el profesional de infosec
TRANSCRIPT
El profesional de INFOSECUn análisis de su evolución: 1960-2030+
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de AdministraciónUniversidad del Rosario
Agenda
• Introducción
• Contexto actual
• Evolución de la infosec: de un mundo conocido a uno VICA
• Formación en Infosec/Cibersec: Retos educativos
• Riesgos emergentes
• Conclusiones
JCM-18 All rights reserved ACIS XVIII JISI 2
Introducción
JCM-18 All rights reserved ACIS XVIII JISI 3
Temas de mayor preocupación
JCM-18 All rights reserved ACIS XVIII JISI 4
Fuente: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS-Report.pdf
Déficit de profesionales en InfoSec y CiberSec
JCM-18 All rights reservedACIS XVIII JISI 5
Fuente: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS-Report.pdf
Profesionales en InfoSec y CiberSec
JCM-18 All rights reserved ACIS XVIII JISI 6
Fuente: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS-Report.pdf
Europa
LatinAmerica
Contexto actual
JCM-18 All rights reserved ACIS XVIII JISI 7
Prioridades de los CEO a nivel global
JCM-18 All rights reserved ACIS XVIII JISI 8
Fuente: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf
Definiciones de Ciber-riesgo
JCM-18 All rights reserved ACIS XVIII JISI 9
Tom
ado
de:
Elin
g, M
. &Sc
hn
ell,
W. (
20
16
) W
hat
do
we
kno
w a
bo
ut
cyb
er r
isk
and
cyb
er r
isk
insu
ran
ce?
The
Jou
rna
l o
f R
isk
Fin
an
ce. 1
7(5
). p
p.4
74
-49
1. D
oi:
htt
ps:
//d
oi.o
rg/1
0.1
10
8/J
RF-
09
-20
16-
0122
. On
line-
Ap
pen
dix
3
Elementos claves de las definiciones de Ciberriesgo
Actividad No autorizada:
Acciones realizadas de manera intencional o no en el contexto de la organización.
Agresor:
Actores estatales y no estatales, crimen organizado, empleados internos, mercenarios digitales
Vulnerabilidad:
Determinadas por las prácticas y estándares que la organización tiene sobre la gestión de la tecnología, sus procesos y las personas.
Ataque:
Aprovechamiento de las vulnerabilidades conocidas o desconocidas para concretar acciones que interrumpan, deterioren, alteren, revelen o destruyan activos y/o servicios claves de la empresa. P.e: Malware, DDos.
Consecuencia:
Los efectos que se generan basados en las intencionalidades de los atacantes. P.e: Revelar información, espionaje, extorsión, robo de información, sabotaje, fraude.
Productos y/o servicios digitalmente modificados
JCM-18 All rights reserved ACIS XVIII JISI 10
Po
rter,M
.y
Hep
pelm
ann
,J.
(20
14
)H
ow
Smart,
con
nected
pro
du
ctsare
transfo
rmin
gco
mp
etition
.Ha
rvard
Bu
siness
Review
.No
viemb
re.p
.7
Tipos de atacantesBasados en el tipo de acceso y en sus capacidades
JCM-18 All rights reserved ACIS XVIII JISI 11
Acceso al software o a losdatos
Aquellos que crean nuevasvulnerabilidades
Falseación de supuestos
Aquellos que solo ejecutanataques existentes con
vulnerabilidades conocidas.
Aquellos que pueden analizar un sistema para encontrar nuevas
vulnerabilidades y desarrollarcódigo que las explote.
Acceso físico al hardware
Vulnerabilidades
Acceso a las personas que usan o ejecutan el sistema
Acceso
Ca
pa
cid
ad
es
Con ideas de: DoD (2013) Resilient Military Systems and the Advanced Cyber Threat. Task Force Report. Defense Science Board. January. Recuperado de: https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf
Ciberseguros y sus retos
JCM-18 All rights reserved ACIS XVIII JISI 12
Fuente: https://www2.deloitte.com/insights/us/en/industry/financial-services/demystifying-cybersecurity-insurance.html
Evolución de la Infosec:De un mundo conocido a uno VICA
JCM-18 All rights reserved ACIS XVIII JISI 13
Evolución de la función de Infosec
JCM-18 All rights reserved14ACIS XVIII JISI
1960 – 1970: Controles tecnológicos
JCM-18 All rights reserved15
Department of Defense; Security Controls for Computer Systems (U): Report of Defense Science Board Task Force on Computer Security, 11 February 1970, USA, http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf
ACIS XVIII JISI
1980 – 1990: Riesgos y Procesos
JCM-18 All rights reserved16
htt
p:/
/ww
w.e
y.co
m/P
ub
licat
ion
/vw
LUA
sset
s/C
amb
ios_
en_
el_p
ano
ram
a_d
e_l
os_
ries
go
s_d
e_TI
/$FI
LE/P
ersp
ect
ivas
_rie
sgo
s_TI
.pd
f
ACIS XVIII JISI
2000 – 2010: Cumplimiento y Objetivos estratégicos
JCM-18 All rights reserved17
Tomado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 29
ACIS XVIII JISI
2020 – 2030: Ecosistema Digital
JCM-18 All rights reserved18
Ad
apta
do
de:
Fal
co, C
. (2
01
6) U
nle
ash
ing
the
Imm
un
e Sy
stem
: Ho
w t
o B
oo
st Y
ou
r Se
curi
ty H
ygie
ne.
R
ecu
per
ado
de:
htt
ps:
//se
curi
tyin
telli
gen
ce.c
om
/new
s/u
nle
ash
ing-
the-
imm
un
e-sy
stem
-ho
w-t
o-
bo
ost
-yo
ur-
secu
rity
-hyg
ien
e/
Seguridad cognitiva
Inteligencia
Fraude
Identidad
Nube
Móviles
Datos y apps
Punto final
Redes
Tom
ado
de:G
old
en
,D.y
Joh
nso
n,T.(2
017
)A
ugm
en
ted
security.H
ow
cogn
itivetech
no
logies
canad
dress
the
cybe
rw
orkfo
rcesh
ortage.
Delo
itteU
niversity
Press.
Recu
perad
od
e:h
ttps://d
up
ress.de
loitte.co
m/d
up
-us-
en/in
du
stry/pu
blic-secto
r/add
ressing-cyb
ersecurity-talen
t-sho
rtage.htm
l
ACIS XVIII JISI
En resumen …
JCM-18 All rights reserved19ACIS XVIII JISI
1
2
3
4
5
6
Juegos de guerra
Ejercicios de ingeniería social
Inteligencia de amenazas
Análisis de riesgosde INFOSEC
Auditorías de INFOSECAnálisis de vulnerabilidades
VISIÓN ANALÍTICAIdentificación de brechas
VISIÓN DE ACTIVOS
Identificación de puntos de control
VISIÓN COGNITIVASimulaciones y
escenarios
12
3
4
5
6
De la INFOSEC a la CIBERSECTáctico Estratégico
Alt
aG
en
era
ció
nd
e v
alo
rB
aja
Saberesespecializados
Capacidades colectivas
Formación en Seguridad/Ciberseguridad:Retos educativos
JCM-18 All rights reserved ACIS XVIII JISI 20
Contraste entre práctica y capacidad
JCM-18 All rights reserved21ACIS XVIII JISI
Características
• Cuerpos de conocimiento aplicadosy probados
• Basadas encertidumbres
• Verificables y auditables• Riesgo: Es una amenaza
Características
• Desarrolla aprendizajes• Basada en escenarios
inciertos y ambiguos. • Reta saberes previos y
elabora distincionesnuevas
• Riesgo: Una oportunidad
Objetivos de la formación de los profesionales en Infosec/Cibersec
JCM-18 All rights reserved22ACIS XVIII JISI
Individuo
Aprender
Localizar informaciónclave y transformarla enconocimiento.
Relacionar enseñanzas con la realidad y con otras ciencias.
Leer y comunicar en todos lossoportes que genera la
Sociedad.
Anticipar y resolver problemas nuevos, ideando solucionesalternativas.
Pensar de forma interdisciplinaria e
integradora, para percibirlas dimensiones de los
retos
Desconectar losconceptos conocidos y
repensarlos en escenariosdesconocidos.
1
2
3
45
6
7
Adaptado de: García, L., Ruiz, M. y García, B. (2009) Claves para la educación. Actores, agentes y escenarios en la sociedad actual. Madrid, España: Narcea-UNED. P.272
Visión interdisciplinar de la seguridad
JCM-18 All rights reserved23ACIS XVIII JISI
Objeto de referencia(¿Seguridad de quién?)
Valor que está en riesgo (¿Seguridad
de qué?)
Fuentes de amenazas (¿Seguridad de quién
o qué?)
Ejemplo sobresaliente de riesgo
Seguridad nacional (Dimensión política y militar)
El EstadoSoberanía, integridad
territorialOtros estados, terrorismo Grupos extremistas
Seguridad de la sociedad
Naciones, grupos socialesUnidad nacional,
identidadNaciones, culturas ajenas,
inmigrantesDesplazados por los conflictos
Seguridad humana Individuos, humanidadSupervivencia, calidad
de vidaEstado, globalización, naturaleza, terrorismo
Desastres naturales
Seguridad ambiental Ecosistema Sostenibilidad Humanidad Calentamiento global
Seguridad de la información
Individuos, procesos, tecnología
ConfianzaVulnerabilidades
humanas, técnicas y de proceso
Pérdida y/o fuga de información
Ciberseguridad Ecosistema digitalResiliencia,
gobernabilidad Estados, terrorismo, actores no estatales
Ataques a infraestructura crítica nacional
Adaptado de: Gunter, H. (2005) Threats, challenges, vulnerabilities and risks in enviromental and human security. UNU Institute for Environment and Human Security (UNU-EHS). Publication Series ofUNU-EHS. No.1. p.19. Recuperado de: http://collections.unu.edu/eserv/UNU:1868/pdf4040.pdf
Profesional de Infosec – Habilidades claves
JCM-18 All rights reserved24ACIS XVIII JISI
MANTENER BAJO PERFIL
TENER RUTA DE ESCAPE
PENSAR COMO EL ATACANTE
Profesional de INFOSEC
Declaraciones básicas
Habilidades claves
Profesional de Infosec – Habilidades claves
JCM-18 All rights reserved25ACIS XVIII JISI
Fundamentos del entorno digital
Fundamentos estratégicos de la ciberseguridad
Fundamentos organizacionales y tácticos de la ciberseguridad
Fundamentos técnicos y tácticos de la ciber seguridad
Ecosistemasdigitales
Geopolíticadigital
Colaboracióny asistencia Nale Internacional
Defensaactiva
Economíadigital
Resilienciadigital
Ciber riesgoy ciber seguros
Inteligencia y cacería
deamenazas
Juegos deguerra
Controlestecnológicos
Prácticas de seguridad de la informaciónTemáticas transversales
Temáticas Especializadas
Características claves del Profesional en Ciberseguridad
JCM-18 All rights reserved26ACIS XVIII JISI
ComunicaciónExplicar los retos complejos en términos sencillos. Las analogías son útiles en este ejercicio.
Formación y experienciaContar con el entrenamiento adecuado y experiencia en el campo.
Marcos de trabajoIdentificar recursos y herramientasadecuadas para realizar el trabajo.
InnovaciónAceptar el error como descubrimento y
oportunidad para superar ceguerascognitivas.
AudaciaExperimentar la incertidumbre y las
dudas y a pesar de ello, tomar las decisiones que se requieren.
C omprenderI nformarB alancearE xplorar
R etar
C
I
BE
R
Con ideas de: Loftus, G. (2017) Indiana Jones’s Five leadership Lessons. Forbes. Recuperado de: http://bit.ly/2BKj503
Riesgos emergentes
JCM-18 All rights reserved ACIS XVIII JISI 27
JCM-18 All rights reserved ACIS XVIII JISI 28
Inteligencia Artificial: Algoritmos
Sesgos humanos Fallas técnicas Vulnerabilidades de seguridad
Fallas en la implementación
SESGOSDatos parciales, insuficientes, no actualizados o manipulados.
PERTINENCIADatos irrelevantes, inconsistentes o incompletos.
PATRONESSesgos en la lógica, manipulación de tendencias, inclusion de funciones no previstas.
ERRORESEn la codificación, enlas premisas de diseño, en la ejecución.
USOPara aquello que no fue diseñado, para desestimar otrosanálisis, como criteriode autoridad técnica
INFERENCIAInterpretacionesincorrectas, conclusionesparciales,
DATOS DE ENTRADA DISEÑO DE LOS ALGORITMOS DECISIONES DE SALIDA
FACTORES INHERENTES
Con ideas de: Krishna, D., Albinson, N. & Chu, Y. (2017) Managing algorithmic risks. Safeguarding the use of complex algorithms and machine learning. Deloitte. Recuperado de:https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-algorithmic-machine-learning-risk-management.pdf
JCM-18 All rights reserved ACIS XVIII JISI 29
Terceros: Monitorización activa
Fuente: https://www.opus.com/resource/data-risk-third-party-ecosystem-2nd-annual-study-ponemon-institute/
JCM-18 All rights reserved ACIS XVIII JISI 30
Computación en la niebla: Desafíos
Características de la “Computación en la niebla” –Fog Computing
Baja latencia y sensibilidad en la localización.
Distribución geográfica
Movilidad en dispositivo final
Capacidad de procesamiento en un alto número de nodos
Acceso inalámbrico
Aplicaciones en tiempo real
Heterogeneidad
Fuente: Mukherjee, M. et al. (2017) Security and Privacy in Fog Computing. IEEE Access. 5. 19293-19304. doi: 10.1109/ACCESS.2017.2749422
JCM-18 All rights reserved ACIS XVIII JISI 31
Revelar información sensible Negar el acceso a la información
Uso de fuentes abiertas
Construcción de expediente
Correlación de información
Inteligencia abierta
Acceso a información privada
Intimidación
Afectación de la imagen o reputación
Pruebas de posesión de información
Objetivo específico
Perfil del objetivo
Cifrado de información
Visibilidad del objetivo
Extorsión con la información
Afectación
Afectación de la empresa y clientes
Advertencia de extorsión y pago
DOXWARE RANSOMWARE
Basado en: Young, A. & Young, M. (2004) Malicious Cryptography. Exposing Cryptovirology. Indianápolis, Indiana. USA: John Wiley & Sons.
Criptovirología: Tendencias
Conclusiones
JCM-18 All rights reserved ACIS XVIII JISI 32
Riesgos claves para monitorizar
JCM-18 All rights reserved ACIS XVIII JISI 33
GeopolíticoLa inestabilidadpolítica será la
constante a nivelglobal. El ciberespacio
será un teatro de operaciones muy
activo.
RegulatorioLas exigencias de
cumplimientoseguirán avanzando.
Las brechas de seguridad y las
sanciones serán el reto para las
empresas.
ReputaciónUna mayor flujo de
información entre las empresas y los
individuos será la mayor virtud o el peorpecado. La confianza
estará bajo fuegocruzado.
Crimenorganizado
Avanza el fortalecimiento de
los ecosistemasdigitales criminales.
Surgen nuevosstartups del crimen
digital.
Discontinuidadtecnológica
Aumenta la digitalización de productos y servicios,
sensores embebidos en todaspartes, una mayor superficie
de acción que genera tensiones para la privacidad
y el acceso a los datosIdeas tomadas de: Cano, J. (2016) Pronósticos de seguridad de la información 2017. Cinco imperativos para avanzar en un mundo digitalmente modificado. Recuperado de:http://insecurityit.blogspot.mx/2016/10/pronosticos-de-seguridad-de-la.html // Olavsrud, T. (2016) 4 information security threats that will dominate 2017. Recuperado de: http://www.cio.com/article/3153706/security/4-information-security-threats-that-will-dominate-2017.html
JCM-18 All rights reserved ACIS XVIII JISI 34
Lecciones aprendidas
1 El atacante interno puedeestar en cualquier parte
Mecanismos de control y aseguramiento interno
2La ingeniería social es la técnica más utilizada y
efectiva
Aumentar la resistencia del firewall humano
3Servicios y productos
digitalmente modificadosheterogéneos e inseguros
Desarrollo de prácticas de seguridad y control para la
industria 4.0
4Los móviles definen unamayor superficie para los
ataques
Prácticas de aseguramiento de dispositivos móviles
5 La gestión de contraseñasdebe ser repensada
Se debe promover el uso de doble factor de autenticación
6 Uso de las USB comovector de ataque
Reporte y control de USB desatendidas
7La fuga y/o pérdida de
información comoamenaza relevante
Uso del cifrado de informacióncomo estrategia resistente a
estos ataques
8El secuestro de
información es la normapara los atacantes
Aseguramiento de datos con respaldos en medios y localizaciones distintas
9Permanecen las
configuraciones pordefecto
Pruebas de vulnerabilidadesperiódicas
10Uso de criptomonedas
para el pago de extorsiones
Monitoreo y cooperaciónfrente a los ecosistemas
digitales criminales
Basado en las ideas de: Pagnota, S. (2016) 10 lecciones de seguridad que nos dejó Mr. Robot S02. Recuperado de: http://www.welivesecurity.com/la-es/2016/09/23/lecciones-seguridad-mr-robot-s02/
JCM-18 All rights reserved ACIS XVIII JISI 35
Confianza digitalLos clientes saben y conocen que su información sensible será efectivamente protegiday si algo no previsto ocurre, saben que serán notificados, orientados y restituidos segúncorresponda
Controles costo-efectivos
Las medidas de control instaladas responden a un criterio costo-efectivo, que protege el modelo de generación de valor de la empresa y la promesa de valor para con susgrupos de interés
Resiliencia digitalLos grupos de interés y terceros relacionados hacen parte de la estrategia de resistenciafrente eventos adversos, mientras la organización mantiene la operación y la restauracompletamente.
Cumplimientopreventivo
Los grupos de interés conocen y participan del proceso de evaluación de las capacidades de ciberseguridad vigentes, el cual permite detectar deficiencias y tomaracciones correctivas.
Alfabetizacióndigital
Los ejecutivos de primer nivel se entrenan permanentemente en los nuevos retos del mundo digitalmente modificado y entienden la ciberseguridad empresarial como unacapacidad clave para preservar, proteger y transformar el negocio frente la inestabilidadde los mercados.
Ciberseguridad Empresarial Ventaja competitiva
Con ideas de. Kovacich, G. (2016) The information systems security officer’s guide. Establishing and Managing a cyber security program. Third Edition. Kidlington, Oxford. UK.: Butterworth-Heinemann
JCM-18 All rights reserved ACIS XVIII JISI 36
Visión holística de la seguridad digital
Global cybersecurity
Corporate cybersecurity
INT
ER
NA
TIO
NA
L D
IGIT
AL
S
EC
UR
ITY
AU
DIT
NA
TIO
NA
L D
IGIT
AL
S
EC
UR
ITY
AU
DIT
Strategic securityDigital resilience and
defense
Digital intelligence
Simulations
Scenarios
Prototypes
Operational security
OT Security practices
Operational discipline
Tactical security
Information security culture
IT Security
Control compliance
Internal IT Audit
Vulnerability assessment
Defense in depth
Industrial cybersecurity
INFORMATION SECURITY PRACTICES
El futuro no es un regalo: es un logro. Cada generación ayuda a hacer su propio futuro. Este es el reto esencial del presente.
Robert Kennedy
ACIS XVIII JISI 37
ACIS XVIII JISI 38
CIBERATAQUESPRÓXIMA SALIDA
SALIDA 1A
“La seguridad de la información es un ejercicio de confianza imperfecta: acuerdos sobre umbrales de riesgo en el contexto de la
inevitabilidad de la falla”.
Jeimy J. Cano M.
Jeimy J. Cano M.
@itinsecure
El profesional de INFOSECUn análisis de su evolución: 1960-2030+
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de AdministraciónUniversidad del Rosario
@itinsecure