PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA DE LA

PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LADE LA SEGURIDAD DE LA

INFORMACIÓNINFORMACIÓN

Ramiro Merchán – CISA , GSECDIGIWARE DE COLOMBIA

AGENDAAGENDA

• Una mirada actual• Una mirada actual

• Regulaciones

• Requerimientos de Gestión de RiesgoRequerimientos de Gestión de Riesgo

• Requerimientos PCI – Payment Card Industry

• Defensa en Profundidad - Estrategia para la implementación

de Seguridad de la Información

• Definiciones

• Diseño y componentes de la Defensa en Profundidad

• Riesgos – Seguridad - Continuidad

• Estrategia de Implementación

AGENDAAGENDA

• Una mirada actual

• Regulaciones

• Requerimientos de Gestión de Riesgo




• Definiciones

Diseño y componentes de la Defensa en Profundidad• Diseño y componentes de la Defensa en Profundidad


• Estrategia de ImplementaciónEstrategia de Implementación

Una mirada actual…Una mirada actual…

40+ISO 27001 PATRIOT Sarbanes-Oxley

REGULACION

40+countries have

adoptede-commerce

laws

FISMACIRCULAR

834CIRCULAR

Basel IINERCAS/NZS4360

EU Data Protection PrivacyPCI Security Standard

052GLBA

Consolidacion infraestructuraInteroperabilidad diversos sistemas

Complejidad ITDemanda de conectividad y disponibilidad

OPERACION

Interoperabilidad diversos sistemasFlexibilidad a cambios tecnológicos

Demanda de conectividad y disponibilidadAdministración sistemas de seguridad

Vulnerabilidades (AplicacionesFraude, suplantación de identidad, SEGURIDAD

Vulnerabilidades (Aplicaciones, Hardware, procesos, comunicaciones) Disponibilidad de servicios

integridad de información, robo de la información

Aseguramiento de comunicaciones

Continuidad del NegocioContinuidad del Negocio

A cualquier hora y A cualquier hora y en cualquier lugar!!en cualquier lugar!!en cualquier lugar!!en cualquier lugar!!

ServiciosFinancieros

Regulacionesdel Gobierno

FinancierosServicios

CLIENTES

Almacenes

C i iCLIENTES Comunicaciones

EmpresasE t i d S i iC t d

Terminales

Estaciones de ServicioCentros deLogística

El reto Hoy: El reto Hoy: InterconectividadInterconectividade Interoperabilidade Interoperabilidade Interoperabilidade Interoperabilidad

RESULTADO: Gran demanda RESULTADO: Gran demanda en nuestra infraestructuraen nuestra infraestructuraen nuestra infraestructuraen nuestra infraestructura

Una mayor infraestructura:

• ¿Posee flexibilidad y agilidad a los cambios de nuestras necesidades empresariales?

• Más costos en nuestra Customers• Más costos en nuestra tecnología IT , personas y procesos

• Más procesos, mayor UsersClients

InformaciónCustomersSuppliers

Partners

posibilidad de vulnerabilidad

• Se dificulta cumplir con las regulaciones

Gateway

NetworkServers

Security Availability

• Asegurar la información, su disponibilidad e integridad 24x7 es más complejo

• Ya no es claro donde inicia y

ApplicationDatabase

StorageYa no es claro donde inicia y termina el perímetro

AGENDAAGENDA


• Regulaciones

• Requerimientos de Gestión de RiesgoRequerimientos de Gestión de Riesgo




• Definiciones




¿Qué Establecen Los Requerimientos de Gestión ¿ qde Riesgos Operativos?

Que las instituciones deben contar con un sistema paraQue las instituciones deben contar con un sistema parala gestión del riesgo operativo que les permitaidentificar, medir, controlar, mitigar y monitorear losi d i d d l f llriesgos derivados de las fallas en:

• Los procesos

• Las personas

• Las tecnologías de información

• Los eventos externos, incluyendo el riesgo legal

Riesgos de las Tecnologías Riesgos de las Tecnologías de Informaciónde Informaciónde Información de Información

Para una adecuada gestión del riesgo, las institucionesdeben disponer de políticas, procesos y procedimientosp p , p y pque aseguren una adecuada planificación yadministración de las tecnologías de información paragarantizar que:garantizar que:• La administración de TI es adecuada para soportar los

requerimientos actuales y futuros de la entidad

• Las operaciones de TI satisfacen los requerimientos de laLas operaciones de TI satisfacen los requerimientos de laentidad

• Los recursos y servicios provistos por terceros se administranadecuadamente y se monitorean su efectividad y eficienciaadecuadamente y se monitorean su efectividad y eficiencia

• El proceso de adquisición, desarrollo, implementación ymantenimiento de aplicaciones satisfacen los objetivos delnegocio

• La infraestructura tecnológica se administra y monitorea demanera adecuada.

Disposiciones en Seguridad Disposiciones en Seguridad De la InformaciónDe la InformaciónDe la Información De la Información

Las instituciones deben disponer de políticas, procesos y procedimientos que aseguren:

• Que el sistema de administración de seguridad de laginformación satisfaga las necesidades de la entidad parasalvaguardar la información contra el uso, revelación ymodificación no autorizados, así como daños y pérdidas

• Que exista continuidad en la operación de la institución frente aeventos imprevistos en las tecnologías de información

• Que los planes de contingencia y continuidad garanticen lacapacidad para operar en forma continua y minimizar laspérdidas en caso de una interrupción severa del negocio,implementando además un proceso de administración de lap pcontinuidad del negocio

Qué es PCI DSS?Qué es PCI DSS?

Requerimientos de Seguridad desarrollados eque e tos de Segu dad desa o ados

por Mastercard International y Visa para la

protección de los datos de

tarjetahabientes.j

Campo de Aplicación Campo de Aplicación

• Miembros, comerciantes y proveedores deservicios de almacenamiento, procesamiento otransmisión de datos de tarjetahabientes.transmisión de datos de tarjetahabientes.

• Componentes de sistemas (redes, servidores yli i ) i l id t d laplicaciones) inc luidos o conectados a los

ambientes de datos de tarjetahabientes.

RequerimientosRequerimientos

C1. Construir y mantener una red segura

2. Protección de los datos de tarjetahabientes

3. Mantener un programa de administración de vulnerabilidades

4. Implementar fuertes medidas de control de acceso

5. Monitoreo y pruebas regulares a la red

6 M t líti d id d d l6. Mantener una política de seguridad de la información

El reto Hoy: El reto Hoy: InterconectividadInterconectividade Interoperabilidade Interoperabilidade Interoperabilidade Interoperabilidad

AGENDAAGENDA


• Regulaciones

• Requerimientos Gestión de RiesgoRequerimientos Gestión de Riesgo




• Definiciones




DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDAD

•Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capade seguridad, el trabajo del atacante se hace sencillo.

•Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, esinfalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad seaumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar lasintrusiones y los ataques justo cuando estos ocurren.

•La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de un sistemadeben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior deforma funcional y conceptual”.

Seguridad Lógica

DATOS

Seguridad Fisica

DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDAD

CONCEPTOS DE DISEÑOEVALUACIÓN DE RIESGOS

COMPONENTES• EVALUACIÓN DE RIESGOS

• ESTRATEGIAS Y ESTÁNDARES

• ZONAS SEGURAS

• ENDURECIMIENTO DE SISTEMAS

• ENRUTADORES

• SWITCHES

– Endurecimiento del Sistema Operacional– Eliminar servicios no requeridos– Actualización periódica de parches (sistemas

operativos y aplicaciones)

• FIREWALLS

• ACCESO REMOTO – VPN

• ACCESO REMOTO – DIAL UP– Desactivar protocolos no encriptados– Protección contra virus– Renombrar cuentas de administrador– Cambiar passwords por defecto

Desacti ar c entas de in itado

ACCESO REMOTO – DIAL UP

• REDES INALAMBRICAS

• DETECCIÓN DE INTRUSIONES– Desactivar cuentas de invitado– No permitir anonimus FTP– Incrementar tamaño de archivos de log– Permisos sobre directorios, archivos y otros

objetos

• EVALUACION DE LA SEGURIDAD DE LA RED

– Análisis de vulnerabilidades– Desplegar mensajes de alerta– Implementar el concepto de menor privilegio– Separación de funciones

EL RETO ES MÁS COMPLEJO:EL RETO ES MÁS COMPLEJO:I i id dI i id d I bilid d S id dI bilid d S id dInterconectividadInterconectividad, Interoperabilidad, Seguridad, Interoperabilidad, Seguridad

DATOSDATOS

APLICACIÓNAPLICACIÓN

SERVIDORESSERVIDORESSERVIDORESSERVIDORES

REDRED

PERIMETROPERIMETRO

SEGURIDAD FÍSICASEGURIDAD FÍSICA

PROCEDIMIENTOSPROCEDIMIENTOS

SEGURIDAD ESUN PROCESO DEUN PROCESO DE

GESTIÓN DERIESGOS!!!

Mapa de Riesgos: Mapa de Riesgos: Correlación, Procesos y TecnologíasCorrelación, Procesos y TecnologíasCorrelación, Procesos y Tecnologías Correlación, Procesos y Tecnologías

S i iS i i T j tT j t OtOt P d lP d lServiciosServiciosPorPor

InternetInternet

CuentasCuentasCorrientesCorrientes

TarjetasTarjetasDeDe

CréditoCrédito

OtrosOtrosProductosProductos

FinancierosFinancieros

CallCallCenterCenter

CajerosCajerosElectrónicosElectrónicos

Procesos delProcesos delNegocioNegocioMAPA DE RIESGOS DEL NEGOCIO

PortalPortalWEBWEB

TarjetaTarjetaDeDe

CréditoCrédito

Crédito yCrédito yCarteraCartera AutorizadosAutorizados Sistemas deSistemas de

InformaciónInformaciónProcesos Procesos

Y Y CanjeCanje

Cuentas Cuentas CorrientesCorrientesVULNERABILIDADES Y AMENAZAS EN PROCESAMIENTOS DE DATOS

Activos

Servidor deAplicaciones Infraestructura Usuarios

Centro deCómputo

Cadena deValor

Director De TI

Router FirewallEstación de

Trabajo

VULNERABILIDADES Y AMENAZAS TÉCNICAS

Proceso de construcción del Proceso de construcción del Mapa de Riesgos TecnológicosMapa de Riesgos TecnológicosMapa de Riesgos Tecnológicos Mapa de Riesgos Tecnológicos

1. Levantamiento de Información (conocimiento del negocio)negocio)

2. Pruebas de Vulnerabilidad y Hacking Etico (Internet / internas / wireless)

3. Verificación de Líneas Telefónicas4. Valoración de red ideal segura5 Pruebas de Ingeniería Social5. Pruebas de Ingeniería Social6. Evaluación de Seguridad Física7. Evaluación de Código de las Aplicaciones8. Evaluación del procesamiento de datos 9. Valoración de los controles existentes10 G ió d l d i10.Generación del mapa de riesgos 11.Implementación de las estrategias de mitigación12.Monitoreo de los riesgos

Pruebas de Penetración ExternaPruebas de Penetración Externa

Direcciones publicadas en el Internet.

Análisis de VulnerabilidadesPruebas Externas

Servidores

Servidores

Servidores

SW

LAN Corporativ

a

InternetLAN FireWall

VPN-1/FireWall-1

SW

Corporativa

Equipo portátil

Pruebas de Penetración InternaPruebas de Penetración Interna

Análisis de Vulnerabilidades

Servidores

VulnerabilidadesPruebas Internas

Servidores

Ubicado en cualquier

LAN Corporativa

Servidores

Equipo portátil

Ubicado en cualquier punto de la red de la organización

SW

InternetLAN Corporativa

FireWall

Zonas SegurasZonas Seguras

INSEGURA DE CONFLICTOINSEGURA DE CONFLICTO

Requiere autenticación de

acceso a sistemas específicos

expuestos al público. Clientes

Acceso altamente restringido.Accesos no

autorizados se deben Clientes detectar en tiempo

real

Sistemas bajo el control directo de la organización. Los usuarios requieren

Requiere autenticación fuerte

para proteger sistemas expuestos usuarios requieren

acceso total a sistemas internos

pal público. Soporte a

vendedores y partners

CONFIANZA SEMIPROTEGIDACONFIANZA SEMIPROTEGIDA

Valoración de Red Ideal SeguraValoración de Red Ideal Segura

ELEMENTO DE ELEMENTO DE SEGURIDADSEGURIDAD

PUNTAJEPUNTAJE CONTROLES EXISTENTESCONTROLES EXISTENTES CONTROLES A IMPLEMENTARCONTROLES A IMPLEMENTAR NIVELNIVEL

IDS E IPS 0 No se encuentran Implementar esquema de 0%IDS E IPS 0 No se encuentran implementados

Implementar esquema de identificación y detección de intrusiones

0%

VLANs y VLAN ACLs 0 No se encuentran implementados

Implementar PVLAN en cada subred

0%implementados subred

Generar VACL dentro de cada red

Micro VLAN 0 No se encuentran i l t d

Realizar segmentación de esta f b i

0%implementados forma o buscar equipos que

permitan la segmentación MVLAN sin necesidad de configurar máscara

IPSEC 0 N E i i l 0%IPSEC 0 No se encuentran implementados

Es necesario implementar IPSEC para asegurar encripciónde datos

0%

Firewall 4 Existen firewalls que Se deben proteger todas las 80%Firewall 4 ste e a s queprotegen la red de ataques externos y en algunos casos de ataques internos

Se debe p otege todas asredes con el firewall

Implementar firewall de host para cada equipo

80%

Protección de Bases de DatosProtección de Bases de Datos

Autenticación fuerte Auditoría granular

Administración y configuración

Cifrado (Red, almacén y respaldo)

Clasificación de datosAuditoria Forense

Segregación de deberes

Clasificación de datosNivel de seguridad por etiquetas

Enmascaramiento de datos

Solución de respaldo

Enmascaramiento de datos

Estrategias y Estándares: SGSIEstrategias y Estándares: SGSIg yg ySeguridad organizativa

Seguridad lógicaDominios cubiertos Dominios cubiertos Políticas de Seguridad

Organización de la Seguridad de la Información

Seguridad física

Seguridad legal

Por el SGSIPor el SGSI

Información

Gestión de Activos Control de Accesos

C f id dConformidad

Seguridad física y del entorno

Seguridad en los Recursos Humanos

Gestión de Incidentes de seguridad de la

Información

Gestión de la continuidad del

negocio

Gestión de comunicaciones y

operaciones

Adquisición, desarrollo y mantenimiento de sistemas

de información

EL RETO ES MAS COMPLEJOEL RETO ES MAS COMPLEJO::InterconectividadInterconectividad Interoperabilidad SeguridadInteroperabilidad SeguridadInterconectividadInterconectividad, Interoperabilidad, Seguridad, Interoperabilidad, Seguridad

DATOSDATOS


Articulación de los conceptos SERVIDORESSERVIDORES

REDRED

pde diseño y los componentes de

Defensa en ProfundidadREDRED

PERIMETROPERIMETRO

mediante el mapa de riesgos y el SGSI

SEGURIDAD FÍSICASEGURIDAD FÍSICAde la organización


EL RETO ES MAS COMPLEJOEL RETO ES MAS COMPLEJO::InterconectividadInterconectividad Interoperabilidad SeguridadInteroperabilidad Seguridad

DATOSDATOS

InterconectividadInterconectividad, Interoperabilidad, Seguridad, Interoperabilidad, Seguridad


SERVIDORESSERVIDORES

REDRED

PERIMETROPERIMETRO

SEGURIDAD FÍSICASEGURIDAD FÍSICA


AGENDAAGENDA


• Regulaciones





• Definiciones




RIESGOS – SEGURIDAD -CONTINUIDADRiesgos Identificación RiesgosCONTINUIDAD

Desastres Naturales•Fuego•Huracanes

gPotenciales

Evaluación deRiesgos


IdentificaciónDe Riesgos

Controles ySeguridades


RiesgosResiduales

•Inundaciones•Tornados..Humanos•Sabotaje•Código Malicioso

---------------------------------------------------

Riesgos •Inundaciones•Tornados..Humanos•Sabotaje•Código Malicioso

•Controles Administrativos

Seguridades •Inundaciones•Tornados..Humanos•Sabotaje•Código Malicioso

C O

P NL TA I•Código Malicioso

•Errores de Operador..Tecnológicos•Fallas de Hardware

-----------------------------------------------------------------------------------------------------------------------

•Código Malicioso•Errores de Operador..Tecnológicos•Fallas de

Administrativos

•Controles Operacionales

•Controles Técnicos

•Código Malicioso•Errores de Operador..Tecnológicos•Fallas de

N NE GS E

ND CE I•Corrupción de datos

•Caída de telecomunicaciones•Fallas de energía eléctrica

----------------------------------

Hardware•Corrupción de datos•Caída de telecomunicaciones•Fallas de energía

lé t i

Hardware•Corrupción de datos•Caída de telecomunicaciones•Fallas de energía

lé t i

E IA

eléctrica eléctrica

BCP : La última defensa

AGENDAAGENDA


• Regulaciones





• Definiciones




Implementación de la Implementación de la Estrategia de SeguridadEstrategia de SeguridadEstrategia de SeguridadEstrategia de Seguridad

Componente 1 Componente 1 -- EstrategiaEstrategia

RETORNO DE LA INVERSIÓN EN SEGURIDADRETORNO DE LA INVERSIÓN EN SEGURIDAD

P A dit íE t i t

DEFENSA EN PROFUNDIDAD

Pre - AuditoríaEntrenamiento

Zonas deSeguridad

Estrategias deContinuidad ConcientizaciónAseguramiento

Políticas Proce-dimientos

InversiónAdicional

SISTEMA DE GESTION DE LA SEGURIDAD - SGSI

SOA AnálisisGAP

Organización delÁrea de Seguridad

R l ió d

BIAPruebas deIngeniería Social

E l ió d R d Id l

Evaluación de Seguridad Física

Evaluación deAplicaciones

MAPA DE RIESGOS

E t i t d P b d V l bilid dRecolección deInformación

Evaluación de Red IdealSegura

Entrevistas deAnálisis de Riesgos

Pruebas de Vulnerabilidad yEtical Hacking

Implementación de la Implementación de la Estrategia de SeguridadEstrategia de Seguridad

RETORNO DE LA INVERSIÓN EN SEGURIDAD

Estrategia de SeguridadEstrategia de SeguridadComponente 2 Componente 2 -- SolucionesSoluciones

MantenimientoEntrenamiento



Protección de Seguridad VLAN’s y

MantenimientoEntrenamiento

FIREWALL Políticas

Segmentación Configuración de

ProtecciónRedes Inalámbricas

IDS / IPS

IPSEC Protección DATOS

Equipos de Cx Capa 2 y 3 Micro VLAN’s

DISEÑO DE LA RED IDEAL SEGURA

Segmentación Equipos

MAPA DE RIESGOS

IDS / IPS

Recolección def ó


Evaluación de Red Ideal



MAPA DE RIESGOS

Entrevistas deál d

Pruebas de Vulnerabilidad yl kInformación Segura Análisis de Riesgos Etical Hacking

UN SOLO ESFUERZO PARA SATISFACERUN SOLO ESFUERZO PARA SATISFACERDIFERENTES REQUERIMIENTOSDIFERENTES REQUERIMIENTOSDIFERENTES REQUERIMIENTOSDIFERENTES REQUERIMIENTOS


COSO


SOX PCI ISO 27000CIRCULAR 052 / 834

ITIL COBITASNZ 4360

SERVICIOS DE SEGURIDAD GESTIONADOS

/

MAGERIT NIST

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

MAPA DE RIESGOS

Recolección deI f ió


Evaluación de Red IdealS



Entrevistas deA áli i d Ri

Pruebas de Vulnerabilidad yEti l H kiInformación Segura Análisis de Riesgos Etical Hacking

GRACIASGRACIAS!!!!!!

[email protected] Merchán, CISA, GSEC

Documents

PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA DE LA