Professional Documents
Culture Documents
NDICE
INTRODUCCIN
CIBERSEGURIDAD E INFRAESTRUCTURA CRTICA
DEFINICIONES
RIESGOS Y TENDENCIAS
SEGURIDAD DE NUEVAS TENDENCIAS DE TECNOLOGA
CLOUD COMPUTING
BIG DATA
INTERNET DE LAS COSAS
OTRAS TENDENCIAS
VIGILANCIA Y ESPIONAJE DIGITAL
CASOS DE ESPIONAJE
MEDIDAS DE PROTECCIN
BIBLIOGRAFA
[ POLITCNICO GRANCOLOMBIANO]
1. INTRODUCCIN
1. Metodologa
El marco metodolgico a seguir establece el desarrollo de lecturas sobre temas conceptuales y
estructurales, asociado a material multimedia y actividades individuales y grupales como
mecanismo de aplicacin de conceptos y teora.
[ TEORA DE SEGURIDAD ]
4. Mapa conceptual
5. Objetivo General
Abordar temas de actualidad de la seguridad de la informacin y su impacto en las sociedades
modernas
5.1.
-
Competencias
Conocer nuevas tendencias tecnolgicas a las que debe responder la seguridad de la
informacin
Comprender los conceptos bsicos de seguridad en sistemas de control industrial
Identificar conceptos asociados a la infraestructura crtica
Identificar el papel de la seguridad en el cloud computing
Analizar los riesgos asociados a las nuevas tendencias como big data y el internet de las
cosas (IoT)
Establecer mecanismos para gestionar peligros a la privacidad de la informacin
[ POLITCNICO GRANCOLOMBIANO]
6. Desarrollo temtico
6.1 Componente Motivacional
La seguridad de la informacin evoluciona a una velocidad similar a la de la tecnologa, sin
embargo, factores como el uso de esta tecnologa en otros entornos han abierto un sinnmero
de oportunidades y situaciones que ante los ojos del mercado son smbolos de innovacin que
ofrecen amplias opciones y mecanismos para hacer de la tecnologa una herramienta cada vez
ms til, desafortunadamente, no siempre la utilidad va asociada a la seguridad y por el
contrario, son factores que abren brechas y brindan espacios donde pueden ser empleados por
criminales para fugar informacin, afectar confidencialidad y muchas otras situaciones. Un
profesional de seguridad de la informacin debe estar al tanto de estas tendencias y avanzar en
conocimientos y habilidades para asesorar a las organizaciones frente a estos nuevos peligros..
[ TEORA DE SEGURIDAD ]
Figura 2. Definicin de Infraestructuras crticas realizada por el Gobierno Espaol. Tomado de CCNPIC
[ POLITCNICO GRANCOLOMBIANO]
Ilustracin 3 Sectores definidos en Estados Unidos como Infraestructura crtica. Tomado de Departamento de Homeland
Security de Estados Unidos.
[ TEORA DE SEGURIDAD ]
Comunicaciones
Servicios de emergencia
Servicios de energa
Servicios Financieros
Comida
Gobierno
Salud
Transporte
Agua
[ POLITCNICO GRANCOLOMBIANO]
RIESGOS Y TENDENCIAS
Al analizar las infraestructuras crticas, surge la duda con respecto a qu riesgos enfrentan estos
sectores antes descritos y por qu resultan vulnerables. Para ello se debe hacer la claridad que
este tipo de activos presentan altos grados de inseguridad asociados al uso de tecnologas
denominadas ICS, por su sigla en ingls que significan Sistemas de Control Industrial y son
popularmente conocidos como sistemas SCADA.
Un sistema de control industrial consiste en el uso de hardware, software y redes de
comunicaciones para la administracin, monitoreo y control de sistemas responsables de
mecanismos a nivel industrial, ejemplos de esto son:
Plantas qumicas
Sistema elctrico
Extractoras de petrleo
Sistemas de manejo de aguas
Entre otros
Dentro de las variedades de sistemas de control industrial, se pueden hablar de varios tipos:
Ms all de entrar en detalle y conocer qu compone cada uno de estos sistemas, existen
factores comunes que han permitido la aparicin de riesgos asociados a la seguridad de la
informacin y hacen de estos sistemas masivamente utilizados un objetivo de ataque muy
interesante en nuestros das, veamos en detalle estos factores de riesgo:
[ TEORA DE SEGURIDAD ]
Son sistemas diseados para un uso hasta de 20 aos, por lo cual suelen volverse obsoletos
tras un tiempo continuando con el uso de tecnologas legadas y sin soporte de fabricantes.
El ataque a este tipo de activos puede desestabilizar sectores enteros de una ciudad o un
pas, llegando al punto de afectar sus actividades vitales tal como se observaba en las
definiciones de Infraestructura Crtica.[TREND12]
Figura 5. Imagen de interfaz Hombre-Mquina (HMI) de un sistema SCADA de control de planta de cementos
10
[ POLITCNICO GRANCOLOMBIANO]
Los profesionales de seguridad enfrentan retos, los cuales son un factor importante para
comprender. Entre ellos estn estos tipos de sistemas que se encuentran por lo menos 10 aos
atrs de los avances tecnolgicos que se pueden encontrar en nuestros das, esto de la mano
con una usual divisin presentada dentro de las organizaciones donde se puede decir que son
operados por el rea de OT (Operation Technologies) en vez de serlo por parte de IT
(Information Technologies). Esta barrera se presenta dado que la administracin, gestin y uso
de estas plataformas es altamente especializada y lo que es trabajado normalmente por las
reas de IT no tiene cabida en la operacin.
Al tener la oportunidad de conocer cmo funcionan estos sistemas y trabajar con ellos es
posible comprender qu los hace diferentes, prueba de ello es que son entornos donde el
concepto de CID (Confidencialidad Integridad - Disponibilidad) cambia por DIC (Disponibilidad
Integridad Confidencialidad) y es claro que esto se debe a que son sistemas de misin crtica
cuyo diseo est establecido con el fin de brindar alta disponibilidad por encima de cualquier
otro tema.
Este interesante y apasionante tema ha abierto sus puertas al mundo de la seguridad y es
necesario estar preparados para entrar y brindar apoyo con la premisa de comprender que la
seguridad pensada para entornos de TI o las empresas en general, no aplican para OT.
Figura 6. Grfica que ilustra ideas de servicio en Cloud Computing - Tomada de Patriot Software
[ TEORA DE SEGURIDAD ]
11
De acuerdo con la gua de seguridad de reas crticas en Cloud Computing v 3.0, la Cloud
Security Alliance (CSA) define esta como un modelo para proporcionar acceso ubicuo,
conveniente y bajo demanda a un conjunto de recursos de computacin configurable, como
redes, servidores, almacenamiento, aplicaciones y servicios. La anterior definicin fue ajustada
del estndar NIST 800-145 (NationalInstitute of Standards and Technology).
El NIST define Cloud Computing bajo cinco caractersticas, tres modelos de servicio, y cuatro
modelos de despliegue que se describen a continuacin:
Caractersticas
12
Multi-tenancy (Puesta en comn de recursos): uso de los mismos recursos o aplicaciones por
parte de mltiples consumidores que pueden pertenecer a la misma organizacin o a
organizaciones diferentes. [CSA]
Amplio acceso a la red: Las capacidades estn disponibles en la red y se accede a ellas a
travs de mecanismos estndar que fomentan el uso por parte de plataformas de clientes
heterogneas tanto ligeras como pesadas (Ej.: telfonos mviles, porttiles, entre otros.)
[CSA]
Servicio supervisado: Los sistemas de nube controlan y optimizan el uso de los recursos de
manera automtica utilizando una capacidad de evaluacin en algn nivel de abstraccin
adecuado para el tipo de servicio como procesamiento, ancho de banda, que pueden
seguirse, controlarse y notificarse, aportando transparencia para el proveedor y el
consumidor. [CSA]
[ POLITCNICO GRANCOLOMBIANO]
Modelos de servicio
Cloud Computing maneja tres modelos de servicio que tienen relaciones e interdependencias:
Figura 7. Definicin por capas de componentes de cloud computing - Tomado de Cloud Security Alliance
Plataforma como servicio (PaaS): entrega de una plataforma de computacin y una pila de
soluciones como un servicio. Este modelo facilita el despliegue de aplicaciones sin el costo y
la complejidad de comprar y gestionar el hardware y el software subyacentes, as como las
capacidades de aprovisionamiento del alojamiento. [CSA]
[ TEORA DE SEGURIDAD ]
13
Al entender las relaciones y dependencias entre los modelos, es importante comprender los
riesgos asociados a la seguridad.
IaaS es la base de todos los servicios, PaaS tiene su base en IaaS y SaaS tiene su base en PaaS; se
trata de una cadena en profundidad. Se heredan capacidades y aspectos relativos a riesgos en
seguridad de la informacin.
Modelos de despliegue
Se cuenta con cuatro formas en las que se despliegan los servicios en la nube:
Una vez comprendidos los componentes del Cloud Computing, se debe analizar cuales riesgos
implican estos tipos de tecnologas, entre los principales se pueden citar:
14
[ POLITCNICO GRANCOLOMBIANO]
[ TEORA DE SEGURIDAD ]
15
exacerbado en los casos de transferencias mltiples de datos, por ejemplo, entre nubes
federadas. Por otra parte, algunos proveedores en nube s proporcionan informacin sobre sus
prcticas de gestin de datos. Otros tambin ofrecen resmenes de certificacin sobre sus
actividades de procesamiento y seguridad de datos y los controles de datos a que se someten,
por ejemplo, la certificacin SAS 70.
SUPRESIN DE DATOS INSEGURA O INCOMPLETA: cuando se realiza una solicitud para suprimir
un recurso en nube, al igual que sucede con la mayora de sistemas operativos, en ocasiones el
proceso no elimina definitivamente los datos. En ocasiones, la supresin adecuada o puntual de
los datos tambin resulta imposible (o no deseable, desde la perspectiva del cliente), bien
porque existen copias adicionales de datos almacenadas pero no disponibles o porque el disco
que va a ser destruido tambin incluye datos de otros clientes. La multiprestacin y la
reutilizacin de recursos de hardware representan un riesgo mayor para el cliente que la opcin
del hardware dedicado.
MIEMBRO MALICIOSO: aunque no suelen producirse habitualmente, los daos causados por
miembros maliciosos son, con frecuencia, mucho ms perjudiciales. Las arquitecturas en nube
necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos son los
administradores de sistemas de proveedores en nube y los proveedores de servicios de
seguridad gestionada. [ENISA]
El reto en cuanto a seguridad de la informacin es brindar adecuado tratamiento a los riesgos
identificados, salvaguardando la informacin de las organizaciones.
BIG DATA
16
[ POLITCNICO GRANCOLOMBIANO]
De acuerdo con la definicin propuesta por IBM, Big Data es una tendencia en el avance de la
tecnologa que ha abierto las puertas hacia un nuevo enfoque de entendimiento y toma de
decisiones, la cual es utilizada para describir enormes cantidades de datos (estructurados, no
estructurados y semi estructurados) que tomara demasiado tiempo y sera muy costoso
cargarlos a una base de datos relacional para su anlisis. De tal manera que, el concepto de Big
Data aplica para toda aquella informacin que no puede ser procesada o analizada utilizando
procesos o herramientas tradicionales. Sin embargo, Big Data no se refiere a alguna cantidad en
especfico, ya que es usualmente utilizado cuando se habla en trminos de petabytes y exabytes
de datos.
En otras palabras hablamos de minera de datos sobre grandes volmenes de informacin, lo
que a simple vista no supone un cambio a prcticas actuales, sin embargo, al analizar en detalle
si se pueden identificar riesgos asociados a la preservacin de la privacidad ya que una de las
tendencias es poder identificar perfiles de comprador, de cliente, etc. en otros trminos, contar
con grandes volmenes de datos acerca de las personas para poder as conocer ms sus gustos
o aficiones para ofrecer productos.
Por otra parte, ante estas grandes cantidades de datos, surgen preguntas respecto a cmo
proteger la informacin personal y cmo seguridad de la informacin est apoyando este tipo
de tecnologas.
[ TEORA DE SEGURIDAD ]
17
Internet of The Things no es una nueva tecnologa, por el contrario como lo presenta CISCO,
consiste en una red de objetos fsicos que acceden a travs de Internet. Estos objetos cuentan
con tecnologas embebidas que les permiten interactuar con estados internos o externos. Es
decir, cuando los objetos pueden comunicarse cambia el cmo toman decisiones y para quin
lo hacen.
As, como el concepto presentado establece que es posible bajo el uso de estas tecnologas de
conexin realizar nuevas actividades con dispositivos, incluso permitiendo su control y
administracin remota, presenta un amplio riesgo a la seguridad de la informacin dado que se
suman nuevos equipos sobre los cuales es necesario identificar las comunicaciones que
establecen, cmo hacen uso de la red y cmo son accedidos evitando tambin su uso para
temas de espionaje o control gubernamental como se observar ms adelante. Entonces, la
Internet de las cosas supone un nuevo reto para la seguridad de la informacin en nuestros das.
OTRAS TENDENCIAS
Por mencionar otras tendencias que vale la pena revisar a profundidad se tienen:
Bring Your Own Device o el reto de los dispositivos mviles en las organizaciones
Teletrabajo
Impresoras 3D
Mquinas inteligentes
18
[ POLITCNICO GRANCOLOMBIANO]
En las ltimas informaciones publicadas se hablaba de espionaje por parte de pases empleando
canales de comunicaciones de uso pblico de sus ciudadanos e incluso la manipulacin de
hardware y software, incluyendo algoritmos de cifrado, por parte de agencias de inteligencia en
varios pases.
Como profesionales de seguridad de la informacin estos temas brindan luces con respecto a
riesgos existentes dentro de las organizaciones tales como espionaje industrial, sabotaje, entre
otros. El fortalecimiento de controles respecto al acceso a la informacin tanto de personal
interno y por supuesto externo, as como la definicin de mecanismos a travs de los cuales se
realizar dentro de lo legal, el monitoreo de actividades del personal, esto debe estar acorde a
lo definido como uso aceptable de activos de informacin y polticas de la organizacin.
Entra a ser una tarea parte de las actividades diarias de los responsables de seguridad el
identificar trficos inusuales desde y hacia equipos en la organizacin, as como comunicaciones
por canales encubiertos (actualmente las botnets funcionan a travs de puertos como 25
empleados por el protocolo de envo de correos SMTP, puertos de IRC e incluso ya se observan
grados de sofisticacin tales como uso de HTTPS empleando certificados digitales o uso de
algoritmos desconocidos para esta tarea.
Asimismo, es necesario fortalecer el proceso de educacin a las personas con el fin de que
eviten ser vctimas de ataques de ingeniera social que se han ido popularizando a travs de los
ltimos aos con la masificacin de herramientas para este propsito, as como el
aprovechamiento de las debilidades en seguridad de dispositivos mviles.Es decir, ser
altamente proactivos para identificar posibles amenazas o aprovechamiento de vulnerabilidades
en la infraestructura de las organizaciones ya que estn siendo utilizados como mecanismos de
espionaje, ex filtracin de informacin hasta el punto de chantaje. Es tambin muy importante
la implementacin de mecanismos de cifrado para datos e informacin protegindola de acceso
no autorizado.
El mejor consejo es siempre estar alertas.
7. Bibliografa
[CCNPIC]CNPIC - Qu es una Infraestructura Crtica? Centro Nacional para la Proteccin de las
Infraestructuras
Crticas
2010
Disponible
en:
http://www.cnpices.es/Preguntas_Frecuentes/Que_es_una_Infraestructura_Critica/index.html
[OEA1 ]Misin de asistencia tcnica en seguridad ciberntica, conclusiones y recomendaciones
Organizacin
de
Estados
Americanos.
2014.
Disponible
en:
http://www.oas.org/documents/spa/press/Recomendaciones_COLOMBIA_SPA.pdf
[ TEORA DE SEGURIDAD ]
19
20
[ POLITCNICO GRANCOLOMBIANO]