12/05/2024

ciberseguridad

Global Cybersecurity Index (GCI) 2018

Guido Rosales 08/04/2019

Ha sido publicado el INDICE  GLOBAL DE CIBERSEGURIDAD

Mas allá de tratar de rebatir o debatir el resultado, tenemos que analizar de manera FRIA lo que se transmite y lo que podemos entender desde adentro.

Al final la ITU es una organización con alcance mundial y estos indices son tomados en cuenta para muchos fines como la inversión, riesgo país, nivel de profesionales, nivle de mercado, etc.

Se toman en cuenta 5 pilares

Personalmente como veo cada pilar:

MEDIDAS LEGALES

No tenemos medidas actualizadas a un contexto d CIBERSEGURIDAD. Ojo que se habla de LEYES, no de recomendaciones o alineamiento a estándares que puedan hacer algunas instituciones.

MEDIDAS TÉCNICAS

No tenemos estándares técnicos que puedan tener un peso legal. Los proyectos de tecnología no siguen ningún estándar obligatorio. Las medidas de seguridad son Voluntarias en todos los sectores exceptuando el Financiero.

No existe un RESPETO al Fuero Profesional al momento de DISEÑAR y DIRIGIR proyectos de tecnología. No tenemos algo semejante como en el sector de la construcción donde debe firmar un Ingeniero civil y un arquitecto ademas de ser refrendados por sus respectivos Colegios profesionales. Para diseñar o implementar un sistema informático basta con "TENER IDEA DE SISTEMAS"

MEDIDAS ORGANIZACIONALES

No tenemos una estrategia PAÍS.

Ahora contamos con un Agencia para estos temas, pero no da abasto. Debería ser un esfuerzo no tan CONCENTRADO en una sola ENTIDAD y en un único GRUPO.

CAPACIDAD DE  DESARROLLAR MEDIDAS

Todo es iniciativa privada,  esfuerzos académicos aislados o de tiempo en tiempo alguna iniciativa desde el ESTADO para motivar alguna consulta, pero nada sostenible en el tiempo.

MEDIDAS DE COOPERACIÓN

Participamos de actividades internacionales de manera muy discreta con un oportunismo marcada en la coyuntura. En el tiempo se pierde todo esfuerzo que no dura mas de 2 o 3 años.

El centralismo no permite establecer verdaderos acuerdos multilaterales. Al final se pretende la figura de TODOS con el ESTADO.

 

 

Y una lógica de integración

 

Estamos en el GRUPO "INICIADO", lastimosamente no hay MAS BAJO que eso

En terminos cuantitaivos podemos ver que a nivel mundial estamos en un grupo de alto RIESGO, en color naranja si tomamos grupos con 5 niveles. Nos toca el nivel NARANJA. Estos colores no son del informe sino han sido colocados por mi persona para tratar de ver con quienes debemos aliarnos en diferentes contextos.

El puesto que ocupamos en el contexto mundial es el 135 de 175:

El informe nos ubica en el grupo con un nivel BAJO

Pueden descargar el documento para su analisis en:

https://www.itu.int/en/ITU-D/Cybersecurity/Documents/draft-18-00706_Global-Cybersecurity-Index-EV5_print_2.pdf

Programa CISO – Certified Information Security Officer – CV2 2018

Guido Rosales 22/06/2018

El Programa CISO vigente desde el año 2005 ha sido actualizado encontrándose actualmente en su versión 2.

el contenido es actualizado de forma constante, pero la estructura se mantiene.

Director del Programa: MSC. ING GUIDO ROSALES URIONA.

Es un programa que ha ayudado en la formación sin duda alguna, de gran parte de los profesionales en Bolivia que hoy en día trabajan como Oficiales de Seguridad en empresas financieras, del estado, petroleras y muchas mas.

Su contenido esta basado en la experiencia de mas de 20 años de la empresa YANAPTI SRL. Los innumerables trabajos de consultoria en el campo de la seguridad de la información han definido sus módulos, así como la alineación con importantes certificaciones internacionales.

Sus diferentes ciclos se han desarrollado en modalidades presenciales, fastrack y virtuales. En la actualidad es un programa 100% virtual con sesiones en vivo y también asistidas ofline.

Su contenido esta definido en 10 módulos que se desarrollan en 10 semanas casi continuas con un margen máximo de 2 semanas.

MODALIDADES

On line - Atendida con sesiones semanales

Off Line - Atendida con reuniones de 1 hora semanas (Modalidad Mentorya)

HORARIOS

Dia Miercoles de 19:30 a 22:00 con 15 minutos de corte.

Sesiones via Gotomeeting (desde PC o movil)

COSTO:

  • Todo el programa tiene un costo general de 600$US, máximo en 2 pagos de 300 al inicio y 300 a la mitad del programa.
  • El costo modular unitario es de 75$US con un mínimo de 5 módulos = 375$US
  • Personas que hayan cursado algún programa de certificación de Yanapti anteriormente tienen un costo de 450$US por el programa. Máximo en 2 pagos de 300 y 150 a la mitad del programa.
  • Modalidad Mentorya: Costo 400$US en dos pagos de 50% al inicio y 50% al quinto modulo.

COMPRENDE:

  • Acceso a sesiones en línea
  • Acceso a la Plataforma virtual por 12 meses desde el inicio del programa
  • Material de apoyo digital
  • Vídeos de análisis
  • En la modalidad Mentorya se entregan accesos a sesiones pre grabadas del ciclo Virtual 1 del 2018.
  • Acceso a Biblioteca digital Yanapti (modelos de informes, libros digitales, artículos, videos y muchos más)
  • Seguimiento de tareas y avance
  • Consultas individuales
  • Derecho al examen de certificación durante 12 meses hasta 4 oportunidades
  • Impuestos de Ley

SE EXTIENDEN CERTIFICADOS DE:

  • Asistencia al 70% o más de las sesiones virtuales. Se valida participación
  • Aprovechamiento – Debe cumplir mínimo el 70% de las tareas modulares
  • Aprobación del Programa: Examen teórico (50%) y Practico (50%)

DIRIGIDO A:

  • Personal de Sistemas
  • Oficiales de Seguridad
  • Oficiales de Riesgos
  • Auditores de Sistemas
  • Auditores internos

 

CONTENIDO MODULAR:

 

CONTENIDO MÍNIMO

Modulo 1: Ciber seguridad y estrategias

Modulo destinado a analizar la relevancia de la seguridad en el contexto internacional, nacional y sectorial desde una perspectiva estratégica para el negocio.

Permite analizar tendencias y alinear la seguridad con el Plan Estratégico del Negocio.

Modulo 2: Ciber riesgos y Amenazas

Se estudia aquellas fuentes de Ciber riesgo que pueden afectar al negocio. Se desarrolla la metodología para la gestión de los mismos. Se analizan metodologías y estándares como ISO 27005 e ISO 31000 principalmente ejemplificando para un entorno en el ciber espacio.

Modulo 3: Legislación y cumplimiento en la WEB

Permite conocer el marco de cumplimiento para el ciber espacio. Aquellos detalles cono transnacionalidad, privacidad y derecho internacional vigente en el mundo del Internet.

Modulo 4: Gestion del Ethical Hacking

Permite abordar todo el proceso para la gestión del ethical hacking, desde la definición de necesidades de negocio, su ejecución, control y planes de acción emergentes.

Modulo 5: Ciber Fraudes

Modulo donde se analiza la anatomía particular de los métodos de ciber fraude mas difundidos o de mayor connotación en el mundo. Temas de actualidad como Redes zombies, ransomware, malware corporativo y otros.

Modulo 6: Seguridad de CPD e infraestructura

Permite analizar la parte fisica del mundo ciber. Estándares de seguridad en Data Center, modelos OSI en telecomunicaciones, controles operativos y temas relacionados con infraestructura y facilidades.

Modulo 7: Análisis conductual y Logs

Permite conocer los instrumentos de seguridad predictiva. el analisis de Logs, SIEMs y demás herramientas que combinadas pueden detectar patrones de inseguridad en la conducta de los usuarios.

Modulo 8: Auditoria y evaluación de seguridad

Permite al OSI conocer la gestión de un trabajo de auditoria. Interactuar en todo el proceso y con los mismos auditores. Permite conocer conceptos propios de la auditoria de sistemas y seguridad.

Modulo 9: Ciber incidentes y análisis forense

Conocimientos necesarios para identificar, contener, responder y mejorar ante la ocurrencia de ciber incidentes. permite conocer los procesos y conocimientos básicos para el tratamiento de la evidencia digital en potenciales procesos forenses.

Modulo 10: Ciber continuidad del negocio

Permite conocer y gestionar los riesgos en el ciber espacio que pueden interrumpir la operativa del negocio. Se analizan casos y formas de mitigar el impacto de las interrupciones, desarrollar planes de contingencia, continuidad y gestión de crisis en el ciber espacio.

PLATAFORMA YOBLAKA

 

VIDEOS - MODALIDAD MENTORYA

MAS DETALLES SE PROPORCIONAN A LAS PERSONAS PARTICIPANTES DEL PROGRAMA.

interesados favor registrarse en el siguiente formulario

https://docs.google.com/forms/d/e/1FAIpQLSdjdGK638bLH5mdeYAqDwVaVycno1becnH23ma1tZcozkGPtw/viewform?usp=sf_link

 

Las especialidades en Ciber Seguridad quedaran Obsoletas?

Guido Rosales 07/01/2018

Con certeza ya están quedando así. Y no estamos hablando de los gurus en hacking, sino de todas las capas de entusiastas que aprenden hacking con la ilusión de llegar a grandes ligas y convertirse en Hackers Seniors y hacer de esto su forma de vida.

Me simpatiza esas estadísticas internacionales que dicen sobre la gran demanda de profesionales en seguridad y ciber soldados inclusive, cuando vemos ya en el mundo físico que todo esto esta siendo reemplazado por herramientas, equipamiento e inclusive ARMAMENTO DIGITAL.

Me encanta cuando los jóvenes defienden el software libre en su juventud y acaban sobre los 30,  viviendo en el mundo windows. Es muy similar a mis épocas donde teníamos compañeros pro comunismo en las aulas universitarias y ahora dejaron esas jóvenes pasiones por la comodidad del mundo capitalista.

La inteligencia artificial implementada en herramientas de seguridad tanto para el ataque como para la defensa esta eliminando como en muchos campos la necesidad de contar con administradores de seguridad.

Cito 1 ejemplo vividos los 2 últimos años. Tengo varios.

El desarrollo permanente de un sistema de monitoreo de seguridad WEB.

  • Implica desarrolladores permanentes. costo laboral, subjetividad y humor.
  • Implica personal de monitoreo trabajando en horarios especiales. costo laboral duplicado y subjetividad del monitoreo.
  • Todo eso reemplazado por herramientas automatizadas SaaS en la nube. El cliente ni cuenta se da mientras el servicio en lugar de desmejorar ha aumentado su eficiencia, oportunidad, alcance, etc, etc.
  • Costo social. Mínimo 4 a 6 funcionarios.
  • Costo reducido en un 75%
  • Conclusión: OBVIA. Lastimosamente en el mediano y largo plazo tendra un efecto muy negativo para el pais. Pero, cuenta el HOY.

Tampoco hablamos de empresas que como grandes equipos de futbol mantienen el prestigio con no mas de una estrella en su plantel. Es decir por cada 22 jugadores potenciales tienen solo un messi. El resto ni existe en la memoria.!!

El mercado esta mostrando, por lo menos el caso boliviano que el 80% de jóvenes profesionales que comenzaron con proyecto de hackers, ahora solo un 10% están trabajando en Gestión de la Seguridad. Haciendo políticas, análisis de riesgos, planes de continuidad o respondiendo a las entidades de regulación. Pero tareas de hacking o testing de vulnerabilidades? cada vez menos!

El mercado laboral

Llevo formando y lanzando al mercado empresarial unas 5 generaciones de estos profesionales. Su curva de aprendizaje es bastante acelerada, al principio hay mucho entusiasmo. Se puede decir que el primer año queman toda esa curiosidad que en los siguientes dos años se va apagando. al final el 80% termina doblegado por la estabilidad laboral, la presión familiar, cupido y similares.

Las herramientas automatizan el servicio

Por otro lado el mercado de las herramientas automatizada de análisis de vulnerabilidades que los mismos hackers han ayudado a potenciar, les esta quitando el trabajo. Ya no se necesita lidiar con el humor de los hackers que a veces es muy especial e incrementa el Riesgo inherente de la revisión. Las herramientas evalúan una gran cantidad de potenciales vulnerabilidades que no podría llegar el hackers de forma manual.

Evidentemente son complementarias, pero eso hará que no crezca en buena proporción la necesidad de mas hackers junior, sino mantener hackers senior con buenas herramientas. Lo que va a crecer son las facilidades automatizadas para brindar seguridad. Hoy en día por ejemplo solo una cantidad mínima de hackers esta en la capacidad de vulnerar controles de firewalls, IDS, IPS. Si estos han sido bien configurados no tienen forma de hacerlo. Se debe recurrir al hacker senior, pero si esto ya es casi un hecho. Para que ir con el junior?

Ademas esta el tema subjetivo. Cuando los hackers son muy jóvenes se debe lidiar con su caracter, arrogancia, y estado de animo que afecta los resultados de los trabajos. Son tolerables mientras aporten algún PEPAZO o vulnerabilidad detectada. Pero en muchos casos el mismo cliente solo quiere una evaluación razonable. Detectar algo critico le complicaría, entonces es mejor algo para cumplir la regulación.

La capacitación no es mas que un supermercado

Lamentablemente el mercado laboral ha explotado, las ofertas de cursos a todo nivel se han multiplicado. Muchos reenganchados de otras especialidades de la informática hoy son "especialistas" en seguridad. Convertidos que al principio han batallado, ahora son pseudo comprometidos con su única pasión por los ingresos que esta significando.

CONCLUSIÓN

Jóvenes, el mundo de los bits es apasionante, pero el mundo de los dolares da de comer.

 

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023