Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón City: ciudad bastionada [rooted2019]

239 views

Published on

Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón City: ciudad bastionada [rooted2019]

Published in: Technology
  • Be the first to comment

Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón City: ciudad bastionada [rooted2019]

  1. 1. Zarancón City ciudad bastionada José Ángel Álvarez Guillermo Obispo (Willy) Miguel Ángel Rodríguez
  2. 2. #whoami @marodriguezz - ciberseguridad en el sector público Cybercamp - CCN-CERT - Securmática - Ayuntamiento de Madrid CIO/CISO de Zarancón ➔ Evolución tecnológica de los ayuntamientos: ◆ Informática de empleado interno. ◆ Servicios a ciudadanos, web, sedes, móviles. ◆ Smart city: SCADA, IoT, Big Data, IA, 5G. ➔ Estado de la seguridad: ◆ CCN-CERT publica guías. ◆ RootedCON y la comunidad se orienta al hacking. ◆ La industria ofrece servicios paquetizados o muy especializados. ➔ Enfoque de construcción y defensa
  3. 3. #whoami @gobispo - ciberseguridad en el sector público - IGAE
  4. 4. #whoami @joseangel_a76 - ciberseguridad en el sector público Pentesting - BlueTeam - Ayuntamiento de Madrid CIO/CISO de Zarancón Zarancón City 100.000 habitantes
  5. 5. Red y arquitectura ➔ Todo en cloud. ➔ XaaS - X as a service. ➔ Segmentación de red. ➔ Conocimiento de tráfico y filtrado. ➔ Redes limpias (IoT, SCADA) ➔ Análisis de comportamiento. ➔ NAC. ➔ Cifrado.
  6. 6. Infraestructura ➔ Reducir la infraestructura del CPD al mínimo ➔ Estrategia Cloud, SaaS o IaaS. Importancia de SLAs. ➔ Bastionado S.O. según guías CCN ➔ Parcheo periódico ➔ Administración de la infraestructura ◆ Estaciones dedicadas de administración ◆ Sysadmin, autenticación de doble factor (token) ➔ Directorio Activo: Políticas + LAPS + PAW
  7. 7. Aplicaciones, Webs, bases de datos ➔ Seguridad en el ciclo de vida del desarrollo - OWASP. ◆ DevSecOps. ◆ Testing. ◆ Auditoría. ◆ Formación. ➔ Protección de aplicaciones Web en cloud - WAF y CASB. ➔ Gestión de identidades. ➔ Gestión de cuentas privilegiadas - PAM. ➔ Protección de bases de datos - DLP y cifrado.
  8. 8. Puestos de trabajo y usuarios ➔ Puestos de trabajo ◆ S.O. bastionado según guías CCN ◆ Actualizaciones S.O. periódicas ◆ Minimizar sw instalado (idealmente sólo browser) ◆ Protección del puesto: EPP + EDR (cloud) ◆ Usuarios NO administradores ◆ Administradores NO usuarios ➔ Movilidad ◆ Dispositivo móvil para TODOS los empleados públicos ◆ Gestionados por MDM ◆ El móvil corporativo permite 2FA OTP para TODO
  9. 9. Conclusiones ➔ Ideas clave ◆ Incrementar visibilidad. ◆ Reducir superficie de ataque. ➔ Red y arquitectura ◆ Segmentación y cloud first. ◆ Perímetro con Inteligencia (IOCs, Sandboxing, comportamiento) ➔ Infraestructura ◆ Bastionado + Patching + Admins2FA(token). ◆ Directorio Activo: LAPS+PAW. ➔ Aplicaciones y datos: OWASP + WAF + CASB + Identity + DLP ➔ Puesto: EPP y EDR + MDM + 2FA (OTP Móvil) + Mobile/Browser First ➔ Detección y respuesta: ◆ DRaaS + SIEM + Análisis de comportamiento. ◆ CCN-CERT first: REYES+SATINET+GLORIA+LUCIA+CARMEN+...
  10. 10. ➔ 100 miembros #WeAreLegion ➔ 2018 ◆ Fundación de la comunidad. ◆ Foro interno. ◆ Ponentes en charlas. ◆ Redes sociales: @ProtAAPP. ➔ 2019 ◆ Web: www.protaapp.com ◆ Artículos de opinión. ◆ RootedCON. ➔ 2020 ◆ Pliegos tipo. ◆ ¿Congreso “Blue”?

×