Mejores Practicas de Seguridad de la Informacion. Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist

Transcripción

1 Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist

2 Observaciones preliminares > Que estamos discutiendo los profesionales de seguridad de la información?. Seguridad informática VS Seguridad de la Información > Por que es tan difícil explicar el problema. Ciencias exactas vs ciencias sociales La desventaja del modelo > La evolución vertiginosa. Brechas de conocimiento conflicto entre paradigmas de comunicación y acceso. > La demanda del negocio, por tipo de negocio (mercados verticales, demandas especificas) Rápido y furioso. > Riesgos, damnificados, responsables Directos e indirectos.

3 Agenda > Definición simplificada del problema > Modelos de Madures > Estándares y Regulaciones y Mejores Practicas > Recomendaciones generales

4 Definición simplificada del problema

5 Definición simplificada del problema > El problema se sintetiza en alcanzar niveles aceptables de Confidencialidad, disponibilidad e integridad de la información que sostienen los objetivos del negocio > Las claves son: Alcanzar (modelo iterativo) Confidencialidad. Disponibilidad. Integridad. Niveles aceptables (gestión de riesgos) Objetivos del negocio (Mandatorio y Rector)

6 Algunos Problemas subyacentes > Definición de activos de información Valor de la información, percepción del valor de la información, rentabilidad, dependencia. Impacto sobre incidentes de perdida de confidencialidad, integridad o disponibilidad de la información. > Cultura de la organización Composición humana de la organización Supuestos, expectativas, idealización de la seguridad. Relacionamiento entre los actores y entre los actores y la organización, sus procesos y sistemas. Adaptabilidad al cambio, al control o a la limitación de privilegios Modelo de seguridad aceptados o aceptables

7 Estado del arte: parte 1 > Sistemas distribuidos. > Entornos heterogéneos. > Interacciones multidireccionales y multisistemas. > Aumento explosivo de los activos de información. > Aumento explosivo de la dependencia a los sistemas. > Relación entre vulnerabilidades y atacantes por definición, desventajosa > Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente. > Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.

8 Estado del arte: parte 2 propagation of malicious code DDoS attacks stealth /advanced scanning techniques increase in worms widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks packet spoofing widespread denial-of-service attacks automated probes/scans techniques to analyze code for vulnerabilities without source code sophisticated command & control anti-forensic techniques home users targeted distributed attack tools increase in widescale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Attack Sophistication Intruder Knowledge

9

10

11

12

13

14 Modelos de Madures

15 Modelos de Madurez. > Basados en la Capacidad. (CMM) > Basados en la Completitud. (ISO ) Maturity Level Act Check Plan Do Consolidate the Level Reached Time Scale

16 ITIL Maturity Model (information from Pink Elephant) Absence No evidence of activities supporting the process Initiation Some policies statements Words no Docs No dedicated resources Awareness Process driven by tools Roles and responsibilities poorly defined Control Measurable Targets Mgmt Reports produced Formal Planning Tasks, responsibilities, well defined Integration Significant quality improvements Interdepartmental communications Quality & Per. Metrics transferred between processes Optimization Links between IT & Corporate Policy Innovation QA & Continuous improvement World Class Perf. Measurements Level 5 Level 4 Level 3 Control Integration Optimization Level 2 Level 1 Level 0 Initiation Absence Awareness

17 Maturity Model: Cobit Version 4.0

18 Modelo de madurez de Seguridad (basado en la capacidad)

19 Modelo de madurez de Seguridad (basado en la completitud)

20 Agilidad Administración de TI: Modelo de madurez CA 4 Conduciendo el negocio 1 Activo Responde a problemas y fallas Procesos manuales adhoc 2 Eficiente Procesos estandarizados Respuestas automatizadas Recursos de TI consolidados 3 Receptivo Servicios de TI relevantes al negocio Administración por nivel de servicio Administración financiera de TI TI se optimiza en tiempo real dinámicamente para apoyar al negocio Proyectos transparentes Flexibilidad

21 Maturity Capability Blueprint Active to Efficient Maturity Level (1) Active Additional Capabilities Needed to Advance to Next Level Maturity Level (2) Efficient People Process Technology - Dedicated Security Staff - Business Unit Owners - Basic Security Policies - Identify & Classify Assets - Backup/Recovery Process - Periodic Vulnerability Assessments - Network Vulnerability Scanning - Basic OS w/o Patches - Network Scanners - Anti-Virus - Backup and Storage Conduct Solution-Leading Assessment to Determine Current State & deliver GAP Analysis Security Awareness Training CISSP Training Security Policies & Procedures Periodic Vulnerability & Attack and Penetration Testing Security Solution Design, Implementation, and Integration etrust Anti-Virus & Vulnerability Manager BrightStor ArcServe Unicenter Service Desk SAO-Defined Roadmap and Associated ROI Delivered to Client to Move from Active to Efficient Maturity Level - Certified Security Staff - Security Awareness Training (IT, HR, Dev) - Security Policies and Backup/Recovery Process - Identify & Classify Assets - Periodic Vulner. Assessments and A&P - Network Vulner. And AV Scanning - Develop Standard OS Configurations - Vulnerability Research - Agent-based vulnerability and Configuration Management - Business Impact Analysis - Integrated Vulnerability Mgmt. and Helpdesk Processes - Manual Load of OS Patches - Network Scanners - Anti-Virus - Backup and Storage - Agent Based Vulnerability & Configuration Management - Service Desk (Help Desk) CA products required to realize new capabilities

22 Estándares y Regulaciones y Mejores Practicas

23 ISO27001 Communications and Operations Management Organizational Security Security Policy Asset Classification and Control Business Continuity Management Access Control Physical and Environmental Security Personnel Security Systems Development and Maintenance Compliance COBiT Monitor and Support Acquire and Implement Plan and Organize Define and Support COSO Monitoring Internal Environment Risk Assessment Control Activities Information and Communications ITIL ICT Infrastructure Management Service Delivery / Support Business Perspective Planning to Implement Service Management Application Management Security Management Objective Setting Risk Response Event Identification

24 Modelo de Gobierno IT IT Governance COSO Sarbanes Oxley US Securities & Exchange Commission COBIT Quality Systems & Frameworks CMM Service Mgmt. App. Dev. IT Security Project Mgmt. IT Planning Quality System ISO Six Sigma ITIL IT OPERATIONS ASL BS 7799 PMI TSO IS Strategy

25

26

27 ISO Anexo Objetivos de control y controles. > A5 Security Policy (3) > A6 Organization of Information security (4) > A7 Assesst Management (5) > A8 Human Resourses Security (6) > A9 Phisical And Environmental security (7) > A10 Comunication And Operations Management (8) > A11 Access Control (9) > A12 Information System Acquisition, dev and maintenance (10) > A13 Information Security incident Management (nuevo) > A14 Business Continuity Management (11) > A15 Compliance. (12)

28 CA Security Affiliations > American Society for Industrial Security (ASIS) > Australian Computer Emergency Response Team > Armed Forces Electronics and Communication Association (AFCEA) > Association of anti Virus Asia Researchers (AVAR) > CLUSIF (Infosec Association of France) > CLUSIT (Infosec Association of Italy) > Cyber Security Industry Alliance (CSIA) > Distributed Management Task Force (DMTF) > Government Electronics and Information Technology Association (GEIA) > International Information Systems Security Certification Consortium (ISC) 2 > International Security Trust & Privacy Alliance (ISTPA) > Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX) > Israel Security Forum > IT Service Management Forum (itsmf) > John Jay College of Criminal Justice > Korea Institute of Information Security & Cryptology > Liberty Alliance > Mitre CVE Editorial Board > National Cyber Security Summit Task Forces > ICSA Labs > New York Electronic Crimes Task Force > IEEE-ISTO Open Security Exchange (OSE) > Object Management Group (OMG) > Information Security & Privacy Advisory Board (ISPAB) > Open Mobile Alliance > Information Sharing & Analysis Center Council (ISAC Council) > Open Source Development Lab (OSDL) > Information Systems Control & Audit Association (ISACA) > Organization for the Advancement of Structured Information Standards (OASIS) > Information Technology Association of America (ITAA) > Information Technology-Information Sharing and Analysis Center > Security Industry Association (SIA) (IT-ISAC) > SHARE > InfraGard > The Open Group > InterNational Committee for Information Technology Standards (INCITS) > Virus Bulletin > Wild List Organization (ITW) > World Wide Web Consortium (W3C)

29 Recomendaciones generales

30 Tarea para el hogar > Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación? > Hemos realizado un analisis de riesgo integral? > Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos? > Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible? > Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?

31 Muchas gracias