Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Madrid, marzo de 2011
Amenazas y Vulnerabilidades a los Sistemas de
Información y Comunicaciones.
Conclusiones 2011 / Tendencias 2012
Estrategias de Ciberseguridad
SIN CLASIFICAR
SIN CLASIFICAR 2
Conceptos
- 1980-1990 COMPUSEC / NETSEC / TRANSEC
AMENAZAS NATURALES
- 1990 - 2011 INFOSEC
AMENAZAS INTENCIONADAS Hacker / Virus / Gusanos carácter destructivo..
- 2002 – 2011 INFORMATION ASSURANCE
AMENAZAS INTENCIONADAS (Operaciones de información) Usuarios internos CIbercrimen
- 2003 – 2011 PROTECCIÓN INFRAESTRUCTURAS CRÍTICAS
Servicios críticos soportados sistemas de información 80% Sector privado
CIBERTERRORISMO
- 2006 – 2011 CIBERDEFENSA / CIBERSEGURIDAD
CIBERESPIONAJE. Atribución a los gobiernos
SIN CLASIFICAR •3
Riesgos globales
•www.weforum.org
SIN CLASIFICAR 4
Índice • Centro Criptológico Nacional
- Marco Legal / Funciones
- CCN-CERT
• Vulnerabilidades 2011
• Agentes de la amenaza
• Ciberespionaje / Cibercrimen / Hacking político
• Amenazas 2011
1.Código dañino
2.Redes sociales / Telefonía móvil
3.Sistemas SCADA.
Redes sociales / Telefonía móvil / otros
Tendencias 2012 / CONCLUSIONES
Estrategias de ciberseguridad
SIN CLASIFICAR 5
El CCN actúa según el siguiente marco legal:
Real Decreto 421/2004, 12 de marzo, que
regula y define el ámbito y funciones del CCN.
Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al
Centro Criptológico Nacional (CCN).
Marco Legal
Orden Ministerio Presidencia PRE/2740/2007, de 19
de septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información
Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica
SIN CLASIFICAR 6
Marco Legal (1): CNI (Ley 11/2002)
Riesgos
Emergentes
Art. 4 a) Inteligencia
Art. 4 b) ContraInteligencia
Art. 4 c) Relaciones
Art. 4 d) SIGINT
Art. 4 e) STIC
Art. 4 f) Protección Información Clasificada
Art. 4 g) Seguridad Propia
En la exposición de motivos de la Ley 11/2002 se establece que el CNI tiene que
hacer frente a los riesgos emergentes. La Seguridad de las TIC es un ámbito de
nuevos riesgos emergentes. Así lo entendió el legislador al definir las funciones del CNI en el artículo 4 de la Ley
NACIONAL
UE / OTAN / ACUERDOS INTERNACIONALES
SIN CLASIFICAR 7
Marco Legal (2): Funciones CCN • Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la
seguridad de las TIC en la Administración
• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC
• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito
• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura
• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados
• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)
• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países. Para el desarrollo de las funciones mencionadas, coordinación oportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.
SIN CLASIFICAR 8
Marco Conceptual (1): Inteligencia y Seguridad
Riesgos
Emergentes
Art. 4 b) ContraInteligencia
Art. 4 e) STIC
Ciberdefensa: “La aplicación de medidas de seguridad para proteger las infraestructuras de
los sistemas de información y comunicaciones frente a los ciberataques” (MC0571 – NATO
Cyber Defence Concept)
InfOps&Ciberataques
Inteligencia
Ciberdefensa
SIN CLASIFICAR 9
Normativa
• 189 documentos, normas, instrucciones, guías y recomendaciones
(25 pendientes de su aprobación)
• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD
18 Guías
• Nueva clasificación:
Cumplen con el ENS
Adaptables al ENS
- CCN-STIC 000: Instrucciones/Políticas STIC
- CCN-STIC 100: Procedimientos
- CCN-STIC 200: Normas
- CCN-STIC 300: Instrucciones Técnicas
- CCN-STIC 400: Guías Generales
- CCN-STIC 500: Guías Entornos Windows
- CCN-STIC 600: Guías Otros Entornos
- CCN-STIC 800: Guías desarrollo ENS
- CCN-STIC 900: Informes Técnicos
SIN CLASIFICAR
Guías desarrolladas en 2011
- 413 Auditoría de Entornos y Aplicaciones Web
- 442 Seguridad en VMWare ESXi
- 453 Seguridad en Android 2.1
- 455 Seguridad en iPhone
- 456 Seguridad en entornos BES
- 521C y D Seguridad en Windows 2008 Server Core
- 522A Seguridad en Windows 7 (cliente en dominio)
- 523 Seguridad en Windows 2008 Server. Servidor de Ficheros.
- 524 Seguridad en Bases de Datos SQL Server 2008
- 525/6 Seguridad en Microsoft Exchange Server 2007 sobre Windows 2003 /2008
- 530 Seguridad en Microsoft Office 2010
- 613 Seguridad en sistemas basados en Debian
- 615 Seguridad en entornos basados en RED HAT
- 662 Seguridad en Apache Traffic Server
- 957 Recomendaciones de Empleo de la Herramienta TrueCrypt
- 955 Recomendaciones de Empleo de GnuPG
SIN CLASIFICAR
• 801 Responsabilidades y Funciones en el ENS feb-11
• 802 Auditoría del Esquema Nacional de Seguridad jun-10
• 803 Valoración de Sistemas en el ENS ene-11
• 804 Medidas de Implantación del ENS (BORRADOR) jul-10
• 805 Política de Seguridad de la Información sep-11
• 806 Plan de Adecuación del ENS ene-11
• 807 Criptología de Empleo en el ENS sep-11
• 808 Verificación del Cumplimiento de las Medidas en el ENS (BORRADOR) oct-10
• 809 Declaración de conformidad del ENS (BORRADOR) jul-10
• 810 Guía de Creación de CERT,s (BORRADOR) sep-11
• 811 Interconexión en el ENS (BORRADOR) sep-11
• 812 Seguridad en Servicios Web en el ENS (BORRADOR) oct-11
• 813 Componentes Certificados en el ENS
• 814 Seguridad en Servicio de Correo en el ENS (BORRADOR) ago-11
• 815 Indicadores y Métricas en el ENS (BORRADOR) dic-11
• 816 Seguridad en Redes Inalámbricas en el ENS
• 817 Gestión de Incidentes de Seguridad en el ENS …. Feb -12 + ANEXO 403
• 818 Herramientas de seguridad en el ENS
Guías previstas en ENS – SERIE 800
•815 Herramienta ????
•819 Seguridad en VPN
•820 Req Cloud computing
•821 Seguridad en DNS
SIN CLASIFICAR 12
Formación
Formar al personal de la Administración especialista en el campo
de la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones.
Cursos Informativos y de Concienciación
Cursos Básicos de Seguridad
Cursos Específicos de Gestión
Cursos de Especialización
Disponibles www.ccn-cert.cni.es
SIN CLASIFICAR 13
Formación
AÑO 2008 AÑO 2009 AÑO 2010
Nº Alumnos 380 450 500
Nº Cursos Presenciales 17 18 17
Nº Horas Lectivas Cursos Presenciales
1.200 1.400 1.200
Nº Jornadas de Sensibilización 2 4 3
Nº de Alumnos on-line 0 25 57
Nº Participación en Jornadas / Mesas redondas
8 10 15
SIN CLASIFICAR
• Cursos Online en fase de implantación:
- Curso STIC fundamentos (30 horas) (fase Curso STIC)
- Seguridad en entorno Linux (20 horas)
- Curso PILAR (10 horas) (fase Curso PILAR / Gestión STIC)
- Seguridad en entorno Windows (20 horas)
- Curso ENS (20 horas) (fase Curso Gestión STIC)
Formación
Cursos Online 2012:
Curso STIC - Common Criteria. (10 horas)
Curso Gestión de incidentes (10 horas)
Curso PILAR (Manejo de herramienta / Funciones más usadas)
Curso ENS. Módulo (10 horas)
SIN CLASIFICAR 15
SIN CLASIFICAR
Programas de Formación
SIN CLASIFICAR 17
AMENAZAS 2011 TENDENCIAS 2012
SIN CLASIFICAR
Vulnerabilidades
Parte pública portal. ESPAÑOL
Criticidad
Tecnología
Parte privada portal. INGLÉS
Vulnerabilidades
Amenazas
Código dañino
10389
SIN CLASIFICAR •19
Código dañino 2011
0
10000
20000
30000
40000
50000
60000
70000
80000
2007 2008 2009 2010 2011
75319
0
200
400
600
800
1000
1200
123 46 37
173
16
1061
109
333
Clasificación General
SIN CLASIFICAR
Código dañino 2011
- Evolución de ZeuS código abierto.
- Versiones mejoradas.
- Malware as a Service “licencias y servicios”.
•
- Aparición de intermediarios.
•
- Nuevo objetivo dispositivos móviles.
SIN CLASIFICAR
Ciberamenazas. Agentes
1. Ciberespionaje Estados (Servicios de Inteligencia /FFAA) / Industrias / empresas Activos en formato electrónico. Dificultad de atribución Contra los Sectores Privado y Público. Ataques dirigidos (APT) Modelo de Confianza. Contra objetivos primarios o secundarios. Ventajas políticas, económicas, sociales…
SIN CLASIFICAR 22
Intruso
A
(xxx.56.216.12)
B
(xxx.112.233.5)
C
(xxx.24.65.10)
D
(xxx.23.45.122)
E
(xxx.98.211.54)
Búsqueda en red de
equipos vulnerables
Localiza equipo vulnerable
Obtención de más info del
equipo
Ataque equipo
Descarga herramientas
control remoto equipo
Troyano
Ataque otros equipos a
través del infectado
Extracción de información a
través de este equipo Hasta 4 saltos para evitar localización.
Servidores pantalla
INTRUSIÓN GENÉRICA
SIN CLASIFICAR
• Definición APT / Ataques Dirigidos
- Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (organización, empresa,
red, sistema)
- Threat El atacante tiene la intención y capacidades para ganar acceso a información
sensible almacenada electrónicamente
- Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un largo
periodo de tiempo
Díficil de eliminar
- Advanced Habilidad de evitar la detección
Adaptabilidad al objetivo
Disponibilidad de recursos (tecnológicos, económicos, humanos)
SIN CLASIFICAR 24
Ejemplo ataque troyano adaptado objetivo
SIN CLASIFICAR
Ataque Herramientas y productos de autenticación
•SECUR-ID EMC - RSA
•Excel + adobe flash player
•Ataque POISON IVY
03.2011
•Lockheed Martin
•L-3 Communications
•Northrop Grumman 05.2011
Autoridades de certificación
• Comodo
• DigiNotar (530)
• GlobalSign
• Digicert-Malasia
• KPN
• Compromiso de CA/RA
SIN CLASIFICAR
ESPAÑA Coste neto total del ciberdelito 5.900 millones de euros
(8.300 millones de dólares)
El valor del tiempo perdido de
las víctimas de los ciberdelitos
5.500 millones de euros
(7.600 millones de dólares)
Coste directo (cantidades
sustraídas – dedicadas a la resolución de los ciberdelitos)
482 millones de euros
(670,2 millones de dólares)
2. Cibercrimen • Robo propiedad intelectual / información de tarjetas de crédito /
certificados • Fraude Telemático / Blanqueo de dinero / Robo de identidades…
Ciberamenazas. Agentes
SIN CLASIFICAR
FORMACIÓN Y EL DESENVOLVIMIENTO DE CIBERDELINCUENTES
SIN CLASIFICAR
• 3. Hacking Político / Patriótico China- Japón; India-Pakistán; Irán-Israel… ANONYMUS /LUZSEC / Antisec Progresiva vertebración de sus estructuras. Grupos organizados (por países, regiones, …) Nivel organizativo / nivel ejecutivo. Ataques / divulgación de información. Pre-selección de objetivos. Hacktivismo tecnológico y físico juntos. Peligro radicalización.
Ciberamenazas. Agentes
SIN CLASIFICAR
• Redes Sociales
- Actualmente existe una gran diversidad de redes sociales, desde Facebook hasta redes sociales especializadas como Flickr (fotografía). .
http://es.wikipedia.org/wiki/Lista_de_sitios_web_de_redes_sociales
- Riesgos:
Toda la información queda almacenada en los servidores de las redes
sociales. Según la red social puede que toda la información sea pública.
Existen múltiples vulnerabilidades que pueden comprometer la
información de los usuarios.
- Salvaguardas:
Envío de mensajes cifrados, esteganografía
siempre que la imagen se almacene en crudo.
40% - 14
millones
20% - 9,5
millones
SIN CLASIFICAR
Empleo de programas intercambio de
ficheros
SIN CLASIFICAR
- Botnets
- Bloqueo de resultado de buscadores
- Páginas de exploits
- Servidores de mando y control
- Uso de proveedores dominio gratuitos
31
Spam / Phishing
SIN CLASIFICAR 32
Fraude – Phishing…. 11.2007 / 01.2008 / 04.2009 / 04.2010.. /02.2012
SIN CLASIFICAR 33
Fraude – Phishing…. 11.2007 / 01.2008 / 04.2009 / 04.2010.. /02.2012
SIN CLASIFICAR Teléfonos
móviles
• Bluetooth
• Internet
• Wifi
•GPS
•Bluetooth
- Sistemas operativos - Android (Google) - iOS (iphone) - RIM (Blackberry)
- Windows (6.5-7) - Symbiam (Nokia)
SIN CLASIFICAR Teléfonos
móviles
Bluetooth
Internet
Wifi / GPS
•Bluetooth
- Sistemas operativos - Android (Google) - iOS (iphone) - RIM (Blackberry)
- Windows (6.5-7) - Symbiam (Nokia)
SIN CLASIFICAR
Teléfonos móviles. Código dañino
- Amenazas 2011 - (ZeuS 2.x) - (Spyeye)
- Código dañino
Llamadas entrantes y salientes Mensajes SMS, Ficheros descargados Las coordenadas GPS
•Ejecución remota de
código
SIN CLASIFICAR 37
Zombies-Botnets
“Botnet” es un término utilizado para una colección de robots
(software) autónomos que pueden ser controlados remotamente
por diversos medios (IRC / P2P) con propósitos maliciosos
- Las máquinas "zombie" se aglutinan en las denominadas “botnets”.
- Los sistemas se comprometen utilizando diversas herramientas (gusanos, caballos de troya, puertas traseras, etc…).
- Los zombies pueden escanear su entorno propagándose a través de
las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer overflows, etc…).
- La misión de los “botnets” es esencialmente la gestión de los “zombies” creando una infraestructura común de mando y control.
- SPAM / DDOS/ PHISING / ENVIO TROYANOS
Robot network
SIN CLASIFICAR 38
Amenazas 2011. Código Dañino. Sistemas SCADA (1)
Supervisory Control And Data Acquisition. “Sistemas que capturan
información de un proceso o planta industrial y que permitan una
retroalimentación sobre un operador o sobre el propio proceso.”
Algunos casos: - Vertidos industriales
- Apagones en brasil
- Corte de cables submarinos
• Tendencia
- “U.S. government is seeing a rise
in cyber attacks aimed at taking over control systems that
operate critical infrastructure”
SIN CLASIFICAR 39
Amenazas 2011. Código Dañino. Sistemas SCADA (2)
•Demostración de ataques DoS en controladores de lógica programable
(PLCs).
•Elevado número de vulnerabilidades
•Búsqueda activa en Internet
•Interconexiones sistemas
•Falta concienciación empresas
•Ausencia buenas prácticas en distribuidores
SIN CLASIFICAR 40
Código Dañino. Sistemas SCADA (3)
STUXNET • Características principales:
- Empleo de vulnerabilidad día 0 (Infección USB).
- Uso de dos certificados comprometidos
- ataques dirigidos contra sistemas SCADA
SIMATIC WinCC o SIMATIC Step7 de Siemens.
- Usa protocolo Web para la comunicación con los servidores C&C
• CCN-CERT ID 01/10 - Detectado Julio 2010
SIN CLASIFICAR 41
Código Dañino. Sistemas SCADA (3)
STUXNET
• Características principales: - Empleo de vulnerabilidad día 0 (Infección USB).
- Uso de dos certificados comprometidos
- ataques dirigidos contra sistemas SCADA
SIMATIC WinCC o SIMATIC Step7 de Siemens.
- Usa protocolo Web para la comunicación con los servidores C&C
• CCN-CERT ID 01/10 - Detectado Julio 2010
SIN CLASIFICAR
Riesgo fallo en infraestructura
crítica 1. Ciberataque
2. Fallo global de gobierno
3. Fallo en sistema financiero
4. Consecuencias negativas de regulaciones
5. Negligencia en inversiones en infraestructuras
6. Desinformación digital
7. Incidente mayor de robo de datos
SIN CLASIFICAR 43
Coste del cibercrimen
SIN CLASIFICAR 44
• Vías de ataque
1. Cross-Site Scripting (XSS)
2. Inyección de código SQL
3. Inclusión de ficheros
4. Otros
Rotura de autenticación
Insecure Direct Object Reference
Cross Site Request Forgery (CSFR)
Errores de configuración
Ataques servicios Web
SIN CLASIFICAR 45
La amenaza interna ¿?
No todos los ataques con éxito
basados en ingeniería social son
debidos a la ingenuidad de los
empleados, la mayoría de los
casos se debe a la ignorancia de buenas prácticas de seguridad y
a la falta de concienciación por
parte de los usuarios del
Sistema
Cuanto más sofisticadas son las tecnologías empleadas para
proteger la información, los ataques se van a centrar más en
explotar las debilidades de la persona
SIN CLASIFICAR 46
Soportes de Información
Número de tarjeta de crédito
Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
En los discos duros de los
ordenadores hay enormes cantidades
de datos ocultos para los usuarios,
pero fácilmente accesibles. Entre
estos datos se encuentran archivos
que ingenuamente creemos que
hemos borrado, claves de acceso,
versiones descifradas de archivos
confidenciales y todo tipo de rastros
sobre la actividad del equipo.
SIN CLASIFICAR
TENDENCIAS 2012
• DIVERSIFICACIÓN, INCREMENTO Y ESPECIALIZACIÓN:
• MÁS ATAQUES Y MEJOR ORGANIZADOS.
• MULTIPLICIDAD DE OBJETIVOS:
• PÚBLICOS Y PRIVADOS.
• DE PRIMER ORDEN + SEGUNDO ORDEN.
• INFRAESTRUCTURAS CRÍTICAS.
• MULTIPLICIDAD DE ACTORES:
• EMPRESARIALES.
• GUBERNAMENTALES.
• HACKTIVISTAS.
• INDIVIDUOS AISLADOS.
• MÉTODOS EMPLEADOS MEJORES Y CON MAYOR IMPUNIDAD
SIN CLASIFICAR
TENDENCIAS 2012
• DIVERSIFICACIÓN, INCREMENTO Y ESPECIALIZACIÓN:
• MÁS ATAQUES Y MEJOR ORGANIZADOS.
• MULTIPLICIDAD DE OBJETIVOS:
• PÚBLICOS Y PRIVADOS.
• DE PRIMER ORDEN + SEGUNDO ORDEN.
• INFRAESTRUCTURAS CRÍTICAS.
• MULTIPLICIDAD DE ACTORES:
• EMPRESARIALES.
• GUBERNAMENTALES.
• HACKTIVISTAS.
• INDIVIDUOS AISLADOS.
• MÉTODOS EMPLEADOS MEJORES Y CON MAYOR IMPUNIDAD
2011 2010
SIN CLASIFICAR
TENDENCIAS
SIN CLASIFICAR 50
Conclusiones
• Vulnerabilidades
- Mejores prácticas en su tratamiento.
- Interés económico de los investigadores
- Vulnerabilidad dia CERO
• Amenazas
- Ciberespionaje
- Cibercrimen
- Ciberterroroismo
• Tipos de ataque
- APT. Ataque dirigido
- Botnet. Elevados niveles de infección.
- Servicios Web.
- SCADA
• La Amenaza interna
SIN CLASIFICAR 51
ESTRATEGIAS DE CIBERSEGURIDAD
SIN CLASIFICAR 52
Cibercrimen
PaísesFecha de
Firma
Fecha de
RatificaciónPaíses
Fecha de
Firma
Fecha de
RatificaciónPaíses
Fecha de
Firma
Fecha de
Ratificación
Albania 23/11/2001 20/6/2002 Germany 23/11/2001 9/3/2009 Poland 23/11/2001
Armenia 23/11/2001 12/10/2006 Greece 23/11/2001 Portugal 23/11/2001
24/3/2010
Austria 23/11/2001 Hungary 23/11/2001 4/12/2003 Romania 23/11/2001
12/5/2004
Azerbaijan 30/6/2008 15/3/2010 Iceland 30/11/2001 29/1/2007 Serbia 7/4/2005 14/4/2009
Belgium 23/11/2001 Ireland 28/2/2002 Slovakia 4/2/2005 8/1/2008
Bosnia and
Herzegovina
9/2/2005 19/5/2006 Italy 23/11/2001 5/6/2008 Slovenia 24/7/2002 8/9/2004
Bulgaria 23/11/2001 7/4/2005 Latvia 5/5/2004 14/2/2007 Spain 23/11/2001
3/6/2010
Croatia 23/11/2001 17/10/2002 Liechtenstein
17/11/2008 Sweden
23/11/2001
Cyprus 23/11/2001 19/1/2005 Lithuania 23/6/2003 18/3/2004 Switzerland
23/11/2001
Czech
Republic 9/2/2005
Luxembourg
28/1/2003
The former
Yugoslav
Republic of
Macedonia
23/11/2001
15/9/2004
Denmark 22/4/2003 21/6/2005 Malta 17/1/2002 Turkey 10/11/2010
Estonia 23/11/2001 12/5/2003 Moldova 23/11/2001 12/5/2009 Ukraine 23/11/2001
10/3/2006
Finland 23/11/2001 24/5/2007 Montenegro 7/4/2005 3/3/2010 United
Kingdom
23/11/2001
France 23/11/2001 10/1/2006 Netherlands
23/11/2001 16/11/2006
Georgia 1/4/2008 Norway 23/11/2001 30/6/2006
SIN CLASIFICAR
ARTICULACIÓN DE LA RESPUESTA DE LOS ESTADOS
ESTRATEGIAS DE CIBERSEGURIDAD:
•Antes de 2011:
•- EE.UU. (2008 y 2010)
•- Rusia (2010)
•- Reino Unido (2009)
•- Australia (2008)
•- Canadá (2009)
•- Estonia (2008)
•- Singapur (2009)
•Durante 2011:
•- República Checa
•- Finlandia (borrador)
•- Alemania
•- Israel (proyecto)
•- Letonia (proyecto)
•- Nueva Zelanda
•- Suráfrica
•- Dinamarca (borrador)
•- Francia
•- India
- Japón (proyecto)
•- Holanda
•- Polonia (proyecto)
•- Corea del Sur
•- Reino Unido (actualización) •- EE.UU. (anuncio de las tres
políticas principales:
Departamento de Defensa,
Departamento de Estado y la
Casa Blanca)
SIN CLASIFICAR 54
ESTRATEGIA EN CIBERSEGURIDAD
REINO UNIDO
SIN CLASIFICAR 55
• Reducción del riesgo del uso del Reino Unido del Ciberespacio
actuando
- Sobre la amenaza (disminuyendo su motivación y capacidad)
- sobre sus vulnerabilidades y sobre el impacto de cualquier
actuación en los intereses nacionales.
• Aprovechar las oportunidades en el ciberespacio mediante
- La obtención de inteligencia que apoyo las políticas
nacionales
- Actuar contra los adversarios.
• Mejorar el conocimiento / capacidades / procesos de decisión
- Incrementando las actividades de concienciación
- Desarrollando una doctrina y sus políticas derivadas
- Mejorando las capacidades propias humanas y técnicas.
Presupuesto = 550 m£
2009. REINO UNIDO OBJ. ESTRATÉGICOS:
SIN CLASIFICAR 56
ESTRATEGIA CIBERSEGURIDAD REINO UNIDO Junio2009 ACTORES
• La Oficina del Consejo de Ministros
- Secretaría de Seguridad Nacional
- Jefe de la información gubernamental
www.cabinetoffice.gov.uk
• Centro Nacional de Protección de Infraestructuras Críticas (CPNI)
- Aesoramiento en seguridad a empresas infraestructuras críticas.
- Depende del Servicio de Seguridad (MI5)
www.cpni.gov.uk / www.mi5.gov.uk
• Agencia de inteligencia en las comunicaciones y de aseguramiento de la información (GCHQ /CEGS).
www.gchq.gov.uk / www.cegs.gov.uk
• Ministerio del Interior (Home Office / OSCT)
- Luchar contra uso del ciberespacio por actividad criminal.
www.homeoffice.gov.uk
• Ministerio de Defensa
- Uso militar del Ciberespacio.
www.mod.uk
SIN CLASIFICAR 57
ESTRATEGIA CIBERSEGURIDAD REINO UNIDO Junio2009 ACTORES
• Ministerio de Defensa
- Uso militar del Ciberespacio.
www.mod.uk
• El Servicio de inteligencia (MI6-SIS)
- Proporcionar inteligencia exterior para defender la seguridad nacional y
el bienestar económico del Reino Unido.
www.sis.gov.uk
• La Policía Metropolitana
- Unidades de cibercrimen.
www.met.police.uk
• La Agencia del crimen organizado (SOCA)
- Uso del ciberespacio por parte del crimen organizado
www.soca.gov.uk
SIN CLASIFICAR 58
- Aproximación global al problema:
Gobiernos centrales, regionales y locales.
Infraestructuras críticas
Fuerzas y cuerpos de seguridad del Estado
Ciudadanos
- Problema emergente / Escenario incierto
Prioridad para la seguridad nacional.
- Se centralizan las responsabilidades
Oficina de coordinación dependencia alto nivel
Fortalece de forma explícita misión organismo.
CONCLUSIONES OTRAS NACIONES (1)
SIN CLASIFICAR 59
CONCLUSIONES OTRAS NACIONES (2)
- Se potencian las capacidades de monitorización y alerta
temprana
Fortalecen los equipos de respuesta ante incidentes
- Se impulsan esquemas nacionales de seguridad
Requisitos de seguridad mínimos a implantar
Disminuir las interconexiones con Internet.
- Se priorizan y fortalecen las capacidades de inteligencia
Mejor conocimiento de la amenaza / ataques complejos.
- Necesidad estratégica la formación y concienciación
Servidores públicos, empresas y ciudadanos.
Se impulsan las actividades de investigación e
innovación
Dotación
presupuestaria
SIN CLASIFICAR • Amenazas 2011. Tendencias 2012 60
Cyber Power Index: Findings and Methodology
SIN CLASIFICAR 61
SITUACIÓN EN ESPAÑA
SIN CLASIFICAR
Estrategia Española de
seguridad
SIN CLASIFICAR 63
ESQUEMA NACIONAL DE SEGURIDAD
SIN CLASIFICAR 64
Entornos de trabajo
Operadoras
y proveedores de servicios
Sistemas de la
Administración
Ciudadano
y PYME
Seguridad y
Defensa
Infraestructuras críticas
Sectores Estratégicos
Instituto Nacional
de Tecnologías
de la Comunicación
S21Sec
SIN CLASIFICAR
ELEMENTOS PARA ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD:
1. Responsabilidad al más alto nivel.
2. Organismo Coordinador Nacional de Ciberseguridad del Estado.
3. En cooperación con un sistema multi-agencia regional
público/privado.
4. Medidas Legales.
5. Marco de Ciberseguridad del Estado.
6. Computer Incident Response Team (CIRT).
7. Sensibilización y concienciación nacional en materia de
Ciberseguridad.
8. Cooperación Público-Privada en materia de Ciberseguridad.
9. Programa de formación a los profesionales de la Ciberseguridad.
10. Cooperación Internacional.
LA ESTRATEGIA DE CIBERSEGURIDAD DE ESPAÑA
SIN CLASIFICAR
•Amenazas y Riesgos
•Intereses Nacionales
•Tratados Internacionales
•y Convenios
CONTEXTO ESTRATÉGICO:
Factores de influencia de
las actividades nacionales
de ciberseguridad
FINES:
Objetivos nacionales
de ciberseguridad
MEDIOS:
Recursos dedicados
a las
prioridades de
ciberseguridad Recursos
legales
Técnicos y
Procedimentale
s Organizativos
Capacidades
Cooperación
Internacional
Planificación temporal y
Medidas de Ejecución
Acciones de
ciberseguridad
•Prioridades Nacionales
de Ciberseguridad
Objetivos de
Ciberseguridad
Contexto Nacional de
Ciberseguridad
Declaración del propósito y
ámbito de la Estrategia
ESTRATEGIA
NACIONAL DE
CIBERSEGURI
DAD
EL MODELO DE LA ESTRATEGIA DE CIBERSEGURIDAD DE ESPAÑA
SIN CLASIFICAR
CONCLUSIÓN
ES ABSOLUTAMENTE PRIORITARIO DISPONER DE LA
ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD, QUE:
• Vertebre la organización de la Ciberseguridad en España,
especialmente en las AA.PP.
• Responda a las exigencias de ciberdefensa del Estado
(ciudadanos, profesionales, empresas, AA.PP. y sus
patrimonios).
• Contemple la cooperación Público-Privada.
• Se enmarque en el contexto de las Estrategias Occidentales.
• Señale la hoja de ruta para la adecuación del Marco Legal.
• Defina y articule los mecanismos presupuestarios adecuados.
SIN CLASIFICAR 68
Conclusiones
• Aproximación a la solución
- Estrategias nacionales en ciberseguridad
Fortalecer la capacidad de defensa proactiva
Problema transversal a gobiernos, empresas y ciudadanos.
ESQUEMA NACIONAL DE SEGURIDAD
• Necesidad de una solución integral
• Necesidad de recursos humanos y económicos
£650 millones / 4 años
SIN CLASIFICAR
Gracias • CÓMO CONTACTAR:
- INCIDENTES
- SISTEMAS ALERTA TEMPRANA
- GENERAL