Presented by iTTi's Manolo Palao at INTECO's 6th ENISE, in León (Spain), on October, 23rd, 2012.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
AGRADECIMIENTOS PROFESIONALES: Agradezco las críticas y contribuciones a esta presentación realizadas por MIGUEL GARCÍA-MENÉNDEZ y EDUARDO RODRÍGUEZ RINGACH, de iTTi; y por Usuaria. Sin embargo, la responsabilidad por mis opiniones es exclusivamente mía.
Introducción
Esta presentación tiene lugar por invitación de INTECO – 6ENISE a Usuaria – organizadora de Segurinfo MAD 2012- y por mi designación por Usuaria para ello. Agradezco invitación y designación y procuraré presentarles en estos 20 minutos alguna información y reflexión sobre el tema que nos ocupa. Las informaciones, he procurado documentarlas en las páginas de la presentación y en los apéndices, que no se presentarán; las reflexiones y opiniones son exclusivamente mías y no vinculan en modo alguno a Usuaria ni a iTTi.
Apéndice A
3 Retos de la Seguridad en la Modernización de las AA PP
1 Ciberseguridad ⊂ Seguridad TI ⊂ Seguridad 2 Ciberseguridad y Modernización AAPP 3 Ciberseguridad: Faltan Marcos y Métricas, y Falta Consenso 4 Experiencias de Algunos Otros Países
• Final
EEUU México Argentina Brasil Chile Colombia Venezuela Otros
Apéndice A. Antecedentes: Usuaria, Segurinfo, iTTi Apéndice B. Falta consenso Apéndice C. Faltan marcos y Métricas Apéndice D. Algunas referencias Apéndice E. Mapeo EBK-C5IS
Esquema
5 Retos de la Seguridad en la Modernización de las AA PP
más interfaz, más detallado y próximo (sobre todo área local); pero además ubicuidad
más ‘ciudadanos – clientes’ (no ‘súbditos – usuarios’)
más transacciones ‘big data’ más transparencia, trazabilidad, identificación más exigencias de trato más personal (ojo: robots en servicios: Santander)
menor tiempo respuesta
mayor libertad de horario
menos garantismo y regulación
más vocación de servicio
menos coste
DERECHO de acceso EIT Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos
7 Retos de la Seguridad en la Modernización de las AA PP
4 categorías: • marco legal y regulatorio del ciberespacio, • contexto económico y social, • infraestructura tecnológica y • aplicación en los sectores clave de la economía. 40 subíndices: o participación del Estado en el desarrollo del
ciberespacio, nivel de desarrollo de las políticas de protección en internet,
o nivel de censura, o nivel de penetración de las innovaciones en el
mundo empresarial, o apertura del comercio, o gasto en tecnología de la información, o calidad de las tecnologías utilizadas, o desarrollo del gobierno electrónico, etc.
http
://la
.rusia
hoy.
com
/art
icle
s/20
12/0
1/23
/sin
_el_
plan
_nac
iona
l_de
_cib
erse
gurid
ad_1
4206
.htm
l
¿dónde está España?
¡ No en G20 !
Cyber Power Index (Índice de Ciberpotencia) The Economist, con Booz Allen Hamilton. G20 - EU. 23 de enero de 2012 http://la.rusiahoy.com/articles/2012/01/23/sin_el_plan_nacional_de_ciberseguridad_14206.html
1|19 RU 2|19 EEUU 3|19 AUS 10|19 BRA 13|19 CHINA 14|19 RUSIA
iniciativa “A Call to Action” (“Information Security Management and Assurance: A Call to Action for Corporate Governance”), nacida a partir de un encuentro público-privado, en La Casa Blanca, en febrero de 2000, durante la Administración Clinton.
De ella nacería el concepto “Information Security Governance”, que quedaría acuñado un año después, en febrero de 2001.
publicación de “The National Strategy to Secure Cyberspace”, en febrero de 2003,
en respuesta al 9/11.
http://www.cyberhub.com/CyberPowerIndex
12 Retos de la Seguridad en la Modernización de las AA PP
DHS-ITS-EBK2008V1.3 ii.pdf Shoemaker & Conklin: Cybersecurity: The Essential Body Of Knowledge 2012
Shortage of certificates !!! “There is zero unemployment in IT security, suggesting a
huge shortage of skills in the profession, says Hord Tipton, executive director of professional certification body (ISC)2. [SET 2012] http://www.computerweekly.com/news/2240163010/Skills-shortage-means-no-unemployment-in-IT-security-says-ISC2
S. 2105: Cybersecurity Act of 2012 [FEB 2012] http://www.govtrack.us/congress/bills/112/s2105/text
“… cyber attacks are subject to international humanitarian law and rules of war” http://www.armytimes.com/news/2012/09/dn-laws-of-war-apply-cyber-attacks-091812/
La campaña nacional “NICE” (“National Initiative for Cybersecurity Education”), actualmente en vigor [2008 - 2012]. http://csrc.nist.gov/nice/
“encompassing
kindergarten … and vocational programs”
http://csrc.nist.gov/nice/aboutUs.htm
Comprehensive National Cybersecurity Initiative (CNCI) was established
TIME, 12 OCT 2012 http://nation.time.com/2012/10/12/panetta-sounds-alarm-on-cyber-war-threat/
4ab. Otros Países: EEUU
“Defense Secretary Leon Panetta issued what he said is a “clarion call” Thursday for Americans to wake up to the growing threat posed by cyber war”. http://nation.time.com/2012/10/12/panetta-sounds-alarm-on-cyber-war-threat/#ixzz29I2tmMuO
“That’s one reason President Obama designated October as National Cybersecurity Awareness Month”.
MÉXICO, ÚLTIMO LUGAR DE LA OCDE EN CIBERSEGURIDAD México ocupa el último lugar en materia de ciberseguridad entre los países que conforman la OCDE, va rezagado en la tipificación de delitos informáticos y no cuenta con recursos humanos preparados (agentes del MP, policías investigadores y jueces conocedores) para hacer frente a fraudes electrónicos, clonación de tarjetas, robo de base de datos, bloqueo de portales o jaqueo de cuentas de correo, entre otros ilícitos de este tipo.
[Boletín UNAM-DGCS-090 Ciudad Universitaria. 11 FEB 2012]
Brazilian Army to open a cyber-security centre [AUG 2011] Brazil’s critical information technology (IT) infrastructure new mission for the country’s armed forces . Brazilian government said its IT infrastructure is composed of 320 large public
networks with more than 1 million users. [DEC 2008] Brazilian government published National Defense Strategy, three
sectors to considerably expand: cyber, nuclear and space.
http
://w
ww
.cyb
erhu
b.co
m/C
yber
Pow
erIn
dex
Fuen
te: h
ttp:
//w
ww
.jane
s.co
m/p
rodu
cts/
jane
s/de
fenc
e-se
curit
y-re
port
.asp
x?id
=106
5929
940
17 Retos de la Seguridad en la Modernización de las AA PP
LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA [Versión aprobada JUL 2011]
Este documento busca generar lineamientos de política en ciberseguridad y ciberdefensa orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema. Colombia, primer país latinoamericano en adoptar estrategia de ciberseguridad
y ciberdefensa. La iniciativa gubernamental busca proteger a la ciudadanía de los riesgos informáticos, creando tres dependencias: el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert), el Comando Conjunto Cibernético de las Fuerzas Militares y el Centro Cibernético Policial. [OCT 2012] Guerra electrónica de "baja intensidad" contra las FARC http://m.eltiempo.com/mundo/la-fiscalia-de-
CONATEL (Comisión Nacional de Telecomunicaciones) celebra este 17 de mayo el Día Mundial de las Telecomunicaciones, con un evento …
… la Asamblea Nacional, El Ministerio Público, El Tribunal Supremo de Justicia,
El Ministerio de Interior y Justicia, El Banco Industrial de Venezuela, el Seniat y la Comunidad del Software Libre, entre otros, debatirán temas concernientes a la ciberseguridad en nuestro país.
Entre los temas que serán abordados en este evento están: Ciberseguridad en
Venezuela y otros países del mundo, los procedimientos legales existentes en la nación para combatir los delitos informáticos, utilidad y aplicación de la ciberseguridad en las instituciones del estado, y en las estrategias de seguridad de las empresas venezolanas.
'Research for a Secure Europe' [2004] Grupo de Personalidades en el Campo de Investigación en Seguridad http://www.src09.se/upload/External%20Documents/gop_en.pdf
Estonian_ Cyber Security Strategy 2008-2013 Finish_ National Information Security Strategy Cyber Security Strategy of the United Kingdom Cyber Security Strategy of the Czech Republic for the 2011-2015 period The _Dutch_ National Cyber Security Strategy Cyber Security Strategy for Germany Défense et sécurité des systèmes d'information Stratégie de la France The _Lithuanian_ Programme for the Development of e-Information Security
(Cyber Security) for 2011-201
http://www.enisa.europa.eu/
4i. Y Otros Países Más … … en este caso, Europeos, porque nos han interesado
Georgia, que no es estado-miembro de la UE, sufrió ataques combinados tierra-ciber, con motivo de la invasión rusa de 2009.
“… dos expertos en ciberseguridad de la talla de Eugene Kaspersky, presidente
ejecutivo de Kaspersky Lab , y del ex director de la Agencia de Seguridad Nacional de
Estados Unidos, Michael Hayden.”
28 de septiembre de 2012 http://www.nacionred.com/ciberdefensa/expertos-en-ciberseguridad-advierten-del-peligro-de-volver-a-una-epoca-romantica-sin-energia-sin-autos-sin-trenes
30 Retos de la Seguridad en la Modernización de las AA PP
“… as a doctrinal matter, the Pentagon has formally recognized cyberspace as a new domain in warfare . . . [which] has become just as critical to military operations as land, sea, air, and space.“ William J. Lynn, U.S. Deputy Secretary of Defense http://securityaffairs.co/wordpress/8765/intelligence/state-sponsored-attack-or-not-thats-the-question.html?goback=.gde_1870711_member_165007262
tierra
¿ciberespacio?
aire
mar
espacio LTC Greg Conti, Assistant Professor, USMA-WestPoint
Propone: USCyber, USArmy, USNavy , USAF
‘Beligerantes’
Ap. B. Falta consenso
31 Retos de la Seguridad en la Modernización de las AA PP
“Unfortunately too many published assessments have favored sensationalism over careful analysis” “… few single foreseeable cyber-related events have the capacity to propagate onwards and become a full-scale ―global shock”. “A critical feature of any worthwhile analysis is discipline in the use of language”. “Cyber espionage is not ―a few clicks away from cyberwar, it is spying which is not normally thought of as ―war”.
‘Analistas- Objetivistas’
Ap. B. Falta consenso
35 Retos de la Seguridad en la Modernización de las AA PP
“By the same token a short-term attack by hacktivists is not cyberwar either”. “A pure cyberwar, that is one fought solely with cyber-weapons, is unlikely”. “On the other hand in nearly all future wars as well as the skirmishes that precede them policymakers must expect the use of cyberweaponry”. “… the Internet was designed from the start to be robust so that failures in one part are routed around…”
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
36 Retos de la Seguridad en la Modernización de las AA PP
“In terms of cyber attacks the one overwhelming characteristic is that most of the time it will be impossible for victims to ascertain the identity of the attacker – the problem of attribution. This means that a defense doctrine based on deterrence will not work. The most immediately effective action that governments can take is to improve the security standards of their own critical information systems.
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
37 Retos de la Seguridad en la Modernización de las AA PP
The report addressed web/email attacks. The techniques used bypass both signature and heuristic security means. I. Web 225% increase in web infections in last 6 months. 643/week now. Attacks vary by industry: Healthcare - 100% increase Financial Services - spike in April/May - from Latvia Technology - high volume - stable trend - target is Intellectual Property Energy/Utility - 60% increase - target is smart grid II. Email 56% increase in malicious email in last 6 months Two methods used: malicious links in email and email attachments. Links are growing faster. "Throw away*" domains are being used more - those used 1-10 times and discarded. This is to circumvent filters and black lists by domain. (*also known as Limited Use Domains/Crafted Domains) Attachments: increase in variance by type of attachment. Target vulnerabilities in serving applications. (Example: pdf/Abode)
"FireEye Advanced Threat Report - First Half 2012" Thesis of the report: Advanced attacks bypass traditional security like Firewalls, Intrusion Prevention, and Anti-virus.
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
38 Retos de la Seguridad en la Modernización de las AA PP
III. Files Filter and limit by type. Examine inbound for malicious content. Examine outbound for proprietary information. Many attacks are trying to obtain data more now. Files are being extracted using the HTTP (port:80) protocol - which is usually more open. IV. Some protective moves you can make. #1. User education regarding risks in email (links and attachments) and web sites (links). #2. Defense in depth - key - protecting not only the front door, but internal networks for the proper access controls (users/data paths) #3. Secure coding best practices (never trust user input - audit/examine/test/validate). (Example: a web site that queries a database: if the user enters a "*" and no check is made and the "*" is passed to SQL, the request is to return all rows in the table - a very easy exploit - and most likely not what you want to happen).
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
39 Retos de la Seguridad en la Modernización de las AA PP
“We have met the enemy and he is us” Fuente: Walt Kelly . http://wiki.answers.com/Q/What_is_the_origin_of_the_phrase_'I_have_found_the_enemy_and_it_is_us'#ixzz264CPrYv4
Ti Fortaleza/Poder Tecnológico vs. Inercia/Exceso de confianza
De la GUERRA ELECTRÓNICA a la CIBERGUERRA La TECNIFICACIÓN como AMENAZA
National Cyber Strength = f(cyberoffensiveness, cyberdependency, cyberdefensiveness) Concienciación Formación Imputabilidad Madurez cívica National Accountability
Ámbito
A M B
Ap. C. Faltan marcos y Métricas
Cyber Power Index
42 Retos de la Seguridad en la Modernización de las AA PP