Sesin 243 Sesin 243

Ciberdefensa yciberseguridad
Desafos emergentes para losprofesionales deGobierno deTI f g p p f
Jeimy J.Cano,Ph.D,CFE
Chief Information Security Officer ChiefInformationSecurityOfficer
Ecopetrol S.A
COLOMBIA
Notadeadvertencia
La presentacin que se desarrolla a continuacin es producto del
anlisis de fuentes y estudios relacionados con ciberdefensa y y y
ciberseguridad, y su aplicacin en diferentes contextos.
Las ideas expresadas o detalladas en este documento corresponden Las ideas expresadas o detalladas en este documento corresponden
y comprometen exclusivamente a su autor y NO representan la
posicin oficial de ECOPETROL S.A, ni de su grupo empresarial.
Las reflexiones y propuestas que se presentan en este documento
son el resultado de un ejercicio acadmico para comprender y
analizar con mayor profundidad los retos propios de la analizar con mayor profundidad los retos propios de la
ciberseguridad y la ciberdefensa.
J CM-10/11 All rights reserved 2
Objetivosdelasesin
Revisar las nuevas amenazas a la gobernabilidad en el orden
internacional donde la informacin es un valor crtico para las
naciones y sus ciudadanos
Analizar los aspectos claves de la gobernabilidad relacionados con las
infraestructuras de informacin crtica como activos estratgicos de
la naciones la naciones
Proponer a COBIT y BMIS como marcos de entendimiento de la
ciberdefensa y ciberseguridad en el contexto de una nacin
Detallar algunos avances internacionales en temas de ciberdefensa y Detallar algunos avances internacionales en temas de ciberdefensa y
ciberseguridad y cmo los profesionales de gobierno de IT deben
participar
Presentar recomendaciones para los profesionales de gobierno de TI
para alinear sus iniciativas organizacionales con el riesgo sistmico
relacionado con una eventual ciberguerra
J CM-10/11 All rights reserved 3
Agenda Agenda
Introduccin
Elcontextodigitalsocial,mvilyenlasnubes
Amenazas emergentes para la ciberseguridad de las naciones Amenazasemergentesparalaciberseguridad delasnaciones
Entendiendolasinfraestructurasdeinformacincrticas
RevisandomodelosdeCiberseguridad yCiberdefensa
Ciberseguridad y ciberdefensa: Convergencia de lo corporativo y los Ciberseguridad yciberdefensa:Convergenciadelocorporativoylos
retosdelasnaciones
Avancesyrespuestaalriesgoglobaldeinseguridaddelainformacin
COBIT y BMIS: Un vista sistmica y proactiva frente al reto de la COBITyBMIS:Unvistasistmicayproactivafrentealretodela
inseguridaddelainformacinanivelglobal
RepensandolaagendadelosCIO:Nuevasreflexionesdesdeel
gobiernodeTI
Ciber guerra:Proyeccionesinternacionalesytensionesemergentes
Reflexionesfinales
Referencias
J CM-10/11 All rights reserved 4
Introduccin Introduccin
Desde 2000 se vienen presentando eventos a nivel internacional
que han venido pasando desapercibidos, sin mayores anlisis:
* 2000 * Negacin del servicio de los sitios web de Yahoo, Ebay y CNN
2002 * Ataques masivos a 10 de los 13 DNS Root en el mundo
2007 * Ataque de denegacin de servicio a la pgina de Naciones Unidas
2007 * Creacin de software por parte de Al Qaeda para ataque electrnico
Electronic Jijad
2008 * Negacin de servicio de todas las pginas gubernamentales del
gobierno de Estonia gobierno de Estonia
2008* Ciberespinonaje del Gobierno Chino a USA, Alemania y la India
2010 * China desarrolla ciberataque utilizando vulnerabilidad de archivo
PDF a Google PDF a Google
2011 * Ataque a RSA, utilizando ingeniera social avanzada al interior de la
empresa dejando como resultado acceso a sistemas crticos y a detalles de su
producto estrella SecureID.
J CM-10/11 All rights reserved 5
Contexto digitalsocial,mvil yenlas nubes
J CM-10/11 All rights reserved 6
Tomado de: The Mobile Internet Report. Disponible en:
http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf
Amenazasemergentesparalaciberseguridad delas
naciones
STUXNET
ANONYMOUS
http://en.wikipedia.org/wiki/File:Anonymous_at_Scientology_in_Los_Angeles.jpg
http://www.elviscortijo.com/2010/12/02/fprotrespondetodosobreelgusanostuxnet/
APT
J CM-10/11 All rights reserved 7
http://1.bp.blogspot.com/_uPjnJbuvt5I/TVBZfqYGUwI/AAAAAAAAADo/XPdSBjnK_fE/s1600/Damballa+APT_Graphics1.png
APT
Amenazasemergentesparalaciberseguridad delas
naciones
J CM-10/11 All rights reserved 8
http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf
Amenazasemergentesparalaciberseguridad delas
naciones
J CM-10/11 All rights reserved 9
Entendiendolasinfraestructurasdeinformacincrticas
J CM-10/11 All rights reserved 10
http://www.itu.int/osg/csd/cybersecurity/gca/global_strategic_report/chapter_2.html
Entendiendolasinfraestructurasdeinformacincrticas
J CM-10/11 All rights reserved 11
Tomadode:http://www.itu.int/ITUD/cyb/cybersecurity/docs/genericnationalframeworkforciip.pdf
Entendiendolasinfraestructurasdeinformacincrticas
J CM-10/11 All rights reserved 12
http://www.itu.int/osg/csd/cybersecurity/gca/global_strategic_report/global_strategic_report.pdf
Revisandomodelosdeciberseguridad yciberdefensa
Ciberseguridad Ciberseguridad
Ciber ataques,
ciber crimen
P
ciber crimen
Desarrollo y
aseguramiento de
Desarrollo y
aseguramiento de
capacidades capacidades
Tecnologa
Personas
Procesos
prcticas prcticas
Ciberdefensa Ciberdefensa
ProteccinyGobiernodelas ProteccinyGobiernodelas
TICs TICs enunanacin enunanacin
Riesgos,
amenazasy
vulnerabilidades
J CM-10/11 All rights reserved 13
Revisandomodelosdeciberseguridad yciberdefensa
Tomado de: DUTTA A y McCROHAN K (2002) Managements role in information security in a cyber economy California Management Review Vol 45 No 1 Fall
J CM-10/11 All rights reserved 14
Tomadode:DUTTA,A.yMcCROHAN,K.(2002)Management s roleininformation security inacyber economy.CaliforniaManagementReview.Vol.45.No.1.Fall.
Pg.73
Revisandomodelosdeciberseguridad yciberdefensa
T d d htt // it i t/ / d/ b it / / b h df
J CM-10/11 All rights reserved 15
Tomadode:http://www.itu.int/osg/csd/cybersecurity/gca/newgcabrochure.pdf
Revisandomodelosdeciberseguridad yciberdefensa
J CM-10/11 All rights reserved 16
Tomadode:LIU,S.yORMANER,J.(2009)From ancient fortress to modern cyberdefense.IEEESecurity&Privacy.May/June.
Revisandomodelosdeciberseguridad yciberdefensa
J CM-10/11 All rights reserved 17
Tomadode:BALDWIN,A.yPAYFREYMAN,J.(2009)Ciber defense.Understanding andcombating the threat.IBMReport.
Revisandomodelosdeciberseguridad yciberdefensa
Adaptacin
Visin
Resiliencia Resiliencia
Conocimiento Conocimiento
Ciberdefensa
Visin
Memoriay
Aprendizaje
Regulacin
Ciberdefensa
Capacidad de Respuesta CapacidaddeRespuesta
Disuacin Disuacin
J CM-10/11 All rights reserved 18
Ciberseguridad yciberdefensa:Convergenciadelo
corporativoylosretosdelasnaciones p y
Pas
Gobierno
Supervisinycontrol
Serviciospblicos
TICs
Edificaciones
p
http://public dhe ibm com/common/ssi/ecm/en/buw03007usen/BUW03007USEN PDF
Resiliencia del Pas
J CM-10/11 All rights reserved 19
http://public.dhe.ibm.com/common/ssi/ecm/en/buw03007usen/BUW03007USEN.PDF
Avancesyrespuestaalriesgoglobaldeinseguridaddela
informacin
Measures
for
Storedevent
Encryption/
VPNsesp.for
signalling
Resilient
infrastructure
Realtimedata
availability
for
protection
Measuresfor
threat
detection
data
availability
Identity
Management
Forensics&
heuristics
analysis
Provide
datafor
analysis
infrastructure
Routing&
resource
constraints
Bl kli
Measures
Provide
basisfor
additional
actions
Provide
basisfor
actions
Reputation
Deny
resources
Network/
application
state&
integrity
Blacklists
&
whitelists
Vulnerability
notices
Measures
forthreat
response
Patch
development
Reputation
sanctions
Provide
awarenessof
vulnerabilities
andremedies
Tomado de: Rutkowski, T. (2010) Application of CYBEX (Cybersecurity Information Exchange) techniques to future
k
J CM-10/11 All rights reserved 20
networks.Presentacin PPT. ITU Meeting.
COBITyBMIS:Unvistasistmicayproactivafrenteal
retodelainseguridaddelainformacinanivelglobal g g
Modelo deNegocio para laSeguridad dela
Informacin Modelo Sistmico
J CM-10/11 All rights reserved 21
Habilitadores deCOBIT5 Modelo Sistmico
COBITyBMIS:Unvistasistmicayproactivafrenteal
retodelainseguridaddelainformacinanivelglobal g g
Ciberdefensa
CAPACIDAD
Ciberseguridad
PRCTICAS
Soporta
Desarrolla
Modelo de
Negocio para la
seguridad dela
informacin
Interconexiones
Dinmicas
Articula Define
Habilitadores
Dinmicas
Apalanca Utiliza
deCOBIT5
Habilitadoresparala
accin
J CM-10/11 All rights reserved 22
Vistadiagnstico VistaAnaltica
RepensandolaagendadelosCIO:Nuevasreflexiones
desdeelgobiernodeTI g
Whoisresponsiblefordevelopingandmaintainingourcrossfunctionalapproachto
cybersecurity?Towhatextentarebusinessleaders(asopposedtoITorriskexecutives)
owningthisissue?
Whichinformationassetsaremostcritical,andwhatisthevalueatstakeintheevent
ofabreach?Whatpromisesimplicitorexplicithavewemadetoourcustomersand
partnerstoprotecttheirinformation?
What roles do cybersecurity and trust play in our customer value propositionand how Whatrolesdocybersecurity andtrustplayinourcustomervalueproposition andhow
dowetakestepstokeepdatasecureandsupporttheendtoendcustomerexperience?
Howareweusingtechnology,businessprocesses,andothereffortstoprotectour
criticalinformationassets?Howdoesourapproachcomparewiththatofourpeersand
b i ? bestpractices?
Isourapproachcontinuingtoevolve,andarewechangingourbusinessprocesses
accordingly?
Arewemanagingourvendorandpartnerrelationshipstoensurethemutualprotection g g p p p
ofinformation?
Asanindustry,areweworkingeffectivelytogetherandwithappropriategovernment
entitiestoreducecybersecurity threats?
Tomado de: J ames Kaplan Shantnu Sharma and Allen Weinberg 2011 Meeting the
J CM-10/11 All rights reserved 23
Tomado de: J ames Kaplan, Shantnu Sharma, and Allen Weinberg. 2011. Meeting the
cybersecurity challenge. Mckinsey Quarterly. J une. Disponible en:
https://www.mckinseyquarterly.com/Business_Technology/Infrastructure/Meeting_the_cybersecurity_
challenge_2821
Ciber guerra:Proyeccionesinternacionalesytensiones
emergentes g
Datose
i f i
Riesgos,
amenazasy
Engaosy
t ti informacin
y
vulnerabilidades
expectativas
CIBER GUERRA CIBERGUERRA
J CM-10/11 All rights reserved 24
Ciber guerra:Proyeccionesinternacionalesytensiones
emergentes g
Datose
informacin
Riesgos,
amenazasy
vulnerabilidades
Engaosy
expectativas
CIBER GUERRA CIBERGUERRA
Computacin
enlanube
Computacin
Mvil
Redes Sociales
Gobierno
l i
J CM-10/11 All rights reserved 25
http://www.redesociales.net/notas/14363/redes_sociales_iquest_acercan_o_alejan
_a_las_personas
electrnico
Ciber guerra:Proyeccionesinternacionalesytensiones
emergentes g
Datose
informacin
Riesgos,
amenazasy
vulnerabilidades
Engaosy
expectativas
CIBER GUERRA CIBERGUERRA
Riesgos
Tecnolgicos
sistmicos
Tecnologas
Convergentes
Personas
Empoderadas
Infraestructura
C i
J CM-10/11 All rights reserved 26
http://www.redesociales.net/notas/14363/redes_sociales_iquest_acercan_o_alejan
_a_las_personas
Crtica
Ciberseguridad yciberdefensa:Iniciativas
internacionales
PAS INICIATIVA GUBERNAMENTAL
ALEMANIA
En febrero de 2011, el gobierno alemn lanz su Estrategia de
Seguridad Ciberntica. En abril de 2011 el Ministerio del Interior
puso enmarcha el Centro Nacional de Ciberdefensa.
Cre el Centro de Operaciones Cibernticas que coordina las acciones
AUSTRALIA
Cre el Centro de Operaciones Cibernticas que coordina las acciones
estatales ante los incidentes ocurridos enel ciberespacio.
CANAD
El Departamento de Seguridad Pblica
implement el Centro Canadiense de Repuesta a Incidentes
Cibernticos (CCIRC), y en octubre de 2010 adopt la Estrategia
Canadiense de SeguridadCiberntica.
ESTADOS UNIDOS
Cre un Centro de Ciber-Comando Unificado que depende de la
Agencia de Seguridad Nacional (NSA, por sus siglas en ingls), DHS:
National Cyber Security Division, US-CERT: United States Computer
Emergency Readiness Teamy la oficina de Seguridad Ciberntica de la
Casa Blanca. En mayo de 2011 fue adoptada la Estrategia Internacional
para el Ciberespacio. para el Ciberespacio.
ESTONIA
En 2008 cre conjuntamente con otros pases de Europa, la OTAN y
EE.UU. el Centro Internacional de Anlisis de Ciber amenazas. En este
mismo ao es adoptada una Estrategia de SeguridadCiberntica.
FRANCIA
Cre la Agencia de Seguridad para las Redes e Informacin (ANSSI),
que vigila las redes informticas gubernamentales y privadas con el fin
d d f d l d t ib ti E f b d 2011 f FRANCIA de defenderlas de ataques cibernticos. En febrero de 2011 fue
adoptada una Estrategia de Defensa y Seguridad de los Sistemas de
Informacin.
COLOMBIA
Se publica el 14 de julio de 2011 oficialmente el documento del
Consejo Nacional de Poltica Econmica y Social relacionado con
ciberseguridad y ciberdefensa
J CM-10/11 All rights reserved 27
ciberseguridad y ciberdefensa.
Reflexiones finales
2010 2010s s 2020 2020s s 2030 2030s s 2040 2040s s 2050 2050+ +
C lid i d T l E t ConsolidacindeTecnologasEmergentes
CloudComputing,Computacinmvil,Ecosistema
tecnolgico,Convergenciatecnolgica,Web3.0
S b d I f i SobrecargadeInformacin
Redessocialesdistribuidas,Cibercriminalidad en
ambientes3D,Transaccionesinterorganizacionales
(Dineroelectrnico)
Ciber ataques
Crimencomoservicio,fraudecomoservicio,APT,AtaquesDa0,Malwarealamedida,Ciberarmas,hacktivismo
Culserlaprobabilidaddequesematerialiceun
f
J CM-10/11 All rights reserved 28
conflictointernacionalbasadoenarmas
informticasenunfuturocercano?
Referencias
STANLEY MORGAN (2009) The Mobile Internet Report Disponible en: STANLEY MORGAN (2009) The Mobile Internet Report. Disponible en:
http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf
MCAFEE (2011) Mcafee Report. http://www.mcafee.com/us/resources/reports/rpquarterlythreatq1
2011.pdf
CISCO (2011) Cisco security report. ( ) y p
http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf
ITU (2008) Global strategic Report.
http://www.itu.int/osg/csd/cybersecurity/gca/global_strategic_report/global_strategic_report.pdf
IBM (2011) Business continuity and resilience services.
// / / / / / / http://public.dhe.ibm.com/common/ssi/ecm/en/buw03007usen/BUW03007USEN.PDF
SOMMER, P. y BROWN, I. (2011) Reducing systemic cybersecurity risk. OECD Project on Future global shocks.
Disponible en: http://www.oecd.org/dataoecd/3/42/46894657.pdf
DUTTA, A. y McCROHAN, K. (2002) Managements role in information security in a cyber economy. California
Management Review Vol 45 No 1 Fall Management Review. Vol.45. No.1. Fall.
LIU, S. y ORMANER, J. (2009) From ancient fortress to modern cyberdefense. IEEE Security & Privacy.
May/June
BALDWIN, A. y PAYFREYMAN, J. (2009) Ciber defense. Understanding and combating the threat. IBM Report
RUTKOWSKI T (2010) Application of CYBEX (Cybersecurity Information Exchange) techniques to future RUTKOWSKI, T. (2010) Application of CYBEX (Cybersecurity Information Exchange) techniques to future
networks.Presentacin PPT. ITU Meeting
KAPLAN, J, SHARMA, S. y WEINBERG, A. (2011). Meeting the cybersecurity challenge. Mckinsey Quarterly.
June. Disponible en:
https://www.mckinseyquarterly.com/Business_Technology/Infrastructure/Meeting_the_cybersecurity_challe
nge_2821
J CM-10/11 All rights reserved 29
Muchasgraciaspor Muchasgraciaspor
atenderestasesin! atenderestasesin!
Contacto:
jjcano@yahoo.com
Blog:
http://insecurityit.blogspot.com
J CM-10/11 All rights reserved 30
J CM-10/11 All rights reserved 31
Sesin 243 Sesin 243
Ciberdefensa yciberseguridad
Desafos emergentes para losprofesionales deGobierno deTI f g p p f
Jeimy J.Cano,Ph.D,CFE
Chief Information Security Officer ChiefInformationSecurityOfficer
Ecopetrol S.A
COLOMBIA