jornadas gratuitas de criptografÍa y seguridad … · analista de microsoft (2014) ref. cano j....

Magíster en Seguridad Informática y Protección de la Información

Escuela de Computación e Informática, Facultad de Ingeniería de la

Universidad Central, Santiago de Chile, 18 de junio de 2015

Conferencia también presentada el 19/11/2014 en la Especialización en Criptografía y Seguridad Teleinformática de la Escuela Superior Técnica, Buenos Aires, Argentina

Dr. Jorge Ramió Aguirre

Profesor Universidad Politécnica de Madrid

Director de Criptored, Intypedia, Crypt4you y Thoth

http://www.lpsi.eui.upm.es/~jramio – email: [email protected]

2Ciberseguridad: nuevo esquema y desafío en formación


Y muchos más …


http://lema.rae.es/drae/?val=ciber


Vale, muy bien, … pero entonces, ¿de qué estamos hablando?

¿Artificial? RAE: Hecho por la mano del hombre; No natural, falso; Producido por el ingenio humano ¡Sus efectos no son artificiales!

8

¿Alguna otra fuente?

Glosario de términos

CCN-CERT España

Ciberespacio: Dominio global y dinámico compuesto por infraestructuras de

tecnología de la información incluyendo internet, redes de telecomunicaciones y

sistemas de información.

https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-Glosario_y_abreviaturas/index.html

Ciberseguridad: nuevo esquema y desafío en formación

Ciberespacio: Un ámbito

artificial creado por medios

informáticos

Cuidado definiciones RAE

9

Ciberseguridad: Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del

mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que

manejan. O bien, conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las redes y

sistemas de que constituyen el ciberespacio:

◦ Detectando y enfrentándose a intrusiones,

◦ Detectando, reaccionando y recuperándose de incidentes, y

◦ Preservando la confidencialidad, disponibilidad e integridad de la información.

Ciberdefensa: Concepto que engloba todas las actividades ofensivas y defensivas en las que se utilizan

como medio aquellos relacionados con las infraestructuras TIC (Ej. Redes de ordenadores, ordenadores,

programas informáticos, etc.), y cuyo campo de batalla es el ciberespacio. Las actividades de desarrollo de

la ciberdefensa van encaminadas hacia la capacitación de los gobiernos y naciones en la denominada

ciberguerra.

Ciberconflicto: Lucha armada (en este caso las armas son las TIC) entre dos o más naciones o entre

bandos de una misma nación, en la que se utiliza el ciberespacio como campo de batalla.



Universidades punteras

Mando Conjunto

Prensa


http://map.norsecorp.com/v1/

13

UN BREVE REPASO DE LOS ESCENARIOS DE LA

SEGURIDAD EN LAS ÚLTIMAS CUATRO DÉCADAS

◦ De 1980 a 1990

◦ De 1990 a 2000

◦ De 2000 a 2010

◦ De 2010 a 2020


14

Inicio de la era de los PCs

Seguridad asociada al equipo, normalmente del usuario final

Programas malignos, inciden en la calidad de la producción, el software o el

hardware dejan de funcionar

Amenaza principal: Mi equipo, es caro y casi único, pocos expertos me lo pueden

reparar

Estado emocional y preocupación: Alarma personal

Criticidad: Baja


16

Seguridad asociada a redes locales que me entregan servicios y me facilitan el

modo de trabajar

Equipos servidores: filosofía cliente – servidor

Gusanos y programas malignos, inciden en la calidad de la producción, el software

o el hardware dejan de funcionar, robo de datos, espionaje industrial

Amenaza principal : Mi red local, si se cae no puedo seguir trabajando con el PC

de mi puesto de trabajo, salvo cosas básicas

Estado emocional y preocupación: Alarma corporativa

Criticidad: Media/Alta


18

Seguridad asociada a Internet que me entrega servicios y que me facilita trabajar

Clientes también generan información, inicio del concepto nube

Malware generalizado, incide en la calidad de la producción, el software o el

hardware dejan de funcionar, robo de datos, espionaje industrial, soborno, delito

informático, exfiltración de información, ataques a aplicaciones móviles

Internet facilita el envío de malware y las intrusiones a los sistemas

Amenaza principal: Internet de todos, si se cae la red no puedo seguir trabajando

con el PC de mi puesto de trabajo y muchos datos están ya en la nube

Estado emocional y preocupación: Alarma colectiva

Criticidad: Alta


20

Seguridad asociada a Internet de las cosas que me entrega(á) todo tipo de

servicios y que me permite (ya no sólo facilita) trabajar y vivir cómodamente

Equipos servidores, filosofía cliente - servidor difusa (disperso, nube)

Entran en juego los sistemas de control industriales a través de IP y SCADA

Ataques generalizados, aumento del ciberdelito, ciberejércitos, hostilidades entre

países en el ciberespacio, ciberterrorismo, espionaje a gran escala

Amenaza principal: Las infraestructuras críticas de los países, si estas IC dejan de

operar, pueden causar graves daños a la población, incluso costar vidas humanas

Estado emocional y preocupación: Alarma mundial, seguridad de un país

Criticidad: Muy alta



la colaboración entre civiles y

militares es vital y obligada

Un nuevo espacio, donde

Ciberespacio: el quinto elemento


SAFETYSECURITY SECURITY SAFETY+

Mundo OTMundo IT

Mundo

C.W. Axelrod, Engineering Safe and Secure Software Systems, © 2013 Artech House2013.appsecusa.org/2013/wp-content/uploads/2013/12/APPSEC2013-Presentation-Final.ppt

DañosAtaquesAtaques y daños


Jeimy Cano, 2014http://insecurityit.blogspot.com.es/2014/07/fundamentos-de-ciberseguridad_21.html


Adam Shostack, analista de Microsoft (2014)

Ref. Cano J. 2014 ya indicada

Spoofing (autenticación), Tampering (integridad), Repudiation (No repudio), Information disclosure (confidencialidad), Denial of service (disponibilidad) y Elevation of privilege (autorización)


Antonio Guzmán, ElevenPaths, curso Seguridad y Ciberdefensa Criptored 2015

27

En un curso de posgrado, máster o especialidad: muy orientado a prácticas

Laboratorio: casos de ataque y casos de defensa

Con herramientas como éstas: top ten de 125: http://sectools.org/


Y muchas más …

28

¿Debemos decir Seguridad Informática o Seguridad de la Información?

No está tan claro; hay varios artículos sobre este tema resumidos en:


Conclusión: por la importancia que

se le daba en el mercado laboral,

hemos pasado de la primera a la

segunda, aunque hoy ambas son

igual de importantes y necesarias

Vuelve a haber un repunte de la

“seguridad informática”, ahora

focalizado en las redes (IT) y en los

sistemas de producción (OT)

http://www.criptored.upm.es/thoth/index.php

29

La formación universitaria en materias de seguridad ha ido evolucionando acorde

a esta proliferación de escenarios y amenazas distintas, cada vez más serias,

aportando asignaturas de:

◦ Protección básica de la información (cifrado, antivirus)

◦ Protección y fortificación de redes

◦ Estudios de hacking, malware y análisis forense de la seguridad, proactividad

◦ Protección de infraestructuras críticas, Seguridad en Internet de las cosas

Pero no siempre lo ha hecho al ritmo deseado ni respondiendo a las verdaderas

necesidades del mercado. ¿Por qué?

En la segunda parte de esta conferencia, se dará una visión personal sobre esta

problemática… y posiblemente polémica



Reflexiones y pensamientos en voz altaInforme de Tesis Doctoral (documento público)http://www.criptored.upm.es/guiateoria/gt_m001i1.htmProyecto MESI: Mapa Enseñanza Seguridad de la Información

31

El desarrollo de las materias docentes y la oferta de asignaturas de seguridad

informática y seguridad de la información en España ha tenido un auge

espectacular en los últimos 10 años:

◦ Asignaturas de seguridad en grados: 351

Temarios exclusivos en seguridad: 229

Temarios no exclusivos en seguridad: 122

◦ Másteres exclusivos en seguridad: 28

Títulos propios: 18

Títulos universitarios: 10

◦ http://www.criptored.upm.es/mesi/mesi2/mesi2ES.html

Pero, a pesar de ello, hay muy poca oferta en ciberseguridad y hacking


32

En grados además de las asignaturas de fundamentos y criptografía, características

a comienzos de los años 90, aparecen otras temáticas nuevas:

◦ Protección y fortificación de redes, protocolos, seguridad en web

◦ SGSI, auditoría, análisis y gestión del riesgo, etc.

Pero seguimos con una oferta débil o incluso nula en otras temáticas:

◦ Hacking

◦ Malware

◦ Ingeniería inversa

◦ Análisis forense

◦ Seguridad en redes inalámbricas

◦ Protección de infraestructuras críticas

◦ Ciberseguridad, Ciberdefensa


33

A pesar de ese gran desarrollo, llama la atención que las líneas de trabajo

relacionadas con hacking y malware siempre han quedado fuera del ámbito

universitario, con sólo algunos casos dignos y anecdóticos

Lo mismo sucede con la investigación. Una prueba de ello la tenemos en las

escasas contribuciones de papers en esta temática en las 13 ediciones de la RECSI,

congreso bienal de seguridad que se celebra en España desde el año 1991

¿Razones?

Pueden existir muchas. Una apreciación personal es que este mundo hacking se ha

asociado siempre a un entorno friki (algo que no comparto) y ello ha influido a

que contemos con pocos doctores expertos en esta materia en la universidad


http://lema.rae.es/drae/srv/search?key=friki

34

Como esta formación es demandada por la sociedad, las ofertas de posgrado

cuentan con especialistas del sector empresarial, con muchos años de experiencia

en auditorías de seguridad, pentesting, reversing, etc.

Muchos posgrados han incluido la palabra ciberseguridad en su título, pero no

todos están orientados preferentemente hacia esta nueva temática

Varias empresas ofrecen másteres conjuntamente con la universidad, en muchos

casos en búsqueda de talento joven

Las ofertas de formación avanzada en ciberseguridad se multiplican

Dos ejemplos:

◦ Cursos online en Criptored Formación: http://www.criptored.upm.es/formacion/index.html

◦ Másteres reflejados en MESI 2.0: http://www.criptored.upm.es/mesi/mesi2/mesi2ES.html


GRACIAS

jornadas gratuitas de criptografÍa y seguridad … · analista de microsoft (2014) ref. cano j....

Documents