Click here to load reader
Upload
hoangdan
View
256
Download
4
Embed Size (px)
Citation preview
PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LADE LA SEGURIDAD DE LA
INFORMACIÓNINFORMACIÓN
Ramiro Merchán – CISA , GSECDIGIWARE DE COLOMBIA
AGENDAAGENDA
• Una mirada actual• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de RiesgoRequerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
AGENDAAGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
Diseño y componentes de la Defensa en Profundidad• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de ImplementaciónEstrategia de Implementación
Una mirada actual…Una mirada actual…
40+ISO 27001 PATRIOT Sarbanes-Oxley
REGULACION
40+countries have
adoptede-commerce
laws
FISMACIRCULAR
834CIRCULAR
Basel IINERCAS/NZS4360
EU Data Protection PrivacyPCI Security Standard
052GLBA
Consolidacion infraestructuraInteroperabilidad diversos sistemas
Complejidad ITDemanda de conectividad y disponibilidad
OPERACION
Interoperabilidad diversos sistemasFlexibilidad a cambios tecnológicos
Demanda de conectividad y disponibilidadAdministración sistemas de seguridad
Vulnerabilidades (AplicacionesFraude, suplantación de identidad, SEGURIDAD
Vulnerabilidades (Aplicaciones, Hardware, procesos, comunicaciones) Disponibilidad de servicios
integridad de información, robo de la información
Aseguramiento de comunicaciones
Continuidad del NegocioContinuidad del Negocio
A cualquier hora y A cualquier hora y en cualquier lugar!!en cualquier lugar!!en cualquier lugar!!en cualquier lugar!!
ServiciosFinancieros
Regulacionesdel Gobierno
FinancierosServicios
CLIENTES
Almacenes
C i iCLIENTES Comunicaciones
EmpresasE t i d S i iC t d
Terminales
Estaciones de ServicioCentros deLogística
El reto Hoy: El reto Hoy: InterconectividadInterconectividade Interoperabilidade Interoperabilidade Interoperabilidade Interoperabilidad
RESULTADO: Gran demanda RESULTADO: Gran demanda en nuestra infraestructuraen nuestra infraestructuraen nuestra infraestructuraen nuestra infraestructura
Una mayor infraestructura:
• ¿Posee flexibilidad y agilidad a los cambios de nuestras necesidades empresariales?
• Más costos en nuestra Customers• Más costos en nuestra tecnología IT , personas y procesos
• Más procesos, mayor UsersClients
InformaciónCustomersSuppliers
Partners
posibilidad de vulnerabilidad
• Se dificulta cumplir con las regulaciones
Gateway
NetworkServers
Security Availability
• Asegurar la información, su disponibilidad e integridad 24x7 es más complejo
• Ya no es claro donde inicia y
ApplicationDatabase
StorageYa no es claro donde inicia y termina el perímetro
AGENDAAGENDA
• Una mirada actual• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de RiesgoRequerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
¿Qué Establecen Los Requerimientos de Gestión ¿ qde Riesgos Operativos?
Que las instituciones deben contar con un sistema paraQue las instituciones deben contar con un sistema parala gestión del riesgo operativo que les permitaidentificar, medir, controlar, mitigar y monitorear losi d i d d l f llriesgos derivados de las fallas en:
• Los procesos
• Las personas
• Las tecnologías de información
• Los eventos externos, incluyendo el riesgo legal
Riesgos de las Tecnologías Riesgos de las Tecnologías de Informaciónde Informaciónde Información de Información
Para una adecuada gestión del riesgo, las institucionesdeben disponer de políticas, procesos y procedimientosp p , p y pque aseguren una adecuada planificación yadministración de las tecnologías de información paragarantizar que:garantizar que:• La administración de TI es adecuada para soportar los
requerimientos actuales y futuros de la entidad
• Las operaciones de TI satisfacen los requerimientos de laLas operaciones de TI satisfacen los requerimientos de laentidad
• Los recursos y servicios provistos por terceros se administranadecuadamente y se monitorean su efectividad y eficienciaadecuadamente y se monitorean su efectividad y eficiencia
• El proceso de adquisición, desarrollo, implementación ymantenimiento de aplicaciones satisfacen los objetivos delnegocio
• La infraestructura tecnológica se administra y monitorea demanera adecuada.
Disposiciones en Seguridad Disposiciones en Seguridad De la InformaciónDe la InformaciónDe la Información De la Información
Las instituciones deben disponer de políticas, procesos y procedimientos que aseguren:
• Que el sistema de administración de seguridad de laginformación satisfaga las necesidades de la entidad parasalvaguardar la información contra el uso, revelación ymodificación no autorizados, así como daños y pérdidas
• Que exista continuidad en la operación de la institución frente aeventos imprevistos en las tecnologías de información
• Que los planes de contingencia y continuidad garanticen lacapacidad para operar en forma continua y minimizar laspérdidas en caso de una interrupción severa del negocio,implementando además un proceso de administración de lap pcontinuidad del negocio
Qué es PCI DSS?Qué es PCI DSS?
Requerimientos de Seguridad desarrollados eque e tos de Segu dad desa o ados
por Mastercard International y Visa para la
protección de los datos de
tarjetahabientes.j
Campo de Aplicación Campo de Aplicación
• Miembros, comerciantes y proveedores deservicios de almacenamiento, procesamiento otransmisión de datos de tarjetahabientes.transmisión de datos de tarjetahabientes.
• Componentes de sistemas (redes, servidores yli i ) i l id t d laplicaciones) inc luidos o conectados a los
ambientes de datos de tarjetahabientes.
RequerimientosRequerimientos
C1. Construir y mantener una red segura
2. Protección de los datos de tarjetahabientes
3. Mantener un programa de administración de vulnerabilidades
4. Implementar fuertes medidas de control de acceso
5. Monitoreo y pruebas regulares a la red
6 M t líti d id d d l6. Mantener una política de seguridad de la información
El reto Hoy: El reto Hoy: InterconectividadInterconectividade Interoperabilidade Interoperabilidade Interoperabilidade Interoperabilidad
AGENDAAGENDA
• Una mirada actual• Una mirada actual
• Regulaciones
• Requerimientos Gestión de RiesgoRequerimientos Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDAD
•Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capade seguridad, el trabajo del atacante se hace sencillo.
•Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, esinfalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad seaumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar lasintrusiones y los ataques justo cuando estos ocurren.
•La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de un sistemadeben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior deforma funcional y conceptual”.
Seguridad Lógica
DATOS
Seguridad Fisica
DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDAD
CONCEPTOS DE DISEÑOEVALUACIÓN DE RIESGOS
COMPONENTES• EVALUACIÓN DE RIESGOS
• ESTRATEGIAS Y ESTÁNDARES
• ZONAS SEGURAS
• ENDURECIMIENTO DE SISTEMAS
• ENRUTADORES
• SWITCHES
– Endurecimiento del Sistema Operacional– Eliminar servicios no requeridos– Actualización periódica de parches (sistemas
operativos y aplicaciones)
• FIREWALLS
• ACCESO REMOTO – VPN
• ACCESO REMOTO – DIAL UP– Desactivar protocolos no encriptados– Protección contra virus– Renombrar cuentas de administrador– Cambiar passwords por defecto
Desacti ar c entas de in itado
ACCESO REMOTO – DIAL UP
• REDES INALAMBRICAS
• DETECCIÓN DE INTRUSIONES– Desactivar cuentas de invitado– No permitir anonimus FTP– Incrementar tamaño de archivos de log– Permisos sobre directorios, archivos y otros
objetos
• EVALUACION DE LA SEGURIDAD DE LA RED
– Análisis de vulnerabilidades– Desplegar mensajes de alerta– Implementar el concepto de menor privilegio– Separación de funciones
EL RETO ES MÁS COMPLEJO:EL RETO ES MÁS COMPLEJO:I i id dI i id d I bilid d S id dI bilid d S id dInterconectividadInterconectividad, Interoperabilidad, Seguridad, Interoperabilidad, Seguridad
DATOSDATOS
APLICACIÓNAPLICACIÓN
SERVIDORESSERVIDORESSERVIDORESSERVIDORES
REDRED
PERIMETROPERIMETRO
SEGURIDAD FÍSICASEGURIDAD FÍSICA
PROCEDIMIENTOSPROCEDIMIENTOS
SEGURIDAD ESUN PROCESO DEUN PROCESO DE
GESTIÓN DERIESGOS!!!
Mapa de Riesgos: Mapa de Riesgos: Correlación, Procesos y TecnologíasCorrelación, Procesos y TecnologíasCorrelación, Procesos y Tecnologías Correlación, Procesos y Tecnologías
S i iS i i T j tT j t OtOt P d lP d lServiciosServiciosPorPor
InternetInternet
CuentasCuentasCorrientesCorrientes
TarjetasTarjetasDeDe
CréditoCrédito
OtrosOtrosProductosProductos
FinancierosFinancieros
CallCallCenterCenter
CajerosCajerosElectrónicosElectrónicos
Procesos delProcesos delNegocioNegocioMAPA DE RIESGOS DEL NEGOCIO
PortalPortalWEBWEB
TarjetaTarjetaDeDe
CréditoCrédito
Crédito yCrédito yCarteraCartera AutorizadosAutorizados Sistemas deSistemas de
InformaciónInformaciónProcesos Procesos
Y Y CanjeCanje
Cuentas Cuentas CorrientesCorrientesVULNERABILIDADES Y AMENAZAS EN PROCESAMIENTOS DE DATOS
Activos
Servidor deAplicaciones Infraestructura Usuarios
Centro deCómputo
Cadena deValor
Director De TI
Router FirewallEstación de
Trabajo
VULNERABILIDADES Y AMENAZAS TÉCNICAS
Proceso de construcción del Proceso de construcción del Mapa de Riesgos TecnológicosMapa de Riesgos TecnológicosMapa de Riesgos Tecnológicos Mapa de Riesgos Tecnológicos
1. Levantamiento de Información (conocimiento del negocio)negocio)
2. Pruebas de Vulnerabilidad y Hacking Etico (Internet / internas / wireless)
3. Verificación de Líneas Telefónicas4. Valoración de red ideal segura5 Pruebas de Ingeniería Social5. Pruebas de Ingeniería Social6. Evaluación de Seguridad Física7. Evaluación de Código de las Aplicaciones8. Evaluación del procesamiento de datos 9. Valoración de los controles existentes10 G ió d l d i10.Generación del mapa de riesgos 11.Implementación de las estrategias de mitigación12.Monitoreo de los riesgos
Pruebas de Penetración ExternaPruebas de Penetración Externa
Direcciones publicadas en el Internet.
Análisis de VulnerabilidadesPruebas Externas
Servidores
Servidores
Servidores
SW
LAN Corporativ
a
InternetLAN FireWall
VPN-1/FireWall-1
SW
Corporativa
Equipo portátil
Pruebas de Penetración InternaPruebas de Penetración Interna
Análisis de Vulnerabilidades
Servidores
VulnerabilidadesPruebas Internas
Servidores
Ubicado en cualquier
LAN Corporativa
Servidores
Equipo portátil
Ubicado en cualquier punto de la red de la organización
SW
InternetLAN Corporativa
FireWall
Zonas SegurasZonas Seguras
INSEGURA DE CONFLICTOINSEGURA DE CONFLICTO
Requiere autenticación de
acceso a sistemas específicos
expuestos al público. Clientes
Acceso altamente restringido.Accesos no
autorizados se deben Clientes detectar en tiempo
real
Sistemas bajo el control directo de la organización. Los usuarios requieren
Requiere autenticación fuerte
para proteger sistemas expuestos usuarios requieren
acceso total a sistemas internos
pal público. Soporte a
vendedores y partners
CONFIANZA SEMIPROTEGIDACONFIANZA SEMIPROTEGIDA
Valoración de Red Ideal SeguraValoración de Red Ideal Segura
ELEMENTO DE ELEMENTO DE SEGURIDADSEGURIDAD
PUNTAJEPUNTAJE CONTROLES EXISTENTESCONTROLES EXISTENTES CONTROLES A IMPLEMENTARCONTROLES A IMPLEMENTAR NIVELNIVEL
IDS E IPS 0 No se encuentran Implementar esquema de 0%IDS E IPS 0 No se encuentran implementados
Implementar esquema de identificación y detección de intrusiones
0%
VLANs y VLAN ACLs 0 No se encuentran implementados
Implementar PVLAN en cada subred
0%implementados subred
Generar VACL dentro de cada red
Micro VLAN 0 No se encuentran i l t d
Realizar segmentación de esta f b i
0%implementados forma o buscar equipos que
permitan la segmentación MVLAN sin necesidad de configurar máscara
IPSEC 0 N E i i l 0%IPSEC 0 No se encuentran implementados
Es necesario implementar IPSEC para asegurar encripciónde datos
0%
Firewall 4 Existen firewalls que Se deben proteger todas las 80%Firewall 4 ste e a s queprotegen la red de ataques externos y en algunos casos de ataques internos
Se debe p otege todas asredes con el firewall
Implementar firewall de host para cada equipo
80%
Protección de Bases de DatosProtección de Bases de Datos
Autenticación fuerte Auditoría granular
Administración y configuración
Cifrado (Red, almacén y respaldo)
Clasificación de datosAuditoria Forense
Segregación de deberes
Clasificación de datosNivel de seguridad por etiquetas
Enmascaramiento de datos
Solución de respaldo
Enmascaramiento de datos
Estrategias y Estándares: SGSIEstrategias y Estándares: SGSIg yg ySeguridad organizativa
Seguridad lógicaDominios cubiertos Dominios cubiertos Políticas de Seguridad
Organización de la Seguridad de la Información
Seguridad física
Seguridad legal
Por el SGSIPor el SGSI
Información
Gestión de Activos Control de Accesos
C f id dConformidad
Seguridad física y del entorno
Seguridad en los Recursos Humanos
Gestión de Incidentes de seguridad de la
Información
Gestión de la continuidad del
negocio
Gestión de comunicaciones y
operaciones
Adquisición, desarrollo y mantenimiento de sistemas
de información
EL RETO ES MAS COMPLEJOEL RETO ES MAS COMPLEJO::InterconectividadInterconectividad Interoperabilidad SeguridadInteroperabilidad SeguridadInterconectividadInterconectividad, Interoperabilidad, Seguridad, Interoperabilidad, Seguridad
DATOSDATOS
APLICACIÓNAPLICACIÓN
Articulación de los conceptos SERVIDORESSERVIDORES
REDRED
pde diseño y los componentes de
Defensa en ProfundidadREDRED
PERIMETROPERIMETRO
mediante el mapa de riesgos y el SGSI
SEGURIDAD FÍSICASEGURIDAD FÍSICAde la organización
PROCEDIMIENTOSPROCEDIMIENTOS
EL RETO ES MAS COMPLEJOEL RETO ES MAS COMPLEJO::InterconectividadInterconectividad Interoperabilidad SeguridadInteroperabilidad Seguridad
DATOSDATOS
InterconectividadInterconectividad, Interoperabilidad, Seguridad, Interoperabilidad, Seguridad
APLICACIÓNAPLICACIÓN
SERVIDORESSERVIDORES
REDRED
PERIMETROPERIMETRO
SEGURIDAD FÍSICASEGURIDAD FÍSICA
PROCEDIMIENTOSPROCEDIMIENTOS
AGENDAAGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
Diseño y componentes de la Defensa en Profundidad• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de ImplementaciónEstrategia de Implementación
RIESGOS – SEGURIDAD -CONTINUIDADRiesgos Identificación RiesgosCONTINUIDAD
Desastres Naturales•Fuego•Huracanes
gPotenciales
Evaluación deRiesgos
Desastres Naturales•Fuego•Huracanes
IdentificaciónDe Riesgos
Controles ySeguridades
Desastres Naturales•Fuego•Huracanes
RiesgosResiduales
•Inundaciones•Tornados..Humanos•Sabotaje•Código Malicioso
---------------------------------------------------
Riesgos •Inundaciones•Tornados..Humanos•Sabotaje•Código Malicioso
•Controles Administrativos
Seguridades •Inundaciones•Tornados..Humanos•Sabotaje•Código Malicioso
C O
P NL TA I•Código Malicioso
•Errores de Operador..Tecnológicos•Fallas de Hardware
-----------------------------------------------------------------------------------------------------------------------
•Código Malicioso•Errores de Operador..Tecnológicos•Fallas de
Administrativos
•Controles Operacionales
•Controles Técnicos
•Código Malicioso•Errores de Operador..Tecnológicos•Fallas de
N NE GS E
ND CE I•Corrupción de datos
•Caída de telecomunicaciones•Fallas de energía eléctrica
----------------------------------
Hardware•Corrupción de datos•Caída de telecomunicaciones•Fallas de energía
lé t i
Hardware•Corrupción de datos•Caída de telecomunicaciones•Fallas de energía
lé t i
E IA
eléctrica eléctrica
BCP : La última defensa
AGENDAAGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
Diseño y componentes de la Defensa en Profundidad• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de ImplementaciónEstrategia de Implementación
Implementación de la Implementación de la Estrategia de SeguridadEstrategia de SeguridadEstrategia de SeguridadEstrategia de Seguridad
Componente 1 Componente 1 -- EstrategiaEstrategia
RETORNO DE LA INVERSIÓN EN SEGURIDADRETORNO DE LA INVERSIÓN EN SEGURIDAD
P A dit íE t i t
DEFENSA EN PROFUNDIDAD
Pre - AuditoríaEntrenamiento
Zonas deSeguridad
Estrategias deContinuidad ConcientizaciónAseguramiento
Políticas Proce-dimientos
InversiónAdicional
SISTEMA DE GESTION DE LA SEGURIDAD - SGSI
SOA AnálisisGAP
Organización delÁrea de Seguridad
R l ió d
BIAPruebas deIngeniería Social
E l ió d R d Id l
Evaluación de Seguridad Física
Evaluación deAplicaciones
MAPA DE RIESGOS
E t i t d P b d V l bilid dRecolección deInformación
Evaluación de Red IdealSegura
Entrevistas deAnálisis de Riesgos
Pruebas de Vulnerabilidad yEtical Hacking
Implementación de la Implementación de la Estrategia de SeguridadEstrategia de Seguridad
RETORNO DE LA INVERSIÓN EN SEGURIDAD
Estrategia de SeguridadEstrategia de SeguridadComponente 2 Componente 2 -- SolucionesSoluciones
MantenimientoEntrenamiento
RETORNO DE LA INVERSIÓN EN SEGURIDAD
DEFENSA EN PROFUNDIDAD
Protección de Seguridad VLAN’s y
MantenimientoEntrenamiento
FIREWALL Políticas
Segmentación Configuración de
ProtecciónRedes Inalámbricas
IDS / IPS
IPSEC Protección DATOS
Equipos de Cx Capa 2 y 3 Micro VLAN’s
DISEÑO DE LA RED IDEAL SEGURA
Segmentación Equipos
MAPA DE RIESGOS
IDS / IPS
Recolección def ó
BIAPruebas deIngeniería Social
Evaluación de Red Ideal
Evaluación de Seguridad Física
Evaluación deAplicaciones
MAPA DE RIESGOS
Entrevistas deál d
Pruebas de Vulnerabilidad yl kInformación Segura Análisis de Riesgos Etical Hacking
UN SOLO ESFUERZO PARA SATISFACERUN SOLO ESFUERZO PARA SATISFACERDIFERENTES REQUERIMIENTOSDIFERENTES REQUERIMIENTOSDIFERENTES REQUERIMIENTOSDIFERENTES REQUERIMIENTOS
RETORNO DE LA INVERSIÓN EN SEGURIDAD
COSO
DEFENSA EN PROFUNDIDAD
SOX PCI ISO 27000CIRCULAR 052 / 834
ITIL COBITASNZ 4360
SERVICIOS DE SEGURIDAD GESTIONADOS
/
MAGERIT NIST
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
MAPA DE RIESGOS
Recolección deI f ió
BIAPruebas deIngeniería Social
Evaluación de Red IdealS
Evaluación de Seguridad Física
Evaluación deAplicaciones
Entrevistas deA áli i d Ri
Pruebas de Vulnerabilidad yEti l H kiInformación Segura Análisis de Riesgos Etical Hacking
GRACIASGRACIAS!!!!!!
[email protected] Merchán, CISA, GSEC