Este documento discute la seguridad cibernética y la colaboración digital. Resalta que los usuarios están más empoderados e hiperconectados, por lo que la seguridad es un problema de percepción. También destaca las tendencias hacia servicios basados en la nube, dispositivos inteligentes y aplicaciones simples. Finalmente, propone que los gobiernos deben facilitar la interacción y colaboración entre actores para mejorar la seguridad cibernética de forma cooperativa.
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
1. Usuarios empoderados e hiperconectados
Seguridad y colaboración en la era digital
Unidad de Modernización y Gobierno Digital
Ministerio Secretaría General de la Presidencia
Agostode 2013
Andrés Bustamante
Valenzuela
Director de Gobierno Digital
@abustamante_tic
2. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2
La seguridad como un problema de percepción…
3. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 33Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3
¿Por qué preocuparnos de la infraestructura TIC?
4. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 44
Gobierno Digital
El derecho a un servicio digno y eficiente
5. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 55
Situación Actual: Indigencia tecnológica
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 5
• Improvisación
• Poca tolerancia a fallos
• Inseguridad
• Miseria
6. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 66Gobierno de Chile | Ministerio Secretaría General de la Presidencia 6
¿cuál es nuestro “negocio”?
• Servicio confiable
• Apoyo tecnológico
• Ideas de mejora
• Disponibilidad
• Protección de
información
• Mejoramiento
condiciones de trabajo
¿gestionar datacenters?
7. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 77
¿Hacia donde van los servicios?
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 7
IaaS PaaS SaaS
8. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 88
Tecnologías de uso común
• Smart devices
– TV
– Computadores
– Moviles
– Tabletas
• Simplicidad de aplicaciones
– Preferencia de interfaces simples y
seguras para acceder a aplicaciones
o contenido
– Interfaz ubicua – web browser
HTML5
• Infraestructura flexible
– Cloud
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 8
9. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 99
Ciberataques tradicionales
• Web defacement
• Spam
• Spoofing
• Proxy Scan
• Denial of Service
• Distributed Denial of Service
• Malicious Codes
– Virus
– Bots
• Data Theft and Data Manipulation
– Identity Theft
– Financial Frauds
• Social engineering Scams
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 9
10. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1010
11. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1111
Tendencias en ciberataques
• Dispositivos móviles y apps
• Hacktivismo
• SEO poisoning
• Ingeniería social: software fake, phishing
• Advanced persistent Threat: espionaje
• Spear phishing
• Ataques internos
• Bring your own device
• Seguridad en la nube
• HTML5
• Botnets
• Targeted malware
• Social media
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 11
12. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1212
Fuentes de ciberataques
• Grupos de ataque
– Estados
– Cibercriminales organizados
– Hackers independientes
– Hacktivistas
• Botnets
– DDoS
– Spam
– Phishing
– Propagación de malware
• Toolkits de ataque
– Backtrack
– Metasploit
– Webs
– Google hacks
– Mejores herramientas que la ley!
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 12
13. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1313
La nube: Seguridad de aplicaciones web
• Todo lo buena que sea una aplicación da
lo mismo si se cae
• Uso de la nube y arquitecturas seguras
• Se pierde la confianza y eso NO SE
RECUPERA
• Es crítico en relación a las expectativas y
en particular en SaaS, donde el activo es la
información
• Por eso es tan importante el como se
construye
• MVC, Frameworks, ORM, etc, todo eso
ayuda a bajar riesgos
• A mas escalabilidad, se hace más crítico
• Top ten vulnerabilidades OWASP (open
web application security project)
14. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1414
Top 10 OWASP: Open Web Application Security
Project
• A1 Injection: Corresponde a las n de digo, siendo las
inyecciones SQL una de las s comunes
• A2 Broken Authentication and Session Management : Corresponde al
mal manejo de las sesiones en aquellas aplicaciones que utilizan
n
• A3 Cross-Site Scripting (XSS) : Ocurre cuando existe n pobre de la
n ingresada por el atacante.
• A4 Insecure Direct Object References: Puede derivar en un acceso no
autorizado a n tica debido a errores en el o o desarrollo
• A5 Security Misconfiguration: Corresponde a configuraciones no
adecuadas que pueden impactar en la seguridad de la propia n
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 14
15. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1515
Continuación
• A6 Sensitive Data Exposure: Se refiere a la n incorrecta de datos
ticos tales como, por ejemplo, meros de tarjetas de dito,
as, entre otros
• A7 Missing Function Level Access Control: Corresponde a la falta de
controles desde el servidor, permitiendo a un posible atacante acceder a
funciones a las que no a
• A8 Cross-Site Request Forgery (CSRF): Permite a un atacante generar
peticiones sobre una n vulnerable a partir de la n de la
ctima
• A9 Using Known Vulnerable: Corresponde a la n de as,
frameworks y otros componentes vulnerables por parte de un atacante
con el fin de obtener acceso o combinar con otros ataques
• A10 Unvalidated Redirects and Forwards: Los atacantes aprovechan el
uso de redirecciones de sitios web a otros sitios utilizando n no
confiable (untrusted) para redirigir a las ctimas a sitios de phishing o
que contienen malware
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 15
16. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 1616
Quienes se ven afectados
• Gobierno
• Industria
• Consumidores finales
• Comunidades
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 16
17. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 17
Redes sociales y flujo de información
• Difusión a alta
velocidad, alto
volumen
• Magnifica efecto de
prensa porque es de
dos vías
• Produce
involucramiento
• Colaboración social
• Ilusión de veracidad
18. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 18
Ciberataque social
• Conflicto hindú / musulman
• Ataque 2012 Assam
• Información de nuevos
ataques
• Textos y fotografías
• Spreading por redes
sociales
• Hate crowd
• Confiabilidad del medio
social, efecto bandwagon
• Lentitud de autoridades
• Fuente de desinformación
19. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 19
Usos de comunicacion social
20. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2020
21. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2121
http://www.eset-
la.com/pdf/prensa/informe/arma_infalible_ingenieria_socia
22. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 22
Tipos de ataques sociales
• Premeditados
• Oportunistas
• Tipos de medios
• Twitter
• Facebook
• Mms
• Morphed images
• Sacar provecho de
descuido en
privacidad
• Malware oportunista
• Necesidad de uso
herramientas de
monitoreo
23. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 23
Framework de atribución en seguridad
• Modos
• Identificación
• Auditoría
• ECHELON?
• Problemas
• Problema de costos
• Neutralidad de la red y
Efecto SOPA
• Enmascaramiento en la red
• Centralización aumenta
vulnerabilidad
• Fragmentación de la
red, silos de seguridad
24. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 24
Internet como bien común
• Pasto como "unidad de
recurso"
• Recursos rivales
• Aumento de unidades de
recurso a medida que
aumentan los actores
• Principio de exclusión
• Baja sustractabilidad y
alta exclusión
• Dos tipos de amenazas
• Penetración
• Negación de acceso
25. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 25
Tragedia de los bienes comunes
• Derechos de propiedad
• Autoridad centralizada
• Establecimiento de
reglas
orgánicas, bottom up
• Mayor
sustentabilidad
• Ejemplo open
source
• Grupos de personas
tienden a regularse
• Seguridad desde la
anonimicidad
26. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 26
El virus conflicker
• Virus inteligente
expandido en miles de
sistemas
• Grupo de expertos en
ciberseguridad, ongs e
industria
• Coordinación a través de
la web
• Uso de foros y grupos de
hackers
• Autoridades fueron mas
lentas
• El virus aprovechó la red
para esparcirse, la cura
también
27. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 27
Caso ushahidi
28. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 28
Colaborar para segurizar
• Autoridades como
facilitadores de interacción
• Psicología de grupos
• Identificacion colectiva
• Reputación y recompensa
social
• Incentivos
• Awareness sobre
protección
• Colaboración internacional
29. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 2929
Campañas para todos los usuarios
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 29
30. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3030
Campañas simples pero efectivas
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 30
31. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3131
CERT como alternativa?
• Computer Emergency
Response Team
• Equipo de personas dedicado
a la implantación y gestión de
medidas tecnológicas con el
objetivo de mitigar el riesgo
de ataques contra los
sistemas de la comunidad a la
que se proporciona el servicio
• Pueden coordinarse entre sí
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 31
32. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3232
Tipos de CERT
• Académicos
• Comercial
• Gubernamental
• Interno
• Información y
comunicaciones
• Militar
• Nacional
• Pyme
• Soporte
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 32
33. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3333
Experiencia en Chile
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 33
34. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3434
CERTs Internacionales
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 34
Alemania, Argentina, Australia, Bélgica, Brasil, Br
unei, Canadá, Chile, China, Corea del
Sur, Dinamarca, El
Salvador, Eslovenia, España, Estados
Unidos, Filipinas, Finlandia, Francia, Holanda, Ho
ng
Kong, Hungría, India, Indonesia, Japón, Lituania,
Malasia, México, Nueva
Zelanda, Noruega, Polonia, Qatar, Rusia, Singapur
, Suecia, Tailandia, Turquía, Reino Unido y
Vietnam
35. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3535
CERT como herramienta colaborativa
• Gobierno puede funcionar como
articulador y facilitador
• Protección del bien común como
motivación
• Garantía de anonimicidad de
actores
• Integración de toda la
comunidad
• Generación de awareness a la
ciudadanía
• Utilización de herramientas
comunes de colaboración
• El que no quiere subirse, no
tiene interés por el bien común
Gobierno de Chile | Ministerio Secretaría General de la Presidencia 35
36. Gobierno de Chile | Ministerio Secretaría General de la Presidencia 3636
Andrés Bustamante Valenzuela
Director de Gobierno Digital
@abustamante_tic
Muchas Gracias, más info en:
http://www.modernizacion.gob.
cl