Seguridad de información en el EstadoBuscando el balance entre percepción y realidadUnidad de Modernización del EstadoMinisterio Secretaría General de la Presidencia

Andrés Bustamante ValenzuelaDirector de Gobierno Electrónico@abustamante_tic Abril, 2012

¿quién es mas confiable?

http://www.eset-la.com/pdf/prensa/informe/arma_infalible_ingenieria_social.pdf

Algunos datos

• Ataques a páginas web equivalen a un 60% +XSS

• Software cliente sin parchar. Adobe PDF Reader, QuickTime, Adobe Flash and Microsoft Office

• Ataques de dia cero: especialmente software web sin parchar. Ej: CMS

• OS cada vez menos, siendo un mayor % a windows mediante worms.

• Ataques de SQL inject en SQL en dmz• Redes sociales como fuente de riesgo

Fuentes: http://blog.zerial.org/ y http://www.sans.org/top-cyber-security-risks/

• Chileatiende• Gobierno Abierto• Interoperabilidad• Identidad digital• Digitalización• Apoyo a servicios

públicos• Modificaciones legales• Software público• Comunidad• Guías técnicas

Andrés Bustamante ValenzuelaDirector de Gobierno Electrónico@abustamante_tic

Intro

• Anonymous: El conocimiento es libre. Somos Anónimos, Somos Legión. No perdonamos, No olvidamos.¡Esperadnos!

• Contexto seminario– Importancia seguridad en todas sus acepciones– Ir mas alla del PMG– Nuestra obligacion como unidad

• Como llego al tema: gusto, trabajo

Seguridad: percepción vs realidad (1 y 2)

• Seguridad es dos cosas: sensacion y realidad• Seguridad siempre es un trade off, mientras mas tengo, mas sacrifico algo• No preguntarse si es mas seguro, sino que si vale la pena el sacrificio• Tomamos estos riesgos y trade offs todos los dias• Lo conocido es percibido como menos riesgoso que lo desconocido• Sesgos y mitos. Ej seso de confirmacion, agenda setting, disonancia cognitiva• Ej. Creer que los hackers son mas sofisticados de lo que realmente son: ej me

hackearon el face• Hay modelos para enfrentar esto, no es lo mismo ser del bronx q de la ciudad• Esto nos podria hacer ver como menos dañinos a los hackers cumas y la seguridad

de cosas como disponibilidad de info de nuestros servers• Feeling – model – reality. Eso hace q dependa del observador, por ende del

stakeholder• Cuesta cambiar los modelos• Estandares sirven como modelos de referencia

Movimientos sociales y mitos urbanos (3)

• Estado de animo, riots• Anonimous (hacktivismo): mito vs realidad• Idioteces c las q cae la gente, phishing, etc• Situación política actual• Redes sociales, uso responsable• Ver amenazas que parecen sencillas: usb, compuatdor conectado a un

punto de red arbitrario, problema de la consumerization of it

Ingeniería Social (4)

• Técnicas psicologicas, habilidades sociales• Wikileaks como muestra de ing social. Julian cerdo de seguridad, pero

hace esto. Hizo la base de true crypt. Strobe, primer escaner de puertos, que probablemente inspiro a nmap. Negación plausible

• La motivacion es importante pq relativiza la amenaza y el riesgo• Tipico: lo pidio el ministro o el subsecretario para una hora mas porque se

lo tiene q llevar al presidente• Ejemplo de rusa y seguridad nacional en USA• Técnicas

– Pasivas– Pasivas no presenciales– Activas presenciales– Activas agresivas

• Debilidades– Todos queremos ayudar– Se tiende a confiar– Cuesta decir no– Todos quieren ser alabados

La realidad de los servicios públicos (5 y 6)

• Ejemplo de lo descuidado de los servicios publicos. Ejemplo tipico los defacing. Como es que estos se hacen facil si se puede hacer un escaneo simple

• Preguntar si saben: XSS, ARP poisoning, Proxy inverso, IDS/IPS• Consecuencias de esto

– Politicas– Credibilidad: ej ffaa, onemi– Seguridad nacional

• Responsabilidad fnucuonario publico mas que cumplir– Servicio ciudadano – impacto a los ciudadanos– Seguridad– Politica

• Por eso no se puede andar al lote, hay que– Cumplir estandares– Saber mas que el resto y ser proactivo

• Herramientas TIC: Nessus, Nmap, snort, linux FW (BSD), squid, spamasasin, OSSIM; herramientas comerciales

• Consumerization of IT

MyGE (7)

• Importancia de est tipo de evento• Que es lo que estamos haciendo• Porque nos interesa, • Temas legales: ej decreto 83, 81, 77, 100, proyectos de ley• Como nos ofrecemos• Anuncios como nueva CTG y software publico