Fraude y riesgos informáticos en España



Documentos relacionados
Día 1, Taller hacia un correo limpio y seguro

INTECO CERT. Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos. XXIII Grupos de Trabajo RedIRIS. Francisco A. Lago García 26 VI 2007

Iniciativas públicas en torno a la seguridad informática. Instituto Nacional de Tecnologías de la Comunicación

Seguridad en la Red: recomendaciones y recursos para la seguridad

XV Jornadas de Investigación en las Universidades Españolas. Las Palmas de Gran Canaria, 21 de noviembre 2007

REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Índice. 1. Diagnóstico 2. Iniciativas 3. Caso Particular: efraude sobre Dominios.es 4. Formación e información 5. Retos y oportunidades INTECO

CCN-CERT El CERT Gubernamental Español

Laboratorio Nacional de Calidad del Software Servicios de apoyo a la empresa

ArCERT. Lic. Gastón Franco. Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública. 26 de junio de 2007

Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales

Taller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica. Sesión 4: Supervisión, alerta y respuesta en caso de incidente.

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

PROGRAMAS OPERATIVOS FEDER: OPORTUNIDADES EN I+D+I. AMETIC, 5 de marzo de 2015

JORNADA PROFESIONAL IMPLANTACIÓN Y CERTIFICACIÓN DE LAS NORMAS

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

Año ene ene

PLAN ANTICORRUPCION. Enero 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

IMPLEMENTACIÓN N DEL PROGRAMA ERASMUS EN LA SUPERIOR

El gasto total elegible de la BBPP, Centro de Supercomputación es de ,11. La ayuda FEDER, es el 80%, ,48

Axudas para proxectos de I+D+i no sector audiovisual Madrid, 16 de Febrero de 2009

ESQUEMA NACIONAL DE SEGURIDAD

PLAN DE ACCIÓN FOMENTO DEL EMPRENDIMIENTO Y EMPLEO JUVENIL

Oficina de Seguridad del Internauta (OSI). Ministerio de Industria, Turismo y Comercio DATOS GENERALES. Antecedentes del servicio

Teléfono: Telefax:

Sistema de Información de Gestión de Ayudas Públicas

Modelo de seguridad gestionada basada en eventos de Gobierno de Aragón

Seguridad TIC en la PYME Semana sobre Seguridad Informática

Línea estratégica nº 1

Compras Seguras Online

Diagnóstico acerca de la situación de la calidad de software en la industria española

CSIRT Servicios problemas y resolución inmediata de. Cada servicio puede ser personalizado según

EMPLEATIC EMPLEO PÚBLICO DESCRIPCIÓN DE LA ACTIVIDAD:

Plan Avanza MISIÓN OCDE

Requisitos de control de proveedores externos

APLICACIÓN PRÁCTICA DE LA LOPD

Panel Nro. 4,

Plan de Seguridad y Confianza Digital Andalucia 2020 para el periodo

PLAN ESTRATÉGICO DEL SERVICIO DE GESTIÓN DE PERSONAL ( )

Sociedad de la información en

Instituto Nacional de Tecnologías de la Comunicación II JORNADA SEGURIDAD, TECNOLOGÍA Y SOCIEDAD SEMANA CIENCIA 06

CODAPA INFORMA LOS PADRES Y MADRES TENEMOS MÁS OPORTUNIDADES DE ACCESO A LA SOCIEDAD DE LA INFORMACIÓN

Instituto Nacional. la Comunicación. Centro de referencia en ciberseguridad

2017, año del Centenario de la Constitución Mexicana Índice Nacional de Precios al Consumidor 2017

sistemas de gestión isocloud Herramienta de Gestión de Calidad y Medio Ambiente para Pymes indracompany.com

FALSOS ANTIVIRUS Y ANTIESPÍAS

ANEXO : PERFILES. Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES

Manual Online Gestión de Incidentes y Antivirus

UF1138 Instalación y Puesta en Marcha de un Sistema de Control de Acceso y Presencia (Online)

Ámbito Tecnológico Junio 2009

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

10 Soluciones Tecnológicas imprescindibles para tu empresa

Gestor electrónico de solicitudes. Centro de Innovación de la Universidad de Oviedo

Media en España. USOS Personas que han -2% comprado a través de Internet en los últimos. 3 meses

SEGURIDAD GESTIONADA

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC.

1. Fortalecer las funciones del Copnia (consultiva y de vigilancia)

Inteligencia aplicada a la protección de infraestructuras

Anexo VI: Inventario de iniciativas horizontales incluidas en el Eje e-gobernanza.

Qué es InfoguíaGlobal.com?

Proyecto CITEX Inteligencia Económica. Marzo 2012

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

Convocatoria de ayudas Alojamientos con Red

Tecninorte Programación y Mantenimiento Parque Empresarial Tirso González, 22 - oficina Astillero - Cantabria

CSIRT - Supertel Marco Rivadeneira Fuentes

PERFIL PROFESIONAL DE LA CARRERA

ESTRATEGIA ESPAÑOLA DE RESPONSABILIDAD SOCIAL DE LAS EMPRESAS

Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria

GUÍA GESTIÓN DE RIESGOS DE FRAUDE GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Latitud 7º -160º N -180º 170º 160º -10º 150º -150º 140º -140º -130º 130º -120º 120º JUN MAY- JUL 110º. 18h -110º. 17h 16h 15h 14h 13h ABR- AGO 100º

Estrategias para impulsar al sector de tecnologías de información y servicios relacionados en Baja California

Presentación a la Comisión de Industria, Turismo y Comercio del Congreso de los Diputados 30 de noviembre de 2005

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Jornadas de concienciación Gestión de la Seguridad de la Información. para la PYME. Sara García Bécares Ana Santos Pintor. Versión 1.

PROCEDIMIENTO GENERAL. Auditorias Internas de Prevención de Riesgos Laborales RAZÓN SOCIAL DE LA EMPRESA. Código PG-11 Edición 0.

DESARROLLO DE NEGOCIO ASEGURADOR Y SERVICIOS

Seguridad y Privacidad en el Cloud. Deepak Daswani Daswani Responsable de Investigación en Ciberseguridad de INTECO

ICANN Un mundo. Una Internet. Una conexión para todos.

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Servihogar 24h, la compañía del RACC y Liberty Seguros, crece en el sector de la asistencia en el hogar

II PLAN DE MEJORA DEL ÁREA DE GESTIÓN ECONÓMICA E INTERVENCIÓN UN02

INTRODUCCIÓN ESTRATEGIA TIC DE LA DIPUTACIÓN DE PONTEVEDRA. depotic: A TECNOLOXÍA NAS TÚAS MANS CENTRO PROVINCIAL DE

TITULO: SERVICIO DE INFORMACIÓN A TRAVÉS DE UNA RED DE PUNTOS DE INFORMACIÓN ELECTRÓNICA EN ESPACIOS PÚBLICOS DE LA CIUDAD DE MADRID

Prestación de servicios públicos digitales mediante la Plataforma Avanza Local Soluciones

1.- PRESENTACIÓN. Juan Manuel Corchado Rodríguez. Vicerrector de Investigación y Transferencia SERVICIOS INFORMÁTICOS, CPD CARTA DE SERVICIOS

CAMPAÑA FORMULARIO DE PRESENTACIÓN DE INICIATIVAS

Security Health Check

Red de Revistas Científicas de América Látina y el Caribe, España y Portugal. Universidad Autónoma del Estado de México

Plan Operativo Anual 2014

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

CONVERGIENDO SEGURIDAD DIGITAL CON FACILIDAD DE ACCESO

Situación actual y evolución de la factura electrónica

DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

Transcripción:

Fraude y riesgos informáticos en España Cátedra Gestión de Riesgos en Sistemas de Información. Instituto de Empresa, GMV, Oracle, INTECO. Elena García Díez 4 Junio 2008 Índice 1. Qué es INTECO? 2. Líneas estratégicas té de actuación 3. Proyectos en e-confianza I. INTECO-CERT para PYMEs y Ciudadanos II. Centro Demostrador de Tecnologías de la Seguridad 4. Fraude electrónico en España 5. Actuaciones contra el fraude en INTECO-CERT 6. Recomendaciones contra el fraude electrónico 2 1

1. Qué es INTECO? Instituto Nacional de Tecnologías de la Comunicación Sociedad estatal adscrita al MITYC a través de SETSI Instrumento del Plan Avanza para el desarrollo de la S.I Pilares: Investigación aplicada, prestación de servicios y formación. OBJETIVOS Convergencia de España con Europa Crear en León un "Cluster-TIC" con alta capacidad de innovación. Transversalidad tecnológica entre sectores y áreas de conocimiento TIC Alta localización de conocimiento intensivo y conexión con otros centros internacionales. 3 2. Líneas estratégicas de actuación e-confianza (Seguridad) Calidad SW Accesibilidad Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos Centro Demostrador de Tecnologías de la Seguridad Observatorio de Seguridad de la Información Laboratorio Nacional de Calidad Formación Promoción de proyectos TIC Promoción de estándares y normalización Centro de Referencia en Accesibilidad y Estándares Web Centro Nacional de Tecnologías de la Accesibilidad Área de I+D+i en Accesibilidad Web. Centro de Gestión de servicios públicos interactivos - TDT Ciudadanía e Internet Innovación TIC y Competitividad PYME 4 2

3. Proyectos en e-confianza Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad Informática Coordinar la investigación aplicada y la formación especializada en el ámbito de la seguridad TIC Centro de referencia en Seguridad Informática a nivel nacional INTECO CERT para PYMES y Ciudadanos. Centro Demostrador de Tecnologías de la Seguridad Observatorio de la Seguridad de la información 5 3. Proyectos en e-confianza INTECO-CERT para PYMES y ciudadanos Objetivos Impulsar la confianza en las nuevas tecnologías promoviendo su uso de forma segura y responsable Minimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuados Prevenir, informar, concienciar y formar a la pyme y el ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet 6 3

3. Proyectos en e-confianza INTECO-CERT para PYMES y ciudadanos Servicios de Información: Suscripción a boletines y alertas Actualidad, noticias y eventos Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos por correo electrónico, información sobre correo electrónico no deseado. Servicios de Formación: guías, manuales, cursos online Servicios de Protección: útiles gratuitos y actualizaciones de software Servicios de Respuesta y Soporte: Gestión y resolución de Incidencias i Gestión de Malware o código malicioso Fraude electrónico Asesoría Legal Foros 7 3. Proyectos en e-confianza Centro Demostrador de Tecnologías de Seguridad Objetivo: Fomentar y difundir el uso de tecnologías de seguridad de la información Análisis de la situación de la seguridad en el marco español. Análisis de la oferta de soluciones en el mercado. Concienciación en implantación entornos de trabajo seguros. Dinamización de la industria de la seguridad. Catálogo de Soluciones y Proveedores Análisis de productos de seguridad Formación a la PYME Difusión e impulso de la tecnología de seguridad Impulso del DNI electrónico 8 4

4. Fraude electrónico en España Cultura de Seguridad del usuario 9 4. Fraude electrónico en España Datos publicados Informes del Anti-Fraud Command Center de RSA. 8,0% Porcentaje de ataques dirigidos a entidades españolas Ranking de países hacia los que se dirigen ataques: Presencia variable puesto 4 a 7 Ranking países alojadores: Menciones puntuales puesto 10 Abril 2008: 225 ataques detectados 9 entidades españolas Baja utilización de recursos españoles para alojar phishing 6,0% 4,0% 2,0% 0,0% abr-07 may-07 jun-07 jul-07 ago-07 sep-07 oct-07 nov-07 dic-07 ene-08 feb-08 mar-08 abr-08 Porcentaje de ataques alojados en IPs españolas 6,0% 4,0% 2,0% 0,0% abr-07 may-07 jun-07 jul-07 ago-07 sep-07 oct-07 nov-07 dic-07 ene-08 feb-08 mar-08 abr-08 No hay referencias a dominios.es 10 5

4. Fraude electrónico en España Datos publicados Porcentaje de ataques alojados en IPs españolas 4,0% 3,0% Informes del Anti-Phishing Working Group 2,0% 1,0% 0,0% ene-07 feb-07 mar-07 abr-07 may-07 jun-07 jul-07 ago-07 sep-07 oct-07 nov-07 dic-07 España: no aparece entre los 10 primeros alojadores de phishing. Apariciones puntuales como alojador de troyanos en puestos del 7 al 10. Phishing Troyanos phishing Diciembre 2007 11 4. Fraude electrónico en España Datos del Servicio de fraude de INTECO-CERT Consideraciones: Páginas de phishing detectadas Datos desde la puesta en marcha del servicio en abril de 2007. Las actuaciones se centran en la atención a: Ataques a entidades españolas 220 200 180 160 140 120 bajo dominios.es bajo otros dominios TOTAL URLs Ataques que utilizan recursos ubicados en España: Dominios.es o ISPs españoles 100 80 60 Fuentes de información de nuevos casos a través del buzón de fraude@cert.inteco.es: Ciudadanos y Entidades extranjeras desde Enero 2008. 40 20 0 abr-07 may-07 jun-07 jul-07 ago-07 sep-07 oct-07 nov-07 dic-07 ene-08 feb-08 mar-08 abr-08 may-08 12 6

4. Fraude electrónico en España Datos del Servicio de fraude de INTECO-CERT (II) 13 4. Fraude electrónico en España Entidades suplantadas según RSA 14 7

4. Fraude electrónico en España Tendencias: No es necesario registrar un dominio similar Reutilización de dominios para suplantación de diferentes entidades: 30 dominios contra 6 entidades diferentes en 48 horas Resultados Protocolo.es: Se ha notificado un total de 248 dominios.es relacionados con casos de fraude. El inicio del procedimiento de cancelación de oficio se ha iniciado tras un periodo medio de 24 horas. La resolución de cancelación de oficio de dominios notificados como fraudulentos se ha producido tras un periodo medio de 15 días naturales. 15 5. Actuaciones contra el fraude en INTECO-CERT Información a PYMES y ciudadanos sobre todos los tipos de fraude electrónico a través de foros y buzón fraude@cert.inteco.es. Repositorio de fraude de INTECO con información estructurada de los fraudes detectados creación de inteligencia sobre fraude electrónico en España. Colaboración con entidades financieras, FCSE, ISPs y registradores de dominios. 16 8

5. Actuaciones contra el fraude en INTECO-CERT Gestión de Incidentes Recepción de incidentes remitidos por: Ciudadanos Entidades Financieras Fuerzas y Cuerpos de Seguridad del Estado Red de Sensores de INTECO Otras entidades de seguridad internacionales Estudio y análisis de cada caso: Localización de recursos asociados (alojamiento, dominios, etc.). Análisis completo y seguimiento del caso. Notificación a las entidades afectadas por el fraude electrónico. Notificación del caso a las entidades afectadas: Entidad suplantada. CERT del país responsable de la IP y el dominio: Ante IPs españolas contacto directo con el ISP Ante dominios.es Protocolo.es Toda la información se almacena en el Repositorio de Fraude electrónico 17 5. Actuaciones contra el fraude en INTECO-CERT Protocolo.es (I) Objetivos: Generación rápida de notificaciones Acopio de información y análisis de casos A largo plazo, minimizar la presencia de intentos de actividades fraudulentas bajo dominios.es 18 9

5. Actuaciones contra el fraude en INTECO-CERT Protocolo.es (II) Atención a incidentes en.es Comunicaciones INTECO Red.es Seguimiento del proceso de cancelación de dominios con todos los agentes implicados Anticipación de nuevos ataques mediante localización de patrones 19 5. Actuaciones contra el fraude en INTECO-CERT Repositorio de Fraude Recoge información estructurada de todos los tipos de fraude a partir de los casos de fraude electrónico detectados: Detalles técnicos de los recursos y servicios electrónicos utilizados y/o afectados. Otra información: ingeniería social asociada, comportamiento atacante, peculiaridades del caso, etc. Explotación de la información recogida: Estadísticas detalladas de los casos detectados. Correlación entre recursos y servicios electrónicos presentes en diferentes casos, ataques dirigidos, etc. Estudio de la evolución del fraude electrónico en España. Detección de nuevas tendencias de fraude. Evaluación de la incidencia del fraude en el usuario. 20 10

5. Actuaciones contra el fraude en INTECO-CERT Repositorio de Fraude (II) Todos los agentes implicados en el fraude electrónico aportan información al Repositorio de Fraude de INTECO. Diferentes perfiles de acceso a la información para consultas: FCSE. Entidades financieras. Proveedores de Servicios de Internet. Agentes Registradores. Otros agentes implicados en la lucha contra el fraude 21 5. Actuaciones contra el fraude en INTECO-CERT Colaboración con otros agentes implicados Contacto en diferentes foros con: Otros CERTs Empresas de seguridad Agentes registradores Proveedores de servicios de Internet Otras organizaciones: APWG, etc. Grupo de Trabajo con F.C.S.E. Grupo de Trabajo con Entidades Financieras 22 11

5. Actuaciones contra el fraude en INTECO-CERT Proyecto SEVEF Servicio para las Evidencias Electrónicas Financieras Objetivo: generación de inteligencia para la lucha contra el fraude electrónico Alrededor del repositorio de fraude de INTECO-CERT el proyecto tiene por objeto definir vías de comunicación para que todos los agentes implicados en la lucha contra el fraude electrónico aporten información que estará disponible para todos los agentes implicados en la lucha contra el fraude. Participan entidades públicas y privadas: FCSE,ASNEF, AEB, CECA, CCI, entidades bancarias, INTECO, Banco de España y Centro Criptológico Nacional. Coordinado por ASNEF e INTECO. 23 5. Actuaciones contra el fraude en INTECO-CERT Grupo de trabajo de FCSE: Creado en diciembre 2007 y coordinado por INTECO-CERT, participan: CNP Brigada de Investigación Tecnológica Guardia Civil Grupo de Delitos Telemáticos Mossos d Esquadra Unidad de Delitos Informáticos Ertzaintza Sección de Delitos en Tecnologías de la Información Centro Criptológico Nacional Banco de España Objetivo: Poner a disposición de las FCSE un repositorio centralizado de información técnica de casos de fraude electrónico. 24 12

5. Actuaciones contra el fraude en INTECO-CERT Grupo de Trabajo de Entidades Financieras: Creado en Enero de 2008 y coordinado d por ASNEF e INTECO-CERT. CERT Objetivo: Evaluar vías de comunicación para la aportación de datos de fraude electrónico al Repositorio de Fraude de INTECO. Estado actual: En proceso de aprobación de propuesta de comunicación entre INTECO-CERT y entidades. Beneficios para las entidades: Acceso a la información estructurada del repositorio. Complemento a sus servicios de seguridad. 25 6. Recomendaciones contra el fraude electrónico Sentido común como herramienta contra la ingeniería social. Hábitos seguros en el uso de Internet: Mantener los equipos actualizados y protegidos. Utilizar herramientas de seguridad. Recomendaciones específicas contra el fraude: Desactivar opciones como autocompletar, guardar contraseñas, etc Cerrar correctamente la sesión al acabar la operación. Utilizar contraseñas seguras y métodos de autenticación fuerte Utilizar herramientas antifraude para impedir el acceso a páginas fraudulentas. 26 13

6. Recomendaciones contra el fraude electrónico Detectar / Reconocer mensajes fraudulentos. Comprobar la presencia de elementos de seguridad: https, candado, certificados, etc. y comprobar su autenticidad. ti id d Fomento de la cultura de seguridad Información: http://cert.inteco.es y respuesta: fraude@cert.inteco.es 27 www.inteco.es 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback