SlideShare una empresa de Scribd logo

Tech Talk 01 - Cyber Security - Seguridad en la Red Interagencial[1]

Descargar como PPSX, PDF
Andrés Colón Pérez
Andrés Colón Pérez

Este documento resume varios incidentes de seguridad cibernética que afectaron a agencias gubernamentales de Puerto Rico en 2013, incluyendo ataques de denegación de servicio y de ingeniería social. También describe las estrategias implementadas para mejorar la seguridad cibernética del gobierno, como abrir códigos para su revisión, establecer un programa de recompensas por la detección de vulnerabilidades, y promover la educación en seguridad de la información.

1 de 35
Anecdotas de Seguridad en la Red Interagencial - 2013 Andrés Colón Director Tecnología de Información Central Oficina de Gerencia y Presupuesto
“El internet se ha convertido en el espacio público del siglo 21” – Joe Bidden, VP EEUU
PR.Gov • Ultimos 30 dias: • Medio millón de visitantes • 2 Millones de páginas vistas • Servicios • Gobierno a Gobierno • Gobierno a Ciudadano • Gobierno a Negocio
Portales de Gobierno Un Blanco de Ataque: – Para realizar protestas – Llevar mensajes de oposición – Para robo de información • Cometer fraude • Inteligencia
ATAQUE DE NEGACIÓN DE SERVICIOS 2013 Receinte ataque de Anonyous – mayo 2013
¿Desobediencia Civil del Siglo 21?
Pre-ataque • 3 Legiones – Puerto Rico – Chiapas – America Latina
Pre-ataque • Call to Arms: – Twitter followers – Facebook followers – IRC – YouTube
Defensa Preventiva • Monitoreo de Tráfico • Bandwidth+ • Intrusion Detection • Filesystem monitoring • Monitoring Anonymous • Information Sharing
Mientras tanto…. Logramos un Proyecto Piloto de Fire-Eye, para la detección de Advanced Persistent Threats en la Red Interagencial.
…visibilidad al fin
Advanced Persistent Threat • Malware Aftermath – Malware en agencias con tráfico malicioso – Miles de hits y callbacks – 317 comunicaciones a destinatinos conocidos (C&C) – Geo-Location: China, Russia, Alemania, Korea, US, etc.
Advanced Persistent Threat
Blocking Mode
Success • Silencio al fin: Zero comunicación con los C&Cs! • Infecciones de HTTP controladas • Cambió de fecha inmediata, de junio 1 a mayo 23 • Discordia entre las legiones • Incremento de intentos de ataques mediante email
DDoS a Fortaleza.pr.gov (mayo 2013)
• Ataque de 150+ Mbps • Tor • IP de Facebook (Spoofed) • Otros Hosts • Trafico lock-down • Servicios arriba para PR US DDoS
Lecciones Aprendidas • Aún con previo aviso, la fecha establecida, no está escrito en piedra • Pudimos mitigar con los recursos existentes, garantizando las operaciones del Gobierno Puerto Rico • Layered Security – Hubo ataques que penetraban algunas capas de seguridad – Diversas Capas son importantes para detener efectivamente el ataque • Para mitigar bien un DDoS se requiere, entre otros: – Monitoreo continuo – Intercambio de información – Buenos recursos: tecnológicos y de personal – Buena coordinación y preparación – Requiriere acción rápida de las partes envuelta
ATAQUES DE INGIENERIA SOCIAL 2013 Receinte ataque a jefes de agencia, fortaleza, municipios y UPR - 2013
Ingeniería Social • ¿Qué es ingeniería social? • ¿Por qué atacaron al gobierno?
Ataque a Jefes de Agencias
VISIÓN Y ESTRATEGIAS Planes que se están contemplando para mejorar la seguridad
Visión Un Gobierno: • más seguro para atender ataques y riesgos cibernéticos • abierto, transparente • más democrático
Estrategias • Abrir el código para escrutinio (ie: github) • Programa de Recompensas de identificación de vulnerabilidades • Incorporar componentes de educación e introducción a la seguridad informática (Ingeniería Social, y personal de IT con Ethical Hacking, Risk Assesment, Cyber Forensics, etc.) • Establecer y continuamente revisar Políticas de Cumplimiento • Incorporar grupos de trabajos para atender retos de seguridad informática a nivel gubernamental • Promover que se incorpore personal especializado en seguridad en las áreas de IT
Tendencias • Aumento significativo en los servicio en línea del gobierno – Código requiere ecrutinio y pruebas – Mucho SQL Injection y XSS – Configuración Segura • Instrumentalidades del gobierno con lineas alternas, no están protegidas por los mecanismos de la red interagencial • Sweeps y ataques de Russia y China incrementando
CONSEJOS DE INTEROPERABILIDAD
Cyber-Security Council
Information Security Team
Consejo de Seguridad • Establecer Plan Estratégico de Seguridad Informática • Continuar proyecto con MS-ISAC • Establecer Guias • Evaluar Auditorias del Contralor • Responder a incidentes • Recomendar y Asesorar • Organizar eventos
Tips • Si les interesa InfoSec, aproveche: – Init6 – Bsides – DefCon – MS-ISAC – Blackhat • Algunos Recursos: – reddit.com/r/netsec – Darkreading.com • Cyber Security Awareness – Octubre • Si interesa organizar alguna charla para un Tech Talk, adelante!
¿PREGUNTAS? ¿Sugerencias?
Gracias! github.com/mindware cio.pr.gov acolon@ogp.pr.gov

Recomendados

Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
NicolleSierraVega
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
balejandre
 
Issa cyber-security-strategy
Issa cyber-security-strategyIssa cyber-security-strategy
Issa cyber-security-strategy
Giancarlo Gonzalez
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
Isidro Emmanuel Aguilar López
 
Power EVA
Power EVAPower EVA
Power EVAEva Coll
 
El ciberdelito
El ciberdelitoEl ciberdelito
El ciberdelitosalajamesa4
 
Startups de base tecnológica: no todo es blockchain y machine learning
Startups de base tecnológica: no todo es blockchain y machine learningStartups de base tecnológica: no todo es blockchain y machine learning
Startups de base tecnológica: no todo es blockchain y machine learning
Isidro Emmanuel Aguilar López
 
API Presentation
API PresentationAPI Presentation
API PresentationRicardo Alfaro
 

Recomendados

Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
NicolleSierraVega
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
balejandre
 
Issa cyber-security-strategy
Issa cyber-security-strategyIssa cyber-security-strategy
Issa cyber-security-strategy
Giancarlo Gonzalez
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
Isidro Emmanuel Aguilar López
 
Power EVA
Power EVAPower EVA
Power EVAEva Coll
 
El ciberdelito
El ciberdelitoEl ciberdelito
El ciberdelitosalajamesa4
 
Startups de base tecnológica: no todo es blockchain y machine learning
Startups de base tecnológica: no todo es blockchain y machine learningStartups de base tecnológica: no todo es blockchain y machine learning
Startups de base tecnológica: no todo es blockchain y machine learning
Isidro Emmanuel Aguilar López
 
API Presentation
API PresentationAPI Presentation
API PresentationRicardo Alfaro
 
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013 Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
Miguel A. Amutio
 
El rol de los CERT en las redes de Chile.
El rol de los CERT en las redes de Chile. El rol de los CERT en las redes de Chile.
El rol de los CERT en las redes de Chile.
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
PAÍS DIGITAL
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
CSUC - Consorci de Serveis Universitaris de Catalunya
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
Miguel A. Amutio
 
Blandon_Franklin_Proyecto S6.pdf
Blandon_Franklin_Proyecto S6.pdfBlandon_Franklin_Proyecto S6.pdf
Blandon_Franklin_Proyecto S6.pdf
FranklinBlandonG
 
Las TIC en el ambito laboral
Las TIC en el ambito laboralLas TIC en el ambito laboral
Las TIC en el ambito laboral
T.I.C
 
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
Ingeniería e Integración Avanzadas (Ingenia)
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
MARIO HUAYPUNA
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
MARIO HUAYPUNA
 
Aplicacion de las tics en diferentes areas
Aplicacion de las tics en diferentes areasAplicacion de las tics en diferentes areas
Aplicacion de las tics en diferentes areas
google
 
Power point redes
Power point redesPower point redes
Power point redes
pau_s_m
 
Comercio electrónico
Comercio electrónicoComercio electrónico
Comercio electrónico
1966elahorro2014
 
Ciberseguridad para las organizaciones webinar
Ciberseguridad para las organizaciones webinarCiberseguridad para las organizaciones webinar
Ciberseguridad para las organizaciones webinar
pinkelephantlatam
 
Tesis ii defensa de-tema_ejemplo
Tesis ii defensa de-tema_ejemploTesis ii defensa de-tema_ejemplo
Tesis ii defensa de-tema_ejemplo
HelmuthYat
 
Ciberdelincuencia 2011
Ciberdelincuencia 2011Ciberdelincuencia 2011
Ciberdelincuencia 2011
Argenis Nieves Berroeta
 
Tisg
TisgTisg
Tisg
osita97
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Facultad Ingeniería Udec
 
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad iiConferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
TECHNOLOGYINT
 

Más contenido relacionado

Similar a Tech Talk 01 - Cyber Security - Seguridad en la Red Interagencial[1]

Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013 Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
Miguel A. Amutio
 
El rol de los CERT en las redes de Chile.
El rol de los CERT en las redes de Chile. El rol de los CERT en las redes de Chile.
El rol de los CERT en las redes de Chile.
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
PAÍS DIGITAL
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
CSUC - Consorci de Serveis Universitaris de Catalunya
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
Miguel A. Amutio
 
Blandon_Franklin_Proyecto S6.pdf
Blandon_Franklin_Proyecto S6.pdfBlandon_Franklin_Proyecto S6.pdf
Blandon_Franklin_Proyecto S6.pdf
FranklinBlandonG
 
Las TIC en el ambito laboral
Las TIC en el ambito laboralLas TIC en el ambito laboral
Las TIC en el ambito laboral
T.I.C
 
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
Ingeniería e Integración Avanzadas (Ingenia)
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
MARIO HUAYPUNA
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
MARIO HUAYPUNA
 
Aplicacion de las tics en diferentes areas
Aplicacion de las tics en diferentes areasAplicacion de las tics en diferentes areas
Aplicacion de las tics en diferentes areas
google
 
Power point redes
Power point redesPower point redes
Power point redes
pau_s_m
 
Comercio electrónico
Comercio electrónicoComercio electrónico
Comercio electrónico
1966elahorro2014
 
Ciberseguridad para las organizaciones webinar
Ciberseguridad para las organizaciones webinarCiberseguridad para las organizaciones webinar
Ciberseguridad para las organizaciones webinar
pinkelephantlatam
 
Tesis ii defensa de-tema_ejemplo
Tesis ii defensa de-tema_ejemploTesis ii defensa de-tema_ejemplo
Tesis ii defensa de-tema_ejemplo
HelmuthYat
 
Ciberdelincuencia 2011
Ciberdelincuencia 2011Ciberdelincuencia 2011
Ciberdelincuencia 2011
Argenis Nieves Berroeta
 
Tisg
TisgTisg
Tisg
osita97
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Facultad Ingeniería Udec
 
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad iiConferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
TECHNOLOGYINT
 

Similar a Tech Talk 01 - Cyber Security - Seguridad en la Red Interagencial[1] (20)

Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013 Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
 
El rol de los CERT en las redes de Chile.
El rol de los CERT en las redes de Chile. El rol de los CERT en las redes de Chile.
El rol de los CERT en las redes de Chile.
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
 
Blandon_Franklin_Proyecto S6.pdf
Blandon_Franklin_Proyecto S6.pdfBlandon_Franklin_Proyecto S6.pdf
Blandon_Franklin_Proyecto S6.pdf
 
Las TIC en el ambito laboral
Las TIC en el ambito laboralLas TIC en el ambito laboral
Las TIC en el ambito laboral
 
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
 
Aplicacion de las tics en diferentes areas
Aplicacion de las tics en diferentes areasAplicacion de las tics en diferentes areas
Aplicacion de las tics en diferentes areas
 
Power point redes
Power point redesPower point redes
Power point redes
 
Comercio electrónico
Comercio electrónicoComercio electrónico
Comercio electrónico
 
Ciberseguridad para las organizaciones webinar
Ciberseguridad para las organizaciones webinarCiberseguridad para las organizaciones webinar
Ciberseguridad para las organizaciones webinar
 
Tesis ii defensa de-tema_ejemplo
Tesis ii defensa de-tema_ejemploTesis ii defensa de-tema_ejemplo
Tesis ii defensa de-tema_ejemplo
 
Ciberdelincuencia 2011
Ciberdelincuencia 2011Ciberdelincuencia 2011
Ciberdelincuencia 2011
 
Tisg
TisgTisg
Tisg
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
 
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad iiConferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
 

Tech Talk 01 - Cyber Security - Seguridad en la Red Interagencial[1]

  • 1.
  • 2. Anecdotas de Seguridad en la Red Interagencial - 2013 Andrés Colón Director Tecnología de Información Central Oficina de Gerencia y Presupuesto
  • 3. “El internet se ha convertido en el espacio público del siglo 21” – Joe Bidden, VP EEUU
  • 4. PR.Gov • Ultimos 30 dias: • Medio millón de visitantes • 2 Millones de páginas vistas • Servicios • Gobierno a Gobierno • Gobierno a Ciudadano • Gobierno a Negocio
  • 5. Portales de Gobierno Un Blanco de Ataque: – Para realizar protestas – Llevar mensajes de oposición – Para robo de información • Cometer fraude • Inteligencia
  • 6. ATAQUE DE NEGACIÓN DE SERVICIOS 2013 Receinte ataque de Anonyous – mayo 2013
  • 8. Pre-ataque • 3 Legiones – Puerto Rico – Chiapas – America Latina
  • 9. Pre-ataque • Call to Arms: – Twitter followers – Facebook followers – IRC – YouTube
  • 10.
  • 11. Defensa Preventiva • Monitoreo de Tráfico • Bandwidth+ • Intrusion Detection • Filesystem monitoring • Monitoring Anonymous • Information Sharing
  • 12. Mientras tanto…. Logramos un Proyecto Piloto de Fire-Eye, para la detección de Advanced Persistent Threats en la Red Interagencial.
  • 14. Advanced Persistent Threat • Malware Aftermath – Malware en agencias con tráfico malicioso – Miles de hits y callbacks – 317 comunicaciones a destinatinos conocidos (C&C) – Geo-Location: China, Russia, Alemania, Korea, US, etc.
  • 17. Success • Silencio al fin: Zero comunicación con los C&Cs! • Infecciones de HTTP controladas • Cambió de fecha inmediata, de junio 1 a mayo 23 • Discordia entre las legiones • Incremento de intentos de ataques mediante email
  • 18. DDoS a Fortaleza.pr.gov (mayo 2013)
  • 19. • Ataque de 150+ Mbps • Tor • IP de Facebook (Spoofed) • Otros Hosts • Trafico lock-down • Servicios arriba para PR US DDoS
  • 20. Lecciones Aprendidas • Aún con previo aviso, la fecha establecida, no está escrito en piedra • Pudimos mitigar con los recursos existentes, garantizando las operaciones del Gobierno Puerto Rico • Layered Security – Hubo ataques que penetraban algunas capas de seguridad – Diversas Capas son importantes para detener efectivamente el ataque • Para mitigar bien un DDoS se requiere, entre otros: – Monitoreo continuo – Intercambio de información – Buenos recursos: tecnológicos y de personal – Buena coordinación y preparación – Requiriere acción rápida de las partes envuelta
  • 21. ATAQUES DE INGIENERIA SOCIAL 2013 Receinte ataque a jefes de agencia, fortaleza, municipios y UPR - 2013
  • 22. Ingeniería Social • ¿Qué es ingeniería social? • ¿Por qué atacaron al gobierno?
  • 23. Ataque a Jefes de Agencias
  • 24. VISIÓN Y ESTRATEGIAS Planes que se están contemplando para mejorar la seguridad
  • 25. Visión Un Gobierno: • más seguro para atender ataques y riesgos cibernéticos • abierto, transparente • más democrático
  • 26. Estrategias • Abrir el código para escrutinio (ie: github) • Programa de Recompensas de identificación de vulnerabilidades • Incorporar componentes de educación e introducción a la seguridad informática (Ingeniería Social, y personal de IT con Ethical Hacking, Risk Assesment, Cyber Forensics, etc.) • Establecer y continuamente revisar Políticas de Cumplimiento • Incorporar grupos de trabajos para atender retos de seguridad informática a nivel gubernamental • Promover que se incorpore personal especializado en seguridad en las áreas de IT
  • 27. Tendencias • Aumento significativo en los servicio en línea del gobierno – Código requiere ecrutinio y pruebas – Mucho SQL Injection y XSS – Configuración Segura • Instrumentalidades del gobierno con lineas alternas, no están protegidas por los mecanismos de la red interagencial • Sweeps y ataques de Russia y China incrementando
  • 29.
  • 32. Consejo de Seguridad • Establecer Plan Estratégico de Seguridad Informática • Continuar proyecto con MS-ISAC • Establecer Guias • Evaluar Auditorias del Contralor • Responder a incidentes • Recomendar y Asesorar • Organizar eventos
  • 33. Tips • Si les interesa InfoSec, aproveche: – Init6 – Bsides – DefCon – MS-ISAC – Blackhat • Algunos Recursos: – reddit.com/r/netsec – Darkreading.com • Cyber Security Awareness – Octubre • Si interesa organizar alguna charla para un Tech Talk, adelante!

Notas del editor

  1. http://www.primerahora.com/noticias/gobierno-politica/nota/investigaciondetimoenelgobiernosigueabiertasegunjorgecolberg-906781/