prof. luis joyanes aguilar

11

Prof. Luis Joyanes Aguilar

CIBERSEGURIDADRetos y amenazas a la Seguridad Nacionalen el CiberespacioLIMA, PERÚ23 de agosto, 2011

22


LA CIBERGUERRA(Cyberwar – Cyberwarfare)

© Luis Joyanes Aguilar Universidad Pontificia de Salamanca - Noviiembre 2010

LA CIBERSEGURIDAD EN LA ESTRATEGIA DE DEFENSA NACIONALLas relaciones sociales, económicas y

culturales dependen, cada vez más, de las tecnologías e infraestructuras de la información y comunicación (ciberespacio), haciendo necesario articular un sistema nacional de seguridad (ciberseguridad) que gestione los riesgos que amenazan su funcionamiento.

Página –3–


LA CIBERSEGURIDAD EN LA ESTRATEGIA DE DEFENSA NACIONAL

La evolución de las TIC, han aparecido riesgos que hacen necesario gestionar su seguridad. Inicialmente, la ciberseguridad se ocupó de proteger la información (Information Security) de una manera reactiva, pero posteriormente ha evolucionado hacia una posición proactiva que identifica y gestiona los riesgos que amenazan el ciberespacio (Information Assurance).

Página –4–


LA CIBERSEGURIDAD EN LA ESTRATEGIA DE DEFENSA NACIONAL

La ciberseguridad en el ciberespacio debe afrontar los riesgos y amenazas conocidos en la gestión existente en cualquier país.

Se requiere la necesidad de desarrollar un sistema nacional de ciberseguridad que fomente la integración de todos los actores e instrumentos, públicos o privados, para aprovechar las oportunidades de las nuevas tecnologías y hacer frente a los retos que presentan

Página –5–


EL CIBERESPACIOSe puede definir el ciberespacio

como el conjunto de medios y procedimientos basados en las TIC y configurados para la prestación de servicios. El ciberespacio es ya parte esencial de nuestras sociedades, economías e, incluso, puede llegar a ser factor determinante de la evolución de las culturas, o quizás de su convergencia. De ahí la importancia de proteger el ciberespacio. Página –6–


La ciberseguridad Antes, la ciberseguridad obedecía a un enfoque de

protección de la información (Information Security) donde solamente se trataba de proteger la información a accesos, usos, revelaciones, interrupciones, modificaciones o destrucciones no permitidas.

En la actualidad, este enfoque está evolucionando hacia la gestión de riesgos del ciberespacio (Information Assurance) donde la ciberseguridad consiste en la aplicación de un proceso de análisis y gestión de los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información o datos y los sistemas y procesos usados basándose en los estándares internacionalmente aceptados. Página –7–

© Luis Joyanes Aguilar BPM Forum 2010. iiRMadrid, 14 de diciembre de 2010

CIBERGUERRA. The Economist, 3-10 julio 2010

Cyberwar. The thread from de Internet. Portada de la prestigiosa revista británica

Cyberwar. Título de la editorial El informe y la editorial

pretendían destacar que era el momento en que los países comienzan a dialogar sobre el control de sus armas cibernéticas en Internet Página –8–


Estado de riesgo del ciberespacio El temor a las catastróficas consecuencias de un

hipotético “ciber-Katrina” o a un “ciber-11S” ha provocado que países como EEUU, Francia, el Reino Unido, Israel y Corea del Sur, así como la ONU y la OTAN entre otras organizaciones internacionales, hayan tomado conciencia de la importancia y necesidad de un ciberespacio seguro y, por ello, han desarrollado o están desarrollando marcos normativos, planes y estrategias específicos para la defensa del ciberespacio. En definitiva, han tomado la decisión de gestionar la seguridad del ciberespacio bajo su responsabilidad de manera sistemática.

Página –9–


CIBERGUERRA. The Economist, 3-10 julio 2010

El editorial analiza como a través de la historia las nuevas tecnologías han revolucionado la guerra, a veces abruptamente, a veces sólo gradualmente, como son los casos del carro de combate, la pólvora, el avión, el radar o la fusión nuclear, IGUAL HA SUCEDIDO Y ESTÁ SUCEDIENDO CON LAS TECNOLOGÍAS DE LA INFORMACIÓN (TI)

Página –10–


CIBERGUERRA. The Economist 3-10 julio 2010

Las computadoras e Internet han transformado la economía y dado grandes ventajas a los ejércitos occidentales tales como la capacidad de enviar aviones controlados remotamente para capturar inteligencia o atacar a objetivos

Página –11–


CIBERGUERRA. The Economist3-10 julio 2010SIN EMBARGO, dice The

EconomistLa expansión de la tecnología

digital tiene sus riesgos al exponer a los ejércitos y a la sociedad a los ciberataques (ataques digitales o “ciberataques”).

La amenaza es compleja, en múltiples aspectos y potencialmente muy peligrosa.

Página –12–


CIBERGUERRA. The Economist, 3-10 julio 2010Al igual que ha sucedido con el

control de las armas convencionales y nucleares, los países occidentales deben comenzar a pensar en el modo de reducir las amenazas de la ciberguerra con el objetivo de intentar evitar los ataques antes de que sea demasiado tarde o afrontarla con éxito si se realizan

Página –13–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓNNOTICIAS DE ACTUALIDAD El Ejército de Brasil y la empresa

española de seguridad Panda Security juntos contra la ciberguerra (El Mundo, Madrid, 4 de octubre de 2010)

Irán sufre un ataque cibernético contra sus instalaciones nucleares (El País, 28 de septiembre de 2010)

Página –14–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓNIsrael militariza la cibernetica (La

Vanguardia, 12 de octubre de 2010). “En Israel se cree que el virus Stuxnet que ha atacado a las instalaciones nucleares iraníes fue introducido por un especialista extranjero que se limitó a usar una memoria de tipo electrónico USB que estaba preparado para infectar la red iraní” (Henrique CYMERMAN, 2010)

Página –15–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓNAtaques a las página web de la

SGAE (Sociedad General de Autores de España). A mediados de Octubre de 2010, miles de internautas lanzaron desde sus PCs millones de ataques contra las webs de la SGAE, el Ministerio de Cultura y la patronal discográfica Promusicae, todas de España. (El País, 20 de octubre de 2010).

Página –16–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓN

Ataques a las página web de la SGAE (Sociedad General de Autores de España) – 2. Los organizadores del ataque fueron el grupo de ciberactivistas Anonymous que plantearon el ataque a través de foros y redes sociales, dentro de una campaña internacional contra las corporaciones que “coartan la creatividad y la política de los lobbies de los derechos de autor”

Página –17–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓNLa Unión Europea prueba sus

defensas en un simulacro de “ciberataque”.

El 4 de noviembre de 2010 se realizó el primer ejercicio de simulación de un ciberataque llevado a cabo a nivel paneuropeo con el objetivo de mejorar la seguridad comunitaria frente a los ataques de redes electrónica

Página –18–




El ejercicio llamado “Cyber Europe 2010” ha sido impulsado por la Comisión Europea (CE) y pretendía hacer frente a piratas informáticos en un intento simulado de paralizar en varios estados miembros de la UE servicios en línea de importancia crítica.

Página –19–




El ejercicio fue organizado por ENISA (Agencia Europea de Seguridad de las Redes y de la Información) y el Centro Común de la Investigación (JCR) de la CE.

El Centro de Control del Ejercicio se estableció en Atenas Página –20–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓN Piratean la página Web de la

Marina Británica (El Mundo, la BBC, 8/11/10)

La BBC publicó la suspensión temporal de la página de Internet de la Marina Británica (Royal Navy) después de que fuera objeto de un ataque de piratas informáticos, según el Ministerio de Defensa británico.

Página –21–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓN China anuncia la creación de un

“ejército azul” para la ciberguerra (La Vanguardia, 29 de mayo de 2011)

El coronel Geng Yansheng, portavoz del Miisterio de Defensa chino, confirmó el miércoles 25 de mayo de 2011, que China ha credo “un ejército azul” y se ha dotado de una unidad de élite informática.

Este ejército azul se compone de unos treinta militares seleccionados de la región militar de Cantón Página –22–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓNChina anuncia la creación de un

“ejército azul” para la ciberguerra (La Vanguardia, 29 de mayo de 2011)

China dispone de una unidad de élite preparada para la guerra cibernética.

La seguridad en la red se ha convertido en un problema internacional que afecta al ámbito social y al sector electrónico.

Página –23–


LA CIBERGUERRA EN LOS MEDIOS DE COMUNICACIÓN Ciberespionaje masivo en la

ONU, países y empresas. (El País 3 agosto 2011)

La empresa de seguridad McAfee anuncia la operación Shady Rat informando de lo que ha constituido un ataque masivo en los últimos cinco años y que ha afectado a 72 organizaciones, incluida la ONU

Página –24–


CIBERESPIONAJE MASIVO EN LA ONU, países y empresas. McAfee (3 agosto 2011)El objetivo de este “ciberataque” ha

sido el robo masivo de información fundamental de estas organizaciones entre los que figuran secretos relacionados con la seguridad nacional, revelación de fuentes, bases de datos, correos electrónicos confidenciales, planes de negocio, depósito de documentos, contratos legales, configuraciones Scada y esquemas de diseño entre datos. Página –25–


CIBERESPIONAJE MASIVO EN LA ONU, países y empresas. McAfee (3 agosto 2011)El ataque ha podido suponer uno de los

mayores robos de propiedad intelectual de toda la historia.

La empresa de seguridad quiso dejar claro en el informe que los cibercriminales no han buscado información financiera como cuentas bancarias o números de tarjetas de crédito para robar, sino información referente a infraestructuras críticas, de la defensa nacional…

Página –26–


CIBERESPIONAJE MASIVO EN LA ONU, países y empresas. McAfee (3 agosto 2011)Entre las victimas de este ciberespionaje,

además de la ONU, figuran los Gobiernos de EE UU, Taiwan, Corea del Sur, la India, Vietnam, la Asociación de Naciones del Sureste Asiático (Asean), el Comité Olímpico Internacional, la Agencia Mundial Antidopaje, además de instituciones, compañías de tecnología y contratistas del ámbito de la seguridad y defensa

Página –27–


CIBERESPIONAJE MASIVO EN LA ONU, países y empresas. McAfee (3 agosto 2011)Del total de objetivos atacados,

22 son instituciones gubernamentales, seis de ellas afiliadas al Gobierno federal norteamericano; 13 subcontratas militares, con el riesgo que ello supone para la seguridad militar estadounidense e internacional

Página –28–


CIBERESPIONAJE MASIVO EN LA ONU, países y empresas. McAfee (3 agosto 2011)UN ACTO DE GUERRA (El País, 4 agosto

2011)“Los ciberataques pueden ser para el Pentágono, un acto de guerra. Si uno de ellos pusiera en serio riesgo la seguridad norteamericana, el Departamento de Defensa de EE UU tiene autorización para responder, bajo la supervisión del presidente, con un ataque militar”

Página –29–

3030


INNOVACIONES TECNOLÓGICAS de impacto en la SEGURIDAD DE LA INFORMACIÓN

© Luis Joyanes Aguilar Universidad San Martín de Porres. Lima (Perú)18 de Agosto 2011

INNOVACIONES TECNOLÓGICAS DE IMPACTO EN LA SEGURIDAD

Hoy día y los próximos años, posiblemente lo confirmarán, nos encontramos con la implantación creciente del Internet móvil (LTE, 4G) y la consiguiente proliferación de dispositivos móviles (acceso mediante todo tipo de dispositivos, teléfonos inteligentes, tabletas tipo ipad, libros electrónicos, microordenadores netbooks, ordenadores think (tontos, con poca memoria y capacidad de proceso conectados a La Nube) videoconsolas, acceso desde todo tipo de medios de comunicación, automóviles, trenes, aviones, autobuses, barcos, …), de las tecnologías cloud computing, la virtualización, o el avance imparable de las redes sociales y de los restantes medios sociales como blogs, wikis, mashups (de modo autónomo o integrados en redes sociales). Página –31–


INNOVACIONES TECNOLÓGICAS DE IMPACTO EN LA SEGURIDAD Todo esto unido a la difusión también cada

día mayor de las nuevas tecnologías en torno a la Geolocalización, Realidad Aumentada, la Web en tiempo real ,Tecnologías Semánticas, Búsqueda Social, el Internet de las cosas (acceso a la Red mediante todo tipo de “cosas”, sensores, electrodomésticos, herramientas tecnológicas, etc. ) están configurando grandes cambios sociales que afectarán significativamente a la capacidad de los departamentos de TI para mantener la SEGURIDAD DE LA RED y de las aplicaciones. Página –32–


INNOVACIONES TECNOLÓGICAS DE IMPACTO EN LA SEGURIDADSi nos centramos en las organizaciones y

empresas, la imagen clásica del puesto de trabajo está variando completamente. Los trabajadores escribimos en los computadores portátiles que se llevan a casa, escribimos, vemos la prensa o consultamos sitios relacionados con el trabajo en los teléfonos móviles, iPhone, Blackberry, Android, Symbian de Nokia o Windows Phone , se realizan llamadas privadas y profesionales desde los mismos dispositivos anteriores.

Página –33–


TENDENCIAS tecnológicas de 2011“La nube” … Cloud

Computing“Lo social” … Social Media,

Computación social, Web Social (Web 2.0, Redes Sociales, Blogs, Wikis, Agregadores de contenidos RSS, marcadores sociales, tagging…)

“Lo móvil” (movilidad): Teléfonos inteligentes (smartphones), tabletas (tablets), videoconsolas,.. (3D en móviles, geolocalización, realidad aumentada, NFC, RFID, QR…)

Página –34–


NOVEDADES EN CEBIT 2011, HannoverCloud Computing en todas partes

Telefonía móvil (celular)Nuevos dispositivos de acceso (Tabletas,

netbooks, teléfonos inteligentes, computadores «tontos», …)

Internet de las cosas (o de los objetos, Internet of Things)

Geolocalización, Realidad Aumentada, Búsqueda social

Analítica Social y Web en tiempo realPágina –35–


3636

UNA BREVE SÍNTESIS deTendencias futuras: La Web en tiempo real, Realidad aumentada, la

Web en 3D, …


EL FUTURO YA HA LLEGADO. Las tecnologías del futuro

Las tecnologías de banda ancha y de gran velocidad de transferencia de datos la proliferación de dispositivos de todo tipo con acceso a internet, desde PCs de escritorio hasta netbooks, teléfonos inteligentes, tabletas electrónicas como iPad o libros electrónicos como los ebooks, etc. y, naturalmente, todas las tecnologías de la Web 2.0 y la Web Semántica que han traído la proliferación y asentamiento de los Social Media (Medios Sociales) en forma de blogs, wikis, redes sociales, podcast, mashups, etc. que han facilitado la colaboración, participación e interacción de los usuarios individuales y de las organizaciones y empresas, en un ejercicio universal de la Inteligencia Colectiva de los cientos de millones que hoy día se conectan a diario a la Web.

Página –37–



La Web en tiempo real (búsqueda de información en redes sociales y microblogs como Facebook o Twitter que proporcionan datos de acontecimientos de todo tipo que se están produciendo en cualquier parte del mundo y en el momento que realizamos la búsqueda9

Realidad Aumentada. Mezclar la realidad con la virtualidad de modo que el usuario pueda, p. e., asociar la fotografía de un monumento a su historia, sus datos turísticos o económicos de modo que pueda servir para tomar decisiones tanto de ocio como para negocios, gestión del conocimiento de las organizaciones, etc (Ver Googles de Google, Layar, …).

Página –38–



Geolocalización. Gracias a los sistemas GPS instalados en los teléfonos inteligentes y a la conexión a redes inalámbricas o móviles 3G y las futuras 4G, se pueden asociar las coordenadas geográficas del lugar donde se encuentra el usuario de un teléfono para mostrar en la pantalla del dispositivo todo tipo de información sobre restaurantes, hoteles, espectáculos, etc. de lugares próximos a la posición geográfica incluso señalando distancias kilométricas a esos lugares.

Página –39–


GEOLOCALIZACIÓN Y GEOPOSICIONAMIENTO

GEOLOCALIZACIÓN, TELEDETECCIÓN, …Mapas Digitales (Google Maps, Google Earth, StreetView, Latitude,..)

Servicios de GOOGLE MAPS, Yahoo¡ Map,Microsoft,… Servicios de StreetView (imágenes reales de las calles, plazas,

palacios, campos, mares,…) … PROBLEMAS DE FALTA DE PRIVACIDAD DE LAS PERSONAS que caminan en el momento de la filmación, están en las casas, entran o salen, pasean,… Servicio de LATITUDE de localización y detección de la posición de las personas a través de teléfonos móviles con Google Mapas

Gowalla, Foursquare, …Lugares de Android; Places de

Facebook,… --- Página –40–


EL FUTURO YA HA LLEGADO. Las tecnologías del futuroNuevas tecnologías móviles (penetración de

las redes 4G para ofrecer grandes anchos de banda, versiones de sistemas operativos más innovadoras como Chrome, Android, Blackberry o WebOS, navegadores más inteligentes, …)… Tecnologías NFC (Pago con móvil), QR, Bidi, …

Tecnologías semánticas que desarrollarán la Web Semántica y la pronta llegada de la Web 3.0 como convergencia con la Web 2.0(los buscadores semánticos que “entenderán” de un modo más eficaz las preguntas y cuestiones planteadas por los usuarios).

La estandarización y asentamiento del lenguaje HTML en su versión 5 que ya convivirá con Flash de Adobe

Página –41–


TECNOLOGÍAS CELULARES (Móviles)Redes 3G (GPRS), 3,5 G

(HSDPA),3,75G (HSDPA+, HSPA+), 4G (LTE)

Tecnologías NFCTecnologías RFIDTecnologías ZigbeeTecnologías Código QRTecnologías Código Bidi

Página –42–



Tecnologías semánticas que desarrollarán la Web Semántica y la pronta llegada de la Web 3.0 como convergencia con la Web 2.0 (los buscadores semánticos que “entenderán” de un modo más eficaz las preguntas y cuestiones planteadas por los usuarios).

La estandarización HTML 5 que ya convivirá con Flash de Adobe

Página –43–


EVOLUCIÓN DE TECNOLOGÍAS MÓVILES

Página –44–

http://blogcmt.com/wp-content/uploads/2010/05/GSMLTE1.png


TECNOLOGÍAS INALÁMBRICAS

Página –45–


EL FUTURO YA HA LLEGADO. Las tecnologías del futuro Nuevas tecnologías móviles (penetración de las

redes 4G para ofrecer grandes anchos de banda, versiones de sistemas operativos más innovadoras como Chrome, Android, Blackberry o WebOS, navegadores más inteligentes, …)… Tecnologías NFC (Pago con móvil, telefonía de contacto cercano) y tecnologías QR (Respuesta rápida)

Aplicaciones de QR (libros, periódicos, revistas, turismo, visitas culturales a museos, monumentos,…)

Aplicaciones de NFC, QR y Realidad Aumentada, integradas

Página –46–


EL TELÉFONO MÓVIL (CELULAR) con NFC como

medio de pago

Página –47–


TELÉFONO MÓVIL COMO MEDIO DE PAGO

Página –48–

http://www.abc.es/20110401/tecnologia/abcp-movil-sustituira-tarjetas-como-20110401.html


Código QR (periodicos, documentos,..)

Página –49–

http://es.wikipedia.org/wiki/Archivo:QRc%C3%B3digo_portada_wikipedia_espa%C3%B1ol_.png


EL FUTURO YA HA LLEGADO. Las tecnologías del futuroLos nuevos COMPUTADORES

“tontos” , mejor sería denominarlos “tontos-inteligentes”, que dispondrán de características técnicas mínimas, pero cada vez más potentes, -al estilo de los actuales netbooks y tabletas inteligentes como iPad, ebooks, … para conexión a la Nube y en la que realizarán la mayoría de las tarea tanto profesionales como domésticas y personales.

Los supercomputadores portátiles que tendrán capacidad de procesar simultáneamente numerosas tareas hoy reservados a supercomputadores de gran tamaño (YA se comercializan laptops de 4 núcleos) Página –50–



EL FUTURO YA HA LLEGADO. Las tecnologías del futuroLa expansión de la telefonía por

VozIP (proliferarán las conexiones telefónicas como Skype, el nuevo servicio de telefonía IP de Gmail de Google anunciado en el mes de agosto, Jajah adquirida a primeros de año por Telefónica, etc)…

COMPRA DE SKYPE POR Microsoft. Noticia de la semana pasada (Google-Motorola)

Búsqueda social (geolocalizadas y personalizadas)… Google Social, Facebook social, LinkedIn social, Tuenti social…

Página –51–



MACHINE TO MACHINE (M2M) Intercambio de información en formato de

datos entre dos puntos remotos, bien a través de red fija o móvil sin interacción humana con características específicas en cuanto a tráfico y tarjetas SIM e integradas en la fabricación de dispositivos

Automatización de los procesos de comunicación entre máquinas, entre dispositivos móviles (celulares) y máquinas (Mobile to Machine) y entre hombres y máquinas (Man to Machine)

En 2011 se prevén más de 1.500 millones de dispositivos alrededor del mundo conectados entre sí Página –52–



INTERNET DE LAS COSAS (OBJETOS)Cada día aumenta el número de

dispositivos de todo tipo que proporcionan acceso a Internet. Las “cosas” que permiten y van a permitir estos accesos irá aumentando con el tiempo. Ahora ya tenemos videoconsolas, automóviles, trenes, aviones, sensores, aparatos de televisión, … y pronto el acceso se realizará desde los electrodomésticos Página –53–



INTERNET DE LAS COSAS (OBJETOS)

Un mundo en el que miles de millones de objetos informarán de su posición, identidad e historia a través de conexiones inalámbricas … mediante tecnologías RFID, bluetooth, sensores inalámbricos, NFC, …

La realización del “Internet de las cosas” , probablemente requerirá cambios dramáticos en sistemas, arquitecturas y comunicaciones,… Invisible es la descripción de las nuevas tecnologías empotradas “Computación invisible” “Computación penetrante “pervasive”… A medida que avance su penetración

Producirá un CAMBIO SOCIAL, posiblemente, de tanto impacto y tan poco previsible, como las actuales tecnologías Web Página –54–


5555


LA ERA DE LOS BIG DATA y su impacto en la CIBERSEGURIDAD


La Era del PetaByte (The Big Data) INFORMES sobresalientes más recientes

Wired (Artículo “La era del Petabyte)…Julio 2008

El Universo Digital (EMC/IDC) … Mayo 2009

The Economist (Informe Marzo de 2010)

Página –56–


LA ERA DEL PETABYTE -2- . Wired , julio 2008 (www.wired.com) 1TB (250.000 canciones)

20 TB (fotos “uploaded” a Facebook cada mes)

120 TB (todos los datos e imágenes recogidos por el telescopio espacial Hubble) ; 460 TB (todos los datos del tiempo climático en EEUÜ compilados por el National Climatic Data Center); 530 TB (Todos los vídeos de YouTube); 600 TB (base de datos de genealogía, incluye todos los censos de EEUU 1790-2000)

1 PB (datos procesados por los servidores de Google cada 75 minutos) Página –57–


Big Data. Impacto en SEGURIDAD

La información del UNIVERSO DIGITAL* se acerca ya a los 500 Exabytes (en 200)

El conocido como universo digital alberga en la actualidad cerca de 500 Exabytes, una cifra que se prevé se duplique en 18 meses y una cifra que supone triplicar los 161.000 millones Gbytes existentes en 2007 - Así lo revela el informe Universo Digital, elaborado por IDC con la colaboración de EMC

Página –58–


Big Data. Impacto en SEGURIDADEl almacenamiento y la protección de esta

información es uno de los puntos en los que pone el acento el informe de IDC. La consultora estima que en la actualidad alrededor de un tercio de la información residente en el universo digital exige un nivel alto de protección, pero según sus pronósticos este porcentaje se elevará hasta el 45 por ciento en 2012

Página –59–


El Universo Digital – EMC / IDC

Página –60–


El Universo Digital – EMC / IDC

Página –61–


2010 Digital UniverseThe Big Data Summit 2010

(www.bigdata.summit.com)

El Universo Digital crecerá del orden 1,2 Zettabytes (1,2 millones de petabytes)

2020 Digital Universe crecerá 4,4 veces mayor que en 2009

Página –62–


The Economist (Febrero 2010)Data, data everywhereA special report on managing

information February 27th 2010 Data, data everywhere Economist.com/specialreports All too much. Monstrous amounts of data. Page 3 New rules for big data. Regulators are having to

rethink their brief. Page 12 Handling the cornucopia. The best way to deal

with all that informationis to use machines. But they need watching. Page 13

Página –63–


http://www.economist.com/specialreports/displaystory.cfm?story_id=15557421

Página –64–

6565


ESTADO ACTUAL DE LA SEGURIDAD DE LA INFORMACIÓNCiberseguridad


INNOVACIONES TECNOLÓGICAS DE IMPACTO EN LA SEGURIDAD

Las nuevas tecnologías como movilidad, medios sociales y cloud computing presentan nuevas oportunidades pero también nuevas y grandes vulnerabilidades.

Encuesta de Eurostat considera claves para la seguridad en el 2011, detectar las principales amenazas informáticasRobo de datosAtaques cibernéticos entre paísesAtaques a teléfonos móviles

La consultora Ovum recomienda que los CIOs deben pensar en un enfoque integrado: tecnología, políticas de seguridad y personas.

Página –66–


España ocupa la cuarta posición de la UE en la protección del acceso informático de las empresas. La Vanguardia, 9-12-2010

Bruselas (EFECOM). El 63% de las empresas españolas utiliza contraseñas "robustas" y dispositivos "sólidos" para la identificación de usuarios y proteger así sus redes informáticas, lo que las sitúa en cuarto lugar a nivel de la Unión Europea, según datos de 2009 publicados hoy por Eurostat, la oficina estadística comunitaria.

Eurostat destaca que únicamente el 12% de las empresas de la Unión Europea experimentaron problemas de seguridad informática en 2009 debido a fallos del hardware o del software. Página –67–


España ocupa la cuarta posición de la UE en la protección del acceso informático de las empresas. La Vanguardia, 9-12-2010

La estadística, realizada a comienzos de este año para comprobar el nivel de uso corporativo de las nuevas tecnologías, revela que el 5% de las empresas de la UE perdieron o vieron modificados sus archivos por infecciones de virus en el sistema, aunque España eleva la media europea con un 11%, sólo superada por Eslovaquia y Portugal (con un 23% y un 14%, respectivamente).

Las empresas italianas (66%), irlandesas y eslovenas (64% cada una) son las que más utilizan contraseñas y programas sólidos para autentificar a los usuarios de forma segura,

Página –68–


EL ESTADO ACTUAL DE LA CIBERSEGURIDAD DESDE LA PERSPECTIVA DE ORGANIZACIONES Y EMPRESASCisco, la empresa norteamericana líder en

el mundo de las comunicaciones y cada día más con intereses en muchas otras áreas como la seguridad, cloud computing, virtualización, en su informe 2010 Midyear Security analiza cómo las grandes transformaciones tecnológicas, económicas y demográficas –la proliferación de dispositivos móviles conectados a la Red (teléfonos inteligentes, tabletas tipo iPad, etc.), …

Página –69–


Cisco. 2010 Midyear Security En el estudio de Cisco, un gran número de

empresas consultadas reconocen que sus trabajadores han otorgado accesos no autorizados a familiares o amigos, y la mayoría no renuncia a acceder a redes sociales desde su puesto de trabajo.

Otro dato ilustrativo es el caso omiso de los trabajadores a las políticas corporativas, cita, p.e., el informe que el 50% de los usuarios finales ha admitido ignorar las políticas corporativas que prohíben el uso extensivo de redes sociales, mientras que un 27% reconoce haber cambiado la configuración de su equipo para acceder a aplicaciones no permitidas.

Página –70–


Cisco. 2010 Midyear SecurityEl estudio de Cisco está segmentado

por áreas y detalla las posibles soluciones que ofrece a cada uno de los riesgos y amenazas para la ciberseguridad y el comportamiento dentro de las organizaciones y empresas, especialmente por parte de sus trabajadores. Una de las áreas de interés lo constituyen las transformaciones tecnológicas y sociales. Página –71–


Cisco. 2010 Midyear SecurityLas transformaciones clave más

importantes en los departamentos de organizaciones y empresas y que afecta sensiblemente a la ciberseguridad son: las redes sociales, la virtualización, la tecnología cloud computing y la apuesta creciente por integrar múltiples dispositivos móviles

Página –72–


Cisco. 2010 Midyear Security Para responder con éxito a estas transformaciones, Cisco

propone que las empresas deberían: Aplicar políticas específicas para cada

usuario en el acceso a las aplicaciones y los datos sobre sistemas virtualizados.

Establecer límites estrictos en el acceso a la información crítica para el negocio.

Crear una política corporativa oficial de movilidad.

Invertir en herramientas para gestionar y monitorizar las actividades ‘en la nube´.

Proporcionar a los trabajadores guías sobre el uso de los medios sociales en la oficina.

Página –73–


Cisco. 2010 Midyear Security Los cibercriminales están aprovechándose de las

innovaciones tecnológicas para agilizar sus propias operaciones y obtener rentabilidad. “El cibercrimen cibernético es un negocio puro y duro. Nosotros (Cisco) vemos la seguridad desde el punto de vista de los atacantes, que se organizan como empresas. No siempre los fraudes más llamativos son los más rentables. Al revés, suelen serlo, los que requieren menos inversión”.

Declaraciones de Pilar Santamaría, Directora de Desarrollo de Negocio y Cibersegurida de Cisco Mediterráneo, en declaraciones a Manuel G. Pascual en Cinco Dias, 10 de noviembre de 2010, p. 14

Página –74–


Cisco. 2010 Midyear Security Por esta razón, Cisco ha elaborado una matriz

de rentabilidad de los virus, de modo que muchos de los fraudes clásicos, incluso el phishing están dando paso a importar cuotas de alta en todo tipo de negocios, administraciones, etc. donde se roban pequeñas cantidades de dinero cada vez y se requiere poca inversión, este tipo de fraude requiere ingeniería social (formularios, llamadas no solicitadas, etc.). La matriz de Cisco considera muy rentables para el ciberdelincuente el fraude por clics, el farmacéutico y los ataques que se disfrazan de antivirus, los timos lucrativos,…

Página –75–


Cisco. 2010 Midyear Security En cuanto al futuro de las amenazas, el estudio de Cisco reseña

también que La ingeniería social y la

mezcla de tecnologías por parte de los usuarios son cada vez más peligrosas para la ciberseguridad.

Está cada vez más al alza los ataques multivector que combinan diferentes soportes (correo-e, web, voz, vídeo,..) para encontrar fisuras.

Página –76–


Cisco. 2010 Midyear SecurityEl estudio de Cisco reconoce que el

spam sigue creciendo exponencialmente, a pesar del reciente descenso en operaciones criminales basadas en spam; se espera que durante 2010 crezca a escala mundial un 30% según destaca el informe complementario Cisco Security Intelligence Operations. Estados Unidos sigue siendo el país donde se origina más spam seguido por India, Brasil, Rusia y Corea del Sur.

Página –77–


Cisco. 2010 Midyear Security Otros datos de interés para la ciberseguridad que aporta el

estudio de Cisco es la constatación de que un porcentaje notable de los responsables de seguridad de las 500 empresas consultadas, consideran que los usuarios no autorizados son la principal amenaza a la seguridad corporativa, unida a las redes sociales y las nuevas aplicaciones que también se identifican como amenazas importantes. El informe es concluyente “las brechas de seguridad abiertas por esta nueva realidad son enormes. Los hackers lo saben y se aprovechan de ello”.

Página –78–


Cisco Connected World Report A pesar de que el 65% de las empresas

españolas cuentan con normas de TI sobre el uso de recursos, el 46% de sus trabajadores las desconoce y el 72% considera que deben mejorarse.

Además el 43% de los empleados españoles reconocen saltarse las políticas TI de sus empresas porque necesitan utilizar aplicaciones y programas no permitidos para realizar su trabajo

En nuestro país, el 38% de los empleados tiene prohibido utilizar redes sociales y el 31% no puede acceder a Twitter. Así mismo el uso de teléfonos móviles personales está restringido en un 26% de las empresas.Página –79–


Cisco Connected World ReportA medida que los profesionales

apuestan cada vez más por la movilidad, el uso de múltiples dispositivos y la posibilidad de acceder a los recursos corporativos en cualquier momento y lugar, resulta esencial actualizar las políticas de TI para responder a estas demandas con la mayor seguridad

Página –80–


Consideraciones sobre el ciberdelincuenteEs necesario afrontar con decisión a la

delincuencia organizada que se manifiesta esencialmente en: el fraude en el comercio electrónico, en la banca electrónica, la figura del Crimen como Servicio (al estilo de los modelos de servicio en la Computación en Nube, Software como Servicio, Infraestructura como Servicio, etc.), y eso conduce a vulnerabilidades en LOS PROCESOS DE NEGOCIOS

Página –81–


Encuesta Mundial de Cisco, 10/12/2010Un 18% de las empresas españolas

usan COMPUTACIÓN en la 'nube' Una encuesta mundial de Cisco refleja que

Brasil, Alemania e India son los países donde más se emplea esta tecnología (publicada el 10 de diciembre de 2010)

Una encuesta mundial de la compañía, realizada por Insight Express en 13 países entre profesionales de las nuevas tecnologías, muestra que el 18% de los encuestados emplea la nube, un porcentaje idéntico en el caso español, aunque un 34% (un 33% en España) planea sumarse próximamente a ella.

Página –82–


Encuesta Mundial de Cisco, 10/12/2010 Las principales razones para apostar por la

virtualización son: el incremento en agilidad, su capacidad para optimizar recursos y reducir costes y la aceleración en la provisión de aplicaciones. Las principales barreras para su adopción son: la preocupación por la seguridad y por la estabilidad, así como la dificultad para construir procesos operativos para un entorno virtualizado y su gestión.

Página –83–


Encuesta Mundial de Cisco, 10/12/2010 Con respecto a los centros de datos, las

principales prioridades de los responsables tecnológicos de las empresas para los próximos tres años son: implementar aplicaciones de negocio; una mejor gestión de los recursos para alinear capacidad y demanda, mejorar la flexibilidad de los mismos y reducir los costes de energía y refrigeración.

Página –84–


Dominios infectados (estadísticas) La compañía de seguridad McAfee ha publicado a finales de

octubre de 2010 su último informe sobre los dominios más peligrosos de la Red. En este informe ha realizado un análisis exhaustivo de más de 27 millones de sitios Web comprobando si existían amenazas de tipo malware o spam, afiliaciones sospechosas o pop ups agresivos. McAfee ha utilizado la tecnología Trustedforce centrada en la protección de datos y que reúne más de 150 sensores localizados en 120 países la lista de los 5 dominios más peligrosos son:

.com (31,3%).info (30.7%).vn (Vietnam).cm (Camerún).am (Armenia)

Página –85–


Estudio sobre delitos informáticos, 15 de agosto de 2011El gasto por delitos informáticos aumenta un

56% en un año. Empresas y administraciones tardan una media de 18 días en resolver los ciberataques

El Segundo estudio sobre el coste anual de los delitos informáticos (Second Annual Cost of Cyber Crime Study, en el documento original en inglés), elaborado por el Ponemon Institute, revela que el gasto derivado de combatir estas infracciones y resolver los problemas que ocasionan en los sistemas de empresas y administraciones se ha incrementado un 56% en un año.

Página –86–

http://www.arcsight.com/press/release/hp-research-ponemon/











http://www.ponemon.org/index.php




BARRERAS CONTRA LOS PIRATAS INFORMÁTICOSEl País / The New York Times, 7 de julio de

2011“Según los expertos, la

proliferación de teléfonos inteligentes, el uso cada vez más habitual de Facebook y otras redes sociales en el lugar de trabajo y el giro hacia el almacenamiento de datos en una nube (cloud) informática brindan nuevas posibilidades a los ciberatacantes”

Página –87–


BARRERAS CONTRA LOS PIRATAS INFORMÁTICOS Las empresas de seguridad en

Internet, reconocen que los antivirus tradicionales, “pueden no estar a la altura de los peligros actuales y se requieren otras medidas” (Symantec, Enrique Salom)

El aumento de programas “malintencionados (malware) crecieron de modo exponencial en 2010”

Página –88–


BARRERAS CONTRA LOS PIRATAS INFORMÁTICOSEn la actualidad, los ataques suelen

recurrir a una cara conocida. Es una práctica muy usada conocida como “pesca con lanza”, los piratas envían correos electrónicos que parecen ser de compañeros de trabajo o amigos e incluyen archivos adjuntos que pueden liberar malware, es decir programas que roban contraseñas y otros datos.

Página –89–


BARRERAS CONTRA LOS PIRATAS INFORMÁTICOSUn caso práctico fue el ataque a

la empresa RSA Security de EE UU que trataba de capturar identificaciones digitales. El ataque contra el laboratorio llegó a través de un archivo adjunto en un correo electrónico cuyo asunto dejaba entrever que provenía del departamento de recursos humanos.

Página –90–


BARRERAS CONTRA LOS PIRATAS INFORMÁTICOSLas nuevas tecnologías de seguridad

deberían proteger contra todas las fuentes de archivos malintencionados, ya vengan de anticuados correos electrónicos, de un mensaje de LinkedIn o de un vínculo (enlace) de Twitter o Facebook

Las empresas y organizaciones deben adaptar sus sistemas para protegerse contra los ataques a través de teléfonos inteligentes y tabletas

Página –91–


BARRERAS CONTRA LOS PIRATAS INFORMÁTICOSPREVENCIÓN DE ESOS ATAQUES

INFORMÁTICOSLas organizaciones y empresas se

pueden guardar bien de esos ataques confeccionando “listas blancas” que solo permiten acceso a los programas que figuran en una lista de programas seguros.

Página –92–


FUENTES DE GOBIERNO TI

Principales modelos de Gobierno TI agrupadas por: Marcos regulatorios: actos legislativos de

control interno y disposiciones de entes de supervisión y auditoría: Sarbanex-Oxley, Basilea II, HIPAA.

Marcos de referencia: guías de buenas prácticas y principios y recomendaciones para la aplicación de las mismas: COBIT, ITIL, CMMi, etc.

Marcos de certificación: normas ante las cuales se puede certificar, ante un ente externo, el cumplimiento de requisitos impuestos por las normativas legales y locales: ISO/IEC – 20000, 27000, 38500; AS8015

Página –93–


Características de los estándares de la NubeInteroperabilidad

PortabilidadIntegraciónSeguridad

Se necesita asegurar que los controles, procedimientos y tecnologías correctos se utilizan para proteger los activos corporativos.

Conjunto de procesos, políticas y mejores prácticas que aseguran que los controles puestos son los idóneos.

Página –94–


Estándares de seguridad ISO / NIST (www.iso.org) Estándares de seguridad de los sistemas de información e

interoperabilidad de servicios Web (ISO) ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27006 ISO/IEC 17799 “Computer Security incident Handling

Guide,Recommendations of the National Institute of Standards and Technology”. NIST SP 800-61

Página –95–

http://www.iso.org/


Grupos y organizaciones de Estándares

Cloud Security Aliancewww.cloudecurityalliance.org (creada en 2008)--- apoyada paor ISACAHa publicado: “Guidance por Critical Areas of Focus in Cloud Computing”www.cloudsecurityalliance.org/guidance

NIST (Instituto Nacional de Estándares y Tecnologías de USA).

www.nist.gov Página –96–


Organizaciones de CloudEuroCloud Europa

www.eurocloud.org Es una asociación europea de empresas

proveedoras de SaaS y Cloud Computing formada por una red de asociaciones locales en los diferentes países europeos.

Eurocloud Españawww.eurocloudspain.orgblog.eurocloudspain.org

Página –97–


Estándares de interoperabiliadGestión de identidades

(IDM, Identity Management)Interoperabilidad. La Nube

debe proporcionar una solución de IDM que pueda interoperar directamente con los sistemas IT y soluciones existentes o con el mínimo de cambios.

Página –98–


Estándares de interoperabiliad

Página –99–

http://en.wikipedia.org/wiki/File:OpenID_logo.svg


Estándares de interoperabiliadOpenID GoogleOAuth TwitterFacebook Connect FacebookOpenSocial Google (API)Friend Connect GoogleOpenID y OAuth facilitan la

identificación en la Red pero requiere implementar medidas de seguridad

El futuro: Estándar únicoPágina –100–



Estándares de interoperabiliadProtocolo híbrido OAuth y

OpenID. Google comienza a utilizar sistemas de autenticación segura combinados

Protocolo híbrido combina el login federado de OpenID con el proceso de autorización de Oauth

La extensión se denomina OpenID Oauth permite implantar a los desarrolladores OAuth a través de una autenticación inicial usando OpenID.

Página –101–


102102


AMENAZAS ACTUALES Y FUTURAS


ALGUNAS AMENAZAS (ACTUALES Y FUTURAS) La valoración de las amenazas actuales y

futuras es una parte importante de la evaluación de las prioridades a tener en cuenta en las crecientes medidas de seguridad. Será preciso tener presente la prevención, detección, respuesta, mitigación y recuperación junto con la cooperación internacional en su caso.

Algunas de las amenazas que se han hecho muy “populares” en los últimos tiempos por las repercusiones e impacto que han tenido en aquellos lugares y equipos donde se han producido.

Página –103–



Stuxnet Es un programa de software dañino

(malicioso) del tipo troyano muy avanzado, que aprovecha la vulnerabilidad MS10-0466 de los sistemas operativos Windows CC, empleados en los sistemas SCADA (Supervisory Control and Data Acquisition) fabricados por Siemens y que se utiliza en infraestructuras críticas tales como el control de oleoductos, plataformas petroleras, centrales eléctricas, centrales nucleares y otras instalaciones industriales con el objetivo de sabotearlos. Se piensa que una vez dentro de una planta podría reprogramar las centrifugadoras para hacerlas fallar sin que se detectara. Página –104–



StuxnetEs un virus muy sofisticado que utiliza

técnicas de rootkit para instalarse en el sistema operativo. El troyano queda camuflado y latente en el equipo infectado hasta que su autor decide activarlo.

Se detectó el mes de junio de 2010 por una compañía de seguridad informática de Bielorrusia, VirusBlokADa que lo descubrió en unos ordenadores pertenecientes a un cliente en Irán.

Página –105–



DDoSLos ataques DDoS (Distributed

Denial of Service) son una forma relativamente sencilla y efectiva de hacer caer a una Web. Las acciones se pueden realizar de forma voluntaria siguiendo las instrucciones dadas para iniciar el ataque a una hora señalada en una convocatoria mediante foros en la Red o utilizando redes de ordenadores previamente infectados por virus (botnet) de forma que los usuarios ni siquiera son conscientes de que participan.

Página –106–



DDoSLos ataques DDoS no siempre

tienen un trasunto ideológico. Cada vez más responden a puras extorsiones. Se están trasladando a Internet los mismos esquemas que empleaba la mafia en el mundo físico.

Página –107–



Botnets Los botnets (robots de la Red) son redes de

ordenadores zombis. Las redes han aumentado de modo exponencial, según informes de la Fundación Shadowserver y se emplean para realizar ataques, envíos masivos de correo basura y espionaje contra empresas. Un botnet se crea infectando ordenadores sin que sus propietarios lo sepan.

Cada máquina reclutada por el virus se pone en contacto sigilosamente con el cibercriminal a la espera de sus órdenes.

Página –108–



Zeus Zeus es un virus de tipo botnet (troyano)

que se propaga por los navegadores, tanto Explorer como Firefox. El malware recopila información del usuario y contraseñas de internet y redes sociales, utilizándolas para suplantar la identidad y realizar robo de datos bancarios, datos de tarjetas de crédito o enviar spam.

Miles de empresas de todo el mundo han caído en esta pandemia digital. Además a primeros de noviembre de 2010 se ha detectado que el virus Zeus ha afectado a dispositivos móviles.

Página –109–



Amenazas futuras De acuerdo con informe reciente de Cisco ya citado

destaquemos ahora que en opinión de esta multinacional de las comunicaciones el futuro de las amenazas se centran en dos grandes áreas: Ingeniería social (manipulación de formularios, llamadas no solicitadas, mensajes,…) y ataques multivectoriales donde se combinan diferentes tipos de soporte (correo electrónico, mensajes en blogs, redes sociales, wikis,…., voz, vídeo, audio, etc.)

Amenazas a las infraestructuras críticasPágina –110–


111111


ORGANISMOS E INSTITUCIONES CON COMPETENCIAS EN CIBERSEGURIDAD


GESTIÓN DE LA CIBERSEGURIDAD EN ESPAÑAHablar de ciberseguridad en una determinada

nación requiere plantear, al menos, dos dimensiones: la protección de bienes, activos, servicios, derechos y libertades dependientes de la jurisdicción estatal, y la responsabilidad compartida con otros Estados, bilateralmente o a través de organismos supranacionales, sobre la ciberseguridad.

Página –112–


Atendiendo a la primera dimensión del problema, es preciso identificar cuáles son los activos dependientes del ciberespacio en España, qué regulación existe, cuáles son los organismos con funciones y responsabilidades en la materia y quiénes son los participantes. La defensa de nuestro ciberespacio abarca a todos los activos y actores imaginables, pero debe centrarse, fundamentalmente, en la defensa de las infraestructuras críticas, el tejido empresarial y las libertades y derechos individuales.

Página –113–

GESTIÓN DE LA CIBERSEGURIDAD EN ESPAÑA


Las infraestructuras críticas de nuestro país se encuentran agrupadas en los siguientes 12 sectores: administración, alimentación, energía, espacio, sistema financiero y tributario, agua, industria nuclear, industria química, instalaciones de investigación, salud, transporte y tecnologías de la información y las comunicaciones.

Página –114–



En cuanto al tejido empresarial español, la gran mayoría de las grandes empresas disponen de una organización interna suficientemente madura que les permite implementar las actividades y medidas que se enmarcan dentro de las prácticas de information security e information assurance. En el caso de las pequeñas y medianas empresas y autónomos (el 99% del total), la falta de recursos económicos y humanos impiden la implementación de ciberseguridad aunque sus actividades se sustentan, fundamentalmente, en las TIC. El Gobierno está fomentando el acceso de las empresas y autónomos españoles a las TIC y a las buenas prácticas de la ciberseguridad mediante las líneas de financiación del Plan Avanza.

Página –115–



En relación con los ciudadanos, el índice de penetración de los servicios de la sociedad de la información (correo electrónico, redes sociales, comercio electrónico) es ya suficientemente alto

como para que cualquiera de los tipos de amenazas enunciados pueda producir impactos graves en las libertades y derechos individuales

Página –116–



El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica constituye un buen punto de partida, pero, como su propio nombre indica, cubre únicamente el sector de las administraciones públicas, dejando fuera los otros sectores relevantes para la gestión de la ciberseguridad: otras infraestructuras criticas, las empresas y los ciudadanos. Además del citado Real Decreto existen leyes nacionales, europeas e internacionales que abordan la cuestión de la ciberseguridad. Página –117–



ORGANISMOS E INSTITUCIONES ESPAÑOLAS CON COMPETENCIAS EN CIBERSEGURIDAD

El Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica fue regulado en el Real Decreto 2/2010, de 8 de enero, pero cubre únicamente las administraciones públicas. Existen otras leyes nacionales, europeas e internacionales que abordan la seguridad, tales como: Ley Orgánica de Protección de Datos (LOPD), la Ley General de las Telecomunicaciones (LOT) y la Ley de la Sociedad de la Información y Comercio Electrónico (LSI-CE).

* FOJÓN ENRIQUE Y SANZ ÁNGEL. “Ciberseguridad en España: una propuesta para su gestión”, Análisis del Real Instituto Elcano, ARI nº 101/2010

Página –118–



ORGANISMOS E INSTITUCIONES ESPAÑOLAS CON COMPETENCIAS EN CIBERSEGURIDAD El Centro Criptológico Nacional

(CCN), dependiente del Centro Nacional de Inteligencia (CNI) que tiene, entre sus misiones, la gestión de la seguridad del ciberespacio dependiente de cualquiera de los tres niveles de las administraciones públicas: estatal, autonómico y local.

Página –119–




El CCN-CERT es el Centro de alerta nacional que coopera con todas las administraciones públicas para responder a los incidentes de seguridad en el ciberespacio y vela también por la seguridad de la información nacional clasificada

Página –120–




El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) que depende del Ministerio del Interior.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) encargado de velar por la ciberseguridad de las PYMES y los ciudadanos en el ámbito doméstico.

El Grupo de Delitos Telemáticos de la Guardia Civil y la Unidad de Investigación de la Delincuencia en Tecnologías de la Información de la Policía Nacional, responsables de combatir la ciberdelincuencia.

La Agencia Española de Protección de Datos y Agencias de Protección de Datos de la Comunidad de Madrid y de la Generalitat de Cataluña.

Página –121–



Organismos de Seguridad en Empresas Las principales empresas españolas del sector de la

seguridad informática crearon, el año 2009, el Consejo Nacional Consultor sobre Ciber-Seguridad (CNCCS) con el objetivo de fomentar la defensa del ciberespacio y colaborar con las entidades públicas y privadas. Este organismo respaldado por la iniciativa privada, facilita normativas, asesoramiento,… a las empresas y en particular a sus departamentos de Seguridad Informática.

Página –122–



Organismos europeosAgencia europea ENISA (European

Network Information Security Agency) creada en 2004. Asesora a la Comisión y a los estados miembros en temas de seguridad y productos informáticas. Su última iniciativa Cyber Europe 2010 .

Programa para la protección de Infraestructuras Críticas (PEPIC)

Página –123–



Organismos de Seguridad EuropeosAGENDA DIGITAL EUROPEA.

Contempla toda la política europea de Tecnologías de la Información. Aprobada en Granada, ESPAÑA (Marzo 2011) y puesta en marcha en Junio 2011.

Contempla la protección a Europa de ciberataques e interrupciones a gran escala

Una política general para luchar contra la ciberdelincuencia Página –124–



OTANLa OTAN ha creado el Nuevo Concepto Estratégico y ha creado una política de ciberdefensa.

Dispone de un Centro de Excelencia en Ciberdefensa en Tallin (ESTONIA)

Página –125–



ESTADOS UNIDOS El actual Gobierno de Estados Unidos ha

creado al principio de su mandato una INICIATIVA EN CIBERSEGURIDAD

www.whitehouse.gov/sites/default/files7cybersecurity.pdf

El Cibercomando de Estados Unidos (USCYBERCOM) es un comando subunificado bajo el mando del Comando Estratégico de Estados Unidos creado por el Secretario de Defensa de Estados Unidos Robert Gates el 23 de Junio de 2009. El comando está dirigido por el Director General de la Agencia de Seguridad Nacional, Keith B. Alexander. El comando asumirá la responsabilidad de diversas agencias ya existentes Página –126–



ARGENTINA crea Programa Nacional de Infraestructuras Críticas de Información y CiberseguridadResolución 580/2011, agosto 2011 Artículo 1º — Créase, en el ámbito de la OFICINA NACIONAL DE

TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la SECRETARIA DE GABINETE de la

JEFATURA DE GABINETE DE MINISTROS, el “PROGRAMA NACIONAL DE INFRAESTRUCTURAS CRITICAS DE INFORMACION Y CIBERSEGURIDAD”.

Página –127–

http://www.profesioneson-line.com/group/abogacia/forum/topics/resoluci-n-580-jefatura-de



Administración de Identidades Digitales y Accesos El acceso autorizado a la información en todo

momento, desde cualquier lugar, tanto para empleados como para clientes y proveedores se ha transformado en un requerimiento esencial para el negocio.

Una Metodología de Administración de Identidades y Accesos debe presentar un enfoque de negocios que combine el conocimiento de las mejores prácticas y experiencia sobre los procesos y los controles necesarios para la gestión de seguridad, administración de proyectos informáticos y conocimiento técnico de las distintas soluciones tecnológicas provistas por los proveedores de software incluyendo su posible integración con sistemas cloud

Página –128–



Administración de la Seguridad En el ambiente de negocios actual,

implementar respuestas contra las últimas amenazas técnicas no siempre resuelve necesariamente las fallas en el enfoque general de gestión de seguridad y privacidad.

En este sentido, las organizaciones necesitan implementar y mantener UN ESQUEMA INTEGRAL DE ADMINISTRACIÓN DE LOS RIESGOS DE SEGURIDAD Y PRIVACIDAD, ALINEANDO LOS RECURSOS HUMANOS, PROCESOS Y DIVERSOS ELEMENTOS DE LA TECNOLOGÍA, para poder sobrevivir en un mercado tan competitivo, y alcanzando niveles adecuados de seguridad. Página –129–



Administración de la Seguridad Se requiere un programa integral de

administración de la seguridad abarcando las siguientes áreas:

• Gobierno y Estrategia • Estándares internacionales (por ej. ISO 27000, CobiT) y específicos de industrias • Administración de riesgos y cumplimiento de leyes y regulaciones • Capacitación y Concienciación • Aseguramiento efectivo • Métricas e Indicadores

Página –130–



Administración de VulnerabilidadesCon ambientes de procesamiento de

información cada vez más complejos e interdependientes, las amenazas y vulnerabilidades son cada vez más difíciles de identificar y tratar de forma efectiva, y mucho más aún de demostrar a quienes lo soliciten (reguladores, auditores) que se cuenta con medidas adecuadas para su gestión.

Página –131–



Administración de Vulnerabilidades Muchas organizaciones han aprendido de los hechos que la

implementación de firewalls perimetrales, software de antivirus, sistemas de detección y prevención de intrusos, y programas periódicos de evaluación de vulnerabilidades, no resultan suficientes para combatir las exposiciones de seguridad en todas las dimensiones asociadas a este tipo de riesgos.

Las consultoras plantean desarrollar soluciones efectivas que abarcan una combinación de procesos, personas y tecnología, que permitan, de forma integrada, identificar, evaluar y administrar los riesgos relacionados con vulnerabilidades de los sistemas de información, como parte del enfoque del día a día de las operaciones. Página –132–



Administración de Vulnerabilidades Algunas consideraciones en el Plan de

Vulnerabilidades podría ser:• Evaluar el estado actual • Definir los requerimientos y seleccionar herramientas y soluciones para su gestión continua • Diseñar y optimizar su proceso de administración de vulnerabilidades y controles, incluyendo: identificación de amenazas, análisis de riesgo, remediación y reporte • Realizar investigación y análisis forense de incidentes de seguridad • Ejecutar pruebas ante ataque y penetración sobre redes y aplicaciones (Cyber Europe 2010)

Página –133–



Privacidad y Protección de Datos La privacidad y protección de datos

constituye un desafío creciente, y es objeto actual de desarrollo de legislación y regulaciones específicas. La normativa sobre medidas técnicas de seguridad a implementar para el tratamiento y conservación de datos personales establecen requerimientos específicos que las empresas y organizaciones deben atender.

Página –134–



Privacidad y Protección de Datos Factores clave que permitan a una organización reducir las

exposiciones a riesgos relacionados con la privacidad y protección de datos personales deben incluir, al menos, las siguientes áreas:

• Estrategia de Privacidad y Protección de Datos • Inventario y clasificación de datos personales • Políticas y Procedimientos

Comprensión, cumplimiento y administración de leyes y regulaciones a nivel nacional e internacional • Capacitación y Concienciación • Transferencia de datos hacia terceros y a otros países • Retención y destrucción de datos personales • Inclusión de controles de privacidad en proyectos de sistemas y tecnología

Página –135–



Alineamiento de ITIL V3, COBIT 4,1 ISO/IEC 27001-2

Norma ISO/IEC 27002. Un código de mejores prácticas en materia de sistemas de gestión de seguridad de la información. En esencia, un conjunto de controles de seguridad.

Norma ISO/IEC 27001. Una especificación estándar para un sistema de gestión de seguridad de la información

Página –136–



PRINCIPIOS RECTORES DE LA NORMA ISO/IEC 27002:2005

Mediciones basadas en los requisitos legales

Mejores prácticas mencionadas en la norma

Factores críticos de éxitoNecesidad de un nuevo marco de

trabajo para el desarrollo de un Sistema de Gestión de la Seguridad de la Información

--------------- RESUMEN EJECUTIVO DE “Alineamiento de ITIL V3,

COBIT 4,1 ISO/IEC 27002”. Un reporte para gestión del ITGI y la OGC. IT Governance Institute y OGC.

Página –137–



LA INTIMIDAD EN LARED Los gobiernos, las corporaciones, los buscadores,

los sistemas operativos, aplicaciones,.. han dificultado la reputación digital, a saber, la información de sujetos, compañías e instituciones

Página –138–



* FOJÓN ENRIQUE Y SANZ ÁNGEL. “Ciberseguridad en España: una propuesta para su gestión”, Análisis del Real Instituto Elcano, ARI nº 101/2010

Propuestas para la gestión española de la ciberseguridad España, a pesar de los esfuerzos

realizados, no dispone aún de una capacidad sólida que permita realizar una dirección y gestión eficaces y eficientes de nuestra ciberseguridad.

Página –139–



“Ciberseguridad en España: una propuesta para su gestión ARI nº 101/2010El gobierno de España debe identificar

la seguridad de su ciberespacio como un objetivo estratégico de la Seguridad Nacional, puesto que la materialización de una amenaza sobre nuestro ciberespacio puede afectar muy negativamente al desarrollo social, económico y cultural de nuestro país.

Página –140–



“Ciberseguridad en España: una propuesta para su gestión ARI nº 101/2010Se debe elaborar una Estrategia

Nacional de Ciberseguridad de la que emane un marco normativo específico que regule el ciberespacio y su seguridad. La reciente publicación del Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, es un buen punto de partida, pero será necesario adecuar y hacer cumplir la legislación vigente.

Página –141–



“Ciberseguridad en España: una propuesta para su gestión ARI nº 101/2010 La dirección de la ciberseguridad debe realizarse de

manera centralizada. Como corolario del principio anterior, el Estado debe crear un organismo con la misión de dirigir la ciberseguridad nacional, coordinando a las entidades públicas y privadas implicadas.

El gobierno debe fomentar y reforzar la cooperación internacional en materia de ciberseguridad. Las alianzas multinacionales y bilaterales en materia de ciberseguridad son indispensables

Página –142–



“Ciberseguridad en España: una propuesta para su gestión ARI nº 101/2010Las administraciones del Estado

se deberán promover una cultura de la ciber-responsabilidad, basada en la concienciación y formación continua en ciberseguridad. Para ello, los planes de estudio de las enseñanzas primaria, secundaria y universitaria deberían incluir en sus currículos materias relacionadas con el uso responsable del ciberespacio.

Página –143–



DECÁLOGO DE LA CIBERSEGURIDADCuadernos de Estrategia, nº 149 del IEEE del Mº de Defensa de España, coordinado por prof.sor Luis Joyanes

(…) Establecer una plataforma española de ciberseguridad y la posibilidad de crear un Centro Español de Ciberseguridad dependiente de una Dirección única que actúe de modo centralizado y alineada con las estrategias europeas emanadas de la Agenda Digital Europea (…) Página –144–



Agenda Digital EuropeaLa Comisión Europea declara en su

acción clave 7 de la Agenda Digital Europea:

“Presentará medidas, incluyendo iniicativas legislativas, para combatir los ciberataques contra los sistemas de información …. “Establecerá una plataforma eurOpea de la ciberdelincuencia a más tardar en 2012” y “Examinará a más tardar en 2011, la posibilidad de crear un centro europeo de la ciberdelincuencia”

Página –145–



CONCLUSIÓN FINAL DE CIBERSEGURIDAD.Cuaderno de Estrategia nº 149, enero 2011“Entendemos que el Gobierno de

la Nación, como por otra parte, ya lo está haciendo, deberá seguir liderando las estrategias en ciberseguridad e iniciar una concienciación y una campaña de educación para promover dicha ciberseguridad.”

Página –146–


© Luis Joyanes Aguilar Universidad San Martín de Porres. Lima (Perú)16 de Agosto 2011 Página –147–

MUCHAS GRACIASPortal tecnológico y de conocimiento

(Ed.McGraw-Hill)www.mhe.es/joyanes

[email protected] … [email protected]

El Ágora de Latinoaméricagissic.wordpress.com

Simposium SISOFT : www.sisoft2010.orgwww,sisoft2011.org

UNIVERSIDAD PONTIFICIA DE SALAMANCA

© Luis Joyanes Aguilar Universidad San Martín de Porres. Lima (Perú)18 de Agosto 2011 Página –148–Página –148–

Comentarios y preguntasGRACIAS

Luis Joyanes Aguilarwww.mhe.es/joyanes

(PORTAL DE CONOCIMIENTO Y TECNOLOGÍA de McGraw-Hill)

www.sisoft2010.orggissic.wordpress.com

[email protected] [email protected]: 34-91-5141700

Facultad de InformáticaUniversidad Pontificia de Salamanca campus

Madridwww.upsam.com


BIBLIOGRAFÍA CARR, Jeffrey. Cyber Warfare. Sebastopol, USA: O

´Reilly, 2010. CLARKE, Richard y KNAKE, Robert K. Cyber War:

The Next Threat to National Security and What to Do About It. New York: Harper Collins, 2010.

FOJÓN ENRIQUE Y SANZ ÁNGEL. “Ciberseguridad en España: una propuesta para su gestión”, Análisis del Real Instituto Elcano, ARI Nº 101/2010

KRUTZ, Ronald y DEAN Vines, Russell. Cloud Security. A Comprehensive Guide to Secure Cloud Computing. Indianapolis: Wiley, 2010.

Página –149–



BIBLIOGRAFÍA LIBICKI, Martin C. Cyberdeterrence and Cyberwar.

Santa Mónica: RAND Corporation, 2009. LYNS III, William J, Foreign Affairs, vol. 89, nº 5,

septiembre/octubre de 2010, pp. 97

Página –150–



ANEXOS Bibliografía Referencias Web ISO/IEC 17799 (ahora renombrada como ISO

27002, www.iso.org/ISO/iso_catalogue/catalogue_tc/catalogue_detail. Htm?csnumber = 50297): Un conjunto de controles de seguridad (un código de práctica).

• ISO/IEC 27001 (www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103,anteriormente, BS7799‐2) – Una especificación estándar para un sistema de gestión de seguridad de información (SGSI).

Innovaciones tecnológicas de impacto en BPM

Página –151–



SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN Los principios rectores en la norma ISO/IEC 27002:2005

son los puntos de partida para la implementación de seguridad de la información. Se basan en cualquiera de los requisitos legales o en las mejores prácticas generalmente aceptadas. Las mediciones basadas en los requisitos legales son:

La protección y la no divulgación de datos personales.

Protección de la información interna. Protección de los derechos de propiedad

intelectual.Página –152–



SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Las mejores prácticas mencionadas en la norma incluyen:

La política de seguridad de la información.

Asignación de la responsabilidad de seguridad de la información.

Escalamiento de problemas.Gestión de la continuidad del negocio.

Página –153–




INFORMACIÓN Cuando se implementa un sistema de gestión de seguridad

de la información, se deben considerar varios factores críticos de éxito:

La política de seguridad, sus objetivos y actividades deberían reflejar los objetivos de negocio.

• La implementación debería considerar los aspectos culturales de la organización.

• Se requiere un abierto apoyo y el compromiso de la alta dirección.

• Se requiere un conocimiento exhaustivo de los requisitos de seguridad, evaluación del riesgo y gestión

del riesgo.

Página –154–




INFORMACIÓN • El marketing efectivo de la seguridad debe

dirigirse a todo el personal, incluidos los miembros de la

dirección. • La política de seguridad y las medidas de

seguridad deben ser comunicadas a terceros contratados.

• Los usuarios deben ser capacitados en forma adecuada.

• Se debería disponer de un sistema integral y balanceado para la medición del desempeño, que apoye la

mejora continua de suministro de información.Página –155–




INFORMACIÓN presentar un marco de trabajo para el desarrollo de un

Sistema de Gestión de Seguridad de Información específico para la empresa, que debería consistir de al

menos los siguientes componentes: • La política de seguridad. • Organización para la seguridad. • Clasificación de activos y su control. • Seguridad del personal. • Seguridad física y ambiental. • Comunicaciones y gestión de operaciones

Página –156–




INFORMACIÓNComunicaciones y gestión de operaciones.Control de acceso.Adquisición, desarrollo y mantenimiento

de sistemas.Gestión de la continuidad del negocio.Cumplimiento (Compliance)

Página –157–



Metodología de implantación de S. de la I. Implementar la tecnología de seguridad que realmente

requiere el negocio para una adecuada gestión de riesgos y al menos en las siguientes áreas.• Consolidación y aplicación homogénea de políticas de seguridad • Automatización de controles • Seguridad de Redes y Segmentación en Zonas • Seguridad de Sistemas Operativos y Bases de Datos • Seguridad Física, incluyendo seguridad de los centros de datos

Monitoreo de Seguridad y Reportes• Disponibilidad

Página –158–



SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

La adopción de un SGSI proporciona una adecuada gestión de la información generada por los procesos de negocio, de tal modo que cada proceso tenga disponible la información necesaria en cada momento y con las características requeridas.

Se requiere un modelo que defina, controle y asegure el cumplimiento de los requisitos legales

Tener en cuenta los requisitos de seguridad expresados por los clientes y las medidas implantadas para asegurar su cumplimiento. Página –159–



NECESIDAD DE IMPLANTACIÓN DE UN SGSI*

Mercados cada vez más exigentes. Disponer de certificados ISO 27001, ISO 27002. Requisito indispensable en muchas contrataciones

Conformidad con recursos legales. Exigencia de niveles de seguridad de

la información por parte de las Administraciones públicas y gobiernos que, en muchas ocasiones, quedan resumidos en la existencia de un SGSI conforme a las normas ISO 27001 y 27002.

* J. J. BALLESTEROS, Data. Ti, noviembre 2010, pp. 54-55

Página –160–



Breve recordatorio de consejos de seguridad en procesos simples (especialmente para PYMES)

Precaución en el uso de memorias USB (encriptación y software de protección de punto final “endpoint”, rastreo de archivos, notificación por correo electrónico, etc…, p. e. caso de memorias Verbatim). Rastrear y gestionar los movimientos de los USB, restringir el acceso a puertos USB con el fin de evitar que se copie información en sus unidades conectadas

Prevención de fugas de datos Integrar protección del cliente Control de dispositivos Utilizar contraseñas eficaces y cambios

regulares No conectarse a redes wifi no seguras ….

Página –161–


prof. luis joyanes aguilar

Documents