¿cómo organizo mi defensa? - cybsec · ¿cómo organizo mi defensa? 111 diciembre de 2012...

¿Cómo organizo

mi defensa?mi defensa?

1111

Diciembre de 2012

Asunción - Paraguay

Lic. Luis F. Francou S., PCI QSA / PCIPlfrancou@cybsec.com

AgendaAgendaAgendaAgenda

� Metodología típica

� Seguridad en entornos corporativos

� Determinación de la estrategia

� Aplicación

2222

� Aplicación

� Recomendaciones finales

SupongamosSupongamosSupongamosSupongamos quequequeque ocurrioocurrioocurrioocurrio unununun incidenteincidenteincidenteincidente .... .... ....

•Ya fue contenido, todos los servicios restaurados (el incidente ya

“paso”)

•Y ahora?

3333

•Y ahora?

•Tengo que reorganizar mi defensa..

Metodología Típica

4444

Perspectiva

del defensordel defensor

5555

Perspectiva del defensor

6666

Perspectiva

del atacantedel atacante

7777

Perspectiva del atacante

8888

Metodología típica

AtacanteAtacanteAtacanteAtacante DefensorDefensorDefensorDefensor

• Recopilación de información • Modelado de Amenazas

9999

• Investigación de Vulnerabilidades

• Explotación

• Control

• Post Explotación

• Análisis de riesgos

• Correlación de datos

• Detección

• Mitigación y Contención

Seguridad en entorno

corporativoscorporativos

10101010

PirámidePirámidePirámidePirámide dededede necesidadesnecesidadesnecesidadesnecesidades dededede ITITITIT----SECSECSECSEC

A la pirámide le falta un componente:

Seguridad en entorno corporativo

11111111

� Conocer el negocio

GerenciaGerenciaGerenciaGerencia dededede TITITITI

Se enfoca en:

� Utilización de Recursos

� Reportes de Operaciones

Seguridad en entorno corporativo

12121212

� Reportes de Operaciones

� Facilidad de implementación

� Facilidad de soporte

� Limitar los problemas en producción

� Costo total de adquisición

GerenciaGerenciaGerenciaGerencia dededede SeguridadSeguridadSeguridadSeguridad

Se enfoca en:

� Asegurarse que el concepto de “seguridad” esté firmemente

integrado dentro del negocio.

Seguridad en entorno corporativo

13131313

integrado dentro del negocio.

� Identificar debilidades/vulnerabilidades en los procesos y controles

técnicos.

� Asegurar que nuevas iniciativas no impacten en controles actuales

� Reducir el riesgo de la organización como un todo (físico, técnico y

administrativo).

� Recomendar e implementar controles que potencialmente están en

conflicto con los focos de IT.

CIOCIOCIOCIO vsvsvsvs CISOCISOCISOCISO

Seguridad en entorno corporativo

14141414

Determinar la estrategia a

seguir

15151515

seguir

Determinar Estrategia

PorPorPorPor dondedondedondedonde empezar?empezar?empezar?empezar?

Mapear

� Información y activos a proteger

16161616

� Exposición y vulnerabilidades

� Amenazas

MapearMapearMapearMapear informacióninformacióninformacióninformación

Primero: que hace el negocio?

� Exactamente como obtiene los resultados

� Procesos, activos, personas, tecnología, terceros

Identificar activos de información a ser protegidos

Determinar Estrategia

17171717

� Identificar activos de información a ser protegidos

� Identificar los niveles de protección requeridos

ClasificarClasificarClasificarClasificar lalalala informacióninformacióninformacióninformación

Empezar trabajando a grandes rasgos

Usar inicialmente tres categorías

� Pública

� Uso Interno exclusivo

Determinar Estrategia

18181818

� Uso Interno exclusivo

� Sensible

InformaciónInformaciónInformaciónInformación SensibleSensibleSensibleSensible

� Propiedad intelectual

� Información contable y financiera

� Información de clientes (legajos, referencias, ingresos, inf.

Tarjetas de créditos)

Determinar Estrategia

19191919

Tarjetas de créditos)

� Información del personal

� Información estratégica de la empresa

InformaciónInformaciónInformaciónInformación dededede UsoUsoUsoUso InternoInternoInternoInterno

� Directorio telefónico (clientes y empleados)

� Políticas y procedimientos (dependiendo de la sensibilidad de los

mismos)

� Comunicaciones internas y Memos

Determinar Estrategia

20202020

� Comunicaciones internas y Memos

� Calendarios

� Procedimientos de R.R.H.H.

� Intranet con datos no específicos o de alguna aplicación

InformaciónInformaciónInformaciónInformación PúblicaPúblicaPúblicaPública

� Datos financieros publicados

� Cualquier información con la cual el negocio no se negaría a

publicar

Determinar Estrategia

21212121

MapearMapearMapearMapear exposiciónexposiciónexposiciónexposición yyyy vulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidades

� Empezar con un reporte/informe (Pentest, escaneo automático)

� Avanzar descartando lo irrelevante

Determinar Estrategia

22222222

Mapa simplificado de activos, procesos, personas, vulnerabilidades y controles

MapearMapearMapearMapear AmenazasAmenazasAmenazasAmenazas

� Sabemos quienes están intentando

atacarnos?

� Cual es la capacidad de los mismos (Skills,

recursos financieros, tiempo)

Determinar Estrategia

23232323

recursos financieros, tiempo)

� Que ya saben de nosotros?

� Modus operandi?

DefinirDefinirDefinirDefinir lalalala estrategiaestrategiaestrategiaestrategia aaaa seguirseguirseguirseguir

� Sabemos exactamente que activos necesitamos proteger

� Sabemos donde están

� Sabemos el valor para el éxito del negocio

Tenemos que ayudar al negocio

Determinar Estrategia

24242424

� Tenemos que ayudar al negocio

Siguiente Paso:

Aplicar la

estrategia

25252525

estrategia

PolíticasPolíticasPolíticasPolíticas yyyy procedimientosprocedimientosprocedimientosprocedimientos

� Deben alinearse con el negocio

� Mantenerlas BREVES, CONCISAS y RELEVANTES

� No olvidar definir lo básico

Uso aceptable

Aplicar Estrategia

26262626

� Uso aceptable

� Utilización de datos

� Comunicaciones

� Detalles físicos

ControlControlControlControl dededede operacionesoperacionesoperacionesoperaciones

Desarrollar procesos para

� Control de cambios

� Control de actualizaciones

Administración de activos

Aplicar Estrategia

27272727

� Administración de activos

� Administración de vulnerabilidades

ControlControlControlControl dededede cambioscambioscambioscambios

Que tiene que ver con Seguridad?

� La seguridad es siempre un estado

en un tiempo determinado

Es necesario ASEGURAR de que los

Aplicar Estrategia

28282828

� Es necesario ASEGURAR de que los

cambios no agregan nuevos riesgos

no anticipados

ControlControlControlControl dededede actualizacionesactualizacionesactualizacionesactualizaciones

Aplicar Estrategia

29292929

RegistroRegistroRegistroRegistro dededede eventoseventoseventoseventos

� Registrar TODOS los eventos relevantes al ambiente

� Almacenamiento es MUY barato hoy en día

� Centralizar los registros de recursos críticos

� Registrar eventos de tecnologías expuestas a Internet

Aplicar Estrategia

30303030

� Registrar eventos de tecnologías expuestas a Internet

� Asegurarse de mantener la integridad de los registros

� Limitar el acceso a los registros

� Monitorear los eventos registrados y reaccionar de

acuerdo a la criticidad detectada

ConcientizacionConcientizacionConcientizacionConcientizacion aaaa empleadosempleadosempleadosempleados

� Usuarios nunca dejarán de hacer click en contenido inseguro

� Jornadas de concientización para “cumplir el checkbox”, no

alcanzan

� Deben ser reforzadas e integradas a la cultura organizacional

Aplicar Estrategia

31313131

� Deben ser reforzadas e integradas a la cultura organizacional

� Entrenar a las personas a identificar, reaccionar y reportar

apropiadamente cada tipo de amenaza

Recomendaciones

32323232

Recomendaciones

AlertasAlertasAlertasAlertas tempranastempranastempranastempranas

� Comportamiento extraño en Workstations

� Volumen de llamadas a soporte

� Elementos físicos en el entorno

Pruebas a los sitios o aplicaciones Web

Recomendaciones

33333333

� Pruebas a los sitios o aplicaciones Web

� Cambios en permisos de archivos

� Accesos a archivos específicos en NAS

� Presencia de personas no autorizadas

ActuarActuarActuarActuar

� Compromiso por parte de la dirección de la Organización

� Mejorar la postura organizacional acerca de la defensa

� Agregar tecnología a la ecuación

� Trabajar con terceros (colegas, socios comerciales,

Recomendaciones

34343434

� Trabajar con terceros (colegas, socios comerciales,

gobierno, etc.)

CambioCambioCambioCambio ConstanteConstanteConstanteConstante

Asumir que se producirán cambios

� Procesos, partners, clientes, terceros, servicios internos,

productos, personas, cultura.

Recomendaciones

35353535

Adaptarse al cambio

� No adoptar estrategia de documentos “escritos en piedra”.

� Debe ser un documento con vida propia

� Educar al personal al respecto

Dar a conocer como nos adecuamos al negocio, para AYUDARLOAYUDARLOAYUDARLOAYUDARLO!

MantenerseMantenerseMantenerseMantenerse ActualizadoActualizadoActualizadoActualizado

� Comparar notas con colegas

� Mantenerse al tanto de las novedades en el sector ofensivo

� Y como afecta localmente

Nunca aceptar una auditoria exitosa o reporte de compliance

Recomendaciones

36363636

� Nunca aceptar una auditoria exitosa o reporte de compliance

de una regulación, como una señal de que nuestros

mecanismos de defensa son efectivas en el tiempo.

ContinuarContinuarContinuarContinuar elelelel ciclociclociclociclo

� La política de seguridad es tan solo eso, una política

� Es una entidad con vida propia y DEBE ser ajustada con

precisión continuamente

Recomendaciones

37373737

¿Preguntas?