El documento habla sobre los desafíos y oportunidades de la seguridad TIC para emprendimientos tecnológicos en Argentina. Explica que la seguridad TIC es estratégica para el país y la región, y que la investigación, desarrollo e innovación son clave para la soberanía tecnológica. También analiza el mercado global de software y servicios de seguridad TIC, y concluye que la seguridad TIC requiere un enfoque multidisciplinario y el desarrollo de un ecosistema sust
Presentació de Javier Urtiaga, soci responsable de Ciberseguretat a PwC, presentada a la Trobada dels Serveis Informàtics de les Universitats de Catalunya (TSIUC) celebrada el 3 de desembre a La Salle Campus Barcelona – Universitat Ramon Llull sota el lema “Gestió de riscos de les TIC”.
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...Nextel S.A.
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad Industrial
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
Presentación de Tomás Castro, Presidente de la AEI Ciberseguridad, durante la jornada "Presentación del Capítulo Andaluz de la AEI Ciberseguridad y de la certificación de proveedores de ciberseguridad" celebrada el 22 de septiembre de 2015 en el Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones (CITIC).
Presentació de Javier Urtiaga, soci responsable de Ciberseguretat a PwC, presentada a la Trobada dels Serveis Informàtics de les Universitats de Catalunya (TSIUC) celebrada el 3 de desembre a La Salle Campus Barcelona – Universitat Ramon Llull sota el lema “Gestió de riscos de les TIC”.
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...Nextel S.A.
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad Industrial
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
Presentación de Tomás Castro, Presidente de la AEI Ciberseguridad, durante la jornada "Presentación del Capítulo Andaluz de la AEI Ciberseguridad y de la certificación de proveedores de ciberseguridad" celebrada el 22 de septiembre de 2015 en el Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones (CITIC).
Iván Arce - Cómo y por qué patear el tablero de la seguridad informáticaGuido de Caso
La seguridad informática es una disciplina pseudo-científica con siglos
de antiguedad. Su encarnación moderna, nacida al calor de la 2da guerra
mundial, fue la ocupación principal de Alan Turing durante años, todo lo
demás lo hacía en su ratos libres :)
A partir de los 70s (del siglo pasado), con el auge de las computadoras
hogareñas y posteriormente las computadoras personales y las redes, la
seguridad informática dejo de ser una cuestión puramente militar y se
convirtió paulatinamente en una disciplina con impacto directo sobre
gran parte de la población mundial y en un negocio de decenas de miles
de millones de dólares por año. Es un campo fértil para ejercitar
tanto la creación
artistica y la investigación cientifica, como el charlatanismo y los
negocios inescrupulosos. En la charla daré un pantallazo general sobre
la historia y estado actual de la disciplina condimentada con algunas
anecdotas y experiencias propias y, con suerte, incitaré a que los
asistentes se involucren activamente para cambiar el estado de las cosas.
Aprendiendo de nuestros errores. La verdadera importancia de los defectos de ...Software Guru
Mucho se ha hablado de cómo y en qué momento se debe probar, pero ¿y después de las pruebas? El verdadero valor de las pruebas está en sus resultados. Cuando los procesos y equipos de prueba solo tienen la intención de encontrar defectos y no la de prevenirlos, algo se está haciendo de forma incorrecta.
Si un insecto se nos aparece lo aplastamos. Si un biólogo encuentra uno, lo examinará. El tester debe contar con ésta capacidad en el mundo del software y aprender de los defectos.
El objetivo de la sesión es mostrar la importancia que tienen los 'bugs' en el camino a la calidad, y el deber que tienen las áreas involucradas en base al Proceso de Administración de Defectos:
- Principales errores del tester tratando con defectos.
- Principio 4 del testing: Agrupación de defectos.
- Ciclo de vida de un defecto.
- Severidad y Prioridad.
- Mejores prácticas para la asignación y comprobación de resolución (re-test y regresión)
- TMMi y la Prevención de Defectos.
Semblanza del conferencista:
Carlos González cuenta con amplia participación en proyectos de TI cubriendo ciclos de pruebas completos. Actualmente se desempeña como Test Specialist en IBM México donde ha contribuido en la implementación de procesos y metodologías de pruebas
Apasionado por el Testing; creador de la iniciativa Latin America Software Testing (testingla.com) buscando establecer criterios sólidos para el desarrollo y madurez de las pruebas en México y Latinoamérica.
Cuenta con la certificación otorgada por el ISTQB en fundamentos de pruebas.
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
Ponecia: "INTECO e-confianza"
Félix Barrio Juárez INTECO
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
Iván Arce - Cómo y por qué patear el tablero de la seguridad informáticaGuido de Caso
La seguridad informática es una disciplina pseudo-científica con siglos
de antiguedad. Su encarnación moderna, nacida al calor de la 2da guerra
mundial, fue la ocupación principal de Alan Turing durante años, todo lo
demás lo hacía en su ratos libres :)
A partir de los 70s (del siglo pasado), con el auge de las computadoras
hogareñas y posteriormente las computadoras personales y las redes, la
seguridad informática dejo de ser una cuestión puramente militar y se
convirtió paulatinamente en una disciplina con impacto directo sobre
gran parte de la población mundial y en un negocio de decenas de miles
de millones de dólares por año. Es un campo fértil para ejercitar
tanto la creación
artistica y la investigación cientifica, como el charlatanismo y los
negocios inescrupulosos. En la charla daré un pantallazo general sobre
la historia y estado actual de la disciplina condimentada con algunas
anecdotas y experiencias propias y, con suerte, incitaré a que los
asistentes se involucren activamente para cambiar el estado de las cosas.
Aprendiendo de nuestros errores. La verdadera importancia de los defectos de ...Software Guru
Mucho se ha hablado de cómo y en qué momento se debe probar, pero ¿y después de las pruebas? El verdadero valor de las pruebas está en sus resultados. Cuando los procesos y equipos de prueba solo tienen la intención de encontrar defectos y no la de prevenirlos, algo se está haciendo de forma incorrecta.
Si un insecto se nos aparece lo aplastamos. Si un biólogo encuentra uno, lo examinará. El tester debe contar con ésta capacidad en el mundo del software y aprender de los defectos.
El objetivo de la sesión es mostrar la importancia que tienen los 'bugs' en el camino a la calidad, y el deber que tienen las áreas involucradas en base al Proceso de Administración de Defectos:
- Principales errores del tester tratando con defectos.
- Principio 4 del testing: Agrupación de defectos.
- Ciclo de vida de un defecto.
- Severidad y Prioridad.
- Mejores prácticas para la asignación y comprobación de resolución (re-test y regresión)
- TMMi y la Prevención de Defectos.
Semblanza del conferencista:
Carlos González cuenta con amplia participación en proyectos de TI cubriendo ciclos de pruebas completos. Actualmente se desempeña como Test Specialist en IBM México donde ha contribuido en la implementación de procesos y metodologías de pruebas
Apasionado por el Testing; creador de la iniciativa Latin America Software Testing (testingla.com) buscando establecer criterios sólidos para el desarrollo y madurez de las pruebas en México y Latinoamérica.
Cuenta con la certificación otorgada por el ISTQB en fundamentos de pruebas.
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
Ponecia: "INTECO e-confianza"
Félix Barrio Juárez INTECO
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testingArgentesting
Cómo la 4ta revolución industrial afectará al testing por Daniel Tolosa
Sobre la charla:
Esta 4ta. revolución industrial, conocida también como Industria 4.0, se caracteriza por la fusión de tecnologías emergente de campos tan diferentes como la robótica, la inteligencia artificial, la nanotecnología, la computación cuántica, la biotecnología, la impresión 3D, blockchain y el internet de las cosas.
Muchas de estas tecnologías nos han tomado por sorpresa y esta afectando a muchas empresas.
En esta charla discutiremos sobre la necesidad de que los ingenieros de software, especialmente las personas dedicadas al control de calidad implementen herramientas y técnicas especializadas para las pruebas de software orientadas a la industria 4.0.
Sobre Daniel:
Daniel Tolosa es Analista de Sistemas de la Universidad Tecnológica Nacional de Argentina y tiene experiencia en definición e implementación de procesos en pequeñas y medianas organizaciones; definición de procesos basados en el modelo de madurez CMM y CMMI; definición de pruebas automatizadas, incluyendo análisis y diseños de casos de prueba, ejecución y evaluación de resultados; Herramientas de Automatización de Pruebas Funcionales y de Performance; administración de proyectos de Testing y en la definición y captura de requerimientos.
Anteriormente, trabajó como en Consultor Senior en GSI Internacional, así como en diversos bancos y entidades financieras en Argentina, Estados Unidos, Puerto Rico y República Dominicana.
Se oye hablar de "Cloud" y de "Internet Industrial de las cosas". Aprovecha esta oportunidad para aprender desde cero cómo conectarte con una "cosa industrial" a través de internet de forma segura y sencilla y su potencial en proyectos actuales.
Estamos inmersos en un proceso de transformación digital de la sociedad y de la economía. La Administración no es ajena a estos cambios y dispone de su propio Plan de Transformación Digital de la AGE y sus Organismos Públicos que, junto con las Leyes 39 y 40 de Procedimiento Administrativo y Régimen Jurídico, hacen que los conceptos seguridad de la información y ciberseguridad acaben convergiendo.
En la medida en la que las organizaciones aumentan su nivel de digitalización, deben gobernar la seguridad desde un punto de vista estratégico, incrementando sus esfuerzos por gestionar los riesgos a los que se enfrentan y el cumplimiento normativo.
El escenario en el que se encuentra actualmente la Administración General del Estado es de amenazas crecientes en número y sofisticación, nuevos requisitos legales de Protección de Datos, y de un organigrama en el que los responsables de ciberseguridad son los departamentos de TI, que se encuentran en un proceso de transformación orientado a la consolidación y utilización de servicios compartidos, todo ello desde el principio de “no incremento del gasto público”.
Esta situación es un cóctel explosivo y no debemos olvidar que la seguridad es uno de los pilares de la transformación digital, ya que sin ella construiremos un gigante con pies de barro.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
1. Seguridad TIC
Desafíos y oportunidades para emprendimientos
de base tecnológica en Argentina
Iván Arce – Programa de Seguridad en TIC Fundación Dr. Manuel Sadosky
Córdoba Tech Day – 2 de septiembre de 2014
2. Presentación
…… - 2012 PROGRAMA STIC – Fundación Dr. Manuel Sadosky
Organización sin fines de lucro público-privada dedicada a promover, robustecer y articular las
actividades de investigación, desarrollo e innovación en TIC entre el sector privado, sistema
científico-tecnológico y estado argentino.
http://www.fundacionsadosky.org.ar
2011-1996 CORE SECURITY TECHNOLOGIES – Fundador & CTO
Empresa de software y servicios de seguridad informática fundada en 1996 en Argentina.
Primera en desarrollar software comercial para penetration testing (2002, CORE IMPACT)
Hoy: 1600+ clientes en todo el mundo (NASA, Cisco, Apple, Chevron, Lockheed Martin,
Raytheon, Boeing, Abbot, Pfizer, GE, Honeywell, AT&T, BT, Qualcomm, US FAA, US NRC…)
150-200 empleados, centro de I+D en Buenos Aires, oficinas comerciales en Boston, EEUU.
9 patentes internacionales otorgadas, 100+ publicaciones técnicas, 100+ vulnerabilidades
http://www.coresecurity.com
2014-2003 IEEE Security & Privacy Magazine – Editor Asociado / Miembro del Consejo Editorial
Revista especializada en seguridad y privacidad de la Sociedad de Computación del IEEE
http://www.computer.org/portal/web/computingnow/securityandprivacy
2014 – Miembro fundador del Center for Secure Design de IEEE-CS
http://cybersecurity.ieee.org/center-for-secure-design.html
3. Qué es la Fundación Sadosky ?
• La Fundación Dr. Manuel Sadosky es una institución público-privada cuyo objetivo
es promover la articulación entre el sistema científico - tecnológico y la estructura
productiva en todo lo referido a las Tecnologías de la Información y la
Comunicación (TIC)
• Formalmente creada por Decreto del Poder Ejecutivo Nacional en Junio de 2009,
comenzó a funcionar a fines de 2011
• Lleva el nombre de quien fuera un pionero y visionario
de la informática tanto en el país como en la región
• MinCyT, CESSI y CICOMRA Dr. Manuel Sadosky
(1914-2005)
4. Tenemos objetivos de mediano y largo plazo
“La interacción necesaria entre el gobierno,
la estructura productiva y la infraestructura
científico-tecnológica no se alcanza con la
sola expresión de deseo, mediante un decreto,
sino que es consecuencia de un proceso
socio-político que se acelera en la medida en
que sus protagonistas vayan teniendo una mayor
conciencia de su rol, posean intereses comunes,
definan objetivos comunes y se comuniquen en
un lenguaje común”
Jorge A. Sábato
Gobierno
Estructura
Productiva
Infraestructura
Científico –
tecnológica
TIC
5. Cuál es el propósito del Programa STIC?
Visión
“Las TIC como factor transformador para una sociedad con un
cultura emprendedora que promueve e impulsa la creación de
conocimiento, la innovación productiva y sustentable, la
competitividad de la economía y la mejora de la calidad de vida de
la población sin que ello redunde en un aumento de la
dependencia tecnológica o de la vulnerabilidad de la
infraestructura crítica“
6. Funciones del Programa STIC
1. Desarrollar y robustecer capacidades de I+D+i
2. Articulación Academia-Industria-Estado
3. Divulgación, asesoría y capacitación
4. Vinculación regional y extra-regional con centros de
I+D de Seguridad TIC
5. Proyectos Faro de I+D+i
8. Porqué hablar de Seguridad de TIC ?
o Tiene relevancia estratégica para nuestro país y nuestra región
o Problemática real con impacto directo sobre todos los habitantes
o Sin seguridad no hay privacidad ni posibilidad de garantizar otros
derechos fundamentales.
o Seguridad de TIC es transversal, el software es omnipresente
o Investigación, Desarrollo e Innovación
Clave para la “soberanía tecnológica”
Ataque y Defensa son complementarios, ambos necesarios.
o Es necesario pero no suficiente:
Políticas nacionales, regulación e implementación de controles
Desarrollo del sector productivo
Crear y robustecer un ecosistema sustentable
10. Si, hay muchos bugs, pero son graves?
Distribución por severidad (CVSS)
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
2014
E
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
LOW 190 153 100 210 453 517 229 180 199 277 260 511 520 633
MEDIUM 713 998 747 1274 2438 3335 3125 2609 2812 2267 2068 3014 2930 3896
HIGH 774 1005 680 968 2042 2756 3160 2843 2722 2095 1823 1764 1736 1829
% del total de vulns
Año
Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
LOW
MEDIUM
HIGH
11. Cuál es el alcance del problema?
o Las estadísticas mostradas son de:
• Problemas de implementación (bugs)
• Publicados por fabricantes o terceros (investigadores, industria, etc.)
• Catalogados con un ID único (CVE) por Mitre.org
• Solo aplicables a software comercial ya desplegado
o Se estima que los bugs solo representan el 50% de los problemas de
seguridad del software. El otro 50% corresponde a fallas de diseño
(flaws)
o La cantidad de bugs es al menos 1 o 2 órdenes de magnitud mayor si
consideramos software a medida o desarrollado para uso interno.
o El costo de arreglar un bug crece exponencialmente en el tiempo:
{Requerimientos, diseño, implementación, testing, despliegue, mantenimiento}
13. Mercado global de software y servicios de seguridad TIC
o Mercado global: 71.100MM USD* (2014)
• Seguridad Computadoras de Escritorio y Servers: $7.170 MM USD
(2010)
• Seguridad de Redes: $7.540MM USD (2010)
• Gestión de Identidades y Accesos: $4.450MM USD (2010E)
• Gestión de Seguridad y Vulnerabilidades : $3.400MM USD (2010)
• Seguridad Web: $1.700MM USD (2010)
• Protección contra Filtración de Datos (DLP): $680MM (2013)
Crecimiento estimado > 18% para el 2014
o Crecimiento estimado al 2015: 76.900 MM USD* (8,2%)
o >1.000 Empresas de Seguridad TIC $10MM USD/año
o Menos del 1% son de capitales o tecnología nacional
* Forecast Overview: Information Security, Worldwide, 2012-2018, 2Q14 Update, Agosto 2014, Gartner
14. Mercado global de seguridad de las TIC
Mercado global de software y servicios de seguridad
TIC
15. “One Ring to rule them all, One Ring to find them,
One Ring to bring them all and in the darkness bind
them“
El anillo de Sauron, El Señor de los Anillos
Novela de J.R.R. Tolkien, 1954-1955
16. QUE TIENEN EN COMÚN TODAS LAS SOLUCIONES DE LA INDUSTRIA?
• Ninguna funciona bien…
• Todas introducen nuevos puntos de falla
• Arquitectura del siglo pasado (1980-1990)
• Interfaz gráfica del siglo pasado (1980-2000)
• Generación centralizada de valor
(contenido)
• Distribución centralizada de valor
• Estructuras jerárquicas de gestión,
topología estrella
• Chapucerismo y charlatanismo tecnológico
17. PROBLEMAS AUN NO RESUELTOS
• Cómo desarrollar software sin vulnerabilidades
• Cómo encontrar bugs en forma eficiente
• Cómo explotar bugs en forma eficiente
• Cómo arreglar bugs en forma eficiente (y efectiva)
• Cómo determinar si un programa es bueno o malo
• Cómo determinar si un programa es una variante de
otro
• Cómo determinar si alguien nos está atacando
• Cómo determinar la mejor forma de atacar a otro
• Cómo guardar un secreto
• Cómo computar en secreto
• Cómo gestionar la seguridad TIC de una organización
18. ∄ programa que determine …
/* abo1.c *
* specially crafted to feed your brain by gera */
/* Dumb example to let you get introduced... */
int main(int argv,char **argc) {
char buf[256];
strcpy(buf,argc[1]);
}
Si el programa tiene un defecto de seguridad
El alcance del problema de seguridad.
Si el programa es “bueno” o “malo”
Que input hay que darle para que imprima:
“Aguante Belgrano de Córdoba!”
20. El gobierno formal y el gobierno real
o Componentes fundamentales
Internet Protocol (IP)
Domain Name System (DNS)
Border Gateway Protocol (BGP)
Secure Socket Layer (SSL)
Network Time Protocol (NTP)
En los últimos 15 años todos ellos “evolucionaron” hacia la centralización
del comando y control de su funcionamiento
o 10 de 13 DNS root servers operan bajo jurisdicción de EEUU
http://www.iana.org/domains/root/servers
o 3 autoridades certificantes (bajo jurisdicción de EEUU) firman mas del 75%
de los certificados SSL
http://www.netcraft.com/internet-data-mining/ssl-survey
o Los 10 principales proveedores de inter-conectividad en Internet (Tier 1)
son extra-regionales
http://as-rank.caida.org/?mode0=org-ranking
o
21. Quienes definen los estándares técnicos ?
Fuente: http://www.arkko.com/tools/rfcstats/companydistrhist_norm.html
22. De dónde son los autores de los estándares técnicos?
Argentina:30 (0,34%) Brasil:7 (0,08%) México: 3 (0,03%) Colombia: (0,03%)
Fuente: http://www.arkko.com/tools/allstats/d-countrydistr.html
24. Contexto Legal
o Espionaje informático (ciberespionaje)
Ley 25.520 “Inteligencia Nacional”
o Delito informático (ciberdelito)
Ley 26.388 “Delito Informático”
Ley 35.326 “Protección de los datos personales”
Convenio sobre ciberdelincuencia (Budapest)
- Panamá y Rep Dominicana, unicos paises signatarios de la región
- Potencial efecto negativo sobre actividades de I+D (Articulo 6)
http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG
o Guerra cibernética (ciberguerra)
-Wassenaar Arrangement (Dic. 2013)
El “software de intrusión” agregado a la lista de tecnologías de uso dual con
controles de exportación (Categoría 4)
http://www.wassenaar.org/controllists/index.html
25. Legislación y regulación extranjera
o Sarbanes-Oxley Act (SOX) – EEUU
Establece obligaciones pare empresas que cotizan en bolsa
o Payment Card Industry Data Security Standard (PCI-DSS)
Requerimientos y estándares para organizaciones que operan con
datos de tarjetas de crédito.
o Gramm-Leach-Bliley Act (GLB) – EEUU
Establece requerimientos a la industria financiera (bancos,
aseguradoras, financieras, etc.) para la protección de la información
financiera de sus clientes
o Data Protection Directive (Directive 95/46/EC) – UE
Regula procesamiento de datos personales por paises miembros de la
UE. Parte componente de las leyes de privacidad y derechos humanos.
27. I+D+i para Seguridad de las TIC en Argentina
o Existe una oportunidad de negocios en el mercado global de STIC
o Tiene relevancia estratégica para nuestro país
o Problemática real con impacto directo sobre todos los habitantes
• Hay software por todos lados y cada vez más
• Sin seguridad no hay privacidad
o Es necesario pero no suficiente
Regulación e implementación de controles operativos
Desarrollo del sector productivo
Crear y robustecer un ecosistema sustentable
o El estudio de la Seguridad TIC requiere enfoque multi e interdisciplinario.
39. 2013+: Programas secretos
“viento plateado del oeste”
• Captura de comunicaciones en tránsito por EEUU
• Acceso a la red vía “socio” (proveedor de comunicaciones: Verizon? L-3?)
• Específico para Sur y Centro América
• Captura: Metadata, Voz y Fax (DNR)
• Captura: Metadata Y contenido (DNI)
“habilitando inteligencia de señales”
• Busca influir subrepticiamente o modificar activamente el diseño de
productos de la industria TIC de EEUU y extranjera para hacerlos
susceptibles a actividades de obtención de inteligencia
• Presupuesto 2013: $255mm USD, 141 empleados (personal contratado)
• Insertar vulnerabilidades en sistemas comerciales de cifrado, dispositivos de
red, sistemas IT, dispositivos de usuario.
• Influir sobre politicas y estándares técnicos de criptografía
• Subvertir chips de dispositivo comerciales para cifrado de VPN y Web (SSL)
• Captura de comunicaciones VoIP P2P
• Captura y descifrado de comunicaciones 4G/LTE
40. 2013+
Internet 2.0+
Dispositivos Móviles
Redes sociales
Computación en la nube
Redes Definidas por Software
(SDN)
Mercados de Contenido
High Frequency Trading(HFT)
Real-Time Bidding (RTB)
Dispositivos “Inteligentes”
“Internet de las Cosas”
Bioinformática