El profesional de INFOSECUn análisis de su evolución: 1960-2030+

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de AdministraciónUniversidad del Rosario

Agenda

• Introducción

• Contexto actual

• Evolución de la infosec: de un mundo conocido a uno VICA

• Formación en Infosec/Cibersec: Retos educativos

• Riesgos emergentes

• Conclusiones

JCM-18 All rights reserved ACIS XVIII JISI 2

Introducción

JCM-18 All rights reserved ACIS XVIII JISI 3

Temas de mayor preocupación

JCM-18 All rights reserved ACIS XVIII JISI 4

Fuente: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS-Report.pdf

Déficit de profesionales en InfoSec y CiberSec

JCM-18 All rights reservedACIS XVIII JISI 5

Fuente: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS-Report.pdf

Profesionales en InfoSec y CiberSec

JCM-18 All rights reserved ACIS XVIII JISI 6

Fuente: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS-Report.pdf

Europa

LatinAmerica

Contexto actual

JCM-18 All rights reserved ACIS XVIII JISI 7

Prioridades de los CEO a nivel global

JCM-18 All rights reserved ACIS XVIII JISI 8

Fuente: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf

Definiciones de Ciber-riesgo

JCM-18 All rights reserved ACIS XVIII JISI 9

Tom

ado

de:

Elin

g, M

. &Sc

hn

ell,

W. (

20

16

) W

hat

do

we

kno

w a

bo

ut

cyb

er r

isk

and

cyb

er r

isk

insu

ran

ce?

The

Jou

rna

l o

f R

isk

Fin

an

ce. 1

7(5

). p

p.4

74

-49

1. D

oi:

htt

ps:

//d

oi.o

rg/1

0.1

10

8/J

RF-

09

-20

16-

0122

. On

line-

Ap

pen

dix

3

Elementos claves de las definiciones de Ciberriesgo

Actividad No autorizada:

Acciones realizadas de manera intencional o no en el contexto de la organización.

Agresor:

Actores estatales y no estatales, crimen organizado, empleados internos, mercenarios digitales

Vulnerabilidad:

Determinadas por las prácticas y estándares que la organización tiene sobre la gestión de la tecnología, sus procesos y las personas.

Ataque:

Aprovechamiento de las vulnerabilidades conocidas o desconocidas para concretar acciones que interrumpan, deterioren, alteren, revelen o destruyan activos y/o servicios claves de la empresa. P.e: Malware, DDos.

Consecuencia:

Los efectos que se generan basados en las intencionalidades de los atacantes. P.e: Revelar información, espionaje, extorsión, robo de información, sabotaje, fraude.

Productos y/o servicios digitalmente modificados

JCM-18 All rights reserved ACIS XVIII JISI 10

Po

rter,M

.y

Hep

pelm

ann

,J.

(20

14

)H

ow

Smart,

con

nected

pro

du

ctsare

transfo

rmin

gco

mp

etition

.Ha

rvard

Bu

siness

Review

.No

viemb

re.p

.7

Tipos de atacantesBasados en el tipo de acceso y en sus capacidades

JCM-18 All rights reserved ACIS XVIII JISI 11

Acceso al software o a losdatos

Aquellos que crean nuevasvulnerabilidades

Falseación de supuestos

Aquellos que solo ejecutanataques existentes con

vulnerabilidades conocidas.

Aquellos que pueden analizar un sistema para encontrar nuevas

vulnerabilidades y desarrollarcódigo que las explote.

Acceso físico al hardware

Vulnerabilidades

Acceso a las personas que usan o ejecutan el sistema

Acceso

Ca

pa

cid

ad

es

Con ideas de: DoD (2013) Resilient Military Systems and the Advanced Cyber Threat. Task Force Report. Defense Science Board. January. Recuperado de: https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf

Ciberseguros y sus retos

JCM-18 All rights reserved ACIS XVIII JISI 12

Fuente: https://www2.deloitte.com/insights/us/en/industry/financial-services/demystifying-cybersecurity-insurance.html

Evolución de la Infosec:De un mundo conocido a uno VICA

JCM-18 All rights reserved ACIS XVIII JISI 13

Evolución de la función de Infosec

JCM-18 All rights reserved14ACIS XVIII JISI

1960 – 1970: Controles tecnológicos

JCM-18 All rights reserved15

Department of Defense; Security Controls for Computer Systems (U): Report of Defense Science Board Task Force on Computer Security, 11 February 1970, USA, http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf

ACIS XVIII JISI

1980 – 1990: Riesgos y Procesos

JCM-18 All rights reserved16

htt

p:/

/ww

w.e

y.co

m/P

ub

licat

ion

/vw

LUA

sset

s/C

amb

ios_

en_

el_p

ano

ram

a_d

e_l

os_

ries

go

s_d

e_TI

/$FI

LE/P

ersp

ect

ivas

_rie

sgo

s_TI

.pd

f

ACIS XVIII JISI

2000 – 2010: Cumplimiento y Objetivos estratégicos

JCM-18 All rights reserved17

Tomado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 29

ACIS XVIII JISI

2020 – 2030: Ecosistema Digital

JCM-18 All rights reserved18

Ad

apta

do

de:

Fal

co, C

. (2

01

6) U

nle

ash

ing

the

Imm

un

e Sy

stem

: Ho

w t

o B

oo

st Y

ou

r Se

curi

ty H

ygie

ne.

R

ecu

per

ado

de:

htt

ps:

//se

curi

tyin

telli

gen

ce.c

om

/new

s/u

nle

ash

ing-

the-

imm

un

e-sy

stem

-ho

w-t

o-

bo

ost

-yo

ur-

secu

rity

-hyg

ien

e/

Seguridad cognitiva

Inteligencia

Fraude

Identidad

Nube

Móviles

Datos y apps

Punto final

Redes

Tom

ado

de:G

old

en

,D.y

Joh

nso

n,T.(2

017

)A

ugm

en

ted

security.H

ow

cogn

itivetech

no

logies

canad

dress

the

cybe

rw

orkfo

rcesh

ortage.

Delo

itteU

niversity

Press.

Recu

perad

od

e:h

ttps://d

up

ress.de

loitte.co

m/d

up

-us-

en/in

du

stry/pu

blic-secto

r/add

ressing-cyb

ersecurity-talen

t-sho

rtage.htm

l

ACIS XVIII JISI

En resumen …

JCM-18 All rights reserved19ACIS XVIII JISI

1

2

3

4

5

6

Juegos de guerra

Ejercicios de ingeniería social

Inteligencia de amenazas

Análisis de riesgosde INFOSEC

Auditorías de INFOSECAnálisis de vulnerabilidades

VISIÓN ANALÍTICAIdentificación de brechas

VISIÓN DE ACTIVOS

Identificación de puntos de control

VISIÓN COGNITIVASimulaciones y

escenarios

12

3

4

5

6

De la INFOSEC a la CIBERSECTáctico Estratégico

Alt

aG

en

era

ció

nd

e v

alo

rB

aja

Saberesespecializados

Capacidades colectivas

Formación en Seguridad/Ciberseguridad:Retos educativos

JCM-18 All rights reserved ACIS XVIII JISI 20

Contraste entre práctica y capacidad

JCM-18 All rights reserved21ACIS XVIII JISI

Características

• Cuerpos de conocimiento aplicadosy probados

• Basadas encertidumbres

• Verificables y auditables• Riesgo: Es una amenaza

Características

• Desarrolla aprendizajes• Basada en escenarios

inciertos y ambiguos. • Reta saberes previos y

elabora distincionesnuevas

• Riesgo: Una oportunidad

Objetivos de la formación de los profesionales en Infosec/Cibersec

JCM-18 All rights reserved22ACIS XVIII JISI

Individuo

Aprender

Localizar informaciónclave y transformarla enconocimiento.

Relacionar enseñanzas con la realidad y con otras ciencias.

Leer y comunicar en todos lossoportes que genera la

Sociedad.

Anticipar y resolver problemas nuevos, ideando solucionesalternativas.

Pensar de forma interdisciplinaria e

integradora, para percibirlas dimensiones de los

retos

Desconectar losconceptos conocidos y

repensarlos en escenariosdesconocidos.

1

2

3

45

6

7

Adaptado de: García, L., Ruiz, M. y García, B. (2009) Claves para la educación. Actores, agentes y escenarios en la sociedad actual. Madrid, España: Narcea-UNED. P.272

Visión interdisciplinar de la seguridad

JCM-18 All rights reserved23ACIS XVIII JISI

Objeto de referencia(¿Seguridad de quién?)

Valor que está en riesgo (¿Seguridad

de qué?)

Fuentes de amenazas (¿Seguridad de quién

o qué?)

Ejemplo sobresaliente de riesgo

Seguridad nacional (Dimensión política y militar)

El EstadoSoberanía, integridad

territorialOtros estados, terrorismo Grupos extremistas

Seguridad de la sociedad

Naciones, grupos socialesUnidad nacional,

identidadNaciones, culturas ajenas,

inmigrantesDesplazados por los conflictos

Seguridad humana Individuos, humanidadSupervivencia, calidad

de vidaEstado, globalización, naturaleza, terrorismo

Desastres naturales

Seguridad ambiental Ecosistema Sostenibilidad Humanidad Calentamiento global

Seguridad de la información

Individuos, procesos, tecnología

ConfianzaVulnerabilidades

humanas, técnicas y de proceso

Pérdida y/o fuga de información

Ciberseguridad Ecosistema digitalResiliencia,

gobernabilidad Estados, terrorismo, actores no estatales

Ataques a infraestructura crítica nacional

Adaptado de: Gunter, H. (2005) Threats, challenges, vulnerabilities and risks in enviromental and human security. UNU Institute for Environment and Human Security (UNU-EHS). Publication Series ofUNU-EHS. No.1. p.19. Recuperado de: http://collections.unu.edu/eserv/UNU:1868/pdf4040.pdf

Profesional de Infosec – Habilidades claves

JCM-18 All rights reserved24ACIS XVIII JISI

MANTENER BAJO PERFIL

TENER RUTA DE ESCAPE

PENSAR COMO EL ATACANTE

Profesional de INFOSEC

Declaraciones básicas

Habilidades claves

Profesional de Infosec – Habilidades claves

JCM-18 All rights reserved25ACIS XVIII JISI

Fundamentos del entorno digital

Fundamentos estratégicos de la ciberseguridad

Fundamentos organizacionales y tácticos de la ciberseguridad

Fundamentos técnicos y tácticos de la ciber seguridad

Ecosistemasdigitales

Geopolíticadigital

Colaboracióny asistencia Nale Internacional

Defensaactiva

Economíadigital

Resilienciadigital

Ciber riesgoy ciber seguros

Inteligencia y cacería

deamenazas

Juegos deguerra

Controlestecnológicos

Prácticas de seguridad de la informaciónTemáticas transversales

Temáticas Especializadas

Características claves del Profesional en Ciberseguridad

JCM-18 All rights reserved26ACIS XVIII JISI

ComunicaciónExplicar los retos complejos en términos sencillos. Las analogías son útiles en este ejercicio.

Formación y experienciaContar con el entrenamiento adecuado y experiencia en el campo.

Marcos de trabajoIdentificar recursos y herramientasadecuadas para realizar el trabajo.

InnovaciónAceptar el error como descubrimento y

oportunidad para superar ceguerascognitivas.

AudaciaExperimentar la incertidumbre y las

dudas y a pesar de ello, tomar las decisiones que se requieren.

C omprenderI nformarB alancearE xplorar

R etar

C

I

BE

R

Con ideas de: Loftus, G. (2017) Indiana Jones’s Five leadership Lessons. Forbes. Recuperado de: http://bit.ly/2BKj503

Riesgos emergentes

JCM-18 All rights reserved ACIS XVIII JISI 27

JCM-18 All rights reserved ACIS XVIII JISI 28

Inteligencia Artificial: Algoritmos

Sesgos humanos Fallas técnicas Vulnerabilidades de seguridad

Fallas en la implementación

SESGOSDatos parciales, insuficientes, no actualizados o manipulados.

PERTINENCIADatos irrelevantes, inconsistentes o incompletos.

PATRONESSesgos en la lógica, manipulación de tendencias, inclusion de funciones no previstas.

ERRORESEn la codificación, enlas premisas de diseño, en la ejecución.

USOPara aquello que no fue diseñado, para desestimar otrosanálisis, como criteriode autoridad técnica

INFERENCIAInterpretacionesincorrectas, conclusionesparciales,

DATOS DE ENTRADA DISEÑO DE LOS ALGORITMOS DECISIONES DE SALIDA

FACTORES INHERENTES

Con ideas de: Krishna, D., Albinson, N. & Chu, Y. (2017) Managing algorithmic risks. Safeguarding the use of complex algorithms and machine learning. Deloitte. Recuperado de:https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-algorithmic-machine-learning-risk-management.pdf

JCM-18 All rights reserved ACIS XVIII JISI 29

Terceros: Monitorización activa

Fuente: https://www.opus.com/resource/data-risk-third-party-ecosystem-2nd-annual-study-ponemon-institute/

JCM-18 All rights reserved ACIS XVIII JISI 30

Computación en la niebla: Desafíos

Características de la “Computación en la niebla” –Fog Computing

Baja latencia y sensibilidad en la localización.

Distribución geográfica

Movilidad en dispositivo final

Capacidad de procesamiento en un alto número de nodos

Acceso inalámbrico

Aplicaciones en tiempo real

Heterogeneidad

Fuente: Mukherjee, M. et al. (2017) Security and Privacy in Fog Computing. IEEE Access. 5. 19293-19304. doi: 10.1109/ACCESS.2017.2749422

JCM-18 All rights reserved ACIS XVIII JISI 31

Revelar información sensible Negar el acceso a la información

Uso de fuentes abiertas

Construcción de expediente

Correlación de información

Inteligencia abierta

Acceso a información privada

Intimidación

Afectación de la imagen o reputación

Pruebas de posesión de información

Objetivo específico

Perfil del objetivo

Cifrado de información

Visibilidad del objetivo

Extorsión con la información

Afectación

Afectación de la empresa y clientes

Advertencia de extorsión y pago

DOXWARE RANSOMWARE

Basado en: Young, A. & Young, M. (2004) Malicious Cryptography. Exposing Cryptovirology. Indianápolis, Indiana. USA: John Wiley & Sons.

Criptovirología: Tendencias

Conclusiones

JCM-18 All rights reserved ACIS XVIII JISI 32

Riesgos claves para monitorizar

JCM-18 All rights reserved ACIS XVIII JISI 33

GeopolíticoLa inestabilidadpolítica será la

constante a nivelglobal. El ciberespacio

será un teatro de operaciones muy

activo.

RegulatorioLas exigencias de

cumplimientoseguirán avanzando.

Las brechas de seguridad y las

sanciones serán el reto para las

empresas.

ReputaciónUna mayor flujo de

información entre las empresas y los

individuos será la mayor virtud o el peorpecado. La confianza

estará bajo fuegocruzado.

Crimenorganizado

Avanza el fortalecimiento de

los ecosistemasdigitales criminales.

Surgen nuevosstartups del crimen

digital.

Discontinuidadtecnológica

Aumenta la digitalización de productos y servicios,

sensores embebidos en todaspartes, una mayor superficie

de acción que genera tensiones para la privacidad

y el acceso a los datosIdeas tomadas de: Cano, J. (2016) Pronósticos de seguridad de la información 2017. Cinco imperativos para avanzar en un mundo digitalmente modificado. Recuperado de:http://insecurityit.blogspot.mx/2016/10/pronosticos-de-seguridad-de-la.html // Olavsrud, T. (2016) 4 information security threats that will dominate 2017. Recuperado de: http://www.cio.com/article/3153706/security/4-information-security-threats-that-will-dominate-2017.html

JCM-18 All rights reserved ACIS XVIII JISI 34

Lecciones aprendidas

1 El atacante interno puedeestar en cualquier parte

Mecanismos de control y aseguramiento interno

2La ingeniería social es la técnica más utilizada y

efectiva

Aumentar la resistencia del firewall humano

3Servicios y productos

digitalmente modificadosheterogéneos e inseguros

Desarrollo de prácticas de seguridad y control para la

industria 4.0

4Los móviles definen unamayor superficie para los

ataques

Prácticas de aseguramiento de dispositivos móviles

5 La gestión de contraseñasdebe ser repensada

Se debe promover el uso de doble factor de autenticación

6 Uso de las USB comovector de ataque

Reporte y control de USB desatendidas

7La fuga y/o pérdida de

información comoamenaza relevante

Uso del cifrado de informacióncomo estrategia resistente a

estos ataques

8El secuestro de

información es la normapara los atacantes

Aseguramiento de datos con respaldos en medios y localizaciones distintas

9Permanecen las

configuraciones pordefecto

Pruebas de vulnerabilidadesperiódicas

10Uso de criptomonedas

para el pago de extorsiones

Monitoreo y cooperaciónfrente a los ecosistemas

digitales criminales

Basado en las ideas de: Pagnota, S. (2016) 10 lecciones de seguridad que nos dejó Mr. Robot S02. Recuperado de: http://www.welivesecurity.com/la-es/2016/09/23/lecciones-seguridad-mr-robot-s02/

JCM-18 All rights reserved ACIS XVIII JISI 35

Confianza digitalLos clientes saben y conocen que su información sensible será efectivamente protegiday si algo no previsto ocurre, saben que serán notificados, orientados y restituidos segúncorresponda

Controles costo-efectivos

Las medidas de control instaladas responden a un criterio costo-efectivo, que protege el modelo de generación de valor de la empresa y la promesa de valor para con susgrupos de interés

Resiliencia digitalLos grupos de interés y terceros relacionados hacen parte de la estrategia de resistenciafrente eventos adversos, mientras la organización mantiene la operación y la restauracompletamente.

Cumplimientopreventivo

Los grupos de interés conocen y participan del proceso de evaluación de las capacidades de ciberseguridad vigentes, el cual permite detectar deficiencias y tomaracciones correctivas.

Alfabetizacióndigital

Los ejecutivos de primer nivel se entrenan permanentemente en los nuevos retos del mundo digitalmente modificado y entienden la ciberseguridad empresarial como unacapacidad clave para preservar, proteger y transformar el negocio frente la inestabilidadde los mercados.

Ciberseguridad Empresarial Ventaja competitiva

Con ideas de. Kovacich, G. (2016) The information systems security officer’s guide. Establishing and Managing a cyber security program. Third Edition. Kidlington, Oxford. UK.: Butterworth-Heinemann

JCM-18 All rights reserved ACIS XVIII JISI 36

Visión holística de la seguridad digital

Global cybersecurity

Corporate cybersecurity

INT

ER

NA

TIO

NA

L D

IGIT

AL

S

EC

UR

ITY

AU

DIT

NA

TIO

NA

L D

IGIT

AL

S

EC

UR

ITY

AU

DIT

Strategic securityDigital resilience and

defense

Digital intelligence

Simulations

Scenarios

Prototypes

Operational security

OT Security practices

Operational discipline

Tactical security

Information security culture

IT Security

Control compliance

Internal IT Audit

Vulnerability assessment

Defense in depth

Industrial cybersecurity

INFORMATION SECURITY PRACTICES

El futuro no es un regalo: es un logro. Cada generación ayuda a hacer su propio futuro. Este es el reto esencial del presente.

Robert Kennedy

ACIS XVIII JISI 37

ACIS XVIII JISI 38

CIBERATAQUESPRÓXIMA SALIDA

SALIDA 1A

“La seguridad de la información es un ejercicio de confianza imperfecta: acuerdos sobre umbrales de riesgo en el contexto de la

inevitabilidad de la falla”.

Jeimy J. Cano M.

Jeimy J. Cano M.

jjcano@yahoo.com

@itinsecure

El profesional de INFOSECUn análisis de su evolución: 1960-2030+

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de AdministraciónUniversidad del Rosario

@itinsecure