El futuro de la seguridad TIC Desafíos y oportunidades para la Argentina

Transcripción

1 El futuro de la seguridad TIC Desafíos y oportunidades para la Argentina Iván Arce Programa de Seguridad en TIC Fundación Dr. Manuel Sadosky Jornadas de Seguridad Informática en el Estado - Gobierno de la Provincia de Buenos Aires. 27 de mayo de 2015,- Mar del Plata, Argentina

2 Seguridad de las TIC en Argentina Por qué y para qué?

3 Porqué hablar de Seguridad de las TIC? o Tiene relevancia estratégica para nuestro país y nuestra región o Problemática real con impacto directo sobre todos los habitantes o Sin seguridad no hay privacidad ni posibilidad de garantizar otros derechos fundamentales. o Seguridad de las TIC es transversal, el software es omnipresente o La Seguridad de las TIC se convirtió en una herramienta de geopolítica o Tendencia inexorable (?) hacia la balcanización y nacionalización de la comunidad internacional de seguridad informática

4 Es fundamental modelar adecuadamente al adversario 1. OPORTUNISTA 2. HACKER 3. GRUPO HACKTIVISTA 4. COLABORADOR CONTRARIADO 5. PROFESIONAL SEGURIDAD TIC 6. ORGANIZACION DELICTIVA 7. AGENCIA PRIVADA DE INTELIGENCIA 8. CORPORACION PRIVADA 9. AGENCIA NACIONAL DE INTELIGENCIA Capacidades técnicas, recursos económicos, motivación, incentivos y disuasivos Se requiere enfoque multi-disciplinario, no hay solución puramente técnica Estrategia de defensa debe contemplar: Disuadir, Evitar, Detectar, Contener.

5 Conclusiones o Investigación, Desarrollo e Innovación Clave para la soberanía tecnológica Desarrollo de capacidades propias. o Ataque y Defensa son complementarios, ambos necesarios. o Es necesario pero no suficiente: Crear y robustecer un ecosistema sustentable Desarrollo del sector productivo Políticas nacionales, regulación e implementación de controles Articular accionar : Estado-Academia-Sector Privado

6 Seguridad de las TIC en Argentina Por donde empezamos?

7 El estado de la seguridad del software Fuente: National Vulnerability Database, NIST, EEUU (2015).

8 Cuál es el alcance del problema? o Las estadísticas mostradas son de: Problemas de implementación (bugs) Publicados por fabricantes o terceros (investigadores, industria, etc.) Catalogados con un ID único (CVE) por Mitre.org Solo aplicables a software comercial ya desplegado o Se estima que los bugs solo representan el 50% de los problemas de seguridad del software. El otro 50% corresponde a fallas de diseño (flaws) o La cantidad de bugs es al menos 1 o 2 órdenes de magnitud mayor si consideramos software a medida o desarrollado para uso interno. o El costo de arreglar un bug crece exponencialmente en el tiempo: {Requerimientos, diseño, implementación, testing, despliegue, mantenimiento}

9 2010+

10 Que tan difícil puede ser? Fuente:

11 2013+ Internet 3.0+ Dispositivos Móviles Redes sociales Computación en la nube Redes Definidas por Software (SDN) Mercados de Contenido High Frequency Trading(HFT) Real-Time Bidding (RTB) Dispositivos Inteligentes Internet de las Cosas Bioinformática

12

13 2013+ viento plateado del oeste Captura de comunicaciones en tránsito en EEUU Acceso a la red vía socio (proveedor de comunicaciones) Específico para Sur y Centro América Captura: Metadata, Voz y Fax (DNR) Captura: Metadata Y contenido (DNI) habilitando inteligencia de señales Busca influir subrepticiamente o modificar activamente el diseño de productos de la industria TIC de EEUU y extranjera para hacelos susceptibles a actividades de obtención de inteligencia Presupuesto 2013: $255mm USD, 141 empleados (personal contratado) Insertar vulnerabilidades en sistemas comerciales de cifrado, dispositivos de red, sistemas IT, dispositivos de usuario. Influir sobre politicas y estándares técnicos de criptografía Subvertir chips de dispositivo comerciales para cifrado de VPN y Web (SSL) Captura de comunicaciones VoIP P2P Captura y decifrado de comunciaciones 4G/LTE

14 Seguridad TIC El mercado y la industria

15 Mercado global de software y servicios de seguridad TIC o Mercado global: MM USD* (2014) Seguridad Computadoras de Escritorio y Servers: $7.170 MM USD (2010) Seguridad de Redes: $7.540MM USD (2010) Gestión de Identidades y Accesos: $4.450MM USD (2010E) Gestión de Seguridad y Vulnerabilidades : $3.400MM USD (2010) Seguridad Web: $1.700MM USD (2010) Protección contra Filtración de Datos (DLP): $680MM (2013) Crecimiento estimado > 18% para el 2014 o Crecimiento estimado al 2015: MM USD* (8,2%) o >1.000 Empresas de Seguridad TIC $10MM USD/año o Menos del 1% son de capitales o tecnología nacional * Forecast Overview: Information Security, Worldwide, , 2Q14 Update, Agosto 2014, Gartner

16 Mercado global de seguridad de las TIC Mercado global de software y servicios de seguridad TIC

17 One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them El anillo de Sauron, El Señor de los Anillos Novela de J.R.R. Tolkien,

18 QUE TIENEN EN COMÚN TODAS LAS SOLUCIONES DE LA INDUSTRIA? Ninguna funciona bien Todas introducen nuevos puntos de falla Arquitectura del siglo pasado ( ) Interfaz gráfica del siglo pasado ( ) Generación centralizada de valor (contenido) Distribución centralizada de valor Estructuras jerárquicas de gestión, topología estrella Chapucerismo y charlatanismo tecnológico

19 PROBLEMAS AUN NO RESUELTOS Cómo desarrollar software sin vulnerabilidades Cómo encontrar bugs en forma eficiente Cómo explotar bugs en forma eficiente Cómo arreglar bugs en forma eficiente (y efectiva) Cómo determinar si un programa es bueno o malo Cómo determinar si un programa es una variante de otro Cómo determinar si alguien nos está atacando Cómo determinar la mejor forma de atacar a otro Cómo guardar un secreto Cómo computar en secreto Cómo gestionar la seguridad TIC de una organización

20 Seguridad TIC Contexto legal y regulatorio

21 Contexto nacional Espionaje informático (ciberespionaje) Ley Inteligencia Nacional (2001) Ley Agencia Federal de Inteligencia (2015) Delito informático ( ciberdelito?) Ley Delito Informático (2008) Ley Protección de los datos personales (2000) Ley Regimen Legal de la Propiedad Intelectual (1933) Ley Programas de Computación (1998) Convenio sobre ciberdelincuencia (Budapest) - Panamá y Rep Dominicana, unicos paises signatarios de la región - Potencial efecto negativo sobre actividades de I+D (Articulo 6)

22 Contexto legal internacional o Guerra cibernética (ciberguerra, cibedefensa, ciberciberciber) Talinn Manual on International Law applicable to Cyber Warfare (OTAN) Wassenaar Arrangement (Dic. 2013) El software de intrusión agregado a la lista de tecnologías de uso dual con controles de exportación (Categoría 4) Controles de exportación ya entraron en efecto en EU, Australia, Canadá. En etapa de consultas en EEUU (60 días).

23 Legislación y regulación extranjera o Sarbanes-Oxley Act (SOX) EEUU Establece obligaciones pare empresas que cotizan en bolsa o Payment Card Industry Data Security Standard (PCI-DSS) Requerimientos y estándares para organizaciones que operan con datos de tarjetas de crédito. o Gramm-Leach-Bliley Act (GLB) EEUU Establece requerimientos a la industria financiera (bancos, aseguradoras, financieras, etc.) para la protección de la información financiera de sus clientes o Data Protection Directive (Directive 95/46/EC) UE Regula procesamiento de datos personales por paises miembros de la UE. Parte componente de las leyes de privacidad y derechos humanos.

24 Bonus track: o Computer Fraud and Abuse Act (CFAA) 2.0 EEUU Modificaciones propuestas por el ejecutivo aumenta las penas y la ambiguedad en la tipificación de delitos o Cybersecurity Information Sharing Act (CISA) EEUU Regula intercambio de información entre gobierno (gncias de seguridad y de inteligencia) y sector privado con propósito de ciberseguridad o Executive Order EEUU (Abril 2015) Declara la atención a la ciberseguridad una emergencia nacional. Autoriza sanciones económicas, confiscación, denegación de entrada, deportación de personas (físicas y jurídicas) o Ley Antiterrorista de Información Francia (2015) Regula recolección de información, escuchas, cámaras de vigilacia, espionaje ecónomico, obtención de datos ID celular y tráfico.

25 Conclusiones

26 Porqué hablar de Seguridad de las TIC? o Tiene relevancia estratégica para nuestro país y nuestra región o Problemática real con impacto directo sobre todos los habitantes o Sin seguridad no hay privacidad ni posibilidad de garantizar otros derechos fundamentales. o Seguridad de las TIC es transversal, el software es omnipresente o La Seguridad de las TIC se convirtió en una herramienta de geopolítica o Tendencia inexorable (?) hacia la balcanización y nacionalización de la comunidad internacional de seguridad informática

27 Clave para la Seguridad de las TIC

28 Es fundamental modelar adecuadamente al adversario 1. OPORTUNISTA 2. HACKER 3. GRUPO HACKTIVISTA 4. COLABORADOR CONTRARIADO 5. PROFESIONAL SEGURIDAD TIC 6. ORGANIZACION DELICTIVA 7. AGENCIA PRIVADA DE INTELIGENCIA 8. GRUPO ECONOMICO 9. AGENCIA NACIONAL DE INTELIGENCIA Capacidades técnicas, recursos económicos, motivación, incentivos y disuasivos Se requiere enfoque multi-disciplinario, no hay solución puramente técnica Estrategia de defensa debe contemplar: Disuadir, Evitar, Detectar, Contener.

29 Conclusiones o Investigación, Desarrollo e Innovación Clave para la soberanía tecnológica Desarrollo de capacidades propias. o Ataque y Defensa son complementarios, ambos necesarios. o Es necesario pero no suficiente: Crear y robustecer un ecosistema sustentable Desarrollo del sector productivo Políticas nacionales, regulación e implementación de controles Articular accionar : Estado-Academia-Sector Privado

30 GRACIAS!