Primera sesión del Foro de Auditoría y Seguridad
INAUGURACIÓN DEL FORO FAST
El Foro FAST, dedicado a sensibilizar a las Organizaciones e Instituciones de la criticidad de la información almacenada en sus Sistemas, presentar las tendencias tecnológicas en materia de AUDITORÍA y SEGURIDAD INFORMÁTICAS, y discutir estrategias tecnológicas concretas de protección de la información, en Organizaciones e Instituciones públicas y privadas, celebró el pasado día 8 de marzo su primera sesión del año 2006, compuesta por dos sesiones técnicas.
Madrid, 8 de Marzo de 2006
Primera Sesión Técnica
 |
 |
Durante la primera sesión técnica de la mañana, presidida por
D. Francisco Antón Vique, intervinieron los siguientes ponentes:
En primer lugar expuso D. Oscar Robledo, el cual habló acerca de algunos de los proyectos que se están abordando en estos momentos en el Ministerio de Economía y Hacienda. Potenciado por la necesidad de movilidad que está explotando en el Ministerio, surge un problema de información sensible de los altos cargos, para lo cual se buscó una solución de cifrado que les permitiera almacenar información de forma segura y sencilla. También explicó que la solución que pensaron debía tener algunos requisitos adicionales, como son:
o Debía estar centrada en la información
o Había que tener en cuenta que la información es Información Corporativa, dependiente del cargo actual de los altos cargos
o Separación de los roles del administrador de sistemas y el administrador de seguridad.
Para dicha solución se pensó en dos alternativas que son el cifrado clásico y el cifrado departamental, cada una de ellas con sus ventajas e inconvenientes, eligiendo finalmente el cifrado departamental.
La herramienta desplegada en los puestos de usuario para la utilización de la solución de cifrado incorpora varias funcionalidades adicionales, y permite su fácil integración con otras aplicaciones corporativas al poderse invocar sus funciones.
En segundo lugar intervino D. Jesús Romero, el cual explicó iniciativas de firma electrónica y cifrado en el Ministerio de Economía y Hacienda. El ponente habló acerca de la idea del portafirmas electrónico de documentos PDF para altos cargos y expuso de forma cronológica cómo, desde el primer portafirmas para altos cargos hasta la actualidad, ha ido evolucionando la infraestructura del Ministerio. Algo que el ponente apuntó es que fué muy importante el excelente plan de difusión y comunicación que se hizo y en particular las actividades formativas orientadas en este sentido. También explicó que a partir de un momento determinado en el Ministerio se quiso integrar el portafirmas en todas las aplicaciones utilizadas planteándose un motor de firma.
El último de los ponentes de la mañana fue D. Rodrigo Bermúdez, el cual explicó iniciativas de seguridad perimetral llevadas a cabo en el Ministerio de Economía y Hacienda, las cuales aparecen por la importancia y la criticidad de la información que se maneja y por el enfoque de seguridad global buscando una solución total a los problemas. El ponente además habló acerca de los objetivos de la colaboración con el Ministerio, los cuales son:
o Refuerzo de la Seguridad Perimetral
o Integración de las Acciones de Seguridad
o Mantenimiento de la Calidad de Servicio
o Selección de Proveedores y Tecnologías Líderes
o Mejora Global de la seguridad
Seguidamente, el ponente explicó someramente las soluciones implantadas en el Ministerio de Economía y Hacienda.
Por último expuso que el reto del cifrado de información es la integración con otras tecnologías de seguridad.
Además habló acerca de nuevas posibilidades en el futuro en materia de cifrado como son el cifrado y la computación cuántica.
Segunda Sesión TécnicaEn primer lugar expuso D. Oscar Robledo, el cual habló acerca de algunos de los proyectos que se están abordando en estos momentos en el Ministerio de Economía y Hacienda. Potenciado por la necesidad de movilidad que está explotando en el Ministerio, surge un problema de información sensible de los altos cargos, para lo cual se buscó una solución de cifrado que les permitiera almacenar información de forma segura y sencilla. También explicó que la solución que pensaron debía tener algunos requisitos adicionales, como son:
o Debía estar centrada en la información
o Había que tener en cuenta que la información es Información Corporativa, dependiente del cargo actual de los altos cargos
o Separación de los roles del administrador de sistemas y el administrador de seguridad.
Para dicha solución se pensó en dos alternativas que son el cifrado clásico y el cifrado departamental, cada una de ellas con sus ventajas e inconvenientes, eligiendo finalmente el cifrado departamental.
La herramienta desplegada en los puestos de usuario para la utilización de la solución de cifrado incorpora varias funcionalidades adicionales, y permite su fácil integración con otras aplicaciones corporativas al poderse invocar sus funciones.
En segundo lugar intervino D. Jesús Romero, el cual explicó iniciativas de firma electrónica y cifrado en el Ministerio de Economía y Hacienda. El ponente habló acerca de la idea del portafirmas electrónico de documentos PDF para altos cargos y expuso de forma cronológica cómo, desde el primer portafirmas para altos cargos hasta la actualidad, ha ido evolucionando la infraestructura del Ministerio. Algo que el ponente apuntó es que fué muy importante el excelente plan de difusión y comunicación que se hizo y en particular las actividades formativas orientadas en este sentido. También explicó que a partir de un momento determinado en el Ministerio se quiso integrar el portafirmas en todas las aplicaciones utilizadas planteándose un motor de firma.
El último de los ponentes de la mañana fue D. Rodrigo Bermúdez, el cual explicó iniciativas de seguridad perimetral llevadas a cabo en el Ministerio de Economía y Hacienda, las cuales aparecen por la importancia y la criticidad de la información que se maneja y por el enfoque de seguridad global buscando una solución total a los problemas. El ponente además habló acerca de los objetivos de la colaboración con el Ministerio, los cuales son:
o Refuerzo de la Seguridad Perimetral
o Integración de las Acciones de Seguridad
o Mantenimiento de la Calidad de Servicio
o Selección de Proveedores y Tecnologías Líderes
o Mejora Global de la seguridad
Seguidamente, el ponente explicó someramente las soluciones implantadas en el Ministerio de Economía y Hacienda.
Por último expuso que el reto del cifrado de información es la integración con otras tecnologías de seguridad.
Además habló acerca de nuevas posibilidades en el futuro en materia de cifrado como son el cifrado y la computación cuántica.
 |
 |
En la segunda sesión técnica, el presidente de la mesa, el Comisario D. Francisco Miguelañez, introdujo a los ponentes después de explicar las funciones de la Brigada a la que pertenece (BIT).
El primero de los ponentes de la segunda sesión técnica fue D. Jorge Martín García, el cual habló acerca de las funciones del Grupo de Seguridad Lógica y que son la investigación de:
o Ataques
o Intrusiones
o Daños Informáticos
o Descubrimiento y revelación de Secretos
o Sustracción de datos personales
Además explicó que para poder perseguir muchos de estos delitos es necesaria la denuncia previa y se debe aportar en informe técnico.
Por otro lado, el ponente explicó brevemente las diferencias entre troyanos, virus y gusanos y las diferentes formas de actuar de cada uno de ellos.
Por último habló acerca de las medidas que se pueden tomar para evitar los daños informáticos, como son la instalación de Firewalls o la monitorización del trafico de red.
Seguidamente expuso D. José Manuel Colodrás, Responsable de prevención del Fraude de ING Direct, el cual habló acerca de la repercusión en la banca online de varios tipos de fraudes como son el phising, el pharming y los keyloggers.
Explicó que normalmente atribuimos el phising única y exclusivamente a los bancos pero debemos tener en cuenta que se puede realizar contra cualquier tipo de organización o empresa.
El ponente hizo mención especial a las "mulas" o intermediarios, que son personas que reciben un porcentaje que oscila entre el 5 y el 15% por recibir en sus cuentas una transferencia y remitirla mediante una "remesadora" o "agencia de envío de efectivo" a un país generalmente del este, con el objetivo de blanquear el dinero conseguido por medio del phising.
También comentó que, con respecto al pharming o suplantación del sistema de resolución de nombres de servicio, la solución pasa por la prevención utilizando un buen antivirus.
Finalmente, se contó con la participación de Dª. Marta Pardo, la cual habló acerca de auditoría y gestión de la seguridad con una herramienta creada por IT Deusto llamada "ITDLock".
Comentó que la herramienta detecta problemas de seguridad en diferentes niveles como son red, sistema y directivas de seguridad, resuelve de forma directa e inmediata los problemas detectados y realiza informes detallados de cada análisis obtenido.
Finalmente, y antes de mostrar una demo de la aplicación presentada, explicó que los beneficios obtenidos por la herramienta se pueden resumir en:
o Gestión inmediata de la seguridad tras la obtención del informe de riesgos del equipo.
o Consola centralizada con acceso directo a los distintos niveles de seguridad del equipo. Vigilancia inmediata de los sistemas.
o Plantillas comparativas adecuadas a cada entorno especifico requerido. Una solución no sirve para todos los casos. La Securización debe ir en concordancia con el entorno.
o Generación de informes en formato html que posteriormente pueden ser analizados por nuestro equipo de seguridad
o Fácil personalización e integración de otras herramientas de comandos solicitadas por los clientes.
Una vez terminadas las sesiones técnicas se pasó al almuerzo con la presencia de D. Oski Goldfryd, Director de la Revista Financial Tech Magazine, el cual expuso su punto de vista acerca de la actualidad en el mundo de la auditoría y la seguridad informática.
El primero de los ponentes de la segunda sesión técnica fue D. Jorge Martín García, el cual habló acerca de las funciones del Grupo de Seguridad Lógica y que son la investigación de:
o Ataques
o Intrusiones
o Daños Informáticos
o Descubrimiento y revelación de Secretos
o Sustracción de datos personales
Además explicó que para poder perseguir muchos de estos delitos es necesaria la denuncia previa y se debe aportar en informe técnico.
Por otro lado, el ponente explicó brevemente las diferencias entre troyanos, virus y gusanos y las diferentes formas de actuar de cada uno de ellos.
Por último habló acerca de las medidas que se pueden tomar para evitar los daños informáticos, como son la instalación de Firewalls o la monitorización del trafico de red.
Seguidamente expuso D. José Manuel Colodrás, Responsable de prevención del Fraude de ING Direct, el cual habló acerca de la repercusión en la banca online de varios tipos de fraudes como son el phising, el pharming y los keyloggers.
Explicó que normalmente atribuimos el phising única y exclusivamente a los bancos pero debemos tener en cuenta que se puede realizar contra cualquier tipo de organización o empresa.
El ponente hizo mención especial a las "mulas" o intermediarios, que son personas que reciben un porcentaje que oscila entre el 5 y el 15% por recibir en sus cuentas una transferencia y remitirla mediante una "remesadora" o "agencia de envío de efectivo" a un país generalmente del este, con el objetivo de blanquear el dinero conseguido por medio del phising.
También comentó que, con respecto al pharming o suplantación del sistema de resolución de nombres de servicio, la solución pasa por la prevención utilizando un buen antivirus.
Finalmente, se contó con la participación de Dª. Marta Pardo, la cual habló acerca de auditoría y gestión de la seguridad con una herramienta creada por IT Deusto llamada "ITDLock".
Comentó que la herramienta detecta problemas de seguridad en diferentes niveles como son red, sistema y directivas de seguridad, resuelve de forma directa e inmediata los problemas detectados y realiza informes detallados de cada análisis obtenido.
Finalmente, y antes de mostrar una demo de la aplicación presentada, explicó que los beneficios obtenidos por la herramienta se pueden resumir en:
o Gestión inmediata de la seguridad tras la obtención del informe de riesgos del equipo.
o Consola centralizada con acceso directo a los distintos niveles de seguridad del equipo. Vigilancia inmediata de los sistemas.
o Plantillas comparativas adecuadas a cada entorno especifico requerido. Una solución no sirve para todos los casos. La Securización debe ir en concordancia con el entorno.
o Generación de informes en formato html que posteriormente pueden ser analizados por nuestro equipo de seguridad
o Fácil personalización e integración de otras herramientas de comandos solicitadas por los clientes.
Una vez terminadas las sesiones técnicas se pasó al almuerzo con la presencia de D. Oski Goldfryd, Director de la Revista Financial Tech Magazine, el cual expuso su punto de vista acerca de la actualidad en el mundo de la auditoría y la seguridad informática.
D. Francisco ANTÓN
D. Oscar ROBLEDO
D. Jesús ROMERO
D. Rodrigo BERMÚDEZ
D. Jorge MARTÍN
D. José M. COLODRÁS
Dª. Marta PARDO
D. Oski GOLDFRYD
, auditoría y seguridad - 2006