Cíberseguridad Un nuevo contexto de amenazas para la

Daniel Madrid13/04/2015

CíberseguridadUn nuevo contexto de amenazas para la administración electrónica

2© 2015 Deloitte Advisory, S.L.

Copia distribuida para uso exclusivo del Govern Balear para su proyección durante la 5ª Jornada de Administración Electrónica.

Queda prohibida la reproducción, distribución, comunicación a terceros, transformación, total o parcial, gratuita u onerosa, por cualquier medio o procedimiento, sin la autorización previa y por escrito de Deloitte Advisory S.L.

Este documento es estrictamente confidencial.

Contexto: ciberamenazas y cíberseguridad

Cómo debemos actuar

Un ejemplo práctico: @clave

Conclusiones

Índice


-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-

Un nuevo contextoHace dos años…

© 2015 Deloitte Advisory, S.L. 4

http://www.deloitte.com/view/en_GB/uk/market-insights/cyber-security/


Un nuevo contexto… riesgos en un mundo hiperconectado…


La revolución digital está generando nuevos modelos de relación:

• Entre administración y los ciudadanos (G2C)

• Entre administraciones (G2G)

• Entre la administración y sus empleados (G2E)

pero también genera un escenario con nuevos riesgos que deben ser identificados y evaluados para poder promover y desarrollar una aproximación coherente de protección.


Un nuevo contexto… con innumerables amenazas …


Reputación Marca

ReputaciónDirectivos

Ataques a activos intangibles

Sistema Video

vigilancia

VoIP/ Video conferencia

Empleado

Ataques a activos físicos o

infraestructurascríticas

Abuso redes sociales

Fraude a Ciudadanos

Fraudede empleado

Fraude

Robo de información

Filtrado de información

Pérdida/Robo dispositivo

Fuga de información confidencial

HackingDDoS

Ataques a plataformas

propias (web, apps. móviles)

Phising

Malware

Ataques a ciudadanos

(fuera de perímetro)

Credenciales robadas

Vulnerabilidades HW y SW


Un nuevo contexto… que generan un impacto real …


“Global interconnectedness and the rising speed of information transmission have reinforced the interdependence between geopolitics and economics, with cyberspace representing an important new front in the geopolitical equation as cyber attacks have the growing potential to inflict economic damage”

Fuente: WEF Global Risk Report 2015

“2015 differs markedly from the past, with rising technological risks, notably cyber attacks, and new economic realities, which remind us that geopolitical tensions present themselves in a very different world from before.”

-. Confidencial. Para uso interno Govern Balear Jornadas Administración Electrónica 2015 .-© 2015 Deloitte Advisory, S.L. 8

172

900 749

85 8196

1.5322.067

213 20423

1.938

3.831

1.033

38273

1.071

10.168

1.272

1320

2.000

4.000

6.000

8.000

10.000

12.000

bajo medio alto muy alto crítico

2011 2012 2013 2014

Recogida de información

1,23%

Otros0,58%

Fraude0,43%

Intrusiones13,95%

Contenido abusivo0,14%

Disponibilidad0,65%

Código dañino82,04%

Fuente: CCN-CERT Jornadas STIC Dic2014

Un nuevo contexto… también para las administraciones públicas …


Un nuevo contexto… qué ha cambiado?

Desaparición del perímetro

La importancia de los tiempos

El impacto sobre la reputación

El paso de la seguridad de la información...

…requiere de nuevas capacidades

…a la cíberseguridad…


Un nuevo contexto… qué debemos cambiar?

Preparar la Organización para gestionaradecuadamente los riesgos de ciberseguridadimplantando estructuras de gobierno que permitanmantener las capacidades de cíberseguridad.

Defender la Organización frente a ciberataquesmanteniendo las inversiones y mejorando las medidaspara proteger sus activos de información digitales.

Anticipar la identificación de las amenazas mediante el uso de las múltiples fuentes de ciberinteligencia con el fin de poder gestionarlas proactivamente.

Responder anticipadamente ante un ciberataqueexistoso, con el fin de poder limitar su impacto sobre la Organización.

D

A

R

P




Conclusiones

Índice



Cómo debemos actuarCaracterizar las amenazas…



Proactive Threat Management

Transformation

Cómo debemos actuar… para evolucionar nuestras capacidades


Análisis forensead-hocs

Protección básicaa nivel de red

IT Service Desk y comunicación Informal

Medidas de seguridad tradicionales

Escaneos de vulnerabilidades periódicos

Recoleción de eventos de seguridad y reporting Ad-hoc

Protección de infraestructturay aplicaciones Ad-hoc

Ejercicios de IT BC & DR

Política de usoaceptable de activos IT

Gestión Centralizada de eventos de seguridad 24x7

Escaneos de vulnerabilidadesperiódicos automatizados

Ejercicios de simulación ITde ciberataques

Protección de infraestructturay aplicaciones generalizada

Formación y concienciaciónen seguridad general

Modelización centralizada decomportamiento de sistemas

Uso de fuentes de ciberinteligencia disponibles

Intercambios informales de conocimiento con iguales

Monitorización cruzada de la actividad de usuarios clave

Correlación interna/externa de información de ciberinteligencia

Protección de Informacióndirigida por usuario

Ejercicios de simulación de ciberataques en sentido amplio

Modelado de comportamientode empleados o clientes

Formación y Concienciaciónen seguridad dirigida

Vigilancia de hackers y criminales

Colaboración con entespúblicos o sectoriales

Análisis forense automatizadode sistemas y malware

Monitorización online básica de marca

Política de uso de marcay social media

Colaboración global entre diferentes sectores

Señuelos y contrainteligencia

Análisis en tiempo real de riesgo y toma de decisiones

Concienciación a socios y terceros

Ejercicios de simulación sobretoda la cadena de suministro

Adaptación automáticade las medidas de protección

Detección actividad maliciosamediante canales cruzados

Monitorización de procesosintegrada y personalzada

Análisis forense de sistemasy malware automatizado

Protecciónde marca

Forensic ye-discovery

Colaboración

Ciberinteligencia

Análisis de compportamiento

Formación y concienciación

Preparación

Protecciónde activos

Gestión de eventosde seguridad

Inteligenciainterna

Pro

activ

idad

en

la G

estió

n de

Cib

eram

enaz

as

Niveles de Madurez

Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5

Personas

Procesos

Tecnología




Conclusiones

Índice



Un ejemplo prácticoUna de las capacidades básicas: Gestión de identidades y accesos



Un ejemplo práctico¿Por qué es necesario reforzar esta capacidad?

© 2015 Deloitte Advisory, S.L.

1. 123456

2. password

3. 12345

4. 12345678

5. qwerty

6. 123456789

7. 1234

8. baseball

9. dragón

10. football

Mecanismo de autenticación [op.acc.5]

17


Un ejemplo práctico@clave


Plataforma común para la identificación, autenticación y firma electrónica que:

Evita a las Administraciones Públicas tener que implementar y gestionar sus propios sistemas de identificación y firma.

Evita a los ciudadanos tener que utilizar métodos de identificación diferentes para relacionarse electrónicamente con la Administración.

Permite definir el nivel de aseguramiento en la calidad de la autenticación que desean (nivel QAA), en base a la clasificación de seguridad definida de acuerdo al ENS (Real Decreto 3/2010).

18




Cl@ve contempla la utilización de sistemas de identificación basados en claves concertadas con dos posibilidades de uso:

• Cl@ve ocasional (Cl@ve PIN): sistema de contraseña de validez muy limitada en el tiempo, orientado a usuarios que acceden esporádicamente a los servicios, que se corresponde con el sistema PIN24H de la AEAT.

• Cl@ve permanente: sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Se corresponde con el sistema de acceso mediante usuario y contraseña, reforzado con claves de un solo uso por SMS, a los servicios de Tu Seguridad Social. Este sistema será además el que permitirá el acceso al ciudadano a la firma en la nube.

Cl@ve contempla adicionalmente el uso de certificado s electrónicos (incluyendo el DNI-e).

4,3% Utilización del DNIe en sus trámtites con las AAPPs

13,1% Utilización de otros certificados digitales en sustrámtites con las AAPPs

41,5% Declaraciones de la renta presentadastelemáticamente (PIN24H)

19




Portal e-admon

Identificarse

Mensajes SAML2 - Servicio que invoca (SP), nivel de calidad de eID exigido, firmado por SP3 - Servicio que invoca (SP), nivel de calidad de eID, firmado por Cl@ve4 – Respuesta de la identificación, firmada por IdP5 – Respuesta de la identificación, firmada por Cl@ve

Cl@ve

DNIe / Certificado

PIN24HUsuario/PwD

PIN24H

IdP

UsuarioPwd

Cl@ve

SP

IdP

2

1

3

4

5

Con interacción con el usuarioSin interacción con el usuario

Navegador del usuario




Conclusiones

Índice



ConclusionesUn ejercicio práctico



Deloitte hace referencia, individual o conjuntamente, a Deloitte ToucheTohmatsu Limited ("DTTL"), sociedad del Reino Unido no cotizada limitada por garantía, y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.

Deloitte presta servicios de auditoría, consultoría, asesoramiento fiscal y legal y asesoramiento en transacciones y reestructuraciones a organizaciones nacionales y multinacionales de los principales sectores del tejido empresarial. Con más de 200.000 profesionales y presencia en 150 países en todo el mundo, Deloitte orienta la prestación de sus servicios hacia la excelencia empresarial, la formación, la promoción y el impulso del capital humano, manteniendo así el reconocimiento como la firma líder de servicios profesionales que da el mejor servicio a sus clientes.

El presente documento es estrictamente confidencial y de uso interno de la organización y, no podrá ser entregado, ni permitir el acceso a terceros o hacer referencia al mismo en comunicaciones sin nuestro consentimiento previo por escrito.

23

Cíberseguridad Un nuevo contexto de amenazas para la

Documents

Transcript of Cíberseguridad Un nuevo contexto de amenazas para la