IntelCon – When Cyber met Intel

La ponencia termina con 10 puntos sobre el futuro que dan mucho que pensar.

Conociendo a los ponentes

José María Blanco (@SEGURINT) es Manager de la Oficina de Inteligencia y Prospectiva en Prosegur. En su larga etapa profesional destacan puestos como director de ciberinteligencia en Cipher y director del Centro de Análisis y Prospectiva de la Guardia Civil. Adicionalmente, Jose es: Codirector del Área de Estudios Estratégicos del Instituto de Ciencias Forenses y de la Seguridad de la UAM. Profesor de Análisis de Inteligencia y de Inteligencia Económica en el Instituto de Ciencias Forenses y de la Seguridad de la UAM, y en otros estudios de posgrado. Profesor asociado en la Universidad Pontificia de Comillas, en diversos dobles grados (asignaturas: Terrorismo Internacional / Seguridad y redes). Investigador en proyectos de la UE en temas como radicalización, terrorismo y crimen organizado.
Jorge Alcaín (@jorgeapro) es PMO Europe Manager en Cipher y Cofundador de ChronosEye, contanto con más de 5 años de experiencia en ciberseguridad, en concreto en el área de arquitectura de ciberseguridad como responsable de calidad y PMO. Además, Jorge es Ingeniero informático con Executive MBA por el IE, con un Máster en Dirección de Proyectos por la Universidad de Alcalá y otro Máster en Ciberseguridad por la IMF Business School.

Puntos tratados en la ponencia

José María Blanco (@SEGURINT) y Jorge Alcaín (@jorgeapro) presentan una ponencia que trata sobre como evolucionamos desde la inteligencia tradicional (utilizada más en el ámbito militar) a la ciberinteligencia, el cual, puede aplicarse tanto en el sector público como en el privado hoy en día. Los puntos tratados en la ponencia son los siguientes: Hacia un Mundo Digital Hacia un concepto de Ciberinteligencia De Intel hacia Ciber De Ciber hacia Intel Describiendo los pasos… Hacia un Mundo Inteligente

Hacia un Mundo Digital

Jorge empieza esta sección de “Hacia un mundo digital” mencionando que el primer paso es cuando el dato en sí pasa de formato físico a otro formato digital, ya inicia un cambio que puede generar tanto un problema como una solución. El segundo paso y probablemente es el más importante es cuando surge Internet y todo lo que conlleva, como por ejemplo el poder comunicarse con alguien a muchos kilómetros de distancia en muy poco tiempo o el poder compartir información. Este segundo paso, lleva a la protección del dato digital por parte de tanto empresas como de países, la protección digital, o hacia la ciberseguridad con tecnologías dedicadas a ello (Firewalls, IPs, IDS, AV, SIEM, etc). Al mismo tiempo, estamos viviendo en una época de interconexión donde compartimos por multitud de canales digitales (Youtube, Facebook, Twitter, Instagram, Tumblr, Imgur, etc) información pública tanto a nivel personal como a nivel de empresa. Esto transforma la seguridad de la empresa para no centrarse solo internamente sino en mirar también fuera para ver que se está diciendo que pueda de alguna manera comprometerla. En el futuro, Jorge espera que sean utilizados muchos otros tipos de tecnología que pudieran impactar en la ciberseguridad (Machine Learning, IoT, Big Data, etc), es por eso que la formación en estas materias tiene que evolucionar también para no quedarnos atrasados.

Hacia un concepto de Ciberinteligencia

José María abre esta sección invitándonos a pensar sobre lo que es la ciberinteligencia, y nos demuestra a través de definiciones dadas por organismos/empresas con reputación que hay muchas maneras de ver la ciberinteligencia. Tras analizar las definiciones anteriores, se intenta buscar una definición consensuada que es la siguiente: -Proceso y producto de la obtención y análisis de datos e información en/sobre el ciberespacio, realizado por especialistas, y orientado a la toma de decisiones en forma, tiempo y lugar.
Acto seguido, José María nos explica los tres tipos de ciberinteligencia: -Estratégica: Enfocada a medio y largo plazo;busca más allá del sector
-Táctica: Donde las batallas se planifican y ejecutan; modus operandi del atacante y sus motivaciones
-Operacional: Orientada a los managers de IT, CIO, CISO; análisis técnico del adversario

De Intel hacia Ciber

En esta primera parte de la tercera sección, José María nos facilita una lista de actividades que comparten tanto la inteligencia tradicional como la ciberinteligencia. La lista en cuestión es la siguiente: 1.Intereses a proteger 2.Fundamentos y doctrina 3.Ciclo de Inteligencia 4.Trabajo con fuentes diversas 5.Técnicas estructuradas de análisis 6.Conocimiento sobre desinformación 7.Prospectiva
La inteligencia tradicional y la ciberinteligencia también comparten procesos como es el ciclo que muchos conocemos y cuyas fases son las siguientes: 1.Planificación 2.Obtención 3.Análisis 4.Difusión 5.Acción
Adicionalmente, otros tipos de metodologías también son comunes entre estas dos disciplinas (técnicas de análisis, método científico, marcos, análisis de riesgos ISO 31000, etc). A pesar de esto, con el paso a la era digital, los analistas ahora también tienen que estar versados en nuevas metodologías que entablen nuevas tecnologías como IA, ML, Data Science, Prospectiva.
Para terminar esta sección, José María nos enseña como la identidad de objetivos y su protección no ha cambiado a pesar de que estemos en una época digital. Estos objetivos son:
1.Personas 2.Infraestructuras 3.Imagen y marca 4.Datos e información 5.Continuidad de negocio 6.Patrimonio

De Ciber hacia Intel

En esta cuarta sección, Jorge nos explica cuáles son los primeros pasos de la ciberinteligencia. Estos son los siguientes:
Activos de información internos Ámbito externo Nuevas amenazas Fugas de información Ingeniería social Jorge argumenta que los siguientes pasos de la ciberinteligencia pueden ser el hacer algo en el mundo digital que tenga un impacto en el mundo físico (utiliza una diapositiva en el que unas personas hackean un coche). También puede ser al revés, y un acto físico tener consecuencias en el ámbito digital.
Lo que Jorge nos quiere comunicar es que tenemos que abrir los ojos por que la ciberinteligencia puede tener muchísimas consecuencias.

Describiendo los pasos…

En esta sección, nos presentan varios marcos o frameworks que nos ayudan a aplicar la ciberinteligencia. Uno de estos frameworks es el NIST Cyber Security Framework con sus fases de Identificar, Proteger, Detectar, Responder y Recuperarse. Otro de los frameworks que nos enseñan es el Ciber Kill Chain y sus fases que hay que tener en cuenta. José María nos cuenta también un caso práctico en el que trabajó sobre la “lucha contra la radicalización online“. Durante este caso (que os invito a verlo en el video directamente), José María relaciona este caso con los modelos aplicables de NIST, Kill Chain y Diamante.

Hacia un Mundo Inteligente

En esta última sección, los ponentes hacen la reflexión sobre los entornos cambiantes y como nos parece que el tiempo cambia muy rápido. Como consecuencia tenemos que intentar adaptarnos a dichos cambios. Para finalizar, los ponentes nos dejan 10 puntos muy interesantes de cara al futuro: Extrema convergencia entre el mundo físico y lógico Prácticamente todos los riesgos para estados, organizaciones, empresas e individuos pueden tener aspectos tanto físicos como lógicos. Desde ambas inteligencias se trata de proteger los mismos intereses: personas, infraestructuras, imagen y marca, datos e información, patrimonio y continuidad de negocio. INTEL no es una ciencia. Debe ser desarrollada en muchos ámbitos La INTEL precisa pragmatismo, uso de cualquier fuente o metodología que sea ÚTIL para apoyar toma de decisiones. NO DEBEMOS SER DOGMÁTICOS La INTEL recoge marcos y metodologías de muchas disciplinas ajenas, de las ciencias sociales Las 2 INTEL precisan de aproximaciones cuantitativas y cualitativas, para abordar la complejidad de los riesgos de nuestro mundo. IA, Machine learning, data science como aproximaciones muy relacionadas La INTEL debe ser HOLÍSTICA. Para conocer el ciberespacio es preciso conocer el mundo físico y viceversa. Geopolítica, estrategia, conocimiento de las organizaciones, etc… Prospectiva. Ir más allá del cortoplacismo, de lo inmediato. ANTICIPAR MUNDO COMPLEJO. TENDREMOS CISNES NEGROS. Anticipar (ciberinteligencia) + Resiliencia (FDIR). No compartimentar la Inteligencia

Visualización del video de la ponencia