupos humanos. Hay que anticiparlo y determinar líneas de acción. Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. 17 17
Conclusiones La violación a la ley es una amenaza constante.losdelincuentes son innovadores. La seguridad no es para unos cuantos. Se debe prevenir antes que lamentar. Una empresa preparada incluye medidas de Seguridad y Control en todos sus procesos. La Seguridad debe de ser una meta más que se persiga para el éxito y salud de una empresa. Seguridad y Control en las Organizaciones Electrónicas (e-business) Muchas Gracias! Ing. Director Programa en Comercio Electrónico jose.luis.figueroa@itesm.mx http://www.ruv.itesm.mx/pce 18 18