Enlace al documento completo: https://goo.gl/fKLLA5
Presentación oficial del Plan Ciber Escudo, realizada el 3 de Octubre de 2017 en el Salón de Expresidentes de la Asamblea Legislativa de Costa Rica en apoyo a la Estrategia Nacional de Ciberseguridad. El Plan Ciber Escudo es una estrategia complementaria a la estrategia nacional enfocado en Ciberinteligencia y Ciberseguridad Nacional.
2. SEGURIDAD NACIONAL
PLAN CIBER ESCUDO
Ing. Esteban Jiménez Cabezas
Consultor Especialista en Ciberseguridad
2
Resultados evaluación
3. “La sensibilización pública (en Costa Rica) de la
seguridad cibernética es generalmente baja y la
sociedad toma pocas medidas para protegerse
de las amenazas cibernéticas…” Reporte BID-
OEA 2016, Are we prepared in Latin America?
4. CONTEXTO
• Este documento “Plan Ciber Escudo” es un
complemento a la Estrategia Nacional de
Ciberseguridad.
• La Estrategia Nacional está liderada por el
MICITT y su Viceministerio de
Telecomunicaciones con apoyo de la OEA
• La Estrategia indica que es fundamental el
apoyo de otros sectores para el
fortalecimiento y adecuada implementación
de la estrategia
• En Costa Rica es escaso el profesional
calificado en estrategia de ciberseguridad
5. ¿QUÉ MOTIVA
ESTE ESTUDIO?
La deber de cada ciudadano de apoyar al
gobierno en ser mejor cada día de manera
desinteresada y por solidaridad con los
sectores más vulnerables
Mis antepasados ex presidentes Jesús María
Ciriaco Jiménez Zamora (June 18, 1823 –
February 12, 1897) y Julio Acosta García (23
May 1872 – 6 July 1954) hubieran hecho lo
mismo.
Costa Rica pasa un momento en que los
especialistas calificados deben apoyar en el
avance del país.
6. ¿QUÉ ES ASEDI?
La Asociación de Especialistas en Seguridad
Digital de Costa Rica fue creada en 2015 a
partir de los talleres de la OEA para la
creación de la estrategia de ciberseguridad
nacional.
• La participación del sector social es
fundamental para la implementación
de la estrategia
• ASEDI se enfoca en incluir a todos los
interesados en la ciberseguridad del
país y agrupar una fuerza con los
principales especialistas disponibles
de esta área en el territorio nacional
• La asociación provee apoyo a los
diferentes sectores y promueve el
desarrollo sano de la cultura digital del
país.
8. OBJETIVOS ESTRATÉGICOS DE PLAN
CONSTRUIR Y
MANTENER
Una operación en el ciberespacio
MARCO DE
DEFENSA Y
MONITOREO
Infraestructura crítica nacional
RESPUESTA Y
PREDICCIÓN
De incidentes y conflictos
ALIANZAS
Nacionales e Internacionales
Principales ejes
10. PROBLEMAS DE CONSTRUCCIÓN Y
MANTENIMIENTO
En el sector público se identifican
instituciones como El Poder
Judicial, El Instituto de Electricidad
y El Banco Central entre las mejor
preparadas para afrontar un
incidente tecnológico.
01
Únicamente se identifica una
universidad privada con un
postgrado de Ciberseguridad,
ninguna universidad estatal
incorpora programas de educación
especializada o sensibilización
para asegurar el soporte al largo
plazo de una operación nacional
de ciberseguridad.
02
El ministerio de educación pública
MEP no cuenta con una estrategia
o recurso humano capacitado para
incluir temas relacionados a la
ciberseguridad desde edades
tempranas, por lo que se proyecta
un faltante en los próximos diez
años de recurso humano
calificado.
03
Actualmente no se menciona
claramente cual institución o
instituciones estarán a cargo de la
constante revisión, actualización y
cumplimiento de las normativas y
protocolos establecidos para la
ciberseguridad. Se hablan de roles
compartidos entre SUTEL, Escuela
Judicial, OIJ, MICITT, ARESEP pero
no se establecen las
responsabilidades de cada uno.
04
11. PROPUESTA PLAN CIBER ESCUDO
Creación del “Departamento (Agencia o Dirección)
de Ciberseguridad Nacional”
Órgano adscrito al Ministerio de la Presidencia en
línea con lo que sugiere la Línea estratégica 8.1 y
8.2 de la estrategia nacional.
Encargado de diseñar, impulsar, mantener y hacer
cumplir lo indicado por la estrategia nacional y
realizar una revisión del documento cada dos años
en conjunto con el Viceministerio de
Telecomunicaciones.
Ejemplo: Designar al coordinador nacional de la
estrategia. Dar seguimiento. Al estar adscrito al
ministerio de la presidencia el presidente es quien
nombra de manera directa al director de dicho
órgano y le da alta jerarquía de control.
Departamento
de
Ciberseguridad
Nacional (DCN)
Cumplimiento
Planeamiento
Educación
Integración
12. INICIATIVA PARA LA EDUCACIÓN EN EL CIBERESPACIO
En conjunto con el ente coordinador, la actual
comisión conformada por Viceministerio de
Telecomunicaciones y la integran
representantes del Ministerio de Educación
Pública, Ministerio de Cultura y Juventud,
Patronato Nacional de la Infancia, Poder
Judicial, SUTEL, CAMTIC, Fundación Omar
Dengo y Fundación Paniamor (Decreto Ejecutivo
Nº 36274-MICITT)
Ministerio de Educación (MEP), el Ministerio de Ciencia,
Tecnología y Telecomunicaciones (MICITT) y la
Superintendencia de Telecomunicaciones (SUTEL), Consejo
Nacional de Rectores (CONARE) / Oficina de Planificación de
la Educación Superior (OPES), Consejo Nacional de Enseñanza
Superior Universitaria Privada (CONESUP), Sistema Nacional
de Acreditación de la Educación Superior (SINAES) en
conjunto con otras organizaciones públicas, no
gubernamentales, privadas, académicas y de la sociedad civil,
utilizando los recursos del Fondo Nacional de
Telecomunicaciones (FONATEL).
“Iniciativa para la educación en el ciberespacio” en el Plan Ciber Escudo se
definen los actores, se pone nombre y orden a los encargados de la
educación en esta área
13. OTROS PUNTOS IMPORTANTES
Aumenta la mitigación de
vulnerabilidades conocidas y
desconocidas (zero day
vulnerabilities)
Recomienda dar inicio a un “site
survey” o ejercicio de
reconocimiento para establecer
la línea de seguridad básica con
la que cuenta Costa Rica
Gestionar las capacidades y
habilidades del personal activo
costarricense con la intención
de determinar las
oportunidades de mejora a
futuro de la fuerza laboral
Se debe retener en lo posible el
talento especializado del país,
personal altamente calificado o
de habilidades escazas.
Se recomienda la creación de
programas de intercambio entre
sectores públicos y privados y el
mercado internacional para
fomentar la generación de
talento de muy alto perfil
Proveer de equipamiento de
alta calidad para la construcción
de soluciones
interoperacionales escalables y
extendibles de ciber
capacidades.
Aceleración de la investigación y
el desarrollo de las actividades
relacionadas a la
ciberseguridad.
Establecer capacidades
urgentes de simulación de
incidentes.
14. OBJETIVO II
Marco de Defensa de la infraestructura crítica, aseguramiento de los datos, monitoreo y mitigación de riesgos
15. PROBLEMAS DE MARCO DE DEFENSA Y
MONITOREO
Costa Rica no tiene definido un marco
de seguridad de la información
general, por lo tanto al recaer este
diseño en cada institución la alta
diversidad de datos y estándares en
las instituciones públicas dificulta los
procesos de monitoreo y seguridad.
No se especifíca que es lo importante
para cada topología y no se cuenta
con un inventario actualizado de
activos informáticos general, siendo
esta otra tarea que recae en cada
institución su desarrollo y
administración.
No hay una institución encargada de
identificar, y priorizar en la defensa
de sectores de alto riesgo de nuestra
infraestructura crítica de red.
No se cuenta en el evento de un
ataque avanzado éxitoso con un
ambiente alternativo de contingencia
y recuperación donde se garantice la
comunicación entre los diferentes
centros de comando
En general el nivel de infraestructura
de defensa informática es muy
limitado, y no se contempla un plan
claro presupuestario para asegurar un
nivel adecuado de tecnología e
innovación.
Las figuras de ciberataque,
ciberespionaje y ciberterrorismo aún
no están contempladas como tal en
ningún plan de desarrollo.
No se habilita ningún protocolo de
comunicación público-público,
público-privado que asegure
coordinación en momentos de
emergencia
16. PROPUESTA PLAN CIBERESCUDO
Define con claridad el diseño del marco de defensa
Determina la necesidad de creación de infraestructura
de soporte para habilitar el Ambiente Único de
Seguridad de la Información (AUSI)
Divide la red nacional de manera apropiada y habilita
múltiples puntos de recuperación, contingencia y
redundancia de datos en caso de desastre
Habilita canales seguros de paso de información entre
altos oficiales e instituciones
Define como obligatoria la definición de protocolos
para colaboración público-público y público-privado
Determina como de importancia alta la creación de
capas de protección contra las figuras de los
ciberataques, el ciberterrorismo y el ciberespionaje las
cuáles no están contempladas en la estrategia actual.
17. PLAN DE DEFENSA Y RESISTENCIA DE REDES
Identificar y realizar un planeamiento efectivo de
toda la red que de soporte a las actividades clave
de la seguridad nacional, industria y gobierno.
Priorizar activos críticos, zonas de alto riesgo
realizar ejercicios y simulacros constantes de
defensa
Creación, actualización y vigilancia de los planes de
continuidad y recuperación del negocio de cada
institución registrada.
Establecimiento de un equipo especial de defensa
y emergencia en red roja. Habilitación de una red
segura nacional dentro de la AUSI con canales de
cifrado para la protección de la información,
situaciones de emergencia informática y para
brindar soporte a operaciones sensibles de los
cuerpos policiales.
18. SISTEMAS DE CONSULTA AVANZADOS E
INTEGRADOS
1
Los mecanismos de
integración de información
en centros de datos que
permitan una adecuada
minería y correlación es
indispensable.
2
La habilitación de
plataformas conjuntas de
colaboración (PCCs) pueden
proveer tendencias en
tiempo real, perfiles mucho
más completos de
individuos físicos o jurídicos
en investigación.
3
Rondas de entrenamiento
cruzado entre policías a
través de las PCCs permiten
refinar sus capacidades de
coordinación, asistencia y
colaboración cruzada entre
cuerpos policiales, para
apoyar los objetivos de la
defensa civil y nacionales.
4
Será requerido a toda
empresa pública o privada
registrada el reporte
obligatorio de eventos que
involucren robo o pérdida
de datos.
5
Se deben fortalecer y
estandarizar los
requerimientos de
adquisión de nueva
infraestructura así como
crear procesos de
validación de la
infraestructura existente en
búsqueda de potenciales
vulnerabilidades, en
respuesta a los más altos
estándares de la
ciberseguridad
19. OBJETIVO III
Marco de Defensa de la infraestructura crítica, aseguramiento de los datos, monitoreo y mitigación de riesgos
20. PROBLEMAS DE RESPUESTA Y
PREDICCIÓN
La casi inexistente
cooperación
interinstitucional ocasiona
una grave vulnerabilidad al
imposibilitar una respuesta
pronta e inmediata a un
caso de incidente.
01 El país no cuenta con un
registro de incidentes lo
cuál ocasiona que se pierda
la memoria de las
instituciones respecto a
incidentes y evita un
proceso apropiado de
aprendizaje a futuro.
02 No existe una clara
estructura de control de las
operaciones de la
ciberseguridad, se
distribuyen en vez las
responsabilidades a
múltiples instituciones las
cuáles o no contemplan
emplear dichos roles entre
sus actas constitutivas, o no
tienen personal calificado,
o tienen serios problemas
de presupuesto que les
impediría llegar a un nivel
deseable de madurez para
considerarles capaces de
llevar adelante una
operación de
ciberseguridad.
03 Al no existir un proceso
obligatorio de monitoreo y
exigencias altas en los
procesos de auditoría de
manera generalizada las
diferente partes del
gobierno no genera el nivel
de bitácora necesario para
llevar un registro preciso de
la actividad de la red
04 No hay una plataforma
única robusta de control y
colaboración que apoye en
la coordinación de
incidentes tecnológicos,
que lleve un registro de
activos o que permita el
desarrollo de investigación
e inteligencia lo cuál deja al
país abierto a la posibilidad
de ataques sofisticados
dirigidos a diezmar nuestra
infraestructura crítica.
05
21. PROPUESTA PLAN CIBER ESCUDO
Creación de la Fuerza Conjunta CiberOperacional
FCCO conocida como “La tríada”, constituida por tres
centros de monitoreo especializado de la red nacional
dirigidos por el gobierno y sus aliados estratégicos.
Un centro adscrito al Viceministerio de
Telecomunicaciones actualmente existente conocido
como CSIRT-CR enfocado en la coordinación de la
respuesta a incidentes.
Un centro adscrito a la Academia Nacional de Ciencias
el CIMR-CR enfocado en el monitoreo y
mantenimiento de redes públicas informáticas.
Un tercer centro adscrito a la Dirección Nacional de
Inteligencia DIS, enfocado en la creación de
estrategias de ciberinteligencia y para de manera
proactiva contrarrestar agresiones contra la seguridad
nacional.
Centro de Inteligencia en
Ciberseguridad (CIC-CR)
Centro de Respuesta a
Incidentes (CSIRT-CR)
Centro de Intercambio y
Monitoreo de Redes
(CIMR-CR)
22. PUNTUALIZANDO LA FCCO
Liderado por el
“Departamento (Agencia
o Dirección) de
Ciberseguridad Nacional”
Denominado Fuerza
Conjunta
CiberOperacional (FCCO)
o Triple C en corto
Habilitar, operar y escalar
el AUSI, las PCCs y sus sub
proyectos como la Red
Roja
Coordinación de las
operaciones de la
ciberseguidad
Llevar a cabo análisis
constantes y pruebas de
las capacidades
nacionales, monitoreo,
detección, y protección.
Gestión, evaluación y
aprobación de nueva
infraestructura
especialmente en áreas
críticas
Coordinación de
estrategias de
capacitación y
entrenamiento
especializado de recurso
humano
Gestión, evaluación y
generación de nuevos
requerimientos para la
estrategia nacional de
ciberseguridad
Mantener un registro de
instituciones,
proveedores y socios, sus
inventarios informáticos,
planes de continuidad y
recuperación entre otros.
Desarrollo y gestión del
marco de defensa
Asociación estratégica
con otras agencias,
instituciones,
proveedores de servicio,
etc.
23. MEJORAR LAS CAPACIDADES DE LA
CIBERINTELIGENCIA
En conjunto con los cuerpos de seguridad civil, el Ministerio de Ciencia y Tecnología, los entes reguladores y
los países en convenio se deben obtener las herramientas necesarias para identificar, atribuir, y defender al
país contra ciber intrusos.
Mecanismos de contrainteligencia liderados por el CIC-CR en conjunto con sus socios estratégicos están
posicionados de manera única para mejorar nuestro conocimiento interno y así frustrar ataques de ciber
espionaje.
La protección de la propiedad intelectual contra el robo de datos en el ciber espacio debe dar origen a la
implementación de herramientas de descubrimiento proactivo en el país.
El FCCO podrá trabajar con la comunidad de inteligencia internacional para desarrollar las capacidades
necesarias de anticipo contra actividades disruptivas de ciberataque al territorio nacional antes de que
impacten en Costa Rica y tengan un profundo impacto en los intereses de la nación.
Desarrollo de ejercicios y simulacros para defender la ciber nación.
Inversión en innovación y un centro avanzado de ciberinteligencia
24. OBJETIVO IV
Construir y mantener estructuras para control de conflictos, respuesta a incidentes y predicción de conflictos
25. PROBLEMAS DE COORDINACIÓN
1
El estado precario de
coordinación a nivel
interno, se intensifica al
nivel externo. Costa Rica
aunque recientemente ha
dado señales de querer
integrar grandes foros
mundiales. En
ciberseguridad estamos
muy lejos de los grandes
centros de colaboración.
2
Los aliados estratégicos aún
están en fase de estudio,
no se han concretado
convenios de importancia
significativa con excepción
del reciente convenio de
ciberdelincuencia.
3
No están determinadas las
áreas específicas críticas de
importancia mayor para el
gobierno en cuanto a
probabilidad de ataque, ni
tampoco están definidos
claramente los aliados
estratégicos que nos
brindarían apoyo inmediato
al sufrir una infección
distribuida o avanzada en la
red.
4
Los canales y protocolos
nacionales e
internacionales de
comunicación y
coordinación de incidentes,
alerta preventiva,
recuperación de desastres y
cooperación de inteligencia
son inexistentes o no están
definidos en su totalidad.
5
Cada institución aplica
estrategias por aparte para
la resolución de conflictos y
no cuentan con personal
capacitado para gestionar
de forma adecuada el
incidente informático.
Tampoco se les define con
claridad cuales
instituciones tienen el
poder de apoyarlos.
26. PROPUESTA PLAN CIBER ESCUDO
Implementar de manera obligatoria un proceso
de mejora general de alertas, y de priorización
de trabajo en zonas estratégicas del mundo.
Determina en órden de prioridad el trabajo con
Norte América, Europa, Medio-Oriente y Sur
América.
Determina fundamental la puesta en práctica
de operaciones para mitigar el riesgo de
infección por malware destructivo al utilizar la
Plataforma única de colaboración conjunta para
consolidar esfuerzos de alerta y educación en
un solo canal que implementa diferentes capas
de acceso según el perfil de quién lo consulte.
27. EN RESUMEN, PROPUESTAS CONCRETAS
MONITOREO INTELIGENCIA EDUCACIÓN COORDINACIÓN
Definición del ente coordinador
PLANEAMIENTO Y
LEGISLACIÓN
PROYECCIÓN A
FUTURO RESPONSABILIDADES INFRAESTRUCTURA
28. ¿QUÉ HACEMOS ANTES DE IMPLEMENTAR ESTO?
28
• Se requiere realizar un ejercicio de reconocimiento
o site survey para determinar el nivel de
preparación y zonas de mayor riesgo informático
en el país.
• A esto se le llama crear una línea base de
seguridad fundamental
• Esto nos permitirá entender nuestra capacidad
actual y conocer las mejores herramientas que nos
pueden servir para llegar al siguiente
• Se debe crear un plan de madurez de la matriz
tecnológica que determine plazos de entregas y
responsabilidades en cuanto a modernización de
activos fundamentales y no fundamentales
29. ¿QUÍEN PUEDE HACER ESTO?
A través de programas de colaboración con otros gobiernos cuya madurez es definida como de primer
mundo podemos iniciar la etapa de reconocimiento, cuyo costo puede ser compartido mediante un acuerdo
entre naciones.
La duración típica de este ejercicio es de 3-6 meses.
Costa Rica puede contar con el apoyo de gobiernos como el de Israel cuyo programa de ciberseguridad es de
los mejores del mundo y cuya oferta para apoyar al país ya fue realizada por este y otros actores los cuales este
estudio concluye y recomienda dar inicio en un período no mayor a los 8 o 12 meses.
30. San José, Costa Rica
ejimenez@cr-cert.org
www.asedicr.org
CONTACTO
30
ejimenez@asedicr.org
Notas del editor
Bittrex
indica “Diseñar la metodología para el monitoreo sistemático de las acciones que operacionalizan la Estrategia Nacional de Ciberseguridad.” Y agrega “Especificar en el plan de acción los mecanismos de control para darle seguimiento a los avances y la eficacia de los objetivos planteados en la presente estrategia.” También se considera que agregue el apartado denominado como Línea Estratégica 8.2. Realizar una revisión y actualización de la Estrategia de Seguridad Cibernética cada dos años o según sea necesario”
On a pool the reward is rewarded not evenly but based on the processing speed of the pool devices, meaning that if you have a slow computer you won’t win as much money as the guys armed with ANTMINERS or SPOONDOO and dedicaded hardware