seguridad en web 2.0
TRANSCRIPT
Seguridad en Web 2.0Seguridad en Web 2.0La otra cara de la moneda
Franz Hassmann
15 Julio 2009 Seguridad en la Web 2.0Página 2
Agenda
► Introducción
►El reto de la seguridad
►Conclusiones
15 Julio 2009 Seguridad en Web 2.0Página 3
Introducción
1
15 Julio 2009 Seguridad en Web 2.0Página 4
Un nuevo paradigma
Tim O'Reilly, 2004
Web 2.0 “Segunda generación en la historia de la Web basada en comunidades de usuarios y una gama especial de
servicios, como las redes sociales, los blogs, los wikis o las folcsonomías, que fomentan la colaboración y el
intercambio ágil de información entre los usuarios”
• Servicio web (virtualización)• Comunicación en tiempo real• Personalización• Contenido sobre tecnología
Comunicación Comunidad
Cooperación
15 Julio 2009 Seguridad en Web 2.0Página 5
El reto de la seguridad
2
15 Julio 2009 Seguridad en Web 2.0Página 6
Algunas puntualizaciones previas
► Todo se centra en el usuario (comunidad, cooperación, comunicación)► Conocimiento compartido► Origen / difusión información se diluye
►Uso corporativo (blogs, microblogs, wikis, redes sociales…)► Nuevo modelo de comunicación con clientes (+ segmentación)► Gestión de marca y reputación► Innovación, gestión del conocimiento► El entorno de control (y difusión) es mayor
►Uso personal (redes sociales, microblogs, blogs…)► Crecimiento exponencial de usuarios
► Ley de Metcalfe: “El valor de una red es igual al cuadrado del número de usuarios que la componen”
► Virulencia, enorme capacidad de propagación► No es posible borrar información una vez publicada
15 Julio 2009 Seguridad en Web 2.0Página 7
Arquitectura Tecnológica Web 2.0
Servidorde aplicaciones
Repositorios de datos
Componentes ydatos de terceros
Servidorweb
Usuario
► Basada exclusivamente en la Web► Los usuarios controlan su propia información► Fácil introducción / extracción de información
Nuevo Paradigma
15 Julio 2009 Seguridad en Web 2.0Página 8
El cambio de paradigma
► Basada exclusivamente en la Web► Los usuarios controlan su propia información► Fácil introducción / extracción de información
Nuevo Paradigma
Tecnología Comportamiento
El Modelo Web 2.0 es se focaliza en las personas y su información
más que en la tecnología
RIESGOS DE SEGURIDAD
15 Julio 2009 Seguridad en Web 2.0Página 9
Implicaciones del modelo Tecnología
► Dificultad de pruebas exhaustivas► Diseño y documentación pobre
• Presión en el Time to market• Metodología CVD menos estructurado• Modelos de hosting• Integración de módulos de terceros• Escasa madurez del software (beta
continua)• Mayor uso de SaaS
• Basada exclusivamente en Web
• Gran nivel de personalización• Cesión de datos a terceras aplicaciones /
partes • Propagación muy rápida de información
• Los usuarios controlan su propia información
• Fácil introducción y extracción de información
►Modelos de seguridad inadecuados
Mayor complejidad tecnológica, personalización y menor time tomarket supone mayores retos
15 Julio 2009 Seguridad en Web 2.0Página 10
Ejemplos tangibles: de Tecnología
15 Julio 2009 Seguridad en Web 2.0Página 11
Implicaciones del modelo
• La información es gestionada directamente por el usuario
• Los usuarios creen que están en un entorno “seguro” (redes sociales)
• Propagación muy rápida de información• Imposibilidad de “borrar” información una
vez publicada• PUBLICACIÓN DE INFORMACIÓN
PRIVADA
• Los usuarios controlan su propia información
• Fácil introducción y extracción de información
►Modelos de seguridad inadecuados
Comportamiento
► Fuga de información► Software malicioso► Uso no autorizado de
aplicaciones Web 2.0
• Presión en el Time to market• Metodología CVD menos estructurado• Modelos de hosting• Integración de módulos de terceros• Escasa madurez del software (beta
continua)• Mayor uso de SaaS
• Basada exclusivamente en Web
El perímetro de seguridad tradicional se diluye y el modelo depende de las
personas y su información
15 Julio 2009 Seguridad en Web 2.0Página 12
Ejemplos tangibles: de Comportamiento
15 Julio 2009 Seguridad en Web 2.0Página 13
Riesgos de seguridad: visión completa
► Basada exclusivamente en la Web► Los usuarios controlan su propia información► Fácil introducción / extracción de información
Nuevo Paradigma
Tecnología Comportamiento
► Dificultad de pruebas exhaustivas► Diseño y documentación pobre► Modelos de seguridad inadecuados
► Fuga de información► Software malicioso► Uso no autorizado de aplicaciones Web 2.0
El Modelo Web 2.0 es se focaliza en las personas y su información
más que en la tecnología
15 Julio 2009 Seguridad en Web 2.0Página 14
Visión global de los riesgos en entorno 2.0
► Privacidad► Suplantación de identidad► Ingeniería social► Pérdida de confidencialidad
Usuario
Servicio web 2.0 Componentes ydatos de terceros► Vulnerabilidades técnicas
► Malware
Servicio web 2.0 corporativo
Servicios en externalización
► Vulnerabilidades técnicas► Malware► Disponibilidad
► Datos de carácter personal► Modelo seguridad inadecuado
► Confidencialidad
► Fuga de información► Privacidad► Pérdida de imagen
Servicio SaaS
Empleado
15 Julio 2009 Seguridad en Web 2.0Página 15
Tecnología Personas
¿Cómo afrontar el problema?
Procesos
Estrategia
Sopo
rte
Alin
eam
ient
o
Factor técnico Factor humano
Nivel estratégico
Nivel táctico
Nivel operativo
Comportamientos
Organización
Equilibrio
Fuente: Instituto de Empresa
15 Julio 2009 Seguridad en Web 2.0Página 16
¿Cómo paliar el problema?
Personas
► Fuga de información► Software malicioso► Uso no autorizado de
aplicaciones Web 2.0Procesos
Infraestructura ¿Filtros de acceso? DLP / Filtrado de contenido
Seguridad CVD
Aplicaciones / Servicios
Revisión de seguridad de código Hacking ético
Formación y concienciación de seguridad
Tecnología
►Dificultad de pruebas exhaustivas►Diseño y
documentación pobre►Modelos de seguridad
inadecuados
Monitorización de marca / reputación
15 Julio 2009 Seguridad en Web 2.0Página 17
Conclusiones
3
15 Julio 2009 Seguridad en Web 2.0Página 18
Conclusiones
►La adopción de la Web 2.0 es un hecho y no es posible obviar los riesgos que conlleva su uso
►Nuevo paradigma: el usuario y el contenido mandan►El modelo de seguridad actual empleado la Web 1.0 tiene
que evolucionar desde dos vertientes, ya no es válido:► Ámbito técnico: foco en el desarrollo y el control de acceso► Ámbito del comportamiento: EDUCAR y CONCIENCIAR
►NO es un problema de IT !!!► Trabajo conjunto RRHH, Comunicación, IT, Seguridad
Con las medidas adecuadas y un uso responsable la Web 2.0 ofrece todo un mundo de posibilidades en términos de
comunicación y colaboración
Muchas GraciasMuchas [email protected]