Daniel Madrid13/04/2015
CíberseguridadUn nuevo contexto de amenazas para la administración electrónica
2© 2015 Deloitte Advisory, S.L.
Copia distribuida para uso exclusivo del Govern Balear para su proyección durante la 5ª Jornada de Administración Electrónica.
Queda prohibida la reproducción, distribución, comunicación a terceros, transformación, total o parcial, gratuita u onerosa, por cualquier medio o procedimiento, sin la autorización previa y por escrito de Deloitte Advisory S.L.
Este documento es estrictamente confidencial.
Contexto: ciberamenazas y cíberseguridad
Cómo debemos actuar
Un ejemplo práctico: @clave
Conclusiones
Índice
3© 2015 Deloitte Advisory, S.L.
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un nuevo contextoHace dos años…
© 2015 Deloitte Advisory, S.L. 4
http://www.deloitte.com/view/en_GB/uk/market-insights/cyber-security/
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un nuevo contexto… riesgos en un mundo hiperconectado…
© 2015 Deloitte Advisory, S.L. 5
La revolución digital está generando nuevos modelos de relación:
• Entre administración y los ciudadanos (G2C)
• Entre administraciones (G2G)
• Entre la administración y sus empleados (G2E)
pero también genera un escenario con nuevos riesgos que deben ser identificados y evaluados para poder promover y desarrollar una aproximación coherente de protección.
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un nuevo contexto… con innumerables amenazas …
© 2015 Deloitte Advisory, S.L. 6
Reputación Marca
ReputaciónDirectivos
Ataques a activos intangibles
Sistema Video
vigilancia
VoIP/ Video conferencia
Empleado
Ataques a activos físicos o
infraestructurascríticas
Abuso redes sociales
Fraude a Ciudadanos
Fraudede empleado
Fraude
Robo de información
Filtrado de información
Pérdida/Robo dispositivo
Fuga de información confidencial
HackingDDoS
Ataques a plataformas
propias (web, apps. móviles)
Phising
Malware
Ataques a ciudadanos
(fuera de perímetro)
Credenciales robadas
Vulnerabilidades HW y SW
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un nuevo contexto… que generan un impacto real …
© 2015 Deloitte Advisory, S.L. 7
“Global interconnectedness and the rising speed of information transmission have reinforced the interdependence between geopolitics and economics, with cyberspace representing an important new front in the geopolitical equation as cyber attacks have the growing potential to inflict economic damage”
Fuente: WEF Global Risk Report 2015
“2015 differs markedly from the past, with rising technological risks, notably cyber attacks, and new economic realities, which remind us that geopolitical tensions present themselves in a very different world from before.”
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-© 2015 Deloitte Advisory, S.L. 8
172
900 749
85 8196
1.5322.067
213 20423
1.938
3.831
1.033
38273
1.071
10.168
1.272
1320
2.000
4.000
6.000
8.000
10.000
12.000
bajo medio alto muy alto crítico
2011 2012 2013 2014
Recogida de información
1,23%
Otros0,58%
Fraude0,43%
Intrusiones13,95%
Contenido abusivo0,14%
Disponibilidad0,65%
Código dañino82,04%
Fuente: CCN-CERT Jornadas STIC Dic2014
Un nuevo contexto… también para las administraciones públicas …
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-© 2015 Deloitte Advisory, S.L. 9
Un nuevo contexto… qué ha cambiado?
Desaparición del perímetro
La importancia de los tiempos
El impacto sobre la reputación
El paso de la seguridad de la información...
…requiere de nuevas capacidades
…a la cíberseguridad…
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-© 2015 Deloitte Advisory, S.L. 10
Un nuevo contexto… qué debemos cambiar?
Preparar la Organización para gestionaradecuadamente los riesgos de ciberseguridadimplantando estructuras de gobierno que permitanmantener las capacidades de cíberseguridad.
Defender la Organización frente a ciberataquesmanteniendo las inversiones y mejorando las medidaspara proteger sus activos de información digitales.
Anticipar la identificación de las amenazas mediante el uso de las múltiples fuentes de ciberinteligencia con el fin de poder gestionarlas proactivamente.
Responder anticipadamente ante un ciberataqueexistoso, con el fin de poder limitar su impacto sobre la Organización.
D
A
R
P
Contexto: ciberamenazas y cíberseguridad
Cómo debemos actuar
Un ejemplo práctico: @clave
Conclusiones
Índice
11© 2015 Deloitte Advisory, S.L.
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Cómo debemos actuarCaracterizar las amenazas…
© 2015 Deloitte Advisory, S.L. 12
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Proactive Threat Management
Transformation
Cómo debemos actuar… para evolucionar nuestras capacidades
© 2015 Deloitte Advisory, S.L. 13
Análisis forensead-hocs
Protección básicaa nivel de red
IT Service Desk y comunicación Informal
Medidas de seguridad tradicionales
Escaneos de vulnerabilidades periódicos
Recoleción de eventos de seguridad y reporting Ad-hoc
Protección de infraestructturay aplicaciones Ad-hoc
Ejercicios de IT BC & DR
Política de usoaceptable de activos IT
Gestión Centralizada de eventos de seguridad 24x7
Escaneos de vulnerabilidadesperiódicos automatizados
Ejercicios de simulación ITde ciberataques
Protección de infraestructturay aplicaciones generalizada
Formación y concienciaciónen seguridad general
Modelización centralizada decomportamiento de sistemas
Uso de fuentes de ciberinteligencia disponibles
Intercambios informales de conocimiento con iguales
Monitorización cruzada de la actividad de usuarios clave
Correlación interna/externa de información de ciberinteligencia
Protección de Informacióndirigida por usuario
Ejercicios de simulación de ciberataques en sentido amplio
Modelado de comportamientode empleados o clientes
Formación y Concienciaciónen seguridad dirigida
Vigilancia de hackers y criminales
Colaboración con entespúblicos o sectoriales
Análisis forense automatizadode sistemas y malware
Monitorización online básica de marca
Política de uso de marcay social media
Colaboración global entre diferentes sectores
Señuelos y contrainteligencia
Análisis en tiempo real de riesgo y toma de decisiones
Concienciación a socios y terceros
Ejercicios de simulación sobretoda la cadena de suministro
Adaptación automáticade las medidas de protección
Detección actividad maliciosamediante canales cruzados
Monitorización de procesosintegrada y personalzada
Análisis forense de sistemasy malware automatizado
Protecciónde marca
Forensic ye-discovery
Colaboración
Ciberinteligencia
Análisis de compportamiento
Formación y concienciación
Preparación
Protecciónde activos
Gestión de eventosde seguridad
Inteligenciainterna
Pro
activ
idad
en
la G
estió
n de
Cib
eram
enaz
as
Niveles de Madurez
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Personas
Procesos
Tecnología
Contexto: ciberamenazas y cíberseguridad
Cómo debemos actuar
Un ejemplo práctico: @clave
Conclusiones
Índice
14© 2015 Deloitte Advisory, S.L.
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un ejemplo prácticoUna de las capacidades básicas: Gestión de identidades y accesos
© 2015 Deloitte Advisory, S.L. 15
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un ejemplo prácticoUna de las capacidades básicas: Gestión de identidades y accesos
© 2015 Deloitte Advisory, S.L. 16
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un ejemplo práctico¿Por qué es necesario reforzar esta capacidad?
© 2015 Deloitte Advisory, S.L.
1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragón
10. football
Mecanismo de autenticación [op.acc.5]
17
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un ejemplo práctico@clave
© 2015 Deloitte Advisory, S.L.
Plataforma común para la identificación, autenticación y firma electrónica que:
Evita a las Administraciones Públicas tener que implementar y gestionar sus propios sistemas de identificación y firma.
Evita a los ciudadanos tener que utilizar métodos de identificación diferentes para relacionarse electrónicamente con la Administración.
Permite definir el nivel de aseguramiento en la calidad de la autenticación que desean (nivel QAA), en base a la clasificación de seguridad definida de acuerdo al ENS (Real Decreto 3/2010).
18
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un ejemplo práctico@clave
© 2015 Deloitte Advisory, S.L.
Cl@ve contempla la utilización de sistemas de identificación basados en claves concertadas con dos posibilidades de uso:
• Cl@ve ocasional (Cl@ve PIN): sistema de contraseña de validez muy limitada en el tiempo, orientado a usuarios que acceden esporádicamente a los servicios, que se corresponde con el sistema PIN24H de la AEAT.
• Cl@ve permanente: sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Se corresponde con el sistema de acceso mediante usuario y contraseña, reforzado con claves de un solo uso por SMS, a los servicios de Tu Seguridad Social. Este sistema será además el que permitirá el acceso al ciudadano a la firma en la nube.
Cl@ve contempla adicionalmente el uso de certificado s electrónicos (incluyendo el DNI-e).
4,3% Utilización del DNIe en sus trámtites con las AAPPs
13,1% Utilización de otros certificados digitales en sustrámtites con las AAPPs
41,5% Declaraciones de la renta presentadastelemáticamente (PIN24H)
19
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
Un ejemplo práctico@clave
© 2015 Deloitte Advisory, S.L.
Portal e-admon
Identificarse
Mensajes SAML2 - Servicio que invoca (SP), nivel de calidad de eID exigido, firmado por SP3 - Servicio que invoca (SP), nivel de calidad de eID, firmado por Cl@ve4 – Respuesta de la identificación, firmada por IdP5 – Respuesta de la identificación, firmada por Cl@ve
Cl@ve
DNIe / Certificado
PIN24HUsuario/PwD
PIN24H
IdP
UsuarioPwd
Cl@ve
SP
IdP
2
1
3
4
5
Con interacción con el usuarioSin interacción con el usuario
Navegador del usuario
Contexto: ciberamenazas y cíberseguridad
Cómo debemos actuar
Un ejemplo práctico: @clave
Conclusiones
Índice
21© 2015 Deloitte Advisory, S.L.
-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-
ConclusionesUn ejercicio práctico
© 2015 Deloitte Advisory, S.L. 22
© 2015 Deloitte Advisory, S.L.
Deloitte hace referencia, individual o conjuntamente, a Deloitte ToucheTohmatsu Limited ("DTTL"), sociedad del Reino Unido no cotizada limitada por garantía, y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.
Deloitte presta servicios de auditoría, consultoría, asesoramiento fiscal y legal y asesoramiento en transacciones y reestructuraciones a organizaciones nacionales y multinacionales de los principales sectores del tejido empresarial. Con más de 200.000 profesionales y presencia en 150 países en todo el mundo, Deloitte orienta la prestación de sus servicios hacia la excelencia empresarial, la formación, la promoción y el impulso del capital humano, manteniendo así el reconocimiento como la firma líder de servicios profesionales que da el mejor servicio a sus clientes.
El presente documento es estrictamente confidencial y de uso interno de la organización y, no podrá ser entregado, ni permitir el acceso a terceros o hacer referencia al mismo en comunicaciones sin nuestro consentimiento previo por escrito.
23