ROBERTO DIAZGRANADOS DIAZ

Transcripción

1 Ciberseguridad Acciones y Estrategias ROBERTO DIAZGRANADOS DIAZ roberto.diazgranados@crcom.gov.co Noviembre de 2009

2 Agenda 1 Contexto General 2 Acciones adelantadas 3 4 Resultados preliminares Tareas previstas

3 Agenda 1 Contexto General 2 Acciones adelantadas 3 4 Resultados preliminares Tareas previstas

4 Contexto General MISION Como organismo regulador del mercado de las telecomunicaciones en Colombia, la CRC, cumple la misión de promover la competencia y la inversión así como proteger los derechos de los usuarios y acorde con los lineamientos del estado, garantizar la prestación efectiva de los servicios de telecomunicaciones y el desarrollo del sector en el marco de la convergencia y la sociedad de la información VISION En el año 2011, la CRC habrá generado, de manera oportuna, un marco regulatorio que tenga en cuenta la convergencia, facilite el uso eficiente a las tecnologías y promueva la competencia en el sector, de tal modo que toda la población pueda acceder a la sociedad del conocimiento. 4

5 Contexto General 5

6 Contexto General 6

7 Contexto General 7

8 Contexto General 8

9 Agenda 1 Contexto General 2 Acciones adelantadas 3 4 Resultados preliminares Tareas previstas 9

10 Acciones adelantadas Año 2007 La CRC publicó para conocimiento del sector y del público en general, el documento titulado Estudio para la implementación de una Estrategia Nacional de Ciberseguridad El estudio describe los principales requisitos de seguridad para redes de telecomunicaciones. Además identificó acciones de carácter nacional e internacional que se han venido realizando en el ámbito de la seguridad de las redes de información y comunicación. 10

11 Acciones adelantadas Año 2007 El documento refleja que utilización de las TIC debe ser fiable y segura para generalizar su uso y lograr una mayor confianza de los usuarios. Para ello, es necesario : Proteger la confidencialidad de los datos y los intereses de los consumidores; Mejorar la calidad de las regionales, así como mantener la interconexión y el interfuncionamiento de las mismas. Analizar las amenazas (reales y potenciales) que se ciernen en la seguridad de estas redes, sobre todo en lo que respecta a la piratería y los virus informáticos en Internet, y estudiar los métodos que permitan poner fin a los mismos. 11

12 Acciones adelantadas Año 2007 Delitos Contra La Delitos Por Medios Electrónicos Información PAÍS NORMA AÑO ALTERACIÓN INTRUSIÓN ESPIONAJE PROPIEDAD FE PUBLICA DATOS TIC PORNOGRAFÍA PROPIEDAD PRIVADO INFANTIL INTELECTUAL ARGENTINA LEY BRASIL LEY CHILE LEY COLOMBIA COSTA RICA LEY LEY LEY LEY ECUADOR L GUATEMALA DEC MÉXICO 1999 Ley PERÚ LEY LEY REPUBLICA LEY DOMINICANA VENEZUELA DEC Leyes Latinoamericanas sobre delincuencia cibernética 12 Fuente: Maresca-cibercrime-buenos-aires-oct-07.pdf

13 Acciones adelantadas Año 2008 La CRT publicó el documento Recomendaciones al Gobierno Nacional para la implementación de una Estrategia Nacional de Ciberseguridad Este documento identifica caminos para la disuasión del crimen cibernético. Dentro de los citados elementos se incluye la vigilancia, análisis y respuesta a estos incidentes. 13

14 Acciones adelantadas Año 2008 Recomendaciones de desarrollo de la estrategia, tomando en cuenta las siguientes fases: Persuadir a los dirigentes nacionales en el gobierno, de la necesidad de la acción nacional para hacer frente a las amenazas y las vulnerabilidades de la infraestructura nacional a través de los debates a nivel político. Establecer un mecanismo nacional de respuesta a incidentes denominado (N-CSIRT) Establecer mecanismos de cooperación entre el gobierno y las entidades del sector privado a nivel nacional. 14

15 Agenda 1 Contexto General 2 Acciones adelantadas 3 Resultados Preliminares 4 Tareas previstas 15

16 Resultados Preliminares Por qué implementar un CSIRT Proporciona elementos de referencia para identificar servicios, políticas y procedimientos apropiados de este tipo de centros que son aplicables a cualquier sector en el ámbito nacional y en particular al sector de telecomunicaciones. Es necesario tener a disposición un equipo dedicado a la seguridad de las TI las 24 horas del día. El equipo ayuda a los usuarios a recuperarse de los ataques recibidos, con conocimientos técnicos y a su vez, fomentar la cooperación entre los clientes del grupo atendido. 16

17 Resultados Preliminares 17 Posibles Inter- relaciones de un CSIRT Nacional Fuente: TB-Security

18 Resultados Preliminares Encuesta Seguridad La CRC adelantó una encuesta con operadores de telecomunicaciones sobre el estado de la Seguridad Informática. Además permitió examinar la importancia que se le asigna al tema y cómo se refleja ésta, en los rubros de los presupuestos previstos y/o ejecutados para la seguridad informática en las entidades prestadoras de servicios de telecomunicaciones. 18

19 Resultados Preliminares ADS 7,1% Monitoreo 7x24 35,7% Sistemas detección de Intrusos Proxies VPN / IPsec 78,6% 85,7% 92,9% Firmas y Certificados Digitales 57,1% Firewalls Software 78,6% Firewalls Hardware 92,9% Filtro de paquetes Encriptación de datos 64,3% 71,4% Contraseñas Anti-Spam Software Antivirus Software 100,0% 100,0% 100,0% Biométricos 57,1% Smart Cards 42,9% 0,0% 20,0% 40,0% 60,0% 80,0% 100,0% Mecanismos de seguridad informática Fuente: Encuesta de seguridad informática desarrollada por la CRC ADS (sistemas de protección de anomalías)

20 Resultados Preliminares Pharm ing 7,1% Phishing 50,0% Perdida de inform ación 21,4% Perdida de integridad 7,1% Negación del servicio 35,7% Monitoreo del trafico 7,1% Caballos de Troya 28,6% Robo de Datos 7,1% Virus 78,6% Fraude 14,3% Accesos a la Web 42,9% aplicaciones de softw are 7,1% Ninguno 14,3% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% Tipos de ataques detectados entre Fuente: Encuesta de seguridad informática desarrollada por la CRC

21 Resultados Preliminares 60,0% 57,1% 50,0% 40,0% 30,0% 20,0% 14,3% 14,3% 14,3% 10,0% 0,0% 0,0% Ninguna 1 a 5 6 a a 15 Mas de 15 Numero de Personas Dedicadas a la seguridad informática en la entidad Fuente: Encuesta de seguridad informática desarrollada por la CRC

22 Resultados Preliminares 40,0% 35,0% 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% 0,0% 35,7% 28,6% 28,6% 7,1% Una al año 2 y 4 al año Mas de 4 al año Ninguno Numero de pruebas de seguridad informática por año Fuente: Encuesta de seguridad informática desarrollada por la CRC

23 Resultados Preliminares 60,0% 50,0% 50,0% 40,0% 35,7% 30,0% 20,0% 14,3% 14,3% 10,0% 7,1% 0,0% 0,0% 0,0% Ninguna CISSP CISA CISM CFE CIFI CIA Certificaciones en materia de seguridad informática Fuente: Encuesta de seguridad informática desarrollada por la CRC

24 Resultados Preliminares 24 Estándares más utilizados en materia de Seguridad Informática Fuente: VIII Encuesta Nacional de Seguridad Informática- ACIS-

25 Resultados Preliminares Encuesta Seguridad Además de lo expuesto, la encuesta permitió evidenciar lo siguiente: La inversión de los operadores en seguridad de la información está enfocada a la protección de la red y a la protección de los datos críticos, pero dejan a un lado la contratación de personal calificado y la realización de pruebas y evaluaciones de seguridad con regularidad. Se deben crear y promover programas de educación formal como especializaciones o maestrías, o bien acceder a certificaciones internacionales sobre tecnologías informáticas utilizadas y exigidas a nivel mundial. 25 Respecto del interés en el desarrollo de políticas de seguridad, debe incrementarse el interés de los directivos en el tema y en general.

26 Agenda 1 Contexto General 2 Acciones adelantadas 3 Resultados preliminares 4 Tareas Previstas 26

27 Tareas Previstas Proyecto Agenda 2009 Debido a que las normas regulatorias vigentes en materia de Seguridad Cibernética se encuentran establecidas de manera general, se hizo necesario incluir dentro de la Agenda 2009 el proyecto Aspectos Regulatorios Asociados a la Ciberseguridad que identificara las potenciales vulnerabilidades que afronta el sector, y a partir de éstas, determinar tanto las responsabilidades de los agentes del sector en el mantenimiento de la seguridad de la infraestructura y de los procesos informáticos asociados a los servicios y a la transmisión de la información. 27

28 Tareas Previstas Proyecto Agenda 2009 El proyecto conocerá la tendencia mundial en normas de seguridad en redes de telecomunicaciones en temas de seguridad en las telecomunicaciones, Marcos de arquitecturas de seguridad protocolos, seguridad de gestión de redes, con el propósito de elaborar recomendaciones para el ámbito nacional. Estudiara las principales herramientas de seguridad en Internet. Identificara las diferentes soluciones que proveedores de seguridad están implantando en el país. 28

29 Tareas Previstas Proyecto Agenda 2009 Autenticación: (Recomendación UIT X.811). Acceso: Prevenir la utilización no autorizada de un recurso. (Recomendación UIT X.812) No Repudio: Creación de pruebas que más adelante se puedan utilizar para demostrar la falsedad de un argumento. (Recomendación UIT X.813) Confidencialidad: Garantizar que la información no se divulgará ni se pondrá a disposición de individuos, entidades o procesos no autorizados. (Recomendación UIT X.814) Integridad: Garantizar que los datos no han sido alterados sin autorización. (Recomendación UIT X.815) 29

30 Ciberseguridad Acciones y Estrategias Bogotá, Octubre de Comisión de Regulación de Comunicaciones