Madrid, marzo de 2011

Amenazas y Vulnerabilidades a los Sistemas de

Información y Comunicaciones.

Conclusiones 2011 / Tendencias 2012

Estrategias de Ciberseguridad

SIN CLASIFICAR

SIN CLASIFICAR 2

Conceptos

- 1980-1990 COMPUSEC / NETSEC / TRANSEC

AMENAZAS NATURALES

- 1990 - 2011 INFOSEC

AMENAZAS INTENCIONADAS Hacker / Virus / Gusanos carácter destructivo..

- 2002 – 2011 INFORMATION ASSURANCE

AMENAZAS INTENCIONADAS (Operaciones de información) Usuarios internos CIbercrimen

- 2003 – 2011 PROTECCIÓN INFRAESTRUCTURAS CRÍTICAS

Servicios críticos soportados sistemas de información 80% Sector privado

CIBERTERRORISMO

- 2006 – 2011 CIBERDEFENSA / CIBERSEGURIDAD

CIBERESPIONAJE. Atribución a los gobiernos

SIN CLASIFICAR •3

Riesgos globales

•www.weforum.org

SIN CLASIFICAR 4

Índice • Centro Criptológico Nacional

- Marco Legal / Funciones

- CCN-CERT

• Vulnerabilidades 2011

• Agentes de la amenaza

• Ciberespionaje / Cibercrimen / Hacking político

• Amenazas 2011

1.Código dañino

2.Redes sociales / Telefonía móvil

3.Sistemas SCADA.

Redes sociales / Telefonía móvil / otros

Tendencias 2012 / CONCLUSIONES

Estrategias de ciberseguridad

SIN CLASIFICAR 5

El CCN actúa según el siguiente marco legal:

Real Decreto 421/2004, 12 de marzo, que

regula y define el ámbito y funciones del CCN.

Ley 11/2002, 6 de mayo, reguladora del Centro

Nacional de Inteligencia (CNI), que incluye al

Centro Criptológico Nacional (CCN).

Marco Legal

Orden Ministerio Presidencia PRE/2740/2007, de 19

de septiembre, que regula el Esquema Nacional de

Evaluación y Certificación de la Seguridad de las

Tecnologías de la Información

Real Decreto 3/2010, de 8 de enero, por el que se

regula el Esquema Nacional de Seguridad en el ámbito

de la Administración Electrónica

SIN CLASIFICAR 6

Marco Legal (1): CNI (Ley 11/2002)

Riesgos

Emergentes

Art. 4 a) Inteligencia

Art. 4 b) ContraInteligencia

Art. 4 c) Relaciones

Art. 4 d) SIGINT

Art. 4 e) STIC

Art. 4 f) Protección Información Clasificada

Art. 4 g) Seguridad Propia

En la exposición de motivos de la Ley 11/2002 se establece que el CNI tiene que

hacer frente a los riesgos emergentes. La Seguridad de las TIC es un ámbito de

nuevos riesgos emergentes. Así lo entendió el legislador al definir las funciones del CNI en el artículo 4 de la Ley

NACIONAL

UE / OTAN / ACUERDOS INTERNACIONALES

SIN CLASIFICAR 7

Marco Legal (2): Funciones CCN • Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la

seguridad de las TIC en la Administración

• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC

• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito

• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura

• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados

• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)

• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países. Para el desarrollo de las funciones mencionadas, coordinación oportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.

SIN CLASIFICAR 8

Marco Conceptual (1): Inteligencia y Seguridad

Riesgos

Emergentes

Art. 4 b) ContraInteligencia

Art. 4 e) STIC

Ciberdefensa: “La aplicación de medidas de seguridad para proteger las infraestructuras de

los sistemas de información y comunicaciones frente a los ciberataques” (MC0571 – NATO

Cyber Defence Concept)

InfOps&Ciberataques

Inteligencia

Ciberdefensa

SIN CLASIFICAR 9

Normativa

• 189 documentos, normas, instrucciones, guías y recomendaciones

(25 pendientes de su aprobación)

• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD

18 Guías

• Nueva clasificación:

Cumplen con el ENS

Adaptables al ENS

- CCN-STIC 000: Instrucciones/Políticas STIC

- CCN-STIC 100: Procedimientos

- CCN-STIC 200: Normas

- CCN-STIC 300: Instrucciones Técnicas

- CCN-STIC 400: Guías Generales

- CCN-STIC 500: Guías Entornos Windows

- CCN-STIC 600: Guías Otros Entornos

- CCN-STIC 800: Guías desarrollo ENS

- CCN-STIC 900: Informes Técnicos

SIN CLASIFICAR

Guías desarrolladas en 2011

- 413 Auditoría de Entornos y Aplicaciones Web

- 442 Seguridad en VMWare ESXi

- 453 Seguridad en Android 2.1

- 455 Seguridad en iPhone

- 456 Seguridad en entornos BES

- 521C y D Seguridad en Windows 2008 Server Core

- 522A Seguridad en Windows 7 (cliente en dominio)

- 523 Seguridad en Windows 2008 Server. Servidor de Ficheros.

- 524 Seguridad en Bases de Datos SQL Server 2008

- 525/6 Seguridad en Microsoft Exchange Server 2007 sobre Windows 2003 /2008

- 530 Seguridad en Microsoft Office 2010

- 613 Seguridad en sistemas basados en Debian

- 615 Seguridad en entornos basados en RED HAT

- 662 Seguridad en Apache Traffic Server

- 957 Recomendaciones de Empleo de la Herramienta TrueCrypt

- 955 Recomendaciones de Empleo de GnuPG

SIN CLASIFICAR

• 801 Responsabilidades y Funciones en el ENS feb-11

• 802 Auditoría del Esquema Nacional de Seguridad jun-10

• 803 Valoración de Sistemas en el ENS ene-11

• 804 Medidas de Implantación del ENS (BORRADOR) jul-10

• 805 Política de Seguridad de la Información sep-11

• 806 Plan de Adecuación del ENS ene-11

• 807 Criptología de Empleo en el ENS sep-11

• 808 Verificación del Cumplimiento de las Medidas en el ENS (BORRADOR) oct-10

• 809 Declaración de conformidad del ENS (BORRADOR) jul-10

• 810 Guía de Creación de CERT,s (BORRADOR) sep-11

• 811 Interconexión en el ENS (BORRADOR) sep-11

• 812 Seguridad en Servicios Web en el ENS (BORRADOR) oct-11

• 813 Componentes Certificados en el ENS

• 814 Seguridad en Servicio de Correo en el ENS (BORRADOR) ago-11

• 815 Indicadores y Métricas en el ENS (BORRADOR) dic-11

• 816 Seguridad en Redes Inalámbricas en el ENS

• 817 Gestión de Incidentes de Seguridad en el ENS …. Feb -12 + ANEXO 403

• 818 Herramientas de seguridad en el ENS

Guías previstas en ENS – SERIE 800

•815 Herramienta ????

•819 Seguridad en VPN

•820 Req Cloud computing

•821 Seguridad en DNS

SIN CLASIFICAR 12

Formación

Formar al personal de la Administración especialista en el campo

de la seguridad de los sistemas de las tecnologías de la

información y las comunicaciones.

Cursos Informativos y de Concienciación

Cursos Básicos de Seguridad

Cursos Específicos de Gestión

Cursos de Especialización

Disponibles www.ccn-cert.cni.es

SIN CLASIFICAR 13

Formación

AÑO 2008 AÑO 2009 AÑO 2010

Nº Alumnos 380 450 500

Nº Cursos Presenciales 17 18 17

Nº Horas Lectivas Cursos Presenciales

1.200 1.400 1.200

Nº Jornadas de Sensibilización 2 4 3

Nº de Alumnos on-line 0 25 57

Nº Participación en Jornadas / Mesas redondas

8 10 15

SIN CLASIFICAR

• Cursos Online en fase de implantación:

- Curso STIC fundamentos (30 horas) (fase Curso STIC)

- Seguridad en entorno Linux (20 horas)

- Curso PILAR (10 horas) (fase Curso PILAR / Gestión STIC)

- Seguridad en entorno Windows (20 horas)

- Curso ENS (20 horas) (fase Curso Gestión STIC)

Formación

Cursos Online 2012:

Curso STIC - Common Criteria. (10 horas)

Curso Gestión de incidentes (10 horas)

Curso PILAR (Manejo de herramienta / Funciones más usadas)

Curso ENS. Módulo (10 horas)

SIN CLASIFICAR 15

SIN CLASIFICAR

Programas de Formación

SIN CLASIFICAR 17

AMENAZAS 2011 TENDENCIAS 2012

SIN CLASIFICAR

Vulnerabilidades

Parte pública portal. ESPAÑOL

Criticidad

Tecnología

Parte privada portal. INGLÉS

Vulnerabilidades

Amenazas

Código dañino

10389

SIN CLASIFICAR •19

Código dañino 2011

0

10000

20000

30000

40000

50000

60000

70000

80000

2007 2008 2009 2010 2011

75319

0

200

400

600

800

1000

1200

123 46 37

173

16

1061

109

333

Clasificación General

SIN CLASIFICAR

Código dañino 2011

- Evolución de ZeuS código abierto.

- Versiones mejoradas.

- Malware as a Service “licencias y servicios”.

•

- Aparición de intermediarios.

•

- Nuevo objetivo dispositivos móviles.

SIN CLASIFICAR

Ciberamenazas. Agentes

1. Ciberespionaje Estados (Servicios de Inteligencia /FFAA) / Industrias / empresas Activos en formato electrónico. Dificultad de atribución Contra los Sectores Privado y Público. Ataques dirigidos (APT) Modelo de Confianza. Contra objetivos primarios o secundarios. Ventajas políticas, económicas, sociales…

SIN CLASIFICAR 22

Intruso

A

(xxx.56.216.12)

B

(xxx.112.233.5)

C

(xxx.24.65.10)

D

(xxx.23.45.122)

E

(xxx.98.211.54)

Búsqueda en red de

equipos vulnerables

Localiza equipo vulnerable

Obtención de más info del

equipo

Ataque equipo

Descarga herramientas

control remoto equipo

Troyano

Ataque otros equipos a

través del infectado

Extracción de información a

través de este equipo Hasta 4 saltos para evitar localización.

Servidores pantalla

INTRUSIÓN GENÉRICA

SIN CLASIFICAR

• Definición APT / Ataques Dirigidos

- Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (organización, empresa,

red, sistema)

- Threat El atacante tiene la intención y capacidades para ganar acceso a información

sensible almacenada electrónicamente

- Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un largo

periodo de tiempo

Díficil de eliminar

- Advanced Habilidad de evitar la detección

Adaptabilidad al objetivo

Disponibilidad de recursos (tecnológicos, económicos, humanos)

SIN CLASIFICAR 24

Ejemplo ataque troyano adaptado objetivo

SIN CLASIFICAR

Ataque Herramientas y productos de autenticación

•SECUR-ID EMC - RSA

•Excel + adobe flash player

•Ataque POISON IVY

03.2011

•Lockheed Martin

•L-3 Communications

•Northrop Grumman 05.2011

Autoridades de certificación

• Comodo

• DigiNotar (530)

• GlobalSign

• Digicert-Malasia

• KPN

• Compromiso de CA/RA

SIN CLASIFICAR

ESPAÑA Coste neto total del ciberdelito 5.900 millones de euros

(8.300 millones de dólares)

El valor del tiempo perdido de

las víctimas de los ciberdelitos

5.500 millones de euros

(7.600 millones de dólares)

Coste directo (cantidades

sustraídas – dedicadas a la resolución de los ciberdelitos)

482 millones de euros

(670,2 millones de dólares)

2. Cibercrimen • Robo propiedad intelectual / información de tarjetas de crédito /

certificados • Fraude Telemático / Blanqueo de dinero / Robo de identidades…

Ciberamenazas. Agentes

SIN CLASIFICAR

FORMACIÓN Y EL DESENVOLVIMIENTO DE CIBERDELINCUENTES

SIN CLASIFICAR

• 3. Hacking Político / Patriótico China- Japón; India-Pakistán; Irán-Israel… ANONYMUS /LUZSEC / Antisec Progresiva vertebración de sus estructuras. Grupos organizados (por países, regiones, …) Nivel organizativo / nivel ejecutivo. Ataques / divulgación de información. Pre-selección de objetivos. Hacktivismo tecnológico y físico juntos. Peligro radicalización.

Ciberamenazas. Agentes

SIN CLASIFICAR

• Redes Sociales

- Actualmente existe una gran diversidad de redes sociales, desde Facebook hasta redes sociales especializadas como Flickr (fotografía). .

http://es.wikipedia.org/wiki/Lista_de_sitios_web_de_redes_sociales

- Riesgos:

Toda la información queda almacenada en los servidores de las redes

sociales. Según la red social puede que toda la información sea pública.

Existen múltiples vulnerabilidades que pueden comprometer la

información de los usuarios.

- Salvaguardas:

Envío de mensajes cifrados, esteganografía

siempre que la imagen se almacene en crudo.

40% - 14

millones

20% - 9,5

millones

SIN CLASIFICAR

Empleo de programas intercambio de

ficheros

SIN CLASIFICAR

- Botnets

- Bloqueo de resultado de buscadores

- Páginas de exploits

- Servidores de mando y control

- Uso de proveedores dominio gratuitos

31

Spam / Phishing

SIN CLASIFICAR 32

Fraude – Phishing…. 11.2007 / 01.2008 / 04.2009 / 04.2010.. /02.2012

SIN CLASIFICAR 33

Fraude – Phishing…. 11.2007 / 01.2008 / 04.2009 / 04.2010.. /02.2012

SIN CLASIFICAR Teléfonos

móviles

• Bluetooth

• Internet

• Wifi

•GPS

•Bluetooth

- Sistemas operativos - Android (Google) - iOS (iphone) - RIM (Blackberry)

- Windows (6.5-7) - Symbiam (Nokia)

SIN CLASIFICAR Teléfonos

móviles

Bluetooth

Internet

Wifi / GPS

•Bluetooth

- Sistemas operativos - Android (Google) - iOS (iphone) - RIM (Blackberry)

- Windows (6.5-7) - Symbiam (Nokia)

SIN CLASIFICAR

Teléfonos móviles. Código dañino

- Amenazas 2011 - (ZeuS 2.x) - (Spyeye)

- Código dañino

Llamadas entrantes y salientes Mensajes SMS, Ficheros descargados Las coordenadas GPS

•Ejecución remota de

código

SIN CLASIFICAR 37

Zombies-Botnets

“Botnet” es un término utilizado para una colección de robots

(software) autónomos que pueden ser controlados remotamente

por diversos medios (IRC / P2P) con propósitos maliciosos

- Las máquinas "zombie" se aglutinan en las denominadas “botnets”.

- Los sistemas se comprometen utilizando diversas herramientas (gusanos, caballos de troya, puertas traseras, etc…).

- Los zombies pueden escanear su entorno propagándose a través de

las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer overflows, etc…).

- La misión de los “botnets” es esencialmente la gestión de los “zombies” creando una infraestructura común de mando y control.

- SPAM / DDOS/ PHISING / ENVIO TROYANOS

Robot network

SIN CLASIFICAR 38

Amenazas 2011. Código Dañino. Sistemas SCADA (1)

Supervisory Control And Data Acquisition. “Sistemas que capturan

información de un proceso o planta industrial y que permitan una

retroalimentación sobre un operador o sobre el propio proceso.”

Algunos casos: - Vertidos industriales

- Apagones en brasil

- Corte de cables submarinos

• Tendencia

- “U.S. government is seeing a rise

in cyber attacks aimed at taking over control systems that

operate critical infrastructure”

SIN CLASIFICAR 39

Amenazas 2011. Código Dañino. Sistemas SCADA (2)

•Demostración de ataques DoS en controladores de lógica programable

(PLCs).

•Elevado número de vulnerabilidades

•Búsqueda activa en Internet

•Interconexiones sistemas

•Falta concienciación empresas

•Ausencia buenas prácticas en distribuidores

SIN CLASIFICAR 40

Código Dañino. Sistemas SCADA (3)

STUXNET • Características principales:

- Empleo de vulnerabilidad día 0 (Infección USB).

- Uso de dos certificados comprometidos

- ataques dirigidos contra sistemas SCADA

SIMATIC WinCC o SIMATIC Step7 de Siemens.

- Usa protocolo Web para la comunicación con los servidores C&C

• CCN-CERT ID 01/10 - Detectado Julio 2010

SIN CLASIFICAR 41

Código Dañino. Sistemas SCADA (3)

STUXNET

• Características principales: - Empleo de vulnerabilidad día 0 (Infección USB).

- Uso de dos certificados comprometidos

- ataques dirigidos contra sistemas SCADA

SIMATIC WinCC o SIMATIC Step7 de Siemens.

- Usa protocolo Web para la comunicación con los servidores C&C

• CCN-CERT ID 01/10 - Detectado Julio 2010

SIN CLASIFICAR

Riesgo fallo en infraestructura

crítica 1. Ciberataque

2. Fallo global de gobierno

3. Fallo en sistema financiero

4. Consecuencias negativas de regulaciones

5. Negligencia en inversiones en infraestructuras

6. Desinformación digital

7. Incidente mayor de robo de datos

SIN CLASIFICAR 43

Coste del cibercrimen

SIN CLASIFICAR 44

• Vías de ataque

1. Cross-Site Scripting (XSS)

2. Inyección de código SQL

3. Inclusión de ficheros

4. Otros

Rotura de autenticación

Insecure Direct Object Reference

Cross Site Request Forgery (CSFR)

Errores de configuración

Ataques servicios Web

SIN CLASIFICAR 45

La amenaza interna ¿?

No todos los ataques con éxito

basados en ingeniería social son

debidos a la ingenuidad de los

empleados, la mayoría de los

casos se debe a la ignorancia de buenas prácticas de seguridad y

a la falta de concienciación por

parte de los usuarios del

Sistema

Cuanto más sofisticadas son las tecnologías empleadas para

proteger la información, los ataques se van a centrar más en

explotar las debilidades de la persona

SIN CLASIFICAR 46

Soportes de Información

Número de tarjeta de crédito

Copias en legibles de los documentos cifrados

Los registros temporales con datos de clientes

Claves de acceso a sitios seguros

En los discos duros de los

ordenadores hay enormes cantidades

de datos ocultos para los usuarios,

pero fácilmente accesibles. Entre

estos datos se encuentran archivos

que ingenuamente creemos que

hemos borrado, claves de acceso,

versiones descifradas de archivos

confidenciales y todo tipo de rastros

sobre la actividad del equipo.

SIN CLASIFICAR

TENDENCIAS 2012

• DIVERSIFICACIÓN, INCREMENTO Y ESPECIALIZACIÓN:

• MÁS ATAQUES Y MEJOR ORGANIZADOS.

• MULTIPLICIDAD DE OBJETIVOS:

• PÚBLICOS Y PRIVADOS.

• DE PRIMER ORDEN + SEGUNDO ORDEN.

• INFRAESTRUCTURAS CRÍTICAS.

• MULTIPLICIDAD DE ACTORES:

• EMPRESARIALES.

• GUBERNAMENTALES.

• HACKTIVISTAS.

• INDIVIDUOS AISLADOS.

• MÉTODOS EMPLEADOS MEJORES Y CON MAYOR IMPUNIDAD

SIN CLASIFICAR

TENDENCIAS 2012

• DIVERSIFICACIÓN, INCREMENTO Y ESPECIALIZACIÓN:

• MÁS ATAQUES Y MEJOR ORGANIZADOS.

• MULTIPLICIDAD DE OBJETIVOS:

• PÚBLICOS Y PRIVADOS.

• DE PRIMER ORDEN + SEGUNDO ORDEN.

• INFRAESTRUCTURAS CRÍTICAS.

• MULTIPLICIDAD DE ACTORES:

• EMPRESARIALES.

• GUBERNAMENTALES.

• HACKTIVISTAS.

• INDIVIDUOS AISLADOS.

• MÉTODOS EMPLEADOS MEJORES Y CON MAYOR IMPUNIDAD

2011 2010

SIN CLASIFICAR

TENDENCIAS

SIN CLASIFICAR 50

Conclusiones

• Vulnerabilidades

- Mejores prácticas en su tratamiento.

- Interés económico de los investigadores

- Vulnerabilidad dia CERO

• Amenazas

- Ciberespionaje

- Cibercrimen

- Ciberterroroismo

• Tipos de ataque

- APT. Ataque dirigido

- Botnet. Elevados niveles de infección.

- Servicios Web.

- SCADA

• La Amenaza interna

SIN CLASIFICAR 51

ESTRATEGIAS DE CIBERSEGURIDAD

SIN CLASIFICAR 52

Cibercrimen

PaísesFecha de

Firma

Fecha de

RatificaciónPaíses

Fecha de

Firma

Fecha de

RatificaciónPaíses

Fecha de

Firma

Fecha de

Ratificación

Albania   23/11/2001   20/6/2002   Germany   23/11/2001   9/3/2009   Poland  23/11/2001

    

Armenia   23/11/2001   12/10/2006   Greece   23/11/2001       Portugal  23/11/2001

 24/3/2010  

Austria   23/11/2001       Hungary   23/11/2001   4/12/2003   Romania  23/11/2001

 12/5/2004  

Azerbaijan   30/6/2008   15/3/2010   Iceland   30/11/2001   29/1/2007   Serbia   7/4/2005   14/4/2009  

Belgium   23/11/2001       Ireland   28/2/2002       Slovakia   4/2/2005   8/1/2008  

Bosnia and

Herzegovina

 

9/2/2005   19/5/2006   Italy   23/11/2001   5/6/2008   Slovenia   24/7/2002   8/9/2004  

Bulgaria   23/11/2001   7/4/2005   Latvia   5/5/2004   14/2/2007   Spain  23/11/2001

 3/6/2010  

Croatia   23/11/2001   17/10/2002  Liechtenstein

 17/11/2008       Sweden  

23/11/2001

    

Cyprus   23/11/2001   19/1/2005   Lithuania   23/6/2003   18/3/2004  Switzerland

 

23/11/2001

    

Czech

Republic  9/2/2005      

Luxembourg

 28/1/2003      

The former

Yugoslav

Republic of

Macedonia  

23/11/2001

 15/9/2004  

Denmark   22/4/2003   21/6/2005   Malta   17/1/2002       Turkey  10/11/2010

    

Estonia   23/11/2001   12/5/2003   Moldova   23/11/2001   12/5/2009   Ukraine  23/11/2001

 10/3/2006  

Finland   23/11/2001   24/5/2007   Montenegro   7/4/2005   3/3/2010  United

Kingdom  

23/11/2001

    

France   23/11/2001   10/1/2006  Netherlands

 23/11/2001   16/11/2006  

Georgia   1/4/2008       Norway   23/11/2001   30/6/2006  

SIN CLASIFICAR

ARTICULACIÓN DE LA RESPUESTA DE LOS ESTADOS

ESTRATEGIAS DE CIBERSEGURIDAD:

•Antes de 2011:

•- EE.UU. (2008 y 2010)

•- Rusia (2010)

•- Reino Unido (2009)

•- Australia (2008)

•- Canadá (2009)

•- Estonia (2008)

•- Singapur (2009)

•Durante 2011:

•- República Checa

•- Finlandia (borrador)

•- Alemania

•- Israel (proyecto)

•- Letonia (proyecto)

•- Nueva Zelanda

•- Suráfrica

•- Dinamarca (borrador)

•- Francia

•- India

- Japón (proyecto)

•- Holanda

•- Polonia (proyecto)

•- Corea del Sur

•- Reino Unido (actualización) •- EE.UU. (anuncio de las tres

políticas principales:

Departamento de Defensa,

Departamento de Estado y la

Casa Blanca)

SIN CLASIFICAR 54

ESTRATEGIA EN CIBERSEGURIDAD

REINO UNIDO

SIN CLASIFICAR 55

• Reducción del riesgo del uso del Reino Unido del Ciberespacio

actuando

- Sobre la amenaza (disminuyendo su motivación y capacidad)

- sobre sus vulnerabilidades y sobre el impacto de cualquier

actuación en los intereses nacionales.

• Aprovechar las oportunidades en el ciberespacio mediante

- La obtención de inteligencia que apoyo las políticas

nacionales

- Actuar contra los adversarios.

• Mejorar el conocimiento / capacidades / procesos de decisión

- Incrementando las actividades de concienciación

- Desarrollando una doctrina y sus políticas derivadas

- Mejorando las capacidades propias humanas y técnicas.

Presupuesto = 550 m£

2009. REINO UNIDO OBJ. ESTRATÉGICOS:

SIN CLASIFICAR 56

ESTRATEGIA CIBERSEGURIDAD REINO UNIDO Junio2009 ACTORES

• La Oficina del Consejo de Ministros

- Secretaría de Seguridad Nacional

- Jefe de la información gubernamental

www.cabinetoffice.gov.uk

• Centro Nacional de Protección de Infraestructuras Críticas (CPNI)

- Aesoramiento en seguridad a empresas infraestructuras críticas.

- Depende del Servicio de Seguridad (MI5)

www.cpni.gov.uk / www.mi5.gov.uk

• Agencia de inteligencia en las comunicaciones y de aseguramiento de la información (GCHQ /CEGS).

www.gchq.gov.uk / www.cegs.gov.uk

• Ministerio del Interior (Home Office / OSCT)

- Luchar contra uso del ciberespacio por actividad criminal.

www.homeoffice.gov.uk

• Ministerio de Defensa

- Uso militar del Ciberespacio.

www.mod.uk

SIN CLASIFICAR 57

ESTRATEGIA CIBERSEGURIDAD REINO UNIDO Junio2009 ACTORES

• Ministerio de Defensa

- Uso militar del Ciberespacio.

www.mod.uk

• El Servicio de inteligencia (MI6-SIS)

- Proporcionar inteligencia exterior para defender la seguridad nacional y

el bienestar económico del Reino Unido.

www.sis.gov.uk

• La Policía Metropolitana

- Unidades de cibercrimen.

www.met.police.uk

• La Agencia del crimen organizado (SOCA)

- Uso del ciberespacio por parte del crimen organizado

www.soca.gov.uk

SIN CLASIFICAR 58

- Aproximación global al problema:

Gobiernos centrales, regionales y locales.

Infraestructuras críticas

Fuerzas y cuerpos de seguridad del Estado

Ciudadanos

- Problema emergente / Escenario incierto

Prioridad para la seguridad nacional.

- Se centralizan las responsabilidades

Oficina de coordinación dependencia alto nivel

Fortalece de forma explícita misión organismo.

CONCLUSIONES OTRAS NACIONES (1)

SIN CLASIFICAR 59

CONCLUSIONES OTRAS NACIONES (2)

- Se potencian las capacidades de monitorización y alerta

temprana

Fortalecen los equipos de respuesta ante incidentes

- Se impulsan esquemas nacionales de seguridad

Requisitos de seguridad mínimos a implantar

Disminuir las interconexiones con Internet.

- Se priorizan y fortalecen las capacidades de inteligencia

Mejor conocimiento de la amenaza / ataques complejos.

- Necesidad estratégica la formación y concienciación

Servidores públicos, empresas y ciudadanos.

Se impulsan las actividades de investigación e

innovación

Dotación

presupuestaria

SIN CLASIFICAR • Amenazas 2011. Tendencias 2012 60

Cyber Power Index: Findings and Methodology

SIN CLASIFICAR 61

SITUACIÓN EN ESPAÑA

SIN CLASIFICAR

Estrategia Española de

seguridad

SIN CLASIFICAR 63

ESQUEMA NACIONAL DE SEGURIDAD

SIN CLASIFICAR 64

Entornos de trabajo

Operadoras

y proveedores de servicios

Sistemas de la

Administración

Ciudadano

y PYME

Seguridad y

Defensa

Infraestructuras críticas

Sectores Estratégicos

Instituto Nacional

de Tecnologías

de la Comunicación

S21Sec

SIN CLASIFICAR

ELEMENTOS PARA ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD:

1. Responsabilidad al más alto nivel.

2. Organismo Coordinador Nacional de Ciberseguridad del Estado.

3. En cooperación con un sistema multi-agencia regional

público/privado.

4. Medidas Legales.

5. Marco de Ciberseguridad del Estado.

6. Computer Incident Response Team (CIRT).

7. Sensibilización y concienciación nacional en materia de

Ciberseguridad.

8. Cooperación Público-Privada en materia de Ciberseguridad.

9. Programa de formación a los profesionales de la Ciberseguridad.

10. Cooperación Internacional.

LA ESTRATEGIA DE CIBERSEGURIDAD DE ESPAÑA

SIN CLASIFICAR

•Amenazas y Riesgos

•Intereses Nacionales

•Tratados Internacionales

•y Convenios

CONTEXTO ESTRATÉGICO:

Factores de influencia de

las actividades nacionales

de ciberseguridad

FINES:

Objetivos nacionales

de ciberseguridad

MEDIOS:

Recursos dedicados

a las

prioridades de

ciberseguridad Recursos

legales

Técnicos y

Procedimentale

s Organizativos

Capacidades

Cooperación

Internacional

Planificación temporal y

Medidas de Ejecución

Acciones de

ciberseguridad

•Prioridades Nacionales

de Ciberseguridad

Objetivos de

Ciberseguridad

Contexto Nacional de

Ciberseguridad

Declaración del propósito y

ámbito de la Estrategia

ESTRATEGIA

NACIONAL DE

CIBERSEGURI

DAD

EL MODELO DE LA ESTRATEGIA DE CIBERSEGURIDAD DE ESPAÑA

SIN CLASIFICAR

CONCLUSIÓN

ES ABSOLUTAMENTE PRIORITARIO DISPONER DE LA

ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD, QUE:

• Vertebre la organización de la Ciberseguridad en España,

especialmente en las AA.PP.

• Responda a las exigencias de ciberdefensa del Estado

(ciudadanos, profesionales, empresas, AA.PP. y sus

patrimonios).

• Contemple la cooperación Público-Privada.

• Se enmarque en el contexto de las Estrategias Occidentales.

• Señale la hoja de ruta para la adecuación del Marco Legal.

• Defina y articule los mecanismos presupuestarios adecuados.

SIN CLASIFICAR 68

Conclusiones

• Aproximación a la solución

- Estrategias nacionales en ciberseguridad

Fortalecer la capacidad de defensa proactiva

Problema transversal a gobiernos, empresas y ciudadanos.

ESQUEMA NACIONAL DE SEGURIDAD

• Necesidad de una solución integral

• Necesidad de recursos humanos y económicos

£650 millones / 4 años

SIN CLASIFICAR

Gracias • CÓMO CONTACTAR:

- ens@ccn-cert.cni.es

- INCIDENTES

incidentes@ccn-cert.cni.es

- SISTEMAS ALERTA TEMPRANA

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

carmen@ccn-cert.cni.es

- GENERAL

info@ccn-cert.cni.es