Publicado el 25 de Octubre del 2018
411 visualizaciones desde el 25 de Octubre del 2018
2,2 MB
37 paginas
Creado hace 12a (20/03/2012)
Security Management
Control identity | access | information
El poder de los usuarios
privilegiados, como gestionar,
controlar su actividad y
cumplir con las exigencias
regulatorias
¿Qué representan estos números en el ámbito de la
seguridad informática?
$202
Costo promedio de una brecha de seguridad,
por registro comprometido (2010), siendo la
negligencia la causa principal
—Ponemon Institute
48%
Porcentaje de todas las brechas que involucran
un mal uso de parte de usuarios privilegiados
— Verizon report, 2010
87%
Porcentaje de las compañías que han
experimentado fuga de datos
— IT Compliance Institute
74%
Porcentaje de compañias comprometidas que
perdieron clientes o negocios como resultado de
una fuga de datos o brecha de seguridad
— IT Compliance Institute
2
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Los cambios de prioridad del CIO
$268
16.2%
19.7%
$88
Total Revenue (US$M)
Growth Rate
13.9%
$31
10.5%
$4
Secure Content and Threat
Identity and Access
Security and Vulnerability
Other Security Software
Management
Management
Management Software
Source: IDC IT Investment Trends 2H 2010
3
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué están haciendo los Usuarios
Privilegiados con la infraestructura y la
información de su organización?
4
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Cómo aseguras lo que no puedes ver?
5
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Contexto
Usuarios Privilegiados
Privilegio
PRIVILEGIO
> ¿Qué es y Porqué importa?
7
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Por qué importa?
Administrador de empresa roba información
8
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Por qué importa?
Errores humanos
9
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Por qué importa?
Malicia, Maluso o Intención de Daño
48% of internal breaches
are from privileged user
misuse; a 26% increase
from the prior year
Source: Verizon 2010 Data Breach Report
10
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué es el concepto de “Mal Uso” o “Malicia”?
Convención Europea de Ciber-crimen
— Ofensas contra la confidencialidad,
integridad y disponibilidad de los
sistemas de cómputo sus datos
sensitivos
− Artículo 2 – Acceso Ilegal
− Artículo 3 – Intercepción ilegal
− Artículo 4 – Interferencia de Datos
− Artículo 5 – Interferencia a los Sistemas
— Incluye acceso no autorizado a los
sistemas a nivel Administrator (root) o
nivel usuario
11
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué son los usuarios privilegiados?
Usuario Normal
Usuario
Normal
Es
claramente
identificado
Es
controlado
Usuario Normal
Seguridad
del SO
Seguridad de
la Aplicación
Datos,
archivos y
bitácoras
críticos
12
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué son los usuarios privilegiados?
Root, DBA, sa, appAdmin….
> Administrator ‘root’
Es anónimo
Usuario Privilegiado
Puede “saltarse” la seguridad aplicativa
Puede ver y alterar datos de bases de
datos aplicativos
Puede generar incidentes de
indisponibilidad
Puede cambiar archivos de sistema
Puede cambiar configuraciones al
sistema
Puede alterar bitácoras
Seguridad
del SO
Seguridad de
la Aplicación
Datos,
archivos y
bitácoras
críticos
13
Puede borrar evidencia de sus
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué son los usuarios privilegiados?
Virtualización: hypervisor access
La Virtualización
amplifica el problema!
Usuario Privilegiado
14
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Desafíos
— ACCESO IRRESTRICTO a los
recursos
— Tipicamente por CUENTAS
COMPARTIDAS – dificulta la
aplicación de
RESPONSABILIDADES
— AUSENCIA DE SEGREGACIÓN
de funciones
— Dificulta la INTEGRIDAD DE
TRAZAS DE AUDITORIA
— FALTA DE TRANSPARENCIA de
acesso
— VIRTUALIZACIÓN y la NUBE
amplia los problemas
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
15
La parte normativa y
regulatoria
Usuarios Privilegiados
Administrando el privilegio
Estándares, normas y mejores prácticas
17
COBIT
ITIL
ISO 27002 “Code of practice
for information security
management“
Payment Card Industry (PCI
DSS)
SOX
Ley Federal de Protección de
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Datos en Posesión de
Particulares (LFPDPD)
ISO 27002 Control de Acesos
11.2.2 Administración o Gestión de Privilegios
— Control: La asignación de privilegios de uso debe ser restringido y controlado.
— Guía de Implementación:
− Los privilegios debe ser asignados a los usuarios bajo el concepto “need-to-use”
− El proceso de autorización y registro de privilegios debe ser operado y mantenido en
todo momento
− El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar
privilegios a los usuarios debe ser promovido
− Los privilegios deben ser asignados a un “userID” distinto al usado para necesidades
normales de operación
18
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Ley Federal de Protección de Datos Personales en
Posesión de los Particulares estipula:
Artículo 19 – “Todo responsable que lleve a cabo
tratamiento de datos personales deberá establecer y
mantener medidas de seguridad administrativas,
técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración,
destrucción o el uso, acceso o tratamiento no
autorizado”.
19
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Requerimientos específicos de la norma PCI
PCI DSS
Proteger los datos del
tarjetahabiente
Mantener un programa de
Vulnerabilidades
Crear/mantener una red
segura
1. Instalar/mantener
configuraciones seguras a
los Firewalls
2. Cambiar los parámetros
default del fabricante
3. Proteger los datos
almacenados
4. Encriptar la información
transmitida
5. Usar y tener actualizado
software anti virus
6. Desarollar/mantener
aplicaciones con sistemas de
seg.
Mantener una Política de
Seguridad de la
Información
12. Mantener una política
que atienda a la seguridad de
la información
Implementar medidas de
Monitorear y probar la red
control
7. Restringir el acceso a los
7. Restringir el acceso a los
datos bajo la premisa del
datos bajo la premisa del
“need to know” del
“need to know” del
negocio
negocio
8. Asignar UserIds únicos
8. Asignar UserIds únicos
Requerimientos específicos
9. Restringir accesos físicos
10. Rastrear/monitorear los
10. Rastrear/monitorear los
accesos a la red y a los
accesos a la red y a los
datos de los
datos de los
tarjetahabientes
tarjetahabientes
11. Probar regularmente los
sistemas y procesos de
seguridad
20
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué debemos buscar
en el mercado?
Usuarios Privilegiados
Los clientes declaran el siguiente problema a
resolver
“El problema es como administrar el acceso
a los usuarios privilegiados. No hay
“accountability" en como es el acceso
otorgado o cuando los roles cambian dentro
de la organización. Necesitamos automatizar
las tareas de borrado de cambios
innecesarios e identificar
quien autorizó los cambios.”
22
Controlar el Acceso Privilegiado
Evaluar herramientas que
provean un control
granular de acceso de
usuarios privilegiados
lo que resulta en la
protección de servidores,
recursos de sistemas
operativos; aplicaciones
e infraestructura en
ambientes físicos o
virtualizados.
23
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
… una completa solución de administración de usuarios
privilegiados….
Monitoreo,
trazabilidad y
reporteo de
actividad
privilegiada
Autenticación
de acceso
privilegiado
Admin de
cuentas con
password
compartido
Solución de
Admin de
Usuarios
Privilegiados
Admin de
usuarios
privilegiados
en
ambientes
virtuales
Admin de
passwords de
aplicativos
Controles
de acceso
granulares
24
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué debe contemplar una solución de este tipo?
– Force el principio del “menor de los
privilegios”
Control
– Force el proceso de acceso
– Protega passwords compartidos y admin sus
políticas
– Soporte a plataformas heterogéneas
Auditar
– Registe usuarios por su ID orginal al elevarse
sus privilegios
– Correlacione la actividad de cuentas
privilegiadas a los individuos que la usan
– Grabe y reproduzca las sesiones
Governar
– Modelado y Administración central
– Habilite a dueños de cuentas compartidas a
aprobar esos accesos privilegiados
– Cumplimiento regulatorio y normativo
25
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Administrando estrategicamente los riesgos de los
usuarios privilegiados
Auditores
SOX
PCI
LFPDPP
Auditoria
Interna
Administración de Riegos y “Compliance”
Protección de
Comentarios de: El poder de los usuarios privilegiados, como gestionar, controlar su actividad y cumplir con las exigencias regulatorias (0)
No hay comentarios