¿cómo organizo mi defensa? - cybsec · ¿cómo organizo mi defensa? 111 diciembre de 2012...
TRANSCRIPT
¿Cómo organizo
mi defensa?mi defensa?
1111
Diciembre de 2012
Asunción - Paraguay
Lic. Luis F. Francou S., PCI QSA / [email protected]
AgendaAgendaAgendaAgenda
� Metodología típica
� Seguridad en entornos corporativos
� Determinación de la estrategia
� Aplicación
2222
� Aplicación
� Recomendaciones finales
SupongamosSupongamosSupongamosSupongamos quequequeque ocurrioocurrioocurrioocurrio unununun incidenteincidenteincidenteincidente .... .... ....
•Ya fue contenido, todos los servicios restaurados (el incidente ya
“paso”)
•Y ahora?
3333
•Y ahora?
•Tengo que reorganizar mi defensa..
Metodología Típica
4444
Perspectiva
del defensordel defensor
5555
Perspectiva del defensor
6666
Perspectiva
del atacantedel atacante
7777
Perspectiva del atacante
8888
Metodología típica
AtacanteAtacanteAtacanteAtacante DefensorDefensorDefensorDefensor
• Recopilación de información • Modelado de Amenazas
9999
• Investigación de Vulnerabilidades
• Explotación
• Control
• Post Explotación
• Análisis de riesgos
• Correlación de datos
• Detección
• Mitigación y Contención
Seguridad en entorno
corporativoscorporativos
10101010
PirámidePirámidePirámidePirámide dededede necesidadesnecesidadesnecesidadesnecesidades dededede ITITITIT----SECSECSECSEC
A la pirámide le falta un componente:
Seguridad en entorno corporativo
11111111
� Conocer el negocio
GerenciaGerenciaGerenciaGerencia dededede TITITITI
Se enfoca en:
� Utilización de Recursos
� Reportes de Operaciones
Seguridad en entorno corporativo
12121212
� Reportes de Operaciones
� Facilidad de implementación
� Facilidad de soporte
� Limitar los problemas en producción
� Costo total de adquisición
GerenciaGerenciaGerenciaGerencia dededede SeguridadSeguridadSeguridadSeguridad
Se enfoca en:
� Asegurarse que el concepto de “seguridad” esté firmemente
integrado dentro del negocio.
Seguridad en entorno corporativo
13131313
integrado dentro del negocio.
� Identificar debilidades/vulnerabilidades en los procesos y controles
técnicos.
� Asegurar que nuevas iniciativas no impacten en controles actuales
� Reducir el riesgo de la organización como un todo (físico, técnico y
administrativo).
� Recomendar e implementar controles que potencialmente están en
conflicto con los focos de IT.
CIOCIOCIOCIO vsvsvsvs CISOCISOCISOCISO
Seguridad en entorno corporativo
14141414
Determinar la estrategia a
seguir
15151515
seguir
Determinar Estrategia
PorPorPorPor dondedondedondedonde empezar?empezar?empezar?empezar?
Mapear
� Información y activos a proteger
16161616
� Exposición y vulnerabilidades
� Amenazas
MapearMapearMapearMapear informacióninformacióninformacióninformación
Primero: que hace el negocio?
� Exactamente como obtiene los resultados
� Procesos, activos, personas, tecnología, terceros
Identificar activos de información a ser protegidos
Determinar Estrategia
17171717
� Identificar activos de información a ser protegidos
� Identificar los niveles de protección requeridos
ClasificarClasificarClasificarClasificar lalalala informacióninformacióninformacióninformación
Empezar trabajando a grandes rasgos
Usar inicialmente tres categorías
� Pública
� Uso Interno exclusivo
Determinar Estrategia
18181818
� Uso Interno exclusivo
� Sensible
InformaciónInformaciónInformaciónInformación SensibleSensibleSensibleSensible
� Propiedad intelectual
� Información contable y financiera
� Información de clientes (legajos, referencias, ingresos, inf.
Tarjetas de créditos)
Determinar Estrategia
19191919
Tarjetas de créditos)
� Información del personal
� Información estratégica de la empresa
InformaciónInformaciónInformaciónInformación dededede UsoUsoUsoUso InternoInternoInternoInterno
� Directorio telefónico (clientes y empleados)
� Políticas y procedimientos (dependiendo de la sensibilidad de los
mismos)
� Comunicaciones internas y Memos
Determinar Estrategia
20202020
� Comunicaciones internas y Memos
� Calendarios
� Procedimientos de R.R.H.H.
� Intranet con datos no específicos o de alguna aplicación
InformaciónInformaciónInformaciónInformación PúblicaPúblicaPúblicaPública
� Datos financieros publicados
� Cualquier información con la cual el negocio no se negaría a
publicar
Determinar Estrategia
21212121
MapearMapearMapearMapear exposiciónexposiciónexposiciónexposición yyyy vulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidades
� Empezar con un reporte/informe (Pentest, escaneo automático)
� Avanzar descartando lo irrelevante
Determinar Estrategia
22222222
Mapa simplificado de activos, procesos, personas, vulnerabilidades y controles
MapearMapearMapearMapear AmenazasAmenazasAmenazasAmenazas
� Sabemos quienes están intentando
atacarnos?
� Cual es la capacidad de los mismos (Skills,
recursos financieros, tiempo)
Determinar Estrategia
23232323
recursos financieros, tiempo)
� Que ya saben de nosotros?
� Modus operandi?
DefinirDefinirDefinirDefinir lalalala estrategiaestrategiaestrategiaestrategia aaaa seguirseguirseguirseguir
� Sabemos exactamente que activos necesitamos proteger
� Sabemos donde están
� Sabemos el valor para el éxito del negocio
Tenemos que ayudar al negocio
Determinar Estrategia
24242424
� Tenemos que ayudar al negocio
Siguiente Paso:
Aplicar la
estrategia
25252525
estrategia
PolíticasPolíticasPolíticasPolíticas yyyy procedimientosprocedimientosprocedimientosprocedimientos
� Deben alinearse con el negocio
� Mantenerlas BREVES, CONCISAS y RELEVANTES
� No olvidar definir lo básico
Uso aceptable
Aplicar Estrategia
26262626
� Uso aceptable
� Utilización de datos
� Comunicaciones
� Detalles físicos
ControlControlControlControl dededede operacionesoperacionesoperacionesoperaciones
Desarrollar procesos para
� Control de cambios
� Control de actualizaciones
Administración de activos
Aplicar Estrategia
27272727
� Administración de activos
� Administración de vulnerabilidades
ControlControlControlControl dededede cambioscambioscambioscambios
Que tiene que ver con Seguridad?
� La seguridad es siempre un estado
en un tiempo determinado
Es necesario ASEGURAR de que los
Aplicar Estrategia
28282828
� Es necesario ASEGURAR de que los
cambios no agregan nuevos riesgos
no anticipados
ControlControlControlControl dededede actualizacionesactualizacionesactualizacionesactualizaciones
Aplicar Estrategia
29292929
RegistroRegistroRegistroRegistro dededede eventoseventoseventoseventos
� Registrar TODOS los eventos relevantes al ambiente
� Almacenamiento es MUY barato hoy en día
� Centralizar los registros de recursos críticos
� Registrar eventos de tecnologías expuestas a Internet
Aplicar Estrategia
30303030
� Registrar eventos de tecnologías expuestas a Internet
� Asegurarse de mantener la integridad de los registros
� Limitar el acceso a los registros
� Monitorear los eventos registrados y reaccionar de
acuerdo a la criticidad detectada
ConcientizacionConcientizacionConcientizacionConcientizacion aaaa empleadosempleadosempleadosempleados
� Usuarios nunca dejarán de hacer click en contenido inseguro
� Jornadas de concientización para “cumplir el checkbox”, no
alcanzan
� Deben ser reforzadas e integradas a la cultura organizacional
Aplicar Estrategia
31313131
� Deben ser reforzadas e integradas a la cultura organizacional
� Entrenar a las personas a identificar, reaccionar y reportar
apropiadamente cada tipo de amenaza
Recomendaciones
32323232
Recomendaciones
AlertasAlertasAlertasAlertas tempranastempranastempranastempranas
� Comportamiento extraño en Workstations
� Volumen de llamadas a soporte
� Elementos físicos en el entorno
Pruebas a los sitios o aplicaciones Web
Recomendaciones
33333333
� Pruebas a los sitios o aplicaciones Web
� Cambios en permisos de archivos
� Accesos a archivos específicos en NAS
� Presencia de personas no autorizadas
ActuarActuarActuarActuar
� Compromiso por parte de la dirección de la Organización
� Mejorar la postura organizacional acerca de la defensa
� Agregar tecnología a la ecuación
� Trabajar con terceros (colegas, socios comerciales,
Recomendaciones
34343434
� Trabajar con terceros (colegas, socios comerciales,
gobierno, etc.)
CambioCambioCambioCambio ConstanteConstanteConstanteConstante
Asumir que se producirán cambios
� Procesos, partners, clientes, terceros, servicios internos,
productos, personas, cultura.
Recomendaciones
35353535
Adaptarse al cambio
� No adoptar estrategia de documentos “escritos en piedra”.
� Debe ser un documento con vida propia
� Educar al personal al respecto
Dar a conocer como nos adecuamos al negocio, para AYUDARLOAYUDARLOAYUDARLOAYUDARLO!
MantenerseMantenerseMantenerseMantenerse ActualizadoActualizadoActualizadoActualizado
� Comparar notas con colegas
� Mantenerse al tanto de las novedades en el sector ofensivo
� Y como afecta localmente
Nunca aceptar una auditoria exitosa o reporte de compliance
Recomendaciones
36363636
� Nunca aceptar una auditoria exitosa o reporte de compliance
de una regulación, como una señal de que nuestros
mecanismos de defensa son efectivas en el tiempo.
ContinuarContinuarContinuarContinuar elelelel ciclociclociclociclo
� La política de seguridad es tan solo eso, una política
� Es una entidad con vida propia y DEBE ser ajustada con
precisión continuamente
Recomendaciones
37373737
¿Preguntas?