Este es el Blog sobre temas de Ciberdefensa propuesto por "www.darFe.es" para debates sobre aspectos de interés en este tema dentro del ámbito de España y Latinoamérica.

Todo tipo de artículo o comentario que se desee publicar puede enviarse a:  Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., una vez recibido se evaluará y si responde a las normas del foro será publicado en la categoría correspondiente.

La intención es integrar en este sitio la información de interés de los participantes, por lo que os pedimos que todo dato que creáis oportuno de tu propio país (URLs de interés, noticias, legislación, organizaciones, etc.) nos lo informéis para poder incorporarlo.

 

TERCERA SESIÓN - Jueves 17 de octubre - 14 hs (Brasilia) / 19 hs (Madrid)


Nivel ESTRATÉGICO / DIRECTIVO


Introducción:

Dr Alejandro César Corletti Estrada (Mayor (R) Ejército Argentino).

Ámbito Militar:

Brigadier Mayor (R) Alejandro Aníbal Moresi (Director del Observatorio Argentino del Ciberespacio).

General de División (R) Evergisto Arturo de Vergara (Investigador y Profesor de la Maestría en Estrategia de la ESGC).

(descargar presentación)

Ámbito Privado:

Lic. Julio Ardita (Socio CybSec by Deloitte)    (descargar presentación)

 

El Video de este Webinar ya está disponible en nuestro canal Youtube (pinchando AQUÍ)

 


 

Presentación del Webinar:

El CSO(Chief Security Officer) es el responsable de la seguridad de la organización.

La palabra responsabilidad proviene del latín “responsum”, que es una forma de ser considerado sujeto de una deuda u obligación. La responsabilidad  es la obligación de cumplir lo ordenado, es la consecuencia natural de la autoridad que la organización le asignó a una persona. 

Si el sujeto soy yo, y tengo la obligación de cumplir… esto NO puedo delegarlo, por esta cuestión es que la clave de este nivel considero que justamente es la palabra “Responsabilidad” con todo el peso que ello implica.

La Ciberdefensa implica “sí o sí” un riesgo y quien mejor debe conocerlo y gestionarlo es el CSO, es exactamente igual al riesgo que asume el comandante de un teatro de operaciones y sabe perfectamente que si falla, el responsable será él.

Hace unos años el MIT(Massachusetts Institute of Technology), realizó un estudio sobre el rol del CSO, en el mismo, los investigadores identificaron una demarcación significativa en cuanto al rol del CSO: enfocado en la estrategia o en la ejecución de la estrategia.

La publicación especial del NIST (National Institute of Standards and Technology) SP 800-53 "Security and Privacy Controls for Federal Information Systems and Organizations", Revisión 4, proporciona un enfoque más holístico para la seguridad de la información y la gestión de riesgos.

 "Para el desarrollo de planes operativos, se debe evaluar la combinación de amenazas, vulnerabilidades e impactos para identificar tendencias importantes y decidir dónde se debe aplicar el esfuerzo para eliminar o reducir las capacidades de amenaza; eliminar o reducir vulnerabilidades; y evaluar, coordinar y desconfiar todas las operaciones del ciberespacio "

La gestión del riesgo es un proceso fundamental y primario de Ciberdefensa.  Como se presentó en el Webinar anterior, se trata de un ciclo de vida.

Una vez identificado, valorado, cuantificado y calculado su impacto, cada riesgo debe ser priorizado y luego decidir si será: mitigado total, parcialmente, o asumido. Esta decisión está en manos de CSO (que es quien asign los recursos).

Actuará aquí:

 

 

 

 

Retomando el tema desde la norma UNE-ISO/IEC 27001 (feb 2017), a continuación presento una descripción de los puntos clave:

 4.4 Sistema de gestión de la seguridad de la información

La organización debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información, de acuerdo con los requisitos de esta norma internacional.

 5 Liderazgo  -  5.1 Liderazgo y compromiso

La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información:

a) asegurando que se establecen la política y los objetivos de seguridad de la información y que estos sean compatibles con la dirección estratégica de la organización;

 5.2 Política

La alta dirección debe establecer una política de seguridad de la información.

 5.3 Roles, responsabilidades y autoridades en la organización

La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a la seguridad de la información se asignen y comuniquen dentro de la organización.

6.1.2 Apreciación de riesgos de seguridad de la información

La organización debe definir y aplicar un proceso de apreciación de riesgos de seguridad de la información

6.1.3 Tratamiento de los riesgos de seguridad de la información

La organización debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad de la información

 9 Evaluación del desempeño

9.2 Auditoría interna

9.3 Revisión por la dirección

10 Mejora

 Luego en su Anexo A define:

A.5 Políticas de seguridad de la información

A.6 Organización de la seguridad de la información

 A.6.1.1 Roles y responsabilidades en seguridad de la información

Todas las responsabilidades en seguridad de la información deben ser definidas y asignadas.

 

En resumen, esta norma establece con mucha claridad la dinámica, responsabilidades y riesgos que debe asumir el CSO.

 

Brigadier Mayor (R) Alejandro Aníbal Moresi (Director del Observatorio Argentino del Ciberespacio):

La estrategia en el dominio ciberespacial.

Los temas a tratar serán: los ambientes estratégicos, la influencia de las tecnologías, los niveles del conflicto cibernético y conclusiones.

Los ambientes estratégicos comenzaron con la historia de la humanidad, con el agua y la tierra (primordialmente) en una primera instancia, y a lo largo del tiempo se fueron adicionando el espacio, luego el aeroespacio y finalmente el ciberespacio.

Si pudiésemos establecer un factor común principal entre todos ellos sería la tecnología, aunque se pueden distinguir tantos otros, como la intangibilidad de los espacios, las grandes distancias, la impunidad relativa, los límites basados en tecnologías, la campaña basada en efectos, los recursos humanos adaptados al medio, y se distingue una absoluta porosidad entre la rama civil y la militar, en donde el conflicto y no conflicto conviven.

La influencia de la tecnología ha marcado las diferentes generaciones históricas. A inicios de la década del 80 los componentes que podían identificarse en un escritorio eran muy elementales, A fines de los 80 ya puede percitabirse la incorporación del celular como tecnología de innovación, y a fines de los 90, sólo 10 años después, ya los teléfonos celulares comienzan a evolucionar hasta llegar a constituirse en verdaderas herramientas de trabajo, que trascienden la finalidad para la cual fueron creados (comunicar) transformándose en ordenadores, agenda, máquina de fotos, unidad de negocios, etc.  

Esto viene acompañada de otras tecnologías que son importantes: computación cuántica, big data, etc. La expresión que surge de esta realidad es la de “Singularidad”, que no es más que el advenimiento de inteligencia artificial general, implicando que un equipo de cómputos, robot, etc, podrían ser capaces de auomejorarse recursivamente, o en el diseño y construcción de computadores o robots mejores que él mismo, es decir, cuando las máquinas alcances la misma capacidad que la persona humana.

Realidad vs Virtualidad: proporcionalidad con la relación tiempo-espacio.

Antiguamente, lo real era lo preponderante, y a medida que el tiempo va evolucionando esa relación se transforma en inversamente proporcional. Así, a partir de los años 90, el mundo virtual va ganando cada vez más espacio e influencia frente a la realidad.

Así, existe entre el mundo real y virtual una cuestión que el mundo actual no puede congeniar: qué es cierto y que no lo es.

El problema de todo esto es que: simpre que hablamos de los niveles del conflicto, hablamos de seguiredad de la información, ciberdefensa e información. La ciberdefensa  es el enfoque al cual se ha volcado occidente, siendo que occidente es sólo la cuarta parte del mundo. Las otras tres partes la involucran con problemas de información.

Los recursos humanos en el ciberespacio: los niveles táctico, operacional y estratégico tiene una relación, como ya fue abordado. El estratégico dirige, el operacional genera las mejores condiciones y el táctico ejecuta. La pregunta sería: los recursos humanos que operan en esta nueva dimensión, ¿cómo los tenemos que generar?. ¿Primero el guerrero y luego el operador, o es más improtante tener las habilidades del operador y fidelizarlo?.

Hoy en día la interdisciplinaridad es la que dicta el escenario. Existen un sin número de otras áreas del conocimiento, como la neurociencia, la psicología social, la sociología, entre otras tanta, que forman parte de la problemática del ciberespacio.

La problemática de seguirdad y defensa:

Particularmente en la República Argentina es nítidamente diferenciada la seguridad de la defensa, existiendo hasta leyes que las limitan y restringen. Pero en la actualidad puede afirmarse que la seguirdad involucra completamente a la defensa. Los problemas de la seguirdad identifican los riesgos y previenen. Si esos riegos se transforman en amenzas serán necesaria la generación de sistemas de defensas.

Esos problemas de defensa se aplican al campo de batalla, puediéndose identificar nuestro cerebro como teatro de operaciones. Es aquí donde se está compitiendo en la realidad ciberespacial.

Lado duro y lado blando del cerebrlo:

El mundo está trabajando coordinando el lado duro y blando del cerebro para entender esta problemática.

El lado malo (HARD)

El lado bueno (SOFT)

Estrategias ciberespaciales duras Ataques a infraestructuras críticas

Busca capturarla mente de la sociedad

• Fraude electoral.

• Comunicaciones y TICs

• Cadena de suministro y transporte.

• Banca y mercado de Capitales.

• Seguridad nuclear

• Provocar derrames intencionados de petróleo.

• Toma del control de un proceso de fabricación.

• Ciudades y urbanización.

• Aviación

• Corte de energía, etc.

•     Convulsionar redes sociales

•     Identidad digital

•     Gobernanza y Corrupción,

•     Generar fake news

•     Viajes y Turismo

•     Ranomsware

•     Desconfianza en las IoT

•     Ataques de colapso en la redes

•     Desinformación e incertidumbre

 

Usados manera coordinada, efectiva y direccionada estratégicamente, junto a otros elementos del poder constituyen un factor coadyuvante de importancia en minar la voluntad de la sociedad.

Crear el mito de que el poder ciber lo logra por sí, es un error como lo fue en la II WM, creer que el poder aéreo era la forma de doblegar el pueblo inglés primero y el alemán después y sólo trajo terrible destrucción y pocos éxitos

https://intelligence.weforum.org/topics/a1Gb00000015LbsEAE?tab=publications

Conclusiones:

  • Primera Gran Estrategia: crear una cultura del ciberespacio. No se puede vivir en un ambiente desconocido. Antiguamente, cuando las dimensiones eran tangibles, podían identificarse los riesgos con la afección de la vida misma. En la actualidad, en el ciberespacio no es posible identiifcar ni entender cuál es su verdadero alcance.
  • Singularidad: para cambiar el sistema de aprendizaje debemos desarrollar las capacidade cerebrales. Luego de la singularidad nos gobernará la inteligencia artificial. Debemos educar y entender sistemas de aprendizaje para estar por encima de las máquinas.
  • El campo de batalla del siglo XXI es la mente de las personas: no existe seguridad interior ni exterior, ni distinción entre militares y civiles. La primera línea de combate es el hombre común. La respuesta estratégica es el enjambre social. El cibersoldado es un concepto multidisciplinario de técnicos a profesionales de diferentes áreas y estrategias. El siglo XXI mutará el paradigma de infanteria reina de las batallas. Los reyes de la guerra serán los cibersoldados dominados por las mentes de la sociedad.

 

General de División (R) Evergisto Augusto de Vergara (Escuela Superior de Guerra Conjunta – Argentina):

La guerra es confusión, riesgo, caos, etc.

Desde 1870 se descubrieron los niveles de la guerra. El estratégico dirige, el operacional adecua las mejores condiciones y táctico ejecuta.

Pero la realidad es que la tecnología avanza mucho más rápido.

Las operaciones cibernéticas son un bolso de mano en la cual se mezcla la guerra y la información.

Los militares dividian las operaciones en convenicionales y no convencionales, donde las operaciones cibernéticas eran un mero complemento de ello. Esto evidentemnete ha quedado en el pesado.

La realidad que nos estamos enfrentando a una nueva naturaleza de la guerra. Un nuevo propósito que conside en dominar y conducir las mentes.

En el mundo actual hay dos tendencias respecto a la caratulación de la guerra:

Una es la de occidente, con la llamada guerra híbrida, que significa a grandes rasgos la mezcla entre lo convencional y lo no convencioanl, entre operaciones de guerra pero que no son militares, etc. Estas son definiciones difíciles para un militar que piensa que para haya una guerra tiene que haber otra fuerza enfrente, cuando en la realidad no es así.

Otra tendencia es la de oriente, que define que las operaciones híbridas son llamadas en realidad “no lineales”. Esto quiere decir que todos los compenetes del Estado pelean para alcanzar el objetivo.

La pregunta sería: ¿será que en un futuro no muy lejano los dominios convenicionales de la guerra serán los hoy conocidos o será que va a existir un dominio real donde surge la información, uno virtual donde se procesa la información, y un dominio de opoinión donde se toman las decisiones?.

Conclusiones:

  • Cualquiera sea la definición o la característica de lo que ha dado en llamarse guerra híbridaguerra de nueva generación, o guerra irrestricta, lo importante es que la amenaza híbrida es la más importante de nuestros días. “Lo híbrido puede ser utilizado por cualquier actor tanto para ampliar su capacidad en el campo de batalla posmoderno como - utilizando una definición extensiva - para proyectar su influencia en el mundo físico, psicológico, perceptivo o virtual
  • Ello nos lleva a decir que la forma de actuar en los conflictos actuales es multifacética y difícilmente encasillable en los parámetros tradicionales. No se sabe muy bien cuándo están atacando o si se están defendiendo, suelen ser transfronterizas, multi jurisdiccionales, actúan de forma pública y privada, pueden actuar de forma civil y militar, de forma legal e ilegal. Esto hace difícil o incluso imposible para los países hacerles frente con las fuerzas militares o con las fuerzas armadas por un lado y las de seguridad y policiales por otro. Su resolución es interagencial.
  • Lo híbrido es una de las expresiones concebidas para exponer la complejidad inherente de los conflictos actuales, y lograr que tanto el poder político como la opinión pública comprenda la multidimensionalidad de la amenaza. 
  • La idea de combinar la fuerza militar con otros recursos para quebrar la voluntad de luchar de un oponente es tan antigua como la guerra misma. La tecnología actual es la que facilita librarla por múltiples medios, dentro y fuera del campo de batalla.

 

Lic. Julio Ardita (Socio CybSec by Deloitte):

Estrategia de ciberseguridad como se ve desde el punto de vista privado.

¿Qué es lo que se está viendo en las organizaciones privadas y qué deberían hacer estas organizaciones para definir una estrategia de ciberseguridad? Esta es la pregunta que tratará de ser respondida en esta exposición.

Evolución del área de seguirdad:

¿Que hacer hoy en día en relación a temas de ciberseguridad?

Seguirdad informática es tecnología aplicada a la seguridad (AV, FW, Seg SO, Seg BD, Parches, ABM Users, etc.). 

El siguiente paso sería la seguridad de la información (IDM, Clasificación de Información, Políticas, Concientización, Governance, Estrategia, etc.).

Luego vendría lo que es denominado IT and Security Compliance (SOX, PCI, Habeas Data, ISO 27k, IT Audit, etc.).

El nivel siguiente sería IT Risks, que es muy utilizado y requerido (Gestión de Riesgos de TI, Business Risk, Métricas, BCP, etc.).

Pero la realidad es que en la actualidad cuando se habla de ciberseguridad se está hablando de todos los niveles y pasos descriptos precedentemente y más.

Antes de entrar en cómo una organización debe establecer una estrategia de ciberseguirdad, se presenta a continuación un modelo de capacidades de ciberseguirdad.

Lo que se pretende con este modelo es definir el horizonte de a dónde se desea llegar, para alcanzar un nivel aceptable de ciberseguridad en la organización.

Para ello debemos medir donde estamos.

Este modelo que se presente, que incluye 6 niveles, permite diagnosticar el nivel de ciberseguridad de la organización.

Modelo de capacidades de ciberseguirdad: lo que nos permite este modelo de capacidades es saber dónde estamos y hacia dónde queremos llegar de cada uno de los niveles.

Proceso de transformación del área de seguirdad:

  1. Realizar un Assessment para determinar como estamos..
  2. Identificar la cultura de la organización. El tema de la cultura es importante porque, como dice Peter Drucker, “la cultura se come la estrategia en el desayuno”.
  3. Entrevistarnos con los refernetes de la organización: CEO, Directores, área de negocios, etc, para ver cómo ven la seguirdad, cómo pueden contribuir con su mejoría, cómo Seguridad puede ayudarlos a crecer, no desde el punto de vista técnico de la seguridad sino desde un concepto de área de negocios.
  4. Determinar cuales son los "crown jewels" (las joyas) de la organización. Lo importante es determinar los aplicativos que són críticos para la organización y protegerlos.
  5. ¿Cómo está el área de seugirad hoy en día?. - Nivel de dependencia. ¿Por qué?; - Tareas que se realizan en el área. ¿Por qué?; - Cantidad y calidad de recursos. ¿Por qué?;  - Conocer la historia dentro de la Organización y la evolución del área.
  6. Detemrinar el nivel de madurez en base al modelo y capacidades de ciberseguirdad.
  7. Deteminrar los niveles a alcanzar, identificando los gaps y definiendo iniciativas de corto, medio y largo plazo (1 a 3 años).
  8. Una vez que tengo este plan para llevar adelante esta estrategia busco los sponsors internos: IT, Auditoria, Riesgo, Finanzas, etc.
  9. Desarrollo de una estrategia de ciberseguirdad.
  10. Comenzar con la iniciativa de transofrar el área de seguridad: - Redefiniendo las actividades a realizar; - Proponiendo la estructura necesaria; - Re-organizando el área para ser más eficiente; - Negociar con IT tareas operativas u outsourcing.

 

Gran parte de este proceso de transformación lo tiene el CSO porque es quien tiene que llevar adelante todo este proceso.

¿Qué habilidades o competencias deberíamos tener?: hay 5 grandes puntos que un CSO debería manejar.

  • Comunicar los riesgos de ciberseguridad y estrategia directamente a los ejecutivos líderes.
  • Acercar la ciberseguridad dentro del Plan de Riesgos de la Organización.
  • Entender las preocupaciones de las áreas de negocio y sus requerimientos en su IDIOMA.
  • Realizar presentaciones y devoluciones sobre la Estrategia de Ciberseguridad al menos cuatro veces al año a los Directores.
  • Generar visibilidad al tema de Ciberseguridad.

Hoy a un CSO de una empresa privada se le pide que defina una buena estrategia, un buen diagnóstico y que sepa cómo funciona claramente la organización.

 

Cierre de Alejandro Corletti:

Conceptos importantes:

  • Línea de pensamiento del Brigadier Mayor Moresi, sobre la base de que el nuevo campo de batalla es la mente.
  • Lo expuesto por el GD de Vergara, sobre los tres dominios como foco de reflexión: virtual, real y de opinión.
  • Finalmente, lo expuesto por Julio Ardita referido al proceso de transformación. El responsable máximo de la seguridad de esa información es el CSO.

 

Preguntas:

  • Pregunta Nro 1: ¿Cuál sería el primer paso para llegar a ser CSO?.

El primero paso para ser un CSO sería tener un elevado conocimiento técnico,  conocimiento de tecnologías para saber cómo funcionan. El segundo paso sería salir de lo técnico y trabajar una serie de habilidades blandas: de comunicaciones, de marketing, de gestión, de conocimiento de la organización,  del área financiera, de negocios, conocer el mercado de aplicación, etc. Más allá de lo técnico ir más allá para entender el negocio. Solidez técnica y conocimiento del negocio en el cual están embebidos y lograr relacionarse con un grupo de pertenencia.

  • Pregunta Nro 2: ¿Cuál es el marco jurídico tanto penal como de cooperación internacional que posee la República Argentina?.

La argentina ha publicado en 2018 su estrategia nacional de seguridad y existen algunas leyes relacionadas con la firma digital y con la propiedad de correos electrónicos, pero no hay desde el punto de vista de la defensa una política muy marcada. Son cuestiones no resueltas desde el campo legal.

  • Pregunta Nro 3: Se ha planteado del término de cultura del ciberespacio. ¿Qué valores y principios consideran que debería ser aplicado en el ámbito de la ciberseguridad?

El objetivo final de cualquier ciberdefensa es la persona, el ciudadano. Lo que interesa es que se proteja al ciudadano. Que no se pierdan los datos, la infraestructura que sustenta al ciudadano, etc. Así, como antiguamente el ciudadano se protegía con el policía en la puerta, o con los tanques en una guerra, ahora se lo protege preservando muchas de las informaciones que el ciudadano ha procesado en su vida.

Es decir, proteger la información para que un ciudadano tenga bienestar.

La ética no cambia. Es siempre la misma. Lo que es interesante destacar es la hoy llamada ciber confianza. Todos queremos convivir en un espacio confiando el uno del otro, aunque sepamos que puede ser una utopía.

  • Pregunta Nro 4: ¿Cómo adaptar el modelo de la familia ISO 2700 a un ámbito como el del servicio penitenciario o cualquier otro servicio estatal que las estructuras no están modernizadas por falta de conocimiento en la estructura piramidal de autoridades?.

El nivel de madurez de los organismos públicos es muy bajo, no sólo en ciberseguridad sino en tecnología. La inversión que un organismo tiene que tener en tecnología es muy compleja si los directores y los líderes que están ascendiendo en la estructura jerárquica no los valoran o manejan. Una vez que se dispone de la tecnología viene el turno de la seguridad. El marco de la ISO 27000, por ejemplo, cuesta mucho llevarla adelanta en un organismo público. Para ello es preciso educar, permear, orientar.

Hay que aplicar un lenguaje que sea entendible por todas las instancias de la organización. Si se exponen técnicamente algunos conceptos esenciales que son medulares en el proceso, y quien tiene la responsabilidad de decidir no los entiende, seguramente no tendrán el respaldo suficiente. Es por ello que muchas veces hay que cambiar el foco del problema, no es que el superior jerárquico no entienda simplemente, sino que el técnico no sabe comunicar claramente el problema o la propuesta.

Es necesaria mucha tarea de concientización para generar madurez y luego ir trabajando poco a poco.

Tomando como ejemplo a Europa, una de las grandes diferencias con América del Sur es que allí es inadmisible que un ente público o privado está ajeno a la tecnología. Ya no se admite en la función pública, federal, policial, etc, que se dude sobre la importancia de la tecnología y la seguridad de la información.

En Argentina, por ejemplo, la ONTI en el año 2008 publicó una resolución en la cual se orientaba a las organizaciones públicas del Estado desde el punto de vista de ciberseguridad. Esto fue hace 11 años y la realidad es que no se cumplió con el control de aplicación de la medida.