El ecosistema de Ciberseguridad en Colombia: retos y oportunidades de la Banca DigitalEstudNET- Universidad Pontificia Bolivariana
Entidad que tiene como misión la formación integral de personas, mediante la evangelización de la cultura, la búsqueda de la verdad, en los procesos de docencia, investigación, proyección social y la reafirmación de los valores desde el humanismo cristiano, para el bien de la sociedad.
Consultora española especializada en ayudar a las Empresas e Instituciones públicas a mejorar y acreditar los sistemas y procesos de Seguridad de la Información y de desarrollo del software, integrada por profesionales con amplia experiencia.
El Grupo de Investigación en Empresa, TIC y Educación (GeeTIC) , Seccional Bucaramanga de la Universidad Pontificia Bolivariana, con el apoyo experto de EstudNET, ha resultado seleccionada participado en la Convocatoria nº 668 de Colciencias en colaboración con el MinTIC, para “el fortalecimiento de la ciberseguridad en instituciones
del estado”, para la realización del proyecto “Estudio de
Viabilidad para la Creación de un Observatorio Nacional
de Ciberseguridad de Colombia (ONC_COL)”.
Esta ponencia presenta, por primera vez en un foro bancario, el modelo de Ecosistema de Ciberseguridad en Colombia (ECC), una de los principales aportaciones del proyecto y, como novedad, lo particulariza para la Banca Digital.
AgendaEcosistema de Ciberseguridad en Colombia
– Proyecto ONC_COL
– ECC: Definición, metodología, valor aportado.
– Análisis de las capacidades de Ciberseguridad en Colombia: avances, retos y oportunidades.
Visión del ECC del sector financiero– Caracterización: actores, activos, riesgos y amenazas
– Voz del Cliente: percepción de riesgos a la seguridad y la privacidad de la información
– Modelos de evaluación y construcción de capacidades
– Mejores practicas para el fortalecimiento de capacidades
Participación: preguntas e intercambio de experiencias
Ecosistema de Ciberseguridad en
Colombia
Jorge Máquez, CEO EstudNET @jmarquezpacios
Ing. Angélica Flórez, UPB Seccional BucaramangaInvestigadora Principal Colciencias nº 668
“Fortalecimiento de la ciberseguridad en instituciones del estado de la República de Colombia”
Estudio de Viabilidad para la Creación de un
Observatorio Nacional de Ciberseguridad de
Colombia (ONC_COL)
Septiembre 9 de 2015
Sobre la convocatoria 668
Estudio de viabilidad de la creación de un Observatorio Nacional de Ciberseguridad en Colombia
Convocatoria 668 Colciencias: Cofinanciar proyectos de innovación
orientados al fortalecimiento de la Ciberseguridad a través de la generación,
adaptación, dominio y utilización de nuevas tecnologías que permitan
minimizar y contrarrestar los riesgos e incidentes de naturaleza cibernética
de las instituciones del estado.
Consultores internacionales
Asesor Líder:
Jorge Márquez
Grupo Investigación
Investigadora Principal:
Ing. Angélica Flórez
Análisis del Ecosistema Ciberseguridad y Ciberdefensa en
Colombia identificación de capacidades no cubiertas,
las razones y la oportunidad de la creación del ONC_COL.
Análisis de viabilidad técnica, legal y
económica de la creación del ONC_COL.
Validación con StakeholdersSocialización
Participación en CONPES
Plan de acción para la puesta en marcha
hoja de ruta de acciones a corto, mediano y largo plazo
y el estudio económico.
Estudio de viabilidad de la creación de un Observatorio Nacional de Ciberseguridad en
Colombia: ONC_COL
12/14-03/15
04/15-08/1504/15-08/15
09/15-12/15
Componentes del Ecosistema deCiberseguridad en Colombia
Amenazas
Activos Capacidades
Relaciones
Entidades
Ecosistema de Ciberseguridad
de Colombia
Persona natural o
jurídica considerado un
agente activo o pasivoBienes, tangibles o
intangibles de pertenencia
de las Entidades
Recursos con los cuales se cuentan o se requieren para lograr la gestión de
las amenazas a las cuales se encuentran expuestos
los activos
Riesgo al cual se
encuentran expuestos los
activos
Interacción entre los componentes
Entidades del Ecosistema de Ciberseguridad de Colombia
Sector PúblicoSector Público
Infraestructura CríticaInfraestructura CríticaCiudadaníaCiudadanía
Centros de InvestigaciónCentros de Investigación AtacantesAtacantes
Sector PrivadoSector Privado
Entidades ECC
SECTOR PÚBLICOSECTOR PÚBLICO
Entidades e instituciones del Estado de Colombia, de naturaleza pública, que tienen
entre sus objetivos misionales funciones relacionadas al fortalecimiento de la
Ciberseguridad y la Ciberdefensa.
Entidades ECC
Conjunto de pequeñas, medianas y grandes empresas que hacen parte del eje productivo de la industria y de toda aquella otra persona jurídica de carácter no pública que participa
del ecosistema.
SECTOR PRIVADOSECTOR PRIVADO
Entidades ECC
Conjunto de personas naturales residentes en territorio colombiano.
CIUDADANÍACIUDADANÍA
Entidades ECC
Entidades que prestan servicios esenciales los cuales son considerados como estratégicos
del país. Ej: Servicios energéticos, financieros, entre otros.
OPERADORESINFRAESTRUCTURA CRÍTICA
OPERADORESINFRAESTRUCTURA CRÍTICA
Entidades del ECC
Instituciones que realizan innovación e investigación en materia de Ciberseguridad,
tales como universidades, centros tecnológicos, centros de excelencia, tanques
de pensamiento, entre otros.
CENTROS DE INVESTIGACIÓN
CENTROS DE INVESTIGACIÓN
Entidades ECC
Personas naturales o jurídicas que intentan acceder, interceptar o dañar un sistema
informático afectando la integridad, confidencialidad y disponibilidad de los datos y
los sistemas.
ATACANTESATACANTES
Entidades ECC Sector Público
Presidente Congreso
Cancillería
MinTIC
MinDefensa
MinJusticia
MinHacienda
MinCITCCOC CCP
ColCERT
DNP
Fiscalía-CTI Rama JudicialAdministración
Pública
CRC SIC SFC
Infraestructura crítica
DNI
Gran Empresa
Infraestructuras Críticas
Contratista
TIC
Independiente
PYME Financiera
Entidades ECC Sector Privado
Centros de InvestigaciónCentros de Investigación
Centros de Innovación e InvestigaciónThink Thank
Centros de ExcelenciaAcademia
Entidades ECC
Colciencias
AtacantesAtacantes
Empresas CompetidorasEmpresas Competidoras
ContratistaContratista
Grupo TerroristaGrupo Terrorista
HackerHacker
HacktivistaHacktivista
Banda CriminalBanda Criminal Empleado SaboteadorEmpleado Saboteador
Entidades ECC
Fortalecimiento de las capacidades
MEDIDAS
ORGANIZA.
• Agencia coordinadora
• Visión integral
• Marco institucional claro
• Política de protección de las infraestructuras críticas
• Política de Estado integral y de largo plazo
• Enfoque global basado en riesgos
• Coordinación de todos los actores clave con responsabilidad en el ámbito de la
Ciberseguridad
• Fortalecimiento de las entidades actuales operativas: ColCERT, CCP y CCOC
• Creación de una entidad Observatorio de Ciberseguridad: diagnóstico,
métricas, sensibilización, capacitación y acreditación
MEDIDAS
TECNOLÓGICAS
• Centros de operaciones: sólida capacidad analítica y herramientas técnicas
• Capacidad analítica, análisis avanzado de datos
• Centros de excelencia en Ciberseguridad
Fortalecimiento de las capacidades
MEDIDAS
LEGALES
• Adhesión al Convenio Budapest
• Normativa que armonice la inteligencia vs privacidad
• Optimizar los protocolos y medios para la conservación de la evidencia digital
• Implementar legislativamente la retención mandatoria de datos de tráfico
• Protocolo internacional de persecución ciberdelitos (Red 24/7)
• Fiscales y jueces especializados en ciberdelitos
• Capacitación para jueces, fiscales y policías
• Obligación reporte incidentes en Infraestructuras Críticas
MEDIDAS DE
CAPACITACIÓN
• Elaborar una estrategia de capacitación en Ciberseguridad en colaboración con el sector
privado, la academia y el sector público.
• Mesa Nacional del talento en Ciberseguridad con participación público- privada
• Estrategia para la detección, atracción y desarrollo del talento en Ciberseguridad
MEDIDAS DE
COOPERACIÓN
• Canales de intercambio bidireccional de información para el CCOC-CCP-ColCERT
• Cooperación entre el sector público y privado
• Colaboración institucional con las entidades operadoras de infraestructuras críticas
• Involucrar a todos los interesados en el desarrollo de la estrategia y su implementación
• Estrategia escrita para la cooperación internacional
Visión del ECC en el sector financiero
Jorge Márquez, CEO EstudNET@jmarquezpacios
Consultor internacional Colciencias nº 668“Fortalecimiento de la ciberseguridad en instituciones del estado de la
República de Colombia”
Clientecentro
ECC Financiero
Operadores Infraestructuras
Críticas
Actores: “buenos, malos y reguladores”
Empleados
ColaboradoresProveedores
Socios
ReguladoresSuperintendencia
Financiera
Superintendencia Comercio Industria
Poder Legislativo
Entidades Gobierno
MinDEF MinTIC …
Rama Judicial
ClienteOperadores
Infraestructuras Críticas
Empleados
ColaboradoresProveedores
Socios
CibercriminalesBandas
Crimínales Organizadas
Hacktivistas
Agentes maliciosos internos
Grupos Terroristas
ReguladoresSuperintendencia
Financiera
Superintendencia Industria
Poder Legislativo
Entidades Gobierno
MinDEF MinTIC …
Rama Judicial
Empresas Estados
Actores: “buenos, malos y reguladores”
Datos
personales Clientes, Empleados,
Colaboradores
Activos financieros
Clientes,
Entidad
financiera
Activos en riesgoDatos
financieros Clientes,
Entidad
financiera
Información del negocio
Entidad financiera
Infraestructura Física
Edificios, Oficinas
Infraestructura Tecnológica
Aplicaciones
Redes, PlataformasRecursos Humanos
Empleados,
Colaboradores
Datos
personales Clientes, Empleados,
Colaboradores
Activos financieros
Clientes,
Entidad
financiera
AmenazasDatos
financieros Clientes,
Entidad
financiera
Información del negocio
Entidad financiera
Infraestructura Física
Edificios, Oficinas
Infraestructura Tecnológica
Redes,
PlataformasRecursos Humanos
Funcionarios,
Colaboradores
Ciberespionaje
Phising
Amenazas PersistentesAvanzadas
APT
AtaquesSabotajes
Infección malware
Ingeniería Social
Extorsión
Robo y difusión datos
personales
Lavado Dinero
Clonación Tarjetas
Evaluación y construcción
de capacidades de Ciberseguridad
en el sector financiero
Capacidades en Ciberseguridad
Índice Mundial de Ciberseguridad (IMC), de la Unión Internacional de Telecomunicaciones (UIT), proporciona un esquema metodológico de identificación y evaluación de
las capacidades necesarias para enfrentar con éxito los riesgos cibernéticos.
30
El IMC evalúa el compromiso de un país con la Ciberseguridad con "el objetivo de fomentar la
cultura de la Ciberseguridad y su integración
en el núcleo de las tecnologías de la
información y la comunicación".
31
¿Cual es el grado de preparación de Colombia?
Colombia ocupa el 9º lugar a nivel mundial. IMC 2014
32
¿Cuáles son las capacidades clave?
Medidas Organizativas 0,750
• Política
• Hoja de Ruta
• Organismo responsable
• Análisis comparativos nacionales
Capacitación 0,750
• Talento
• Certificación profesional
• Certificación Organismos
Medidas Legales 0,750
• Legislación penal
• Reglamentación y conformidad
Medidas Técnicas 0,500
• EIII/EIEI/EIISI
• Normas
• Certificación
Cooperación 0,250
• Cooperación intraestatal
• Cooperación intraorganismos
• Asociaciones público-privadas
• Cooperación internacional
Voz del Cliente: percepción de riesgos a la seguridad y la
privacidad
¿Cual es la percepción del consumidor?
10
¿Canales bancarios más vulnerables?
Mejores practicas para el fortalecimiento de capacidades
Visión
Sistema de gestión integrado
Análisis de Riesgos
Métricas
BYOD
Alcance
• Localizaciones, Uds. Organizativas
• Activos: Datos, hw, sw, redes, RRHH, servicios
• Amenazas
• BYOD
Buenas practicas
• Sensibilización y capacitación
• Cooperación sectorial e institucional
Retos
• Privacidad vs Cloud, BigData..
• Cultura de Seguridad
Capacidad
clave
Crear una estrategia de Ciberseguridad
7
Visión
Competencias clave
Modelo recursos int. vs externo
Desarrollo seguro
Alcance
• Evaluación de competencias
• Captación, desarrollo y fidelización
Buenas practicas
• Reclutamiento hackers
• Hackatons, Retos, Premios, …
Retos
• “Adelantarse a los malos”
• Entender motivaciones
Capacidad
Clave
Gestionar el Talento de Ciberseguridad
8
Visión
Enfoque Negocio
Análisis y evaluación
Controles
Métricas
Alcance
• Estrategias de gestión de riesgos
• Inversión vs niveles de riesgo
• Vulnerabilidades 0Day y propias
Buenas practicas
• Sensibilizar a los Clientes
• Transferir riesgos a terceros
Retos
• Anticipación amenazas
• Aprender de los incidentes
Capacidad
Clave
7
Gestionar los Riesgos
Visión
Resiliencia
Compromisos de recuperación
Riesgo legal y reputacional
Alcance
• Planes de contingencia
• Ejercicios y evaluación
• Cumplimiento normatividad
Buenas practicas
• Cooperación c/ Socios
• Aprender de los incidentes
Retos
• Coste de redundancia
• Reporting institucional
Capacidad
Clave
Continuidad de Negocio
8
“¿Cómo “¿Cómo “¿Cómo “¿Cómo podemos utilizar la podemos utilizar la podemos utilizar la podemos utilizar la tecnología para tecnología para tecnología para tecnología para dar dar dar dar más seguridad a más seguridad a más seguridad a más seguridad a
los ciudadanos?”los ciudadanos?”los ciudadanos?”los ciudadanos?”
Presidente Juan Manuel Santos #Andicom30