La línea fina entre la Seguridad, la Protección de activos y la Ciberseguridad. Panel de Expertos....

ASOCIACIÓN LATINOAMERICANA DE PROFESIONALES EN SEGURIDAD INFORMÁTICA A.C.

9/Jul/2014

ALAPSI A.C. www.alapsi.org 1

Capítulo México 217

La línea fina entre la Seguridad, la Protección de Activos y la

CIBERSEGURIDAD

Javier CORDERO Manuel MEJÍAS Miguel VERGARA

Carlos Ramírez Moderador

Comité de Investigaciones / ASIS México Comité de Ciber-criminalidad / ALAPSI México

CONFERENCISTAS

• Miguel Vergara

– Director de Proyectos 2beOnline.net

– Especializado en servicios en la nube.

– Amplia experiencia en seguridad en

internet en áreas de Defensa

Ofensiva.

– Consultor en Seguridad Informática

para Fuerzas Armadas.

– Capacitador certificado por ALAPSI

en Network Security.


9/Jul/2014


CONFERENCISTAS

• Manuel Mejías

– Fundador de la firma Kreissontech 21,

especializada en higiene de software

con una metodología patentada en

varios países.

– Experto en Sistemas Computacionales.

– Fue Servidor Público en el IFAI

(LFPDPPP).

– Titular a cargo de la Comisión para la

Protección de Datos Personales en la

ALAPSI.

CONFERENCISTAS

• Javier Cordero

– Director de Seguridad en Microsoft

México y LATAM.

– Especialista en Protección de Activos y

Seguridad Personal.

– Ingeniero Mecánico Administrador con

Maestría en Ingeniería Térmica.

– Profesional Certificado por ASIS

Internacional.


9/Jul/2014


MODERADOR

• Carlos Ramírez, CPP

Director Socio de PRISMA Consulting Latinoamérica.

Firma especializada en temas de prevención del fraude,

inteligencia y seguridad corporativa.

Coordinador:

• Comisión de Investigaciones en ASIS México.

• Comisión de Ciber-criminalidad en ALAPSI México.

Formato del Panel

• El panel tendrá una duración total de 70 minutos.

– Tres presentaciones de los conferencistas.

• 1ª. Intervención 10 minutos por cada Panelista. Contexto del tema.

– Javier - Manuel - Miguel

• 2ª. Intervención 5 minutos. Datos finos y Datos duros del tema.

– Manuel - Miguel - Javier

• 3ª. Intervención 5 minutos. Conclusión y Reflexión.

– Miguel - Javier - Manuel

• Preguntas a los panelistas:

– Papeletas en la audiencia para recogerlas y entregarlas a cada conferencista.

– Se contestarán por correo electrónico a quien hace la pregunta.

– Durante la sesión estará disponible la herramienta sli.do (www.sli.do/asis2014) para:

» Realizar preguntas

» Descargar la presentación

» Varias láminas tienen “ligas activas” que complementan y sustentan la información


9/Jul/2014


La línea fina entre la SEGURIDAD,

la PROTECCIÓN DE ACTIVOSy la CIBERSEGURIDAD

La Convergencia de la Tecnología en el Ámbito de Nuestra Seguridad

Javier Cordero, CPP


9/Jul/2014


El término SEGURIDAD posee múltiples usos. Este concepto proviene del latín Securitasy hace foco en la

característica de “seguro”, es decir, la propiedad de algo donde no se registran peligros, daños ni riesgos.

Una cosa “segura” es algo firme, cierto e indubitable. La seguridad, por lo tanto, puede considerarse como una

C E R T E Z A

Protección de Activos

• Personas

• Propiedad

• Información

• Reputación

• Relaciones

• Confianza

Protection of Assets (POA)


9/Jul/2014


Paradigma de la PDA

Gestión de Riesgos• Evitar

• Reducir

• Dispersar

• Transferir

• Aceptar

Seguridad Física – Seguridad TI

5 Ds• Disuadir

• Denegar

• Detectar

• Demorar

• Destruir

Protecciones Legales

• Patentes

• Derechos de autor

• Marcas Registradas y de servicio

• Etc.


9/Jul/2014


Fuerzas y Retos

• Tecnología y Convergencia

• La Globalización de los mercados

• Estándares y regulaciones

• Ambiente internacional de seguridad

Fuerzas Moldeadoras

• Protección de la Información Privada

• Seguridad de productos y cadena de suministro

• Continuidad de negocio

Retos para el Gerenciamiento de Seguridad

El gran reto es: NO convertirse en un obstáculo para

el negocio, y SÍ en un habilitador del NEGOCIO

Paradigmas y Cambios

• Expectativa y tolerancia de medidas de seguridad

• Privacidad Personal vs. Protección Pública

• Mayor seriedad al tema de servicios, estrategias y presupuestos para la seguridad

• Mayor intercambio de información

• Énfasis en Gestión de Riesgos y Protección de Activos


9/Jul/2014


Convergencia en Seguridad

Integración de Sistemas tradicionales de Seguridad Física con Sistemas de Seguridad de TI

o

Integración de las disciplinas, técnicas y herramientas de distintas áreas con el propósito

de proteger Activos de negocioLos activos de las empresas

cada vez más incluyen activos intangibles y activos basados en la

información

Un enfoque desde el efecto Snowden

y la LFPDPPP

Manuel Mejías · CISSP · CDPP


9/Jul/2014


La línea fina entre la seguridad, la protección de activos y la ciberseguridad

Un enfoque desde el Efecto Snowden y la LFPDPPP

PROTECCIÓN DE ACTIVOS

Protección de activos


9/Jul/2014


Pirámide informacional

Aguja en el pajar

Datos personales



El Efecto Snowden

http://www.theguardian.com/world/the-nsa-files • http://www.washingtonpost.com/nsa-secrets/ • http://www.spiegel.de/international/topic/nsa_spying_scandal/ • https://firstlook.org/theintercept/


9/Jul/2014


¿Qué se hizo público?

• Diario The Guardian (Reino Unido)– Recibió 58 mil documentos · 1% publicado · Hoy: 300 notas

periodísticas, artículos y ensayos

• Actividades realizadas por la NSA y la GCHQ– Vigilancia masiva · Reclutamiento clandestino

– Repertorio de tecnologías para la colecta de datos personales

– Participación (obligatoria) de proveedores tecnológicos

– Enemigos, amigos y civiles sin antecedentes criminales

– Sin órdenes judiciales individuales

– Fuera de su jurisdicción

– Escasos resultados comprobables

– Gasto militar cuantioso, sin control ni supervisión civil

Vigilancia masiva

1. Monitoreo, análisis y almacenamiento de tráfico de Internet

(navegación Web, correo-e, mensajes, llamadas VOIP) y

telecomunicaciones (contenido de llamadas, metadatos,

geolocalización, contactos en teléfonos móviles). Ejemplos:

Sistema RAMPART-A · Colecta desde 13 ubicaciones alrededor del mundo

· Acceso clandestino a 70 diferentes redes · Colecta 3 terabits por segundo

(5,400 películas en alta definición, sin comprimir, cada minuto)

Sistema SOMALGET · Almacenamiento actual de ± 5 mil millones de

eventos (en sólo 6 países); capacidad para crecer · 100 millones de llamadas

al día (2 países) · 250 millones de personas vigiladas · Operando en México

(graba metadatos: toda la actividad de teléfonos móviles)

Sistemas PRISM y XKEYSCORE · Análisis masivo (Big Data) · Datos

personales de los servidores de Apple, Facebook, Google (Gmail, YouTube),

Microsoft (Hotmail, Skype), Yahoo! · XK activo en México


9/Jul/2014


Reclutamiento clandestino

1. Vulnerabilidades abiertas o puertas traseras en sistemas

operativos, exclusivas para uso gubernamental

2. Malware para acceso remoto y copia fiel de todos los

archivos almacenados en dispositivos electrónicos

conectados a Internet

3. Malware para reclutamiento clandestino

Incorporación de dispositivos civiles en ejércitos de botnets

( Botnets )


9/Jul/2014


Reclutamiento clandestino

1. Vulnerabilidades abiertas o puertas traseras en sistemas operativos,

exclusivas para uso gubernamental

2. Malware para acceso remoto y copia fiel de todos los archivos

almacenados en dispositivos electrónicos conectados a Internet

3. Malware para reclutamiento clandestino

Incorporación de dispositivos civiles en ejércitos de botnets

Sistema GENIE + Tecnologías QUANTUM · Malware para esclavizar

dispositivos civiles · Tarea automatizada · Implantes grupales · Potencial para

reclutar millones de dispositivos

2004 · 100-150 equipos | 2011 · 68+ mil equipos | 2014 · 100+ mil equipos

¿Ciberguerra? ¿Rompimiento de protecciones de cifrado?


9/Jul/2014


El CIBER CRIMENAmenaza real

Miguel Vergara Ezcurdia

Las Pérdidas

• Las pérdidas económicas se calculan entre los $113 MMD y los $575 MMD*

• El crecimiento de estos crímenes solo en 2013 fue del + 62%. (ISACA)

• El tiempo para reconocer una amenaza es de 8 meses después de estar afectando. (ISACA)

• 2.5 miles de millones de registros se han expuesto en los últimos 5 años. (ISACA)

*Net Losses: Estimating the Global Cost of Cybercrime Economic impact of cybercrime II; 2013 NORTON REPORT, de Symantec; Informe 2014 de Amenazas, Websense Security Labs; IBM X-Force Threat Intelligence Quarterly 1Q 2014


9/Jul/2014


Amenazas

Todos estamos expuestos• Malware

• Exploits

• Troyanos

• Gusanos

• Phishing

• Virus

• Spyware

• Ransomware

Amenazas

¿Quiénes nos amenazan?

• Gobiernos Crimen Organizado

• Competencia Proveedores

• Terroristas Hacktivistas

• Terceras personas Empleados


9/Jul/2014


Vulnerabilidades

¿Qué es vulnerable?

• Software

• Telecomunicaciones

• Configuración

• Hardware

• Ingeniería Social

Métodos de ataque

El ciclo… ¡DEPENDE DE TI!

• Reconocimiento

• Señuelo

• Re-direccionamiento

• Kit de explotación

• Archivo detonante

• Llamada a casa

• Robo de datos


9/Jul/2014




Cumplimiento de la Ley

Plazos vencidos

• Ley Federal de Protección de Datos Personales en

Posesión de los Particulares (LFPDPPP)

– Vigente desde el 06-jul-2010

• Plazos vencidos

06-jul-2011 | Aviso de privacidad y Área de Datos

Personales

06-ene-2012 | Atención de Solicitudes ARCO (Acceso,

Rectificación, Cancelación, Oposición)

22-jun-2013 | Implementación de medidas de seguridad


9/Jul/2014


Riesgo de sanción

• Probabilidad de que la autoridad (IFAI) ordene verificación y sancione con multa es…Alta si el sujeto regulado omite la debida atención a una Solicitud ARCO presentada por un titular de datos personales

• Un listado de sanciones aplicadas al mes de abril de 2014 está

disponible aquí

Cercana al 100% si un sólo titular interpone una queja señalando incumplimiento

• El sitio Web para quejas ante el IFAI está aquí

Incumplimiento

• Abundan los profesionales independientes (PI) y las MiPYME en incumplimiento

– México: 5.1 millones de unidades económicas | Sólo 0.2% son empresas grandes

– Según la Secretaría de Economía (2013)

27%

73%

¿Cuenta con Avisode privacidad?

Sí

No

53%45%

Medios de almacenamiento

Electrónicos

Papel

Otros


9/Jul/2014


Dispositivos vulnerables

• Computadoras, teléfonos inteligentes, tablets

– Evidencias: los antivirus hoy son obsoletos

– Criminales y espías gubernamentales pueden acceder con facilidad a equipos PIMiPYME mediante Internet

– Aunque el poder de cómputo sea el objetivo de criminales…

– Evidencias: los datos personales y la inteligencia de negocios también son atractivos para los espías gubernamentales

• ¿Es posible cumplir así con la LFPDPPP?– México: Silencio del gobierno y de las autoridades (CNDH, IFAI)

ante el Efecto Snowden · ¿Complicidad? ¿Incompetencia?

– ¿Nos amparamos? ¿Nos autodefendemos?




9/Jul/2014


Pérdidas

• Investigación y desarrollo

• Patentes

• Propiedad intelectual (fórmulas)

• Capital intelectual

• Bases de datos de clientes, proveedores, facturación,

créditos, flujos de efectivo, etc.

• Estrategias comerciales

• Información personal, financiera, comercial.

La Ciber-criminalidad en México

Foto: Reuters


9/Jul/2014


3.9% de los ciber-crimenes se cometen en Mexico y72% de las Empresas en México sufren Ciberataques

En 2012, las pérdidas económicas relacionadas al Cibercrimen en México se calculan en 39,000 millones de Pesos ( 3 B USD)

En 2013, las autoridades mexicanas recibieron 19K reportes de incidentes relacionados a un ciberataque.

55% del cibercrimen está relacionado a Virus Computacional, 44% a fraude económico

Fuente: Ernst & Young

Hechos

80% de los usuarios utilizan passwords de baja seguridad, si no es que no los utilizan en lo absoluto y 27% de los usuarios no cambian su password frecuentemente y 70 % de los usuarios no conocen la existencia de software para proteger sus dispositivos

Sólo 19% de las Empresas tienen Software de Seguridad adecuado

Sectores más atacados: Financiero, Mayoreo, Telecom, Farmacéutica, Manufacturas Automotrices, Aeroespacial

Vulnerabilidades más frecuentes: Computación móvil (Laptops y Smart Phones son los principales objetivos de cibercriminales), Redes Sociales, Cómputo en la Nube.

Otras vulnerabilidades: Empleados inconscientes o negligentes, Insiders, Ingeniería Social y Espionaje Industrial, Arquitecturas de Cómputo y Controles de Seguridad Obsoletos

Fuente: Ernst & Young


9/Jul/2014


La Ciber-guerra

Fuente: Microsoft Security Intelligence Report Volume 16 Key Findings


9/Jul/2014




¿Qué sigue?

Microsoft Security Intelligence Report. Volume 16 | July through December, 2013


9/Jul/2014


¿Qué sigue?

Security Awareness

Muchas gracias


[email protected]

Twitter: 2be0nline


9/Jul/2014


Hacia el Futuro

¿Debemos Preocuparnos?

Se cae sistema en cruce de revisión en Nuevo LaredoSe formaron también largas filas de más de 7 kilómetros, para llegar al puente internacional

del comercio mundial www.excelsior.com.mx

Ciberataques a bolsas de valores pusieron mercados en riesgo "Podría haber impactos sistémicos (...) desde ciberataques en los mercados de valores,considerando especialmente que nuestro sistema financiero depende cada vez más de lainfraestructura tecnológica", dijo en una entrevista el autor del reporte, Rohini Tendulkar

del Departamento de Investigación de IOSCO” www.elfinanciero.com.mx

Ciberseguridad: Monitoreando el Riesgo en la Cadena de Suministro

Proveedores de Outsourcing se promueven a si mismos como socios de negocio confiablesante sus clientes, pero cuando hablamos de riesgos de ciberseguridad, sería muy acertadopara las compañías de servicios financieros de considerar a sus Partners como unaextensión de si mismos - haciendo un escrutinio riguroso y un monitoreo de

vulnerabilidades idéntico al que realizan dentro de sus propias oficinas. www.finops.co


9/Jul/2014


¿Debemos Preocuparnos?

Microsoft lanza campaña contra cibercrimen procedente de Kuwait y Argelia https://es.noticias.yahoo.com

"Nunca hemos visto malware codificado fuera de Europa del Este tan grande como este. Es

una auténtica demostración de la globalización del cibercrimen", dijo Boscovich” … los desarrolladores comercializaron el malware a través de las redes sociales, incluyendo vídeos en YouTube y una página de Facebook, donde colgaban vídeos con técnicas para infectar PC.

Expertos de G Data han descubierto por primera vez un smartphone con Android que llega directamente infectado al usuario final. El dispositivo incorpora un peligroso programa espía “disfrazado” de Google Play que forma parte del conjunto de aplicaciones instaladas de serie en el teléfono inteligente. El spyware funciona en segundo plano y no puede ser detectado por los usuarios del dispositivo que, sin saberlo, envían sus datos personales a un servidor localizado en China que, además, permite la instalación de nuevas aplicaciones maliciosas. Esto permite al atacante recuperar datos personales, interceptar llamadas y datos bancarios, leer correos electrónicos y mensajes de texto o controlar en remoto la cámara y el micrófono del smartphone. http://www.omnia.com.mx

TECNOLOGÍA: Smartphone chino incluye virus espía

Desde ayer, nuevas coordenadas para que aviones disminuyan ruido en el DF

El poder del cómputo es el nuevo objetivo de los hackers

“Ellos harán dinero sin importar si hay detrás gente usando un teclado, incluso las pueden usar sin que haya una persona y lo que llamamos Internet de las Cosas significa que todos

los objetos que funcionan con electricidad estarán en línea muy pronto”¿Por qué buscarían infectarlos?

“Los infectan para robar el poder de cómputo”

¿Por qué un cibercriminal buscaría hackear una cámara de video vigilancia que estáconectada a la red? El activo más atractivo no son las imágenes, la información o

una posible puerta al espionaje. El objetivo, dice Mikko Hypponen, director de

Investigación de la firma de seguridad F-Secure, es adueñarse del poder de cómputoque albergan los sistemas tecnológicos de los objetos conectados a la red.

¿Nos Afecta?


9/Jul/2014


Las Amenazas

• Ataques cibernéticos por defraudadores

• Ataques cibernéticos por gobiernos

• Economía y Falta de oportunidades laborales

• Falta de emprendimiento y generación de negocios

¿Estamos preparados?

Estamos construyendo nuestras vidas alrededor de la tecnología de

redes alámbricas e inalámbricas.

La pregunta es, ¿Estamos preparados para defenderlas?


9/Jul/2014


¡Gracias!Javier Cordero, CPP

[email protected]



Reflexión final


9/Jul/2014


Reflexión final

• Reto 1. Detener atropellos gubernamentales

– Derecho humano: Privacidad

• Democracia electoral | Voto anónimo, secreto, autónomo

• Libertad | Antecedentes históricos

– México:

• Privacidad | Constitución · Leyes | Autoridad: CNDH

• Protección de datos personales | Constitución · Leyes · Reglamentos · Lineamientos · Guías | Autoridad: IFAI

– Iniciativas civiles

• Gobiernos y leyes :: Atrasados y primitivos

• Ejemplos: Reset the Net · Fight for the Future · EFF · Demand Progress · Stand Against Spying · EPIC | ¡CUIDADO!

Reflexión final

• Reto 2. Inteligencia y ética para innovar

– Estudiar éxitos obtenidos en otras áreas

• Ejemplo: Salud � Profilaxis (Higiene)

– Aplicar esos conocimientos para innovar en seguridad

• Ejemplo: Higiene de software (Software hygiene)

• Equivalente a lavarse las manos

• Grupo SHARP+E · LinkedIn · Facebook


9/Jul/2014




¡[email protected]

Capítulo México 217

Muchas Gracias

Javier CORDERO Manuel MEJÍAS Miguel VERGARA

Carlos Ramírez Moderador

Comité de Investigaciones / ASIS México Comité de Ciber-criminalidad / ALAPSI México


9/Jul/2014


La línea fina entre la Seguridad, la Protección de activos y la Ciberseguridad. Panel de Expertos....

Education

Transcript of La línea fina entre la Seguridad, la Protección de activos y la Ciberseguridad. Panel de Expertos....