retos de la seguridad en la modernización de las administraciones públicas: experiencias en otros...
DESCRIPTION
Presented by iTTi's Manolo Palao at INTECO's 6th ENISE, in León (Spain), on October, 23rd, 2012.TRANSCRIPT
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
Manolo PALAO, CGEIT, CISA, CISM
23 OCT 2012
Taller T12: Retos de la Seguridad en la Modernización de las AA PP Experiencias en otros países
2 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
2 OCT 2012
AGRADECIMIENTOS PROFESIONALES: Agradezco las críticas y contribuciones a esta presentación realizadas por MIGUEL GARCÍA-MENÉNDEZ y EDUARDO RODRÍGUEZ RINGACH, de iTTi; y por Usuaria. Sin embargo, la responsabilidad por mis opiniones es exclusivamente mía.
Introducción
Esta presentación tiene lugar por invitación de INTECO – 6ENISE a Usuaria – organizadora de Segurinfo MAD 2012- y por mi designación por Usuaria para ello. Agradezco invitación y designación y procuraré presentarles en estos 20 minutos alguna información y reflexión sobre el tema que nos ocupa. Las informaciones, he procurado documentarlas en las páginas de la presentación y en los apéndices, que no se presentarán; las reflexiones y opiniones son exclusivamente mías y no vinculan en modo alguno a Usuaria ni a iTTi.
Apéndice A
3 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
3 OCT 2012
Una presentación muy simplificada
Fuen
te: ht
tp://te
ache
rweb
.crav
en.k1
2.nc.u
s/TPE
/kind
erga
rten/i
mage
s/2A9
0C21
B963
545C
1B36
34CB
0EE8
9A11
0.jpg
Taller T12: Retos de la Seguridad en la Modernización de las AA.PP.
Experiencias en otros países
4 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
4 OCT 2012
1 Ciberseguridad ⊂ Seguridad TI ⊂ Seguridad 2 Ciberseguridad y Modernización AAPP 3 Ciberseguridad: Faltan Marcos y Métricas, y Falta Consenso 4 Experiencias de Algunos Otros Países
• Final
EEUU México Argentina Brasil Chile Colombia Venezuela Otros
Apéndice A. Antecedentes: Usuaria, Segurinfo, iTTi Apéndice B. Falta consenso Apéndice C. Faltan marcos y Métricas Apéndice D. Algunas referencias Apéndice E. Mapeo EBK-C5IS
Esquema
5 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
5 OCT 2012
1. El continuo: Seguridad - Ciberseguridad – – Ciberinseguridad – Ciberguerra
Fuen
te:
http:/
/dy6g
3i6a1
660s
.clou
dfron
t.net/
MeIr3
omw
3O31
hhBW
DqGF
qgJY
Amc/m
t-89/w
ere-
inspir
ed-ch
ristop
her-s
hann
ons-f
loral-
mens
wear
-mak
eup.j
pg
La Ciberseguridad es un subconjunto de la Seguridad TI
y ésta de la Seguridad. Se habla mucho de Ciberseguridad y mucho de
Ciberguerra La Ciberguerra está de moda La ‘moda’ atrae titulares y depende de muchos intereses
Falta consenso: de … Apocalípticos… a … Negacionistas
Ciberseguridad ,Ciberguerra y Ciberpaz se están tratando
de forma incompleta Faltan conceptos claros, marcos y métricas Faltan –al menos- gobernanza y divulgación
Fuente: http://poppyonakite.com/wp-content/uploads/2012/02/blt.jpg
⊂
6 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
6 OCT 2012
2. Ciberseguridad y Modernización de las AA PP
más interfaz, más detallado y próximo (sobre todo área local); pero además ubicuidad
más ‘ciudadanos – clientes’ (no ‘súbditos – usuarios’)
más transacciones ‘big data’ más transparencia, trazabilidad, identificación más exigencias de trato más personal (ojo: robots en servicios: Santander)
menor tiempo respuesta
mayor libertad de horario
menos garantismo y regulación
más vocación de servicio
menos coste
DERECHO de acceso EIT Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos
7 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
7 OCT 2012
3a. Ciberseguridad: Faltan Marcos y Métricas, y Falta Consenso
Apéndice B
Fuente; http://www.securityweek.com/industrialization-hacking-new-era-it-security
8 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
8 OCT 2012
3b. Ciberseguridad: Faltan Marcos y Métricas
Cyber Power Index
Apéndice C
9 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
9 OCT 2012
3c. Cyber Power Index
http
://w
ww
.cyb
erhu
b.co
m/
4 categorías: • marco legal y regulatorio del ciberespacio, • contexto económico y social, • infraestructura tecnológica y • aplicación en los sectores clave de la economía. 40 subíndices: o participación del Estado en el desarrollo del
ciberespacio, nivel de desarrollo de las políticas de protección en internet,
o nivel de censura, o nivel de penetración de las innovaciones en el
mundo empresarial, o apertura del comercio, o gasto en tecnología de la información, o calidad de las tecnologías utilizadas, o desarrollo del gobierno electrónico, etc.
http
://la
.rusia
hoy.
com
/art
icle
s/20
12/0
1/23
/sin
_el_
plan
_nac
iona
l_de
_cib
erse
gurid
ad_1
4206
.htm
l
¿dónde está España?
¡ No en G20 !
Cyber Power Index (Índice de Ciberpotencia) The Economist, con Booz Allen Hamilton. G20 - EU. 23 de enero de 2012 http://la.rusiahoy.com/articles/2012/01/23/sin_el_plan_nacional_de_ciberseguridad_14206.html
1|19 RU 2|19 EEUU 3|19 AUS 10|19 BRA 13|19 CHINA 14|19 RUSIA
Ojo a Commonwealth
10 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
10 OCT 2012
Fuente: http://securityaffairs.co/wordpress/8765/intelligence/state-sponsored-attack-or-not-thats-the-question.html?goback=.gde_1870711_member_165007262
3d. La realidad empírica
Ciber-’activismo’ Delito Espionaje Guerra
Pierluigi Paganini
?
Stuxnet, Fame, Gauss…
11 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
11 OCT 2012
4a. Otros Países: EEUU
NIST - SP 800-12.pdf [1995] NIST - SP 800-xx.pdf
iniciativa “A Call to Action” (“Information Security Management and Assurance: A Call to Action for Corporate Governance”), nacida a partir de un encuentro público-privado, en La Casa Blanca, en febrero de 2000, durante la Administración Clinton.
De ella nacería el concepto “Information Security Governance”, que quedaría acuñado un año después, en febrero de 2001.
publicación de “The National Strategy to Secure Cyberspace”, en febrero de 2003,
en respuesta al 9/11.
http://www.cyberhub.com/CyberPowerIndex
12 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
12 OCT 2012
4aa. Otros Países: EEUU
DHS-ITS-EBK2008V1.3 ii.pdf Shoemaker & Conklin: Cybersecurity: The Essential Body Of Knowledge 2012
Shortage of certificates !!! “There is zero unemployment in IT security, suggesting a
huge shortage of skills in the profession, says Hord Tipton, executive director of professional certification body (ISC)2. [SET 2012] http://www.computerweekly.com/news/2240163010/Skills-shortage-means-no-unemployment-in-IT-security-says-ISC2
S. 2105: Cybersecurity Act of 2012 [FEB 2012] http://www.govtrack.us/congress/bills/112/s2105/text
Senate blocks Cybersecurity Act [AGO 2012] http://www.zdnet.com/senate-blocks-cybersecurity-act-7000002051/
“… cyber attacks are subject to international humanitarian law and rules of war” http://www.armytimes.com/news/2012/09/dn-laws-of-war-apply-cyber-attacks-091812/
La campaña nacional “NICE” (“National Initiative for Cybersecurity Education”), actualmente en vigor [2008 - 2012]. http://csrc.nist.gov/nice/
“encompassing
kindergarten … and vocational programs”
http://csrc.nist.gov/nice/aboutUs.htm
Comprehensive National Cybersecurity Initiative (CNCI) was established
by President Bush 2008.
Apéndice E
13 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
13 OCT 2012
/
TIME, 12 OCT 2012 http://nation.time.com/2012/10/12/panetta-sounds-alarm-on-cyber-war-threat/
4ab. Otros Países: EEUU
“Defense Secretary Leon Panetta issued what he said is a “clarion call” Thursday for Americans to wake up to the growing threat posed by cyber war”. http://nation.time.com/2012/10/12/panetta-sounds-alarm-on-cyber-war-threat/#ixzz29I2tmMuO
“That’s one reason President Obama designated October as National Cybersecurity Awareness Month”.
http://www.dhs.gov/national-cyber-security-awareness-month
14 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
14 OCT 2012
4b. Otros Países: México
MÉXICO, ÚLTIMO LUGAR DE LA OCDE EN CIBERSEGURIDAD México ocupa el último lugar en materia de ciberseguridad entre los países que conforman la OCDE, va rezagado en la tipificación de delitos informáticos y no cuenta con recursos humanos preparados (agentes del MP, policías investigadores y jueces conocedores) para hacer frente a fraudes electrónicos, clonación de tarjetas, robo de base de datos, bloqueo de portales o jaqueo de cuentas de correo, entre otros ilícitos de este tipo.
[Boletín UNAM-DGCS-090 Ciudad Universitaria. 11 FEB 2012]
http://www.dgcs.unam.mx/boletin/bdboletin/2012_090.html
38/38 !!!
http://www.oecd.org/about/membersandpartners/
15 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
15 OCT 2012
4c. Otros Países: Argentina
“El Programa Nacional de Infraestructuras Críticas de Información y
Ciberseguridad, ICIC, fue creado por la Jefatura de Gabinete de Ministros,
dependiente de Presidencia de la Nación, en Julio de 2011.”
[18 JUL de 2012] http://blog.infobytesec.com/2012/07/programa-nacional-de-infraestructuras.html
http
://w
ww
.cyb
erhu
b.co
m/C
yber
Pow
erIn
dex
16 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
16 OCT 2012
4d. Otros Países: Brasil
Brazilian Army to open a cyber-security centre [AUG 2011] Brazil’s critical information technology (IT) infrastructure new mission for the country’s armed forces . Brazilian government said its IT infrastructure is composed of 320 large public
networks with more than 1 million users. [DEC 2008] Brazilian government published National Defense Strategy, three
sectors to considerably expand: cyber, nuclear and space.
http
://w
ww
.cyb
erhu
b.co
m/C
yber
Pow
erIn
dex
Fuen
te: h
ttp:
//w
ww
.jane
s.co
m/p
rodu
cts/
jane
s/de
fenc
e-se
curit
y-re
port
.asp
x?id
=106
5929
940
17 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
17 OCT 2012
4e. Otros Países: Chile
http://www.belt.es/noticiasmdb/home2_noticias.asp?id=12680
18 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
18 OCT 2012
4f. Otros Países: Colombia
LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA [Versión aprobada JUL 2011]
Este documento busca generar lineamientos de política en ciberseguridad y ciberdefensa orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema. Colombia, primer país latinoamericano en adoptar estrategia de ciberseguridad
y ciberdefensa. La iniciativa gubernamental busca proteger a la ciudadanía de los riesgos informáticos, creando tres dependencias: el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert), el Comando Conjunto Cibernético de las Fuerzas Militares y el Centro Cibernético Policial. [OCT 2012] Guerra electrónica de "baja intensidad" contra las FARC http://m.eltiempo.com/mundo/la-fiscalia-de-
ecuador-entrego-a-expertos-copia-del-disco-duro-del-computador-de-raul-reyes/7859929/1/home
http
://w
sp.p
resid
enci
a.go
v.co
/Pre
nsa/
2011
/Jul
io/P
agin
as/2
0110
714_
06.a
spx
http
://w
ww
.dnp
.gov
.co/
Link
Clic
k.as
px?f
iletic
ket=
-lf5n
8mSO
uM%
3D&
tabi
d=12
60
19 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
19 OCT 2012
4g. Otros Países: Venezuela
CONATEL (Comisión Nacional de Telecomunicaciones) celebra este 17 de mayo el Día Mundial de las Telecomunicaciones, con un evento …
… la Asamblea Nacional, El Ministerio Público, El Tribunal Supremo de Justicia,
El Ministerio de Interior y Justicia, El Banco Industrial de Venezuela, el Seniat y la Comunidad del Software Libre, entre otros, debatirán temas concernientes a la ciberseguridad en nuestro país.
Entre los temas que serán abordados en este evento están: Ciberseguridad en
Venezuela y otros países del mundo, los procedimientos legales existentes en la nación para combatir los delitos informáticos, utilidad y aplicación de la ciberseguridad en las instituciones del estado, y en las estrategias de seguridad de las empresas venezolanas.
[17/05/2006] http://www.gobiernoelectronico.org/node/4735
20 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
20 OCT 2012
Argentina Chile Colombia Ecuador Perú Uruguay
4h. Otros Más
21 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
21 OCT 2012
'Research for a Secure Europe' [2004] Grupo de Personalidades en el Campo de Investigación en Seguridad http://www.src09.se/upload/External%20Documents/gop_en.pdf
Estonian_ Cyber Security Strategy 2008-2013 Finish_ National Information Security Strategy Cyber Security Strategy of the United Kingdom Cyber Security Strategy of the Czech Republic for the 2011-2015 period The _Dutch_ National Cyber Security Strategy Cyber Security Strategy for Germany Défense et sécurité des systèmes d'information Stratégie de la France The _Lithuanian_ Programme for the Development of e-Information Security
(Cyber Security) for 2011-201
http://www.enisa.europa.eu/
4i. Y Otros Países Más … … en este caso, Europeos, porque nos han interesado
Georgia, que no es estado-miembro de la UE, sufrió ataques combinados tierra-ciber, con motivo de la invasión rusa de 2009.
23 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
23 OCT 2012
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi
24 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
24 OCT 2012
Fuente: www.SegurInfo.org
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi
25 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
25 OCT 2012
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi
26 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
26 OCT 2012
http://www.segurinfo.org/detalle.php?a=segurinfo-espana-2012&t=39&d=166
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi
27 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
27 OCT 2012
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi
2 hilos: -Economía de la Seguridad - Ciberseguridad
iTTi | Instituto de Tendencias en Tecnologías e Innovación
Un FORO para la INVESTIGACIÓN y la REFLEXIÓN [I]nformación
[F]ormación
[O]pinión
[R]ecomendación
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi
29 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
29 OCT 2012
4h. Otro Más
‘Apocalípticos’
Ap. B. Falta consenso
Expertos en ciberseguridad advierten del
peligro de volver a una época romántica,
sin energía, sin autos, sin trenes...
“… dos expertos en ciberseguridad de la talla de Eugene Kaspersky, presidente
ejecutivo de Kaspersky Lab , y del ex director de la Agencia de Seguridad Nacional de
Estados Unidos, Michael Hayden.”
28 de septiembre de 2012 http://www.nacionred.com/ciberdefensa/expertos-en-ciberseguridad-advierten-del-peligro-de-volver-a-una-epoca-romantica-sin-energia-sin-autos-sin-trenes
30 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
30 OCT 2012
“… as a doctrinal matter, the Pentagon has formally recognized cyberspace as a new domain in warfare . . . [which] has become just as critical to military operations as land, sea, air, and space.“ William J. Lynn, U.S. Deputy Secretary of Defense http://securityaffairs.co/wordpress/8765/intelligence/state-sponsored-attack-or-not-thats-the-question.html?goback=.gde_1870711_member_165007262
tierra
¿ciberespacio?
aire
mar
espacio LTC Greg Conti, Assistant Professor, USMA-WestPoint
Propone: USCyber, USArmy, USNavy , USAF
‘Beligerantes’
Ap. B. Falta consenso
31 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
31 OCT 2012
‘Negacionistas’ [Naysayers]
“… you can’t kill with Denial of Service attacks. … you can’t shut down the power grid through the internet.”
‘CYBERWAR NAYSAYER’ Google: about 20,900 results
Ap. B. Falta consenso
32 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
32 OCT 2012
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
33 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
33 OCT 2012
Andrea Zapparoli Manzoni (20120926, CYBER SECURITY Forum
Initiative -
CSFI http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=16688383
2&gid=1836487&commentID=96645448&trk=view_disc&ut=0WJneMXcjW-Bo1
[acerca de unos ataques DDoS a la Banca de
EEUU]
- this is definitely not cyber war (simply because
such a thing doesn't exist, like the Unicorn)
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
34 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
34 OCT 2012
SEGURINFO, Madrid,
20121121
“Unfortunately too many published assessments have favored sensationalism over careful analysis” “… few single foreseeable cyber-related events have the capacity to propagate onwards and become a full-scale ―global shock”. “A critical feature of any worthwhile analysis is discipline in the use of language”. “Cyber espionage is not ―a few clicks away from cyberwar, it is spying which is not normally thought of as ―war”.
‘Analistas- Objetivistas’
Ap. B. Falta consenso
35 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
35 OCT 2012
“By the same token a short-term attack by hacktivists is not cyberwar either”. “A pure cyberwar, that is one fought solely with cyber-weapons, is unlikely”. “On the other hand in nearly all future wars as well as the skirmishes that precede them policymakers must expect the use of cyberweaponry”. “… the Internet was designed from the start to be robust so that failures in one part are routed around…”
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
36 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
36 OCT 2012
“In terms of cyber attacks the one overwhelming characteristic is that most of the time it will be impossible for victims to ascertain the identity of the attacker – the problem of attribution. This means that a defense doctrine based on deterrence will not work. The most immediately effective action that governments can take is to improve the security standards of their own critical information systems.
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
37 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
37 OCT 2012
The report addressed web/email attacks. The techniques used bypass both signature and heuristic security means. I. Web 225% increase in web infections in last 6 months. 643/week now. Attacks vary by industry: Healthcare - 100% increase Financial Services - spike in April/May - from Latvia Technology - high volume - stable trend - target is Intellectual Property Energy/Utility - 60% increase - target is smart grid II. Email 56% increase in malicious email in last 6 months Two methods used: malicious links in email and email attachments. Links are growing faster. "Throw away*" domains are being used more - those used 1-10 times and discarded. This is to circumvent filters and black lists by domain. (*also known as Limited Use Domains/Crafted Domains) Attachments: increase in variance by type of attachment. Target vulnerabilities in serving applications. (Example: pdf/Abode)
Michael S Hines [email protected] <[email protected]>
"FireEye Advanced Threat Report - First Half 2012" Thesis of the report: Advanced attacks bypass traditional security like Firewalls, Intrusion Prevention, and Anti-virus.
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
38 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
38 OCT 2012
III. Files Filter and limit by type. Examine inbound for malicious content. Examine outbound for proprietary information. Many attacks are trying to obtain data more now. Files are being extracted using the HTTP (port:80) protocol - which is usually more open. IV. Some protective moves you can make. #1. User education regarding risks in email (links and attachments) and web sites (links). #2. Defense in depth - key - protecting not only the front door, but internal networks for the proper access controls (users/data paths) #3. Secure coding best practices (never trust user input - audit/examine/test/validate). (Example: a web site that queries a database: if the user enters a "*" and no check is made and the "*" is passed to SQL, the request is to return all rows in the table - a very easy exploit - and most likely not what you want to happen).
‘Negacionistas’ [Naysayers]
Ap. B. Falta consenso
39 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
39 OCT 2012
“We have met the enemy and he is us” Fuente: Walt Kelly . http://wiki.answers.com/Q/What_is_the_origin_of_the_phrase_'I_have_found_the_enemy_and_it_is_us'#ixzz264CPrYv4
Fuen
te h
ttp:
//2.
bp.b
logs
pot.c
om/_
JnCU
XFEd
Vus/
TObN
m8k
A-fI/
AAAA
AAAA
Buw
/CR3
Nld
AsfB
Q/s
1600
/6a0
0d83
41ca
4d95
3ef0
1348
1cb7
b9e9
70c-
800w
i.jpg
Fuen
te:
http:/
/dy6g
3i6a1
660s
.clou
dfron
t.net/
MeIr3
omw3
O31h
hBW
DqGF
qgJ
YAmc
/mt-8
9/wer
e-ins
pired
-ch
ristop
her-s
hann
ons-f
loral-
mens
wear
-mak
eup.j
pg
y –al final-, ¡ la verdad !
Ap. B. Falta consenso
40 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
40 OCT 2012
Ciberinseguridad: un enfoque tridimensional simplificado, de iTTi
Motivación
Ámbito Duración
guerra mundial guerra ofensiva guerra defensiva (1) batallas (2) codicia – crimen organizado codicia – sicarios / autónomos vandalismo – odio – ideología – sabotaje curiosidad – ego (script kids, hackers)
larga duración permanente continua alta frecuencia ocasional
estados – países – organizaciones - bloques masivo (regional, nacional) infraestructuras críticas sectores industriales / regiones personas - empresas – organismos (3) (4)
Copy
right
© 2
012
by M
anue
l Pal
ao ,
Mig
uel G
arcí
a-M
enén
dez,
e iT
Ti
(*) http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/MaaS
Ap. C. Faltan marcos y Métricas
41 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
41 OCT 2012
Ciberinseguridad: un enfoque ampliado de 5 dimensiones, de iTTi
Motivación
Duración
Interiorización Ciberdependencia
Copy
right
© 2
012
by M
anue
l Pal
ao ,
Mig
uel G
arcí
a-M
enén
dez,
e iT
Ti Fortaleza/Poder Tecnológico vs. Inercia/Exceso de confianza
De la GUERRA ELECTRÓNICA a la CIBERGUERRA La TECNIFICACIÓN como AMENAZA
National Cyber Strength = f(cyberoffensiveness, cyberdependency, cyberdefensiveness) Concienciación Formación Imputabilidad Madurez cívica National Accountability
Ámbito
A M B
Ap. C. Faltan marcos y Métricas
Cyber Power Index
42 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
42 OCT 2012
Ap. D. Algunas referencias
43 Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países 6ENISE -iTTi-
© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
43 OCT 2012
Fuente: iTTi
Mapeo de Alto Nivel DHS-ITS-EBK 2008 ↔ COBIT 5 Security (2012)
Ap. E. Mapeo EBK-C5IS