Guia Basica para bachillerato de Circuitos Basicos
Seguridad de información en el Estado
1. Seguridad de información en el Estado
Buscando el balance entre percepción y realidad
Unidad de Modernización del Estado
Ministerio Secretaría General de la Presidencia
Andrés Bustamante Valenzuela
Director de Gobierno Electrónico
@abustamante_tic Abril, 2012
7. Algunos datos
• Ataques a páginas web equivalen a
un 60% +XSS
• Software cliente sin parchar. Adobe
PDF Reader, QuickTime, Adobe Flash
and Microsoft Office
• Ataques de dia cero: especialmente
software web sin parchar. Ej: CMS
• OS cada vez menos, siendo un mayor
% a windows mediante worms.
• Ataques de SQL inject en SQL en dmz
• Redes sociales como fuente de riesgo
Fuentes: http://blog.zerial.org/ y http://www.sans.org/top-cyber-security-
risks/
8. • Chileatiende
• Gobierno Abierto
• Interoperabilidad
• Identidad digital
• Digitalización
• Apoyo a servicios
públicos
• Modificaciones legales
• Software público
• Comunidad
• Guías técnicas
10. Intro
• Anonymous: El conocimiento es libre. Somos Anónimos, Somos Legión.
No perdonamos, No olvidamos.¡Esperadnos!
• Contexto seminario
– Importancia seguridad en todas sus acepciones
– Ir mas alla del PMG
– Nuestra obligacion como unidad
• Como llego al tema: gusto, trabajo
11. Seguridad: percepción vs realidad (1 y 2)
• Seguridad es dos cosas: sensacion y realidad
• Seguridad siempre es un trade off, mientras mas tengo, mas sacrifico algo
• No preguntarse si es mas seguro, sino que si vale la pena el sacrificio
• Tomamos estos riesgos y trade offs todos los dias
• Lo conocido es percibido como menos riesgoso que lo desconocido
• Sesgos y mitos. Ej seso de confirmacion, agenda setting, disonancia cognitiva
• Ej. Creer que los hackers son mas sofisticados de lo que realmente son: ej me
hackearon el face
• Hay modelos para enfrentar esto, no es lo mismo ser del bronx q de la ciudad
• Esto nos podria hacer ver como menos dañinos a los hackers cumas y la
seguridad de cosas como disponibilidad de info de nuestros servers
• Feeling – model – reality. Eso hace q dependa del observador, por ende del
stakeholder
• Cuesta cambiar los modelos
• Estandares sirven como modelos de referencia
12. Movimientos sociales y mitos urbanos (3)
• Estado de animo, riots
• Anonimous (hacktivismo): mito vs realidad
• Idioteces c las q cae la gente, phishing, etc
• Situación política actual
• Redes sociales, uso responsable
• Ver amenazas que parecen sencillas: usb, compuatdor conectado a un
punto de red arbitrario, problema de la consumerization of it
13. Ingeniería Social (4)
• Técnicas psicologicas, habilidades sociales
• Wikileaks como muestra de ing social. Julian cerdo de seguridad, pero
hace esto. Hizo la base de true crypt. Strobe, primer escaner de puertos,
que probablemente inspiro a nmap. Negación plausible
• La motivacion es importante pq relativiza la amenaza y el riesgo
• Tipico: lo pidio el ministro o el subsecretario para una hora mas porque se
lo tiene q llevar al presidente
• Ejemplo de rusa y seguridad nacional en USA
• Técnicas
– Pasivas
– Pasivas no presenciales
– Activas presenciales
– Activas agresivas
• Debilidades
– Todos queremos ayudar
– Se tiende a confiar
– Cuesta decir no
– Todos quieren ser alabados
14. La realidad de los servicios públicos (5 y 6)
• Ejemplo de lo descuidado de los servicios publicos. Ejemplo tipico los
defacing. Como es que estos se hacen facil si se puede hacer un escaneo
simple
• Preguntar si saben: XSS, ARP poisoning, Proxy inverso, IDS/IPS
• Consecuencias de esto
– Politicas
– Credibilidad: ej ffaa, onemi
– Seguridad nacional
• Responsabilidad fnucuonario publico mas que cumplir
– Servicio ciudadano – impacto a los ciudadanos
– Seguridad
– Politica
• Por eso no se puede andar al lote, hay que
– Cumplir estandares
– Saber mas que el resto y ser proactivo
• Herramientas TIC: Nessus, Nmap, snort, linux FW (BSD), squid,
spamasasin, OSSIM; herramientas comerciales
15. MyGE (7)
• Importancia de est tipo de evento
• Que es lo que estamos haciendo
• Porque nos interesa,
• Temas legales: ej decreto 83, 81, 77, 100, proyectos de ley
• Como nos ofrecemos
• Anuncios como nueva CTG y software publico