![Page 1: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/1.jpg)
Usuarios empoderados e hiperconectadosSeguridad y colaboración en la era digitalUnidad de Modernización y Gobierno DigitalMinisterio Secretaría General de la Presidencia
Agostode 2013
Andrés Bustamante ValenzuelaDirector de Gobierno Digital@abustamante_tic
![Page 2: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/2.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2
La seguridad como un problema de percepción…
![Page 3: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/3.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 33Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3
¿Por qué preocuparnos de la infraestructura TIC?
![Page 4: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/4.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 44
Gobierno Digital
El derecho a un servicio digno y eficiente
![Page 5: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/5.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 55
Situación Actual: Indigencia tecnológica
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 5
• Improvisación• Poca tolerancia a fallos• Inseguridad• Miseria
![Page 6: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/6.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 66Gobierno de Chile | Ministerio Secretaría General de la Presidencia 6
¿cuál es nuestro “negocio”?
• Servicio confiable• Apoyo tecnológico• Ideas de mejora• Disponibilidad• Protección de
información• Mejoramiento
condiciones de trabajo
¿gestionar datacenters?
![Page 7: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/7.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 77
¿Hacia donde van los servicios?
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 7
IaaS PaaS SaaS
![Page 8: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/8.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 88
Tecnologías de uso común
• Smart devices– TV– Computadores– Moviles– Tabletas
• Simplicidad de aplicaciones– Preferencia de interfaces simples y
seguras para acceder a aplicaciones o contenido
– Interfaz ubicua – web browser HTML5
• Infraestructura flexible– Cloud
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 8
![Page 9: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/9.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 99
Ciberataques tradicionales
• Web defacement• Spam• Spoofing• Proxy Scan• Denial of Service• Distributed Denial of Service• Malicious Codes
– Virus– Bots
• Data Theft and Data Manipulation– Identity Theft– Financial Frauds
• Social engineering Scams
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 9
![Page 10: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/10.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1010
![Page 11: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/11.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1111
Tendencias en ciberataques
• Dispositivos móviles y apps• Hacktivismo• SEO poisoning• Ingeniería social: software fake, phishing• Advanced persistent Threat: espionaje• Spear phishing• Ataques internos• Bring your own device• Seguridad en la nube• HTML5• Botnets• Targeted malware• Social media
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 11
![Page 12: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/12.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1212
Fuentes de ciberataques
• Grupos de ataque– Estados– Cibercriminales organizados– Hackers independientes– Hacktivistas
• Botnets– DDoS– Spam– Phishing– Propagación de malware
• Toolkits de ataque– Backtrack– Metasploit– Webs– Google hacks– Mejores herramientas que la ley!
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 12
![Page 13: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/13.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1313
La nube: Seguridad de aplicaciones web
• Todo lo buena que sea una aplicación da lo mismo si se cae
• Uso de la nube y arquitecturas seguras• Se pierde la confianza y eso NO SE
RECUPERA• Es crítico en relación a las expectativas y
en particular en SaaS, donde el activo es la información
• Por eso es tan importante el como se construye
• MVC, Frameworks, ORM, etc, todo eso ayuda a bajar riesgos
• A mas escalabilidad, se hace más crítico• Top ten vulnerabilidades OWASP (open
web application security project)
![Page 14: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/14.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1414
Top 10 OWASP: Open Web Application Security Project
• A1 Injection: Corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes
• A2 Broken Authentication and Session Management : Corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación
• A3 Cross-Site Scripting (XSS) : Ocurre cuando existe validación pobre de la información ingresada por el atacante.
• A4 Insecure Direct Object References: Puede derivar en un acceso no autorizado a información crítica debido a errores en el diseno o desarrollo
• A5 Security Misconfiguration: Corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 14
![Page 15: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/15.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1515
Continuación
• A6 Sensitive Data Exposure: Se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, numeros de tarjetas de credito, contrasenas, entre otros
• A7 Missing Function Level Access Control: Corresponde a la falta de controles desde el servidor, permitiendo a un posible atacante acceder a funciones a las que no debería
• A8 Cross-Site Request Forgery (CSRF): Permite a un atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la víctima
• A9 Using Known Vulnerable: Corresponde a la explotación de librerías, frameworks y otros componentes vulnerables por parte de un atacante con el fin de obtener acceso o combinar con otros ataques
• A10 Unvalidated Redirects and Forwards: Los atacantes aprovechan el uso de redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para redirigir a las víctimas a sitios de phishing o que contienen malware
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 15
![Page 16: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/16.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1616
Quienes se ven afectados
• Gobierno• Industria• Consumidores finales• Comunidades
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 16
![Page 17: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/17.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 17
Redes sociales y flujo de información
• Difusión a alta velocidad, alto volumen
• Magnifica efecto de prensa porque es de dos vías
• Produce involucramiento
• Colaboración social• Ilusión de veracidad
![Page 18: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/18.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 18
Ciberataque social
• Conflicto hindú / musulman• Ataque 2012 Assam• Información de nuevos
ataques• Textos y fotografías• Spreading por redes
sociales• Hate crowd• Confiabilidad del medio
social, efecto bandwagon• Lentitud de autoridades• Fuente de desinformación
![Page 19: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/19.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 19
Usos de comunicacion social
![Page 20: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/20.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2020
![Page 21: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/21.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2121http://www.eset-la.com/pdf/prensa/informe/arma_infalible_ingenieria_social.pdf
![Page 22: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/22.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 22
Tipos de ataques sociales
• Premeditados• Oportunistas• Tipos de medios
• Twitter• Facebook• Mms• Morphed images
• Sacar provecho de descuido en privacidad
• Malware oportunista• Necesidad de uso
herramientas de monitoreo
![Page 23: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/23.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 23
Framework de atribución en seguridad
• Modos• Identificación• Auditoría• ECHELON?
• Problemas• Problema de costos• Neutralidad de la red y
Efecto SOPA• Enmascaramiento en la red• Centralización aumenta
vulnerabilidad• Fragmentación de la red,
silos de seguridad
![Page 24: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/24.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 24
Internet como bien común
• Pasto como "unidad de recurso"
• Recursos rivales• Aumento de unidades de
recurso a medida que aumentan los actores
• Principio de exclusión• Baja sustractabilidad y
alta exclusión• Dos tipos de amenazas
• Penetración• Negación de acceso
![Page 25: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/25.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 25
Tragedia de los bienes comunes
• Derechos de propiedad• Autoridad centralizada• Establecimiento de
reglas orgánicas, bottom up• Mayor
sustentabilidad• Ejemplo open
source• Grupos de personas
tienden a regularse• Seguridad desde la
anonimicidad
![Page 26: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/26.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 26
El virus conflicker• Virus inteligente
expandido en miles de sistemas
• Grupo de expertos en ciberseguridad, ongs e industria
• Coordinación a través de la web
• Uso de foros y grupos de hackers
• Autoridades fueron mas lentas
• El virus aprovechó la red para esparcirse, la cura también
![Page 27: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/27.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 27
Caso ushahidi
![Page 28: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/28.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 28
Colaborar para segurizar
• Autoridades como facilitadores de interacción
• Psicología de grupos• Identificacion colectiva• Reputación y recompensa
social• Incentivos• Awareness sobre
protección• Colaboración internacional
![Page 29: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/29.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2929
Campañas para todos los usuarios
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 29
![Page 30: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/30.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3030
Campañas simples pero efectivas
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 30
![Page 31: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/31.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3131
CERT como alternativa?
• Computer Emergency Response Team
• Equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio
• Pueden coordinarse entre sí
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 31
![Page 32: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/32.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3232
Tipos de CERT
• Academicos• Comercial• Gubernamental• Interno• Información y
comunicaciones• Militar• Nacional• Pyme• Soporte
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 32
![Page 33: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/33.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3333
Experiencia en Chile
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 33
![Page 34: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/34.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3434
CERTs Internacionales
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 34
Alemania, Argentina, Australia, Belgica, Brasil, Brunei, Canadá, Chile, China, Corea del Sur, Dinamarca, El Salvador, Eslovenia, Espana, Estados Unidos, Filipinas, Finlandia, Francia, Holanda, Hong Kong, Hungría, India, Indonesia, Japón, Lituania, Malasia, Mexico, Nueva Zelanda, Noruega, Polonia, Qatar, Rusia, Singapur, Suecia, Tailandia, Turquía, Reino Unido y Vietnam
![Page 35: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/35.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3535
CERT como herramienta colaborativa
• Gobierno puede funcionar como articulador y facilitador
• Protección del bien comun como motivación
• Garantía de anonimicidad de actores
• Integración de toda la comunidad
• Generación de awareness a la ciudadanía
• Utilización de herramientas comunes de colaboración
• El que no quiere subirse, no tiene interes por el bien comun
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 35
![Page 36: Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013](https://reader033.vdocuments.co/reader033/viewer/2022061211/54923770b4795901498b467d/html5/thumbnails/36.jpg)
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3636
Andrés Bustamante ValenzuelaDirector de Gobierno Digital@abustamante_tic
Muchas Gracias, más info en:
http://www.modernizacion.gob.cl