El documento aborda la importancia de la seguridad efectiva y la necesidad de integrar tecnologías para mejorar la toma de decisiones en el ámbito de la seguridad. Se discuten los desafíos actuales, como la interconectividad y la evolución de amenazas, así como la importancia de herramientas como el SIEM para la gestión de incidentes. Además, se presentan iniciativas de investigación e innovación dirigidas a optimizar la seguridad en contextos diversos y en infraestructuras críticas.

1. Seguridad efectiva Mikel Uriarte Responsable de I+D+i 24 de noviembre de 2011

2. Índice Introducción Claves y gap tecnológicos hacia la seguridad SIEM como soporte integral a la toma de decisiones Evaluación continua del aseguramiento de las medidas seguridad operativas Política de seguridad efectiva ante constantes cambios Conclusiones

3. Antecedentes Incidentes de seguridad Trasciende al ámbito local Incidentes en seguridad de gran impacto Malware afecta funcionamiento planta nuclear Davis Besse (EEUU-Agosto 2003) Adolescente modifica cambio de agujas en un tranvía (Polonia 2008) Stuxnet (Junio 2010) Caracterización de los incidentes de seguridad

4. Contexto Un mundo interconectado Internet del Futuro IoF Información accesible a través de múltiples dispositivos Servicios en la nube Nuevos tipos de ataque y amenazas Retos de la seguridad derivados de la interoperabilidad Prestación de servicios públicos a ciudadanos Demanda de mayor seguridad industrial Seguridad y privacidad en redes sociales Seguridad en entornos socio-sanitarios y en el trabajo Seguridad aplicada a dispositivos móviles

5. Horizonte 2020+ Espacio socio económico Innovation as a cultural attitude Homo Connectus: Convergence of homo-sapiens with the digital world Social computing Social dynamics in a Multi-faced Society Humanistic capitalism Natural capitalism Consumerism Finance versus economics Smart society, smart cities, smart government Social transparency http://www.fines-cluster.eu/fines/jm/Front-Page-News/fines-research-roadmap-have-your-say.html Social networks and Wisdom of Crowds World sustainability Life-work balancing Societal values Neo-positivism Social solidarity vs individualism Aging Globalization Urbanization Society of consumption

6. Horizonte 2020+ Retos de investigación Augmented reality Autonomic objects and networks Business OSINT Business-IT misalignment Change management Complex Event Processing Complexity Theory Creative commons Crowdsourcing Enterprise Architectural Framework From Linked Open Data to Ld O. knowledge http://www.fines-cluster.eu/fines/jm/Front-Page-News/fines-research-roadmap-have-your-say.html Innovation & continuous re-design Knowledge mining Knowledge pragmatics Knowledge rendering Semantic annotation and filtering Semantic interoperability Simulation and ‘What-If’ systems Smart objects exploitation Social computing System mashup Virtual reality

7. Horizonte 2020+ Espacio tecnológico Advanced negotiation techniques Advanced Enterprise Service Bus Augmented reality Cloud computing Component-based Software Engineering Data, information, knowledge quality Haptic interface Inconsistent and imprecision-tolerant systems Intelligent Personal Digital Assistant Linked Open Knowledge, Knowbot Knge. mining, text mining, Natural Lge. Proc. http://www.fines-cluster.eu/fines/jm/Front-Page-News/fines-research-roadmap-have-your-say.html Model-driven Devel. (MDD) and Architectures (MDA) Multi-Agent Systems Proactive and autonomic comp. and networks, CEP. Probabilistic computational models Semantic annotation & filtering Semantic data analytics, semantic routing Service-Oriented Architectures and Platforms Simulation and ‘what-if’ engines, Decision Theory Trust and security, digital (multiple) identities Symbiotic human/machine knowledge discovery Fuzzy analysis based on human expert assessment

8. Four Security missions Security of citizens Security of infrastructures and utilities Intelligent surveillance and border security Restoring security and safety in case of crisis Three cross cutting activities Security systems integration, interconnectivity and interoperability Security and Society Security Research coordination and structuring FP7 R&D Europe, Security

9. Punto de partida Plan de seguridad sistematizado como base: Análisis y Prevención Detección temprana Restauración Mitigation/Prevention Risk Assessment Preparadness Warning/Evacuation Saving People Providing Inmmediate Assitance Assessing Damage Ongoing Assistance Restoration of Infrastructural Services Reconstruction (Resettlement, Relocation) Economic & Social Recovery Ongoing Development Activities Risk Assesment Mitigation, Prevention

10. Evolución Análisis Gartner, June 29th, 2010 “ Enterprise Security Intelligence” (ESI) holds the potential to transform what the enterprise understands about its own security efforts, enabling correlation and impact analysis across all sources of security information and contextual information, detailed understanding of enterprise security, and improved decision making . In this, ESI aims to deliver both improved security and advanced business value . The concept of "intelligence" is crucial: ..The current disjointed approach to security is marked by the lack of knowledge management , analytics and planning capabilities .

11. SIEM Visibilidad de conjunto Limitaciones Sistemas y soluciones de seguridad inconexas y no integradas Cada sistema proporciona una visión parcial de la seguridad Contexto limitado, históricos limitados y búsquedas lineales Los SIEM aportan visión integral de la actividad de usuarios, acceso a datos y aplicaciones mejorando la percepción de sistemas inconexos (pieza fundamental ESI para Gartner, Forrester, etc.) http://www.4shared.com/video/eUO23GCe/Gartner_Exclusive-_Enterprise_.html

12. SIEM Soporte de la toma de decisiones Los SIEM (Security Information and Event Management) aportan una visión de integral de una organización o de un sistema mejorando la percepción mediante Recolección información de seguridad Monitorización de estatus o nivel de seguridad Descubrimiento de activos e inventario de software Priorización de eventos de seguridad Capacidades de correlación extensivas Gestión de alertas y visualización Respuesta en tiempo real a incidentes Capacidad de reporting

13. SIEM Evolución Las tecnologías de los SIEM proporcionan dos factores clave de base Gestión integral de logs e informes orientados al cumplimiento Monitorización en tiempo real y gestión de incidentes Evolución hacia la monitorización de una política de seguridad así como el seguimiento del cumplimiento Nuevas líneas hacia Security Intelligence aplicando referencias tanto de seguridad como de contexto en los motores de razonamiento y correlación

14. Proyecto I+D+i: Secricom Objetivos: Resolver los problemas de despliegue de comunicaciones integradas en situaciones de crisis Participantes: Países: Reino Unido, Eslovaquia, Polonia, Francia, España, Luxemburgo, Alemania, Austria Empresas: QinetiQ, Ardaco, Infineon, iTTi, Nextel, UISAV, ULU, … Alcance: I+D+i Europa – 7º Programa Marco Foco: Producto http://www.secricom.eu/

15. Seguridad de la información de SECRICOM: Comunicaciones seguras para gestión de crisis transfronterizas Infraestructura heterogéneas de agencias civiles independientes Frontera distribuida entre infraestructuras interoperables en cooperación Seguridad dinámicamente reconfigurable para diversos datos de comunicación y contextos de intercambio Operación transparente y sin fisuras para los usuarios finales Resultado: un modelo de seguridad adecuado para comunicaciones seguras e interoperables en situaciones de crisis, y un Centro de monitorización y control de la seguridad como evolución de un SIEM Centro de control y monitorización de la seguridad

16. El centro de monitorización y control de la seguridad de las comunicaciones (basado en un SIEM evolucionado) en SECRICOM proporciona Centro de control y monitorización de la seguridad Awareness Control Inventario de usuarios y recursos Monitorización de actividad Accounting Detección de anomalías Correlación de eventos Reporting Control de acceso Aislamiento Respuesta a eventos Gestión de incidentes Gestión de la configuración

17. Centro de control y monitorización de la seguridad

18. Objetivos: Aseguramiento de la seguridad de las infraestructuras TIC de operadores de telecomunicaciones Participantes: Países: Francia, España, Luxemburgo, Suecia, Finlandia Empresas: Alcatel Lucent, EADS, Telia Sonera, VTT, Nextel, … Alcance: I+D+i Europa – Programa Celtic Foco: Producto y Estandar http://projects.celtic-initiative.org/bugyo-beyond/ Proyecto I+D+i: Bugyo Beyond Collaborative research project Operator(s) Security consultants Network Security testing lab Models and policy experts Description language and middleware experts Security appliances constructor Telecom equipment providers Telecom and Defense integrator

19. Contexto Aseguramiento de las medidas de seguridad implantadas 2 Nadie se permite la securización 100% 1 Securizar infraestructuras que soportan servicios de telecomunicaciones es una batalla continua contra enemigos desconocidos: dinamismo 3 Nuevas funciones de seguridad no garantizan necesariamente mejor seguridad, pero incrementan la complejidad de gestión ? ¿Cómo te sientes en relación a la seguridad de tus infraestructuras? 4 Las infraestructuras son operadas por personas en entornos altamente estresantes: los posibles errores no se pueden obviar

20. Aseguramiento de las medidas de seguridad implantadas Enfoque 2 La configuración correcta de la seguridad en los puntos críticos es frecuentemente suficiente para limitar los problemas de mayor impacto 1 Se pueden identificar los elementos críticos en la infraestructura y evaluar el impacto de las brechas de seguridad 3 La seguridad mejor gestionada es la seguridad medible ! El aseguramiento de la seguridad en la operación contribuye a la optimización de la seguridad desplegada 4 Las herramientas pueden asistir en la resolución de fallos y errores antes de convertirse en problemas de seguridad

21. Reto The Security assurance gives the confidence end users and providers can have in deployed security measures Requiere innovación Common Criteria (ISO 15408) Product-centric Objective is certification In lab conditions Unsuitable for systems in operation Aseguramiento de las medidas de seguridad implantadas

22. Zoom Aseguramiento de las medidas de seguridad implantadas

23. Objetivos BUGYO aims to fill a gap for Telecom Security management: Security Countermeasures correctness Leverage security audits & certification of infrastructure objects Expected security effectiveness in the telecom world Security assurance as: “confidence that a system meets its security objective and therefore is cost-effective to protect against potential attacks and threats” Aseguramiento de las medidas de seguridad implantadas

24. Metodología Bugyo Security Assurance in BUGYO Framework to measure, maintain and document security assurance of critical ICT-based services infrastructures Security assurance by evaluation of security based on a continuous measurement and monitoring. Security assurance as: “confidence that a system meets its security objective and therefore is cost-effective to protect against potential attacks and threats” Aseguramiento de las medidas de seguridad implantadas

25. Assurance profiles specification Modelling support Exchange assurance information between 3-parties Ongoing standardization process at ETSI TISPAN Security WG7 Measurement infrastructure for evolving networks A Security Assurance Cockpit for multi-domain networks Aseguramiento de las medidas de seguridad implantadas Resultados del proyecto BUGYO BEYOND

26. Moving Target of Measurement MFW Commands & notifications Base measures SAC Assurance Information Adaptive Assurance Views Management interface SAC Assurance Plane Control & Mgt Plane Resilient Infrastructure Service Providers Service Customers Network mgt Incident mgt Risks mgt Arquitectura eficiente, escalable, interoperable Aseguramiento de las medidas de seguridad implantadas

27. Visión resumida como factor de mejora Aseguramiento de las medidas de seguridad implantadas Measurement Objective (i.e. the Assurance Profile) 0.25 0.50 0.75 The best the company may expect (i.e. MesObj coverage by probes) Measurement history (i.e. min and max coverage in the past) Currently measured conformity

28. Proyecto I+D+i: PREDYKOT Objetivos: Nuevas herramientas para la actualización dinámica y el mantenimiento de políticas de seguridad en entornos multidominio Participantes: Países: Francia, España, Finlandia, Turquía Empresas: Evidian, EADS, Thales, Gemalto, Nextel, VTT, ZIV, Innovalia… Alcance: I+D+i Europa - ITEA-2 Foco: Producto http://www.itea2.org/project/index/view/?project=10104 PREDYKOT

29. Esquema clásico en la aplicación de una política de control de acceso Política de seguridad efectiva ante constantes cambios Policy Application domain Actuators Sensors Audit Reporting Edition

30. Ecosistema PREDYKOT, persiguiendo la efectividad Política de seguridad efectiva ante constantes cambios Application domain Steering dashboard Monitoring Governance Risk mgt Compliance Policy Actuators Sensors Realtime & history Reporting Edition Semantics & reasoning

31. La piedra angular: cerrar el ciclo de la política PREDYKOT proporcionará una solución innovadora, modular y consistente para asegurar que la política se mantiene eficiente ante cualquier cambio administrativo, contextual, etc. Política de seguridad efectiva ante constantes cambios Steering dashboard Monitoring Governance Risk mgt Compliance Policy Application domain Actuators Sensors Realtime & history Reporting Edition Semantics & reasoning

32. Nextel I+D+i Datapixel Nextel S.A. CBT SQS Carsa Innovalia Association Unimetrik Trimek Alianza Innovalia actúa como motor de la l+D+i y la Internacionalización ETORGAI CENIT AVANZA FP7 ITEA2 CELTIC Detectar y analizar las limitaciones tecnológicas actuales Transformar en proyectos las buenas oportunidades Experimentar con tecnologías incipientes Mejorar los productos y servicios actuales Transferir el conocimiento al negocio Generar oportunidades de negocio España Bélgica

33. Conclusiones Punto de partida: Un plan de seguridad y gestión sistemática Soluciones de seguridad específicas, más avanzadas, más integrables, … más inteligentes SIEM elemento clave para el análisis integral de datos IT comprensible Evaluación continua del aseguramiento de las medidas de seguridad operativas. Refinamiento de las políticas de seguridad Las iniciativas en proyectos de I+D+i están potenciando el concepto de efectividad en la seguridad

34. Dudas y preguntas Mikel Uriarte, [email_address] Responsable de I+D+i Nextel S.A. Eskerrik asko Gracias Thank you Merci Danke Grazie 谢谢 спасибо Dank Eskerrik asko ?