Estado del arte de la Estado del arte de la seguridad de la información seguridad de la información Julio César Ardita [email protected] 21 de Octubre de 2014 Buenos Aires - Argentina
Estado del arte de la Estado del arte de la seguridad de la informaciónseguridad de la informaciónseguridad de la informaciónseguridad de la información
Julio César [email protected]
21 de Octubre de 2014Buenos Aires - Argentina
Estado del arte de la seguridad de la información
Agenda
• Incidentes de seguridad
• El rol del CISO
• Presión de las regulaciones
• Vulnerabilidades• Vulnerabilidades
• Outsourcing de la seguridad
• Seguridad de las redes industriales
• La nube segura
• Herramientas de seguridad
• Seguridad en dispositivos móviles
2
Incidentes de seguridadseguridad
3
Incidentes de seguridad
Incidentes públicos vs. incidentes privados
- Fraudes
- Amenazas
- Sabotaje
Incidentes de seguridad
Estado del arte de la seguridad de la información
4
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS
Incidentes de seguridad
Cantidad de incidentes graves manejados por CYBSEC
Incidentes de seguridad
Estado del arte de la seguridad de la información
14
16
18
5
0
2
4
6
8
10
12
14
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014*
Tendencia Actual
- Aumento de incidentes de seguridad (mayoría de los casos insiders)
- Aumento exponencial de ataques de phishing contra entidades
financieras argentinas (Disparador: transferencias inmediatas Abril 2011)
Incidentes de seguridad
Estado del arte de la seguridad de la información
6
- Ataques de phishing más sofisticados (incluyendo explotación de
vulnerabilidades)
- Hacktivismo (Sector 404 Argentina
y Anonymous Argentina)
- Origen de ataques: Redes Wifi abiertas o redes TOR
Manejo de Incidentes
La pregunta hoy no es si voy a tener un incidente de seguridad, sino:
¿Cuándo lo voy a tener?
Madurez del Manejo de Incidentes de Seguridad Interno
Incidentes de seguridad
Estado del arte de la seguridad de la información
7
- No poseen (85%)
- Manejo de incidentes desorganizado (8%)
- Manejo de incidentes formal para la foto (compliance) (4%)
- Manejo de incidentes formal real (2%)
- CSIRT interno (<1%)
El Rol del CISOEl Rol del CISO
8
CISO: Chief Information Security Officer
• Encargado de seguridad de la Información dentro de una Organización• El nivel de reporte depende del grado de maduración de la empresa
Seguridad InformáticaSeguridad Informática Seguridad de la InformaciónSeguridad de la Información
Rol del CISO
Estado del arte de la seguridad de la información
9
Seguridad InformáticaSeguridad InformáticaTareas técnicas y operativasTareas técnicas y operativas
Seguridad de la InformaciónSeguridad de la InformaciónRol de ManagementRol de Management
Seguridad InformáticaSeguridad InformáticaTareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,
soporte a áreas de sistemassoporte a áreas de sistemas
Antes HoyAntes Hoy
Rol del CISO
Estado del arte de la seguridad de la información
La evolución de las áreas de Seguridad(grados de madurez)
- Nivel Estratégico – CISO- Nivel de Negocio – Gerente de Seguridad- Nivel Gerencial – Jefe de Seguridad Informática
10
- Nivel Gerencial – Jefe de Seguridad Informática- Nivel Técnico – Administrador de Seguridad
Estructura del área de seguridad
- Tipo de Compañía- Regulaciones que aplican- Cultura organizacional- Grado de madurez de la Compañía
- Tamaño de la Compañía- Presupuesto- Rol del CSO
Rol del CISO
Estado del arte de la seguridad de la información
El CSO debe:
- Tener visibilidad hacia la organización.- Dar valor agregado en seguridad.- Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico).
- Ser proactivo y ayudar al negocio.
11
- Ser proactivo y ayudar al negocio.- Aprovechar las oportunidades (reuniones, incidentes, etc.)y mostrar las capacidades de su equipo y gestión.
- Moverse políticamente en la organización.- Tener la habilidad de presentar resultados para que el
resto de la organización pueda entender claramente cuales son los riesgos y cómo estamos trabajando para mitigarlos.
Presión de las regulacionesregulaciones
12
Presión de las regulaciones
Evolución de la madurez y estado de implementación de las normativas
relacionadas con seguridad en Argentina
Normativa Madurez
SOX
BCRA 4609
Estado del arte de la seguridad de la información
5
4
13
BCRA 5374
Protección de datos personales
• Las normativas llegaron para quedarse
• La mayoría de las mismas impactan en el sector de SI
• Se debe tomarlas como “oportunidades”
Protección de datos de salud
4
2
2
1
PCI-DSS 3
PCI-DSS
- Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015- Principales procesadores, gateways de pago y grandes comercioscertificados- Comienzo de utilización de tecnología chip en tarjetas de crédito
Presión de las regulaciones
Estado del arte de la seguridad de la información
BCRA 5374
14
- Los Bancos están implementando la normativa de seguridad en canaleselectrónicos – Concientización- Uso de doble factor de autenticación para transacciones críticas
Protección de datos personales
- La DNPDP está realizando inspecciones- Manual de seguridad – Clasificación de información- Está comenzando la protección de datos de salud (Estándar HL7 - IRAM-ISO 27.799)
VulnerabilidadesVulnerabilidades
15
Vulnerabilidades de seguridad
- Un nuevo trabajo: Vulnerability Researcher
- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código
+ Conocimiento de la misma en el mercado = Hasta U$S 100.000
Vulnerabilidades
Estado del arte de la seguridad de la información
16
- Maduración del mercado de compra/venta de vulns
- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's
Exploit Acquisition Program, etc
- Mercado oficial – negro – gris
Vulnerabilidades de seguridad
- Aparecerán nuevas vulnerabilidades críticas
y es clave la rapidez para aplicar la solución
a la misma.
Ejemplos: Heartbleed, Shellshock,
Vulnerabilidades
Estado del arte de la seguridad de la información
17
POODLE: SSLv3 vulnerability, etc.
Patch Management
- Desarrollar estrategia de patch management
- Clasificar el nivel de riesgo de la vulnerabilidad.
- Aplicación de patch / workaround: SO – AP – DB – Desarrollo.
- Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología.
Tendencias en vulnerabilidades de seguridad
- Más gente buscando nuevas vulnerabilidades!!!
- Intentos por regular la actividad (Alemania, EEUU, etc.)
Vulnerabilidades
Estado del arte de la seguridad de la información
18
- Acercamiento al tema de las áreas de inteligencia de algunos países
- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days
- Aumento de los Toolkits para
Cybercrimen (Phishing – Botnets – Etc.)
Outsourcing de laseguridad
19
seguridad
Situación actual
Las áreas de seguridad de la información en las Organizaciones están
realizando outsourcing de las siguientes tareas:
- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)
Outsourcing de seguridad
Estado del arte de la seguridad de la información
20
- PenTest
- Gestión de vulnerabilidades (scannings)
- Gestión de accesos (ABM Users y Permisos)
- Respuesta a incidentes
- Soporte a proyectos internos
- Desarrollo de Documentación
Tendencias
- Madurez en los servicios de outsourcing de seguridad
- Establecimiento de SLA´s.
- Acompañamiento de la estrategia de la Organización
Outsourcing de seguridad
Estado del arte de la seguridad de la información
21
Sector de Seguridad
de la Información
Horas de Soporte
Recurso on-site
especializado
Seguridad de las redes industriales
22
redes industriales
Situación actual
Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria
Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud,
Tecnologías de la Información y las Comunicaciones (TIC), Transporte,
Alimentación y Sistema Financiero y Tributario.
Seguridad de las redes industriales
Estado del arte de la seguridad de la información
23
En las Organizaciones, el sinónimo es protección de redes industriales (SCADA)
La red SCADA era manejada Seguridad Corporativa se está
por ingenieros y proveedores. metiendo en el tema.
- Integración con la red corporativa
- Aplicación de estándares
- Actualización / Patches
Seguridad de las redes industriales
Estado del arte de la seguridad de la información
24
Tendencias
- Los gobiernos están involucrándose en el tema. En Argentina, en
2011 se creó el Programa Nacional
de Infraestructuras Críticas de
Información y Ciberseguridad (ICIC).
Seguridad de las redes industriales
Estado del arte de la seguridad de la información
25
- Las Organizaciones que poseen este tipo de redes
industriales están avanzando en la aplicación de
medidas de seguridad.
La nube seguraLa nube segura
26
Situación actual
- Beneficio de los servicios cloud: Empresas chicas
- Cultura empresarial
- SLA (la base de todo)
La nube segura
Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.
Acuerdos negociables
Estado del arte de la seguridad de la información
27
- SLA (la base de todo)
- Modelos y seguridad
Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).
Aspectos de seguridad a tener en cuenta
NIST 800-144 - Guidelines on Security and Privacy in Public
Cloud Computing
1. Gobierno2. Cumplimiento
La nube segura
Estado del arte de la seguridad de la información
28
2. Cumplimiento3. Confianza4. Arquitectura5. Identity y Access Management6. Aislamiento de software7. Protección de información8. Disponibilidad9. Respuesta ante Incidentes
Herramientas deseguridad de la
29
información
Madurez en el uso de herramientas de seguridad
Madurez
Antivirus (Correo – Navegación – Workstations) 5
AntiSpam 4
Filtro de contenido (Protección en la navegación) 3
Herramientas de seguridad de la información
Estado del arte de la seguridad de la información
30
Firewalls 5
Sistemas de Detección de Intrusiones 4
Sistemas de Prevención de Intrusiones 3
Web Application Firewalls 2
Herramientas Anti-DDOS 1
Madurez en el uso de herramientas de seguridad
Madurez
Firewall de Base de Datos 2
Identity Management 2
DLP (Data Loss Prevention) 1
Herramientas de seguridad de la información
Estado del arte de la seguridad de la información
31
NAC (Network Access Control) 1
Correlación de eventos 2
MDM (Mobile Device Management) 3
Encryption Tools 2
Seguridad en dispositivos móviles
32
dispositivos móviles
Dispositivos móviles (teléfonos y tablets)
Uso Personal (BYOD) Mejores prácticas de seguridad.Password – encripción de información Guía de recomendaciones.
Uso Corporativo
Seguridad en dispositivos móviles
Estado del arte de la seguridad de la información
33
Uso CorporativoMayor posibilidad de controlPassword – encripción de información – wipe remoto – control de aplicaciones – antivirus – Actualizaciones – Monitoreo - Etc.
Uso de MDM (Mobile Device Management)
Seguridad en dispositivos móviles
Estado del arte de la seguridad de la información
34
Respuesta a la necesidad empresarial de poder gestionar de forma
centralizada los dispositivos móviles (principalmente tablets y
smartphones)
Características de MDM
Gestión de Hardware y softwareInventario de dispositivosCatálogo de softwareDistribución de aplicacionesActualizacionesListado de Apps permitidas
Seguridad en dispositivos móviles
Estado del arte de la seguridad de la información
Administración de perfilesConfiguraciones de correoConfiguraciones Wifi
35
Listado de Apps permitidas
Aseguramiento del dispositivoControl de dispositivosBloqueo remotoBorrado remoto EncripciónPolítica de contraseñas
Configuraciones WifiConfiguraciones VPNPolítica de Backup