seguridad asequible para pymes

1

Seguridad asequible para PYMES

Araba Enpresa DigitalaMiñano

24-09-2013

Pág 2

SEGURIDAD ASEQUIBLE PARA PYMES

¿Quiénes somos?

Ángel Lafuente Echeazarra

● Consultoría informática

– Arquitectura e ingeniería de sistemas.

– (el arte de dar) Soporte .– Apoyo a la gerencia en dirección TIC.– Desarrollo– Divulgación y formación.

● Software libre y cloud computing

Jon Urionaguena

● Consultoría de Seguridad TIC

– Infraestructura de Internet propia– Migración de servicios a la nube– Servicios Cloud Seguros– Soluciones basadas en Software

Libre– Tecnología propia de securización

http://www.linkedin.com/in/angellafuenteecheazarra

http://es.linkedin.com/pub/jon-urionaguena/5/361/476

Pág 3


¿Qué nos motiva?● Nuestros equipos trabajan día a día en las infraestructuras sobre las que se

levantan los sistemas de información de nuestros clientes.

● La seguridad TIC es siempre un reto.

● La reducción de presupuestos de informática de las empresas penaliza gravemente los proyectos de mejora de seguridad.

● Nuestro desafío = jornada de divulgación para PYMES.

– Las PYMEs tienen menos recursos

– Jornada muy práctica.

– Orientada a los problemas de seguridad más comunes de una PYME.

– Presentando soluciones preferiblemente software libre.

– Proponiendo una metodología mínima de implantación.

Pág 4


Programa

9:00 – 9:10 Presentación del seminario

9:10 – 9:50 Explícame una vez más por qué debo invertir en seguridad.

● Conceptos básicos.● Sospechosos habituales.● Servicio vs seguridad: una falsa dualidad.● ¿Cómo medir la mejora en seguridad?● Regla de Pareto presupuesto asequible.→● Un ejemplo ilustrativo.

9:50 – 11:00 Soluciones prácticas I

● Clásicos de la seguridad: – Claves, SSL, malware, seguridad física y

control del software instalado.– Restricción de uso de USB en Windows.– Asegurando almacenamiento USB

incluidos (Truecrypt)

11:00 – 11:20 Descanso / Café / Networking

11:20 – 12:30 Soluciones prácticas II

● Seguridad en el móvil.● Controlando los ficheros corporativos.● Aplicaciones web corporativas seguras.● Lecciones del caso Snowden (riesgos del

cloud)

12:30 – 12:45 Conclusiones

Pág 5


Materiales

● Presentación disponible en PDF en

http://bit.ly/16UEq43● Comentarios en Twitter:

– Hashtag → #seguridadpymesED

– Organiza →@enpresadigitala

– Ponentes →@solidrockitnews @jon_uriona

http://bit.ly/16UEq43

https://twitter.com/search?q=#seguridadpymesED&src=typd&f=realtime

https://twitter.com/enpresadigitala

https://twitter.com/solidrockitnews

https://twitter.com/jon_uriona

Pág 6


Explícame una vez más por qué debo invertir en seguridad

Pág 7


Conceptos básicos

● En la empresa, hoy día, el activo más importante

– Información:

● Almacenada (datos de negocio)● Intercambiada (correo, e-commerce, B2B, etc...)

– Actividad de las máquinas – Producción

● Pensad un momento cómo funcionaríais hoy sin correo electrónico, móvil, tablet, portátil, servidor, aplicaciones o servicios en Internet.

– Es como cuando se va el suministro eléctrico. Los trabajadores están mirando …

– La dependencia de las TICs es creciente la sociedad de la información→

Pág 8


Conceptos básicos: activos y riegos

● Activos IT debemos “conocerlos”, valorarlos y clasificarlos.→– Inventario y valoración

● Riesgos IT debemos “conocerlos”, valorarlos y clasificarlos.→– El análisis de riesgos actividad es una transversal en la empresa. Es una actividad que

debería existir en otros ámbitos, financiero, procesos, proyectos, etc...

– Documentos relacionados: plan de seguridad y plan de contingencia.

Pág 9


Conceptos básicos: ¿qué es seguridad?

● ¿Qué significa que los activos estén seguros?

● Tengo que garantizar su:

– Confidencialidad.

– Integridad.

– Disponibilidad.

● Muy sencillo de definir … más difícil de implementar. ;-)

Pág 10


Conceptos básicos

● Activos:

– Valor

– Riesgo Por vulnerabilidad→

● Valoramos Impacto/Gravedad● Según el valor del activo

– Amenaza – Probabilidad de que ocurra

● Gestión de riesgos IT: Wikipedia

– Actividad recurrente:

● Identificación de riesgos para el negocio/información● Valoración (cualitativa y cuantitativa)● PDCA de las medidas a aplicar para contener los riesgos

– Necesitamos valorar, medir - Métricas

Pág 11


Conceptos básicos: métricas de seguridad

● Qué son:

– Medida “objetiva” y comparable.

– Permite realizar una evolución en el tiempo, conociendo el estado en cualquier momento

● Medidas de seguridad = Mecanismos para aminorar el riesgo

– Mitigación: reducir, evitar y traspasar

● Riesgo = Valor de la pérdida x Probabilidad de que ocurra

– Riesgo aceptado/tolerado = El punto en que el coste de la contramedida a aplicar sobrepasa el valor de la pérdida

● ¡Priorización de riesgos!

Pág 12


Conceptos básicos: métricas de seguridad

● Ejemplo de métricas en un SIEM

Pág 13


Sospechosos habituales

● ¿A qué riesgos están expuesto mis activos?

● Mi organización es como las demás; estamos expuestos a los mismos riesgos.

● Referencia encuesta global →Kaspersky Labs Global Corporate IT Security Risks 2013 (May 2013)

● Algo más cercano → INTECO.

http://media.kaspersky.com/en/business-security/Kaspersky_Global_IT_Security_Risks_Survey_report_Eng_final.pdf

http://www.inteco.es/

Pág 14



● Estadísticas de amenazas externas (fuente Kaspersky Labs)

Pág 15



● Estadísticas de amenazas internas (fuente Kaspersky Labs)

Pág 16



● Un análisis crítico de estos datos

– El perfil de las empresas de la encuesta no se ajusta al de la PYME.

– ¿Es una buena métrica el número de ataques,?

● Los ataques de spam, malware son los más numerosos porque son masivos y porque las organizaciones grandes tienen estadísticas de los mismos.

● Las herramientas para medir ataques de otro tipo suelen menos efectivas (por ejemplo, filtraciones) y el número de ataques menor, por lo que el margen de error es mayor

● Falta correlación con otros parámetros

● Lo que aprendemos ya tenemos un → listado de riesgos probables

– Ataques externos: malware, spam, phising, intrusiones de red, robos de móviles ..

– Ataques internos: vulnerabilidades de software, filtraciones accidentales, robo de móviles, ….

– El “hacker peliculero” es poco probable. Hay más riesgo de negligencia o mala fé.

Pág 17


Seguridad vs servicio

● Servicio TIC: es un conjunto de personas y máquinas que soportan uno o varios procesos de negocio. Por ejemplo: el servicio de correo electrónico.

● La seguridad suele ser vista como una causa de disminución de calidad de servicio.

● Prefacio de la guía de seguridad de SLES

“A good system does what it is expected to do, and it does it well.

A secure system is a good system that does nothing else. “

● Los usuarios, los desarrolladores, el personal del CAU suelen percibir la implantación de medidas de seguridad con gran resistencia al cambio.

● Ejemplo clásico: la rotación de contraseñas

https://www.suse.com/documentation/sles11/singlehtml/book_hardening/book_hardening.html

Pág 18


Seguridad vs servicio: falsa dualidad

● El error está en concebir la seguridad de un servicio TIC como algo ajeno al mismo.

– Una servicio inseguro es un mal servicio.

– Se desprecia fácilmente el valor de la información como activo por su intagibilidad.

● La seguridad TIC debe estar presente en todas las fases de un servicio: diseño, construcción, funcionamiento, mantenimiento y cancelación.

● Tópico (pero cierto): la seguridad debe ser un proceso transversal.

● Asegurar un servicio TIC es un gran reto.

– Si el cambio es transparente para el usuario es que lo has hecho bien Nadie valorará →tu éxito.

– Difícil de vender a la dirección es un esfuerzo que en términos de negocio no va a →tener impacto.

Pág 19


¿Cómo medir la mejora en seguridad?

● Métrica sencilla

– Es un primer paso para probar a medir.

– Si funciona, podéis ir a metodologías y análisis más complejos.

– Lo importante es medir repetidas veces (¿anualmente?) con el mismo sistema.

● Disponemos una métrica de riesgo agregado sencilla pensando en un negocio PyME

– Impacto: Nada, Leve, Moderado, Alto, Extremo

– Probabilidad: Nada, Poca, Media, Mucha

● Nos da un listado de prioridades

– Las medidas aplicadas bajarán, anularán o traspasarán el riesgo

– Descenso de la probabilidad de ocurrencia.

Pág 20


¿Cómo medir la mejora en seguridad?

● Tabla ejemplo

Pág 21


Regla de Pareto presupuesto asequible.→

● En seguridad parece que nunca hay límite de gasto: siempre hay algo que mejorar.

● Apliquemos la regla de Pareto para limitar el alcance de nuestro proyecto de seguridad

– El 20% del esfuerzo supone el 80% de la mejora, luego reduciremos los riesgos rápidamente.

– Método:

● Se completa la tabla anterior incluyendo agrupando los activos por servicio TICs.● Se valoran según la métrica y se le asigna un presupuesto ajustado.● Se ejecutará el 20 % del presupuesto total que supondría ejecutar todas las

contramedidas detectadas.

http://es.wikipedia.org/wiki/Principio_de_Pareto

Pág 22


Invertir en seguridad es ser menos vulnerable

● La percepción del riesgo es subjetiva.

● Los riesgos sólo preocupan si son inminentes o si ya han tenido impacto.

● Invertir en seguridad es hacer que nuestra organización sea menos vulnerable.

● No existe un argumento irrefutable que respalde una inversión en seguridad.

● Es una cuestión de cultura corporativa a todos los niveles.

Pág 23


¿Cuánto ha supuesto en euros?

● Y eso que no eran responsables del incidente ….

http://www.eitb.com/es/noticias/sociedad/detalle/994535/fotos-videos-estudiantes-deusto--comunicado-universidad-deusto/

Pág 24


Clásicos de la seguridad

Pág 25


Clásicos de seguridad: supuestos de partida

● Damos por descontando lo siguiente (¿ o no?):

– Problema 1: malware y virus de múltiples fuentes.

– Solución : software de seguridad (antivirus o similar) actualizado en todos los equipos con MS Windows.

– Problema 2: acceso sin limitaciones al sistema por parte de los usuarios.

● Imposible control localizado para atacantes internos● A través de estos usuarios un atacante externo puede hacer lo que le venga en

gana.

– Solución: usuarios sin privilegios.

– Problema 3: ataques de ingeniería social.

– Solución: atención y concienciación.

Punto de partida del seminarioPunto de partida del seminario

Pág 26


Clásicos de seguridad: supuestos de partida

● Posibles intrusos/atacantesPosibles intrusos/atacantes

– Internos:Internos:

● Empleados descontentosEmpleados descontentos● Gente que cambia de trabajoGente que cambia de trabajo● ......

– ExternosExternos

● VisitasVisitas● Partners en nuestras instalacionesPartners en nuestras instalaciones● Piratas en InternetPiratas en Internet● ......

Pág 27


Clásicos de seguridad

● Problemas

– Acceso físico a equipos/servidores.

– Sesiones de usuario abiertas.

– Acceso a BIOS – Capacidad de arrancar otros SOs

– Baja protección de contraseñas.

– Compartición redes (redes locales, wifi).

– Pérdida de dispositivos y datos.

– Actualización del software.

Pág 28


Clásicos de seguridad

● Riesgos / Impacto

– Robo de identidad Impersonación →

– Robo de datos Confidencialidad →

– Manipulación de datos Integridad→

– Manipulación de sistemas Disponibilidad→

Pág 29


Sesión abierta – Contraseña en post-it

● Riesgo

– Atacante interno.

– Robo datos en el equipo, impersonando al usuario

– Ataque al PC de usuario y sus aplicaciones.

● Solución

– Formación y concienciación.

– Activar salvapantallas.

– Gestión razonable de cambio de contraseñas

● Repercusión en el servicio

– Baja, si no hay mucha rotación de contraseñas.

● Coste solución

– 15 minutos por usuario y equipo.

Pág 30


Acceso físico a los PCs

● Riesgo

– Acceso al sistema y sus sesiones. Sin modificación

– Acceso a los datos Robo de discos. Modificación→

● Solución

– Clave en BIOS

– Deshabilitar el arranque mediante DVD o USB.

– Cifrado de discos (vemos Truecrypt después)

– Passwords robustos con cambios periódicos

– Evitar LanManager.

Pág 31




– Bajo, si la rotación de contraseñas es razonable.

– El cifrado total de disco puede ralentizar el rendimiento en aplicaciones exigentes.

● Coste solución

– Cambios de BIOS 15 minutos por equipo.→

– Política contraseñas:

● 15 minutos en un dominio.● 15 minutos por PC si no hay dominio.

– Cifrado de disco horas por PC dependiendo de la solución.→

Pág 32



● Demo acceso físico

Pág 33


Fuga de datos por USB

● Problema / Riesgo

– Vector de entrada PC, servidor, portátil.→

– Multitud de dispositivos tiene almacenamiento USB: disco externos (USB, SATA), memorias USB, móviles, reproductores de música, discos extraíbles

– Puedo perder datos en forma de ficheros.

– Además, suele ser un punto de entrada a software malicioso o no deseado.

– El mayor punto de pérdida de datos.

● Ejemplo:

– Un empleado cambia de trabajo

– Sale de la organización.

– Le sobornan.

– Es bastante común hacerse una copia de seguridad en un USB para trabajar en casa.

Pág 34



● Solución 1: deshabilitar USB

– Por BIOS.

– Por sistema operativo.

– En MS Windows 2003, XP, Vista, 2008 y posterior se puede hacer por políticas a nivel de máquina y de dominio

● Existe la posibilidad de sólo permitir el acceso en sólo lectura. ● También se puede aplicar a todo tipo de almacenamiento extraible.

● Repercusión el servicio

– BIOS muy alto. Hay muchos dispositivos que funcionana vía USB.→

– Por sistema operativo alto. Los usuarios pierden una función a la que están muy →habituados. ¿Equipo para conectar USBs?

● Coste: 15 minutos por PC para BIOS o configuración políticas.

Pág 35



● Demo

Pág 36



● Solución 2: dar acceso sólo a ciertos USB

– En MS Windows Vista, 7, 2008 y posterior se puede,por políticas a nivel de máquina y de dominio

● Permitir que sólo ciertos USBs se monten en ciertos equipos o por ciertos usuarios.● El control se hace restringiendo el tipo de driver que está permitido instalar.● Estos significa que el control se hace por el modelo de USB.● Tengo control si proporciono a los usuarios sus dispositivos USB oficiales.● Evito la fuga en móviles, MP3 y resto de USBs.

Pág 37



● Demo

Pág 38




– Baja. Los usuarios disponen de USB corporativo.

● Coste solución

– Restricción USB desde Windows.:


– Alta de USBs


Pág 39


Sniffing de datos

● Problema

– En una red se comparte el medio para transmisión de datos

● WLAN la señal electromagnética con el punto de acceso. →● LAN Cable y elementos de conmutación/repetición→

– Los datos se pueden llegar a ver “en claro”.

● Casos vulnerables WIFI:

● Sin clave evidente →● Segura:

– WEP: Crackeable de manera sencilla– WPA: Crackeable por diccionario

● Problemática de APs compartidos con entorno abierto:

– WEP: Nos dan la clave de cifrado– WPA: Compartimos la contraseña de cifrado y por tanto podemos descifrar la

negociación de la clave de sesión.

Pág 40


Sniffing de datos

● Casos vulnerables red cableada

– Hub: En claro

– Switch: ARP spoofing o port monitoring a nivel de switch

● Riesgo Robo de credenciales→– Impersonación

● Usuario/pass● Cookies

– Otros...

● Bancos● E-Commerce

Pág 41


Sniffing de datos

● Solución

– Cifrado de las comunicaciones

● HTTP HTTPS→● Correo – SSL/TLS y STARTLS

– Evitar uso de WIFI, al menos fuera de la empresa.

– Protección del medio (cable).

Pág 42


Sniffing de datos

● Demo

Pág 43


Sniffing de datos


– SSL bajo. La mayoría de soluciones vienen preparadas para trabajar SSL. →

– No usar WIFI medio-alto si se restringe en la propia empresa. Los dispositivos →móviles no tienen acceso a la LAN y los costes de datos móviles subirán.

● Coste solución

– SSL 1/2 hora por sistema a asegurar.→

– No WIFI 1 hora.→

Pág 44


Aseguramiento del almacenamiento

● Problema / Riesgo

– Pérdida/robo de almacenamiento

● Un USB/CD● Un portátil/tablet/móvil

– Acceso físico al mismo

– Confidencialidad de nuestros datos

● Competencia – Propiedad intelectual● Robo de contraseñas para accesos● Datos íntimos

Pág 45



● Solución

– Teoría: cifrado de la información, cifrado robusto (algoritmos válidos actualmente)

● Evita el acceso libre a los datos cuando hay acceso físico al soporte.

– Práctica: solución de cifrado en el propio almacenamiento, protegido por clave por el usuario

– Herramientas:

● Cifrado a nivel filesystem: EFS, LUKS● Cifrado a nivel de usuario: Truecrypt, Bitlocker● Otros comerciales (soluciones DLP)

– Recomendamos Truecrypt por ser multiplataforma y software libre.

http://www.truecrypt.org/

Pág 46



● Demo

Pág 47




– Bajo. Supone un paso más para acceder a la información, pero es bastante amigable.

– Alto ,si se implanta en DVDs.

● Coste solución

– Depende del número de dispositivos y su naturaleza.

● Preparar un contenedor Truecrypt. De 15 a 30 minutos dependiendo del tamaño.● Cifrar un dispositivo completo. De 30 a 60 minutos dependiendo del tamaño.

– Es fácil formar a los usuarios.

Pág 48


Actualización del software

● Problema

– Todo el software tiene un ciclo de vida

● Nuevas funcionalidades● Corrección de errores - bugs

– De funcionalidad– De seguridad

– Problemas de seguridad

● Ejecución de código arbitrario – Disponibilidad● Inserción de payloads – Ejecución de código maligno

– Troyanos– Robo de credenciales y de datos

Pág 49



● Problema

– Problemas de seguridad: conocidos por piratas

● A veces antes que el fabricante: 0 day

– Importante: siempre a la última versión del software

– Confiabilidad del software:

● ¿Qué hace el software por dentro? ¿Sólo lo que “parece”?● Una actualización puede cambiar la funcionalidad – Inserción de un troyano.● ¿Es el software original o ha sido alterado (P2P)?

Pág 50



● Solución

– Elección consciente del software

● Referencias y contratos con el fabricante● Software Open Source:

– Podemos ver lo que hace.– Normalmente auditado por comunidades abiertas.

– Disponer siempre de la última versión

● Actualizaciones● Origen confiable del mismo: firma digital, hash, etc...

Pág 51




– Depende del grado automatización y de los permisos ¡Silent Updates para Java ya!→

– Alto si tenemos que implantar una herramienta de distribución se software.

– Depende del servicio y del software

● Aplicaciones certificadas con IE6.

– Conflicto clásico entre sistemas y desarrollo a ver quién actualiza una base de datos →de una aplicación crítica.

● Coste solución

– Proporcional al número de usuarios y Pcs.

Pág 52


Seguridad en el móvil

Pág 53



● Problema

– Los dispositivos móviles (móviles y tabletas) ya no son meros teléfonos; nos sirven como pequeños ordenadores conectados directamente a Internet.

– Almacenan toda clase de información sensible:

● Personal fotos, contactos, usuarios y claves de acceso a servicios en la nube y →redes sociales.

● Corporativa fotos,contactos, archivos y claves de acceso a servicios en la nube y →aplicaciones internas.

– Son fáciles de perder y objeto de deseo para ladrones.

– En el diseño de sus sistemas operativos (iOS, Android, Windows Phone ..), las funciones de seguridad están siendo implantadas ahora que son sistemas maduros y el hardware más potente (excepción Blackberry).

– Hay muchos tipos de sistemas operativos, lo que complica la gestión.

– Todavía no hay herramientas de gestión móviles (MDM) maduras para la PYME.

http://docs.blackberry.com/en/smartphone_users/deliverables/39948/BlackBerry_Smartphone-Security_Feature_Overview--1907956-0302033105-001-7.1-US.pdf

Pág 54



● Riesgo

– Infecciones en los dispositivos por malware.

● Robo de datos en línea.● Uso no permitido de servicios e pago.

– Acceso a datos personales o confidenciales en caso de robo.

– Acceso a credenciales corporativas y personales.

Pág 55



● Reflexión

– Los dispositivos móviles son el punto más expuesto de nuestras empresas.

– Con estos dispositivos y los servicios en nube, los departamentos de TICs se han visto desbordados:

● Hay mejores servicios en la nube que dentro de las propias empresas.● No hay herramientas para implantar medidas de seguridad es como retrotraerse →

10 o 15 años al mundo del PC.● Paradigma Dropbox→

– Si un dispositivo móvil es como un pequeño PC, apliquemos en ellos los principios de clásicos de seguridad

Pág 56



● Solución 1: clásicos de seguridad

– Sesión abierta salvapantallas y patrón de seguridad.→

– Acceso físico es complicado tener acceso a los datos.→

– WIFI no usar redes WIFI públicas. El 3G es más seguro.→

– Actualización de software sólo usar sitios de aplicaciones oficiales. Los fabricantes →no actualizan los sistemas todo lo que debieran, sobre todo en Android.


– Ninguna. Sólo formar a los usuarios en un uso razonable del dispositivo.

● Coste solución

– Ninguno adicional. Debe ser la configuración normal del dispositivo.

Pág 57


Seguridad en el móvil: Prey

● Solución 2: localización de dispositivos robados con PreyProject

– PreyProject es un servicio en nube.

● Gratis hasta 3 dispositivos.● Versión de pago: más funciones y dispositivos.

– Localiza dispositivos móviles (Android e iOS) y PCs (Windows, Linux y Mac).

– Es software libre.

– Impacto casi nulo en el rendimiento.

– La aplicación está bien escondida para el usuario normal.


– Ninguna. Puede llegar a ser invisible para el usuario

● Coste solución

– 15 minutos por dispositivo y el coste del servicio de pago si se desea

http://preyproject.com/

https://github.com/prey

Pág 58


Seguridad en el móvil: Prey

● Demo

Pág 59


Seguridad en el móvil: EDS Lite

● Solución 3: cifrado de datos con EDS Lite

– EDS Lite es una aplicación en Android que permite generar contenedores seguros para archivos en Android.

– Es gratuita. Hay versión de pago.

– Los contenedores de archivos pueden ser abiertos por Truecrypt en PC sincronizar →con Dropbox.


– Baja. Complica un poco el acceso a los datos.

● Coste solución

– 15 minutos de configuración por dispositivo y la formación a los usuarios 2 h

https://play.google.com/store/apps/details?id=com.sovworks.edslite&hl=es

Pág 60


Seguridad en el móvil: EDS Lite

● Demo

Pág 61


Controlando los ficheros corporativos

Pág 62



● Problema

– Mucha información se guardan en ficheros y no en aplicaciones o bases de datos corporativas.

● Estándares de facto: MS Office, Catia, AutoCad ...● Usamos ficheros porque son fáciles de compartir mediante soportes o redes.● Esta facilidad hace que las fugas de información a través de ficheros sea el riesgo

más común.● La fuga puede ser malintencionada o no. Casi siempre el ataque es interno.

– Controlar los almacenamientos extraíbles no es suficiente. El activo es el fichero no el medio USB.

● Por correo web o estándar.● Por servicios en Internet: dropbox, mensajería instántanea-● Mediante impresión.

– Las técnicas que tratan de evitar y detectar estas fugas se conocen como DLP (Data Loss Protection) soluciones de seguridad complejas,→

http://en.wikipedia.org/wiki/Data_loss_prevention_software

Pág 63



● Riesgo

– Filtración de datos personales y confidenciales.

– Ataque a la propiedad intelectual

– Vulneración de legislación vigente y de contratos con clientes.

– No saber que he perdido información.

● Impacto

– Muy alto.

● Enfoque para una PYME

– Una solución DLP es muy cara.

– Es más barato restringir el acceso a la información delicada → los permisos en el servidor de ficheros son un punto crítico.

Pág 64



● Comprendiendo cómo funciona un DLP

– Un DLP trata de controlar todos los puntos por donde la información puede salir de un infraestructura TIC. En un PC es como un antivirus.

– Es como poner un vigilante en cada puerta de una biblioteca.

– Pero hay muchos huecos:

● El teléfono, el fax, un libro que se arroja por la ventana.● Pcs, USBs, móviles (Bluetooth o WIFI), impresoras, servicios web, ● Por eso resulta bastante compleja una solución DLP.

● MyDLP es un DLP de software libre.

– Sólo para realizar la demo.

– No lo recomendamos

● La versión de comunidad carece de funciones clave.● No parece maduro y con un modelo claro de software libre.

http://www.mydlp.com/

Pág 65


Controlando los ficheros corporativos: Sealpath

● Demo

Pág 66



● Solución: Sealpath

– Sealpath protege los ficheros allá donde estén añadiendo una coraza de seguridad en →vez de controlar las puertas de la biblioteca, se centra en proteger los libros.

– Está disponible como solución SaaS y como software tradicional.

– Protege ficheros de MS Office, PDF y XPS con un amplio espectro de permisos para el documento.

– No guarda el fichero en sí, sólo gestiona la cobertura.

– Permite auditar el uso del fichero.

– Permite inutilizar un fichero a distancia.

– Disponible también en dispositivos móviles.

– Permite el uso de servicios cloud con tranquilidad.

– Es una empresa vasca. :-)

– No hay nada similar en software libre. :-(

http://www.sealpath.com/

Pág 67



● Demo Sealpath

Pág 68




– Baja, internamente La integración con Office y Adobe Reader facilitan la labor de formación.

– Media, de cara al exterior. Hay que tener preparado un procedimiento para formar rápidamente a los usuarios externos con quien compartamos

● Coste solución

– Instalación y configuración. 15 minutos por equipo.

– Formación: 1 h por usuario

– Sealpath Professional: 6 € al mes por usuario.

Pág 69


Aplicaciones web corporativas seguras

Pág 70



● Problema

– Disposición de aplicaciones corporativas para el negocio basadas en web:

● ERP, CRM, intranet documental, tienda online, etc...

– Normalmente basadas en software generalista, con posibles desarrollos a medida

● Ejemplos:

– Web en Joomla, Wordpress o Drupal– CRM tipo SugarCRM, etc...– Tienda online basada en Prestashop

– Software en continuo desarrollo

– Problemas de seguridad habituales

● Inyecciones desde usuarios● Vulnerabilidades en la gestión de identidades y permisos

Pág 71



● Problema

– OWASP 10

Pág 72



● Riesgo

– Robo de datos

– Manipulación de datos

– Disponibilidad de las aplicaciones

– Vulneración de leyes (LOPD)

– Pérdida de imagen corporativa

Pág 73



● Demo SQL injection en formulario de login

● Introducción de sentencias SQL por parte del usuario hasta el sistema de BD final, a través del formulario de captura de datos de login

● Acceso completo a BD final:

– Crear, borrar, eliminar y consultar cualquier registro● ¿Por qué?

– Errores en la codificación del código– Falta de validación y filtrado de los datos entrantes del usuario

● ¿Cómo?● Envío de datos del “navegador” al servidor – POST/GET para consultas/formularios● Manipulación de los datos sin validación en servidor● Consultas manipuladas a la BD

Pág 74



Pág 75



● Solución

– Actualización constante del software web

● Elección del ciclo de vida de los componentes determinante ¿cuánto tiempo va →estar soportada mi aplicación web?

– Auditorías de seguridad Pentesting Web→

● No incluyen corrección de errores, sólo la detección.

– Desarrollo seguro

● Paradigma de desarrollo web seguro.● Formación y método del equipo de desarrollo.● Importante elección de proveedor si se externaliza un desarrollo. Es difícil de

valorar. ¿Certificaciones?

Pág 76




– Baja ya que la funcionalidad no debería cambiar.

● Coste solución

– Actualizaciones

● Incluida en la administración del sistema.● Si hay una buena gestión de cambio, habrá que pasar un test funcional completo

en el entorno de pruebas 4 horas para aplicaciones sencillas.→– Auditorías externas. Depende mucho de cada caso: aplicación, cliente, auditor y

alcance del proyecto.

Pág 77


Lecciones del caso Snowden

Riesgos del cloud

Pág 78



● ¿Quién es Edward Snowden?

– Es un ingeniero informático que trabajó para la CIA y la NSA.

– Filtró a la prensa, entre otros, la existencia de PRISM un programa de vigilancia electrónica por parte del gobierno de EE.UU.

● Cronología resumida

– 6-6-2013. The Guardian y The Washington Post revela la que la NSA y el FBI han solicitado acceso a la infraestructura de Google, Microsoft , Facebook entre otros.

– 9-6-2013. Snowden confiesa ser la fuente de las filtraciones desde Hong-Kong.

– 15-6-2013. Microsoft y Facebook, entre otras, reconocen haber proporcionado datos sobre miles de personas a agencias gubernamentales..

– 21-06-2013. The Guardian desvela que al gobierno británico, aliado con el estadounidense, tiene capacidad para “pinchar” nodos centrales de Internet y recoger información de forma masiva.

– 23-06.2013. Snowden recala en Rusia donde acabará exiliado. Continuará ...

http://www.elmundo.es/america/2013/06/23/estados_unidos/1371994686.html

http://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data

http://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html

http://www.elmundo.es/america/2013/06/17/estados_unidos/1371463650.html

http://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa

Pág 79



● Cómo funciona PRISM (presuntamente)

http://apps.washingtonpost.com/g/page/national/inner-workings-of-a-top-secret-spy-program/282/

Pág 80



● Problema los medios de que disponen son enormes. → The Black Budget.

http://www.washingtonpost.com/wp-srv/special/national/black-budget/

Pág 81



● Problema Nos vigilan→

● ¿Y esto es una novedad? → Programa ECHELON, SITEL.

http://en.wikipedia.org/wiki/ECHELON

http://www.rtve.es/noticias/20091105/sitel-doce-preguntas/299489.shtml

Pág 82



● Problema

– Hechos

● Los gobiernos vigilan y vigilarán; es parte de su trabajo (lucha contra la pornografía infantil).

● Siempre habrá personas que utilicen estos sistemas para beneficio propio.● El espionaje industrial siempre ha sido una labor de inteligencia.● En Occidente nos enteramos de la existencia de este tipo de programas; en Rusia,

en China “no existen” estos programas porque no hay filtraciones.● Este tipo de actividades seguirá creciendo en los próximos años (ciberguerra,

cibercomandos)● Existen otra clase de agentes agresivos como corporaciones, delincuencia de

organizada y grupos políticos como Anonymous.

INTERNET ES UN MEDIO HOSTIL

¿ADOPTAR SOLUCIONES CLOUD SUPONE UN RIESGO AÑADIDO?

http://www.infodefensa.com/cache_noticias/mor/morenes-anuncia-la-creacion-del-mando-de-defensa-del-ciberespacio.html

http://es.wikipedia.org/wiki/Anonymous

Pág 83



● Riesgo

– Cada vez las empresas utilizan más servicios cloud y crece la cantidad de datos de la empresa fuera de la infraestructura de la empresa.

● Aplicaciones completas: ERP, CRM en SaaS.● Servidores en infraestructuras IaaS.

– La mayoría de empresas líderes en cloud son norteamericanas.

– Internet es una interconexión de redes.

● ¿Quién puede estar escuchando?

– El proveedor.– El gobierno donde del país donde este alojado ese nodo de red.

– Fuera de Occidente el riesgo pasa a ser muy alto ya que los gobiernos controlan el acceso a Internet. Por ejemplo: poner sedes en China o Oriente Medio.

– Nuestra propiedad intelectual se ve amenazada.

– Nuestro personal susceptible de ser chantajeado si se llega a sus datos privados.

Pág 84



● Solución 1: desactivar el modo paranoia

– El cloud tiene riesgos parecidos al hosting (web, correo, servidores) tradicional y las empresas no lo perciben como tal.

– Es poco probable estar en el foco, pero no hay que descuidarse.

● Solución 2: segregar los datos más sensibles y aplicarles un tratamiento especial.

– Cifrado de ficheros.

– No dejarlos en servicios cloud o sólo en servicios de confianza.

– Repercusión en el servicio

● Alto. Implica una buena formación, concienciación y auditoría interna.● Coste. Medio.

Pág 85



● Solución 3: prestar servicios de nube internamente

– Por ejemplo: sustituir Dropbox por Owncloud (software libre).

http://owncloud.org/

Pág 86




– Depende de la diferencia de funciones y calidad entre el servicio en la nube y lo que prestemos nosotros.

● Coste solución

– Normalmente caro.

– Cuanto más pequeña sea la organización más uso hará de SaaS.

– Los servicios en Internet son bastante buenos y a veces gratuitos.

● Gmail vs Zimbra● Dropbox vs Owncloud

– ¿Son mis instalaciones seguras?

Pág 87



● Solución 4: controlar el hardware

– Tener la infraestructura en nuestras instalaciones.

– Llevar nuestra infraestructura a un proveedor cercano con el que haya poder de negociación y más control. Por ejemplo: Cloud Norte ;-)

– Dependencia de AWS o Azure buscar en el futuro proveedores de OpenStack o crear →nubes privadas para los datos críticos (infraestructura híbrida). proyecto conjunto →Solid Rock IT + Cloud Norte en OpenStack.

Pág 88


Conclusiones

Pág 89


Presupuesto asequible

● Presupuesto para las soluciones presentadas

– Externalizar estas mejoras a 40 € / hora.

– 20 ordenadores: 15 Pcs y 5 portátiles en un dominio MS Windows.

– 10 smartphones.

– Contratamos Prey Pro para los smartphones y Sealpath para 5 usuarios.

– Dejamos la auditoría de aplicaciones y revisar nuestro uso de servicios en nube para tiempos mejores.

Pág 90


Presupuesto asequible

● Lo más básico: ~ 2500 € 125 € / usuario el primer año→

● Mejora espectacular.

Pág 91


Conclusiones

● Detecta tus activos y valora tus riesgos tabla de métrica propuesta → →diagnóstico anual.

● Con un presupuesto limitado puedes mejorar notablemente.

● Olvídate de ataques complejos un atacante buscará primero el punto →más debil: configuraciones por defecto, clásicos de seguridad e ingeniería social.

● Piensa en la seguridad como una función más de TICs a la hora actualizar o implantar nuevos sistemas.

● No trates todos los datos de igual modo: identifica los usuarios y la información más sensible y protégelos.

● Se cauto cuando la información salga de tu infraestructura: USB, nube ...

Pág 92


Fin

Mila esker / GraciasPara cualquier duda o consulta

[email protected]

[email protected]

mailto:[email protected]

mailto:[email protected]

seguridad asequible para pymes

Technology