Ricardo Morales, CISSP, CISA, CISM, ISO27001 LA, ITIL (OSA), CGEIT, CRISC, ISO20000 Auditor CONFERENCIA ANUAL ISACA MONTERREY 2012.

Transcripción

1 Ricardo Morales, CISSP, CISA, CISM, ISO27001 LA, ITIL (OSA), CGEIT, CRISC, ISO20000 Auditor 6 Dic 2012

2 AGENDA 1. Introducción 2. Ambiente de Seguridad en México 3. Enfoque FDI (Fugas de Información) 4. Componentes FDI 5. Metodología FDI

3 Iniciamos

4 360 / 370 Monolithic processor (main) storage of up to four megabytes was available in a single Model 158. Announced August 2, 1972 and withdrawn September 15, MB RAM 5 MDD

5 Seguridad en los 70s Redes NO Públicas Bardas físicas Alambres Corporativos Batas Blancas/ No acceso masivo a la Tecnología Muy Caro Ambiente de Cómputo Control de Acceso (factor de Exposición es bajo) Poca Sistematización en empresas (Sist. Inf.) Dominio de Desarrollos propios/ tercera generación de lenguajes Dominio del Procedimiento BATCH

6 Desktop Bing Bang Cyberwar Movilidad Anonymous XLSI $/ GHZ Red Social K Mitnick Internet Worms $/ MB Nativos Digitales FORTRAN "the infantile disorder", by now nearly 20 years old, is hopelessly inadequate for whatever computer application you have in mind today: it is now too clumsy, too risky, and too expensive to use. The use of COBOL cripples the mind; its teaching should, therefore, be regarded as a criminal offence.

7 Procesos de Negocio Información Información Sensible no encriptada en las Bases Archivoy Eliminaciónno controladade información sensitiva Conocen este Ambiente? Desarrolladores que accedenadatosen Producción Publicaciónde informaciónde la empresaen Internet (redessociales) o almacenadosen la nube Inadecuados perfiles de acceso permiten que usuarios puedan accedera informaciónqueno deberian ver Sistemasde Monitoreo que permitenaccedera datos transaccionales Tercerizaciónde Procesossin adecuados controles

8

9 Ambiente en México (relacionado a FDI) LFPDPPP, existe el marco legal, organizaciones poco preparadas, ha ocurrido un caso relevante (San Pablo Dic 2012), sociedad sin ejercer sus derechos ARCO, a la expectativa del nuevo Gobierno. Continuidad de Negocios, a causa de una gran variedad de desastres naturales y altos índices de delincuencia, las organizaciones están mejorando sus Planes de Continuidad que todavía son muy inmaduros, Gobierno sin capacidad para organizar Planes ante desastres en conjunto con las Organizaciones. Delitos Cibernéticos, no hay marco legal, nos llaman en la Región Las islas caimanes de TI, por lo que las Organizaciones deben ser capaces de responder para protegernos ante eventos de Seguridad aún sin esta legislación.

10 Ambiente en México (relacionado a FDI) Contratos, se empiezan a ver casos donde además de incorporar en los Contratos Propiedad Intelectual y NDAs se añaden temas de Fugas de Información. ISO27001, su certificación está en crecimiento debido principalmente a requisitos clienteproveedor, son menos de 40 Sistemas Certificados (Japón tiene más de 4,000). Documentos Electrónicos, el uso de la Firma Electrónica Avanzada se fomentará mas por los Estados y Plataforma e-méxico; La Protección y Resguardo de los archivos de Facturación (XML) debe de ser una prioridad de acuerdo como está el marco de ley (deducibilidad y resguardo seguro como mínimo 5 años).

11

12 Enfoque de Cliente ante FDI Preocupaciones Políticas Competencia Coyunturales Preocupaciones Ideológicas Cumplimiento Información Técnica Propiedad Intelectual El Paradigma de Seguridad cambió: ya no es sólo asunto de protegerse de las amenazas exteriores, ahora es cuidar la información que sale

13 Enfoque de Cliente ante FDI -BDs Manufacturing Sector Público Consumo Masivo Oil & Gas Financiera Salud Telecom, Media y Tecnología Proyectos de desarrollode Negocios Base de proveedores Base de Proveedores Detalle de producción Tarjetas de crédito Información de Pacientes Nuevos Productos Aspectos Impositivos Sensibles Ejecución presupuestaria Promociones Desarrollos tecnológicos Información de Seguridad de clientes Desarrollo de medicamentos Desarrollos tecnológicos

14 Esquema conceptual de funcionamiento FDI Qué hace el usuario con los datos? Datos no estructurados Lectura Escritura Copiar/Pegar Mover Imprimir Copiar a CD Subir a la Web A dónde van los datos? Aplicaciones Datos estructurados Ver Modificar Borrar Extraer Dispositivos Redes CONFERENCIA Registros ANUAL de ISACA Auditoría MONTERREY 2012

15 Usos típicos de DLP REGISTRAR, AVISAR O DETENER un mensaje de Correo Analizar el contenido de un Archivo y/o su nombre MONITOREAR la Red de la Organización en busca de información sensible y REGISTRAR o AVISAR todos los movimientos ENCONTRAR información sensible Almacenada en lugares donde NO debiera estar REGISTRAR, AVISAR O CONTROLAR que un usuario Imprima en forma no autorizada un documento CONTROLANDO la fuga de información en una laptop corporativa aunque la misma este fuera de la red corporativa REGISTRAR, AVISAR O CONTROLAR que un usuario Copie en forma no autorizada información sensible en un CD, disco o USB CONTROLANDO las Copias en Memoria

16

17 Cumplimiento - back to basics Regulaciones Leyes Convenios Por Industria -PCI -HIPAA -LFPDPPP-etc

18 Análisis de Cumplimiento Diagnóstico Inicial Normatividad (Política, Directrices) Análisis de Flujos Análisis de Riesgos Alcance Ajuste Controles existentes (Net, agents, Mail, Web, etc.) COMPONENTES FDI Métricas Áreas Sensibles Dueños de Activos de Información Proceso de Incidentes Reglas de Fugado Implementación Técnica Clasificación de Información (Labeling y Manejo) Modelo, Proceso, Entrenamiento, Tecnología

19 COMPONENTES

20 COMPONENTES Ajuste gradual de la solución DLP Level of Risk (No. of Incidents)

21 Exact Data Matching STRUCTURED DATA CUSTOMER DATA Datos de Empleados: COMPONENTES Tipo de Información: Tabla Excel con información de empleados. Acción: Manipulación de información de empleados de la organización. Respuesta: Generación de alerta en la consola de administración de la herramienta. Reglas Datosde Clientesy Empleados Bajoporcentajede falsos positivos

22 Described Content Matching DESCRIBED DATA Datos de Tarjetas de Crédito: COMPONENTES Tipo de Información: Excel con Tarjetas de crédito con BIN 5544 Acción: Copia de información de tarjetas de crédito con prefijo 5544 hacia un dispositivo extraíble. Respuesta: Bloqueo de la acción copia y notificación al usuario. Reglas Information no Indexable Palabras Clave Data Identifiers

23 Indexed Document Matching UNSTRUCTURED DATA INTELLECTUAL PROPERTY Marco Normativo: COMPONENTES Tipo de Información: 15 Documentos de un Marco Normativo en formato de Word. Acción: Copia parcial o total del texto de un documento perteneciente al marco normativo. Respuesta: Generación de alerta en la consola de administración. Reglas Datosde Diseñoy Financieros Bajoporcentaje de falsos positivos

24 Ejemplo de Alerta generada en la consola de administración COMPONENTES Ejemplo de Alerta generada en la estación de trabajo del usuario. Alertas

25

26 Análisis de Cumplimiento Workshop Alta Administración Diagnostico Inicial Análisis de Flujos Alcance, Modelo FDI Métricas, Áreas Sensibles Análisis de Riesgos Do Implementar y operar Gestión de FDI Controles existentes (Net, Mail, Web, etc.) Proceso de Incidentes Reglas de Fugado, Proceso FDI Implementación Técnica Normatividad (Política, Directrices) Tratamiento de Riesgos Clasificación de Información Concientización, Entrenamiento Plan Establecer Proceso de FDI SGFDI Monitoreo y revisión Gestión de FDI Check Implementar las mejoras identificadas Realizar acciones correctivas y preventivas Comunicar los resultados Implementar y operar Gestión de FDI Fine Tunning Reglas Auditoria de Incidentes Auditoria del SGFDI Revisión de Métricas Act

27 En que están fallando las Organizaciones Borrachera Tecnológica Clasificación de Información Proceso de Incidentes Fine Tunning Tech Penalidades Mantenimiento de reglas Políticas Administración de Riesgos

28 A.16 Fuga de Información / ISO27001 Objetivo de Control A.16.1 Asegurar que la Información Sensible pueda ser monitoreada y controlada ante posibles fugas Control A Inventario de Datos Sensibles Control A Flujos de Datos Sensibles. Control A.16.N Será el nuevo Dominio #12? Objetivo de Control A.16.2 Control A Control A Control A.16.2.N Tobe Continued.

29 Preguntas Expositor: Ricardo Morales Dic 2012

30 Apoyos

31 Principales proveedores de soluciones DLP Expositor: