De la evaluación/relevamiento realizada por el SIGEN (Sindicatura General de la Nación – Argentina) al sector Público Nacional el año 2005 previo a emitir las “Normas de Control Interno para Tecnología de Información” (Res. 48/2005 SIGEN), surgieron riesgos detectados que expresan la situación del Sector Público Nacional hasta el año 2005. A continuación se presentan la Condición y el Efecto de dichos Hallazgos de Auditoria de Sistemas:
1. La institución posee más de un sector responsable de los servicios de procesamiento de la información. (37%)
Riesgos:
Dificultades para llevar a cabo estrategias y planes unificados relativos a la TI
Posible duplicación de esfuerzos y tareas
2. Las áreas informáticas identificadas dependen de una de las áreas usuarias. (63%)
Riesgos:
Falta de independencia
Incorrecta gestión de prioridades en la prestación de servicios
3. Las áreas informáticas identificadas carecen de estructura interna formalmente definida. (61%)
Riesgos:
Falta de separación de funciones
Desconocimiento, por parte del personal, de sus responsabilidades
Dificultades ante eventuales necesidades de rendición de cuentas
4. Las áreas informáticas identificadas no disponen de planificación documentada (37%) y no dispone de planificación aprobada (51%)
Riesgos:
Falta de dirección y control de las actividades y proyectos informáticos encarados
Ineficiencia de los proyectos informáticos
“Malas” inversiones en TI
Disparidad entre los objetivos de la organización y de la TI
5. Las áreas informáticas identificadas carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas (69%)
Riesgos:
Modificaciones no autorizadas sobre los Sistemas
Incorrecta administración de prioridades
Falta de aplicación de estándares de programación y documentación
Implementación de Sistemas no probados
6. Las áreas informáticas identificadas carecen de procedimientos aprobados para la administración de la seguridad (69%)
Riesgos:
Accesos no autorizados a la información o los recursos del Organismo
Inexactitud o falta de confiabilidad de los datos o Sistemas
Falta de disponibilidad de la información o recursos necesarios
7. Las áreas informáticas identificadas carecen de plan de contingencias (74%)
Riesgos:
Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada
8. Las áreas informáticas identificadas carecen de procedimientos documentados de back up (59%)
Riesgos:
Pérdidas de información
Interrupciones a la continuidad operativa del Organismo
Dependencia del personal que se encarga de la tarea
9. Las áreas informáticas identificadas carecen de procedimientos documentados para las actividades de soporte técnico (77%). Asimismo carecen de procedimientos documentados para la gestión de licencias de software (80 %)
Riesgos:
Administración deficiente de prioridades, disconformidad de los usuarios, etc.
Incumplimiento de la normativa aplicable.
10. La institución no realiza auditorías internas de sistemas de información
Riesgos:
Desequilibrio entre la informatización del organismo y la realización de auditorías.
Del producto de la evaluación que detectó los Hallazgos de Auditoria de Sistemas, el SIGEN redactó y aprobó un Modelo de Política de Seguridad basado en la ISO 17799, los puntos abarcados en el modelo son:
1. Organización Informática.
2. Plan Estratégico de TI
3. Arquitectura de la Información
4. Políticas y Procedimientos
5. Cumplimiento de Regulaciones Externas
6. Administración de Proyectos
7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación
8. Adquisición y Mantenimiento de la Infraestructura Tecnológica
9 Seguridad
10. Servicios de Procesamiento y/o Soporte Prestados por Terceros
11. Servicios de Internet / Extranet / Intranet
12. Monitoreo de los Procesos
13. Auditoría Interna de Sistemas
Fuente: www.arcert.org.ar
Comentario:
En el caso boliviano para el sector público se cuenta con un marco para la Gestión del sector público como es la Ley 1178 y sus decretos reglamentarios para los diferentes subsistemas (Sistema Organización Administrativa, Sistema de Presupuesto, Sistema de Control, etc.), al realizar una auditoría el marco Legal mínimo es el señalado anteriormente y para realizar una auditoría se deben seguir las Normas de Auditoría Gubernamental. Al redactar la normativa boliviana respecto a Gestión de Tecnologías de Información se procedió al revés, primero se aprobó la norma de auditoría (NAG 270 Normas de Auditoría de Tecnologías de la Información y la Comunicación), pero no se cuenta con una normativa de control interno para TI, más aún la NAG 270 indica que ante vacíos técnicos se debe considerar COBIT. Si un auditor aplica COBIT como marco normativo para realizar una auditoria de sistemas en el Sector Público Nacional, seguramente nos encontraremos no solamente con los 10 hallazgos mencionados anteriormente para el caso Argentino, más bien nos sorprenderían los resultados.
Los hallazgos mencionados en el caso Argentino son del 2005, esto demuestra que en otros países se preocuparon varios años atrás en temas de Tecnologías de la Información y Seguridad de la Información, lo que no sucedió en Bolivia, quizá los eventos recientes (amenaza de Anonymos al Presidente Morales, hackeo a la página de YPFB) sirvan para movilizar al gobierno y específicamente a los legisladores a considerar estos aspectos en la legislación y en las políticas de Estado.
¿Mínimamente qué necesitamos del Gobierno Nacional?
- Un Decreto Supremo que establezca el Sistema o Subsistema de Control Interno para Tecnologías de Información para el Sector Público, a partir de este, cada organismo del sector público elaboraría su Reglamento Específico. Se podría adoptar (o adaptar) la ISO 27002, tal como lo hizo el gobierno peruano recientemente.
- Una Ley Específica de Delitos Informáticos o una Ley que modifique el Código Penal y que incluya delitos informáticos.
Este punto no es tan difícil de cumplirlo, se podía haber avanzado algo con la Ley 164 (Ley de Telecomunicaciones y TICs) que en su anteproyecto aprobado por los Diputados incluía delitos como: Manipulación Informática; Alteración, Acceso y uso Indebido; Propiedad Intelectual; Falsedad Material; Falsedad Ideológica; Falsificación de documentos; Violación de Correspondencia; Secretos de correspondencia; Suplantación de Identidad; Sabotaje Informático; Delitos Telecom. Estos delitos fueron excluídos de forma inexplicable de la Ley Promulgada.
Ahora me pregunto ¿Cómo y bajo que marco legal se perseguirá a los autores de la amenaza de Anonymos al Presidente Morales y del hackeo a la página web de YPFB?:
Respuesta 1: Nuestro actual Código Penal Establece por ejemplo para el delito de “Alteración, acceso y uso indebido de datos informáticos” la sanción de “prestación de trabajo hasta un año o multa hasta doscientos días”, ya me imagino a los culpables (hackers) dictando clases de Word, Excel, Internet durante un año, ¡Qué castigo más ejemplar NO????!
Respuesta 2: Bajo que marco legal se perseguirá a los hackers?, bueno pues, bajo el marco legal actual, no hay de otra. Cuando se imputa penalmente a una persona por ejemplo por el delito de “Manipulación Informática (3 a 5 años)”, se le imputa también por otros delitos como abuso de confianza, falsedad material, falsedad ideológica, uso de instrumento falsificado.
- Un organismo gubernamental como el ArCERT (Coordinación de Emergencias en Redes Teleinformáticas - Argentina) que sería una unidad de respuesta ante incidentes en redes, que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten a los recursos informáticos de la Administración Pública Nacional (APN), es decir, cualquier ataque o intento de penetración a través de sus redes de información.
miércoles, 31 de agosto de 2011
jueves, 25 de agosto de 2011
SAS lidera el mercado de software para la lucha contra el blanqueo de dinero
El Estudio Global Anti-Money Laundering Vendor Evaluation: A Reinvigorated Market de Aite Group clasifica a SAS Anti-Money Laundering, como el mejor proveedor de software para la lucha contra el blanqueo de dinero.
Diario Ti: Aite Group entrevistó a 36 instituciones financieras y a 18 importantes vendedores dentro del entorno de la lucha contra el blanqueo de dinero a nivel global entre enero y abril de 2011. Las organizaciones financieras venían de los cinco continentes con entre 800 millones y más de 1 billón (trillion) de dólares en activos.
El informe citó el análisis, la integración de datos visuales, escenas preempaquetadas y la escalabilidad como los puntos fuertes de la oferta, dando notas altas tanto en rendimiento como en la capacidad de respuesta del servicio al cliente. SAS Anti-Money Laundering aprovecha el análisis para proporcionar un procesamiento de alertas más efectivo y ofrece enormes ahorros de costes para bancos al reducir los falsos resultados positivos y al liberar recursos de investigación.
"SAS aporta una cantidad importante de poder analítico al entorno, dadas sus raíces en las soluciones estadísticas", dijo Julie Conroy McNelley, Senior Analyst en Retail Banking Practice de Aite Group. "SAS tiene una amplia gama de escenarios preempaquetados que están disponibles con la solución, permitiendo así un ajuste fácil para las instituciones financieras, según la necesidad. La arquitectura de la solución es un punto positivo para las pequeñas instituciones que no tienen un almacén de datos establecido, ya que proporciona el esquema de datos para crear un data mart y puede dar soporte a varias diferentes bases de datos relacionales".
Aite Group apuntó que "SAS proporciona una solución Teradata para grandes [instituciones] que es capaz de procesar una enorme cantidad de datos en un período relativamente corto de tiempo. En una prueba del concepto con un cliente grande, SAS demostró la capacidad de procesar 2.500 millones de transacciones dentro de la ventana de procesamiento adjudicada".
El informe pronostica que el mercado global de software de lucha contra el blanqueo de dinero, valorado actualmente en 450 millones de dólares, “crecerá a un tasa de crecimiento anual compuesto (CAGR) de un 9 por ciento durante los próximos años, llegando a 690 millones de dólares en 2015". Entre los motores del mercado están “el rápido crecimiento en Asia Pacífico, Oriente Medio y África; instituciones financieras en EE. UU. y Europa reemplazando soluciones anticuadas; e instituciones financieras más pequeñas que sustituyen los procesos manuales por soluciones automatizadas". El informe especifica que las soluciones para la lucha contra el blanqueo de dinero deben incluir due diligence, el control de actividades sospechosas, la gestión de casos y el filtrado de listas de observación - todos incluidos dentro de SAS Anti-Money Laundering.
SAS Anti-Money Laundering es parte de SAS Enterprise Financial Crimes Framework for Banking, una infraestructura tecnológica para prevenir, detectar y gestionar crímenes financieros en diferentes líneas de negocio dentro de los bancos de hoy en día.
Entre las más de 114 instituciones que utilizan SAS para la lucha contra el blanqueo de dinero están: Bank of Queensland (Australia), China Construction Bank (Hong Kong), Coastal Federal Credit Union (EE. UU.), Commonwealth Bank of Australia (Australia), Development Bank Philippines (Filipinas), EON Bank (Malasia), Fubon Bank (Hong Kong), Hana Bank (Corea), Industrial Bank of Korea (Corea), Samsung Securities Co. (Corea) y Sovereign Bank (EE. UU.).
Fuente: www.diarioti.com
Proyecto: Bolivia CIBERSEGURA
Esta actividad esta siguiendo la corriente que muchos países alrededor del mundo están marcando. Encierra básicamente dos conceptos, “Ciberseguridad y Ciberdefensa”. La primera, de carácter proactivo esta orientada a establecer un estado de protección a toda la infraestructura critica del país para ir con el tiempo subiendo las capas protegidas. La segunda es mas reactiva y tratara de establecer los procedimientos de emergencia a aplicar en caso de ataques informáticos contra la infraestructura crítica del país. Si vemos la urgencia de las cosas veremos que la ciberdefensa debe ser implementada antes y de forma urgente para bajo este techo de protección básica se pueda ir consolidando actividades de ciberseguridad. Entre ciberdefensa y ciberseguridad son inversamente proporcionales, al principio las actividades de ciberdefensa serán mayores y a medida que implementemos ciberseguridad, la ciberdefensa se hará parte de la primera. El proyecto comenzara con actividades de capacitación a todo nivel. En realidad ya estamos bajo este régimen desde hace algunos años, pero ahora vamos a orientar este esfuerzo para que la ciberseguridad no sea un tema aislado en cada empresa o institución. Algo muy importante será difundir opiniones críticas sobre las actividades que se están realizando en el país. Desde muchas leyes, proyectos que sin duda repercuten en la seguridad pero carecen de este componente de forma clara. También haremos revisión y critica de disposiciones regulatorias, seguridad en entidades financieras, seguridad en el estado.
Esperamos fortalecer la visión crítica de la comunidad para apoyar proyectos serios en temas de seguridad. Esperamos que se sumen más profesionales para hacer de la seguridad algo transversal a las otras disciplinas de la informática. Consideramos aplicar la formula básica: capacitación, entrenamiento y educación para el éxito de este proyecto. En su primera fase tendremos fuerte componente nacional para en una segunda etapa intercambiar experiencias a nivel internacional. No nos sentimos aun con resultados tangibles como para sentarnos en una mesa de experiencias a nivel región. Pero confiamos que máximo en un par de años tendremos mucho que compartir.
Buscamos generar actividades continuas sobre seguridad de la información a nivel país. Hacer que la comunidad de especialistas o interesados en la seguridad de la información sea igual a la cantidad de profesionales en sistemas. Bajo el enfoque de que la seguridad debe ser transversal a todas las otras disciplinas en las ciencias de computación o informática, esperamos que la seguridad sea parte integral del desarrollo profesional independientemente la subespecialidad.
Que necesitamos hacer:
• Necesitamos un marco legal sobre la ciberseguridad y ciberdefensa de la infraestructura computacional critica del país. Necesitamos relevar en diferentes categorías que instituciones deben ser consideradas críticas a nivel país y en función de esto generar recomendaciones de seguridad.
• Necesitamos involucrar como parte activa a entidades como el Ministerio de Defensa, la Policía Nacional, el Ministerio de Gobierno y otras que por su naturaleza tiene también relación con la ciberseguridad.
• Necesitamos conocer y estar seguros que las materias de Seguridad y/o Auditoria de sistemas sean parte integral de la malla curricular en la formación de nuevos profesionales en sistemas, tanto en universidades particulares como estatales.
• Necesitamos que el Estado genere recomendaciones nacionales sobre los estándares internacionales, por ejemplo a modelo del Peru que adopto el estándar ISO 17799 ahora ISO 27000 para las entidades públicas.
• Consideramos necesario incluir cuadros jóvenes de militares, policías, abogados y otros profesionales por cuanto la barrera generacional aun es muy alta y difícil de vencer, pero fortaleciendo la base en unos años veremos que esa barrera deja de ser tal y se convierte más bien en un trampolín para lanzar iniciativas.
• Consideramos que lo básico es hacer un análisis retrospectivo para vernos desnudos y analizar nuestras fortalezas y debilidades que sin duda al principio serán mas cosas negativas q positivas, pero aceptar plenamente nuestras limitaciones nos permitirá definir acciones correctivas.
• Queremos impactar en las futuras generaciones de profesionales con actividades para universidades, incluyendo a docentes para q estos puedan reciclarse e incorporarse al proyecto. Esperamos en unos años impactar en las mallas de formación universitaria y tener materias no solo de seguridad sino de criptografía por ejemplo.
• También queremos asegurar mas allá nuestro futuro, por ello en este proyecto la actividad sobre colegios y escuelas será igual de importante. No podemos cambiar con leyes y represión, debemos impactar en educación y cultura de seguridad.
Ambicioso? Si pero una meta tal nos dará el rumbo de actividades en un plazo de 10 años.
• Año 1 y 2 – Capacitacion interna y cruzada
• Año 3 al 5 – Políticas país, leyes y regulación sectorial. Capacitacion internacional. Queremos exportar resultados.
• Año 5 al 10 – Ser un país ciberseguro.
Esta actividad ha estado gestándose poco a poco y consideramos un momento propicio el impulsarla. Entendemos que las ocupaciones nos quitan tiempo pero sin duda la cantidad de participantes hará que muchos podamos participar y sin necesitar que estemos permanentemente inmersos en algo el todo seguirá avanzando. Personalmente estoy comprometido con esta idea y dado el perfil de Yanapti y mi persona vamos impulsar, apoyar y fomentar toda idea. De alguna manera estos años hemos estado haciendo actividades, participando en otras donde la seguridad es un complemento, ahora queremos tener actividades donde la seguridad sea la figura central sin necesidad de entrar en competencia con otras. Considero que nuestro país aun tiene espacio para mucho.
Atentamente:
MSC. Ing. Guido Rosales Uriona Entusiasta por la Ciberseguridad y profesional especializado en esta materia.
Fuente: www.rosalesuriona.com
miércoles, 3 de agosto de 2011
El otro lado de la Ley de Telecomunicaciones y TICs
Los artículos más comentados de la Nueva Ley de Telecomunicaciones son los referidos al espectro electromagnético, es decir las licencias tanto para radio como para televisión y también la obligatoriedad que tienen los medios de comunicación (incluidos los canales de cable) de transmitir sin costo los mensajes presidenciales oficiales.
Estos últimos días se está comentando sobre las atribuciones que otorga esta Ley para que en situaciones de emergencia nacional, se pueda realizar pinchazos telefónicos e inclusive revisar correos electrónicos.
Al respecto cabe mencionar que esta Ley tiene otros aspectos poco o nada comentados que son bastante positivos: tiene artículos que protegen al usuario, define políticas para la ampliación de la fibra óptica a nivel nacional, norma el uso de los certificados digitales, define nuevos tipos de delítos informáticos, a continuación algunos aspectos positivos de la Ley que fueron tomados del anteproyecto de Ley aprobado en Diputados:
Artículo 47: Define la obligación de instalar fibra óptica en coordinación del Gobierno Nacional con Gobiernos Departamentales y Municipales.
Artículo 73: Establece los derechos de los usuarios, entre los más interesantes tenemos:
Solicitar la exclusión de datos de las guías de abonados sin costo alguno.
No ser facturado por un servicio que no ha solicitado.
Identificación de llamadas en forma gratuita.
Artículo 75: Inviolabilidad y secreto de las comunicaciones
Ni la autoridad pública, ni persona u organismo alguno podrán interceptar conversaciones o comunicaciones privadas mediante instalación que las controle o centralice.
Artículo 85 y 86: Administración y registro de los nombres del dominio "bo"
Artículos 87 al 104: Firmas, documentos digitales y comercio electrónico.
Establece entre otros la fuerza probatoria de documentos digitales, más aún si cuentan con certificados o firmas digitales.
Artículo 105: Define el correo electrónico y lo equipara a la correspondencia postal.
Artículo 106: Establece que la propiedad del correo electrónico corporativo (proporcionado por el empleador), le pertenece al empleador, por tanto puede legalmente "acceder y controlar toda la información que circule por el mismo".
Artículo 112: Establece la promoción para el uso de "Software Libre"
Artículo 116: DELITOS INFORMÁTICOS
La Ley establece modificaciones al Código Penal mediante la inclusión de nuevos delitos al artículo 363:
Manipulación Informática (3 a 5 años)
Alteración acceso y uso indebido de datos informáticos (2 a 4 años)
Falsificación y suplantación de identidad electrónica (1 a 6 años)
Sabotaje Informático (1 a 3 años)
Delitos contra las telecomunicaciones (2 a 5 años)
Asimismo se modifican los artículos 198, 199, 200, 300, 301 del Código Penal, indicando que los delitos se aplicarán también a "los documentos digitales":
Artículo 198: Falsedad Material (1 a 6 años)
Artículo 199: Falsedad Ideológica (1 a 6 años)
Artículo 200: Falsificación de documento Privado (6 meses a 2 años)
Artículo 300: Violación de la correspondencia y comunicaciones privadas (3 a 5 años)
Como podemos apreciar la Ley de Telecomunicaciones tiene más aspectos de los comentados en los medios de comunicación, al parecer solamente hicieron la lectura de alrededor de 86 artículos abarcan hasta el Título III y recién estos días se están dando cuenta que esta Ley comprende más aspectos y tiene en realidad 130 artículos que comprende hasta el Título VIII
Estos últimos días se está comentando sobre las atribuciones que otorga esta Ley para que en situaciones de emergencia nacional, se pueda realizar pinchazos telefónicos e inclusive revisar correos electrónicos.
Al respecto cabe mencionar que esta Ley tiene otros aspectos poco o nada comentados que son bastante positivos: tiene artículos que protegen al usuario, define políticas para la ampliación de la fibra óptica a nivel nacional, norma el uso de los certificados digitales, define nuevos tipos de delítos informáticos, a continuación algunos aspectos positivos de la Ley que fueron tomados del anteproyecto de Ley aprobado en Diputados:
Artículo 47: Define la obligación de instalar fibra óptica en coordinación del Gobierno Nacional con Gobiernos Departamentales y Municipales.
Artículo 73: Establece los derechos de los usuarios, entre los más interesantes tenemos:
Solicitar la exclusión de datos de las guías de abonados sin costo alguno.
No ser facturado por un servicio que no ha solicitado.
Identificación de llamadas en forma gratuita.
Artículo 75: Inviolabilidad y secreto de las comunicaciones
Ni la autoridad pública, ni persona u organismo alguno podrán interceptar conversaciones o comunicaciones privadas mediante instalación que las controle o centralice.
Artículo 85 y 86: Administración y registro de los nombres del dominio "bo"
Artículos 87 al 104: Firmas, documentos digitales y comercio electrónico.
Establece entre otros la fuerza probatoria de documentos digitales, más aún si cuentan con certificados o firmas digitales.
Artículo 105: Define el correo electrónico y lo equipara a la correspondencia postal.
Artículo 106: Establece que la propiedad del correo electrónico corporativo (proporcionado por el empleador), le pertenece al empleador, por tanto puede legalmente "acceder y controlar toda la información que circule por el mismo".
Artículo 112: Establece la promoción para el uso de "Software Libre"
Artículo 116: DELITOS INFORMÁTICOS
La Ley establece modificaciones al Código Penal mediante la inclusión de nuevos delitos al artículo 363:
Manipulación Informática (3 a 5 años)
Alteración acceso y uso indebido de datos informáticos (2 a 4 años)
Falsificación y suplantación de identidad electrónica (1 a 6 años)
Sabotaje Informático (1 a 3 años)
Delitos contra las telecomunicaciones (2 a 5 años)
Asimismo se modifican los artículos 198, 199, 200, 300, 301 del Código Penal, indicando que los delitos se aplicarán también a "los documentos digitales":
Artículo 198: Falsedad Material (1 a 6 años)
Artículo 199: Falsedad Ideológica (1 a 6 años)
Artículo 200: Falsificación de documento Privado (6 meses a 2 años)
Artículo 300: Violación de la correspondencia y comunicaciones privadas (3 a 5 años)
Como podemos apreciar la Ley de Telecomunicaciones tiene más aspectos de los comentados en los medios de comunicación, al parecer solamente hicieron la lectura de alrededor de 86 artículos abarcan hasta el Título III y recién estos días se están dando cuenta que esta Ley comprende más aspectos y tiene en realidad 130 artículos que comprende hasta el Título VIII
Suscribirse a:
Entradas (Atom)
