Magíster en Seguridad Informática y Protección de la Información
Escuela de Computación e Informática, Facultad de Ingeniería de la
Universidad Central, Santiago de Chile, 18 de junio de 2015
Conferencia también presentada el 19/11/2014 en la Especialización en Criptografía y
Seguridad Teleinformática de la Escuela Superior Técnica, Buenos Aires, Argentina
Dr. Jorge Ramió Aguirre
Profesor Universidad Politécnica de Madrid
Director de Criptored, Intypedia, Crypt4you y Thoth
http://www.lpsi.eui.upm.es/~jramio – email:
[email protected]
Ciberseguridad: nuevo esquema y desafío en formación
2
Ciberseguridad: nuevo esquema y desafío en formación
3
Y muchos más …
Ciberseguridad: nuevo esquema y desafío en formación
4
http://lema.rae.es/drae/?val=ciber
Ciberseguridad: nuevo esquema y desafío en formación
5
Ciberseguridad: nuevo esquema y desafío en formación
6
¿Artificial? RAE: Hecho por la mano
del hombre; No natural, falso;
Producido por el ingenio humano
¡Sus efectos no son artificiales!
Vale, muy bien, … pero entonces, ¿de qué estamos hablando?
Ciberseguridad: nuevo esquema y desafío en formación
7
Ciberespacio: Un ámbito
artificial creado por medios
informáticos
Cuidado definiciones RAE
¿Alguna otra fuente?
Glosario de términos
CCN-CERT España
Ciberespacio: Dominio global y dinámico compuesto por infraestructuras de
tecnología de la información incluyendo internet, redes de telecomunicaciones y
sistemas de información.
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-Glosario_y_abreviaturas/index.html
Ciberseguridad: nuevo esquema y desafío en formación
8
Ciberseguridad: Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del
mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que
manejan. O bien, conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las redes y
sistemas de que constituyen el ciberespacio:
◦ Detectando y enfrentándose a intrusiones,
◦ Detectando, reaccionando y recuperándose de incidentes, y
◦ Preservando la confidencialidad, disponibilidad e integridad de la información.
Ciberdefensa: Concepto que engloba todas las actividades ofensivas y defensivas en las que se utilizan
como medio aquellos relacionados con las infraestructuras TIC (Ej. Redes de ordenadores, ordenadores,
programas informáticos, etc.), y cuyo campo de batalla es el ciberespacio. Las actividades de desarrollo de
la ciberdefensa van encaminadas hacia la capacitación de los gobiernos y naciones en la denominada
ciberguerra.
Ciberconflicto: Lucha armada (en este caso las armas son las TIC) entre dos o más naciones o entre
bandos de una misma nación, en la que se utiliza el ciberespacio como campo de batalla.
Ciberseguridad: nuevo esquema y desafío en formación
9
Mando Conjunto
Prensa
Universidades
punteras
Ciberseguridad: nuevo esquema y desafío en formación
10
Ciberseguridad: nuevo esquema y desafío en formación
11
http://map.norsecorp.com/v1/
Ciberseguridad: nuevo esquema y desafío en formación
12
UN BREVE REPASO DE LOS ESCENARIOS DE LA
SEGURIDAD EN LAS ÚLTIMAS CUATRO DÉCADAS
◦ De 1980 a 1990
◦ De 1990 a 2000
◦ De 2000 a 2010
◦ De 2010 a 2020
Ciberseguridad: nuevo esquema y desafío en formación
13
Inicio de la era de los PCs
Seguridad asociada al equipo, normalmente del usuario final
Programas malignos, inciden en la calidad de la producción, el software o el
hardware dejan de funcionar
Amenaza principal: Mi equipo, es caro y casi único, pocos expertos me lo pueden
reparar
Estado emocional y preocupación: Alarma personal
Criticidad: Baja
Ciberseguridad: nuevo esquema y desafío en formación
14
Ciberseguridad: nuevo esquema y desafío en formación
15
Seguridad asociada a redes locales que me entregan servicios y me facilitan el
modo de trabajar
Equipos servidores: filosofía cliente – servidor
Gusanos y programas malignos, inciden en la calidad de la producción, el software
o el hardware dejan de funcionar, robo de datos, espionaje industrial
Amenaza principal : Mi red local, si se cae no puedo seguir trabajando con el PC
de mi puesto de trabajo, salvo cosas básicas
Estado emocional y preocupación: Alarma corporativa
Criticidad: Media/Alta
Ciberseguridad: nuevo esquema y desafío en formación
16
Ciberseguridad: nuevo esquema y desafío en formación
17
Seguridad asociada a Internet que me entrega servicios y que me facilita trabajar
Clientes también generan información, inicio del concepto nube
Malware generalizado, incide en la calidad de la producción, el software o el
hardware dejan de funcionar, robo de datos, espionaje industrial, soborno, delito
informático, exfiltración de información, ataques a aplicaciones móviles
Internet facilita el envío de malware y las intrusiones a los sistemas
Amenaza principal: Internet de todos, si se cae la red no puedo seguir trabajando
con el PC de mi puesto de trabajo y muchos datos están ya en la nube
Estado emocional y preocupación: Alarma colectiva
Criticidad: Alta
Ciberseguridad: nuevo esquema y desafío en formación
18
Ciberseguridad: nuevo esquema y desafío en formación
19
Seguridad asociada a Internet de las cosas que me entrega(á) todo tipo de
servicios y que me permite (ya no sólo facilita) trabajar y vivir cómodamente
Equipos servidores, filosofía cliente - servidor difusa (disperso, nube)
Entran en juego los sistemas de control industriales a través de IP y SCADA
Ataques generalizados, aumento del ciberdelito, ciberejércitos, hostilidades entre
países en el ciberespacio, ciberterrorismo, espionaje a gran escala
Amenaza principal: Las infraestructuras críticas de los países, si estas IC dejan de
operar, pueden causar graves daños a la población, incluso costar vidas humanas
Estado emocional y preocupación: Alarma mundial, seguridad de un país
Criticidad: Muy alta
Ciberseguridad: nuevo esquema y desafío en formación
20
Ciberseguridad: nuevo esquema y desafío en formación
21
Un nuevo
espacio,
donde
Ciberespacio: el quinto elemento
la colaboración
entre civiles y
militares es vital
y obligada
Ciberseguridad: nuevo esquema y desafío en formación
22
Ataques
Daños
Ataques
y daños
Mundo
SECURITY
Mundo IT
SAFETY
Mundo OT
SECURITY SAFETY
+
C.W. Axelrod, Engineering Safe and Secure Software Systems, © 2013 Artech House
2013.appsecusa.org/2013/wp-content/uploads/2013/12/APPSEC2013-Presentation-Final.ppt
Ciberseguridad: nuevo esquema y desafío en formación
23
Jeimy Cano, 2014
http://insecurityit.blogspot.com.es/2014/07/fundamentos-de-ciberseguridad_21.html
Ciberseguridad: nuevo esquema y desafío en formación
24
Spoofing (autenticación), Tampering (integridad), Repudiation (No repudio), Information disclosure
(confidencialidad), Denial of service (disponibilidad) y Elevation of privilege (autorización)
Adam Shostack,
analista de Microsoft
(2014)
Ref. Cano J. 2014 ya
indicada
Ciberseguridad: nuevo esquema y desafío en formación
25
Antonio Guzmán, ElevenPaths, curso Seguridad y Ciberdefensa Criptored 2015
Ciberseguridad: nuevo esquema y desafío en formación
26
En un curso de posgrado, máster o especialidad: muy orientado a prácticas
Laboratorio: casos de ataque y casos de defensa
Con herramientas como éstas: top ten de 125: http://sectools.org/
Y muchas más …
Ciberseguridad: nuevo esquema y desafío en formación
27
¿Debemos decir Seguridad Informática o Seguridad de la Información?
No está tan claro; hay varios artículos sobre este tema resumidos en:
Conclusión: por la importancia que
se le daba en el mercado laboral,
hemos pasado de la primera a la
segunda, aunque hoy ambas son
igual de importantes y necesarias
Vuelve a haber un repunte de la
“seguridad informática”, ahora
focalizado en las redes (IT) y en los
sistemas de producción (OT)
http://www.criptored.upm.es/thoth/index.php
Ciberseguridad: nuevo esquema y desafío en formación
28
La formación universitaria en materias de seguridad ha ido evolucionando acorde
a esta proliferación de escenarios y amenazas distintas, cada vez más serias,
aportando asignaturas de:
◦ Protección básica de la información (cifrado, antivirus)
◦ Protección y fortificación de redes
◦ Estudios de hacking, malware y análisis forense de la seguridad, proactividad
◦ Protección de infraestructuras críticas, Seguridad en Internet de las cosas
Pero no siempre lo ha hecho al ritmo deseado ni respondiendo a las verdaderas
necesidades del mercado. ¿Por qué?
En la segunda parte de esta conferencia, se dará una visión personal sobre esta
problemática… y posiblemente polémica
Ciberseguridad: nuevo esquema y desafío en formación
29
Reflexiones y pensamientos en voz alta
Informe de Tesis Doctoral (documento público)
http://www.criptored.upm.es/guiateoria/gt_m001i1.htm
Proyecto MESI: Mapa Enseñanza Seguridad de la Información
Ciberseguridad: nuevo esquema y desafío en formación
30
El desarrollo de las materias docentes y la oferta de asignaturas de seguridad
informática y seguridad de la información en España ha tenido un auge
espectacular en los últimos 10 años:
◦ Asignaturas de seguridad en grados: 351
Temarios exclusivos en seguridad: 229
Temarios no exclusivos en seguridad: 122
◦ Másteres exclusivos en seguridad: 28
Títulos propios: 18
Títulos universitarios: 10
◦ http://www.criptored.upm.es/mesi/mesi2/mesi2ES.html
Pero, a pesar de ello, hay muy poca oferta en ciberseguridad y hacking
Ciberseguridad: nuevo esquema y desafío en formación
31
En grados además de las asignaturas de fundamentos y criptografía, características
a comienzos de los años 90, aparecen otras temáticas nuevas:
◦ Protección y fortificación de redes, protocolos,
Comentarios de: Ciberseguridad: un nuevo paradigma de la seguridad y nuevos retos en la formación especializada (0)
No hay comentarios