PDF de programación - El poder de los usuarios privilegiados, como gestionar, controlar su actividad y cumplir con las exigencias regulatorias

Security Management
Control identity | access | information

El poder de los usuarios

privilegiados, como gestionar,

controlar su actividad y

cumplir con las exigencias

regulatorias

¿Qué representan estos números en el ámbito de la
seguridad informática?

$202

Costo promedio de una brecha de seguridad,
por registro comprometido (2010), siendo la
negligencia la causa principal
—Ponemon Institute



48%

Porcentaje de todas las brechas que involucran
un mal uso de parte de usuarios privilegiados
— Verizon report, 2010



87%

Porcentaje de las compañías que han
experimentado fuga de datos
— IT Compliance Institute

74%

Porcentaje de compañias comprometidas que
perdieron clientes o negocios como resultado de
una fuga de datos o brecha de seguridad
— IT Compliance Institute

2

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.


Los cambios de prioridad del CIO

$268

16.2%

19.7%

$88

Total Revenue (US$M)

Growth Rate

13.9%

$31

10.5%

$4

Secure Content and Threat

Identity and Access

Security and Vulnerability

Other Security Software

Management

Management

Management Software

Source: IDC IT Investment Trends 2H 2010

3

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué están haciendo los Usuarios
Privilegiados con la infraestructura y la
información de su organización?

4

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Cómo aseguras lo que no puedes ver?

5

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

Contexto

Usuarios Privilegiados

Privilegio

PRIVILEGIO

> ¿Qué es y Porqué importa?

7



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Por qué importa?
Administrador de empresa roba información

8



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Por qué importa?
Errores humanos

9



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Por qué importa?
Malicia, Maluso o Intención de Daño

48% of internal breaches
are from privileged user
misuse; a 26% increase

from the prior year

Source: Verizon 2010 Data Breach Report

10

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué es el concepto de “Mal Uso” o “Malicia”?
Convención Europea de Ciber-crimen

— Ofensas contra la confidencialidad,

integridad y disponibilidad de los
sistemas de cómputo sus datos
sensitivos

− Artículo 2 – Acceso Ilegal

− Artículo 3 – Intercepción ilegal

− Artículo 4 – Interferencia de Datos

− Artículo 5 – Interferencia a los Sistemas

— Incluye acceso no autorizado a los

sistemas a nivel Administrator (root) o
nivel usuario

11



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué son los usuarios privilegiados?
Usuario Normal

 Usuario
Normal
Es

claramente
identificado

Es

controlado

Usuario Normal

Seguridad
del SO

Seguridad de
la Aplicación

Datos,
archivos y
bitácoras
críticos

12



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué son los usuarios privilegiados?
Root, DBA, sa, appAdmin….

> Administrator ‘root’

 Es anónimo

Usuario Privilegiado

 Puede “saltarse” la seguridad aplicativa

 Puede ver y alterar datos de bases de

datos aplicativos

 Puede generar incidentes de

indisponibilidad

 Puede cambiar archivos de sistema

 Puede cambiar configuraciones al

sistema

 Puede alterar bitácoras

Seguridad
del SO

Seguridad de
la Aplicación

Datos,
archivos y
bitácoras
críticos

13

 Puede borrar evidencia de sus

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.



¿Qué son los usuarios privilegiados?
Virtualización: hypervisor access

La Virtualización
amplifica el problema!

Usuario Privilegiado

14

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.



Desafíos


— ACCESO IRRESTRICTO a los

recursos

— Tipicamente por CUENTAS

COMPARTIDAS – dificulta la
aplicación de
RESPONSABILIDADES

— AUSENCIA DE SEGREGACIÓN

de funciones

— Dificulta la INTEGRIDAD DE

TRAZAS DE AUDITORIA

— FALTA DE TRANSPARENCIA de

acesso

— VIRTUALIZACIÓN y la NUBE

amplia los problemas

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

15

La parte normativa y
regulatoria

Usuarios Privilegiados

Administrando el privilegio
Estándares, normas y mejores prácticas



17

 COBIT

 ITIL

 ISO 27002 “Code of practice

for information security
management“

 Payment Card Industry (PCI

DSS)

 SOX

 Ley Federal de Protección de

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.



Datos en Posesión de
Particulares (LFPDPD)

ISO 27002 Control de Acesos
11.2.2 Administración o Gestión de Privilegios

— Control: La asignación de privilegios de uso debe ser restringido y controlado.

— Guía de Implementación:

− Los privilegios debe ser asignados a los usuarios bajo el concepto “need-to-use”

− El proceso de autorización y registro de privilegios debe ser operado y mantenido en

todo momento

− El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar

privilegios a los usuarios debe ser promovido

− Los privilegios deben ser asignados a un “userID” distinto al usado para necesidades

normales de operación

18



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

Ley Federal de Protección de Datos Personales en

Posesión de los Particulares estipula:



Artículo 19 – “Todo responsable que lleve a cabo

tratamiento de datos personales deberá establecer y

mantener medidas de seguridad administrativas,
técnicas y físicas que permitan proteger los datos

personales contra daño, pérdida, alteración,
destrucción o el uso, acceso o tratamiento no

autorizado”.



19

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

Requerimientos específicos de la norma PCI

PCI DSS

Proteger los datos del
tarjetahabiente

Mantener un programa de
Vulnerabilidades

Crear/mantener una red
segura

1. Instalar/mantener
configuraciones seguras a
los Firewalls

2. Cambiar los parámetros
default del fabricante

3. Proteger los datos
almacenados

4. Encriptar la información
transmitida

5. Usar y tener actualizado
software anti virus

6. Desarollar/mantener
aplicaciones con sistemas de
seg.

Mantener una Política de
Seguridad de la
Información

12. Mantener una política
que atienda a la seguridad de
la información

Implementar medidas de

Monitorear y probar la red

control

7. Restringir el acceso a los
7. Restringir el acceso a los
datos bajo la premisa del
datos bajo la premisa del
“need to know” del
“need to know” del
negocio
negocio

8. Asignar UserIds únicos
8. Asignar UserIds únicos

Requerimientos específicos
9. Restringir accesos físicos

10. Rastrear/monitorear los
10. Rastrear/monitorear los
accesos a la red y a los
accesos a la red y a los
datos de los
datos de los
tarjetahabientes
tarjetahabientes

11. Probar regularmente los

sistemas y procesos de
seguridad

20



Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué debemos buscar
en el mercado?

Usuarios Privilegiados

Los clientes declaran el siguiente problema a
resolver

“El problema es como administrar el acceso
a los usuarios privilegiados. No hay
“accountability" en como es el acceso
otorgado o cuando los roles cambian dentro
de la organización. Necesitamos automatizar
las tareas de borrado de cambios
innecesarios e identificar

quien autorizó los cambios.”



22



Controlar el Acceso Privilegiado


Evaluar herramientas que
provean un control
granular de acceso de
usuarios privilegiados
lo que resulta en la
protección de servidores,
recursos de sistemas
operativos; aplicaciones
e infraestructura en
ambientes físicos o
virtualizados.

23

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

… una completa solución de administración de usuarios
privilegiados….

Monitoreo,
trazabilidad y
reporteo de
actividad
privilegiada

Autenticación
de acceso
privilegiado

Admin de
cuentas con
password
compartido

Solución de
Admin de
Usuarios

Privilegiados

Admin de
usuarios
privilegiados
en
ambientes
virtuales

Admin de
passwords de
aplicativos

Controles
de acceso
granulares

24

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué debe contemplar una solución de este tipo?


– Force el principio del “menor de los

privilegios”

Control

– Force el proceso de acceso
– Protega passwords compartidos y admin sus

políticas

– Soporte a plataformas heterogéneas

Auditar

– Registe usuarios por su ID orginal al elevarse

sus privilegios

– Correlacione la actividad de cuentas

privilegiadas a los individuos que la usan

– Grabe y reproduzca las sesiones

Governar

– Modelado y Administración central
– Habilite a dueños de cuentas compartidas a

aprobar esos accesos privilegiados

– Cumplimiento regulatorio y normativo

25

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

Administrando estrategicamente los riesgos de los
usuarios privilegiados

Auditores

SOX

PCI

LFPDPP

Auditoria
Interna

Administración de Riegos y “Compliance”

Protección de