SlideShare una empresa de Scribd logo

The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016

Mateo Martinez
Mateo Martinez

The security officer role in virtual environments was a talk given by Mateo Martínez, CEO of KOD LATAM SECURITY during the (ISC)2 SECURITY CONGRESS LATIN AMERICA 2016

Tecnología
1 de 68
Descargar para leer sin conexión
The Security Officer Role in Virtual Environments Mateo Martínez CEO KOD LATAM SECURITY www.kod.uy 2
Mateo Martínez ∗Papá (x2) ∗CISSP ∗C|EH ∗ISO 27001 Lead Implementer ∗ex PCI QSA ∗ITIL ∗Gerente General de KOD LATAM SECURITY (www.kod.uy) ∗Docente Hacking Ético en Universidad ORT ∗Líder del capítulo OWASP Uruguay ∗OWASP Web Application Security Person of the Year 2015 ∗Contacto: @mateomartinez1
PANORAMA ACTUAL Según las diferentes perspectivas
Mercado de Ciberseguridad (2019) 12B ¿Hackeado? ¿Controlado? ¿incidentes? IoT Voto Modernizar Smart Cities Un poco de contextoDe Ciberseguridad en Latinoamérica ¿Ataques?
Tipos de OrganizacionesEn Latinoamérica y en el mundo “Hay 2 tipos de organizaciones, aquellas que sufrieron una intrusión y aquellas que aún no se dieron cuenta”
¿Cómo sentimos que estamos?
¿Cómo nos hemos preparado?
Así estamos...
Así nos ven los atacantes...
Así son los atacantes
Y así...
Y así también...
Y aún así...
O incluso así...
También se ven ...
RansomwareEstá haciendo estragos en latinoamérica, falta trabajar conceptos básicos de seguridad
DDoS (usando IoT)Los últimos ataques a nivel global han sido utilizando cámaras y DVRs vulnerables
Herramientas disponiblesUn sin fin de herramientas disponibles para los atacantes y sin posibilidad de trazabilidad
Fuente: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Ataques famososA nivel Internacional
Debemos cambiar el foco, de protegernos contra ataques, a cuidar la información Ataques vs Información Protección contra ataques conocidos vs proteger la información
Informe Ciberseguridad 2016 (OEA/BID) ¿Estamos preparados en América Latina y el Caribe?
Alcance e IndicadoresInforme Ciberseguridad 2016 32 Países Infraestructuras Críticas Gestión de Incidentes 49 Indicadores Nivel de Madurez Educación en Seguridad
Tienen estrategias de Ciberseguridad Países llegan a Nivel intermedio de madurez en ciberseguridad Cuentan con programas de educación en Ciberseguridad Países sin coordinar la respuesta a incidentes 68 616 Situación de los Países (32)Algunos a nivel intermedio pero lejos de países avanzados
Implementación Evaluación Diseño Países sin estrategias o plan 80% Estrategias y Planesestrategias de ciberseguridad o planes de protección de infraestructura crítica
Países sin centro de comando y control 66% Centro de Comando Y control de seguridad cibernética
“Los CSIRT limitarán las pérdidas que le causará la delincuencia cibernética a la economía local" Centros de RespuestaEn Latinoamérica
Resultado de la aplicación del Modelo de Madurez de Capacidad de Seguridad Cibernética, que consta de cinco niveles: • Inicial • Formativo • Establecido • Estratégico • Dinámico Modelo de MadurezEn Latinoamérica
Política y estrategiaPolíticas y Estrategias a nivel nacional de seguridad cibernética
Cultura y sociedadCultura Cibernética y sociedad
EducaciónEducación, Formación y competencias en seguridad cibernética (Educación)
Marcos LegalesMarco jurídico y reglamentario
Tecnologías Normas, Organización y Tecnologías
Modelo de MadurezEn Latinoamérica Países que llegaron a nivel intermedio: • Argentina • Brasil • Chile • Colombia • México • Trinidad y Tobago • Uruguay Mid
Política y EstrategiaEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Política y estrategia Estrategia nacional Desarrollo de la estrategia 2 2 2 3 2 3 3 Organización 2 2 2 2 2 2 4 Contenido 3 2 2 3 2 3 2 Defensa cibernética Estrategia 2 3 2 2 2 2 2 Organización 3 3 2 3 2 2 3 Coordinación 1 2 2 2 2 3 4
Cultura y SociedadEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Cultura y sociedad Mentalidad de seguridad En el gobierno 2 2 2 2 2 2 4 En el sector privado 3 3 3 2 2 2 3 En la sociedad 2 2 2 3 1 2 3 Conciencia de seguridad Sensibilización 2 2 2 3 2 1 4 Confianza en uso de internet En los servicios en línea 2 3 2 3 2 3 4 En el gobierno electrónico 2 3 2 3 3 2 5 En el comercio electrónico 2 3 3 2 3 3 4 Privacidad en línea Normas de privacidad 4 3 4 3 4 4 5 Privacidad del empleado 1 2 2 3 3 2 4
EducaciónEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Educación Disponibilidad nacional Educación 3 3 2 3 3 2 3 Formación 2 3 2 2 3 2 5 Desarrollo nacional Desarrollo nacional de la educación 1 2 1 2 2 1 3 Formación e iniciativas Capacitación de empleados 2 3 2 3 2 3 4 Gobernanza corporativa En las empresas estatales y privadas 3 3 3 2 2 3 2
Marcos LegalesEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Marcos legales Marcos jurídicos de seguridad Para la seguridad de las TIC 3 3 3 2 3 3 4 Privacidad, protección de datos y otros derechos humanos 3 3 3 3 3 2 5 Derecho sustantivo de delincuencia cibernética 3 3 3 3 3 3 1 Derecho procesal de delincuencia cibernética 3 4 4 3 2 3 2 Investigación jurídica Cumplimiento de la ley 3 4 3 3 4 4 2 Fiscalía 3 2 3 2 2 2 2 Tribunales 2 2 2 2 2 2 2 Divulgación responsable Divulgación responsable de la información 1 1 1 1 2 3 1
TecnológíasEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Tecnologías Adhesión a las normas Aplicación de las normas y prácticas mínimas aceptables 2 2 2 2 2 2 2 Adquisiciones 2 2 2 2 2 1 3 Desarrollo de software 2 2 2 2 3 1 2 Organizaciones Centro de mando y control 4 3 2 3 3 2 3 Capacidad de respuesta a incidentes 2 4 2 2 3 2 5 Respuesta a incidentes Identificación y designación 4 3 2 2 4 2 4 Organización 3 4 2 2 3 1 4 Coordinación 2 3 2 2 2 2 4 Resiliencia Infraestructura tecnológica 3 3 3 3 3 3 3 Resiliencia nacional 2 2 3 2 3 3 3
Tecnologías (2)En Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Infraestructura crítica Identificación 2 2 3 2 2 2 2 Organización 2 2 4 2 2 2 2 Planeación de respuesta 2 2 2 1 3 2 3 Coordinación 2 2 2 2 2 2 2 Gestión de riesgos 2 2 2 2 2 2 2 Gestión de crisis Planeación 3 2 2 2 2 1 2 Evaluación 2 2 2 2 2 2 2 Redundancia digital Planeación 2 2 2 2 2 3 3 Organización 2 2 2 2 2 1 3 Mercado de la ciberseguridad Tecnologías de seguridad cibernética 2 3 2 2 2 2 2 Seguros de delincuencia cibernética 2 3 3 2 2 1 3
Situación de Colombia Modelo de Madurez (Brasil)
Situación de Colombia Modelo de Madurez (Brasil)
Situación de Colombia Modelo de Madurez (Brasil)
Situación de Colombia Modelo de Madurez (Brasil)
Comando de Defesa Cibernética y una Escuela de Defensa Cibernética Nacional. Representantes de las tres fuerzas armadas brasileñas 2010 Guía para infraestructuras críticas Varios CSIRTS Situación de Brasil Modelo de Madurez (Brasil)
Ciberseguridad Industrial en Latinoamérica CCI (Centro de Ciberseguridad Industrial)
Análisis (DAFO)Ciberseguridad Industrial 2016
Sectores IndustrialesCiberseguridad Industrial 2016
Herramientas DiferenciadorasCiberseguridad Industrial 2016
Sin capuchas negras, sin lugares oscuros, sin conspiraciones… ¿Es posible averiguar cuantos sistemas industriales hay expuestos en Latam? Exposición máximaCiberseguridad Industrial 2016
Bajo nivel de uso de IPS/IDS, comunicaciones cifradas y gateways unidereccionales. Falta de regulación sobre ciberseguridad industrial Ausencia de equipos de respuesta especializados Problemas actualesCiberseguridad Industrial 2016
Ambientes Virtuales Año 2016
Mensaje PrincipalPara Latinoamérica Venimos de 10 años de transformación hacia datacenters virtuales y nube… ¿y qué visibilidad tenemos desde seguridad?
El rol del CISO Algunas de las problemáticas actuales Responsable – Sin visibilidad Controlar – Sin herramientas Auditar – Sin acceso Planificar – Sin ser involucrado
El rol del CISO Algunas de las problemáticas actuales 96%+ complejidad que hace 5 años 59%de los cambios no son consultados 99%herramientas obsoletas en virtuales
Problemáticas en Ambientes Virtuales Riesgos principales que han pasado inadvertidos Cumplimiento y auditoría con tareas manuales Falta de visibilidad desde áreas de seguridad Conexión a redes de distintas áreas o empresas Falta de Hardening, copias y acceso sin control
Algunos de los riesgos Riesgos principales que han pasado inadvertidos • Copias completas del datacenter (en un USB o cualquier medio) • Ver consolas de VMs por parte de admins de virtualización • Acceso no autorizado a ambientes de administración de VMs • Conexión entre redes de desarrollo y producción • Publicación en DMZ por error • Cambios no autorizados • Incumplimiento de buenas prácticas de hardening • Acceso a datos en storage confidenciales
Control de Integridad Tanto de configuraciones virtuales como de archivos Control de Acceso Control de Acceso al ambiente virtual Gestión de Cambios El rol de oficial de seguridad informática, que aprueba o rechaza cambios Visibilidad para Seguridad Los oficiales de seguridad de la organización sobre las actividades realizadas en ambientes virtuales Cumplimiento • PCI-DSS • ITIL • COBIT • ISO 27001 ¿Visibilidad?Para un riesgo existente en cualquier ambiente virtual
Admin. Usuarios Roles de Seguridad y Control de Acceso sobre la infraestructura virtual Etiquetado Segmentación de la infraestructura virtual por categoría y niveles de seguridad. Gestión Gestión centralizada, monitoreo, reportes y controles Protección Protección contra amenazas específicas en entornos virtuales Control Supervisión de integridad y Gestión de cambios de las máquinas virtuales e inicio de sistema seguro Evitar fuga de información Protección contra la copia no autorizada, la clonación, la transferencia y la destrucción de las máquinas virtuales ¿Qué necesitamos?
¿Cómo solucionarlo? • Clasificar y etiquetar Hardware virtual • Control de Cambios • Control de Integridad • Monitoreo de red de administración • Controlar acceso a las consolas de VMs • Control de copias a USB • Control de snaphots • Monitoreo de tráfico de red virtual • Correlación de eventos de seguridad
Puntos clave y conclusiones
Mensaje PrincipalPara Latinoamérica La seguridad es de suma importancia para facilitar el progreso de la sociedad incorporando tecnología
Mensaje PrincipalPara ambientes virtuales Es necesario entender el cambio de paradigma, involucrarse y actualizar las herramientas y controles en ambientes virtuales
Riesgos PrincipalesPrincipales riesgos a considerar
Colaboración entre países en “Ciber-temas” Implementar procesos de mejora y modernización en forma segura 2 1
Reforzar cooperación Pública-Privada Pensamiento estratégico y objetivos a largo plazo, considerando virtualización y nube 4 3
Conclusiones Algunas ideas y puntos a trabajar en forma urgente Es necesario invertir en capacitación y tecnologías modernas La situación en Latam es alarmante Aún hay mucho por hacer, la mayoría de los países en nivel de madurez bajo Es necesaria la colaboración entre países para resolver incidentes
¡Muchas gracias! Mateo Martínez CEO KOD LATAM SECURITY www.kod.uy

Recomendados

R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)Uzziel Baltazar Moreno
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. NormasLuis Fernando Aguas Bucheli
 
Libro ciber isbn-v2
Libro ciber isbn-v2Libro ciber isbn-v2
Libro ciber isbn-v2yoobin
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
ADA #2
ADA #2ADA #2
ADA #2Patricio Eduardo
 
La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)PMI Capítulo México
 
Expo nucleo con_resultados
Expo nucleo con_resultadosExpo nucleo con_resultados
Expo nucleo con_resultadosISRAEL1020
 
Ciber escudo en costa rica
Ciber escudo en costa ricaCiber escudo en costa rica
Ciber escudo en costa ricaEsteban Jimenez
 

Recomendados

R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)Uzziel Baltazar Moreno
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. NormasLuis Fernando Aguas Bucheli
 
Libro ciber isbn-v2
Libro ciber isbn-v2Libro ciber isbn-v2
Libro ciber isbn-v2yoobin
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
ADA #2
ADA #2ADA #2
ADA #2Patricio Eduardo
 
La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)La ciberseguridad en las organizaciones (PMI)
La ciberseguridad en las organizaciones (PMI)PMI Capítulo México
 
Expo nucleo con_resultados
Expo nucleo con_resultadosExpo nucleo con_resultados
Expo nucleo con_resultadosISRAEL1020
 
Ciber escudo en costa rica
Ciber escudo en costa ricaCiber escudo en costa rica
Ciber escudo en costa ricaEsteban Jimenez
 
Security Training: Necessary Evil, Waste of Time, or Genius Move?
Security Training: Necessary Evil, Waste of Time, or Genius Move?Security Training: Necessary Evil, Waste of Time, or Genius Move?
Security Training: Necessary Evil, Waste of Time, or Genius Move?Denim Group
 
Enterprise Risk Management - Deddy Jacobus
Enterprise Risk Management - Deddy JacobusEnterprise Risk Management - Deddy Jacobus
Enterprise Risk Management - Deddy JacobusDeddy Jacobus
 
Security Tips
Security TipsSecurity Tips
Security TipsEileen Stewart
 
50 Security Tips – Part 1
50 Security Tips – Part 1 50 Security Tips – Part 1
50 Security Tips – Part 1 Shred-it
 
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 201340 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013Bastian Grimm
 
Is awareness government
Is awareness governmentIs awareness government
Is awareness governmentHamisi Kibonde
 
Roles of Information Security Officers in State Government
Roles of Information Security Officers in State GovernmentRoles of Information Security Officers in State Government
Roles of Information Security Officers in State GovernmentDavid Sweigert
 
Security guard training
Security guard trainingSecurity guard training
Security guard trainingRobert Jack
 
Security Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramSecurity Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramOpenDNS
 
IT Governance
IT GovernanceIT Governance
IT GovernanceCarlos Chalico
 
Security Officer Training Manual
Security Officer Training ManualSecurity Officer Training Manual
Security Officer Training ManualScott Warner
 
Security training 2017
Security training 2017Security training 2017
Security training 2017Cindy Tillery
 
Safety (Security) Training
Safety (Security) TrainingSafety (Security) Training
Safety (Security) Trainingworksteadc
 
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014Amazon Web Services
 
Security Training at CCSF
Security Training at CCSFSecurity Training at CCSF
Security Training at CCSFSam Bowne
 
Employee Security Training[1]@
Employee Security Training[1]@Employee Security Training[1]@
Employee Security Training[1]@R_Yanus
 
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaMateo Martinez
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1iedsanfernando
 
Ciberseguridad como respuesta al fraude
Ciberseguridad como respuesta al fraudeCiberseguridad como respuesta al fraude
Ciberseguridad como respuesta al fraudeFabián Descalzo
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfoRoberto Moreno Doñoro
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICorporacion Colombia Digital
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 

Más contenido relacionado

Destacado

Security Training: Necessary Evil, Waste of Time, or Genius Move?
Security Training: Necessary Evil, Waste of Time, or Genius Move?Security Training: Necessary Evil, Waste of Time, or Genius Move?
Security Training: Necessary Evil, Waste of Time, or Genius Move?Denim Group
 
Enterprise Risk Management - Deddy Jacobus
Enterprise Risk Management - Deddy JacobusEnterprise Risk Management - Deddy Jacobus
Enterprise Risk Management - Deddy JacobusDeddy Jacobus
 
50 Security Tips – Part 1
50 Security Tips – Part 1 50 Security Tips – Part 1
50 Security Tips – Part 1 Shred-it
 
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 201340 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013Bastian Grimm
 
Is awareness government
Is awareness governmentIs awareness government
Is awareness governmentHamisi Kibonde
 
Roles of Information Security Officers in State Government
Roles of Information Security Officers in State GovernmentRoles of Information Security Officers in State Government
Roles of Information Security Officers in State GovernmentDavid Sweigert
 
Security guard training
Security guard trainingSecurity guard training
Security guard trainingRobert Jack
 
Security Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramSecurity Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramOpenDNS
 
Security Officer Training Manual
Security Officer Training ManualSecurity Officer Training Manual
Security Officer Training ManualScott Warner
 
Security training 2017
Security training 2017Security training 2017
Security training 2017Cindy Tillery
 
Safety (Security) Training
Safety (Security) TrainingSafety (Security) Training
Safety (Security) Trainingworksteadc
 
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014Amazon Web Services
 
Security Training at CCSF
Security Training at CCSFSecurity Training at CCSF
Security Training at CCSFSam Bowne
 
Employee Security Training[1]@
Employee Security Training[1]@Employee Security Training[1]@
Employee Security Training[1]@R_Yanus
 

Destacado (16)

Security Training: Necessary Evil, Waste of Time, or Genius Move?
Security Training: Necessary Evil, Waste of Time, or Genius Move?Security Training: Necessary Evil, Waste of Time, or Genius Move?
Security Training: Necessary Evil, Waste of Time, or Genius Move?
 
Enterprise Risk Management - Deddy Jacobus
Enterprise Risk Management - Deddy JacobusEnterprise Risk Management - Deddy Jacobus
Enterprise Risk Management - Deddy Jacobus
 
Security Tips
Security TipsSecurity Tips
Security Tips
 
50 Security Tips – Part 1
50 Security Tips – Part 1 50 Security Tips – Part 1
50 Security Tips – Part 1
 
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 201340 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
40 WordPress Tips: Security, Engagement, SEO & Performance - SMX Sydney 2013
 
Is awareness government
Is awareness governmentIs awareness government
Is awareness government
 
Roles of Information Security Officers in State Government
Roles of Information Security Officers in State GovernmentRoles of Information Security Officers in State Government
Roles of Information Security Officers in State Government
 
Security guard training
Security guard trainingSecurity guard training
Security guard training
 
Security Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training ProgramSecurity Ninjas: An Open Source Application Security Training Program
Security Ninjas: An Open Source Application Security Training Program
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Security Officer Training Manual
Security Officer Training ManualSecurity Officer Training Manual
Security Officer Training Manual
 
Security training 2017
Security training 2017Security training 2017
Security training 2017
 
Safety (Security) Training
Safety (Security) TrainingSafety (Security) Training
Safety (Security) Training
 
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
(ENT305) Develop an Enterprise-wide Cloud Adoption Strategy | AWS re:Invent 2014
 
Security Training at CCSF
Security Training at CCSFSecurity Training at CCSF
Security Training at CCSF
 
Employee Security Training[1]@
Employee Security Training[1]@Employee Security Training[1]@
Employee Security Training[1]@
 

Similar a The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016

Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaMateo Martinez
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1iedsanfernando
 
Ciberseguridad como respuesta al fraude
Ciberseguridad como respuesta al fraudeCiberseguridad como respuesta al fraude
Ciberseguridad como respuesta al fraudeFabián Descalzo
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICorporacion Colombia Digital
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
La Ciberseguridad en las Organizaciones
La Ciberseguridad en las OrganizacionesLa Ciberseguridad en las Organizaciones
La Ciberseguridad en las OrganizacionesPMI Capítulo México
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoFacultad Ingeniería Udec
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacioncmardones
 
1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de CiberseguridadDavid Narváez
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfIngenieria8
 
Calidad en las Tecnologías de la información y comunicación TICS
Calidad en las Tecnologías de la información y comunicación TICSCalidad en las Tecnologías de la información y comunicación TICS
Calidad en las Tecnologías de la información y comunicación TICSliras loca
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfFabricioGallardo8
 
Ciberseguridad en la organización
Ciberseguridad en la organizaciónCiberseguridad en la organización
Ciberseguridad en la organizaciónCristiam Rey
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
 

Similar a The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016 (20)

Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoamérica
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1
 
Ciberseguridad como respuesta al fraude
Ciberseguridad como respuesta al fraudeCiberseguridad como respuesta al fraude
Ciberseguridad como respuesta al fraude
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfo
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
La Ciberseguridad en las Organizaciones
La Ciberseguridad en las OrganizacionesLa Ciberseguridad en las Organizaciones
La Ciberseguridad en las Organizaciones
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
S3 cdsi1-1
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
 
1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdf
 
Calidad en las Tecnologías de la información y comunicación TICS
Calidad en las Tecnologías de la información y comunicación TICSCalidad en las Tecnologías de la información y comunicación TICS
Calidad en las Tecnologías de la información y comunicación TICS
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdf
 
SEGURIDAD CIBERNETICA
SEGURIDAD CIBERNETICASEGURIDAD CIBERNETICA
SEGURIDAD CIBERNETICA
 
Ciberseguridad en la organización
Ciberseguridad en la organizaciónCiberseguridad en la organización
Ciberseguridad en la organización
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
 

Más de Mateo Martinez

Those beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedThose beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedMateo Martinez
 
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo MartinezSix Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo MartinezMateo Martinez
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasMateo Martinez
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Ciberataques a nivel global ¿Cómo detenerlos?
Ciberataques a nivel global ¿Cómo detenerlos?Ciberataques a nivel global ¿Cómo detenerlos?
Ciberataques a nivel global ¿Cómo detenerlos?Mateo Martinez
 
SHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
SHA-1 de 0 a #fail - Andsec 2017 - Mateo MartinezSHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
SHA-1 de 0 a #fail - Andsec 2017 - Mateo MartinezMateo Martinez
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Mateo Martinez
 
DragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas NeuronalesDragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas NeuronalesMateo Martinez
 

Más de Mateo Martinez (9)

Those beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedThose beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploited
 
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo MartinezSix Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
Six Thinking Hats in Cybersecurity (Neurohacking 2020) By Mateo Martinez
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - Hidroeléctricas
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Ciberataques a nivel global ¿Cómo detenerlos?
Ciberataques a nivel global ¿Cómo detenerlos?Ciberataques a nivel global ¿Cómo detenerlos?
Ciberataques a nivel global ¿Cómo detenerlos?
 
SHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
SHA-1 de 0 a #fail - Andsec 2017 - Mateo MartinezSHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
SHA-1 de 0 a #fail - Andsec 2017 - Mateo Martinez
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
 
Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016
 
DragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas NeuronalesDragonJar security conference 2016 - Atacando Ondas Neuronales
DragonJar security conference 2016 - Atacando Ondas Neuronales
 

Último

LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 

Último (20)

LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 

The security officer role in virtual environments - (ISC)2 LATAM CONGRESS 2016

  • 1.
  • 2. The Security Officer Role in Virtual Environments Mateo Martínez CEO KOD LATAM SECURITY www.kod.uy 2
  • 3. Mateo Martínez ∗Papá (x2) ∗CISSP ∗C|EH ∗ISO 27001 Lead Implementer ∗ex PCI QSA ∗ITIL ∗Gerente General de KOD LATAM SECURITY (www.kod.uy) ∗Docente Hacking Ético en Universidad ORT ∗Líder del capítulo OWASP Uruguay ∗OWASP Web Application Security Person of the Year 2015 ∗Contacto: @mateomartinez1
  • 4. PANORAMA ACTUAL Según las diferentes perspectivas
  • 5. Mercado de Ciberseguridad (2019) 12B ¿Hackeado? ¿Controlado? ¿incidentes? IoT Voto Modernizar Smart Cities Un poco de contextoDe Ciberseguridad en Latinoamérica ¿Ataques?
  • 6. Tipos de OrganizacionesEn Latinoamérica y en el mundo “Hay 2 tipos de organizaciones, aquellas que sufrieron una intrusión y aquellas que aún no se dieron cuenta”
  • 8. ¿Cómo nos hemos preparado?
  • 10. Así nos ven los atacantes...
  • 11. Así son los atacantes
  • 17. RansomwareEstá haciendo estragos en latinoamérica, falta trabajar conceptos básicos de seguridad
  • 18. DDoS (usando IoT)Los últimos ataques a nivel global han sido utilizando cámaras y DVRs vulnerables
  • 19. Herramientas disponiblesUn sin fin de herramientas disponibles para los atacantes y sin posibilidad de trazabilidad
  • 21. Debemos cambiar el foco, de protegernos contra ataques, a cuidar la información Ataques vs Información Protección contra ataques conocidos vs proteger la información
  • 22. Informe Ciberseguridad 2016 (OEA/BID) ¿Estamos preparados en América Latina y el Caribe?
  • 23. Alcance e IndicadoresInforme Ciberseguridad 2016 32 Países Infraestructuras Críticas Gestión de Incidentes 49 Indicadores Nivel de Madurez Educación en Seguridad
  • 24. Tienen estrategias de Ciberseguridad Países llegan a Nivel intermedio de madurez en ciberseguridad Cuentan con programas de educación en Ciberseguridad Países sin coordinar la respuesta a incidentes 68 616 Situación de los Países (32)Algunos a nivel intermedio pero lejos de países avanzados
  • 25. Implementación Evaluación Diseño Países sin estrategias o plan 80% Estrategias y Planesestrategias de ciberseguridad o planes de protección de infraestructura crítica
  • 26. Países sin centro de comando y control 66% Centro de Comando Y control de seguridad cibernética
  • 27. “Los CSIRT limitarán las pérdidas que le causará la delincuencia cibernética a la economía local" Centros de RespuestaEn Latinoamérica
  • 28. Resultado de la aplicación del Modelo de Madurez de Capacidad de Seguridad Cibernética, que consta de cinco niveles: • Inicial • Formativo • Establecido • Estratégico • Dinámico Modelo de MadurezEn Latinoamérica
  • 29. Política y estrategiaPolíticas y Estrategias a nivel nacional de seguridad cibernética
  • 30. Cultura y sociedadCultura Cibernética y sociedad
  • 31. EducaciónEducación, Formación y competencias en seguridad cibernética (Educación)
  • 32. Marcos LegalesMarco jurídico y reglamentario
  • 34. Modelo de MadurezEn Latinoamérica Países que llegaron a nivel intermedio: • Argentina • Brasil • Chile • Colombia • México • Trinidad y Tobago • Uruguay Mid
  • 35. Política y EstrategiaEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Política y estrategia Estrategia nacional Desarrollo de la estrategia 2 2 2 3 2 3 3 Organización 2 2 2 2 2 2 4 Contenido 3 2 2 3 2 3 2 Defensa cibernética Estrategia 2 3 2 2 2 2 2 Organización 3 3 2 3 2 2 3 Coordinación 1 2 2 2 2 3 4
  • 36. Cultura y SociedadEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Cultura y sociedad Mentalidad de seguridad En el gobierno 2 2 2 2 2 2 4 En el sector privado 3 3 3 2 2 2 3 En la sociedad 2 2 2 3 1 2 3 Conciencia de seguridad Sensibilización 2 2 2 3 2 1 4 Confianza en uso de internet En los servicios en línea 2 3 2 3 2 3 4 En el gobierno electrónico 2 3 2 3 3 2 5 En el comercio electrónico 2 3 3 2 3 3 4 Privacidad en línea Normas de privacidad 4 3 4 3 4 4 5 Privacidad del empleado 1 2 2 3 3 2 4
  • 37. EducaciónEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Educación Disponibilidad nacional Educación 3 3 2 3 3 2 3 Formación 2 3 2 2 3 2 5 Desarrollo nacional Desarrollo nacional de la educación 1 2 1 2 2 1 3 Formación e iniciativas Capacitación de empleados 2 3 2 3 2 3 4 Gobernanza corporativa En las empresas estatales y privadas 3 3 3 2 2 3 2
  • 38. Marcos LegalesEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Marcos legales Marcos jurídicos de seguridad Para la seguridad de las TIC 3 3 3 2 3 3 4 Privacidad, protección de datos y otros derechos humanos 3 3 3 3 3 2 5 Derecho sustantivo de delincuencia cibernética 3 3 3 3 3 3 1 Derecho procesal de delincuencia cibernética 3 4 4 3 2 3 2 Investigación jurídica Cumplimiento de la ley 3 4 3 3 4 4 2 Fiscalía 3 2 3 2 2 2 2 Tribunales 2 2 2 2 2 2 2 Divulgación responsable Divulgación responsable de la información 1 1 1 1 2 3 1
  • 39. TecnológíasEn Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Tecnologías Adhesión a las normas Aplicación de las normas y prácticas mínimas aceptables 2 2 2 2 2 2 2 Adquisiciones 2 2 2 2 2 1 3 Desarrollo de software 2 2 2 2 3 1 2 Organizaciones Centro de mando y control 4 3 2 3 3 2 3 Capacidad de respuesta a incidentes 2 4 2 2 3 2 5 Respuesta a incidentes Identificación y designación 4 3 2 2 4 2 4 Organización 3 4 2 2 3 1 4 Coordinación 2 3 2 2 2 2 4 Resiliencia Infraestructura tecnológica 3 3 3 3 3 3 3 Resiliencia nacional 2 2 3 2 3 3 3
  • 40. Tecnologías (2)En Latinoamérica, foco en los 7 en mejor nivel Argentina Brasil Chile Colombia México Trinidad y Tobago Uruguay Infraestructura crítica Identificación 2 2 3 2 2 2 2 Organización 2 2 4 2 2 2 2 Planeación de respuesta 2 2 2 1 3 2 3 Coordinación 2 2 2 2 2 2 2 Gestión de riesgos 2 2 2 2 2 2 2 Gestión de crisis Planeación 3 2 2 2 2 1 2 Evaluación 2 2 2 2 2 2 2 Redundancia digital Planeación 2 2 2 2 2 3 3 Organización 2 2 2 2 2 1 3 Mercado de la ciberseguridad Tecnologías de seguridad cibernética 2 3 2 2 2 2 2 Seguros de delincuencia cibernética 2 3 3 2 2 1 3
  • 41. Situación de Colombia Modelo de Madurez (Brasil)
  • 42. Situación de Colombia Modelo de Madurez (Brasil)
  • 43. Situación de Colombia Modelo de Madurez (Brasil)
  • 44. Situación de Colombia Modelo de Madurez (Brasil)
  • 45. Comando de Defesa Cibernética y una Escuela de Defensa Cibernética Nacional. Representantes de las tres fuerzas armadas brasileñas 2010 Guía para infraestructuras críticas Varios CSIRTS Situación de Brasil Modelo de Madurez (Brasil)
  • 46. Ciberseguridad Industrial en Latinoamérica CCI (Centro de Ciberseguridad Industrial)
  • 50. Sin capuchas negras, sin lugares oscuros, sin conspiraciones… ¿Es posible averiguar cuantos sistemas industriales hay expuestos en Latam? Exposición máximaCiberseguridad Industrial 2016
  • 51. Bajo nivel de uso de IPS/IDS, comunicaciones cifradas y gateways unidereccionales. Falta de regulación sobre ciberseguridad industrial Ausencia de equipos de respuesta especializados Problemas actualesCiberseguridad Industrial 2016
  • 53. Mensaje PrincipalPara Latinoamérica Venimos de 10 años de transformación hacia datacenters virtuales y nube… ¿y qué visibilidad tenemos desde seguridad?
  • 54. El rol del CISO Algunas de las problemáticas actuales Responsable – Sin visibilidad Controlar – Sin herramientas Auditar – Sin acceso Planificar – Sin ser involucrado
  • 55. El rol del CISO Algunas de las problemáticas actuales 96%+ complejidad que hace 5 años 59%de los cambios no son consultados 99%herramientas obsoletas en virtuales
  • 56. Problemáticas en Ambientes Virtuales Riesgos principales que han pasado inadvertidos Cumplimiento y auditoría con tareas manuales Falta de visibilidad desde áreas de seguridad Conexión a redes de distintas áreas o empresas Falta de Hardening, copias y acceso sin control
  • 57. Algunos de los riesgos Riesgos principales que han pasado inadvertidos • Copias completas del datacenter (en un USB o cualquier medio) • Ver consolas de VMs por parte de admins de virtualización • Acceso no autorizado a ambientes de administración de VMs • Conexión entre redes de desarrollo y producción • Publicación en DMZ por error • Cambios no autorizados • Incumplimiento de buenas prácticas de hardening • Acceso a datos en storage confidenciales
  • 58. Control de Integridad Tanto de configuraciones virtuales como de archivos Control de Acceso Control de Acceso al ambiente virtual Gestión de Cambios El rol de oficial de seguridad informática, que aprueba o rechaza cambios Visibilidad para Seguridad Los oficiales de seguridad de la organización sobre las actividades realizadas en ambientes virtuales Cumplimiento • PCI-DSS • ITIL • COBIT • ISO 27001 ¿Visibilidad?Para un riesgo existente en cualquier ambiente virtual
  • 59. Admin. Usuarios Roles de Seguridad y Control de Acceso sobre la infraestructura virtual Etiquetado Segmentación de la infraestructura virtual por categoría y niveles de seguridad. Gestión Gestión centralizada, monitoreo, reportes y controles Protección Protección contra amenazas específicas en entornos virtuales Control Supervisión de integridad y Gestión de cambios de las máquinas virtuales e inicio de sistema seguro Evitar fuga de información Protección contra la copia no autorizada, la clonación, la transferencia y la destrucción de las máquinas virtuales ¿Qué necesitamos?
  • 60. ¿Cómo solucionarlo? • Clasificar y etiquetar Hardware virtual • Control de Cambios • Control de Integridad • Monitoreo de red de administración • Controlar acceso a las consolas de VMs • Control de copias a USB • Control de snaphots • Monitoreo de tráfico de red virtual • Correlación de eventos de seguridad
  • 61. Puntos clave y conclusiones
  • 62. Mensaje PrincipalPara Latinoamérica La seguridad es de suma importancia para facilitar el progreso de la sociedad incorporando tecnología
  • 63. Mensaje PrincipalPara ambientes virtuales Es necesario entender el cambio de paradigma, involucrarse y actualizar las herramientas y controles en ambientes virtuales
  • 65. Colaboración entre países en “Ciber-temas” Implementar procesos de mejora y modernización en forma segura 2 1
  • 67. Conclusiones Algunas ideas y puntos a trabajar en forma urgente Es necesario invertir en capacitación y tecnologías modernas La situación en Latam es alarmante Aún hay mucho por hacer, la mayoría de los países en nivel de madurez bajo Es necesaria la colaboración entre países para resolver incidentes
  • 68. ¡Muchas gracias! Mateo Martínez CEO KOD LATAM SECURITY www.kod.uy