El roadmap de convergencia entre seguridad Física y Lógica Negocio e innovación en Seguridad

Transcripción

1 El roadmap de convergencia entre seguridad Física y Lógica Negocio e innovación en Seguridad Luis Manuel Carro Socio del área de riesgos tecnológicos IT-ERS Javier Espasa Arbeteta Gerente del área de riesgos tecnológicos IT-ERS

2 2. Encuesta Deloitte: El reflejo de la realidad actual 2

3 2. Encuesta Deloitte: El reflejo de la realidad actual Iniciativas en el mercado: The Alliance for Enterprise Security Risk Management AESRM - The Open Security Exchange OSE PSA Security Network - Critical Infrastructure Protection CIP Program htm The convergence of Enterprise Security Organizations - Estudio de Deloitte: Cifras Tendencias Casos de estudio 3

4 2. Encuesta Deloitte: El reflejo de la realidad actual Como se percibe los objetivos de seguridad según los CEOs: Lógica Física 4

5 2. Encuesta Deloitte: El reflejo de la realidad actual Ataques Externos Ataques Internos Virus Gusanos: 69% Robo: 63% Phishing/pharming: 50% Spyware/malware: 48 % Ataques sobre la seguridad física raramente sufridos Robo: 23% Filtración de información confidencial: 20% Virus / Gusanos: 17% 5

6 2. Encuesta Deloitte: El reflejo de la realidad actual Efecto de los incidentes Cada brecha de seguridad expone uno o mas de los siguientes aspectos: Rechazo por parte del cliente Daños a la imagen de marca / reputación Costes legales Costes Regulatorios Costes de auditoría Perdida de productividad Decremento de la fidelidad, rendimiento y moral del empleado, que afecta a la retención del personal, y captación del talento Coste financiero, (Media de costes en la industria es de $100 por cada identidad de cliente robada) Repercusión final, la evolución de los presupuestos: Presupuestos de seguridad están incrementándose Mayor incremento en presupuestos de seguridad lógica, posiblemente debido al bajo porcentaje de ataques físicos frente a los lógicos. 6

7 2. Encuesta Deloitte: El reflejo de la realidad actual Como podemos, entonces lograr el cambio? Change management activities required to integrate Leadership alignment Communication strategy and execution Organization design, including job and role profiling Stakeholder management Performance and performance management systems Organization culture assessment Learning management systems and programs Organization transformation Workforce transition strategy Organization readiness and alignment Adoption and enrollment Project team effectiveness Necesario cambio a nivel de dirección Comunicación Redefinición de roles y responsabilidades Results may not total 100% as respondents were allowed to select more than one answer 0% 10% 20% 30% 40% 7

8 1. Introducción Si esto es así por que no se ha dado la convergencia ya? Responsabilidades no quedan claras: Protección de equipos portatiles es responsabilidad física o Lógica (o ambas). Regimen de evolucion técnico muy diferente Barreras culturales entre personal seguridad física y lógica Formación Mentalidad Sueldos Poca capacidad de influencia entre ambos departamentos. Obstacles to integration Cultural barriers Process/change management Training/know ledge gaps Lack of direction from C-suite Salary issues Risk of adverse consequences 0% 10% 20% 30% 40% 50% 60% 70% 80% Results may not total 100% as respondents were allowed to select more than one answer 8

9 9

10 Se han tenido en cuenta múltiples fuentes a la hora de plantear un roadmap de ejemplo: The Alliance for Enterprise Security Risk Management AESRM Deloitte Ejemplo Representativo de Plan de Evolución Information Systems Audit and Control Association ISACA The Open Security Exchange OSE 10

11 Nivel 1: Management / Dirección 11

12 Nivel 1: Management / Dirección Situación actual de convergencia Operaciones Seguridad Lógica Seguridad Física Gestión/Dirección Gestión/Dirección Gestión/Dirección 12

13 Nivel 1: Management / Dirección 1. El cambio organizativo Dpto Seguridad IT Dpto Seguridad Física Dpto Operaciones IT 13

14 Nivel 1: Management / Dirección 1. El cambio organizativo Diferentes aproximaciones a la convergencia Combinar ambas funciones bajo un mismo líder Enterprise Risk Management Chief Security Privacy Officer Information Security Team Presupuesto Global Security Operations Team 14

15 Nivel 1: Management / Dirección 1. El cambio organizativo Diferentes aproximaciones a la convergencia Combinar ambas funciones bajo un mismo líder Mantener las funciones separadas, reportando a un gestor común Information Security Enterprise Risk Management Chief Security Privacy Officer Global Security Operations Information Security Team Presupuesto Global Security Operations Team 15

16 Nivel 1: Management / Dirección 1. El cambio organizativo Diferentes aproximaciones a la convergencia Combinar ambas funciones bajo un mismo líder Mantener las funciones separadas, reportando a un gestor común Mantener las funciones separadas y centrar los problemas, cuestiones y decisiones en un Comité Corporativo de Riesgo Information Security Enterprise Risk Management Comité de Riesgo Global Security Operations Information Security Team Presupuesto Global Security Operations Team Presupuesto 16

17 Nivel 1: Management / Dirección 1. El cambio organizativo Diferentes aproximaciones a la convergencia Combinar ambas funciones bajo un mismo líder Mantener las funciones separadas, reportando a un gestor común Mantener las funciones separadas y centrar los problemas, cuestiones y decisiones en un Comité Corporativo de Riesgo Information Security Enterprise Risk Management Comité de Riesgo Global Security Operations 62% de la empresas encuestadas tienen un comité de riesgo 92% de las empresas encuestadas creen que es una solución acertada Information Security Team Presupuesto Global Security Operations Team Presupuesto 17

18 Nivel 1: Management / Dirección Ahorro de Costes: Eliminar posibles funciones duplicadas Facilita el cumplimiento Legal Razonabilidad de la inversión, respecto al nivel de seguridad general Equilibrio de esfuerzos Mejora en la efectividad del proceso: Toma de decisiones Único punto de contacto con dirección, implica mayor comunicación. Buscar y demostrar del aporte de seguridad al negocio. Optimizar el proceso mediante una redefinición de roles global Contras Difícil conjugar perfil experto en seguridad física y conocimiento de seguridad lógica Se puede caer en el error de forzar la unificación de departamentos. La convergencia es la búsqueda de la interoperabilidad 18

19 Nivel 2: Politica y Normativa 19

20 Nivel 2: Politicas y Normativa Situación actual de convergencia Operaciones Seguridad Lógica Seguridad Física Gestión/Dirección Gestión/Dirección Gestión/Dirección Politica/Normativa Politica/Normativa Politica/Normativa 20

21 Nivel 2: Políticas y Normativa Situación actual de convergencia No hay unificación Ejemplo: El caso universal de BCPs: BCP por un lado de negocio DRP por otro de sistemas 1. Unificar Políticas y Normativas Acciones: Analizar las políticas y normativas de seguridad, Adecuar las relativas a seguridad física y lógica para que sean consistentes con los dos reinos 21

22 Nivel 3: Control de Acceso 22

23 Nivel 3: Control de Acceso Situación actual de convergencia Operaciones Seguridad Lógica Seguridad Física Gestión/Dirección Gestión/Dirección Gestión/Dirección Politica/Normativa Politica/Normativa Politica/Normativa Nombre Usuario Datos perosnales Identificador Control de Acceso Control de Acceso 23

24 Nivel 3: Control de Acceso Identificación de Situación actual WorkFlow Workflow de alta de usuario ha de interaccionar con Seg Física y Seguridad Lógica/Operaciones. Se duplican las acciones. Los tiempos de espera se incrementan. Baja de Usuarios En el proceso de baja puede darse inconsistencias Usuarios obsoletos (lógicos o físicos) Actualización Los procesos de actualización de perfiles son muy complejos y largos Nivel de seguridad Situación más común: basado en 1 factor (login+passwd) 24

25 Nivel 3: Control de Acceso 1. Implantación de un sistema de Gestión centralizada de roles y permisos Implantación de un sistema que recopile la información de perfiles físicos y lógicos. Gestión de permisos, Roles desde un punto central. Potencialmente proyectos económicos (por ejemplo mediante las nuevas técnicas de virtualización de directorios) 2. Implantación de un sistema de Provisioning Común Unificar el WorkFlow de aprovisionamiento de identidades en un único canal Herramienta que posibilita la interacción telemática en solicitud de altas, bajas y modificaciones. Suele suponer un proyecto de IAM 25

26 Nivel 3: Control de Acceso 3. Utilización de un sistema de autenticación fuerte común Implantación de sistemas de acceso físico seguro SmartCards, Biometría, etc Posibilita la migración hacia la autenticación fuerte (2 factores de autenticación) Elemento físico para acceder al recinto y para autenticarme en el PC Utilización del factor de autenticación Presencial 26

27 Nivel 3: Control de Acceso Ahorro de costes y Mejoras operativas Ahorro de Costes: Disminuye el tiempo de gestión en el alta/baja/modificación Menor tiempo en los proceso de actualización de perfiles(ejemplo, caminar para reconfigurar cada control de acceso de todas las salas). Al telematizar estos procesos se minimiza el tiempo de respuesta, aumentando la productividad. Se minimiza la intervención humana, por lo que se optimizan los costes Mejora en la efectividad del proceso: Al unificar en un directorio, se minimizan los casos de usuarios obsoletos. Fuentes de información más efectiva de cara a auditorías Servicio más ágil para el usuario final. Mejora sustancial de seguridad 3 factores de autenticación Compartición del mecanismo de control de acceso físico y Lógico. 27

28 Nivel 4: Monitorización 28

29 Nivel 4: Monitorización Situación actual de convergencia Operaciones Seguridad Lógica Seguridad Física Gestión/Dirección Gestión/Dirección Gestión/Dirección Politica/Normativa Politica/Normativa Politica/Normativa Nombre Usuario Datos perosnales Identificador Control de Acceso Control de Acceso Monitorización Monitorización Monitorización 29

30 Nivel 4: Monitorización Situación actual de convergencia Cada departamento implementa su sistema de monitorización: Monitorización de seguridad física Operativa: Estado de sistemas de refrigeración, carga de unidades de alimentación PDUs, temperatura de zonas de salas Seguridad: Estado de volumétricos, Cámaras de seguridad, apertura de puertas, estadísticas de ocupación, cumplimiento de rutas. Monitorización Operativa (basado en identificación de caídas, graficas de rendimiento, etc) Monitorización de Seguridad Lógica (extracción de eventos de seguridad, y correlación de información para determinar situaciones de riesgo). Es difícil integrar estos sistemas de monitorización Cada departamento contrata personal de primer nivel para vigilar sus consolas de monitorización. Ante objetivos comunes es complicado/imposible coordinar los requisitos de cada área. Ejemplo: Resistencia ante lo desconocido, como por ejemplo, conectar un sistema de alimentación PDU a red y proporcionar datos a los otros dos áreas. Redes SCADA resistencia culturales de integración 30

31 Nivel 4: Monitorización 1. Fusión del primer nivel de centro SOC/NOC/Fisico Unificación en un solo centro de los tres procesos de monitorización: Operaciones Seguridad Monitorización física Permite unificar espacio físico y centralizar toda la información en una sola sala Será necesario que cada uno implemente sus niveles posteriores de soporte 31

32 Nivel 4: Monitorización 2. Intercomunicación entre los sistemas de monitorización Permitir que los 3 sistemas de monitorización intercambien información entre ellos Permitir que los distintos elementos de cada área alimente a otros sistemas Segurid ad Parte de los datos Segurid ad Ejemplos de correlación entre el mundo físico y Lógico Usuario interno accede físicamente al edificio de Madrid Se produce un intento de acceso a un repositorio critico por ese usuario, pero originado en la infraestructura IT de Barcelona. Usuario interno accede físicamente al edificio de Madrid Se produce un acceso legitimo de ese usuario a través de la VPN corporativa 32

33 Nivel 4: Monitorización 3. Habilitar y configurar acciones reactivas entre dominios Hasta ahora no es común interrelacionar estos mundos mucho más allá, por ejemplo: Como inter-relacionar alertas físicas de intrusión con lógicas (Detección volumétrico + Caída temporal de un switch) Acciones de bloqueo si se detecta violación física (puertas CPD, Cámaras de acceso al CPD, etc). Pero todo llega: Ejemplo: Herramientas AntiFraude Una vez detectado un riesgo superior al umbral, activar control de acceso adicionales como teclado en pantalla, captcha, etc. Herramientas AntiFraude, una iniciativa potenciadora La base de las herramientas antifraude es recoger toda la información relativa al negocio que monitoriza, y correlarla para identificar situaciones de riesgo. Misma filosofía que SIEM, pero con mayor orientación a negocio. 33

34 Nivel 4: Monitorización Ahorro de Costes y Mejora de la efectividad Ahorro de Costes: Menor personal para el nivel 1 de soporte (cubriendo las tres funcionalidades de monitorización) Menor coste en espacio físico Compartir una plataforma de monitorización inteligente entre ambos mundos (ciencia ficción) Al compartir infraestructura. Lo queramos o no, la organización de seguridad física ha de coordinarse con seg lógica Mejora en la efectividad del proceso: Centralizar en una sala toda la información de monitorización permite identificar ataques multicanal. Correlación de eventos de ambos mundos Posibilita el tercer factor de autenticación muy económico. Prevención de acciones fraudulentas / ataques. 34

35 Nivel 5: Personal 35

36 Nivel 5: Personal Situación actual de convergencia Operaciones Seguridad Lógica Seguridad Física Gestión/Dirección Gestión/Dirección Gestión/Dirección Politica/Normativa Politica/Normativa Politica/Normativa Nombre Usuario Datos perosnales Identificador Control de Acceso Control de Acceso Monitorización Monitorización Monitorización Personal Personal Personal 36

37 Nivel 5: Personal Personal: Personal de seguridad física Personal de seguridad lógica Operativa Todos participan activamente en la seguridad. Resistencia a interactuar, permitir intercambio de información o compartir recursos. 1. Análisis de Perfiles Acciones: Análisis de las funciones de sus puestos de trabajo. Reconversión de perfiles Formación para adaptar los perfiles a las funciones Obstacles to integration Cultural barriers Process/change management Training/know ledge gaps Lack of direction from C-suite Salary issues Risk of adverse consequences 0% 10% 20% 30% 40% 50% 60% 70% 80% Results may not total 100% as respondents were allowed to select more than one answer 37

38 Nivel 5: Personal 1. Plan de concienciación conjunto Ahorro de Costes: Reconversión de perfiles Mejora en la efectividad del proceso: Disminuye la resistencia al cambio organizativo Disminuye la resistencia a cambios técnicos necesarios para la convergencia Posibilita la planificación conjunta de despliegues tipo Control de acceso común, o unificación del profiling. 38

39 39

40 Referencias: The convergence of physical and information security in the context of Enterprise Risk Management. Deloitte, ISACA, AESRM Physical and logical security convergence. Syngress Presentation of the Convergence of Physical and Information Security in the Context of Enterprise Risk Management. Deloitte 2008 Convergence of Enterprise Security Organizations. ASIS, ISSA, ISACA 2005 Identity And Access Management Adoption In Europe: Forrester Case Study: The Smart Card Is King At Deloitte Ireland. Forrester 2009 Case Study: Unisys Takes Its Own Authentication Medicine. Forrester 2008 Trends 2007: Physical And Logical Security Convergence. Forrester 2007 Convergence Roadmap. OSE

41 Fin de la presentación Muchas gracias 41