Julio César Ardita 21 de Octubre de 2014 Buenos Aires - Argentina

Estado del arte de la

Estado del arte de la

seguridad de la información

seguridad de la información

seguridad de la información

seguridad de la información

Julio César Ardita

21 de Octubre de 2014 Buenos Aires - Argentina

Estado del arte de la seguridad de la información

Agenda

• Incidentes de seguridad • El rol del CISO

• Presión de las regulaciones • Vulnerabilidades

• Vulnerabilidades

• Outsourcing de la seguridad

• Seguridad de las redes industriales • La nube segura

• Herramientas de seguridad

seguridad

seguridad

Incidentes de seguridad

- Fraudes - Amenazas - Sabotaje

Incidentes de seguridad

Estado del arte de la seguridad de la información

- Sabotaje

- Robo de información - Phishing masivos - Ataques de DOS

Incidentes de seguridad

Cantidad de incidentes graves manejados por CYBSEC

Incidentes de seguridad

Tendencia Actual

- Aumento de incidentes de seguridad (mayoría de los casos insiders) - Aumento exponencial de ataques de phishing contra entidades

financieras argentinas (Disparador: transferencias inmediatas Abril 2011)

Incidentes de seguridad

Estado del arte de la seguridad de la información

- Ataques de phishing más sofisticados (incluyendo explotación de vulnerabilidades)

- Hacktivismo (Sector 404 Argentina y Anonymous Argentina)

Manejo de Incidentes

La pregunta hoy no es si voy a tener un incidente de seguridad, sino:

¿Cuándo lo voy a tener?

Madurez del Manejo de Incidentes de Seguridad Interno

Incidentes de seguridad

- No poseen (85%)

- Manejo de incidentes desorganizado (8%)

- Manejo de incidentes formal para la foto (compliance) (4%) - Manejo de incidentes formal real (2%)

El Rol del CISO

El Rol del CISO

CISO: Chief Information Security Officer

• Encargado de seguridad de la Información dentro de una Organización • El nivel de reporte depende del grado de maduración de la empresa

Seguridad Informática

Seguridad Informática Seguridad de la InformaciónSeguridad de la Información

Rol del CISO

Seguridad Informática Seguridad Informática Tareas técnicas y operativas Tareas técnicas y operativas

Seguridad de la Información Seguridad de la Información Rol de Management Rol de Management Seguridad Informática Seguridad Informática

Tareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,

soporte a áreas de sistemas soporte a áreas de sistemas

Antes Hoy

Antes Hoy

Rol del CISO

Estado del arte de la seguridad de la información

La evolución de las áreas de Seguridad

(grados de madurez)

- Nivel Estratégico – CISO

- Nivel de Negocio – Gerente de Seguridad

- Nivel Gerencial – Jefe de Seguridad Informática

- Nivel Gerencial – Jefe de Seguridad Informática

- Nivel Técnico – Administrador de Seguridad

Estructura del área de seguridad

- Tipo de Compañía

- Regulaciones que aplican

- Cultura organizacional

- Grado de madurez de la Compañía

- Tamaño de la Compañía

- Presupuesto

Rol del CISO

El CSO debe:

- Tener visibilidad hacia la organización.

- Dar valor agregado en seguridad.

- Moverse en un plano estratégico y de

negocios (y no solamente en un plano técnico).

- Ser proactivo y ayudar al negocio.

- Ser proactivo y ayudar al negocio.

- Aprovechar las oportunidades (reuniones, incidentes, etc.)

y mostrar las capacidades de su equipo y gestión.

- Moverse políticamente en la organización.

- Tener la habilidad de presentar resultados para que el

resto de la organización pueda entender claramente cuales

son los riesgos y cómo estamos trabajando para mitigarlos.

Presión de las

regulaciones

regulaciones

Presión de las regulaciones

Evolución de la madurez y estado de implementación de las normativas

relacionadas con seguridad en Argentina

Normativa Madurez SOX BCRA 4609

5

4

Protección de datos personales

• Las normativas llegaron para quedarse

• La mayoría de las mismas impactan en el sector de SI • Se debe tomarlas como “oportunidades”

Protección de datos de salud

4

2

2

1

PCI-DSS

- Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015 - Principales procesadores, gateways de pago y grandes comercios certificados

- Comienzo de utilización de tecnología chip en tarjetas de crédito

Presión de las regulaciones

Estado del arte de la seguridad de la información

BCRA 5374

- Los Bancos están implementando la normativa de seguridad en canales electrónicos – Concientización

- Uso de doble factor de autenticación para transacciones críticas

Protección de datos personales

- La DNPDP está realizando inspecciones

- Manual de seguridad – Clasificación de información

- Está comenzando la protección de datos de salud (Estándar HL7 - IRAM-ISO 27.799)

Vulnerabilidades de seguridad

- Un nuevo trabajo: Vulnerability Researcher

- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código + Conocimiento de la misma en el mercado = Hasta U$S 100.000

Vulnerabilidades

Estado del arte de la seguridad de la información

- Maduración del mercado de compra/venta de vulns

- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's Exploit Acquisition Program, etc

Vulnerabilidades de seguridad

- Aparecerán nuevas vulnerabilidades críticas y es clave la rapidez para aplicar la solución a la misma.

Ejemplos: Heartbleed, Shellshock,

Vulnerabilidades

POODLE: SSLv3 vulnerability, etc.

Patch Management

- Desarrollar estrategia de patch management - Clasificar el nivel de riesgo de la vulnerabilidad.

- Aplicación de patch / workaround: SO – AP – DB – Desarrollo. - Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología.

Tendencias en vulnerabilidades de seguridad

- Intentos por regular la actividad (Alemania, EEUU, etc.)

Vulnerabilidades

Estado del arte de la seguridad de la información

- Acercamiento al tema de las áreas de inteligencia de algunos países - Incremento de nuevos virus/troyanos/botnets utilizando Zero-days - Aumento de los Toolkits para

seguridad

seguridad

Situación actual

Las áreas de seguridad de la información en las Organizaciones están realizando outsourcing de las siguientes tareas:

- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)

Outsourcing de seguridad

Estado del arte de la seguridad de la información

- PenTest

- Gestión de vulnerabilidades (scannings)

- Gestión de accesos (ABM Users y Permisos) - Respuesta a incidentes

- Soporte a proyectos internos - Desarrollo de Documentación

Tendencias

- Madurez en los servicios de outsourcing de seguridad - Establecimiento de SLA´s.

- Acompañamiento de la estrategia de la Organización

Outsourcing de seguridad

Seguridad de las

redes industriales

redes industriales

Situación actual

Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria

Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de la Información y las Comunicaciones (TIC), Transporte,

Alimentación y Sistema Financiero y Tributario.

Seguridad de las redes industriales

En las Organizaciones, el sinónimo es protección de redes industriales (SCADA)

La red SCADA era manejada Seguridad Corporativa se está por ingenieros y proveedores. metiendo en el tema.

- Integración con la red corporativa - Aplicación de estándares

Seguridad de las redes industriales

Tendencias

- Los gobiernos están involucrándose en el tema. En Argentina, en 2011 se creó el Programa Nacional

de Infraestructuras Críticas de

Información y Ciberseguridad (ICIC).

Seguridad de las redes industriales

- Las Organizaciones que poseen este tipo de redes industriales están avanzando en la aplicación de medidas de seguridad.

La nube segura

La nube segura

Situación actual

- Beneficio de los servicios cloud: Empresas chicas - Cultura empresarial

- SLA (la base de todo)

La nube segura

Acuerdos predefinidos y no negociables

Son los estándares en los modelos cloud ya que permiten la economía de escala.

Acuerdos negociables

- SLA (la base de todo)

- Modelos y seguridad

Acuerdos negociables

Similares a los contratos tradicionales de outsourcing (complejos!).

Aspectos de seguridad a tener en cuenta

NIST 800-144 - Guidelines on Security and Privacy in Public Cloud Computing

1. Gobierno

2. Cumplimiento

La nube segura

Estado del arte de la seguridad de la información

2. Cumplimiento 3. Confianza 4. Arquitectura

5. Identity y Access Management 6. Aislamiento de software

7. Protección de información 8. Disponibilidad

seguridad de la

información

Madurez en el uso de herramientas de seguridad

Madurez Antivirus (Correo – Navegación – Workstations) 5

AntiSpam 4

Filtro de contenido (Protección en la navegación) 3

Herramientas de seguridad de la información

Estado del arte de la seguridad de la información

Firewalls 5

Sistemas de Detección de Intrusiones 4

Sistemas de Prevención de Intrusiones 3

Web Application Firewalls 2

Madurez en el uso de herramientas de seguridad

Madurez

Firewall de Base de Datos 2

Identity Management 2

DLP (Data Loss Prevention) 1

Herramientas de seguridad de la información

NAC (Network Access Control) 1

Correlación de eventos 2

MDM (Mobile Device Management) 3

Seguridad en

dispositivos móviles

dispositivos móviles

Dispositivos móviles (teléfonos y tablets)

Uso Personal (BYOD)

Mejores prácticas de seguridad.

Password – encripción de información Guía de recomendaciones.

Uso Corporativo

Seguridad en dispositivos móviles

Uso Corporativo

Mayor posibilidad de control

Password – encripción de información – wipe remoto – control de aplicaciones – antivirus – Actualizaciones – Monitoreo - Etc.

Uso de MDM (Mobile Device Management)

Seguridad en dispositivos móviles

Estado del arte de la seguridad de la información

Respuesta a la necesidad empresarial de poder

gestionar

centralizada

Características de MDM

Gestión de Hardware y software

Inventario de dispositivos Catálogo de software

Distribución de aplicaciones Actualizaciones

Listado de Apps permitidas

Seguridad en dispositivos móviles

Administración de perfiles

Configuraciones de correo Configuraciones Wifi

Listado de Apps permitidas

Aseguramiento del dispositivo

Control de dispositivos Bloqueo remoto Borrado remoto Encripción Política de contraseñas Configuraciones Wifi Configuraciones VPN Política de Backup

Muchas gracias!

Julio César Ardita

21 de Octubre de 2014 Buenos Aires - Argentina