El documento explora el papel del oficial de seguridad en entornos virtuales, destacando la creciente importancia de la ciberseguridad en América Latina y los desafíos actuales enfrentados por las organizaciones. Se identifican riesgos significativos asociados con la falta de visibilidad y control en ambientes virtuales, como accesos no autorizados y cumplimiento deficiente de estándares de seguridad. Se enfatiza la necesidad urgente de colaboración entre países, inversión en formación y modernización de herramientas para mejorar la madurez en ciberseguridad en la región.

2. The Security Officer Role in Virtual
Environments
Mateo Martínez
CEO KOD LATAM SECURITY
www.kod.uy
2

3. Mateo Martínez
∗Papá (x2)
∗CISSP
∗C|EH
∗ISO 27001 Lead Implementer
∗ex PCI QSA
∗ITIL
∗Gerente General de KOD LATAM SECURITY (www.kod.uy)
∗Docente Hacking Ético en Universidad ORT
∗Líder del capítulo OWASP Uruguay
∗OWASP Web Application Security Person of the Year 2015
∗Contacto: @mateomartinez1

4. PANORAMA ACTUAL
Según las diferentes perspectivas

5. Mercado de Ciberseguridad (2019)
12B ¿Hackeado?
¿Controlado?
¿incidentes?
IoT Voto
Modernizar Smart Cities
Un poco de contextoDe Ciberseguridad en Latinoamérica
¿Ataques?

6. Tipos de OrganizacionesEn Latinoamérica y en el mundo
“Hay 2 tipos de organizaciones, aquellas
que sufrieron una intrusión y aquellas
que aún no se dieron cuenta”

7. ¿Cómo sentimos que estamos?

8. ¿Cómo nos hemos preparado?

9. Así estamos...

10. Así nos ven los atacantes...

11. Así son los atacantes

12. Y así...

13. Y así también...

14. Y aún así...

15. O incluso así...

16. También se ven ...

17. RansomwareEstá haciendo estragos en latinoamérica, falta trabajar conceptos básicos de seguridad

18. DDoS (usando IoT)Los últimos ataques a nivel global han sido utilizando cámaras y DVRs vulnerables

19. Herramientas disponiblesUn sin fin de herramientas disponibles para los atacantes y sin posibilidad de trazabilidad

20. Fuente: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Ataques famososA nivel Internacional

21. Debemos cambiar el foco, de protegernos contra ataques,
a cuidar la información
Ataques vs Información
Protección contra ataques conocidos vs proteger la información

22. Informe Ciberseguridad 2016 (OEA/BID)
¿Estamos preparados en América Latina y el Caribe?

23. Alcance e IndicadoresInforme Ciberseguridad 2016
32 Países
Infraestructuras
Críticas
Gestión de
Incidentes
49
Indicadores
Nivel de
Madurez
Educación
en Seguridad

24. Tienen estrategias
de Ciberseguridad
Países llegan a
Nivel intermedio de
madurez
en ciberseguridad
Cuentan con programas
de educación en
Ciberseguridad
Países sin coordinar la
respuesta a incidentes
68
616
Situación de los Países (32)Algunos a nivel intermedio pero lejos de países avanzados

25. Implementación Evaluación
Diseño
Países sin estrategias o plan
80%
Estrategias y Planesestrategias de ciberseguridad o planes de protección de infraestructura crítica

26. Países sin centro de comando y control
66%
Centro de Comando
Y control de seguridad cibernética

27. “Los CSIRT limitarán las pérdidas
que le causará la delincuencia
cibernética a la economía local"
Centros de RespuestaEn Latinoamérica

28. Resultado de la aplicación del Modelo de Madurez de Capacidad
de Seguridad Cibernética, que consta de cinco niveles:
• Inicial
• Formativo
• Establecido
• Estratégico
• Dinámico
Modelo de MadurezEn Latinoamérica

29. Política y estrategiaPolíticas y Estrategias a nivel nacional de seguridad cibernética

30. Cultura y sociedadCultura Cibernética y sociedad

31. EducaciónEducación, Formación y competencias en seguridad cibernética (Educación)

32. Marcos LegalesMarco jurídico y reglamentario

33. Tecnologías
Normas, Organización y Tecnologías

34. Modelo de MadurezEn Latinoamérica
Países que llegaron a nivel intermedio:
• Argentina
• Brasil
• Chile
• Colombia
• México
• Trinidad y Tobago
• Uruguay
Mid

35. Política y EstrategiaEn Latinoamérica, foco en los 7 en mejor nivel
Argentina Brasil Chile Colombia México
Trinidad
y Tobago
Uruguay
Política y estrategia
Estrategia nacional
Desarrollo de la estrategia 2 2 2 3 2 3 3
Organización 2 2 2 2 2 2 4
Contenido 3 2 2 3 2 3 2
Defensa cibernética
Estrategia 2 3 2 2 2 2 2
Organización 3 3 2 3 2 2 3
Coordinación 1 2 2 2 2 3 4

36. Cultura y SociedadEn Latinoamérica, foco en los 7 en mejor nivel
Argentina Brasil Chile Colombia México
Trinidad
y Tobago
Uruguay
Cultura y sociedad
Mentalidad de seguridad
En el gobierno 2 2 2 2 2 2 4
En el sector privado 3 3 3 2 2 2 3
En la sociedad 2 2 2 3 1 2 3
Conciencia de seguridad
Sensibilización 2 2 2 3 2 1 4
Confianza en uso de internet
En los servicios en línea 2 3 2 3 2 3 4
En el gobierno electrónico 2 3 2 3 3 2 5
En el comercio electrónico 2 3 3 2 3 3 4
Privacidad en línea
Normas de privacidad 4 3 4 3 4 4 5
Privacidad del empleado 1 2 2 3 3 2 4

37. EducaciónEn Latinoamérica, foco en los 7 en mejor nivel
Argentina Brasil Chile Colombia México
Trinidad
y Tobago
Uruguay
Educación
Disponibilidad nacional
Educación 3 3 2 3 3 2 3
Formación 2 3 2 2 3 2 5
Desarrollo nacional
Desarrollo nacional de la
educación
1 2 1 2 2 1 3
Formación e iniciativas
Capacitación de empleados 2 3 2 3 2 3 4
Gobernanza corporativa
En las empresas estatales y
privadas
3 3 3 2 2 3 2

38. Marcos LegalesEn Latinoamérica, foco en los 7 en mejor nivel
Argentina Brasil Chile Colombia México
Trinidad
y Tobago
Uruguay
Marcos legales
Marcos jurídicos de seguridad
Para la seguridad de las TIC 3 3 3 2 3 3 4
Privacidad, protección de
datos y otros derechos
humanos
3 3 3 3 3 2 5
Derecho sustantivo de
delincuencia cibernética
3 3 3 3 3 3 1
Derecho procesal de
delincuencia cibernética
3 4 4 3 2 3 2
Investigación jurídica
Cumplimiento de la ley 3 4 3 3 4 4 2
Fiscalía 3 2 3 2 2 2 2
Tribunales 2 2 2 2 2 2 2
Divulgación responsable
Divulgación responsable de la
información
1 1 1 1 2 3 1

39. TecnológíasEn Latinoamérica, foco en los 7 en mejor nivel
Argentina Brasil Chile Colombia México
Trinidad
y Tobago
Uruguay
Tecnologías
Adhesión a las normas
Aplicación de las normas y
prácticas mínimas aceptables
2 2 2 2 2 2 2
Adquisiciones 2 2 2 2 2 1 3
Desarrollo de software 2 2 2 2 3 1 2
Organizaciones
Centro de mando y control 4 3 2 3 3 2 3
Capacidad de respuesta a
incidentes
2 4 2 2 3 2 5
Respuesta a incidentes
Identificación y designación 4 3 2 2 4 2 4
Organización 3 4 2 2 3 1 4
Coordinación 2 3 2 2 2 2 4
Resiliencia
Infraestructura tecnológica 3 3 3 3 3 3 3
Resiliencia nacional 2 2 3 2 3 3 3

40. Tecnologías (2)En Latinoamérica, foco en los 7 en mejor nivel
Argentina Brasil Chile Colombia México
Trinidad
y Tobago
Uruguay
Infraestructura crítica
Identificación 2 2 3 2 2 2 2
Organización 2 2 4 2 2 2 2
Planeación de respuesta 2 2 2 1 3 2 3
Coordinación 2 2 2 2 2 2 2
Gestión de riesgos 2 2 2 2 2 2 2
Gestión de crisis
Planeación 3 2 2 2 2 1 2
Evaluación 2 2 2 2 2 2 2
Redundancia digital
Planeación 2 2 2 2 2 3 3
Organización 2 2 2 2 2 1 3
Mercado de la ciberseguridad
Tecnologías de seguridad
cibernética
2 3 2 2 2 2 2
Seguros de delincuencia
cibernética
2 3 3 2 2 1 3

41. Situación de Colombia
Modelo de Madurez (Brasil)

42. Situación de Colombia
Modelo de Madurez (Brasil)

43. Situación de Colombia
Modelo de Madurez (Brasil)

44. Situación de Colombia
Modelo de Madurez (Brasil)

45. Comando de Defesa Cibernética y
una Escuela de Defensa
Cibernética Nacional.
Representantes de las
tres fuerzas armadas
brasileñas
2010 Guía para
infraestructuras críticas
Varios
CSIRTS
Situación de Brasil
Modelo de Madurez (Brasil)

46. Ciberseguridad Industrial en Latinoamérica
CCI (Centro de Ciberseguridad Industrial)

47. Análisis (DAFO)Ciberseguridad Industrial 2016

48. Sectores IndustrialesCiberseguridad Industrial 2016

49. Herramientas DiferenciadorasCiberseguridad Industrial 2016

50. Sin capuchas negras, sin lugares oscuros, sin conspiraciones…
¿Es posible averiguar cuantos sistemas industriales hay expuestos en Latam?
Exposición máximaCiberseguridad Industrial 2016

51. Bajo nivel de uso de IPS/IDS, comunicaciones cifradas y
gateways unidereccionales.
Falta de regulación sobre ciberseguridad industrial
Ausencia de equipos de respuesta especializados
Problemas actualesCiberseguridad Industrial 2016

52. Ambientes Virtuales
Año 2016

53. Mensaje PrincipalPara Latinoamérica
Venimos de 10 años de transformación hacia
datacenters virtuales y nube…
¿y qué visibilidad tenemos desde seguridad?

54. El rol del CISO
Algunas de las problemáticas actuales
Responsable – Sin visibilidad
Controlar – Sin herramientas
Auditar – Sin acceso
Planificar – Sin ser involucrado

55. El rol del CISO
Algunas de las problemáticas actuales
96%+ complejidad que hace 5 años
59%de los cambios no son consultados
99%herramientas obsoletas en virtuales

56. Problemáticas en Ambientes Virtuales
Riesgos principales que han pasado inadvertidos
Cumplimiento y auditoría con tareas manuales
Falta de visibilidad desde áreas de seguridad
Conexión a redes de distintas áreas o empresas
Falta de Hardening, copias y acceso sin control

57. Algunos de los riesgos
Riesgos principales que han pasado inadvertidos
• Copias completas del datacenter (en un USB o cualquier medio)
• Ver consolas de VMs por parte de admins de virtualización
• Acceso no autorizado a ambientes de administración de VMs
• Conexión entre redes de desarrollo y producción
• Publicación en DMZ por error
• Cambios no autorizados
• Incumplimiento de buenas prácticas de hardening
• Acceso a datos en storage confidenciales

58. Control de Integridad
Tanto de configuraciones virtuales
como de archivos
Control de Acceso
Control de Acceso al ambiente
virtual
Gestión de Cambios
El rol de oficial de seguridad
informática, que aprueba o rechaza
cambios
Visibilidad para Seguridad
Los oficiales de seguridad de la
organización sobre las actividades
realizadas en ambientes virtuales
Cumplimiento
• PCI-DSS
• ITIL
• COBIT
• ISO 27001
¿Visibilidad?Para un riesgo existente en cualquier ambiente virtual

59. Admin. Usuarios
Roles de Seguridad y
Control de Acceso sobre
la infraestructura virtual
Etiquetado
Segmentación de la
infraestructura virtual por
categoría y niveles de
seguridad.
Gestión
Gestión centralizada,
monitoreo, reportes
y controles
Protección
Protección contra
amenazas específicas
en entornos virtuales
Control
Supervisión de integridad
y Gestión de cambios de
las máquinas virtuales e
inicio de sistema seguro
Evitar fuga de
información
Protección contra la copia no
autorizada, la clonación, la
transferencia y la destrucción
de las máquinas virtuales
¿Qué necesitamos?

60. ¿Cómo solucionarlo?
• Clasificar y etiquetar Hardware virtual
• Control de Cambios
• Control de Integridad
• Monitoreo de red de administración
• Controlar acceso a las consolas de VMs
• Control de copias a USB
• Control de snaphots
• Monitoreo de tráfico de red virtual
• Correlación de eventos de seguridad

61. Puntos clave y conclusiones

62. Mensaje PrincipalPara Latinoamérica
La seguridad es de suma importancia
para facilitar el progreso de la sociedad
incorporando tecnología

63. Mensaje PrincipalPara ambientes virtuales
Es necesario entender el cambio de paradigma,
involucrarse y actualizar las herramientas y
controles en ambientes virtuales

64. Riesgos PrincipalesPrincipales riesgos a considerar

65. Colaboración
entre países en
“Ciber-temas”
Implementar procesos de
mejora y modernización en
forma segura
2
1

66. Reforzar
cooperación
Pública-Privada
Pensamiento
estratégico y
objetivos a
largo plazo,
considerando
virtualización y
nube
4
3

67. Conclusiones
Algunas ideas y puntos a trabajar en forma urgente
Es necesario invertir en capacitación y tecnologías modernas
La situación en Latam es alarmante
Aún hay mucho por hacer, la mayoría de los países en nivel de
madurez bajo
Es necesaria la colaboración entre países para resolver
incidentes

68. ¡Muchas gracias!
Mateo Martínez
CEO KOD LATAM SECURITY
www.kod.uy