Capacitación y Conocimiento en Seguridad Informática La experiencia en CERTuy 01 de Diciembre, 2010 Ing. Mauricio D. Papaleo mauricio.papaleo@agesic.gub.uy 1
AGENDA Que es Gestión del Conocimiento? Gestión del Conocimiento en CERTuy Actividades realizadas Ciclo de Charlas CERTuy 2009/2010 Comunidades de Práctica (CoP). Pasos futuros 2
Qué es Gestión del Conocimiento? «Knowledge Management: strategies and process to create, identify, capture, organize, and leverage vital skills, information, and knowledge to enable people to best accomplish the organization mission» Clinton C. Brooks, «Knowledge Management and the intelligence community» - Defense Intelligence Journal (2000) 3
Que es Gestión del Conocimiento? Información Conocimiento Sabiduría Capital Intelectual Transferir, guardar, acrecentar y compartir este capital o recurso de forma que se encuentre disponible para el resto 4
Qué es Gestión del Conocimiento? Nace y reside en la mente Compartirlo requiere confianza Tecnología como habilitador Cuidar, proteger y alentar el compartir Alentado a desarrollarse por vías no tradicionales Apoyo gerencial y recursos 5
AGENDA Que es Gestión del Conocimiento? Gestión del Conocimiento en CERTuy Actividades realizadas Ciclo de Charlas CERTuy 2009/2010 Comunidades de Práctica (CoP). Pasos futuros 6
Gestión del Conocimiento en CERTuy CERTuy: centro de coordinación de respuestas a incidentes de seguridad informática. Conocimiento especializado que trasciende disciplinas tradicionales, especializado en seguridad de la información e incidentes. Necesidad difícil de encontrar en cursos regulares o programas especializados. Necesidad de conocer quienes son los que más saben. 7
Gestión del Conocimiento en CERTuy «knowledge management means making information available effortlessly, in a usable form, to the people who can apply it in their context, so that is actionable and, thereby becomes knowledge. It means getting: the right information, to the right people, in the right format, at the right time, so they can derive knowledge, and do their jobs better.» Clinton C. Brooks Corporate Knowledge Strategist of the National Security Agency. 8
Gestión del Conocimiento en CERTuy Capacitación Directa Comunidades de Práctica Mapa del Conocimiento 9
Gestión del Conocimiento en CERTuy CoP Capacitación Mapa del Conocimiento 10
AGENDA Que es Gestión del Conocimiento? Gestión del Conocimiento en CERTuy Actividades realizadas Ciclo de Charlas CERTuy 2009/2010 Comunidades de Práctica (CoP). Pasos futuros 11
Actividades Realizadas Ciclo de Charlas CERTuy 2009/2010 Formato: Sesiones de 2 charlas de 1 hora ½ con break en el medio. 1 por mes. Selección de Oradores: llamado abierto a personas/empresas/instituciones públicas y privadas/instituciones educativas/comunidades Público: personal informático relacionado con la seguridad de la información de los organismos públicos. 12
Ciclo de Charlas CERTuy 2009 Charlas: 8 instancias: 49 horas. 16 temas Oradores: 10 empresas privadas Asistentes: 359 (UY, AR, EU, MX) 3 empresas públicas (ANTEL, BPS y CERTuy) 1 comunidad (MontevideoLibre) 13
Ciclo de Charlas CERTuy 2009 14
Ciclo de Charlas CERTuy 2009 15
Ciclo de Charlas CERTuy 2009 16
Charlas: Oradores: y CERTuy) Ciclo de Charlas CERTuy 2010 «CERTificate!» 6 instancias:24 horas. 10 temas Asistentes: 208 2 empresas privadas (UY) 2 empresas públicas (BROU 1 universidad (FING-UdelaR) 1 persona (UY) 17
Ciclo de Charlas CERTuy 2010 «CERTificate!» 18
Ciclo de Charlas CERTuy 2010 «CERTificate!» Regular, 4% Insuficiente, 0% Calidad de los Expositores Aceptable, 20% Excelente, 26% Muy bueno, 49% 19
Ciclo de Charlas CERTuy 2010 «CERTificate!» 20
Organismos Asistentes (2009/2010) AGESIC, ANCAP, ANC, ANEP, ANTEL, AIN, BPS, CGN, Correo, DGI, DNM, DIGERA MGAP, DINARA,DINAMA, HG, DINOT, EJERCITO NACIONAL, FING INCO, IMRN, IMT, IMC, IMD, IMM, INC, INE, JUTEP, Junta asesora en materia económica y financiera del Estado, M.N. Art. Vis., MGAP, MI, MIEM, MDN, MEC, MEF- UCA, MSP, MTOP, OPP, OSE, Palacio Legislativo, PEDECIBA, Plan CEIBAL, Policía, Poder Judicial, UDELAR, URSEC y UTE. 21
AGENDA Que es Gestión del Conocimiento? Gestión del Conocimiento en CERTuy Actividades realizadas Ciclo de Charlas CERTuy 2009/2010 Comunidades de Práctica (CoP). Pasos futuros 22
Comunidades de Práctica (CoP) Que son? son grupos de personas que comparten un interés, un conjunto de problemas o una pasión por un tema, y que desean profundizar su conocimiento y experiencia en esa área interactuando regularmente. Objetivo? Compartir experiencias, aprender del resto de los participantes, aprovechar las mejores prácticas, ahorrar tiempo, crear conocimiento específico y agregar valor en temáticas de seguridad informática de forma de capturar y retener conocimiento tácito en dicha área y difundirlo. 23
Comunidades de Práctica (CoP) 2 funcionando actualmente Testeo de Penetración. Sensores. 24
Testeo de Penetración Integrantes: 7 Resultado esperado: documentación sobre como realizar un pentest con metodología y herramientas incluidas. Se estudiaron varias metodologías sobre Testeo de Penetración: ISSAF, OSSTM, NIST SP800-42 Elegida: ISSAF (no toda, solo algunas partes) y complementarla con OSSTM 2 infraestructuras para probarlas. Se esta en etapa de comenzar pruebas. Email: pentest@cert.uy 25
Sensores Integrantes: 4 Puesta a punto: sensores y correlación de los datos recolectados. Se esta en etapa de definición de estrategia a seguir. Se dispone de dos infraestructuras para realizar pruebas. Resultado esperado(?): herramientas y documentación de implementación. Email: sensores@cert.uy 26
AGENDA Que es Gestión del Conocimiento? Gestión del Conocimiento en CERTuy Actividades realizadas Ciclo de Charlas CERTuy 2009/2010 Comunidades de Práctica (CoP). Pasos futuros 27
Pasos Futuros Nuevo Ciclo de Charla 2011 Continuar CoP s actuales y crear nuevas Generar Mapa del Conocimiento. Continuar consolidando: el networking, la confianza, el compartir 28
29
Muchas gracias! cert@cert.uy pentest@cert.uy sensores@cert.uy 30