Embed Size (px)
Citation preview
Código Abierto o Cerrado: El Debate de la Seguridad en la Era de la Movilidad, la
Nube y Aplicaciones en Demanda
Elier Cruz, MSTI CISSP-ISSAP
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
ALas tendencias de las tecnologías
disruptivas Visión 2020
El futuro de la
Seguridad:
Manejo
proactivo de
Riesgos
ColaborativoAbierto & Extendido
Dispositivos, Información & Infraestructura
NUBEPublico, Privado, Hibrida
DATOS MASIVOSContenido, Contexto,
No estructurado / Estructurado
MurosSeguridad Perimetral Reactiva
CONSUMERIZACIÓNMobilidad, Dispositivos
& Redes Sociales
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A¿Qué es la nube?
• La Nube, no es un fenómeno tecnológico, sino económico… ya que la Nube siempre ha estado con nosotros desde la aparición de la WWW.
• La Nube cumple un principio económico básico:“Compra lo que se aprecia, renta lo que se deprecia”
• La Nube es tecnología TI enfocada hacia el servicio de consumo de TI.
• No hay nada que sugiera que la nube y el código abierto se excluyan el uno al otro. La nube está basada en código abierto y el código abierto se ha estructurado para funcionar en la nube.
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
ASeguridad en la Nube
Un Mundo sin perímetros…
Monitoreo tradicional de Seguridad
Monitoreo Híbrido de Seguridad
Dirección IP Usuario APPDatos
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
AEl enfoque de la Seguridad en los
modelos de la Nube
PaaS
IaaS
SaaS
Aplicaciones
Usuario
Responsabilidad del
usuario
Responsabilidad del
proveedor
Aplicaciones
Información
OS
Red
Físico
Imágen OS
Información
Aplicaciones• Se incrementan las
responsabilidades de seguridad en las capas de información, aplicacionesy usuarios
• Se reduce la visibilidad en el OS, la Red y las capasfísicasDerechos R
eservados d
el Autor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A¿Qué es la seguridad en
Cloud Computing & Movilidad?
Los riesgos de Seguridaddependen de:
• Clasificación de información de los activos y ¿cómo la información debede ser manejada?
• ¿Quíen la maneja y cómo?
• ¿Cuales son los controles que hansido seleccionados y cómo han sidointegrados?
• ¿Cumplir la Ley de Federal de Protección de Datos?
Aplicaciones
Información
Administración
Redes
Trusted Computing
Cómputo y Almacenamiento
Físico
SDLC, Análisis Binario, Scanners,WAFs, Seguridad transaccional
DLP, CMF, Monitoreo de Bases de Datos, Encripción
SIEM, GRC, IAM, VA/VM, Patch Mgmt., Config. Mgmt.
NIDS/NIPS, Firewalls, DPI, Anti-DDOS, QoS, DNSSEC
Hardware, Software, RoT & API’s
Firewalls en EndPoints, HIDS/HIPS, Encripción, FAM
Acceso Físico, CCTV, Guards
Derechos Reserva
dos del A
utor
El problema…
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
APrimero: la percepción…
Código Abierto:– Código abierto es el término con el que se conoce al software
distribuido y desarrollado libremente. El código abierto tiene un punto de vista más orientado a los beneficios prácticos de compartir el código que a las cuestiones morales y/o filosóficas las cuales destacan en el llamado software libre
Código Cerrado:– El software propietario (también llamado privativo, de código cerrado
o software no libre) es cualquier programa informático en el que el usuario final tiene limitaciones para usarlo, modificarlo o redistribuirlo (con o sin modificaciones), o cuyo código fuente no está disponible o el acceso a éste se encuentra restringido por un acuerdo de licencia
Código Libre:– Free en inglés significa dos cosas distintas dependiendo del contexto:
gratuidad y libertad. Lo cual implica, para el caso que nos ocupa, "software que podemos leer, modificar y redistribuir gratuitamente" (software gratuito) y, además, software libre
Fuente: Ensayo de Informática Código-Cerrado y Código-Abierto
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
ACódigo Abierto vs Código Seguro
“¿Es el código abierto más seguro?”
Abierto:• Alguien puede darle una vista al código de tu aplicación (si el lo desea)
• Puede decirte que encontro o bien ocultarlo
• Y tu código… puede aparecer en Tiendas de Aplicaciones…
Cerrado• El no hacer el código disponible, no necesariamente oculta
vulnerabilidades
• La necesidad de revisión del Código por potenciales “Puertas Traseras” de fábrica.
La decisión pragmática: Depende del Contexto
donde se enfocará el desarrollo del código…
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
ALos ataques ahora se enfocan hacia las
aplicaciones
RedesOS
Security Measures
• Switch/Router security
• Firewalls• NIPS/NIDS• VPN• Net-Forensics• Anti-Virus/Anti-Spam• DLP• Host FW• Host IPS/IDS• Vuln. Assessment
tools
PropiedadIntelectual
Informaciónde Usuario
Procesosde negocio
Secretoscomerciales
Aplicaciones
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
ADe aquí surgen los
ataques dirigidos y los APT
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A
13
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
AApple en 2007…
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A¿Porqué no funciona la seguridad
informática?
Toda seguridad informática es útil si los usuariosfinales que lo utilizarán tienen esto plenamenteconsiderado las siguientes premisas:
– Estar conscientes de las tareas de seguridad que ellosnecesitan realizar (passwords, clasificar información, proteger su información)
– Saber que tareas puede realizar y cuales no.
– No cometer errores peligrosos.
– Estén suficientemente confortables con la interfase y experiencia de usuario para continuar usando la herramienta.
Derechos Reserva
dos del A
utor
1a Regla de Oro…
“Habilita sólo el 20% de las funcionalidades de tudesarrollo que serán usadas por el 80% de tu
audiencia de usuarios”Derechos R
eservados d
el Autor
2a Regla de Oro…
“La Seguridad es Holística, considerando la interdependencia de los 7 conceptos de seguridad:
Autenticación, Autorización, Confidencialidad, Integridad de Información y Mensajes, Registro de actividades, Disponibilidad, No
Repudio”
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A¿Hay que Desmitificar Código Abierto?
• El Código abierto no debe de ser reticente a mezclar software de Código Cerrado (principalmente Gobiernos & Financiero/Banca)
• El Código abierto debe siempre considerar las prácticas de “Código seguro”.
• El Código abierto no necesariamente es gratis, pero debe de ser barato.
• El Código Abierto tiene que tener como objetivo las necesidades del usuario final.
• El Código abierto tiene que ser un facilitador para hiperconectividad brindando un salto cualitativo en el nivel de incremento de la productividad.
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
AMetas de Seguridad en la Nube,
Aplicaciones & Movilidad
Monitorear y registrar todas las capas de seguridad en la Nube, desde la infraestructura
hasta la aplicación
Brindar un aseguramientomodular a nivel
de lasaplicaciones y la
red contra Vulnerabilidades
y Exploits
Brindar los reportes necesariospara el cumplimiento de las Normatividadesactuales y futurasdel País.
Los productos de Seguridad ahora deben de serhíbridos y abiertos para que puedan interoperar con
las aplicaciones o servicios de los usuarios.
CUMPLIMIENTOTRANSPARENCIA
HIBRIDIZACIÓNASEGURAMIENTO
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
A
“El Perímetro actual yano reside en los dispositivos de Red, sino en el acceso
seguro del usuario a
sus aplicaciones y
datos por medio de sus dispositivos
móviles”
La nube y la computación Móvil….
Derechos Reserva
dos del A
utor
7ª
SEM
AN
A D
E LA
SEG
UR
IDA
D IN
FOR
MÁ
TIC
AConclusiones…
Seguridad de la Información evoluciona a un nuevo enfoque:
– Debe de ser enfocada hacia las prioridades de la organización, la Era de la Información ahora es parte de la economía global.
– Nuestra información ahora es un Activo económico.
– Debemos de contar con “visibilidad completa” en el “contexto de los procesos de la organización” y permitir una priorización sencilla y eficiente de recursos.
– Tiene que ser sencilla, práctica y pragmática
Derechos Reserva
dos del A
utor
¡Muchas Gracias!
Derechos Reserva
dos del A
utor
