Securing Movile Devices: using Cobit 5 on BYOD INFOSEC SANTIAGO... · Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA –CISM –CRISC –CISSP [email protected]

Securing Movile Devices: using

Cobit 5 on BYOD

Alfonso Mateluna Concha

CISA – CISM – CRISC – CISSP

[email protected]

Agenda

No olvidar…

Casos de la vida real..

Definiciones

Qué es ISACA y cómo apoya

COBIT V

Desafios de BYOD

Programa de Seguridad

Foto de nivel global

No olvidar

Principios Básicos de Gestión

No se puede gestionar lo que no se comunica

No se puede comunicar lo que no se mide

No se puede medir lo que no se define

No se puede definir lo que no se entiende

Casos de la vida real¿Se ha encontrado usted con lo siguiente?

- Una institución ha publicado una aplicación para sus clientes con Smartphones, con debilidades en el

almacenamiento de contraseñas, token, cartolas.

- La empresa no existen políticas claras al respecto de segurizar adecuadamente los dispositivos móviles,

no se encriptan los discos duros, no hay aplicaciones plataformadas para gestión de correos y

conexiones remotas, no hay concientización respecto de los riesgos de BYOD a los usuarios.

- Los usuarios y dueños de los dispositivos ignoran como asegurarlos.

- Se deshabilita la autenticación de SIM..

- El patron de autenticación por figura en una matriz es una Z o M… (equivalente a QWERTY o 1234)..

- Los usuarios evitan conectarse usando su propia banda ancha y buscan zonas iluminadas; varias de

ellas inseguras

- Lo que partió como una excepción se generalizó, todos los empleados con smartphones pueden

conectarse a la red de la empresa.

- Los tablets y smartphones de propiedad de la empresa terminan siendo usados por los hijos de los

empleados, bajando contenido que no debían.

- Los usuarios nunca apagan el bluetooth, GPS, etc., almacenan archivos en sus memorias extraibles.

- Etc.

Aquí falta Gobierno de seguridad

Definiciones útiles de recordar..El Gobierno Corporativo es un proceso efectuado por el consejo de

administración de una entidad, su dirección y restante personal, aplicable a

la definición de estrategias en toda la empresa y diseñado para identificar

eventos potenciales que puedan afectar a la organización, gestionar sus

riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable

sobre el logro de los objetivos. (COSO)

El gobierno de TI es un subconjunto

del gobierno corporativo.

El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y

consiste en liderazgo, estructuras organizacionales y procesos que

aseguren que TI sostiene y extiende las estrategias de la organización y sus

objetivos. (Instituto de Gobierno de TI, ISACA)

Qué es ISACA y cómo apoya a la

seguridad Creada en 1967.

Inicialmente, organización gremial de auditores de sistemas

Presente en más de 140 países, 200 capítulos.

Cuenta con más de 110.000 miembros en el mundo

Creadores de las Certificaciones

CISA, CISM, CRISC y CGEIT

IT Governance Institute

Creadores de COBIT, Val IT, RISK IT e ITAF

Investigación y publicaciones en temas relevantes

Hoy ISACA está focalizada en el Gobierno de Tecnologías de Información.

Qué es ISACA y cómo apoya a la

seguridad

• Control Objetives for Information and Related

Technology (COBIT)

– 1era edición (1996)

– 2da edición (1998)

– 3era edición (2000)

– 4ta edición (2005)

– 5ta edición (2012)

• Conjunto de Objetivos de Control, BSC, mejores

prácticas, con roles / métricas de desempeño

Qué es ISACA y cómo apoya a la

seguridad

• Publicada el 2006

• Marco para gerenciar

inversiones en TI

• Compatible con CobiT

• Constante revisión

• Versión actual 2.0

Qué es ISACA y cómo apoya a la

seguridad

• Proceso de Auditoria de Sistemas de Información

• Gobierno TI

• Gestión del Ciclo de Vida de Sistemas e Infraestructura

• Desarrollo y Soporte de Servicios TI

• Protección de Activos de Información

• Continuidad de Negocios y Recuperación ante Desastres

Qué es ISACA y cómo apoya a la

seguridad

• Gobierno Corporativo de

Seguridad de Información

• Gestión de Riesgos

• Gestión de un programa de

seguridad de información

• Administración de Seguridad de

Información

• Gestión de Incidentes

Qué es ISACA y cómo apoya a la

seguridad

• Revista “Control”

– Bi-Mensual

• Seguridad Wireless

• IT Governance

• Auditoria

• Contribuciones de todo el mundo

Publicaciones – seminarios periódicos

Qué es ISACA y cómo apoya a la

seguridad

• Documentos de Primer

Nivel

Desafíos de la seguridad en las empresas

Información a proteger:

Los documentos de constitución y alianzas.

Los mensajes y documentos intercambiados.

El historial de los clientes y proveedores.

El historial de productos y suministros.

El historial de procesos y métodos.

Patentes, desarrollos y documentos similares.

El general, todos los archivos de la empresa.

En definitiva, el know-how de la organización.

COBIT 5 y seguridad en dispositivos móviles

COBIT 5 presenta una suite de documentos especializados en temas de Seguridad,

Aseguramiento, Implementación en empresas, Consultoría; dando un marco

Metodológico y una visión holística de las necesidades de las empresas, entes

Reguladores, stakeholders, institutos normativos / estándares y aspectos culturales.

Ante los riesgos imprevistos para muchas empresas, se ha profundizado en temas

Como SAP, Wireless, fraude, y BYOD.

Existe un documento de 138 páginas, con un extenso análisis:

Modelo de procesos COBIT V

Macrovisión

¿Cuáles son las potencialidades de una tablet o un smatphone?

Visión de Vulnerabilidades, Amenazas y Riesgos

Visión de Vulnerabilidades, Amenazas y Riesgos

¿Es esto todo el ámbito de riesgo ante BYOD?

No.. Los medios sociales en el teléfono / Ipad / tablet del usuario

también son un riesgo.. En donde las políticas de filtro de la empresa

no pueden operar…

¿Y si el usuario se pone a contar todo lo que hace?.

¿Y si chatea?… ¿si pasa información confidencial?..

Visión de Vulnerabilidades, Amenazas y Riesgos

Cuáles son los principlaes ámbitos de riesgo?.

- Físico: ejemplo, robo y la pesadilla de que todos mis datos, hasta

bancarios, van allí..pérdida de identidad - firma digital..

- Organizacional: Los permisos que tengo en las aplicaciones de la

empresa los heredo en mi celular..

- Reputacional

- Técnicos: capa 8..

Visión de Vulnerabilidades, Amenazas y Riesgos

¿Cuáles son los ámbitos de riesgo ante conectividad no autorizada?.

Visión de Vulnerabilidades, Amenazas y Riesgos

¿Cuáles son los ámbitos de riesgo ante fuga de información?.

Visión de Vulnerabilidades, Amenazas y Riesgos

Paralelo entre ciclos de vida entre dispositivos de la empresa y BYOD

Las diferencias de enfoque debieran ser notables, sin embargo, no todas las

empresas manejan de esta manera su hardware que facilitan a los usuarios

Visión de Vulnerabilidades, Amenazas y Riesgos

Escenario ante BYOD

Modelo de gestión de BYOD propuesto por ISACA

La administración debe estar consciente de los beneficios y riesgos de BYOD,

Como si fuera un proyecto más, se debe hacer un caso de negocio, en donde se

Clarifique:

-Los riesgos de seguridad y potenciales impactos

- Consideraciones de costo beneficio

- El real valor agregado, en términos de productividad / flexibilidad y acceso

- Motivaciones estratégicas para el uso de dispositivos móviles

Modelo de gestión de BYOD propuesto por ISACA

Marco de gestión de casos de negocios propuesto (extracto)

Modelo de gestión de BYOD propuesto por ISACA

Controles específicos que ya maneja COBIT (extracto)

Modelo de gestión de BYOD propuesto por ISACA

Principios rectores de la gestión de controles y riesgos (extracto)

Modelo de gestión de BYOD propuesto por ISACA

Elementos mínimos de una política de BYOD (extracto)

Modelo de gestión de BYOD propuesto por ISACA

Elementos mínimos de estándares para BYOD (extracto)

Modelo de gestión de BYOD propuesto por ISACA

Proceso de gestión de seguridad para BYOD (extracto)

Foto de nivel globalEncuesta de ISACA , Top Business Survey 2011

Foto de nivel global

Foto de nivel global