Retos de la seguridad en la modernización de las Administraciones Públicas: Experiencias en otros países (Spanish)

© Copyright 2012, iTTi, Innovation & Technology Trends Institute / Instituto de Tendencias en Tecnologías e Innovación.
Manolo PALAO, CGEIT, CISA, CISM
23 OCT 2012
Taller T12: Retos de la Seguridad en la Modernización de las AA PP
Experiencias en otros países

2
Retos de la Seguridad en la Modernización de las AA PP
6ENISE -iTTi-
2OCT 2012
AGRADECIMIENTOS PROFESIONALES: Agradezco las críticas y contribuciones a esta presentación
realizadas por MIGUEL GARCÍA-MENÉNDEZ y EDUARDO RODRÍGUEZ RINGACH, de iTTi; y por Usuaria. Sin
embargo, la responsabilidad por mis opiniones es exclusivamente mía.
Introducción
Esta presentación tiene lugar por invitación de INTECO – 6ENISE a Usuaria
– organizadora de Segurinfo MAD 2012- y por mi designación por Usuaria para ello.
Agradezco invitación y designación y procuraré presentarles en estos 20 minutos alguna
información y reflexión sobre el tema que nos ocupa.
Las informaciones, he procurado documentarlas en las páginas de la presentación y en los
apéndices, que no se presentarán; las reflexiones y opiniones son exclusivamente mías y
no vinculan en modo alguno a Usuaria ni a iTTi.
Apéndice A

3
6ENISE -iTTi-
3OCT 2012
Una presentación muy simplificada
Fuente:http://teacherweb.craven.k12.nc.us/TPE/kindergarten/images/2A90C21B963545C1B3634CB0EE89A110.jpg
Taller T12: Retos de la Seguridad en la Modernización de las AA.PP.

4
6ENISE -iTTi-
4OCT 2012
1 Ciberseguridad ⊂ Seguridad TI ⊂ Seguridad
2 Ciberseguridad y Modernización AAPP
3 Ciberseguridad: Faltan Marcos y Métricas, y Falta Consenso
4 Experiencias de Algunos Otros Países
• Final
EEUU
México
Argentina
Brasil
Chile
Colombia
Venezuela
Otros
Apéndice A. Antecedentes: Usuaria, Segurinfo, iTTi
Apéndice B. Falta consenso
Apéndice C. Faltan marcos y Métricas
Apéndice D. Algunas referencias
Apéndice E. Mapeo EBK-C5IS
Esquema

5
6ENISE -iTTi-
5OCT 2012
1. El continuo: Seguridad - Ciberseguridad –
– Ciberinseguridad – Ciberguerra
Fuente:
http://dy6g3i6a1660s.cloudfront.net/MeIr3omw
3O31hhBWDqGFqgJYAmc/mt-89/were-
inspired-christopher-shannons-floral-
menswear-makeup.jpg
 La Ciberseguridad es un subconjunto de la Seguridad TI
y ésta de la Seguridad.
 Se habla mucho de Ciberseguridad y mucho de
Ciberguerra
La Ciberguerra está de moda
La ‘moda’ atrae titulares y depende de muchos
intereses
 Falta consenso: de … Apocalípticos… a … Negacionistas
 Ciberseguridad ,Ciberguerra y Ciberpaz se están tratando
de forma incompleta
Faltan conceptos claros, marcos y métricas
Faltan –al menos- gobernanza y divulgación
Fuente: http://poppyonakite.com/wp-content/uploads/2012/02/blt.jpg
⊂

6
6ENISE -iTTi-
6OCT 2012
2. Ciberseguridad y Modernización de las AA PP
 más interfaz, más detallado y próximo (sobre todo área local); pero además
ubicuidad
 más ‘ciudadanos – clientes’ (no ‘súbditos – usuarios’)
 más transacciones
 ‘big data’
 más transparencia, trazabilidad, identificación
 más exigencias de trato más personal (ojo: robots en servicios: Santander)
 menor tiempo respuesta
 mayor libertad de horario
 menos garantismo y regulación
 más vocación de servicio
 menos coste
DERECHO de acceso EIT
Ley 11/2007, de 22 de
junio, de acceso electrónico
de los ciudadanos a los
Servicios Públicos

7
6ENISE -iTTi-
7OCT 2012
3a. Ciberseguridad: Faltan Marcos y Métricas, y Falta Consenso
Apéndice B
Fuente; http://www.securityweek.com/industrialization-hacking-new-era-it-security

8
6ENISE -iTTi-
8OCT 2012
3b. Ciberseguridad: Faltan Marcos y Métricas
Cyber Power Index
Apéndice C

9
6ENISE -iTTi-
9OCT 2012
3c. Cyber Power Index
http://www.cyberhub.com/
4 categorías:
• marco legal y regulatorio del ciberespacio,
• contexto económico y social,
• infraestructura tecnológica y
• aplicación en los sectores clave de la economía.
40 subíndices:
o participación del Estado en el desarrollo del
ciberespacio, nivel de desarrollo de las políticas
de protección en internet,
o nivel de censura,
o nivel de penetración de las innovaciones en el
mundo empresarial,
o apertura del comercio,
o gasto en tecnología de la información,
o calidad de las tecnologías utilizadas,
o desarrollo del gobierno electrónico, etc.
http://la.rusiahoy.com/articles/2012/01/23/sin_el_plan_nacional_de_ciberseguridad_14206.html
¿dónde está España?
 ¡ No en G20 !
Cyber Power Index (Índice de Ciberpotencia)
The Economist, con Booz Allen Hamilton. G20 - EU.
23 de enero de 2012
http://la.rusiahoy.com/articles/2012/01/23/sin_el_plan_nacional_de_ciberseguridad_14206.html
1|19 RU
2|19 EEUU
3|19 AUS
10|19 BRA
13|19 CHINA
14|19 RUSIA
Ojo a
Commonwealth

10
6ENISE -iTTi-
10OCT 2012
Fuente: http://securityaffairs.co/wordpress/8765/intelligence/state-sponsored-attack-or-not-thats-the-question.html?goback=.gde_1870711_member_165007262
3d. La realidad empírica
Ciber-’activismo’
Delito
Espionaje
Guerra
Pierluigi Paganini
?
Stuxnet, Fame, Gauss…

11
6ENISE -iTTi-
11OCT 2012
4a. Otros Países: EEUU
 NIST - SP 800-12.pdf [1995]
 NIST - SP 800-xx.pdf
 iniciativa “A Call to Action” (“Information Security Management and Assurance: A
Call to Action for Corporate Governance”), nacida a partir de un encuentro público-
privado, en La Casa Blanca, en febrero de 2000, durante la Administración Clinton.
 De ella nacería el concepto “Information Security Governance”, que quedaría
acuñado un año después, en febrero de 2001.
 publicación de “The National Strategy to Secure Cyberspace”, en febrero de 2003,
en respuesta al 9/11.
http://www.cyberhub.com/CyberPowerIndex

12
6ENISE -iTTi-
12OCT 2012
4aa. Otros Países: EEUU
 DHS-ITS-EBK2008V1.3 ii.pdf
 Shoemaker & Conklin: Cybersecurity:
The Essential Body Of Knowledge 2012
 Shortage of certificates !!! “There is zero unemployment in IT security, suggesting a
huge shortage of skills in the profession, says Hord Tipton, executive director of professional
certification body (ISC)2. [SET 2012] http://www.computerweekly.com/news/2240163010/Skills-shortage-means-no-unemployment-in-
IT-security-says-ISC2
 S. 2105: Cybersecurity Act of 2012 [FEB 2012] http://www.govtrack.us/congress/bills/112/s2105/text
 Senate blocks Cybersecurity Act [AGO 2012] http://www.zdnet.com/senate-blocks-cybersecurity-act-7000002051/
 “… cyber attacks are subject to international humanitarian
law and rules of war” http://www.armytimes.com/news/2012/09/dn-laws-of-war-apply-cyber-attacks-091812/
 La campaña nacional “NICE” (“National Initiative for
Cybersecurity Education”), actualmente en vigor [2008 - 2012].
http://csrc.nist.gov/nice/
“encompassing
kindergarten … and
vocational programs”
http://csrc.nist.gov/nice/aboutUs.htm
Comprehensive National
Cybersecurity Initiative
(CNCI) was established
by President Bush 2008.
Apéndice E

13
6ENISE -iTTi-
13OCT 2012
/
TIME, 12 OCT 2012 http://nation.time.com/2012/10/12/panetta-sounds-alarm-on-cyber-war-threat/
4ab. Otros Países: EEUU
“Defense Secretary Leon Panetta issued what he said is a “clarion call” Thursday
for Americans to wake up to the growing threat posed by cyber war”.
http://nation.time.com/2012/10/12/panetta-sounds-alarm-on-cyber-war-threat/#ixzz29I2tmMuO
“That’s one reason President Obama
designated October as National
Cybersecurity Awareness Month”.
http://www.dhs.gov/national-cyber-security-awareness-month

14
6ENISE -iTTi-
14OCT 2012
4b. Otros Países: México
 MÉXICO, ÚLTIMO LUGAR DE LA OCDE EN CIBERSEGURIDAD
México ocupa el último lugar en materia de ciberseguridad entre los países que
conforman la OCDE, va rezagado en la tipificación de delitos informáticos y no
cuenta con recursos humanos preparados (agentes del MP, policías investigadores y
jueces conocedores) para hacer frente a fraudes electrónicos, clonación de tarjetas,
robo de base de datos, bloqueo de portales o jaqueo de cuentas de correo, entre
otros ilícitos de este tipo.
[Boletín UNAM-DGCS-090 Ciudad Universitaria. 11 FEB 2012]
http://www.dgcs.unam.mx/boletin/bdboletin/2012_090.html
38/38 !!!
http://www.oecd.org/about/membersandpartne
rs/

15
6ENISE -iTTi-
15OCT 2012
4c. Otros Países: Argentina
 “El Programa Nacional de Infraestructuras Críticas de Información y
Ciberseguridad, ICIC, fue creado por la Jefatura de Gabinete de Ministros,
dependiente de Presidencia de la Nación, en Julio de 2011.”
[18 JUL de 2012] http://blog.infobytesec.com/2012/07/programa-nacional-de-infraestructuras.html
http://www.cyberhub.com/CyberPowerIndex

16
6ENISE -iTTi-
16OCT 2012
4d. Otros Países: Brasil
 Brazilian Army to open a cyber-security centre [AUG 2011]
 Brazil’s critical information technology (IT) infrastructure new
mission for the country’s armed forces .
 Brazilian government said its IT infrastructure is composed of 320 large public
networks with more than 1 million users.
 [DEC 2008] Brazilian government published National Defense Strategy, three
sectors to considerably expand: cyber, nuclear and space.
http://www.cyberhub.com/CyberP
owerIndex
Fuente:http://www.janes.com/products/janes/defence-security-
report.aspx?id=1065929940

17
6ENISE -iTTi-
17OCT 2012
4e. Otros Países: Chile
http://www.belt.es/noticiasmdb/home2_noticias.asp?id=12680

18
6ENISE -iTTi-
18OCT 2012
4f. Otros Países: Colombia
 LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA
[Versión aprobada JUL 2011]
Este documento busca generar lineamientos de política en ciberseguridad y
ciberdefensa orientados a desarrollar una estrategia nacional que contrarreste el
incremento de las amenazas informáticas que afectan significativamente
al país.
Adicionalmente, recoge los antecedentes nacionales e internacionales,
así como la normatividad del país en torno al tema.
 Colombia, primer país latinoamericano en adoptar estrategia de ciberseguridad
y ciberdefensa.
La iniciativa gubernamental busca proteger a la ciudadanía de los riesgos
informáticos, creando tres dependencias: el Grupo de Respuesta a Emergencias
Cibernéticas de Colombia (Colcert), el Comando Conjunto Cibernético de las
Fuerzas Militares y el Centro Cibernético Policial.
[OCT 2012]
 Guerra electrónica de "baja intensidad" contra las FARC http://m.eltiempo.com/mundo/la-fiscalia-de-
ecuador-entrego-a-expertos-copia-del-disco-duro-del-computador-de-raul-reyes/7859929/1/home
http://wsp.presidencia.gov.co/Prensa/2011/Julio/Paginas/20110714_06.aspx
http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260

19
6ENISE -iTTi-
19OCT 2012
4g. Otros Países: Venezuela
 CONATEL (Comisión Nacional de Telecomunicaciones) celebra este 17 de mayo
el Día Mundial de las Telecomunicaciones, con un evento …
 … la Asamblea Nacional, El Ministerio Público, El Tribunal Supremo de Justicia,
El Ministerio de Interior y Justicia, El Banco Industrial de Venezuela, el Seniat y
la Comunidad del Software Libre, entre otros, debatirán temas concernientes a
la ciberseguridad en nuestro país.
 Entre los temas que serán abordados en este evento están: Ciberseguridad en
Venezuela y otros países del mundo, los procedimientos legales existentes en la
nación para combatir los delitos informáticos, utilidad y aplicación de la
ciberseguridad en las instituciones del estado, y en las estrategias de seguridad
de las empresas venezolanas.
[17/05/2006] http://www.gobiernoelectronico.org/node/4735



20
6ENISE -iTTi-
20OCT 2012
 Argentina
 Chile
 Colombia
 Ecuador
 Perú
 Uruguay
4h. Otros Más

21
6ENISE -iTTi-
21OCT 2012
 'Research for a Secure Europe' [2004]
Grupo de Personalidades en el Campo de Investigación en Seguridad
http://www.src09.se/upload/External%20Documents/gop_en.pdf
 Estonian_ Cyber Security Strategy 2008-2013
 Finish_ National Information Security Strategy
 Cyber Security Strategy of the United Kingdom
 Cyber Security Strategy of the Czech Republic for the 2011-2015 period
 The _Dutch_ National Cyber Security Strategy
 Cyber Security Strategy for Germany
 Défense et sécurité des systèmes d'information Stratégie de la France
 The _Lithuanian_ Programme for the Development of e-Information Security
(Cyber Security) for 2011-201
http://www.enisa.europa.eu/
4i. Y Otros Países Más … … en este caso, Europeos,
porque nos han interesado
 Georgia, que no es estado-miembro de la UE, sufrió ataques combinados tierra-
ciber, con motivo de la invasión rusa de 2009.

23
6ENISE -iTTi-
23OCT 2012
Ap. A. Antecedentes: Usuaria, Segurinfo, iTTi

24
6ENISE -iTTi-
24OCT 2012
Fuente: www.SegurInfo.org

25
6ENISE -iTTi-
25OCT 2012

26
6ENISE -iTTi-
26OCT 2012
http://www.segurinfo.org/detalle.php?a=se
gurinfo-espana-2012&t=39&d=166

27
6ENISE -iTTi-
27OCT 2012
2 hilos:
-Economía de la Seguridad
- Ciberseguridad

info@ittrendsinstitute.org
iTTi | Instituto de Tendencias en Tecnologías e Innovación
Un FORO para la INVESTIGACIÓN y la REFLEXIÓN
[I]nformación
[F]ormación
[O]pinión
[R]ecomendación

29
6ENISE -iTTi-
29OCT 2012
4h. Otro Más
‘Apocalípticos’
Ap. B. Falta consenso
Expertos en ciberseguridad advierten del
peligro de volver a una época romántica,
sin energía, sin autos, sin trenes...
“… dos expertos en ciberseguridad de la talla de Eugene Kaspersky, presidente
ejecutivo de Kaspersky Lab , y del ex director de la Agencia de Seguridad Nacional de
Estados Unidos, Michael Hayden.”
28 de septiembre de 2012
http://www.nacionred.com/ciberdefensa/expertos-en-ciberseguridad-advierten-del-peligro-de-volver-a-una-epoca-romantica-sin-energia-sin-autos-sin-trenes

30
6ENISE -iTTi-
30OCT 2012
“… as a doctrinal matter, the Pentagon has formally
recognized cyberspace as a new domain in warfare . . .
[which] has become just as critical to military operations as
land, sea, air, and space.“
William J. Lynn, U.S. Deputy Secretary of Defense
http://securityaffairs.co/wordpress/8765/intelligence/state-sponsored-attack-or-not-thats-the-
question.html?goback=.gde_1870711_member_165007262
tierra
¿ciberespacio?
aire
mar
espacio
LTC Greg Conti,
Assistant Professor, USMA-WestPoint
Propone:
USCyber, USArmy, USNavy , USAF
‘Beligerantes’

31
6ENISE -iTTi-
31OCT 2012
‘Negacionistas’ [Naysayers]
“… you can’t kill with Denial of Service attacks.
… you can’t shut down the power grid through the internet.”
‘CYBERWAR NAYSAYER’ Google: about 20,900 results

32
6ENISE -iTTi-
32OCT 2012

33
6ENISE -iTTi-
33OCT 2012
Andrea Zapparoli Manzoni (20120926, CYBER SECURITY Forum
Initiative -
CSFI http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=16688383
2&gid=1836487&commentID=96645448&trk=view_disc&ut=0WJneMXcjW-Bo1
[acerca de unos ataques DDoS a la Banca de
EEUU]
- this is definitely not cyber war (simply because
such a thing doesn't exist, like the Unicorn)

34
6ENISE -iTTi-
34OCT 2012
SEGURINFO,
Madrid,
20121121
“Unfortunately too many published
assessments have favored
sensationalism over careful analysis”
“… few single foreseeable cyber-
related events have the capacity to
propagate onwards and become a full-
scale ―global shock”.
“A critical feature of any worthwhile
analysis is discipline in the use of
language”.
“Cyber espionage is not ―a few clicks
away from cyberwar, it is spying which
is not normally thought of as ―war”.
‘Analistas- Objetivistas’

35
6ENISE -iTTi-
35OCT 2012
“By the same token a short-term
attack by hacktivists is not cyberwar
either”.
“A pure cyberwar, that is one fought
solely with cyber-weapons, is
unlikely”.
“On the other hand in nearly all future
wars as well as the skirmishes that
precede them policymakers must
expect the use of cyberweaponry”.
“… the Internet was designed from the
start to be robust so that failures in
one part are routed around…”

36
6ENISE -iTTi-
36OCT 2012
“In terms of cyber attacks the one
overwhelming characteristic is that
most of the time it will be impossible
for victims to ascertain the identity of
the attacker – the problem of
attribution.
This means that a defense doctrine
based on deterrence will not work.
The most immediately effective action
that governments can take is to
improve the security standards of their
own critical information systems.

37
6ENISE -iTTi-
37OCT 2012
The report addressed web/email attacks. The techniques used bypass both signature
and heuristic security means.
I. Web
225% increase in web infections in last 6 months. 643/week now.
Attacks vary by industry:
Healthcare - 100% increase Financial Services - spike in April/May - from Latvia
Technology - high volume - stable trend - target is Intellectual Property
Energy/Utility - 60% increase - target is smart grid
II. Email
56% increase in malicious email in last 6 months
Two methods used: malicious links in email and email attachments. Links are growing
faster.
"Throw away*" domains are being used more - those used 1-10 times and discarded. This
is to circumvent filters and black lists by domain. (*also known as Limited Use
Domains/Crafted Domains)
Attachments: increase in variance by type of attachment. Target vulnerabilities in serving
applications. (Example: pdf/Abode)
Michael S Hines
mshines@purdue.edu
<083b01cd98d7$34dfdf90$9e9f9eb0$@purdue.edu>
"FireEye Advanced Threat Report - First Half 2012"
Thesis of the report: Advanced attacks bypass
traditional security like Firewalls, Intrusion
Prevention, and Anti-virus.

38
6ENISE -iTTi-
38OCT 2012
III. Files
Filter and limit by type. Examine inbound for malicious content.
Examine outbound for proprietary information.
Many attacks are trying to obtain data more now.
Files are being extracted using the HTTP (port:80) protocol - which is usually more
open.
IV. Some protective moves you can make.
#1. User education regarding risks in email (links and attachments) and web sites
(links).
#2. Defense in depth - key - protecting not only the front door, but internal networks
for the proper access controls (users/data paths)
#3. Secure coding best practices (never trust user input - audit/examine/test/validate).
(Example: a web site that queries a database: if the user enters a "*" and no check is
made and the "*" is passed to SQL, the request is to return all rows in the table - a very
easy exploit - and most likely not what you want to happen).

39
6ENISE -iTTi-
39OCT 2012
“We have met the enemy and he is us”
Fuente: Walt Kelly .
http://wiki.answers.com/Q/What_is_the_origin_of_the_phrase_'I_have_found_the
_enemy_and_it_is_us'#ixzz264CPrYv4
Fuentehttp://2.bp.blogspot.com/_JnCUXFEdVus/TObNm8kA-
fI/AAAAAAAABuw/CR3NldAsfBQ/s1600/6a00d8341ca4d953ef013481cb7b9e970c-800wi.jpg
Fuente:
http://dy6g3i6a1660s.cloudfront.n
et/MeIr3omw3O31hhBWDqGFqgJ
YAmc/mt-89/were-inspired-
christopher-shannons-floral-
menswear-makeup.jpg
y –al final-, ¡ la verdad !

40
6ENISE -iTTi-
40OCT 2012
Ciberinseguridad: un enfoque tridimensional simplificado, de iTTi
Motivación
Ámbito
Duración
guerra mundial
guerra ofensiva
guerra defensiva (1)
batallas (2)
codicia – crimen organizado
codicia – sicarios / autónomos
vandalismo – odio – ideología – sabotaje
curiosidad – ego (script kids, hackers)
larga duración
permanente
continua
alta frecuencia
ocasional
estados – países – organizaciones - bloques
masivo (regional, nacional)
infraestructuras críticas
sectores industriales / regiones
personas - empresas – organismos (3) (4)
Copyright©2012byManuelPalao,MiguelGarcía-Menéndez,eiTTi
(*) http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/MaaS
Ap. C. Faltan marcos y Métricas

41
6ENISE -iTTi-
41OCT 2012
Ciberinseguridad: un enfoque ampliado de 5 dimensiones, de iTTi
Motivación
Duración
Interiorización
Ciberdependencia
Copyright©2012byManuelPalao,MiguelGarcía-Menéndez,eiTTi
Fortaleza/Poder Tecnológico vs. Inercia/Exceso de confianza
De la GUERRA ELECTRÓNICA a la CIBERGUERRA
La TECNIFICACIÓN como AMENAZA
National Cyber Strength = f(cyberoffensiveness,
cyberdependency,
cyberdefensiveness)
Concienciación
Formación
Imputabilidad
Madurez cívica
National Accountability
Ámbito
A
M
B
Ap. C. Faltan marcos y Métricas
Cyber Power Index

42
6ENISE -iTTi-
42OCT 2012
Ap. D. Algunas referencias

43
6ENISE -iTTi-
43OCT 2012
Fuente: iTTi
Mapeo de Alto Nivel
DHS-ITS-EBK 2008 ↔ COBIT 5 Security (2012)
Ap. E. Mapeo EBK-C5IS

Retos de la seguridad en la modernización de las Administraciones Públicas: Experiencias en otros países (Spanish)

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (9)

Similaire à Retos de la seguridad en la modernización de las Administraciones Públicas: Experiencias en otros países (Spanish)

Similaire à Retos de la seguridad en la modernización de las Administraciones Públicas: Experiencias en otros países (Spanish) (20)

Plus de iTTi Innovation & Technology Trends Institute

Plus de iTTi Innovation & Technology Trends Institute (16)

Dernier

Dernier (20)