La (in)seguridad de la información: Mitos y realidades - CiberSeguridad 2019
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
La (in)seguridad de la información: Mitos y realidades
La (in)seguridad de la información: Mitos y realidades 1
Agenda
1 Situación actual en materia de ciberseguridad en Uruguay
2 Principales amenazas – tipos de ataques frecuentes
3 Impacto en las organizaciones
4 ¿Cómo prepararnos para mitigar y prevenir?
La (in)seguridad de la información: Mitos y realidades 2
Situación actual en materia de ciberseguridad en Uruguay
Actualidad
• A nivel regional estamos muy bien pero no así a nivel mundial.
• Hoy hay 3 modelos de referencia para la evaluación de los países:
• Global Cybersecurity Index de ITU
• Estudio de Madurez de OEA-BID
• National CyberSecurity Index de la academia de Gobierno digital de Estonia.
En los 3 casos Uruguay se presenta entre los 3 mejores de Latinoamerica
A nivel global Uruguay se posiciona en un lejano puesto 29.
La ciberseguridad no ve fronteras geográficas, por lo que poco importa ser los mejores de Latinoamérica, hay que prepararse
a nivel global.
La (in)seguridad de la información: Mitos y realidades 3
Situación actual en materia de ciberseguridad en Uruguay
Fortalezas
• Se dispone de un centro de respuesta nacional a nivel gobierno (CERTuy).
• Disponer de centros privados de respuesta CSIRT.
• Identificación electrónica.
• Protección de datos personales.
• Participación internacional.
• Cooperación entre el sector público y privado.
La (in)seguridad de la información: Mitos y realidades 4
Situación actual en materia de ciberseguridad en Uruguay
Aspectos más débiles a desarrollar
• Manejo estratégico de la ciberseguridad
• Disponibilidad de profesionales con conocimiento en ciberseguridad en especial en desarrollo seguro
• Concientización a todo nivel
• Políticas y métricas de Cyber
• Legislación para Cyber criminales
La (in)seguridad de la información: Mitos y realidades 5
Aspectos más débiles a desarrollar
Manejo estratégico de la ciberseguridad
• Es necesario gestionar la ciberseguridad como un tema estratégico y aquí todavía no se ha tomado ese enfoque.
• En las organizaciones y/o empresas no siempre se considera la ciberseguridad como un factor estratégico e integral que
abarque aspectos tales como gente, procesos, tecnología, marcos jurídicos, cooperación.
• Se sigue viendo como un problema de los técnicos en tecnología y seguridad de la información.
• Las organizaciones y empresas invierten en herramientas de seguridad sin realizar un análisis de riesgo para definir
estrategias.
• Los presupuestos en materia de seguridad de las organizaciones no siempre están de acuerdo con un enfoque de riesgos.
Es crucial analizar los activos de información y realizar una clasificación de los mismos de acuerdo con su criticidad y en
función de ello definir las medidas de mitigación incluyendo procesos, gente y herramientas con niveles de seguridad
acorde a la clasificación definida desde la perspectiva de riesgo e impacto.
• A nivel país se da la misma situación, dado que es necesario atender la ciberseguridad como un tema transversal que no
puede ser visto desde una única óptica. Hay que pensarla como un ecosistema. Este ecosistema está compuesto por
gobierno, academia, sector privado y sociedad civil. Todos tienen que trabajar articulados generando sinergia entre sí.
• También es necesaria una cooperación a nivel mundial.
La (in)seguridad de la información: Mitos y realidades 6
Aspectos más débiles a desarrollar
Falta de profesionales
• En Uruguay, una de las mayores preocupaciones en materia de Cyber es la falta de profesionales capacitados debido a
que no hay formación en el área de seguridad informática en las carreras terciarias.
• Los interesados en capacitarse en ciberseguridad necesitan buscar afuera, ya sea algún curso externo o aprender por uno
mismo investigando en internet o formándose en el trabajo.
• En 2018, AVNET, una consultora Israelí, realizó un estudio en el que determinó que actualmente hay aproximadamente
unos 650 profesionales trabajando en el área de ciberseguridad que no tienen una formación específica, los llamaban
”generalistas”.
• La tarifa de Uruguay es más baja que la tarifa de los países de primer mundo, por lo que las empresas internacionales
reclutan gente de Uruguay para trabajar en Cyber.
• Se deben colocar más materias de Cyber desde el inicio de las carreras que sean obligatorias; la seguridad en el
desarrollo de los sistemas es fundamental.
La (in)seguridad de la información: Mitos y realidades 7
Aspectos más débiles a desarrollar
Concientización de la información
• Por falta de conocimiento son pocas las empresas y organizaciones que están conscientes de los riesgos cibernéticos.
• Dado el crecimiento de la economía digital y el movimiento de las infraestructuras tecnológicas a la nube, se ha
incrementado los riesgos en ciberseguridad.
• Las medidas a tomar ya no son únicamente protecciones a nivel interno de las empresas, proteger del exterior pasó a ser
fundamental.
• Según un estudio de Gartner, el 60% de las empresas de Economía Digital van a ser hackeadas antes del 2020 en base a
análisis estadísticos.
La (in)seguridad de la información: Mitos y realidades 8
Aspectos más débiles a desarrollar
Políticas y métricas
• Son pocas las métricas que existen en cuanto a los incidentes de seguridad, debido a que falta mucho por medir y
monitorear.
• Se cuenta únicamente con las métricas elaboradas por el CERTuy que básicamente abarcan a las empresas públicas.
• Hay varios incidentes de seguridad a nivel país que no son informados a este organismo.
La (in)seguridad de la información: Mitos y realidades 9
Principales amenazas –
Tipos de ataques más frecuentes
La (in)seguridad de la información: Mitos y realidades 10Principales amenazas - tipos de ataques frecuentes
Principales amenazas
• La complejidad de los ataques va en aumento, cada
vez son más cantidad y más difíciles de detener.
• Los resultados de las estadísticas del centro de
respuesta de incidentes a nivel Gobierno se ha
duplicado la cantidad de ataques en el 2018 respecto
al año anterior.
• El último año fueron alrededor de 2160 de los cuales
43 (un 2%) fueron de severidad alta o muy alta..
La (in)seguridad de la información: Mitos y realidades 11Principales amenazas - tipos de ataques frecuentes
Principales amenazas
• Existen dos niveles bien marcados en el área de
ciberseguridad, el de infraestructura y el de
aplicaciones.
• La razón de los ataques más importantes son
vulnerabilidades a nivel del desarrollo de las
aplicaciones tanto internas, para internet y para
dispositivos móviles.
• Hoy en día el área infraestructura está más avanzado y
se ha logrado mitigar en gran parte este tipo de
ataques.
• Las debilidades mas grandes se encuentran en las
aplicaciones del negocio.
• Se vienen dando en el mundo un montón de diferentes
ataques, pero en los últimos tiempos principalmente los
tipos de ataques son de: ingeniería social, ransomware,
denegación de servicios, entre otros.
La (in)seguridad de la información: Mitos y realidades 12Principales amenazas - tipos de ataques frecuentes
Ingeniería Social
• La ingeniería social es la práctica de obtener
información confidencial a través de la manipulación de
usuarios.
• Es una técnica que se utiliza para poder obtener
información, acceso o privilegios en sistemas de
información, que les permitan realizar algún acto que
perjudique o exponga a la persona u organismo
comprometido a riesgos o abusos.
• El principio que sustenta la ingeniería social es el que en
cualquier sistema "los usuarios son el eslabón más
débil".
• Existen varias técnicas de ingeniería social.
• El más conocido es el Phishing.
La (in)seguridad de la información: Mitos y realidades 13Principales amenazas - tipos de ataques frecuentes
Phishing
• La mayor parte de los incidentes son de phishing ya
que no es costoso realizarlos.
• En 2017, este tipo de ataque representó el 36% de
incidentes informáticos contra organismos públicos, Usuarios afectados por ataques de phishing según la
bancos y mutualistas, y en 2018 este número siguió industria a nivel mundial:
en aumento.
• El phishing es una técnica de ingeniería social
utilizada por los delincuentes para obtener
información confidencial como nombres de usuario,
contraseñas y detalles de tarjetas de crédito
haciéndose pasar por una comunicación confiable y
legítima.
• Por lo general, los estafadores realizan envíos de
correos electrónicos solicitando la actualización de
datos de la persona, con links que llevan a páginas
que imitan las webs de las instituciones financieras
y a través de las cuales se obtiene la información
confidencial.
La (in)seguridad de la información: Mitos y realidades 14Principales amenazas - tipos de ataques frecuentes
Phishing
• Según un estudio realizado por “KnowBe4”, Empresa líder
en simulación y prevención de phishing, el 30% de
usuarios de una empresa serían víctimas de phishing, pero
luego de generar pruebas y entrenamientos contra este
tipo de ataque, en 90 días ese número baja notoriamente a
un 15%, para luego de un año reducirlo a sólo un 2%.
La (in)seguridad de la información: Mitos y realidades 15Principales amenazas - tipos de ataques frecuentes
Otros tipos de Ingeniería social
• Existen otros tipos como, por ejemplo, realizar
llamadas telefónicas encubiertas bajo encuestas con
las que también se podría sacar información personal
de forma que la víctima no sospeche.
• Se utiliza un dispositivo de almacenamiento extraíble
(CD, DVD, USB) infectado con un software malicioso.
Se deja en un lugar de fácil acceso (por ejemplo,
baños públicos, ascensores, pasillos, etc.) y cuando la
víctima encuentre dicho dispositivo y lo introduzca en
su ordenador, el software se instalará y permitirá que
el hacker obtenga todos los datos personales del
usuario.
La (in)seguridad de la información: Mitos y realidades 16Principales amenazas - tipos de ataques frecuentes
Ransomware
• Un ransomware o "secuestro de datos" en español,
es un tipo de programa dañino que restringe el
acceso a determinadas partes o archivos del sistema
operativo que infecta. La modalidad de uso es exigir
un rescate a cambio de quitar esta restricción.
• "WannaCry" es el más conocido actualmente debido
a que en 2017 tuvo un alcance mundial, provocando
el cifrado de datos en más de 150 mil ordenadores.
• El código malicioso ataca una vulnerabilidad en
sistemas Windows que no estén actualizados, cifra
los datos, y para poder recuperarse, solicita que se
pague una cantidad determinada, en un tiempo
determinado. Si el pago no se hace en el tiempo
determinado, el usuario no podrá tener acceso a los
datos cifrados por la infección.
• Un ordenador infectado que se conecte a una red
puede contagiar el ransomware a otros dispositivos
conectados a la misma, pudiendo llegar a infectar
hasta dispositivos móviles.
La (in)seguridad de la información: Mitos y realidades 17Principales amenazas - tipos de ataques frecuentes
Ejemplo de Ransomware
City Power (Sudáfrica)
• Hace dos semanas en Sudáfrica una parte de la ciudad quedó
sin electricidad debido a que la empresa City Power,
responsable de la energía en la capital, recibió un ataque de
Ransomware que encriptó sus bases de datos, aplicaciones y
redes.
La (in)seguridad de la información: Mitos y realidades 18Principales amenazas - tipos de ataques frecuentes
Ejemplo de Ataque
Whatsapp
• Hace unas semanas, la compañía anunció que había
encontrado una vulnerabilidad. Esta vulnerabilidad
permitía a un atacante cargar código malicioso
remotamente en un teléfono, mediante el envío de
paquetes de datos que parecen llamadas telefónicas
desde un número que no está en su lista de contactos.
• Estas llamadas repetidas hacen que WhatsApp se
bloquee. Esta es una vulnerabilidad peligrosa, ya que no
requiere que el usuario levante el teléfono, haga clic en
un enlace, ingrese sus credenciales de inicio de sesión o
interactúe de ninguna manera.
• La Empresa solucionó el problema, pero liberando una
nueva versión de la aplicación, es decir, es importante
tener siempre actualizados nuestros sistemas,
aplicaciones y demás.
La (in)seguridad de la información: Mitos y realidades 19Principales amenazas - tipos de ataques frecuentes
Fuga de información
• Capital One, la quinta institución bancaria y emisora de tarjetas de crédito más grande de EE. UU., Ha sufrido recientemente
una violación de datos que expone la información personal de más de 100 millones de solicitantes de tarjetas de crédito en
los Estados Unidos y 6 millones en Canadá.
• Según documentos judiciales, Thompson (el hacker) supuestamente explotó un firewall mal configurado en el servidor en la
nube de Amazon Web Services de Capital One y accedió a gran parte de los datos almacenados en ese servidor.
• El presunto pirata informático obtuvo acceso al servidor en la nube debido a la configuración incorrecta de Capital One y no
a través de una vulnerabilidad en la infraestructura de Amazon.
• Los datos comprometidos incluyen aproximadamente 140,000 números de Seguro Social y 80,000 números de cuentas
bancarias vinculadas a clientes estadounidenses, y 1 millón de números de Seguro Social canadiense.
La (in)seguridad de la información: Mitos y realidades 20Principales amenazas - tipos de ataques frecuentes
Denegación de servicios
• El ataque conocido como Denegación de servicio consiste en atacar a un sistema de computadores o red que causa que un
servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por
el consumo de la transferencia de información (ancho de banda) de la red de la víctima.
• En la previa a carnaval de este año, Bancos locales sufrieron un ataque de este tipo, presentando problemas a los usuarios
al momento de acceder a sus cuentas, realizar transferencias, acceder a la web o la aplicación mobile.
La (in)seguridad de la información: Mitos y realidades 21Impacto en las organizaciones
La (in)seguridad de la información: Mitos y realidades 22Impacto en las organizaciones
Integridad • Un ataque cibernético puede alterar o eliminar
datos de forma no autorizada.
• Las empresas tratan a la seguridad informática de
la misma manera que a la seguridad física.
• El robo en el ámbito digital puede ser mucho, en
poco tiempo y con poco esfuerzo.
• Un
• Filtración de datos ejemplo claro
o información es que unaque
confidencial persona puede vaciar
Filtración
• Otro riesgo importante para las organizaciones
cuentas
muchas veces obligan
es
de ununbanco
a pagar en por
rescate un instante,
los algo que no
podría hacerse
mismos o a profesionales físicamente.
que puedan ayudar a
de la
verse afectada su reputación, debido a los ataques
mitigar el ataque. Reputación
antes mencionados
información • Ejemplo: El caso de Capital One.
• Impacto en los servicios debido al bloqueo o a la
degradación de la performance de los mismos.
• Ejemplo: Denegación de servicios, Ransomware
Disponibilidad
La (in)seguridad de la información: Mitos y realidades 23¿Cómo prepararnos para mitigar y
prevenir los ataques?
La (in)seguridad de la información: Mitos y realidades 24¿Cómo prepararnos para mitigar y prevenir los ataques?
No es posible prevenir todos los
incidentes.
Es posible gestionar el riesgo
tecnológico a niveles aceptables.
La (in)seguridad de la información: Mitos y realidades 25Mitigar y prevenir
Los tres pilares de la seguridad - conceptos
Prevención
Protección de los activos más críticos
ante amenazas conocidas y
desconocidas, en cumplimiento con
estándares y regulaciones.
Contar con la capacidad de Implementación de
recuperación ante incidentes, soluciones para la detección
respondiendo de manera de amenazas, monitoreo e
Detección
rápida, recuperando la Respuesta
identificación de actividades
operativa normal y reparando anómalas, permitiendo
el daño ocasionado. responder a tiempo.
La (in)seguridad de la información: Mitos y realidades 26Mitigar y prevenir
Los tres pilares de la seguridad – medidas de prevención
Prevención
• Capacitación y concientización
• Programación segura
• Incorporación de la perspectiva de
seguridad durante los proyectos de
implementación de soluciones tecnológicas
• Test de penetración
La (in)seguridad de la información: Mitos y realidades 27Mitigar y prevenir
Los tres pilares de la seguridad – medidas de prevención
• Detectar incidentes en forma temprana.
Detección • Un incidente de ciberseguridad tiene un ciclo de
vida (killchain), a medida que pasa el tiempo el
incidente va aumentando su severidad, por esto
cuanto antes podamos detectar un incidente menor
será su impacto. Es decir, con un mejor sistema de
detección se aumentaría la cantidad de incidentes
detectados, y se reduciría el % de incidentes de
severidad alta y muy alta.
• La base es el monitoreo constante, para así detectar
de forma temprana, las posibles amenazas. En esto
ayuda mucho la implementación de herramientas
denominadas SIEM - para detectar y mitigar
ataques.
La (in)seguridad de la información: Mitos y realidades 28Mitigar y prevenir
Los tres pilares de la seguridad– medidas de prevención
Detección • Un SIEM (security information and event
management) es un sistema que centraliza el
almacenamiento y la interpretación de los datos
relevante de seguridad. De esta forma, permite un
análisis de la situación en múltiples ubicaciones
desde un punto de vista unificado que facilita la
detección de tendencias y patrones no habituales.
• El CERTuy posee un Centro de Operaciones de
Seguridad (SOC) que utiliza un SIEM para
monitorear y detectar amenazas y actuar en base a
ello.
La (in)seguridad de la información: Mitos y realidades 29Mitigar y prevenir
Los tres pilares de la seguridad – medidas de prevención
Respuesta
• Coordinar y responder a los incidentes
de manera rápida para que el ataque
afecte lo menos posible (CSIRTs).
La (in)seguridad de la información: Mitos y realidades 30Conclusión
• No se puede estar 100% seguro
• Un ataque puede afectar cualquier rubro o equipo
• Hay que estar preparado para recibir un ataque
La (in)seguridad de la información: Mitos y realidades 31¡Gracias!
Contacto
aberlingeri@deloitte.com
La (in)seguridad de la información: Mitos y realidades 32También puede leer
