View
275
Download
6
Category
Preview:
DESCRIPTION
La presente publicación ofrece una opción de consulta para iniciativas relacionadas con Ciberseguridad El lector será capaz de: -Identificar los principales sectores donde la ciberseguridad es necesaria -Ubicar los principios internacionalmente aceptados para con la ciberseguridad -Proporcionar guía para gobernar la arquitectura de ciberseguridad en 1-El individuo 2-Las Instituciones -Apreciar en una demostración práctica un escenario de Ciberseguridad, Explotación de Vulnerabilidades en el Ciberespacio (solo en modo de exposición presencial) Para reflexionar: -Paz y Defensa -Tipos de Paz, Tipos de Seguridad -Ciberdefensa Personal -Ciberdefensa Institucional -El abuso de uso de la palabra Cyber (Ciber) -El Quinto Dominio (El Ciberespacio) -Estrategias y Programas de Ciberseguridad y Ciberdefensa -Consideraciones finales
Citation preview
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 1
Taller de Ciberseguridad5 Julio 2014
Universidad Iberoamericana
Ciberseguridad
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Edgar Chillón
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 2
Ponentes
CIBERSEGURIDAD, CONTEXTO DE LA PRÁCTICA Gonzalo Espinosa
(mx.linkedin.com/in/gonzaloespinosasp/)Comisión de Gobernabilidad
Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.
CIBERSEGURIDAD, PRÁCTICA DEL CONTEXTOEdgar Chillón
(mx.linkedin.com/pub/edgar-chillón-escárcega/b/b96/998/en)Integrante de la Comisión de Respuesta a Incidentes CSIRT Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Agenda
• 9:00 a 10:45 Ciberseguridad, Contexto de la Práctica - Gonzalo Espinosa
• 10:45 a 11:00 Descanso
• 11:00 a 13:00 Ciberseguridad, Práctica del Contexto – Edgar Chillón
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 3
Objetivos
• Ofrecer una opción de consulta para iniciativas relacionadas con Ciberseguridad
• Al término de la sesión, el asistente será capaz de
– Identificar los principales sectores donde la ciberseguridad es necesaria
– Ubicar los principios internacionalmente aceptados para con la ciberseguridad
– Proporcionar guía para gobernar la arquitectura de ciberseguridad en
• El individuo
• Las Instituciones
– Apreciar en una demostración práctica un escenario de Ciberseguridad
• Explotación de Vulnerabilidades en el Ciberespacio
CONTEXTO DE LA PRÁCTICAGONZALO ESPINOSA
Ciberseguridad
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 4
Tópicos
• Para reflexionar: Paz y Defensa
• Tipos de Paz, Tipos de Seguridad
• Ciberdefensa Personal
• Ciberdefensa Institucional
• El abuso de uso de la palabra Cyber (Ciber)
• El Quinto Dominio (El Ciberespacio)
• Estrategias y Programas de Ciberseguridad y Ciberdefensa
• Consideraciones finales
Cibernética
• Arte de gobernar una nave
• Estudio de las analogías entre los sistemas de control y comunicación
– De los seres vivos y los de las máquinas;
• En particular, el estudio de las aplicaciones
– De los mecanismos de regulación biológica a la tecnología.
• 1. adj. Perteneciente o relativo a la cibernética.
• 2. adj. Dicho de una persona: Que cultiva la cibernética.
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 5
Cibernética-EjemploAnalogías entre los sistemas de control y comunicación
de los seres vivos y los de las máquinas
Entrada Proceso Salida
Ser Vivo
Máquina
Ciberespacio
• Dimensión donde interactúanlos sistemas de control y de comunicación – De los seres vivos y los de las
máquinas
• Incluye las aplicaciones de los mecanismos – De regulación biológica a la
tecnología.
• Diferenciador– La alta velocidad de
interacción• E.g. Router de
Comunicaciones
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 6
Ciberseguridad
• Seguridad para el Ciberespacio
• Seguridad para garantizar la continuidad de las operaciones – De los sistemas de control y
comunicación
– De los seres vivos y los de las máquinas
• Incluye la seguridad antes, durante y después – De las aplicaciones de los
mecanismos de regulación biológica a la tecnología.
• E.g. Automóvil con sensores
Ciberseguridad
• Seguridad para el Ciberespacio
• Seguridad para garantizar la continuidad de las operaciones – De los sistemas de control y
comunicación
– De los seres vivos y los de las máquinas
• Incluye la seguridad antes, durante y después – De las aplicaciones de los
mecanismos de regulación biológica a la tecnología.
• E.g. Automóvil con sensores
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 7
Ciberseguridad – Premisas
• La Seguridad es un estatus trabajado y obtenido por el individuo, las organizaciones y las naciones.– ¿Merece ser Defendida?
• La Ciberseguridad es un estatus trabajado y obtenido por el individuo, las organizaciones y las naciones.– ¿Merece ser Defendida?
Para reflexionar: ¿“Si quieres estar en Paz (CiberSeguridad), prepárate
para la defensa (Hackeo/Ciberdefensa)”?
• Ciberseguridad– Para el individuo / Personal
– Para Instituciones Gubernamentales
– Para la Prensa
– Para la Iniciativa Privada
– Para las Organizaciones No Gubernamentales (ONGs) y Público en General
– Para la Academia
STAKEHOLDERS EXTERNOS
(*) En texto resaltado, son los temas a revisar
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 8
Para reflexionar: “Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”
• ¿Quién de los asistentes … ha tomado clases de defensa física personal?
– ¿Cuándo aplicó lo aprendido? ¿Cómo le fue?
– ¿Perfeccionaría con la práctica diaria lo aprendido?
– Ya perfeccionada la práctica,
• ¿Daría clases en una Escuela de Defensa Física Personal?
– ¿Cómo garantiza el ejercicio ético de los conocimientos adquiridos?
Para reflexionar: “Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”
• ¿Quién de los asistentes … En caso de que no haya tomado clases de defensa física personal
– ¿Tomaría hoy clases de defensa física personal?
– ¿De que dependería la decisión?
• Tiempo?
• Dinero?
• Emociones?
• Energía?
• Otr@?
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 9
Para reflexionar: “Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”
• ¿Quién de los asistentes … Como padre/madre de familia
– ¿Mandarías a clases de Defensa Personal a tu hij@?
– De que dependería la decisión de enviar o no a tu hij@?
• Tiempo?
• Dinero?
• Emociones?
• Energía?
• Otr@?
– Padre / Madre,
• ¿Cómo garantizarías en tu hij@ el ejercicio ético de los conocimientos adquiridos?
Defensa/Seguridad
• ¿Qué se percibe con la palabra “Defensa”?
– Solo Defender
– Defender MÁS Ofender (en
“legítima” Defensa)
• Ambos reconocen un tiempo, reglas y un arbitro
– Defender, MÁS Ofender, MÁS dejar fuera de operación al Ofensor (en “legítima” Defensa)
• Ausencia de tiempo, reglas y de arbitro
• Fuera de Operación al Ofensor
– Sus Individuos
– Sus Procesos
– Sus Infraestructura
– O los tres
• Ofensor
– Vivo – para aplicación de Justicia
– Muerto – ?
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 10
Tipos de PazTipos de Defensa/Seguridad
• Persona (Usuario de Tecnología):
– “Si quieres estar en status de Paz Personal (status de CiberSeguridad Personal),
prepárate en temas de defensa personal (Hackeo de Defensa
Personal/Ciberdefensa Personal)”
• Institución Gubernamental (Usuario Institucional de Tecnología):
– “Si quieres estar en status de Paz Institucional (status de CiberSeguridad
Institucional), prepárate en temas de defensa Institucional (Hackeo de Defensa
Institucional /Ciberdefensa Institucional)”
Tipos de Paz – Tipos de Seguridad
• Manual / Curso de Ciber-Defensa, Personal– Para Personas
• Manual / Curso de Ciber-Defensa, Institucional de Gobierno– Para Instituciones de Gobierno
• Manual / Curso de Ciber-Defensa, Iniciativa Privada – Para Empresas Privadas
• Manual / Curso de Ciber-Defensa, ONGs y Sociedad en General– Para Organizaciones No Gubernamentales, Padres de familia e hijos
• Manual / Curso de Ciber-Defensa, Prensa– Para Reporteros y Periodistas
• Manual / Curso de Ciber-Defensa, Academia– Para Universidades, Preparatorias, Secundarias
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 11
• Manual / Curso de Ciber-Defensa, Personal
– Para Personas
Persona (Usuario de Tecnología): “Si quieres estar en status de Paz Personal (status
de CiberSeguridad Personal), prepárate en temas de defensa personal (Hackeo de
Defensa Personal/Ciberdefensa Personal)”
“Si quieres estar en status de Paz Institucional (status de CiberSeguridadInstitucional), prepárate en temas de defensa Institucional (Hackeo de
Defensa Institucional /Ciberdefensa Institucional)”
• Documento / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno, en primera instancia
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 12
“Si quieres estar en status de Paz Institucional (status de CiberSeguridadInstitucional), prepárate en temas de defensa Institucional (Hackeo de
Defensa Institucional /Ciberdefensa Institucional)”
• Documento / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno, en primera instancia
CIBERDEFENSA INSTITUCIONAL
Ciberseguridad
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 13
“Si quieres estar en status de Paz Institucional (status de CiberSeguridadInstitucional), prepárate en temas de defensa Institucional (Hackeo de
Defensa Institucional /Ciberdefensa Institucional)”
• Documento / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno, en primera instancia
SOCIEDAD CON INSTITUCIONES
INSTITUCIONES CON MIEMBROS DE LA SOCIEDAD
Ciberdefensa Institucional
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 14
Ciberdefensa InstitucionalCiberseguridad y otros dominios de seguridad
Ciberdefensa InstitucionalLa quinta dimensión para la Seguridad
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 15
Ciberdefensa Institucional¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la
defensa (Hackeo/Ciberdefensa)”?
CIIP: Critical Information Infrastructure Protection
Ciberdefensa Institucional¿“Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”?
• Mundo Físico - Personal
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 16
Ciberdefensa Institucional¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la
defensa (Hackeo/Ciberdefensa)”?
• Mundo Ciber - Institucional
Ciberdefensa Institucional¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la
defensa (Hackeo/Ciberdefensa)”?
• Mundo Ciber - Institucional
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 17
Conclusiones Ciberseguridad – Ciberdefensa¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la defensa (Hackeo/Ciberdefensa)”?
STAKEHOLDERS EXTERNOS
Ciberseguridad
• Para el individuo / Personal
• Para Instituciones Gubernamentales
• Para la Prensa
• Para la Iniciativa Privada
• Para las Organizaciones No Gubernamentales (ONGs) y Público en General
• Para la Academia
Referencias
• Cybersecurity Tree– http://image.slidesharecdn.com/cybers
ecurityslowhangingfruit-140701152018-phpapp01/95/slide-1-638.jpg?cb=1404246037
• Cybersecurity Strategy of the European Union
• OECD-Directrices Seguridad de Sistemasy Redes de Información
• Principios de la Sociedad de la Información Ginebra 2003-Tunez 2005
• Plan Nacional de Desarrollo 2013-2018. México
• Guía del Taller Prevención contra el Delito Cibernético. México
• Manual Secretaria Nacional de Gestión de Riesgos 2012. Guayaquil. Ecuador
• Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
– www.alapsi.org
• ISACA Latin CACS – Information Security and Risk
Management Conference, Ciberguerra 101. Sesión 133. 30 Sept 2013. Ronald Fabian Garzón
• Nuevas dimensiones del cuerpohumano
– http://revista.escaner.cl/taxonomy/term/14
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 18
CONTEXTO DE LA PRÁCTICAGONZALO ESPINOSA
Ciberseguridad
Taller de Ciberseguridad5 Julio 2014
Universidad Iberoamericana
Ciberseguridad
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Edgar Chillón
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 19
Ponentes
CIBERSEGURIDAD, CONTEXTO DE LA PRÁCTICA Gonzalo Espinosa
(mx.linkedin.com/in/gonzaloespinosasp/)Comisión de Gobernabilidad
Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.
CIBERSEGURIDAD, PRÁCTICA DEL CONTEXTOEdgar Chillón
(mx.linkedin.com/pub/edgar-chillón-escárcega/b/b96/998/en)Integrante de la Comisión de Respuesta a Incidentes CSIRT Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Agenda
• 9:00 a 10:45 Ciberseguridad, Contexto de la Práctica - Gonzalo Espinosa
• 10:45 a 11:00 Descanso
• 11:00 a 13:00 Ciberseguridad, Práctica del Contexto – Edgar Chillón
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 20
Objetivos
• Ofrecer una opción de consulta para iniciativas relacionadas con Ciberseguridad
• Al término de la sesión, el asistente será capaz de
– Identificar los principales sectores donde la ciberseguridad es necesaria
– Ubicar los principios internacionalmente aceptados para con la ciberseguridad
– Proporcionar guía para gobernar la arquitectura de ciberseguridad en
• El individuo
• Las Instituciones
– Apreciar en una demostración práctica un escenario de Ciberseguridad
• Explotación de Vulnerabilidades en el Ciberespacio
CIBERSEGURIDAD. PRÁCTICA DEL CONTEXTOEDGAR CHILLÓN
Explotación de Vulnerabilidades en el Ciberespacio. Taller Práctico.
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 21
Agenda
• Objetivos– Mostrar a la audiencia la forma en la que se lleva a cabo un ataque
digital a través de ejemplos prácticos como SQL Injection, con el fin de mostrar el potencial de vulnerabilidades de alto riesgo.
– Ampliar el conocimiento técnico práctico en materia de seguridad y de hackeo para instituciones privadas, públicas y la academia.
– Despertar la cultura de seguridad en las personas encargadas de administrar procesos organizacionales a través de elementos tecnológicos.
SQL INJECTION
Ataque #1 OWASP
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 22
SQL Injection
SQL Injection
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 23
SQL Injection
SQL Injection¿Cómo lo haremos?
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 24
SQL InjectionInstalación
SQL InjectionVerificación BackEnd (Base de Datos)
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 25
SQL InjectionVerificación FrontEnd (Aplicativo – Manual)
SQL Injection
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 26
SQL InjectionVerificación FrontEnd (Aplicativo - Semiautomático)
“¿todos con sus GNU/Linux listos?”COMENCEMOS …
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 27
Ponentes
CIBERSEGURIDAD, CONTEXTO DE LA PRÁCTICA Gonzalo Espinosa
(mx.linkedin.com/in/gonzaloespinosasp/)Comisión de Gobernabilidad
Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.
CIBERSEGURIDAD, PRÁCTICA DEL CONTEXTOEdgar Chillón
(mx.linkedin.com/pub/edgar-chillón-escárcega/b/b96/998/en)Integrante de la Comisión de Respuesta a Incidentes CSIRT Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Taller de Ciberseguridad5 Julio 2014
Universidad Iberoamericana
Ciberseguridad
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Edgar Chillón
Taller de Ciberseguridad ALAPSI AC - IBERO 5Jul2014
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 28
Recommended