Estado del arte de la
Estado del arte de la
seguridad de la información
seguridad de la información
seguridad de la información
seguridad de la información
Julio César Ardita
[email protected]
21 de Octubre de 2014
Buenos Aires - Argentina
Estado del arte de la seguridad de la información
Agenda
•
Incidentes de seguridad
• El rol del CISO
• Presión de las regulaciones
• Vulnerabilidades
• Vulnerabilidades
• Outsourcing de la seguridad
• Seguridad de las redes industriales
•
La nube segura
• Herramientas de seguridad
• Seguridad en dispositivos móviles
2
Incidentes de
seguridad
seguridad
3
Estado del arte de la seguridad de la información
Incidentes de seguridad
Incidentes de seguridad
Incidentes públicos vs. incidentes privados
- Fraudes
- Amenazas
- Sabotaje
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS
4
Estado del arte de la seguridad de la información
Incidentes de seguridad
Incidentes de seguridad
Cantidad de incidentes graves manejados por CYBSEC
18
16
14
14
12
10
8
6
4
2
0
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014*
5
Estado del arte de la seguridad de la información
Incidentes de seguridad
Tendencia Actual
- Aumento de incidentes de seguridad (mayoría de los casos insiders)
- Aumento exponencial de ataques de phishing contra entidades
financieras argentinas (Disparador: transferencias inmediatas Abril 2011)
- Ataques de phishing más sofisticados (incluyendo explotación de
vulnerabilidades)
- Hacktivismo (Sector 404 Argentina
y Anonymous Argentina)
- Origen de ataques: Redes Wifi abiertas o redes TOR
6
Estado del arte de la seguridad de la información
Incidentes de seguridad
Manejo de Incidentes
La pregunta hoy no es si voy a tener un incidente de seguridad, sino:
¿Cuándo lo voy a tener?
Madurez del Manejo de Incidentes de Seguridad Interno
- No poseen (85%)
- Manejo de incidentes desorganizado (8%)
- Manejo de incidentes formal para la foto (compliance) (4%)
- Manejo de incidentes formal real (2%)
- CSIRT interno (<1%)
7
El Rol del CISO
El Rol del CISO
8
Estado del arte de la seguridad de la información
Rol del CISO
CISO: Chief Information Security Officer
• Encargado de seguridad de la Información dentro de una Organización
• El nivel de reporte depende del grado de maduración de la empresa
Seguridad Informática
Seguridad Informática
Seguridad Informática
Seguridad Informática
Tareas técnicas y operativas
Tareas técnicas y operativas
Seguridad de la Información
Seguridad de la Información
Seguridad de la Información
Seguridad de la Información
Rol de Management
Rol de Management
Antes Hoy
Antes Hoy
Seguridad Informática
Seguridad Informática
Tareas técnicas, operativas, regulaciones,
Tareas técnicas, operativas, regulaciones,
soporte a áreas de sistemas
soporte a áreas de sistemas
9
Estado del arte de la seguridad de la información
Rol del CISO
La evolución de las áreas de Seguridad
(grados de madurez)
- Nivel Estratégico – CISO
- Nivel de Negocio – Gerente de Seguridad
- Nivel Gerencial – Jefe de Seguridad Informática
- Nivel Gerencial – Jefe de Seguridad Informática
- Nivel Técnico – Administrador de Seguridad
Estructura del área de seguridad
- Tipo de Compañía
- Regulaciones que aplican
- Cultura organizacional
- Grado de madurez de la Compañía
- Tamaño de la Compañía
- Presupuesto
- Rol del CSO
10
Estado del arte de la seguridad de la información
Rol del CISO
El CSO debe:
- Tener visibilidad hacia la organización.
- Dar valor agregado en seguridad.
- Moverse en un plano estratégico y de
negocios (y no solamente en un plano técnico).
- Ser proactivo y ayudar al negocio.
- Ser proactivo y ayudar al negocio.
- Aprovechar las oportunidades (reuniones, incidentes, etc.)
y mostrar las capacidades de su equipo y gestión.
- Moverse políticamente en la organización.
- Tener la habilidad de presentar resultados para que el
resto de la organización pueda entender claramente cuales
son los riesgos y cómo estamos trabajando para mitigarlos.
11
Presión de las
regulaciones
regulaciones
12
Estado del arte de la seguridad de la información
Presión de las regulaciones
Evolución de la madurez y estado de implementación de las normativas
relacionadas con seguridad en Argentina
Normativa
SOX
BCRA 4609
BCRA 5374
Protección de datos personales
Protección de datos de salud
PCI-DSS
Madurez
5
4
4
2
2
1
3
•
•
•
Las normativas llegaron para quedarse
La mayoría de las mismas impactan en el sector de SI
Se debe tomarlas como “oportunidades”
13
Estado del arte de la seguridad de la información
Presión de las regulaciones
PCI-DSS
- Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015
- Principales procesadores, gateways de pago y grandes comercios
certificados
- Comienzo de utilización de tecnología chip en tarjetas de crédito
BCRA 5374
- Los Bancos están implementando la normativa de seguridad en canales
electrónicos – Concientización
- Uso de doble factor de autenticación para transacciones críticas
Protección de datos personales
- La DNPDP está realizando inspecciones
- Manual de seguridad – Clasificación de información
- Está comenzando la protección de datos de salud (Estándar HL7 - IRAM-
ISO 27.799)
14
Vulnerabilidades
Vulnerabilidades
15
Estado del arte de la seguridad de la información
Vulnerabilidades
Vulnerabilidades de seguridad
- Un nuevo trabajo: Vulnerability Researcher
- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código
+ Conocimiento de la misma en el mercado = Hasta U$S 100.000
- Maduración del mercado de compra/venta de vulns
- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's
Exploit Acquisition Program, etc
- Mercado oficial – negro – gris
16
Estado del arte de la seguridad de la información
Vulnerabilidades
Vulnerabilidades de seguridad
- Aparecerán nuevas vulnerabilidades críticas
y es clave la rapidez para aplicar la solución
a la misma.
Ejemplos: Heartbleed, Shellshock,
POODLE: SSLv3 vulnerability, etc.
Patch Management
- Desarrollar estrategia de patch management
- Clasificar el nivel de riesgo de la vulnerabilidad.
- Aplicación de patch / workaround: SO – AP – DB – Desarrollo.
- Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología.
17
Estado del arte de la seguridad de la información
Vulnerabilidades
Tendencias en vulnerabilidades de seguridad
- Más gente buscando nuevas vulnerabilidades!!!
- Intentos por regular la actividad (Alemania, EEUU, etc.)
- Acercamiento al tema de las áreas de inteligencia de algunos países
- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days
- Aumento de los Toolkits para
Cybercrimen (Phishing – Botnets – Etc.)
18
Outsourcing de la
seguridad
seguridad
19
Estado del arte de la seguridad de la información
Outsourcing de seguridad
Situación actual
Las áreas de seguridad de la información en las Organizaciones están
realizando outsourcing de las siguientes tareas:
- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)
- PenTest
- Gestión de vulnerabilidades (scannings)
- Gestión de accesos (ABM Users y Permisos)
- Respuesta a incidentes
- Soporte a proyectos internos
- Desarrollo de Documentación
20
Estado del arte de la seguridad de la información
Outsourcing de seguridad
Tendencias
- Madurez en los servicios de outsourcing de seguridad
- Establecimiento de SLA´s.
- Acompañamiento de la estrategia de la Organización
Recurso on-site
especializado
Horas de Soporte
Sector de Seguridad
de la Información
21
Seguridad de las
redes industriales
redes industriales
22
Estado del arte de la seguridad de la información
Seguridad de las redes industriales
Situación actual
Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria
Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud,
Tecnologías de la Información y las Comunicaciones (TIC), Transporte,
Alimentación y Sistema Financiero y Tributario.
En las Organizaciones, el sinónimo es protección de redes industriales (SCADA)
La red SCADA era manejada
Seguridad Corporativa se está
por ingenieros y proveedores.
metiendo en el tema.
- Integración con la red corporativa
- Aplicación de estándares
- Actualización / Patches
23
Estado del arte de la seguridad de la información
Seguridad de las redes industriales
24
Estado del arte de la seguridad de la información
Seguridad de las redes industriales
Tendencias
- Los gobiernos están involucrándose en el tema. En Argentina, en
2011 se creó el Programa Nacional
de Infraestructuras Críticas de
Información y Ciberseguridad (ICIC).
- Las Organizaciones que poseen este tipo de redes
industriales están avanzando en la aplicación de
medidas de seguridad.
25
La nube segura
La nube segura
26
Estado del arte de la seguridad de la información
La nube segura
Situación actual
- Beneficio de los servicios cloud: Empresas chicas
- Cultura empresarial
- SLA (la base de todo)
- SLA (la base de todo)
- Modelos y seguridad
Acuerdos predefinidos y no negociables
Son los estándares en los modelos cloud ya
que permiten la economía de escala.
Acuerdos negociables
Acuerdos negociables
Similares a los contratos tradicionales
de outsourcing (complejos!).
27
Estado del arte de la seguridad de la información
La nube segura
Aspectos de seguridad a tener en cuenta
NIST 800-144 - Guidelines on Security and Privacy in Public
Cloud Computing
1. Gobierno
2. Cumplimiento
2. Cumplimiento
3. Confianza
4. Arquitectura
5. Identity y Access Management
6. Aislamiento de software
7. Protección de información
8. Disponibilidad
9. Respuesta ante Incidentes
28
Herramientas de
seguridad de la
información
29
Estado del arte de la seguridad de la información
Herramientas de seguridad
Comentarios de: Estado del arte de la seguridad de la información (0)
No hay comentarios