Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática

Transcripción

1

2 Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda Los retos actuales de seguridad: Explotación de vulnerabilidades Por qué se necesita un Programa de Gestión de Vulnerabilidades (PGV)? Por qué fracasan las implementaciones de estos programas? Haciendo realidad el PGV Rol clave de los responsables de seguridad

5 Los retos actuales de seguridad: Vulnerabilidades

6 Contexto de Vulnerabilidades es el número de nuevas vulnerabilidades registradas en 2013 y 2014 según la Base de Datos Nacional de Vulnerabilidades (NVD) 14 35% fueron clasificadas con un nivel alto de gravedad 56% clasificadas como de severidad media Diariamente se registran nuevas vulnerabilidades 136 u$s 145 u$s Costo de registro comprometido registrado en 2013 y Incremento del 9% según Ponemon Institute, Mayo 2014 Las brechas mas y menos costosas generaron: 5.85 y 4.74 millones u$s En USA y Alemania 1.61 y 1.37 millones u$s En Brasil e India

7 Que pasa en LATAM Fuente: 7

8 PGV Por qué se necesita un Programa de Gestión de Vulnerabilidades?

9 Algunas definiciones clave Agente de amenaza da lugar a Amenaza explota una afecta directamente Vulnerabilidad lleva a Contramedida Riesgo Activo puede dañar se debe mitigar con Exposición y causar 9

10 Algunas definiciones clave Vulnerability Management Vulnerability Assessment Pen testing

11 Finalmente, por que un PGV? Solo identificando y mitigando vulnerabilidades, la organización puede prevenir que atacantes penetren sus redes y roben información. Las soluciones de seguridad por si solas no son suficientes, se necesita análisis, experiencia y ajustes continuos. Omitir el PGV es como instalar el sistema de alarma más sofisticado y dejar las puertas abiertas antes de irse de vacaciones. 11

12 Por qué fracasan los Programas de Gestión de Vulnerabilidades?

13 Enfoque común de PGV DESCUBRIR VERIFICAR PRIORIZAR REMEDIAR EVALUAR 13

14 Haciendo realidad el PGV

15 Modelo actualizado de PGV RELEVAR DESCUBRIR ANÁLISIS CAUSA RAÍZ VERIFICAR PRIORIZAR REMEDIAR EVALUAR 15

16 RELEVAR Políticas, estándares y procedimientos Baselines Roles y responsabilidades Clasificación de activos Alcance del escaneo 16

17 RELEVAR la importancia de alinear expectativas LO QUE SE PIDIÓ COMO SE ENTENDIÓ COMO SE DISEÑÓ COMO SE COMUNICÓ COMO SE VENDIÓ COMO SE DOCUMENTÓ COMO SE INSTALÓ LO QUE COSTÓ $$$ COMO SE PRESTÓ EL SOP. TÉCNICO LO QUE REALMENTE SE NECESITABA

18 DESCUBRIR Sistema de inventariado Mapeo de activos descubiertos vs inventario Proceso de actualización Restricciones en el descubrimiento/escaneo 18

19 PRIORIZAR Que es lo importante a solucionar? Visión desde la vulnerabilidad Visión hibrida Visión desde el Asset 19

20 PRIORIZAR desde la vulnerabilidad Criticidad de la vulnerabilidad CVSS Criticidad del activo Etiqueta del activo Criterio del administrador 20

21 PRIORIZAR desde el activo Cantidad de vulnerabilidades Criticidades de las vulnerabilidades CVSS Grado de exposición a esas vulnerab. Criticidad del activo Etiqueta del activo Criterio del administrador 21

22 PRIORIZAR entendiendo CVSS Fuente: 22

23 EVALUAR ESTANEO ACTIVO ESTANEO PASIVO AGENTES 23

24 REMEDIAR Análisis y plan de remediación Soporte y clarificación si Necesita clarificación si no falso positivo Documentar y cerrar no Remediar Vulnerab. no Control migratorio no Evaluación de riesgos Documentación y revisión periódica si si Re-escaneo Vulnerab. solucionada si Documentar y cerrar no 24

25 VERIFICAR Vulnerabilidad Solucionada? SEGURIDAD OPERACIONES FOCO RIESGO vs y FOCO CONTINUIDAD 25

26 VERIFICAR Procedimientos de parcheo Tiempos de parcheo Controles mitigatorios que existen Proveer a la gente de operaciones: Reportes focalizados Reportes agrupados Parches superseded 26

27 ANALISIS DE CAUSA RAIZ Gestión de parches Req. mínimos de seguridad Políticas y procedimientos 27

28 Rol clave de los responsables de seguridad

29 Rol clave de los responsables de seguridad Alta Gerencia Oficial de Seguridad Gerente de Área Responsable del PGV Dueño de activo Operaciones 29

30 Gracias por asistir a esta sesión

31 Para mayor información: Ing. Hernán Pacín Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en