el valor de la acción para la ciberseguridad · materia de sri, la creación de equipos de...
TRANSCRIPT
LAS JORNADAS DE LA RAI
14 de mayo de 2014
Seguridad, privacidad y confianza
digitales
El valor de la acción
para la
ciberseguridad
Elena García Díez
Responsable de Contenidos e
Investigación en Ciberseguridad
INTECO
Contexto: retos actuales de seguridad
Fuente: Global Risks 2014 report
¿Cuál es el riesgo actual en el ciberespacio?
Incidentes masivos de
fraude / ciber espionaje
Ataques a redes e infraestructuras críticas
Ataques cibernéticos a gran escala
Amenazas globales y deslocalizadas
WEF- Global Risks 2014
El lado oscuro de la conectividad…
Ciberataques como 1 de los 5 riesgos globales principales
El fraude online tiene un impacto de más anuales en la
economía mundial de 100.000 millones de dólares
El impacto económico del phishing en Francia fue de
51 millones de dólares en 2013.
The Guardian 2013
RSA - APWW
Que corroboran nuestros datos…
Más de 4.000 incidentes de fraude reportados en 2013.
Cerca de 6.200 notificaciones de fraude registradas en 2013.
Un total de 9.732 URLs afectadas, 2.200 bajo .es en 2013.
Casos de estudio
Windigo
• Año: 2014.
• Objetivo: campaña iniciada en 2011 para comprometer servidores Linux y Unix,
de cara a utilizarlos para:
• Robar credenciales SSH
• Redirigir a los usuarios de sitios webs a páginas maliciosas
• Enviar Spam
Careto
• Año: 2014.
• Objetivo: Campaña de Ciberespionaje iniciada desde 2007, que robaba
información a agencias gubernamentales, embajadas, empresas sector de
energía e investigación y activistas.
• “Una de las amenazas más avanzadas hasta el momento”
• Roba TODO lo que hay en el equipo
Ramsonware
RDP
• Año: 2012.
• Objetivo: bloquear el ordenador y solicitar un ingreso de dinero para
solucionarlo, con la excusa del pago de una multa.
• Alto impacto: 26.028 ciudadanos atendidos (IVR, CAU, Nivel 2),
784.415 descargas del útil de desinfección.
• En 2013 una nueva versión del Ransomware, RDP, se dirige a empresas.
Motivaciones
Activismo Extorsión Robo de información Posicionamiento geopolítico Lucro Económico
Ciberdelitos Ciberterrorismo Ciberguerra Ciberespionaje
Radiografía de las Ciberamenazas
6
¿Y los retos?
La sociedad necesita y demanda:
Una cita:
«Cuanta más gente dependa de Internet, más gente dependerá de que la red sea segura. Una red
segura protege nuestros derechos y libertades y nuestra capacidad de ejercer actividades económicas.
Ha llegado el momento de coordinar nuestra acción: el coste de la inacción es mucho más elevado que
el de la acción.» [Neelie Kroes. Vicepresidenta de la Comisión Europea como comisaria de Agenda Digital]
oportunidades para la industria
experiencia digital segura
Capacidades para la resiliencia
Ciberseguridad: cooperación e intercambio
CERTs
8
Ciberseguridad: compromiso global en estrategias
¿Y España?
Reino Unido: Con la Estrategia de Ciber seguridad, el Reino Unido establece cómo va a
respaldar la prosperidad económica y proteger la seguridad nacional construyendo un
entorno digital más confiable y resiliente.
EU: Directiva Europea para la seguridad en las redes y la
información [COM(2013) 48 final]:“.. obligación de velar por
que exista un nivel mínimo de capacidades nacionales
mediante la designación de autoridades competentes en
materia de SRI, la creación de equipos de respuesta a
emergencias informáticas (CERT) y la adopción de estrategias
y planes de cooperación nacionales en el ámbito de la SRI.”
Canadá: Tres pilares: asegurar los activos del gobierno, aliarse con sistemas vitales fuera
del gobierno y ayudar a los ciudadanos a que estén seguros en la Red.
EEUU: Estrategia Internacional para el
ciberespacio que involucra a gobierno,
empresas y aliados internacionales
(Homeland Security).
Estrategia Europea de Ciberseguridad Prioridades estratégicas
Incrementar la resiliencia
Reducir el cibercrimen
Desarrollar políticas y capacidades de ciberseguridad
Desarrollar los recursos tecnológicos e industriales requeridos por ciberseguridad
Promover los valores de ciberseguridad
Directiva Europea relativa a medidas para garantizar un elevado nivel común de seguridad de las
redes y de la información en la Unión
Los Estados Miembro deberán exigir a los operadores requisitos de seguridad y
notificación de incidentes: Disponer de las medidas técnicas y organizativas necesarias para gestionar los riesgos
de seguridad de las redes y de la información que se encuentren bajo su control.
Notificar a la autoridad competente de los incidentes con impacto significativo en la
seguridad de los servicios prestados.
Facilitar las evidencias necesarias a la autoridad competente para evaluar la seguridad de
los sistemas.
Realizar auditorías de seguridad por un ente independiente cualificado y dejarlos a
disposición de la autoridad competente
Retos y estrategias para elevar la cultura de ciberseguridad
LOGOTIPO DE SU ORGANISMO / EMPRESA
XIII Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO
DE LA DEFENSA
DIRECCIÓN GENERAL DE
INFRAESTRUCTURA
10
¿Cómo construimos ciberseguridad?
Convenio SES-SETSI
Agenda Digital para España-
Plan de Confianza en el Ámbito
Digital
Estrategia de
Ciberseguridad Nacional
Centro de
referencia en
ciberseguridad
Con estrategias…
Con acción coordinada…
Colaboración
público-privada
Responsabilidad
compartida
Racionalización
de esfuerzos
Retos y estrategias para elevar la cultura de ciberseguridad
LOGOTIPO DE SU ORGANISMO / EMPRESA
XIII Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO
DE LA DEFENSA
DIRECCIÓN GENERAL DE
INFRAESTRUCTURA
Convenio SES-SETSI
La solución: estrategias e iniciativas
Agenda Digital para España
Estrategia de
Ciberseguridad Nacional
(Aprobada Consejo de Ministros 15/02/2013)
Objetivos
generales
6 Objetivos específicos Objetivo 4. Reforzar la confianza en el ámbito digital
4.2. Reforzar las capacidades para la confianza digital
9 Planes de Acción
(Aprobada 5/12/2013)
(04/10/2012)
Agente competente en ciberseguridad: Línea 1 Coordinación de capacidades
Línea 4 Capacidades para la investigación
del ciberterrorismo y la ciberdelincuencia Línea 5 Colaboración público –privada
Línea 6 Generación y gestión del talento
Línea 7 Cultura de ciberseguridad
Línea 8 Cooperación internacional
•Reflejar la estrategia del Gobierno en el ámbito digital y de las telecomunicaciones
•Cumplimiento de los objetivos de la Agenda Digital para Europa.
Implicación
INTECO
Directa : Línea 3 Seguridad en IICC
• Implantación normativa PIC
• Capacidades y colaboración
• Ciberejercicios con el sector
privado
• Modelos de simulación en IICC
Ámbitos de
colaboración
Lucha contra los ciberdelitos
y el ciberterrorismo Protección de las IICC Difusión, concienciación,
formación y capacitación
• Protección de menores
• Evidencias en registros
• Botnets
Plan de Confianza en el ámbito Digital
El valor de la acción
Nuevo contexto regulatorio
Capacidades para la resiliencia:
INTECO 2.0
Programa de Excelencia en
Ciberseguridad
Oportunidades para
la Industria TIC
Experiencia Digital Segura E1
E2
E3
E4
E5
25
medidas
17 implicación directa
6 colaborador
+
1. Plan de Sensibilización
2. Plataforma de colaboración público-privada
3. Piloto itinerarios educativos 4. Plan de menores en Internet
5. Punto neutro gestión de incidentes
6. Comité Técnico Coordinación
7. Soporte evaluación proyectos
8. Refuerzo capacidad detección demanda
9. Polo tecnológico ciberseguridad
10. Foro nacional confianza digital
11. Adopción nueva regulación europea
12. Esquema gestión incidentes
13. Esquema indicadores
14. Transformación organizativa
15. Nueva plataforma alerta temprana
16. Nuevos canales comunicación
17. Cooperación seguridad pública
18. Colaboración ciberejercicios
19. Equipo investigación avanzada
20. Jornadas “espacio ciberseguridad”
21. Formación en ciberseguridad
22. Máster ciberseguridad
23. Programa becas INTECO
24. Evento ciberseguridad
25. Estudio viabilidad red centros excelencia
medidas ejes
Retos y estrategias para elevar la cultura de ciberseguridad
LOGOTIPO DE SU ORGANISMO / EMPRESA
XIII Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO
DE LA DEFENSA
DIRECCIÓN GENERAL DE
INFRAESTRUCTURA
INTECO: el valor de la acción
ECSN
correspondencia con
Experiencia Digital Segura E1
ejes
Convenio SES-SETSI
1. Plan de Sensibilización
2. Plataforma de colaboración pbco-pvda
3. Piloto itinerarios educativos
4. Plan de menores en Internet
5. Punto neutro gestión de incidentes
Grupo de trabajo SETSI-INTECO-
ISPs
L7
E4 INTECO 2.0
1. Nuevos canales de comunicación para la
Confianza Digital
2. Plataforma tecnológica de alerta temprana
3. Organizar y colaborar en ciberejercicios
A
3
Difusión, concienciación,
formación y capacitación
Cultura de ciberseguridad
ECSN
Convenio SES-SETSI
CERT de Seguridad e Industria
L3
A
2
Seguridad en los
sistemas de información
en IICC
Protección de las IICC
14
Entidad de
referencia
Ciberseguridad Confianza
digital
Servicios Investigación Coordinación
Actividad
INTECO: en pocas palabras
EMPR
ESAS
CIUDADANOS
SECTORES ESTRATÉGICOS
ISPs y otros prestadores de SSI
Fuerzas y Cuerpos de Seguridad del Estado
.es
INTECO: ámbito de actuación
Agen
da D
igita
l par
a Es
paña
-
Plan
de
Conf
ianz
a en
el Á
mbi
to D
igita
l
Estrategia de Ciberseguridad Nacional
Conv
enio
SES
-SET
SI
16
Soporte preventivo operadores
Inicio del caso
Cuando se recibe la notificación, por
parte del operador o alerta desde el
propio CERT
Respuesta
Tras un análisis del mismo y se da una primera respuesta,
con las acciones correctivas a tomar
Seguimiento o actualizaciones
Comunicación bidireccional con el operador y terceras
partes afectadas (ISP, CERTs, FCSE,
etc.)
Cierre del incidente
Una vez cerradas todas las vías de investigación y
resuelto el problema que generó el
incidente
INTECO: servicios de respuesta a incidentes, protección y
generación de inteligencia en ciberseguridad
Retos y estrategias para elevar la cultura de ciberseguridad
LOGOTIPO DE SU ORGANISMO / EMPRESA
XIII Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO
DE LA DEFENSA
DIRECCIÓN GENERAL DE
INFRAESTRUCTURA
L1. Ciberseguridad para ciudadanos
Actualidad:
Blog y avisos de seguridad …
Historias reales…
Infografías…
Recomendaciones / Herramientas gratuitas
Campañas específicas…
INTECO: Contenidos e investigación en ciberseguridad
Retos y estrategias para elevar la cultura de ciberseguridad
LOGOTIPO DE SU ORGANISMO / EMPRESA
XIII Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO
DE LA DEFENSA
DIRECCIÓN GENERAL DE
INFRAESTRUCTURA
L2. Apoyo a empresas
Recomendaciones /
Consejos …
Contenidos y estudios específicos
Informes y contenidos específicos…
Alertas y avisos de seguridad técnicos…
Autodiagnóstico y kits de sensibilización
Más info…
www.inteco.es
L3. Respuestas para profesionales y públicos
especializados
INTECO: Contenidos e investigación en ciberseguridad
Más info…
www.inteco.es www.osi.es
Retos y estrategias para elevar la cultura de ciberseguridad
LOGOTIPO DE SU ORGANISMO / EMPRESA
XIII Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO
DE LA DEFENSA
DIRECCIÓN GENERAL DE
INFRAESTRUCTURA
Gracias por su atención