Sesión 243 Ciberdefensa y ciberseguridad Desafíos f emergentes g para los profesionales p p f de Gobierno de TI Jeimy J.
Views 334 Downloads 21 File size 2MB
Sesión 243 Ciberdefensa y ciberseguridad Desafíos f emergentes g para los profesionales p p f de Gobierno de TI Jeimy J. Cano, Ph.D, CFE Chief Information Security Officer Chief Information Security Officer Ecopetrol S.A COLOMBIA
Nota de advertencia •
La presentación que se desarrolla a continuación es producto del análisis de fuentes y estudios relacionados con ciberdefensa y ciberseguridad, y su aplicación en diferentes contextos.
•
Las ideas expresadas o detalladas en este documento corresponden y comprometen exclusivamente a su autor y NO representan la posición oficial de ECOPETROL S.A, ni de su grupo empresarial.
•
Las reflexiones y propuestas que se presentan en este documento son el resultado de un ejercicio académico para comprender y analizar con mayor profundidad los retos propios de la ciberseguridad y la ciberdefensa.
JCM-10/11 All rights reserved
2
Objetivos de la sesión • Revisar las nuevas amenazas a la gobernabilidad en el orden internacional donde la información es un valor crítico para las naciones y sus ciudadanos • Analizar los aspectos claves de la gobernabilidad relacionados con las infraestructuras de información crítica como activos estratégicos de la naciones • Proponer a COBIT y BMIS como marcos de entendimiento de la ciberdefensa y ciberseguridad en el contexto de una nación • Detallar algunos avances internacionales en temas de ciberdefensa y ciberseguridad y cómo los profesionales de gobierno de IT deben participar • Presentar recomendaciones para los profesionales de gobierno de TI para alinear sus iniciativas organizacionales con el riesgo sistémico relacionado con una eventual ciberguerra
JCM-10/11 All rights reserved
3
Agenda • • • • • • • • • • • •
Introducción El contexto digital social, móvil y en las nubes Amenazas emergentes para la ciberseguridad de las naciones Amenazas emergentes para la ciberseguridad de las naciones Entendiendo las infraestructuras de información críticas Revisando modelos de Ciberseguridad y Ciberdefensa Ciberseguridad y ciberdefensa: Convergencia de lo corporativo y los y ciberdefensa: Convergencia de lo corporativo y los retos de las naciones Avances y respuesta al riesgo global de inseguridad de la información COBIT y BMIS: Un vista sistémica y proactiva frente al reto de la COBIT y BMIS: Un vista sistémica y proactiva frente al reto de la inseguridad de la información a nivel global Repensando la agenda de los CIO: Nuevas reflexiones desde el gobierno de TI Ciber guerra: Proyecciones internacionales y tensiones emergentes Reflexiones finales Referencias
JCM-10/11 All rights reserved
4
Introducción • Desde 2000 se vienen presentando eventos a nivel internacional que han venido pasando desapercibidos, sin mayores análisis: – – – – – – – –
2000 * Negación ó del servicio de los sitios web de Yahoo, Ebay y CNN 2002 * Ataques masivos a 10 de los 13 DNS Root en el mundo 2007 * Ataque de denegación de servicio a la página de Naciones Unidas 2007 * Creación de software por parte de Al Qaeda para ataque electrónico – Electronic Jijad 2008 * Negación de servicio de todas las páginas gubernamentales del gobierno de Estonia 2008* Ciberespinonaje del Gobierno Chino a USA, Alemania y la India 2010 * China desarrolla ciberataque – utilizando vulnerabilidad de archivo PDF a Google 2011 * Ataque a RSA, utilizando ingeniería social avanzada al interior de la empresa dejando como resultado acceso a sistemas críticos y a detalles de su producto estrella SecureID.
JCM-10/11 All rights reserved
5
Contexto digital social, móvil y en las nubes
Tomado de: The Mobile Internet Report. Disponible http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf
JCM-10/11 All rights reserved
6
en:
Amenazas emergentes para la ciberseguridad de las naciones ANONYMOUS
STUXNET
http://en.wikipedia.org/wiki/File:Anonymous_at_Scientology_in_Los_Angeles.jpg
http://www.elviscortijo.com/2010/12/02/f‐prot‐responde‐todo‐sobre‐el‐gusano‐stuxnet/
APT http://1.bp.blogspot.com/_uPjnJbuvt5I/TVBZfqYGUwI/AAAAAAAAADo/XPdSBjnK_fE/s1600/Damballa+APT_Graphics‐1.png
JCM-10/11 All rights reserved
7
Amenazas emergentes para la ciberseguridad de las naciones
http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf
JCM-10/11 All rights reserved
8
Amenazas emergentes para la ciberseguridad de las naciones
JCM-10/11 All rights reserved
9
Entendiendo las infraestructuras de información críticas
http://www.itu.int/osg/csd/cybersecurity/gca/global_strategic_report/chapter_2.html
JCM-10/11 All rights reserved
10
Entendiendo las infraestructuras de información críticas
Tomado de: http://www.itu.int/ITU‐D/cyb/cybersecurity/docs/generic‐national‐framework‐for‐ciip.pdf
JCM-10/11 All rights reserved
11
Entendiendo las infraestructuras de información críticas
http://www.itu.int/osg/csd/cybersecurity/gca/global_strategic_report/global_strategic_report.pdf
JCM-10/11 All rights reserved
12
Revisando modelos de ciberseguridad y ciberdefensa Ciberseguridad
Ciber ataques, ciber crimen crimen
Procesos P
Desarrollo y aseguramiento de capacidades
Personas
Desarrollo y aseguramiento de prácticas
Riesgos, amenazas y vulnerabilidades
Tecnología
Protección y Gobierno de las TIC’s en una nación
JCM-10/11 All rights reserved
Ciberdefensa
13
Revisando modelos de ciberseguridad y ciberdefensa
Tomado de: DUTTA A y McCROHAN K (2002) Management’ss role in information Tomado de: DUTTA, A. y McCROHAN, K. (2002) Management role in information security in a cyber in a cyber economy. California Management Review. Vol.45. No.1. Fall. economy California Management Review Vol 45 No 1 Fall Pág.73
JCM-10/11 All rights reserved
14
Revisando modelos de ciberseguridad y ciberdefensa
T Tomado de: http://www.itu.int/osg/csd/cybersecurity/gca/new‐gca‐brochure.pdf d d htt // it i t/ / d/ b it / / b h df
JCM-10/11 All rights reserved
15
Revisando modelos de ciberseguridad y ciberdefensa
Tomado de: LIU, S. y ORMANER, J. (2009) From ancient fortress to modern cyberdefense. IEEE Security & Privacy. May/June.
JCM-10/11 All rights reserved
16
Revisando modelos de ciberseguridad y ciberdefensa
Tomado de: BALDWIN, A. y PAYFREYMAN, J. (2009) Ciber defense. Understanding and combating the threat. IBM Report.
JCM-10/11 All rights reserved
17
Revisando modelos de ciberseguridad y ciberdefensa Adaptación Resiliencia
Conocimiento
Visión
Ciberdefensa Memoria y Aprendizaje
Regulación Capacidad de Respuesta Capacidad de Respuesta Disuación
JCM-10/11 All rights reserved
18
Ciberseguridad y ciberdefensa: Convergencia de lo corporativo y los retos de las naciones p y
País Gobierno Supervisión y control Servicios públicos p TIC’s Edificaciones Resiliencia del País http://public dhe ibm com/common/ssi/ecm/en/buw03007usen/BUW03007USEN PDF http://public.dhe.ibm.com/common/ssi/ecm/en/buw03007usen/BUW03007USEN.PDF
JCM-10/11 All rights reserved
19
Avances y respuesta al riesgo global de inseguridad de la información Measures for for protection Measures for threat detection Provide basis for additional actions
Forensics & Provide heuristics analysis basis for
Real‐time data availability
Provide data for analysis
Stored event data availability Identity Management
actions
Measures Measures for threat response
Reputation Reputation sanctions Patch development
Blacklists Bl kli & whitelists Vulnerability notices
Encryption/ VPNs esp. for signalling Resilient infrastructure
Routing & resource constraints
Deny resources Provide awareness of vulnerabilities and remedies
Network/ application state & integrity
Tomado de: Rutkowski, T. (2010) Application of CYBEX (Cybersecurity Information Exchange) techniques to future networks.Presentación k ó PPT. ITU Meeting.
JCM-10/11 All rights reserved
20
COBIT y BMIS: Un vista sistémica y proactiva frente al reto de la inseguridad de la información a nivel global g g Modelo de Negocio para la Seguridad de la Información – Modelo Sistémico
Habilitadores de COBIT 5 – Modelo Sistémico JCM-10/11 All rights reserved
21
COBIT y BMIS: Un vista sistémica y proactiva frente al reto de la inseguridad de la información a nivel global g g CAPACIDAD
Ciberdefensa Soporta
Desarrolla
PRÁCTICAS
Ciberseguridad Articula
Define
Modelo de Negocio para la seguridad de la información
Interconexiones Dinámicas Utiliza
Habilitadores de COBIT5
Vista Analítica
Apalanca
Habilitadores para la acción
Vista diagnóstico
JCM-10/11 All rights reserved
22
Repensando la agenda de los CIO: Nuevas reflexiones desde el gobierno de TI g • Who is responsible for developing and maintaining our cross‐functional approach to cybersecurity? To what extent are business leaders (as opposed to IT or risk executives) owning this issue? • Which information assets are most critical, and what is the “value at stake” in the event of a breach? What promises—implicit or explicit—have we made to our customers and partners to protect their information? What roles do cybersecurity and trust play in our customer value proposition and trust play in our customer value proposition—and and how how • What roles do cybersecurity do we take steps to keep data secure and support the end‐to‐end customer experience? • How are we using technology, business processes, and other efforts to protect our critical information assets? How does our approach compare with that of our peers and b best practices? i ? • Is our approach continuing to evolve, and are we changing our business processes accordingly? • Are we managing our vendor and partner relationships to ensure the mutual protection g g p p p of information? • As an industry, are we working effectively together and with appropriate government entities to reduce cybersecurity threats? Tomado de: James Kaplan, Kaplan Shantnu Sharma, Sharma and Allen Weinberg. Weinberg 2011. 2011 Meeting the cybersecurity challenge. Mckinsey Quarterly. June. Disponible en: https://www.mckinseyquarterly.com/Business_Technology/Infrastructure/Meeting_the_cybersecurity_ challenge_2821
JCM-10/11 All rights reserved
23
Ciber guerra: Proyecciones internacionales y tensiones emergentes g
Datos e i f información ió
Riesgos, y amenazas y vulnerabilidades
Engaños y expectativas t ti
CIBER GUERRA CIBER GUERRA
JCM-10/11 All rights reserved
24
Ciber guerra: Proyecciones internacionales y tensiones emergentes g
Datos e información
Riesgos, amenazas y vulnerabilidades
Engaños y expectativas
CIBER GUERRA CIBER GUERRA
Computación en la nube
Computación Móvil Redes Sociales
Gobierno electrónico l ó i
http://www.redesociales.net/notas/14363/redes_sociales_iquest_acercan_o_alejan _a_las_personas
JCM-10/11 All rights reserved
25
Ciber guerra: Proyecciones internacionales y tensiones emergentes g
Datos e información
Riesgos, amenazas y vulnerabilidades
Engaños y expectativas
CIBER GUERRA CIBER GUERRA
Riesgos Tecnológicos sistémicos
Tecnologías Convergentes Personas Empoderadas
Infraestructura Cíi Crítica
http://www.redesociales.net/notas/14363/redes_sociales_iquest_acercan_o_alejan _a_las_personas
JCM-10/11 All rights reserved
26
Ciberseguridad y ciberdefensa: Iniciativas internacionales PAÍS
INICIATIVA GUBERNAMENTAL
ALEMANIA
En febrero de 2011, el gobierno alemán lanzó su Estrategia de Seguridad Cibernética. En abril de 2011 el Ministerio del Interior puso en marcha el Centro Nacional de Ciberdefensa.
AUSTRALIA
CANADÁ
ESTADOS UNIDOS
ESTONIA
FRANCIA
COLOMBIA
Creó el Centro de Operaciones Cibernéticas que coordina las acciones estatales ante los incidentes ocurridos en el ciberespacio. El Departamento de Seguridad Pública implementó el Centro Canadiense de Repuesta a Incidentes Cibernéticos (CCIRC), y en octubre de 2010 adoptó la Estrategia Canadiense de Seguridad Cibernética. Creó un Centro de Ciber-Comando Unificado que depende de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), DHS: National Cyber Security Division, US-CERT: United States Computer Emergency Readiness Team y la oficina de Seguridad Cibernética de la Casa Blanca. En mayo de 2011 fue adoptada la Estrategia Internacional para el Ciberespacio. En 2008 creó conjuntamente con otros países de Europa, la OTAN y EE.UU. el Centro Internacional de Análisis de Ciber amenazas. En este mismo año es adoptada una Estrategia de Seguridad Cibernética. Creó la Agencia de Seguridad para las Redes e Información (ANSSI), que vigila las redes informáticas gubernamentales y privadas con el fin d defenderlas de d f d l d ataques de t cibernéticos. ib éti E febrero En f b d 2011 fue de f adoptada una Estrategia de Defensa y Seguridad de los Sistemas de Información.
Se publica el 14 de julio de 2011 oficialmente el documento del Consejo Nacional de Política Económica y Social relacionado con ciberseguridad y ciberdefensa. ciberdefensa
JCM-10/11 All rights reserved
27
Reflexiones finales 2010ss 2010
2020s 2020s
2030s 2030s
2040s 2040s
2050++ 2050
C Consolidación de Tecnologías Emergentes lid ió d T l í E t Cloud Computing, Computación móvil, Ecosistema tecnológico, Convergencia tecnológica, Web 3.0
S b Sobrecarga de Información d I f ió Redes sociales distribuidas, Cibercriminalidad en ambientes 3D, Transacciones interorganizacionales (Dinero electrónico)
Ciber ataques Crimen como servicio, fraude como servicio, APT, Ataques Día 0, Malware a la medida, Ciber‐armas, hacktivismo
¿Cuál será la probabilidad de que se materialice un conflicto internacional basado en armas f informáticas en un futuro cercano? JCM-10/11 All rights reserved
28
Referencias • • • • • • • • • • •
STANLEY MORGAN (2009) The Mobile Internet Report Report. Disponible en: http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf MCAFEE (2011) Mcafee Report. http://www.mcafee.com/us/resources/reports/rp‐quarterly‐threat‐q1‐ 2011.pdf CISCO ((2011)) Cisco securityy report. p http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf ITU (2008) Global strategic Report. http://www.itu.int/osg/csd/cybersecurity/gca/global_strategic_report/global_strategic_report.pdf IBM (2011) Business continuity and resilience services. http://public.dhe.ibm.com/common/ssi/ecm/en/buw03007usen/BUW03007USEN.PDF // / / / / / / SOMMER, P. y BROWN, I. (2011) Reducing systemic cybersecurity risk. OECD Project on Future global shocks. Disponible en: http://www.oecd.org/dataoecd/3/42/46894657.pdf DUTTA, A. y McCROHAN, K. (2002) Management’s role in information security in a cyber economy. California Management Review. Review Vol.45. Vol 45 No.1. No 1 Fall. Fall LIU, S. y ORMANER, J. (2009) From ancient fortress to modern cyberdefense. IEEE Security & Privacy. May/June BALDWIN, A. y PAYFREYMAN, J. (2009) Ciber defense. Understanding and combating the threat. IBM Report RUTKOWSKI T. RUTKOWSKI, T (2010) Application of CYBEX (Cybersecurity Information Exchange) techniques to future networks.Presentación PPT. ITU Meeting KAPLAN, J, SHARMA, S. y WEINBERG, A. (2011). Meeting the cybersecurity challenge. Mckinsey Quarterly. June. Disponible en: https://www.mckinseyquarterly.com/Business_Technology/Infrastructure/Meeting_the_cybersecurity_challe nge_2821
JCM-10/11 All rights reserved
29
¡ Muchas gracias por atender esta sesión ! Contacto: [email protected] Blog: http://insecurityit.blogspot.com
JCM-10/11 All rights reserved
30
JCM-10/11 All rights reserved
31
Sesión 243 Ciberdefensa y ciberseguridad Desafíos f emergentes g para los profesionales p p f de Gobierno de TI Jeimy J. Cano, Ph.D, CFE Chief Information Security Officer Chief Information Security Officer Ecopetrol S.A COLOMBIA