seguridad en web 2.0

Seguridad en Web 2.0Seguridad en Web 2.0La otra cara de la moneda

Franz Hassmann

15 Julio 2009 Seguridad en la Web 2.0Página 2

Agenda

► Introducción

►El reto de la seguridad

►Conclusiones

15 Julio 2009 Seguridad en Web 2.0Página 3

Introducción

1


Un nuevo paradigma

Tim O'Reilly, 2004

Web 2.0 “Segunda generación en la historia de la Web basada en comunidades de usuarios y una gama especial de

servicios, como las redes sociales, los blogs, los wikis o las folcsonomías, que fomentan la colaboración y el

intercambio ágil de información entre los usuarios”

• Servicio web (virtualización)• Comunicación en tiempo real• Personalización• Contenido sobre tecnología

Comunicación Comunidad

Cooperación


El reto de la seguridad

2


Algunas puntualizaciones previas

► Todo se centra en el usuario (comunidad, cooperación, comunicación)► Conocimiento compartido► Origen / difusión información se diluye

►Uso corporativo (blogs, microblogs, wikis, redes sociales…)► Nuevo modelo de comunicación con clientes (+ segmentación)► Gestión de marca y reputación► Innovación, gestión del conocimiento► El entorno de control (y difusión) es mayor

►Uso personal (redes sociales, microblogs, blogs…)► Crecimiento exponencial de usuarios

► Ley de Metcalfe: “El valor de una red es igual al cuadrado del número de usuarios que la componen”

► Virulencia, enorme capacidad de propagación► No es posible borrar información una vez publicada


Arquitectura Tecnológica Web 2.0

Servidorde aplicaciones

Repositorios de datos

Componentes ydatos de terceros

Servidorweb

Usuario

► Basada exclusivamente en la Web► Los usuarios controlan su propia información► Fácil introducción / extracción de información

Nuevo Paradigma


El cambio de paradigma


Nuevo Paradigma

Tecnología Comportamiento

El Modelo Web 2.0 es se focaliza en las personas y su información

más que en la tecnología

RIESGOS DE SEGURIDAD


Implicaciones del modelo Tecnología

► Dificultad de pruebas exhaustivas► Diseño y documentación pobre

• Presión en el Time to market• Metodología CVD menos estructurado• Modelos de hosting• Integración de módulos de terceros• Escasa madurez del software (beta

continua)• Mayor uso de SaaS

• Basada exclusivamente en Web

• Gran nivel de personalización• Cesión de datos a terceras aplicaciones /

partes • Propagación muy rápida de información

• Los usuarios controlan su propia información

• Fácil introducción y extracción de información

►Modelos de seguridad inadecuados

Mayor complejidad tecnológica, personalización y menor time tomarket supone mayores retos


Ejemplos tangibles: de Tecnología


Implicaciones del modelo

• La información es gestionada directamente por el usuario

• Los usuarios creen que están en un entorno “seguro” (redes sociales)

• Propagación muy rápida de información• Imposibilidad de “borrar” información una

vez publicada• PUBLICACIÓN DE INFORMACIÓN

PRIVADA

• Los usuarios controlan su propia información

• Fácil introducción y extracción de información

►Modelos de seguridad inadecuados

Comportamiento

► Fuga de información► Software malicioso► Uso no autorizado de

aplicaciones Web 2.0

• Presión en el Time to market• Metodología CVD menos estructurado• Modelos de hosting• Integración de módulos de terceros• Escasa madurez del software (beta

continua)• Mayor uso de SaaS

• Basada exclusivamente en Web

El perímetro de seguridad tradicional se diluye y el modelo depende de las

personas y su información


Ejemplos tangibles: de Comportamiento


Riesgos de seguridad: visión completa


Nuevo Paradigma

Tecnología Comportamiento

► Dificultad de pruebas exhaustivas► Diseño y documentación pobre► Modelos de seguridad inadecuados

► Fuga de información► Software malicioso► Uso no autorizado de aplicaciones Web 2.0

El Modelo Web 2.0 es se focaliza en las personas y su información

más que en la tecnología


Visión global de los riesgos en entorno 2.0

► Privacidad► Suplantación de identidad► Ingeniería social► Pérdida de confidencialidad

Usuario

Servicio web 2.0 Componentes ydatos de terceros► Vulnerabilidades técnicas

► Malware

Servicio web 2.0 corporativo

Servicios en externalización

► Vulnerabilidades técnicas► Malware► Disponibilidad

► Datos de carácter personal► Modelo seguridad inadecuado

► Confidencialidad

► Fuga de información► Privacidad► Pérdida de imagen

Servicio SaaS

Empleado


Tecnología Personas

¿Cómo afrontar el problema?

Procesos

Estrategia

Sopo

rte

Alin

eam

ient

o

Factor técnico Factor humano

Nivel estratégico

Nivel táctico

Nivel operativo

Comportamientos

Organización

Equilibrio

Fuente: Instituto de Empresa


¿Cómo paliar el problema?

Personas

► Fuga de información► Software malicioso► Uso no autorizado de

aplicaciones Web 2.0Procesos

Infraestructura ¿Filtros de acceso? DLP / Filtrado de contenido

Seguridad CVD

Aplicaciones / Servicios

Revisión de seguridad de código Hacking ético

Formación y concienciación de seguridad

Tecnología

►Dificultad de pruebas exhaustivas►Diseño y

documentación pobre►Modelos de seguridad

inadecuados

Monitorización de marca / reputación


Conclusiones

3


Conclusiones

►La adopción de la Web 2.0 es un hecho y no es posible obviar los riesgos que conlleva su uso

►Nuevo paradigma: el usuario y el contenido mandan►El modelo de seguridad actual empleado la Web 1.0 tiene

que evolucionar desde dos vertientes, ya no es válido:► Ámbito técnico: foco en el desarrollo y el control de acceso► Ámbito del comportamiento: EDUCAR y CONCIENCIAR

►NO es un problema de IT !!!► Trabajo conjunto RRHH, Comunicación, IT, Seguridad

Con las medidas adecuadas y un uso responsable la Web 2.0 ofrece todo un mundo de posibilidades en términos de

comunicación y colaboración

Muchas GraciasMuchas [email protected]

mailto:[email protected]

seguridad en web 2.0

Documents