la seguridad informática en la toma de decisiones v2
DESCRIPTION
No fracasa el que sufre un ataque de seguridad, es parte del juego, fracasas si no tienes capacidad de respuesta 0% De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos Solo 6% De las empresas utilizan análisis de datos para minimizar el impacto económico del cibercrimenTRANSCRIPT
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted
La Seguridad Informática en la Toma de Decisiones
Juan Carlos CarrilloOctober 22, 2014
2
No fracasa el que sufre un ataque de seguridad, es parte del juego, fracasas si no tienes capacidad de respuesta
“You are going to get hacked. The bad guy will get you. Whether you are viewed as a success by your board of directors is going to depend on your response.” Charles Blauner, Citigroup
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 4
De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos
0%
Source: Verizon 2013 Data Breach Investigations Report
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 5
http://www.pwc.com/gx/en/economic-crime-survey/downloads.jhtml
Solo 6% De las empresas utilizan análisis de datos para minimizar el impacto económico del cibercrimen
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
de los ataques son contra los
SERVIDORES
94%
de los datos más sensibles estan en
BASES DE DATOS
66%
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Fuentes de fuga de información
PwC Global State of Information Security
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 8
Los atacantes hackean via phishing a los provedores
1
El Malware envía los datos de tarjeta de credito a los propios servidores de archivos
5
El Malware busca información de tarjetas en texto claro (no cifrado)
4b
Buscan, encuentran e infectan los servidores de archivos
3Los atacantes usando credenciales robadas acceden al portal de provedores
2
Los datos son extraidos vía servidores de FTP
6
Encuentran e infectan los puntos de venta (POS) con malware
4a
PERIMETRO
Anatomía de una fuga de informaciónMillones de consumidores afectados
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 9
Ploutus: ATM Malware (de México para el mundo)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 10
Ploutus: ATM Malware (de México para el mundo)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 11
Ploutus: ATM Malware (de México para el mundo)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 12
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 13
92 % de las fugas de información están atribuidos a 9 tipos de ataques
Ataque a punto de venta (POS)
Ataque a aplicación web
Mal uso interno
Robo o perdida física
Errores varios
Software de criminales
Skimmers de tarjetas
Ataques de denegación de servicio
Ciber espionaje
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 16
https://www.privacyassociation.org/privacy_perspectives/post/dont_fall_for_the_encrytion_fallacy
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Seguridad en cada capa Seguridad entre capas Seguridad entre sistemas
Un enfoque de seguridad integral
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Governance
Procesos y Roles
Controles de usuarios
Controles de red
Controles de aplicaciones
Controles a nivel datos
Controles de host
Un enfoque de seguridad integral
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
“La mayoría de las organizaciones continúan enfocando de forma inapropiada su atención en vulnerabilidades de red y herramientas reactivas, en lugar de buenas prácticas de seguridad en aplicaciones, PROACTIVAS.”
Forrester: The Evolution of IT Security 2010 to 2011
La estrategia del negocio es REACTIVA
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
¿cuál es el problema?
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 21
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Vemos la seguridad por Silos
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Los de sistemasLa operación
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Los financierosEl costo
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Los comercialesLas ventas
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Los abogados¿Esto tiene impacto legal?
y...¿Nos podemos amparar?
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
La gente de riesgo......
Solo ellos saben
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Los demás¿Cuándo pagan la quincena?
Usamos estrategias de ataque y contra ataque, espionaje y contra espionaje
La unica forma de atender las vulnerabilidades y amenzas sin afectar al negocio es tener una visión Integral de riesgos
Vulnerability
Severity Exposure Motivation Capability
Threat
Probability
(Economic)2
(Strategic)2
(Colateral)2
Impact
RISK
Mitigators
Speed Response
x
x
x÷
xx
¿Cómo podemos
evaluar mejor el
Riesgo Digital?
1 1 p1
1 momento
1 dispositivo
1 canal
Autenticada c/x factores
RiesgoIntencional
Riesgo Accidental
Rela
ción
/ co
nexi
ón∞
0
RedundanciaDisponibilidad
FiltradoConfidencialidadIntegridadAmenaza
ExternaImpacto Interno
PeorEsfuerzo
MejorEsfuerzo
Riesgo Oportunista
Suma de Esfuerzos
El riesgo digital
Riesgo Accidental
Valor en la organización (BIA)
Riesgo Oportunista
41
Valor por interrelación
Necesitamos usar la analogía médica
Necesitamos mantener nuestros sistemas y redes
sanos
Entender sus signos vitales
Usar mejores practicas
Introducir sólo componentes sanos
Complementar con parches y actualizaciones
Aislarlos de amenazas externas
Generar alertas
Guardar logs
Riesgo Intencional
56
Valor para terceros (IVA)
1 1 p1
1 momento
1 dispositivo
1 canal
Autenticada c/x factores
RiesgoIntencional
Riesgo Accidental
Rela
ción
/ co
nexi
ón∞
0
RedundanciaDisponibilidad
FiltradoConfidencialidadIntegridadAmenaza
ExternaImpacto Interno
PeorEsfuerzo
MejorEsfuerzo
Riesgo Oportunista
Suma de Esfuerzos
El riesgo digital
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
DESBLOQUEAR LAS OPORTUNIDADES
Prevenir las amenazas
Administrar los riesgos
Transformado la seguridad de TI
SECURITY INSIDE-OUT
