Normas tecnicas de la UIT-T e intercambio de informaci n ... · International Telecommunication...
Transcript of Normas tecnicas de la UIT-T e intercambio de informaci n ... · International Telecommunication...
InternationalTelecommunicationUnionSalta, Argentina
01-05 November 2010
Sesión 2: Normas técnicas e intercambio de información confiable para se mejorar la Ciberseguridad en el Hemisferio y construir una Cultura Hemisférica de Ciberseguridad
Antonio GuimaraesVice-Presidente de la CE 17 de la UIT-T
TALLER REGIONAL “COOPERACIÓN INTERNACIONAL PARA CONSTRUIR UNA
CULTURA DE CIBERSEGURIDAD HEMISFÉRICA”
Normas técnicas de la UIT-T eintercambio de información confiable
InternationalTelecommunicationUnion 2Salta, Argentina
01-05 November 20102
TemarioUIT-T y la Seguridad
Estructura de la UIT-TComisiones de EstudioContexto Estratégico
Comisión de Estudios 17Rol y mandatoEstructura de la CE 17Proyectos e iniciativas
Iniciativas de la CE 17Proyecto de Seguridad de UIT-TIntercambio de informaciónGestión de Identidad (IdM)
Próximos pasosMirando hacia el futuro
InternationalTelecommunicationUnion 3Salta, Argentina
01-05 November 20103
TemarioUIT-T y la Seguridad
Estructura de la UIT-TComisiones de EstudioContexto Estratégico
Comisión de Estudios 17Rol y mandatoEstructura de la CE 17Proyectos e iniciativas
Iniciativas de la CE 17Proyecto de Seguridad de UIT-TIntercambio de informaciónGestión de Identidad (IdM)
Próximos pasosMirando hacia el futuro
InternationalTelecommunicationUnion 4Salta, Argentina
01-05 November 2010
GANTGANT
AMNT Asamblea Mundial de Normalización de las
Telecomunicaciones
…… CECE
Talleres,seminarios,
simposios, …
PI
GT
Cuestiones: Desarrollo de Recomendaciones
CECE
GT GT GT
Q
GF
QQQ
Promo.
GrupoFaro
GrupoRegional
GSI
JCAJCA
Estructura de la UIT-T
InternationalTelecommunicationUnion 5Salta, Argentina
01-05 November 2010
Comisiones de Estudio de la UIT-T
CE 2Aspectos operativos de la prestación de servicios y de la gestión de telecomunicaciones
CE 3 Principios de tarificación y contabilidad, incluidos los temas relativos a economía y política de las telecomunicaciones
CE 5 Efectos del entorno y cambios climáticos
CE 9 Transmisión de sonido y televisión y redes decable de banda ancha integradas
CE 11 Requisitos de señalización, protocolos y especificaciones de pruebas
CE 12 Calidad de funcionamiento, calidad deservicio y calidad percibida
CE 13 Redes futuras, incluidas las redes móviles ylas de la próxima generación (NGN)
CE 15 Infraestructuras de las redes ópticas de transporte y las redes de acceso
CE 16 Codificación, sistemas y aplicaciones multimediosCE 17 Seguridad
Relaciones
InternationalTelecommunicationUnion 6Salta, Argentina
01-05 November 2010
Contexto EstratégicoLínea de Acción C5 de la CMSI, construyendo la confianza y la seguridad en la utilización de las TICPP-06 Resolución 130, reforzar el papel de la UIT en el fomento de la confianza y seguridad en las TIC
El Director de la TSB debe hacer proyectos para mejorar la cooperación sobre ciberseguridad y la lucha contra el spam, para responder a las necesidades de los países en desarrollo
PP-06 Resolución 149, estudio de las definiciones y terminología relativas a la creación de confianza y seguridad en la utilización de las TIC
Crear un GT en el Consejo para estudiar la terminología y fomentar la confianza y seguridad en la utilización de las TIC
AMNT-08 Resoluciones 2, 50, 52, 58 y 76Mandatos de la CE 17, ciberseguridad, lucha contra el correo basura, fomento a la creación de CIRTs nacionales, en particular en países en desarrollo y estudios para pruebas de conformidad e interoperabilidad, asistencia a países en desarrollo
InternationalTelecommunicationUnion 7Salta, Argentina
01-05 November 2010
CONFERENCIA PLENIPOTENCIARIOS
RESOLUCIÓN WGPL/9 (Guadalajara 2010)Definiciones y terminologías relacionadas con la creación de confianza y seguridad en la utilización de las tecnologías de la información y comunicación (TICs)
RESOLUCIÓN 130 (Rev. Guadalajara, 2010)Reforzando el rol de la UIT en la creación de confianza y seguridad en la utilización de las tecnologías de la información y comunicación;
RESOLUCIÓN WGPL/1 (Guadalajara 2010)El rol de la UIT en los temas de política pública relativos al riesgo de uso ilícito de las tecnologías de la información y de comunicación
InternationalTelecommunicationUnion 8Salta, Argentina
01-05 November 20108
TemarioUIT-T y la Seguridad
Estructura de la UIT-TComisiones de EstudioContexto Estratégico
Comisión de Estudios 17Rol y mandatoEstructura de la CE 17Proyectos e iniciativas
Iniciativas de la CE 17Proyecto de Seguridad de UIT-TIntercambio de informaciónGestión de Identidad (IdM)
Próximos pasosMirando hacia el futuro
InternationalTelecommunicationUnion 9Salta, Argentina
01-05 November 2010
Rol y mandatos de la CE 17
Comisión de estudio líder en la seguridad de las telecomunicaciones, la gestión de identidades (IdM) y los lenguajes y las técnicas de descripciónResponsable de los estudios relativos a la seguridad, incluyendo ciberseguridad, lucha contra spam y gestión de identidades (IdM)Responsable por la Interconexión de Sistemas Abiertos, incluyendo directorios [X.509], identificadores de objetos, lenguajes técnicas y el método para su uso y otras cuestiones relacionadas con software de sistemas de comunicaciones.
InternationalTelecommunicationUnion 10
Estructura de la CE 17
GT 1 GT 2 GT 3
Seg
uridad
de la red
y lainform
ación
Seg
uridad
deAplicación
Gestión de iden
tidad
y len
guajes
Q10 IdM
Q11 Directorio
Q12 ASN.1, OID
Q13 Leguajes
Q14 Pruebas
Q15 OSI
Q8 SOA
Q9 Telebiometría
Q7 Aplicaciones
Q6 Serviciosubicuos
Proyecto deseguridadQ1
Q2 Arquitectura
Gestión de laseguridad
Q4 Cibersecuridad
Q5 Lucha contraspam
Res.50Res.52Res.58
Res.76
Salta, Argentina01-05 November 2010
Q3
InternationalTelecommunicationUnion
Lucha contra amenazas a las redesmuchas amenazas comunes en las redes son spam, códigos maliciosos o spyware.se requiere notificación oportuna y difusión de cambios y hay necesidad de organización y coherencia en el manejo de incidentes de seguridad
11
Texto Voz Video
Tiempo real
• spam en mensaje instantáneo
• spam en chat
• spam en VoIP
• spam en mensaje instantáneo
• spam en mensaje instantáneo
Notiemporeal
• spam en mensaje de texto multimedios
• spam de texto en servicio de intercambio de archivos P2P
• spam de texto en sitio de la web
• spam en mensaje de voz multimedios
• spam de voz en servicio de intercambio de archivos P2P
• spam de voz en sitio de la web
• spam en mensaje de video multimedios
• spam de voz en servicio de intercambio de archivos P2P
• spam de video en sitio de la web
Salta, Argentina01-05 November 2010
InternationalTelecommunicationUnion
Arquitecturas de seguridad (X.805)marco en el que las múltiples facetas de la seguridad se pueden aplicar de forma coherente.
12Salta, Argentina01-05 November 2010
Capa de Aplicación
Controlde acceso
Autenticación
Não repudio
Confidencialidad
Comunicación fina fin
Integridad
Disponibilidad
PrivacidadCapa de Servicios
Capa de Infraestrutura
8 Dimensiones de Seguridad
Plan del usuario final
Plan de controlPlan de gestión
Destrución
Corrupción
Remoción
Revelación
Interrupción
Amenazas
Ataques
Vulnerabilidades
InternationalTelecommunicationUnion 13Salta, Argentina
01-05 November 2010
Recomendaciones de seguridad
Recomendaciones en desarrollo:más de 100 en desarrollo para aprobación en este periodo de estudio, en colaboración con otras SDOs
Los temas incluyen:• Arquitectura y marcos• Servicios de la web• Directorios • Gestión de identidades • Gestión de riesgo • Ciberseguridad • Gestión de incidentes• Seguridad Móvil• Lucha contra spam • Gestión de la seguridad de la información• aplicaciones seguras• Tele biometría• servicios de comunicación ubicuos • IPTV
Temas en destaque:• Rastreo • Redes de sensores ubicuos• SOA • Privacidad • Marco para intercambio global de información de ciberseguridad (CYBEX)
InternationalTelecommunicationUnion 14Salta, Argentina
01-05 November 201014
TemarioUIT-T y la Seguridad
Estructura de la UIT-TComisiones de EstudioContexto Estratégico
Comisión de Estudios 17Rol y mandatoEstructura de la CE 17Proyectos e iniciativas
Iniciativas de la CE 17Proyecto de Seguridad de UIT-TIntercambio de informaciónGestión de Identidad (IdM)
Próximos pasosMirando hacia el futuro
InternationalTelecommunicationUnion 15Salta, Argentina
01-05 November 2010
Q.1/17 – Proyecto de seguridadCoordinación de Seguridad
Coordinar en la CE 17, con otras CEs, UIT-D y externamente
Mantener informados el GANT, ISO/IEC/ITU-T SAG-S…Participar en talleres/seminarios (Global Std. Collaboration)Mantener informaciones de referencia (Lead SG security page)
Compendios de SeguridadActualización regular del catalogo de Recomendaciones aprobadas relativas a seguridad y definiciones de seguridad extraídas de estas Recomendaciones
Guía de Estándares de Seguridad de las TICsBase de datos con mecanismo de búsqueda de normas de seguridad de TICs aprobadas de la UIT-T y otros (por ej., ISO/IEC, IETF, ETSI, IEEE, ATIS)
Manual de Seguridad de la UIT-T (4a. edición 4Q/2009)Uso de normas de seguridad en negocios (nuevo)
InternationalTelecommunicationUnion 16Salta, Argentina
01-05 November 2010
Estrategia para normas de seguridadEnfoque de arriba hacia abajo para complementar el trabajo impulsado por contribuciones
garantizar la pertinencia de las normas de seguridad, manteniéndolas al día con el desarrollo de tecnologías y tendencias de los operadores (en el comercio electrónico, pagos electrónicos, telemedicina, prevención de fraude, gestión e identificación de fraude, IPTV, sistemas de facturación, creación de infraestructura de identidad digital, video bajo demanda, las redes ubicuas, etc.
Monitorear la considerable atención hoy atribuida a la confianza entre operadores de redes y proveedores de infraestructura de comunicaciones, en particular, para el hardware de comunicación y e software de seguridad, incluyendo las cuestiones de como la confianza puede ser establecida y/o incrementada
InternationalTelecommunicationUnion 17
Manual de Seguridad
Requisitos de seguridadArquitecturas de seguridadAspectos de gestión de seguridadEl directorio, autenticación y gestión de identidadSeguridad infraestructura de redEnfoques específicos para la seguridad de la redSeguridad de la aplicaciónLucha contra amenazas comunes a las redesFuturo de la normalización de la seguridad TIC/telecomunicación
Vista general de las actividades de seguridad
Salta, Argentina01-05 November 2010
InternationalTelecommunicationUnion
Guía de Estándares de Seguridad
Parte 1: Organizaciones de Desarrollo de Normas de TICsy su trabajo;
Parte 2: Normas de seguridad de TICs aprobadas (base de datos con links directos);
Parte 3: Normas de Seguridad en desarrollo;
Parte 4: Necesidades futuras y nuevas normas de seguridad propuestas; y
Parte 5: Mejores prácticas.
Salta, Argentina01-05 November 2010
InternationalTelecommunicationUnion
Compendios de Seguridad
Información detallada sobre:Catálogo de Recomendaciones aprobadas relativas a seguridad de las telecomunicaciones;Definiciones de seguridad, extraídas de Recomendaciones de la UIT-T aprobadas;Resumen de las Comisiones de Estudio de UIT-T con actividades relacionadas con la seguridad;Sumario de Recomendaciones en revisión por consideraciones de seguridad;Sumario de otras actividades de seguridad de la UIT.
Salta, Argentina01-05 November 2010
InternationalTelecommunicationUnion 20
Base de Seguridad para Operadores
Salta, Argentina01-05 November 2010
InternationalTelecommunicationUnion 21Salta, Argentina
01-05 November 2010
Reducir la brecha de normalización
Estudio efectuado por la CE 17 en Mayo de 2008La preocupación por la seguridad cibernética es alta en las administraciones que respondieron a la encuesta (países en desarrollo y con las economías en transición)
Hay mucho interés en la posibilidad de obtener, de la UIT, asesoramiento y/o asistencia en seguridad de TICs
La UIT necesita mejorar la promoción de sus productos de seguridad de TICs e los países en desarrollo/ET
La conciencia de la importancia del Directorio (X.509) para la seguridad de las TIC es relativamente baja
La mayoría de las administraciones de países en desarrollo/ET que respondieron no han evaluado sus necesidades Servicios de Directorio para seguridad
La UIT generó un informe ocho recomendaciones
InternationalTelecommunicationUnion 22Salta, Argentina
01-05 November 2010
Normas de Seguridad para NegociosInforme con la descripción resumida de las normas de seguridad más utilizadas para negocios
situación y resumen de estándares• ¿A quién la norma afecta? • Ventajas al negocio• Tecnologías involucradas •Implicaciones técnicas
La CE 17 está consultando otras organizaciones (SDO) para que contribuyan con este esfuerzo
Beneficiaría principalmente a las organizaciones que tienen planes de implementar seguridad en las TICs
La CE 17 considera que los países en desarrollo y países con economías en transición deberán estar especialmente interesados en los resultados
InternationalTelecommunicationUnion 23Salta, Argentina
01-05 November 2010
Q.4/17 - CiberseguridadLa ciberseguridad es la colección de herramientas, políticas, conceptos y medidas de seguridad, guías, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, garantías y tecnologías que se pueden utilizar para proteger el entorno cibernético y los activos del usuario y de la organización. Activos de la organización y de los usuarios incluyen los, servicios, sistemas de telecomunicaciones, dispositivos informáticos, personal, aplicaciones y toda información transmitida y/o almacenada en el entorno cibernético.La ciberseguridad se esfuerza por asegurar el logro y mantenimiento de las propiedades de seguridad de la organización y activos de los usuarios frente a los riesgos de seguridad en el entorno cibernético. Los objetivos generales de seguridad son los siguientes:
DisponibilidadIntegridad (puede incluir la autenticidad y el no repudio)Confidencialidad (Rec. X.1205)
InternationalTelecommunicationUnion 24Salta, Argentina
01-05 November 2010
Ciberseguridad – trabajos en curso• X.abnot, detección de tráfico anormal y directriz de control para redes de telecomunicación • X.bots, Marcos para detección y respuesta a botnets • X.capec, enumeración y clasificación de patrones de ataque comunes • X.cce, Enumeración de configuración común • X.cee, Expresión de evento común • X.chirp, Heurística de ciberseguridad y protocolo para pedido de información • X.cpe, Enumeración de plataforma común • X.crf, Formato de resultado común • X.cve, vulnerabilidades y exposiciones comunes • X.cvss, Sistema de puntuación para vulnerabilidad común•X.cwe, Enumeración de debilidades comunes • X.cwss, Sistema de puntuación para debilidades comunes • X.cybex, Marco ara intercambio de informaciones de ciberseguridad • X.cybex.1, Arco identificador de objeto (OID) para intercambio de información de ciberseguridad • X.cybex.2, Uso de XML en el marco intercambio de información de ciberseguridad • X.cybex-beep, Definición del protocolo de intercambio de bloques extensible (BEEP) en el perfil de intercambio de información de seguridad cibernética • X.cybex-disc, Mecanismos de descubrimiento en el intercambio de información cibernética • X.cybex-tp, protocolos de transporte del soporte al intercambio de información de seguridad cibernética • X.dexf, Formato de archivos para intercambio de dados forenses • X.dpi, Formato de intercambio para inspección profunda de paquetes • X.eipwa, Intercambio de información para la prevención de ataques basados en Web • X.gopw, Orientación sobre la prevención de propagación de código malicioso en una red de comunicación de datos • X.gpn, mecanismo y procedimiento para la difusión de las políticas de seguridad de la red • X.gridf, Formato de intercambio para incidentes en redes eléctricas inteligentes (SmartGrid) • X.iodef, Formato de intercambio de objeto en incidentes • X.oval, Lenguaje para vulnerabilidades y evaluación • X.pfoc, Formato de intercambio para Phishing, fraude y otros crimeware •X.scap, Protocolo de automatización de contenido de seguridad • X.sips, Marco para lucha contra ciber ataques en servicios basados en el protocolo de iniciación de sesión (SIP) • X.sisfreq, casos de uso y capacidades de intercambio de información de ciberseguridad • X.tb-ucc, Casos de uso y capacidades de rastreo • X.teef, Formato de intercambio para localización de ciber-ataques • X.trm, Mecanismos de rastreo •X.xccdf, Formato de descripción de lista de configuración extensible
InternationalTelecommunicationUnion 25Salta, Argentina
01-05 November 2010
CYBEXMarco de Intercambio de Información de CiberseguridadInformación estructurada o conocimiento sobre:
La “situación" de los equipos, softwares o sistemas basados en redes en relación a la seguridad cibernética, especialmente las vulnerabilidadesAspectos forenses relacionados con incidentes o eventosHeurística y firmas, adquiridas en eventos experimentadosPartes que implementen capacidades de intercambio de información de ciberseguridad, dentro de este marcoEspecificaciones para el intercambio de información de seguridad cibernética, incluyendo los módulos, esquemas y números asignadosLas identidades y los atributos de confianza de todo lo anteriorRequisitos para la aplicación, directrices y prácticas
InternationalTelecommunicationUnion 26Salta, Argentina
01-05 November 2010
CYBEX - Finalidad
Habilitar capacidades globales para el intercambio estructurado de información de ciberseguridad a través de:
identificación e integración de "lo mejor del mercado" actual en estándares de plataforma
según necesidad, hacer las normas existentes de más globales e interoperables
Ir más allá de las directrices y facilitar la adecuación y amplia aplicación de las capacidades básicas ya desarrolladas en las comunidades de ciberseguridad
InternationalTelecommunicationUnion 27Salta, Argentina
01-05 November 2010
CYBEX - Capacidades y contexto
CYBEX permite capacidades de intercambio para todo el ecosistema de ciberseguridad, mediante el establecimiento de flujos de información estructurada
InternationalTelecommunicationUnion 28Salta, Argentina
01-05 November 2010
CIBEX – Orientación Estratégica
La seguridad cibernética ha significativamente evolucionado con lanzamiento de estrategias de ciberseguridad y iniciativas internacionales -por ejemplo, AMNT-Res. 58 y estrategias de seguridad cibernética do Reino Unido y EE.UU. Creación de CIRTs nacionales, en todo el mundoDarse cuenta de que
la cooperación mundial es esencial para mejorar la seguridad cibernética normas probadas de intercambio de información de seguridad cibernética y las enumeraciones ya en uso necesitan ser "globalizadas"comunidades de ciberseguridad “aisladas” deben trabajar en conjunto
InternationalTelecommunicationUnion 29Salta, Argentina
01-05 November 2010
Cybex - DesafíosMantenerse por delante de las necesidades de:
vulnerabilidadesincidentes
Haciendo las comunidades aisladas de seguridad cibernética cooperar efectivamente
incluye el uso de un esquema global de identificación de intercambio de seguridad cibernética
Uso de plataformas de gestión de identidades y modelos de confianza en la infraestructura
amplio despliegue de "certificados de validación extendida" para la confianza de proveedor/organizaciónque aceptan la diversidad de partes y niveles/requisitos de seguridad
Hacer seguridad cibernética "mensurable"
InternationalTelecommunicationUnion 30Salta, Argentina
01-05 November 2010
Desarrollo de una Recomendación marco - X.cybexuna solución para promover los procesos globales, coherentes e interoperables para el intercambio de informaciones relacionados con respuesta a incidentesesfuerzo a gran escala para traer lo mejor de las actuales normas de intercambio de información de ciberseguridadpara la UIT y facilitar la interoperabilidad/confianza global
para el estado, las vulnerabilidades, los incidentes y la heurística de la seguridad cibernética
Facilitado porun esquema global de identificación de intercambio de ciberseguridad para organizaciones de seguridad cibernética, identificadores de información y políticascertificados de validación extendida basados en X.509
Proveer de una estrecha relación de trabajo con la principal organización de CIRT / CERT (FIRST)Ayudar a los países en desarrollo a establecer sus CIRTs nacionales
CYBEX – Puntos Clave
InternationalTelecommunicationUnion 31Salta, Argentina
01-05 November 2010
¿A quién y en qué se aplica CYBEX?
Debido a que CYBEX proporciona especificaciones de intercambio de información de ciberseguridadcon tecnología neutral, puede ser aplicado por
cualquier sistema o producto utilizando una redcualquier fabricante, proveedor de servicio o de redcualquier agencia u organización que especifica, administra o regula los anteriores
Especificaciones especialmente relevantes paraEquipos de Respuesta a Incidentes Informáticos (CIRTs) que deben intercambiar información sobre los incidentesLas fuerzas de seguridad que deben intercambiar informaciones forensesCualquier entidad que debe hacer frente a todo lo anterior
31
InternationalTelecommunicationUnion 32Salta, Argentina
01-05 November 2010
CYBEX – Modelo Básico
Adquisición deinformación deciberseguridad
(fuera del alcance*)
Utilización deinformación deciberseguridad
(fuera del alcance*)
� Información estructurada� Identificación/descubierta de información/entidades de seguridad cibernética
� Intercambio confiable
Entidades deCiberseguridad
Entidades deCiberseguridad
*Algunas implementaciones especiales para intercambio de ciberseguridadpueden requerir marcos con capacidades de adquisición e uso específicas
Para cada área: Identificar las normas existentes y llevar algunas de ellasa la UIT-T como Recomendaciones de la serie X y complementar, según sea necesario, para obtener la interoperabilidad mundial
InternationalTelecommunicationUnion 33Salta, Argentina
01-05 November 2010
CYBEX – Próximos PasosEn la última reunión de la CE 17, acciones históricas fueron tomadas buscando mejorar sustancialmente la seguridad cibernética mundial.CYBEX integra más de veinte de las mejores normas de su clase para plataformas desarrolladas en los últimos años por agencias gubernamentales y la industria.Estas plataformas capturan e intercambian informaciones del "estado" de seguridad de sistemas y dispositivos, vulnerabilidades, incidentes (como los ciber-ataques) y relacionadas con el conocimiento "heurístico", de forma a:
1. “bloquear" los sistemas en línea para reducir al mínimo las vulnerabilidades,
2. capturar información de incidentes para análisis cuando se producen incidentes perjudiciales en la red , y
3. tener pruebas para medidas coercitivas si necesario.
El proceso de aprobación de varias normas fundamentales está previsto para la reunión de la CE 17 de Diciembre de 2010
InternationalTelecommunicationUnion 34Salta, Argentina
01-05 November 2010
Q.10/17 – Gestión de Identidad (IdM)
Si se aplica correctamente, IdM es un elemento de seguridad, proporcionando la confianza en la identidad de ambas partes de la transacciónEn consecuencia, IdM es una herramienta muy fuerte para mejorar la seguridad y la confianzaIdM también proporciona a los operadores de red oportunidad para aumentar sus ingresos, ofreciendo servicios basados en la identidadLa labor de UIT-T está enfocada en la confianza y la interoperabilidad globales de las diversas capacidades de IdM en las telecomunicaciones. No está en el desarrollo de normas para las nuevas soluciones de IdM. Más bien se centra en el aprovechamiento de soluciones existentes
InternationalTelecommunicationUnion 35Salta, Argentina
01-05 November 2010
IdM para Redes y servicios basados en IP
servicios basados en identidad tienen aumento exponencial y están disponibles en diferentes plataformas móvilesInternet es parte de la infraestructura de telecomunicacionesel modelo de negocio futuro de los operadores de red exige una consolidación de datos centrada en el cliente
35
Wireline
InternationalTelecommunicationUnion 36Salta, Argentina
01-05 November 2010
IdM - Colaboración y CoordinaciónEsfuerzo iniciado por el Grupo Focal FG-IdM, que produjo seis informes sustanciales (265 páginas), en 9 mesesJCA-IdM y IdM-GSI establecidas por el GANT en diciembre de 2007 y renovadas en abril de 2009Trabajo en colaboración con otros órganos clave, incluyendo: la CE 13 de la UIT-T (Q.16/13), ISO/IEC JTC 1/SC 27, la iniciativa Liberty Alliance/Kantara, FIDIS, NIST, OECD, ENISA, OASIS, …Primera Recomendación de UIT-T sobre IdM en 01/2009: Y.2720 marco de gestión de identidad para NGNX.Sup7, Información general de gestión de identidad en el contexto de la seguridad cibernética, aprobada en 02/2009X.1250, capacidades para gestión de identidad, confianza e interoperabilidad globales, aprobada en septiembre de 2009X.1251, un marco para el control por el usuario de la identidad digital, aprobada septiembre de 2009
InternationalTelecommunicationUnion 37Salta, Argentina
01-05 November 2010
IdM - Recomendaciones en cursoX.1252, Términos y definiciones de referencia para gestión de identidades X.1275, Directrices sobre protección de la información de identificación personal en la aplicación de la tecnología RFIDTrabajos en curso
• • X.authi, Integración de la autenticación en IdM • X.eaa, Garantía de autenticación de entidad • X.EVcert, Marco para certificado de validación extendido • X.giim, Mecanismos generales para la interoperabilidad en IdM • X.idm-dm, Modelo común de datos de identidad• X.idm-ifa, Marco de arquitectura para sistemas de IdM interoperables • X.idmgen, Marco general para IdM • X.idmsg, Directrices de seguridad para sistemas de IdM • X.priva, Criterios para evaluar el nivel de protección de la información de identificación personal en IdM • Y.NGN Mecanismos de IdM •Y.NGN Requisitos de IdM • Y.NGN IdM Casos de uso (Suplemento)• Y.NGN requisitos para SP (identidad) confiable
InternationalTelecommunicationUnion 38Salta, Argentina
01-05 November 2010
Desafíos para IdM
La falta de federaciones de identidad basadas en un modelo de confianza normalizado y la falta de interoperabilidad global entre los diversos esquemas de gestión de identidad son los principales inhibidores del despliegue a gran escala de las capacidades de IdM
La falta de armonización de términos y definiciones a través de las organizaciones de normalización
InternationalTelecommunicationUnion 39Salta, Argentina
01-05 November 2010
Q.14/17– Pruebas de interoperabilidadDemostrar como se puede mejorar la calidad de las Recomendaciones para facilitar:
conformidad de productosinteroperabilidad globalcertificación de productosuso de herramientas automatizadas para el desarrollo de productos y pruebas de manera más eficiente
Identificar las Recomendaciones de la CE 17 que serían necesarias para:
el desarrollo de los requisitos de conformidad obligatorios y opcionales, basado en la metodología X.290crear una Declaración de Conformidad de implementación (ICS) proforma con los requisitos de conformidad estáticalenguajes formales que se pueden utilizar para mejorar la calidad de las especificaciones
Se posible, desarrollar especificaciones de prueba
InternationalTelecommunicationUnion 40Salta, Argentina
01-05 November 2010
Conformidad e Interoperabilidad
Crear confianza en el uso de las TICsActividad de Coordinación Conjunta sobre las Pruebas de Conformidad y Interoperabilidad (JCA-CIT):Establecida en diciembre de 2006 por la CE 17, (como JCA-Testing), y renovada por el GANT en abril del 2009Colaboración con el Grupo de Trabajo 04/11, especificaciones de prueba (Andrey Koucheriavy, Federación de Rusia)Colaboración con organizaciones de normalización externas, como ISO/CASCO, ETSI (TTCN-3 y serie Z.160)
InternationalTelecommunicationUnion 41Salta, Argentina
01-05 November 201041
TemarioUIT-T y la Seguridad
Estructura de la UIT-TComisiones de EstudioContexto Estratégico
Comisión de Estudios 17Rol y mandatoEstructura de la CE 17Proyectos e iniciativas
Iniciativas de la CE 17Proyecto de Seguridad de UIT-TIntercambio de informaciónGestión de Identidad (IdM)
Próximos pasosMirando hacia el futuro
InternationalTelecommunicationUnion 42Salta, Argentina
01-05 November 2010
En resumen, necesitamosgarantizar la pertinencia de las normas de seguridad como medio para fomentar la credibilidad y la confianza de los usuarios en las redes, aplicaciones y servicioshacer frente a todo el ciclo de seguridad- vulnerabilidades, amenazas y análisis de riesgos, concientización, prevención, aspectos forenses, detección, respuesta y mitigación examinar los aspectos jurídicos y reglamentarios de la seguridad cibernética, el spam, la identidad / privacidaddirección estratégica de arriba hacia abajo en complemento al proceso de abajo hacia arriba basado en contribucionescooperación eficaz y la colaboración entre los órganos de muchos países en desarrollo el trabajo de ciberseguridaddefinir un lenguaje uniforme para los términos y definiciones de seguridadidentificar las normas utilizadas en aplicaciones del mundo real entre los muchos estándares disponibles en el campo de las telecomunicaciones y seguridad de las TICstrabajar más para determinar cómo las pruebas de conformidad e interoperabilidad pueden ser apoyadas
InternationalTelecommunicationUnion 43Salta, Argentina
01-05 November 2010
Recursos útiles en la webAgenda sobre Ciberseguridad Global de la UIT (GCA) http://www.itu.int/osg/csd/cybersecurity/gca/Portal de la UIT-T http://www.itu.int/ITU-T/Comisión de Estudio17http://www.itu.int/ITU-T/studygroups/com17/index.asp
e-mail: [email protected]ón de Estudios Líder en Seguridadhttp://www.itu.int/ITU-T/studygroups/com17/tel-security.htmlGuía de Estándares de Seguridadhttp://www.itu.int/ITU-T/studygroups/com17/ict/index.htmlManual de Seguridad http://www.itu.int/publ/T-HDB-SEC.03-2006/esPortal de la Ciberseguridad http://www.itu.int/cybersecurity/Pasarela sobre ciberseguridad http://www.itu.int/cybersecurity/gateway/index.htmlRecomendaciones de la UIT-Thttp://www.itu.int/ITU-T/publications/recs.htmlNoticias de la UIT-T http://www.itu.int/ITU-T/newslog/Talleres de la UIT-T http://www.itu.int/ITU-T/worksem/index.html
InternationalTelecommunicationUnion 44Salta, Argentina
01-05 November 2010
Mirando hacia el futuroAspectos de seguridad de comunicaciones móviles multitarjetaMarco para la seguridad de redes de sensores ubicuos (USN)Servicios de telecomunicaciones mejorados basados en la WebAutenticación con contraseña usada una sola vezMarcos para detección y la respuesta a botnetsLucha contra ataques a servicios basados en SIPMarco para la lucha contra spam multimedios IPSistemas de gestión de identidad interoperablesFormato para el intercambio de pruebasMarco para seguridad de servicios IPTVSistema de resolución identificador de objeto Medios para lucha contra el spam de VoIPMarco de seguridad información de gobiernoMarco para autenticación tele biométrica de una sola vez
InternationalTelecommunicationUnion 45Salta, Argentina
01-05 November 2010
InternationalTelecommunicationUnion 46Salta, Argentina
01-05 November 2010
¡ Gracias por su atención !