2. Agenda
► Introducción
► El reto de la seguridad
► Conclusiones
15 Julio 2009 Página 2 Seguridad en la Web 2.0
3. 1
Introducción
15 Julio 2009 Página 3 Seguridad en Web 2.0
4. Un nuevo paradigma
Web 2.0 “Segunda generación en la historia de la Web basada en
comunidades de usuarios y una gama especial de
servicios, como las redes sociales, los blogs, los wikis o las
folcsonomías, que fomentan la colaboración y el
intercambio ágil de información entre los usuarios”
Tim O'Reilly, 2004
• Servicio web (virtualización)
• Comunicación en tiempo real
• Personalización
• Contenido sobre tecnología
Comunicación Comunidad
Cooperación
15 Julio 2009 Página 4 Seguridad en Web 2.0
5. 2
El reto de la seguridad
15 Julio 2009 Página 5 Seguridad en Web 2.0
6. Algunas puntualizaciones previas
► Todo se centra en el usuario (comunidad, cooperación, comunicación)
► Conocimiento compartido
► Origen / difusión información se diluye
►Uso corporativo (blogs, microblogs, wikis, redes sociales…)
► Nuevo modelo de comunicación con clientes (+ segmentación)
► Gestión de marca y reputación
► Innovación, gestión del conocimiento
► El entorno de control (y difusión) es mayor
►Uso personal (redes sociales, microblogs, blogs…)
► Crecimiento exponencial de usuarios
► Ley de Metcalfe: “El valor de una red es igual al cuadrado del
número de usuarios que la componen”
► Virulencia, enorme capacidad de propagación
► No es posible borrar información una vez publicada
15 Julio 2009 Página 6 Seguridad en Web 2.0
7. Arquitectura Tecnológica Web 2.0
Nuevo Paradigma
► Basada exclusivamente en la Web
► Los usuarios controlan su propia información
► Fácil introducción / extracción de información
Componentes y
datos de terceros
Usuario
Servidor Servidor Repositorios de
web de aplicaciones datos
15 Julio 2009 Página 7 Seguridad en Web 2.0
8. El cambio de paradigma
Nuevo Paradigma
► Basada exclusivamente en la Web El Modelo Web 2.0 es se focaliza
► Los usuarios controlan su propia información en las personas y su información
► Fácil introducción / extracción de información más que en la tecnología
Tecnología Comportamiento
RIESGOS DE SEGURIDAD
15 Julio 2009 Página 8 Seguridad en Web 2.0
9. Implicaciones del modelo Tecnología
• Basada • Presión en el Time to market Mayor complejidad tecnológica,
exclusivamente personalización y menor time to
• Metodología CVD menos estructurado
en Web
• Modelos de hosting market supone mayores retos
• Integración de módulos de terceros
• Escasa madurez del software (beta
continua) ► Dificultad de pruebas exhaustivas
• Mayor uso de SaaS ► Diseño y documentación pobre
• Los usuarios
controlan su
propia
información
• Gran nivel de personalización
• Fácil • Cesión de datos a terceras aplicaciones /
introducción y partes
extracción de • Propagación muy rápida de información
información
►Modelos de seguridad inadecuados
15 Julio 2009 Página 9 Seguridad en Web 2.0
11. Implicaciones del modelo Comportamiento
• Basada • Presión en el Time to market El perímetro de seguridad tradicional
exclusivamente se diluye y el modelo depende de las
• Metodología CVD menos estructurado
en Web personas y su información
• Modelos de hosting
• Integración de módulos de terceros
• Escasa madurez del software (beta
continua)
• Mayor uso de SaaS ►Modelos de seguridad inadecuados
• Los usuarios
controlan su
• La información es gestionada
propia directamente por el usuario
información • Los usuarios creen que están en un
entorno “seguro” (redes sociales)
• Fácil • Propagación muy rápida de información
introducción y
extracción de • Imposibilidad de “borrar” información una
información vez publicada ► Fuga de información
► Software malicioso
• PUBLICACIÓN DE INFORMACIÓN ► Uso no autorizado de
PRIVADA aplicaciones Web 2.0
15 Julio 2009 Página 11 Seguridad en Web 2.0
13. Riesgos de seguridad: visión completa
Nuevo Paradigma
► Basada exclusivamente en la Web El Modelo Web 2.0 es se focaliza
► Los usuarios controlan su propia información en las personas y su información
► Fácil introducción / extracción de información más que en la tecnología
► Dificultad de pruebas exhaustivas
► Diseño y documentación pobre
► Modelos de seguridad inadecuados
Tecnología Comportamiento
► Fuga de información
► Software malicioso
► Uso no autorizado de aplicaciones Web 2.0
15 Julio 2009 Página 13 Seguridad en Web 2.0
14. Visión global de los riesgos en entorno 2.0
► Vulnerabilidades técnicas ► Datos de carácter personal
► Malware ► Modelo seguridad inadecuado
► Disponibilidad
Servicio web 2.0 Servicios en externalización
corporativo
Empleado
► Fuga de información
Servicio SaaS
► Privacidad
► Confidencialidad
Usuario ► Pérdida de imagen
► Privacidad
► Suplantación de identidad
► Ingeniería social Servicio web 2.0
► Pérdida de confidencialidad Componentes y
► Vulnerabilidades técnicas datos de terceros
► Malware
15 Julio 2009 Página 14 Seguridad en Web 2.0
15. ¿Cómo afrontar el problema?
Nivel estratégico Estrategia
Alineamiento
Soporte
Nivel táctico Procesos Comportamientos
Nivel operativo Tecnología Organización Personas
Factor técnico Factor humano
Equilibrio
Fuente: Instituto de Empresa
15 Julio 2009 Página 15 Seguridad en Web 2.0
16. ¿Cómo paliar el problema?
Formación y concienciación de seguridad
Personas
► Fuga de información
Monitorización de marca / reputación
► Software malicioso
► Uso no autorizado de Procesos
aplicaciones Web 2.0
Seguridad CVD
Aplicaciones / Revisión de
Hacking ético
Servicios seguridad de código
Tecnología
DLP / Filtrado de
►Dificultad de pruebas Infraestructura ¿Filtros de acceso?
contenido
exhaustivas
►Diseño y
documentación pobre
►Modelos de seguridad
inadecuados
15 Julio 2009 Página 16 Seguridad en Web 2.0
17. 3
Conclusiones
15 Julio 2009 Página 17 Seguridad en Web 2.0
18. Conclusiones
► La adopción de la Web 2.0 es un hecho y no es posible
obviar los riesgos que conlleva su uso
► Nuevo paradigma: el usuario y el contenido mandan
► El modelo de seguridad actual empleado la Web 1.0 tiene
que evolucionar desde dos vertientes, ya no es válido:
► Ámbito técnico: foco en el desarrollo y el control de acceso
► Ámbito del comportamiento: EDUCAR y CONCIENCIAR
► NO es un problema de IT !!!
► Trabajo conjunto RRHH, Comunicación, IT, Seguridad
Con las medidas adecuadas y un uso responsable la Web 2.0
ofrece todo un mundo de posibilidades en términos de
comunicación y colaboración
15 Julio 2009 Página 18 Seguridad en Web 2.0