Seguridad de información en el Estado
Upcoming SlideShare
Loading in...5
×
 

Seguridad de información en el Estado

on

  • 780 views

Apertura de Seminario de Seguridad de la Información.

Apertura de Seminario de Seguridad de la Información.

Statistics

Views

Total Views
780
Views on SlideShare
780
Embed Views
0

Actions

Likes
0
Downloads
10
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seguridad de información en el Estado Seguridad de información en el Estado Presentation Transcript

  • Seguridad de información en el EstadoBuscando el balance entre percepción y realidadUnidad de Modernización del EstadoMinisterio Secretaría General de la Presidencia Andrés Bustamante Valenzuela Director de Gobierno Electrónico @abustamante_tic Abril, 2012
  • ¿quién es mas confiable?
  • http://www.eset-la.com/pdf/prensa/informe/arma_infalible_ingenieria_so
  • Algunos datos• Ataques a páginas web equivalen a un 60% +XSS• Software cliente sin parchar. Adobe PDF Reader, QuickTime, Adobe Flash and Microsoft Office• Ataques de dia cero: especialmente software web sin parchar. Ej: CMS• OS cada vez menos, siendo un mayor % a windows mediante worms.• Ataques de SQL inject en SQL en dmz• Redes sociales como fuente de riesgo Fuentes: http://blog.zerial.org/ y http://www.sans.org/top-cyber-security- risks/
  • • Chileatiende• Gobierno Abierto• Interoperabilidad• Identidad digital• Digitalización• Apoyo a servicios públicos• Modificaciones legales• Software público• Comunidad• Guías técnicas
  • Andrés Bustamante ValenzuelaDirector de Gobierno Electrónico@abustamante_tic
  • Intro• Anonymous: El conocimiento es libre. Somos Anónimos, Somos Legión. No perdonamos, No olvidamos.¡Esperadnos!• Contexto seminario – Importancia seguridad en todas sus acepciones – Ir mas alla del PMG – Nuestra obligacion como unidad• Como llego al tema: gusto, trabajo
  • Seguridad: percepción vs realidad (1 y 2)• Seguridad es dos cosas: sensacion y realidad• Seguridad siempre es un trade off, mientras mas tengo, mas sacrifico algo• No preguntarse si es mas seguro, sino que si vale la pena el sacrificio• Tomamos estos riesgos y trade offs todos los dias• Lo conocido es percibido como menos riesgoso que lo desconocido• Sesgos y mitos. Ej seso de confirmacion, agenda setting, disonancia cognitiva• Ej. Creer que los hackers son mas sofisticados de lo que realmente son: ej me hackearon el face• Hay modelos para enfrentar esto, no es lo mismo ser del bronx q de la ciudad• Esto nos podria hacer ver como menos dañinos a los hackers cumas y la seguridad de cosas como disponibilidad de info de nuestros servers• Feeling – model – reality. Eso hace q dependa del observador, por ende del stakeholder• Cuesta cambiar los modelos• Estandares sirven como modelos de referencia
  • Movimientos sociales y mitos urbanos (3)• Estado de animo, riots• Anonimous (hacktivismo): mito vs realidad• Idioteces c las q cae la gente, phishing, etc• Situación política actual• Redes sociales, uso responsable• Ver amenazas que parecen sencillas: usb, compuatdor conectado a un punto de red arbitrario, problema de la consumerization of it
  • Ingeniería Social (4)• Técnicas psicologicas, habilidades sociales• Wikileaks como muestra de ing social. Julian cerdo de seguridad, pero hace esto. Hizo la base de true crypt. Strobe, primer escaner de puertos, que probablemente inspiro a nmap. Negación plausible• La motivacion es importante pq relativiza la amenaza y el riesgo• Tipico: lo pidio el ministro o el subsecretario para una hora mas porque se lo tiene q llevar al presidente• Ejemplo de rusa y seguridad nacional en USA• Técnicas – Pasivas – Pasivas no presenciales – Activas presenciales – Activas agresivas• Debilidades – Todos queremos ayudar – Se tiende a confiar – Cuesta decir no – Todos quieren ser alabados
  • La realidad de los servicios públicos (5 y 6)• Ejemplo de lo descuidado de los servicios publicos. Ejemplo tipico los defacing. Como es que estos se hacen facil si se puede hacer un escaneo simple• Preguntar si saben: XSS, ARP poisoning, Proxy inverso, IDS/IPS• Consecuencias de esto – Politicas – Credibilidad: ej ffaa, onemi – Seguridad nacional• Responsabilidad fnucuonario publico mas que cumplir – Servicio ciudadano – impacto a los ciudadanos – Seguridad – Politica• Por eso no se puede andar al lote, hay que – Cumplir estandares – Saber mas que el resto y ser proactivo• Herramientas TIC: Nessus, Nmap, snort, linux FW (BSD), squid, spamasasin, OSSIM; herramientas comerciales
  • MyGE (7)• Importancia de est tipo de evento• Que es lo que estamos haciendo• Porque nos interesa,• Temas legales: ej decreto 83, 81, 77, 100, proyectos de ley• Como nos ofrecemos• Anuncios como nueva CTG y software publico