Estado Arte Seguridad Informacion Ardita.ppt [Modo de ... · Estado del arte de la seguridad de la información Julio César Ardita [email protected] 21 de Octubre de 2014 Buenos

Estado del arte de la Estado del arte de la seguridad de la informaciónseguridad de la informaciónseguridad de la informaciónseguridad de la información

Julio César [email protected]

21 de Octubre de 2014Buenos Aires - Argentina

Estado del arte de la seguridad de la información

Agenda

• Incidentes de seguridad

• El rol del CISO

• Presión de las regulaciones

• Vulnerabilidades• Vulnerabilidades

• Outsourcing de la seguridad

• Seguridad de las redes industriales

• La nube segura

• Herramientas de seguridad

• Seguridad en dispositivos móviles

2

Incidentes de seguridadseguridad

3

Incidentes de seguridad

Incidentes públicos vs. incidentes privados

- Fraudes

- Amenazas

- Sabotaje



4

- Sabotaje

- Robo de información

- Phishing masivos

- Ataques de DOS


Cantidad de incidentes graves manejados por CYBSEC



14

16

18

5

0

2

4

6

8

10

12

14

2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014*

Tendencia Actual

- Aumento de incidentes de seguridad (mayoría de los casos insiders)

- Aumento exponencial de ataques de phishing contra entidades

financieras argentinas (Disparador: transferencias inmediatas Abril 2011)



6

- Ataques de phishing más sofisticados (incluyendo explotación de

vulnerabilidades)

- Hacktivismo (Sector 404 Argentina

y Anonymous Argentina)

- Origen de ataques: Redes Wifi abiertas o redes TOR

Manejo de Incidentes

La pregunta hoy no es si voy a tener un incidente de seguridad, sino:

¿Cuándo lo voy a tener?

Madurez del Manejo de Incidentes de Seguridad Interno



7

- No poseen (85%)

- Manejo de incidentes desorganizado (8%)

- Manejo de incidentes formal para la foto (compliance) (4%)

- Manejo de incidentes formal real (2%)

- CSIRT interno (<1%)

El Rol del CISOEl Rol del CISO

8

CISO: Chief Information Security Officer

• Encargado de seguridad de la Información dentro de una Organización• El nivel de reporte depende del grado de maduración de la empresa

Seguridad InformáticaSeguridad Informática Seguridad de la InformaciónSeguridad de la Información

Rol del CISO


9

Seguridad InformáticaSeguridad InformáticaTareas técnicas y operativasTareas técnicas y operativas

Seguridad de la InformaciónSeguridad de la InformaciónRol de ManagementRol de Management

Seguridad InformáticaSeguridad InformáticaTareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,

soporte a áreas de sistemassoporte a áreas de sistemas

Antes HoyAntes Hoy

Rol del CISO


La evolución de las áreas de Seguridad(grados de madurez)

- Nivel Estratégico – CISO- Nivel de Negocio – Gerente de Seguridad- Nivel Gerencial – Jefe de Seguridad Informática

10

- Nivel Gerencial – Jefe de Seguridad Informática- Nivel Técnico – Administrador de Seguridad

Estructura del área de seguridad

- Tipo de Compañía- Regulaciones que aplican- Cultura organizacional- Grado de madurez de la Compañía

- Tamaño de la Compañía- Presupuesto- Rol del CSO

Rol del CISO


El CSO debe:

- Tener visibilidad hacia la organización.- Dar valor agregado en seguridad.- Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico).

- Ser proactivo y ayudar al negocio.

11

- Ser proactivo y ayudar al negocio.- Aprovechar las oportunidades (reuniones, incidentes, etc.)y mostrar las capacidades de su equipo y gestión.

- Moverse políticamente en la organización.- Tener la habilidad de presentar resultados para que el

resto de la organización pueda entender claramente cuales son los riesgos y cómo estamos trabajando para mitigarlos.

Presión de las regulacionesregulaciones

12

Presión de las regulaciones

Evolución de la madurez y estado de implementación de las normativas

relacionadas con seguridad en Argentina

Normativa Madurez

SOX

BCRA 4609


5

4

13

BCRA 5374

Protección de datos personales

• Las normativas llegaron para quedarse

• La mayoría de las mismas impactan en el sector de SI

• Se debe tomarlas como “oportunidades”

Protección de datos de salud

4

2

2

1

PCI-DSS 3

PCI-DSS

- Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015- Principales procesadores, gateways de pago y grandes comercioscertificados- Comienzo de utilización de tecnología chip en tarjetas de crédito

Presión de las regulaciones


BCRA 5374

14

- Los Bancos están implementando la normativa de seguridad en canaleselectrónicos – Concientización- Uso de doble factor de autenticación para transacciones críticas

Protección de datos personales

- La DNPDP está realizando inspecciones- Manual de seguridad – Clasificación de información- Está comenzando la protección de datos de salud (Estándar HL7 - IRAM-ISO 27.799)

VulnerabilidadesVulnerabilidades

15

Vulnerabilidades de seguridad

- Un nuevo trabajo: Vulnerability Researcher

- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código

+ Conocimiento de la misma en el mercado = Hasta U$S 100.000

Vulnerabilidades


16

- Maduración del mercado de compra/venta de vulns

- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's

Exploit Acquisition Program, etc

- Mercado oficial – negro – gris

Vulnerabilidades de seguridad

- Aparecerán nuevas vulnerabilidades críticas

y es clave la rapidez para aplicar la solución

a la misma.

Ejemplos: Heartbleed, Shellshock,

Vulnerabilidades


17

POODLE: SSLv3 vulnerability, etc.

Patch Management

- Desarrollar estrategia de patch management

- Clasificar el nivel de riesgo de la vulnerabilidad.

- Aplicación de patch / workaround: SO – AP – DB – Desarrollo.

- Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología.

Tendencias en vulnerabilidades de seguridad

- Más gente buscando nuevas vulnerabilidades!!!

- Intentos por regular la actividad (Alemania, EEUU, etc.)

Vulnerabilidades


18

- Acercamiento al tema de las áreas de inteligencia de algunos países

- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days

- Aumento de los Toolkits para

Cybercrimen (Phishing – Botnets – Etc.)

Outsourcing de laseguridad

19

seguridad

Situación actual

Las áreas de seguridad de la información en las Organizaciones están

realizando outsourcing de las siguientes tareas:

- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)

Outsourcing de seguridad


20

- PenTest

- Gestión de vulnerabilidades (scannings)

- Gestión de accesos (ABM Users y Permisos)

- Respuesta a incidentes

- Soporte a proyectos internos

- Desarrollo de Documentación

Tendencias

- Madurez en los servicios de outsourcing de seguridad

- Establecimiento de SLA´s.

- Acompañamiento de la estrategia de la Organización

Outsourcing de seguridad


21

Sector de Seguridad

de la Información

Horas de Soporte

Recurso on-site

especializado

Seguridad de las redes industriales

22

redes industriales

Situación actual

Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria

Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud,

Tecnologías de la Información y las Comunicaciones (TIC), Transporte,

Alimentación y Sistema Financiero y Tributario.



23

En las Organizaciones, el sinónimo es protección de redes industriales (SCADA)

La red SCADA era manejada Seguridad Corporativa se está

por ingenieros y proveedores. metiendo en el tema.

- Integración con la red corporativa

- Aplicación de estándares

- Actualización / Patches



24

Tendencias

- Los gobiernos están involucrándose en el tema. En Argentina, en

2011 se creó el Programa Nacional

de Infraestructuras Críticas de

Información y Ciberseguridad (ICIC).



25

- Las Organizaciones que poseen este tipo de redes

industriales están avanzando en la aplicación de

medidas de seguridad.

La nube seguraLa nube segura

26

Situación actual

- Beneficio de los servicios cloud: Empresas chicas

- Cultura empresarial

- SLA (la base de todo)

La nube segura

Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.

Acuerdos negociables


27

- SLA (la base de todo)

- Modelos y seguridad

Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).

Aspectos de seguridad a tener en cuenta

NIST 800-144 - Guidelines on Security and Privacy in Public

Cloud Computing

1. Gobierno2. Cumplimiento

La nube segura


28

2. Cumplimiento3. Confianza4. Arquitectura5. Identity y Access Management6. Aislamiento de software7. Protección de información8. Disponibilidad9. Respuesta ante Incidentes

Herramientas deseguridad de la

29

información

Madurez en el uso de herramientas de seguridad

Madurez

Antivirus (Correo – Navegación – Workstations) 5

AntiSpam 4

Filtro de contenido (Protección en la navegación) 3

Herramientas de seguridad de la información


30

Firewalls 5

Sistemas de Detección de Intrusiones 4

Sistemas de Prevención de Intrusiones 3

Web Application Firewalls 2

Herramientas Anti-DDOS 1

Madurez en el uso de herramientas de seguridad

Madurez

Firewall de Base de Datos 2

Identity Management 2

DLP (Data Loss Prevention) 1

Herramientas de seguridad de la información


31

NAC (Network Access Control) 1

Correlación de eventos 2

MDM (Mobile Device Management) 3

Encryption Tools 2

Seguridad en dispositivos móviles

32

dispositivos móviles

Dispositivos móviles (teléfonos y tablets)

Uso Personal (BYOD) Mejores prácticas de seguridad.Password – encripción de información Guía de recomendaciones.

Uso Corporativo



33

Uso CorporativoMayor posibilidad de controlPassword – encripción de información – wipe remoto – control de aplicaciones – antivirus – Actualizaciones – Monitoreo - Etc.

Uso de MDM (Mobile Device Management)



34

Respuesta a la necesidad empresarial de poder gestionar de forma

centralizada los dispositivos móviles (principalmente tablets y

smartphones)

Características de MDM

Gestión de Hardware y softwareInventario de dispositivosCatálogo de softwareDistribución de aplicacionesActualizacionesListado de Apps permitidas



Administración de perfilesConfiguraciones de correoConfiguraciones Wifi

35

Listado de Apps permitidas

Aseguramiento del dispositivoControl de dispositivosBloqueo remotoBorrado remoto EncripciónPolítica de contraseñas

Configuraciones WifiConfiguraciones VPNPolítica de Backup

Muchas gracias!

Julio César [email protected]

21 de Octubre de 2014Buenos Aires - Argentina

Documents

Estado Arte Seguridad Informacion Ardita.ppt [Modo de ... · Estado del arte de la seguridad de la información Julio César Ardita [email protected] 21 de Octubre de 2014 Buenos