PDF de programación - Estado del arte de la seguridad de la información

Estado del arte de la
Estado del arte de la

seguridad de la información
seguridad de la información
seguridad de la información
seguridad de la información

Julio César Ardita

[email protected]

21 de Octubre de 2014

Buenos Aires - Argentina

Estado del arte de la seguridad de la información

Agenda

•

Incidentes de seguridad

• El rol del CISO

• Presión de las regulaciones

• Vulnerabilidades
• Vulnerabilidades

• Outsourcing de la seguridad

• Seguridad de las redes industriales

•

La nube segura

• Herramientas de seguridad

• Seguridad en dispositivos móviles

2

Incidentes de

seguridad
seguridad

3

Estado del arte de la seguridad de la información
Incidentes de seguridad

Incidentes de seguridad

Incidentes públicos vs. incidentes privados

- Fraudes

- Amenazas

- Sabotaje
- Sabotaje

- Robo de información

- Phishing masivos

- Ataques de DOS

4

Estado del arte de la seguridad de la información
Incidentes de seguridad

Incidentes de seguridad

Cantidad de incidentes graves manejados por CYBSEC

18

16

14
14

12

10

8

6

4

2

0
2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014*

5

Estado del arte de la seguridad de la información
Incidentes de seguridad

Tendencia Actual

- Aumento de incidentes de seguridad (mayoría de los casos insiders)

- Aumento exponencial de ataques de phishing contra entidades

financieras argentinas (Disparador: transferencias inmediatas Abril 2011)

- Ataques de phishing más sofisticados (incluyendo explotación de

vulnerabilidades)

- Hacktivismo (Sector 404 Argentina

y Anonymous Argentina)

- Origen de ataques: Redes Wifi abiertas o redes TOR

6

Estado del arte de la seguridad de la información
Incidentes de seguridad

Manejo de Incidentes

La pregunta hoy no es si voy a tener un incidente de seguridad, sino:

¿Cuándo lo voy a tener?

Madurez del Manejo de Incidentes de Seguridad Interno

- No poseen (85%)

- Manejo de incidentes desorganizado (8%)

- Manejo de incidentes formal para la foto (compliance) (4%)

- Manejo de incidentes formal real (2%)

- CSIRT interno (<1%)

7

El Rol del CISO
El Rol del CISO

8

Estado del arte de la seguridad de la información
Rol del CISO

CISO: Chief Information Security Officer

• Encargado de seguridad de la Información dentro de una Organización
• El nivel de reporte depende del grado de maduración de la empresa

Seguridad Informática
Seguridad Informática
Seguridad Informática
Seguridad Informática

Tareas técnicas y operativas
Tareas técnicas y operativas

Seguridad de la Información
Seguridad de la Información
Seguridad de la Información
Seguridad de la Información

Rol de Management
Rol de Management

Antes Hoy
Antes Hoy

Seguridad Informática
Seguridad Informática

Tareas técnicas, operativas, regulaciones,
Tareas técnicas, operativas, regulaciones,

soporte a áreas de sistemas
soporte a áreas de sistemas

9

Estado del arte de la seguridad de la información
Rol del CISO

La evolución de las áreas de Seguridad
(grados de madurez)

- Nivel Estratégico – CISO
- Nivel de Negocio – Gerente de Seguridad
- Nivel Gerencial – Jefe de Seguridad Informática
- Nivel Gerencial – Jefe de Seguridad Informática
- Nivel Técnico – Administrador de Seguridad

Estructura del área de seguridad

- Tipo de Compañía
- Regulaciones que aplican
- Cultura organizacional
- Grado de madurez de la Compañía

- Tamaño de la Compañía
- Presupuesto
- Rol del CSO

10

Estado del arte de la seguridad de la información
Rol del CISO

El CSO debe:

- Tener visibilidad hacia la organización.
- Dar valor agregado en seguridad.
- Moverse en un plano estratégico y de

negocios (y no solamente en un plano técnico).

- Ser proactivo y ayudar al negocio.
- Ser proactivo y ayudar al negocio.
- Aprovechar las oportunidades (reuniones, incidentes, etc.)

y mostrar las capacidades de su equipo y gestión.

- Moverse políticamente en la organización.
- Tener la habilidad de presentar resultados para que el

resto de la organización pueda entender claramente cuales
son los riesgos y cómo estamos trabajando para mitigarlos.

11

Presión de las
regulaciones
regulaciones

12

Estado del arte de la seguridad de la información
Presión de las regulaciones

Evolución de la madurez y estado de implementación de las normativas

relacionadas con seguridad en Argentina

Normativa

SOX

BCRA 4609

BCRA 5374

Protección de datos personales

Protección de datos de salud

PCI-DSS

Madurez

5

4
4

2
2

1

3

•

•

•

Las normativas llegaron para quedarse

La mayoría de las mismas impactan en el sector de SI

Se debe tomarlas como “oportunidades”

13

Estado del arte de la seguridad de la información
Presión de las regulaciones

PCI-DSS
- Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015
- Principales procesadores, gateways de pago y grandes comercios
certificados
- Comienzo de utilización de tecnología chip en tarjetas de crédito

BCRA 5374
- Los Bancos están implementando la normativa de seguridad en canales
electrónicos – Concientización
- Uso de doble factor de autenticación para transacciones críticas

Protección de datos personales
- La DNPDP está realizando inspecciones
- Manual de seguridad – Clasificación de información
- Está comenzando la protección de datos de salud (Estándar HL7 - IRAM-
ISO 27.799)

14

Vulnerabilidades
Vulnerabilidades

15

Estado del arte de la seguridad de la información
Vulnerabilidades

Vulnerabilidades de seguridad

- Un nuevo trabajo: Vulnerability Researcher

- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código

+ Conocimiento de la misma en el mercado = Hasta U$S 100.000

- Maduración del mercado de compra/venta de vulns

- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's

Exploit Acquisition Program, etc

- Mercado oficial – negro – gris

16

Estado del arte de la seguridad de la información
Vulnerabilidades

Vulnerabilidades de seguridad

- Aparecerán nuevas vulnerabilidades críticas

y es clave la rapidez para aplicar la solución

a la misma.

Ejemplos: Heartbleed, Shellshock,

POODLE: SSLv3 vulnerability, etc.

Patch Management

- Desarrollar estrategia de patch management

- Clasificar el nivel de riesgo de la vulnerabilidad.

- Aplicación de patch / workaround: SO – AP – DB – Desarrollo.

- Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología.

17

Estado del arte de la seguridad de la información
Vulnerabilidades

Tendencias en vulnerabilidades de seguridad

- Más gente buscando nuevas vulnerabilidades!!!

- Intentos por regular la actividad (Alemania, EEUU, etc.)

- Acercamiento al tema de las áreas de inteligencia de algunos países

- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days

- Aumento de los Toolkits para

Cybercrimen (Phishing – Botnets – Etc.)

18

Outsourcing de la

seguridad
seguridad

19

Estado del arte de la seguridad de la información
Outsourcing de seguridad

Situación actual

Las áreas de seguridad de la información en las Organizaciones están

realizando outsourcing de las siguientes tareas:

- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)

- PenTest

- Gestión de vulnerabilidades (scannings)

- Gestión de accesos (ABM Users y Permisos)

- Respuesta a incidentes

- Soporte a proyectos internos

- Desarrollo de Documentación

20

Estado del arte de la seguridad de la información
Outsourcing de seguridad

Tendencias

- Madurez en los servicios de outsourcing de seguridad

- Establecimiento de SLA´s.

- Acompañamiento de la estrategia de la Organización

Recurso on-site

especializado

Horas de Soporte

Sector de Seguridad

de la Información

21

Seguridad de las
redes industriales
redes industriales

22

Estado del arte de la seguridad de la información
Seguridad de las redes industriales

Situación actual

Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria

Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud,

Tecnologías de la Información y las Comunicaciones (TIC), Transporte,

Alimentación y Sistema Financiero y Tributario.

En las Organizaciones, el sinónimo es protección de redes industriales (SCADA)

La red SCADA era manejada

Seguridad Corporativa se está

por ingenieros y proveedores.

metiendo en el tema.

- Integración con la red corporativa

- Aplicación de estándares

- Actualización / Patches

23

Estado del arte de la seguridad de la información
Seguridad de las redes industriales

24

Estado del arte de la seguridad de la información
Seguridad de las redes industriales

Tendencias

- Los gobiernos están involucrándose en el tema. En Argentina, en

2011 se creó el Programa Nacional

de Infraestructuras Críticas de

Información y Ciberseguridad (ICIC).

- Las Organizaciones que poseen este tipo de redes

industriales están avanzando en la aplicación de

medidas de seguridad.

25

La nube segura
La nube segura

26

Estado del arte de la seguridad de la información
La nube segura

Situación actual

- Beneficio de los servicios cloud: Empresas chicas

- Cultura empresarial

- SLA (la base de todo)
- SLA (la base de todo)

- Modelos y seguridad

Acuerdos predefinidos y no negociables
Son los estándares en los modelos cloud ya
que permiten la economía de escala.

Acuerdos negociables
Acuerdos negociables
Similares a los contratos tradicionales
de outsourcing (complejos!).

27

Estado del arte de la seguridad de la información
La nube segura

Aspectos de seguridad a tener en cuenta

NIST 800-144 - Guidelines on Security and Privacy in Public

Cloud Computing

1. Gobierno
2. Cumplimiento
2. Cumplimiento
3. Confianza
4. Arquitectura
5. Identity y Access Management
6. Aislamiento de software
7. Protección de información
8. Disponibilidad
9. Respuesta ante Incidentes

28

Herramientas de
seguridad de la

información

29

Estado del arte de la seguridad de la información
Herramientas de seguridad