Upload
gonzalo-espinosa-slidesh
View
148
Download
10
Tags:
Embed Size (px)
DESCRIPTION
Un edificio inteligente y Sustentable puede ofrecer una amplia gama de retos atendidos en áreas tales como: seguridad, gestión de la energía, automatización de tareas domésticas, formación, cultura y entretenimiento, teletrabajo, monitorización de salud, operación y mantenimiento de las instalaciones. ¿Y la ciberseguridad del edificio? ¿Qué hago con el riesgo? ¿Mitigo, Evito, Transfiero o Acepto el Riesgo? Respuestas a estas y más inquietudes, nos hablarán en nuestra sesión mensual del IMEI (www.imei.org.mx/), los profesionales de la Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. (www.alapsi.org) Objetivos Ofrecer al asistente opciones objetivas de consulta útiles en sus iniciativas relacionadas con Ciberseguridad para Edificios Inteligentes El asistente será capaz de Identificar: 1. Los principales retos en la Ciberseguridad para Edificios 2. Conocer una guía objetiva en el gobierno de la ciberseguridad. 3. Apreciar la descripción de un caso práctico de Ciberseguridad.
Citation preview
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 1
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Conferencia de
Ciberseguridad para Edificios Inteligentes y
Sustentables30 de Julio 2014
Hotel JW Polanco, México DF
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Guillermo Reyes
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ponentes
CIBERSEGURIDAD PARA EDIFICIOS INTELIGENTES, CONTEXTO DE LA PRÁCTICA
Gonzalo Espinosa(mx.linkedin.com/in/gonzaloespinosasp/)
Comisión de GobernabilidadAsociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
CIBERSEGURIDAD PARA EDIFICIOS INTELIGENTES, PRÁCTICA DEL CONTEXTO
Guillermo Correa(http://www.asis.org.mx/reuniones-anteriores/28-mayo-2012.php)
Integrante de la Comisión de Respuesta a Incidentes CSIRT Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 2
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Agenda
• 8:00 a 8:15 Registro y Bienvenida – Colegas del IMEI
• 8:15 a 9:00 Ciberseguridad, Contexto de la Práctica – Gonzalo Espinosa
• 9:00 a 9:45 Ciberseguridad, Práctica del Contexto – Guillermo Correa
• 9:45 a 10:00 Agradecimientos – Colegas del IMEI
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Objetivos
• Ofrecer al asistente:
– Opciones objetivas y profesionales de consulta útiles en sus iniciativas
relacionadas con Ciberseguridad para Edificios Inteligentes
• Al término de la sesión, el asistente será capaz de
– Identificar los principales retos en la Ciberseguridad para Edificios Inteligentes
– Proporcionar guía objetiva de en el gobierno de la ciberseguridad para Edificios
Inteligentes
– Apreciar un caso práctico de Ciberseguridad para un Edificio Inteligente
• Explotación de Vulnerabilidades en el Ciberespacio de un Edificio Inteligente
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 3
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
CONTEXTO DE LA PRÁCTICAGONZALO ESPINOSA
Ciberseguridad
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Edificio Inteligente
• Hospital General
– Regional No. 1 "Gabriel
Mancera“
• Edificio Cenit
– Plaza Arquímedes.
• World Trade Center (WTC)
– México
• Torre Mayor
– México DF
• Mecanismo de evaluación.
Guía utilizada por el IMEI
(Concepto/Puntos)
– Arquitectónicos y de
Ingeniería civil/ 100
– Instalaciones/100
– Plataforma única de
cableado/100
– Sistemas/100
– Ciberseguridad/No hallado
– Total 400
Fu
en
te:
htt
p:/
/ww
w.m
on
og
rafi
as.
com
/tra
ba
jos1
5/e
dif
ic-i
nte
lig
en
tes/
ed
ific
-in
teli
ge
nte
s.sh
tml
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 4
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ciberespacio
• Dimensión donde interactúanlos sistemas de control y de comunicación
– De los seres vivos y los de las máquinas
• Incluye las aplicaciones de los mecanismos
– De regulación biológica a la tecnología.
• Diferenciador
– La alta velocidad de interacción
• E.g. Router de Comunicaciones
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ciberseguridad
• Seguridad para el Ciberespacio
• Seguridad para garantizar la continuidad de las operaciones
– De los sistemas de control y comunicación
– De los seres vivos y los de las máquinas
• Incluye la seguridad antes, durante y después
– De las aplicaciones de los mecanismos de regulación biológica a la tecnología.
• E.g. Automóvil con sensores
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 5
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ciberseguridad
• Seguridad para el Ciberespacio
• Seguridad para garantizar la continuidad de las operaciones
– De los sistemas de control y comunicación
– De los seres vivos y los de las máquinas
• Incluye la seguridad antes, durante y después
– De las aplicaciones de los mecanismos de regulación biológica a la tecnología.
• E.g. Automóvil con sensores
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
PARADIGMA EN EDIFICIOS INTELIGENTES
Sistemas de Seguridad
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 6
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Edificio Inteligente
• Incorpora sistemas de información
• Ofrece servicios de la actividad y de las telecomunicaciones
• Control automatizado
• Monitorización
• Gestión y mantenimiento de subsistemas o servicios
• Diseñados con flexibilidad para Implantación de futuros
sistemas
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Administración
de emisión de
credenciales y
generación de
las mismas
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 7
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Control de
acceso
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Detección y
extinción de
humos e
incendios
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 8
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Circuito
cerrado
de TV
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Solución
abierta
Interopera
bilidad
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 9
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 10
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
FIN DE LA SECCIÓN “PARADIGMA EN EDIFICIOS INTELIGENTES”
Sistemas de Seguridad
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 11
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
MÓDULO I. “ARQUITECTURA SUSTENTABLE”
MÓDULOS II Y III. “INSTALACIONES, AHORRO DE ENERGÍA Y TECNOLOGÍAS AMBIENTALES”
MÓDULO IV. "SEGURIDAD"
Fundamentos de la Seguridad y su Intervención en Edificios Sustentables
Diseño Ambiental de Seguridad
Protección Civil
Sistemas de Prevención, Detección y Protección contra incendios
Taller de Seguridad
Sistemas especializados de Detección de Humo
Sistemas y parámetros de Seguridad Física y Protección I
Sistemas y parámetros de Seguridad Física y Protección II
La fase operativa, administración y control de los servicios de seguridad
Revisión de Proyecto y Entrega de Trabajos
MÓDULOS V Y VI. "SISTEMAS DE TRANSPORTE DE INFORMACIÓN OPERACIÓN Y MANTENIMIENTO"
Protocolo Internet IP
Qué es un STI? ¿Cómo diseñarlo? - Subsistemas -
NOM TC/ 205 “Edificaciones Sustentables”
Centro de Datos Verde
Revisión de Proyecto y Entrega de Trabajos
Introducción al Mantenimiento
Operación Inteligente - Torre Mayor -
Visita al Edificio Torre Mayor y Entrega del trabajo final.
DIPLOMADO IMEI - Especialidad en Tecnología de los
Edificios Inteligentes y Sustentables 2014Integración de Sistema en una
Plataforma
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 12
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Integración de Sistema en una Plataforma
Integración de un Sistema de Seguridad en Aplicaciones (Applications Security)
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Nota 2014: Physical (Environmental) Security
SEMINARIO ALAPSI AC de preparación para Profesional de
Seguridad (CIBERSEGURIDAD) Certificado CISSPIntegración de Sistema en una
Plataforma
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 13
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio Inteligente
• Propuesta ALAPSI AC para el IMEI
– Creación de una Comisión de Trabajo IMEI-ALAPSI para sesionar los Jueves
– Creación de un Programa educacional para el profesional en Edificios Inteligentes
– ALAPSI AC referencia del IMEI en temas de Ciberseguridad en Edificios Inteligentes
– Convenio de Colaboración para con la Ciberseguridad del Edificio Inteligente
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 14
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de CIBER-Seguridad
Edificio Inteligente
Integración
de Sistema
de Ciber-
Seguridad
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de CIBER-Seguridad
Edificio Inteligente
Integración
de Sistema
de Ciber-
Seguridad
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 15
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sistemas de Seguridad
Edificio InteligenteIntegración de Sistemas de Seguridad y de Ciberseguridad para Inmótica y Domótica
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Referencias
• Edificio Inteligente Sistemas de Seguridad– http://www.ntii.com.mx/sistemas_de_seg
uridad.html
• Cybersecurity Tree– http://image.slidesharecdn.com/cybersecu
rityslowhangingfruit-140701152018-phpapp01/95/slide-1-638.jpg?cb=1404246037
• Cybersecurity Strategy of the European Union
• OECD-Directrices Seguridad de Sistemas y Redes de Información
• Principios de la Sociedad de la Información Ginebra 2003-Tunez 2005
• Plan Nacional de Desarrollo 2013-2018. México
• Guía del Taller Prevención contra el Delito Cibernético. México
• Manual Secretaria Nacional de Gestión de Riesgos 2012. Guayaquil. Ecuador
• Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
– www.alapsi.org
• ISACA Latin CACS – Information Security and Risk
Management Conference, Ciberguerra 101. Sesión 133. 30 Sept 2013. Ronald Fabian Garzón
• Nuevas dimensiones del cuerpo humano– http://revista.escaner.cl/taxonomy/term/1
4
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 16
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
CONTEXTO DE LA PRÁCTICAGONZALO ESPINOSA
Ciberseguridad para Edificios Einteligentes
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Conferencia de
Ciberseguridad para Edificios Inteligentes y
Sustentables30 de Julio 2014
Hotel JW Polanco, México DF
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Guillermo Reyes
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 17
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ponentes
CIBERSEGURIDAD PARA EDIFICIOS INTELIGENTES, CONTEXTO DE LA PRÁCTICA
Gonzalo Espinosa(mx.linkedin.com/in/gonzaloespinosasp/)
Comisión de GobernabilidadAsociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
CIBERSEGURIDAD PARA EDIFICIOS INTELIGENTES, PRÁCTICA DEL CONTEXTO
Guillermo Correa(http://www.asis.org.mx/reuniones-anteriores/28-mayo-2012.php)
Integrante de la Comisión de Respuesta a Incidentes CSIRT Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Agenda
• 8:00 a 8:15 Registro y Bienvenida – Colegas del IMEI
• 8:15 a 9:00 Ciberseguridad, Contexto de la Práctica – Gonzalo Espinosa
• 9:00 a 9:45 Ciberseguridad, Práctica del Contexto – Guillermo Correa
• 9:45 a 10:00 Agradecimientos – Colegas del IMEI
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 18
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Objetivos
• Ofrecer al asistente:
– Opciones objetivas y profesionales de consulta útiles en sus iniciativas
relacionadas con Ciberseguridad para Edificios Inteligentes
• Al término de la sesión, el asistente será capaz de
– Identificar los principales retos en la Ciberseguridad para Edificios Inteligentes
– Proporcionar guía objetiva de en el gobierno de la ciberseguridad para Edificios
Inteligentes
– Apreciar un caso práctico de Ciberseguridad para un Edificio Inteligente
• Explotación de Vulnerabilidades en el Ciberespacio de un Edificio Inteligente
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
CIBERSEGURIDAD. PRÁCTICA DEL CONTEXTOGUILLERMO REYES CORREA
Explotación de Vulnerabilidades en el Ciberespacio de un Edificio Inteligente.
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 19
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Introducción
Esta presentación pretende explicar las fases de los procesos:
• “Hacking ético” tomando como referencia la metodología del eccouncil de su
Curso Cetified Ethical Hacker.
• “Cómputo Forense” tomando como referencia la metodología del SANS de su
curso FOR508: Advanced Computer Forensic Analysis and Incident Response.
Para después dar un enfoque realista a la incorporación de activos de control,
operación y monitoreo de edificios inteligentes.
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Conceptos
• Ciberespacio
Un dominio global en el entorno de la información que consta de una red
interdependiente de sistemas de información, incluido internet, las redes
de telecomunicaciones, sistemas de computo y dispositivos con
controladores y procesadores integrados.
Ciberseguridad
La habilidad de proteger o defender el uso del ciberespacio de
Ciberataques.SOURCE: Committee on National Security Systems – Intruction “CNSSI-4009”
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 20
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Conceptos
• Hacker
Usuario no autorizado que intente o consiga acceso no autorizado a un
sistema de información.
• Cyber Attack
Un ataque, a través del ciberespacio, con el propósito de perturbar,
deshabilitar, destruir, controlar maliciosamente la infraestructura de un
entorno de computación y robar la información controlada.SOURCE: Committee on National Security Systems – Intruction “CNSSI-4009”
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Conceptos
• Activo (Asset)
Aplicación principal, Sistema de soporte general, programa de alto impacto,
instalaciones, sistemas de misión crítica, personal, equipo, lógica relacionada o
grupos de sistemas.
SOURCE: Committee on National Security Systems – Intruction “CNSSI-4009”
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 21
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Activos en un edificio inteligente
• Detección de incendios
• Sistema de suspensión
• Control de acceso e intrusión
• Control de activos
• Telefonía IP / Telecom
• CCTV Digital
• Control de iluminación
• Sonido ambiental
• Confort y entretenimiento
• Control de energía
• Automatización industrial
Imagen tomada de: http://control-accesos.es/2008/04
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Activos en un edificio inteligente
Imagen tomada de: http://www.edintel.com/integracion_edificio_inteligente.html
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 22
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Elementos de la seguridad
• Solo tienen acceso los entes que expresamente tienen la autorización.
• Solo tienen acceso los entes que expresamente tienen la autorización.
Confidencialidad
• Datos completos
• Modificados por los entes autorizados
• Datos completos
• Modificados por los entes autorizados
Integridad• Los recursos están
disponibles en elmomento que losusuarios lorequieren
• Los recursos estándisponibles en elmomento que losusuarios lorequieren
Disponibilidad
No repudio
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Basta un pequeño fallo en la
seguridad
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 23
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
No solo se trata de dispositivos…,…
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Hacking
1 Reconocimiento
2
Scanning
3
Ganar Acceso
4 Mantener Acceso
5 Borrado de Huellas
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 24
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Reconocimiento
• El éxito del ataque depende de la
cantidad de información
recopilada sobre nuestra victima.
• Pasivo
– Google Hacking, redes sociales
(Stalker), BD Públicas
– Búsqueda de información
relevante sobre el target.
– Sniffing
– Software que observa el tráfico
de la red alámbrica / inalámbrica.
Imagen 1 tomada de: http://actualidadydeporte.com
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Reconocimiento
• Activo
– Ingeniería social
– La manipulación inteligente
de la tendencia natural de las
personas a confiar.
• Híbrido
– Sniffing
– Software que observa el
tráfico de una red alámbrica /
inalámbrica. Imagen tomada de: http://es.dreamstime.com
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 25
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Scanning
• Se utiliza la información de
la fase previa, delimitando
la superficie de ataque.
• Identificación de activos
disponibles (Direcciones IP)
– Sistemas Operativos
– Bases de datos
– Dispositivos de seguridad
• Servicios (Puertos)
• Vulnerabilidades (Servicios) Imagen tomada de: http://www.interlock.com.tr
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ganar Acceso
• Materializar el ataque, para
conseguir el acceso.
• Aprovechando:
– Vulnerabilidad
– Mala configuración
– Credenciales
• recopiladas en el sniffing
• Ataques de hombre en
medio
• Instalación de fábrica
– Ingeniería social
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 26
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Otras técnicas de ganar acceso
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Mantener Acceso
• Seguir contando con el acceso al
sistema
• Mantener o incrementar el nivel
de privilegios
• Asegurar el sistema para evitar
que otro hacker lo comprometa
• Se monitoriza la actividad del
sistema
• Se instalan puertas traseras,
rootkits y caballos de troya
Imagen tomada de: http://www.computerworldmexico.mx/Articulos/19434.htm
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 27
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Borrado de huellas / Anti-forense
• Eliminar la mayor
cantidad posible de
rastros del ataque y
acceso.
– Bitácoras de los sistemas
– Borrado seguro de
archivos y herramientas
usadas.
– Modificación de tiemposImagen tomada de: http://www.iphoneaplicaciones.org
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
¿Cómo será el guardián del futuro?
Imagen tomada de :http://www.securityartwork.es
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 28
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Activos en un edificio inteligente
Imagen tomada de: http://www.seguridad-online.com.ar/index.php?mod=Home&ac=verNota&id_nota=148&id_seccion=148
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Cómputo forense
1. Verificación
2. Descripción del sistema
3. Adquisición de evidencia
Investigación y análisis
5.
Análisis de medios
6.
Búsqueda de cadenas
o bits
7
Recuperación de Datos
4.
Análisis de tiempo
Adquisición de Evidencia
8. Reporte de resultados
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 29
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Cómputo forense
1. Verificación: Averiguar si un incidente
ha ocurrido.
2. Descripción del sistema: ¿Dónde se
encuentra el sistema?, ¿para qué se
usa?, ¿cuál es su configuración?,
¿canales de comunicación?, etc.
3. Adquisición de evidencia: Datos
volátiles y no volátiles. Descripción de
herramientas utilizadas y ¿cómo se
asegura la integridad de los datos?.
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Cómputo forense
4. Análisis en tiempo: Es la parte central de la
investigación. Se obtiene y analiza la línea de
tiempo. Fecha de instalación del S.O,
actualizaciones, parches, último uso del
sistema, MAC Times.
5. Análisis de medios: Es la investigación estática
de las copias de la evidencia original
recolectada. Se describe cada herramienta
utilizada para examinar y porqué fue utilizada.
6. Búsqueda de cadenas o bits: Se utiliza la lista
de palabras clave para buscar cadenas de texto
o bits en disco, memoria, capturas de tráfico de
red, etc. Imagen tomada de: http://www.informaticalegal.com.ar
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 30
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Cómputo forense
7. Recuperación de datos: Recuperación de archivos o datos
eliminados u ocultos, identificación de la fecha de borrado y
descripción de los métodos utilizados.
8. Reporte de resultados: Elaboración del reportes
(Técnico/Ejecutivo).
Imagen tomada de: http://www.cimasix.com/
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Inteligencia/Espionaje
Espionaje.
(Del fr. espionnage).
1. m. Acción de espiar (‖ acechar).
2. m. Actividad secreta encaminada a obtener
información sobre un país, especialmente en
lo referente a su capacidad defensiva y
ofensiva.
3. m. Actividad dedicada a obtener informaciónfraudulenta en diversos campos. Espionajecientífico, industrial.
4. m. Organización dedicada a estas actividades.
El espionaje internacional.Fuente: http://lema.rae.es Imagen tomada de: http://reporters365.com
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 31
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Sun Tzu
La información previa no puede obtenerse de fantasmas
ni espíritus, ni se puede tener por analogía, ni descubrir
mediante cálculos. Debe obtenerse de personas;personas que conozcan la situación del adversario.
5 Clases de espías
1. Nativos – Habitantes de una localidad
2. Internos – Funcionarios enemigos
3. Agentes dobles – Espías enemigos
4. Liquidables – Transmiten datos falsos a espías enemigos
5. Flotantes – Vuelven para traer sus informes
Imagen tomada de: http://yosamurai.blogspot.mx/
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Fuentes de información
• Personal
• Documentos
• Comunicaciones
• Equipos de cómputo
• Teléfonos /fijos/móviles-
inteligentes
• Instalaciones
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 32
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Las 10 mejores maneras de
perder sus datos• Conecte el USB que encontró tirado y utilícelo.
• Avise que estará fuera
• Acepte solicitudes de amistad de desconocidos
• No bloquee la pantalla de su celular, tablet o equipo de cómputo
porque es molesto o incomodo
• Descargue aplicaciones móviles a lo loco.
• Envié datos XXXX desde WIFI gratuitas y/o sin contraseña
• Lleve información confidencial a casa para trabajar
• Haga clic para reclamar su premio
• Respalde los archivos de su servidor o equipo /Mañana o mejor el
próximo mes/
• Use “Fido” (o el nombre de su mascota) como contraseña en muchos
sitios web.
Fuente: http://www.symantec.com/es/mx/about/news/resources/press_kits/detail.jsp?pkid=infografia-diez-mejores-maneras
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Casos de estudido
• Vitek Boden
Tras ser despedido de una
planta de aguas residuales,
accedió de manera remota a los
sistemas de su antiguo lugar de
trabajo para verter lodo tóxico
en ríos y parques con la idea de
que por la gravedad del
problema lo volverían a llamar y
recuperaría su empleo.
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 33
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Casos de estudio
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
¿Quién identifica las
vulnerabilidades?• Empleados
• Hackers
• Investigadores de
seguridad / Consultores
Imagen tomada de: http://revista.seguridad.unam.mx/numero-19/sistemas-scada-algunas-recomendaciones-de-seguridad-parte-ii
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 34
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Generación Distribución Almacenamiento Procesamiento Transporte Consulta
Medidas
• Implementar un SGSI
Destrucción
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Medidas
• Ejecute pruebas de seguridad sobre los activos que incorporará dentro del
edificio inteligente (ANTES DE COMPRAR/VENDER).• Periódicamente, haga pruebas de intrusión sobre todos los activos
conectados a la red de datos y comunicaciones.
• Limitar la superficie de ataque, segmentarla red.
• Privilegios mínimos.
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 35
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Objetivos
• Ofrecer al asistente:
– Opciones objetivas y profesionales de consulta útiles en sus iniciativas
relacionadas con Ciberseguridad para Edificios Inteligentes
• Al término de la sesión, el asistente será capaz de
– Identificar los principales retos en la Ciberseguridad para Edificios Inteligentes
– Proporcionar guía objetiva de en el gobierno de la ciberseguridad para Edificios
Inteligentes
– Apreciar un caso práctico de Ciberseguridad para un Edificio Inteligente
• Explotación de Vulnerabilidades en el Ciberespacio de un Edificio Inteligente
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Ponentes
CIBERSEGURIDAD PARA EDIFICIOS INTELIGENTES, CONTEXTO DE LA PRÁCTICA
Gonzalo Espinosa(mx.linkedin.com/in/gonzaloespinosasp/)
Comisión de GobernabilidadAsociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
CIBERSEGURIDAD PARA EDIFICIOS INTELIGENTES, PRÁCTICA DEL CONTEXTO
Guillermo Correa(http://www.asis.org.mx/reuniones-anteriores/28-mayo-2012.php)
Integrante de la Comisión de Respuesta a Incidentes CSIRT Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Conferencia de Ciberseguridad para Edificios
Inteligentes y Sustentables
ALAPSI AC - IMEI 30Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. www.alapsi.org 36
Crear y consolidar una cultura ética en el ejercicio de la seguridad informática
Conferencia de
Ciberseguridad para Edificios Inteligentes y
Sustentables30 de Julio 2014
Hotel JW Polanco, México DF
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Guillermo Reyes