Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información.

Transcripción

1 Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Ing. Carlos Boris Pastrana Polo Desarrollo de Negocios - Sector Gobierno cpastrana@scitum.com.mx Scitum, S.A. de C.V. Seminario convocado por Política Digital A un año del Decreto de Austeridad En que estamos? Marzo 6 de 2008

2 Agenda 1. Balance 2. Retos de la seguridad 3. Modelo de Zonas y Servicios 4. Recomendaciones 5. Conclusiones

3 Lo no tan bueno 1. Balance

4 Balance La idea es buena!! Ahorro (25,500 mdp) / Consolidaciones / Sinergia Contratación de Servicios / Outsourcing Largo plazo 2007: Año de aprendizaje Confusión (Interpretaciones) Aplicabilidad / Excepciones Retraso inversión -> Sub-ejercicio del presupuesto +700 solicitudes, % importante de excepciones Mayor Gestión administrativa -> pptos. Multianuales Mayor complejidad en armar licitaciones Evolución del rol de áreas informáticas. Cómo adoptar TICs para ofrecer más y mejores servicios al ciudadano / para acelerar transformación económica del país. Cómo administrar contratos de servicios (de la operación a la táctica y estrategia).

5 Lo no tan bueno 2. Retos de la Seguridad

6 Escenario 1: Usuario Confiado 4 Su PC queda infectada Con un caballo de troya INTERNET DEBILIDADES 2 Correo Electrónico con un Anexo contaminado No hay políticas de seguridad y/o no hay un programa de concientización de usuarios 1 3 No hay antivirus actualizado Usuario navegando en la red No hay filtrado de correos El Usuario recibe el correo y abre el anexo No hay filtrado de paquetes (conexiones) 5 Y se abre una conexión para que un externo pueda tomar control

7 Escenario 1: Lo que se debe hacer 4 Firewall bien configurado INTERNET 1 Filtrado de Correos (Bien Administrado) 2 Antivirus Actualizado 3 USUARIO CONSCIENTE: No abre el anexo infectado

8 Escenario 2: Hacker Maldoso INTERNET ATAQUE FIREWALL DEBILIDADES 7 IPS 2 El hacker sustrae $ Información valiosa Redes inalámbricas desprotegidas Pero el Firewall y el IPS bloquean el ataque 1 Routers configurados sin importar la seguridad Sistema Operativo y DBMS sin Y encuentra configuraciones un seguras (ENDURECIMIENTO) 4 ROUTER ACCESS POINT Access Point Desprotegido ( WEP?) Un hacker intenta entrar en nuestra red 5 Un router sin filtros de Seguridad (ACLs) SERVIDOR DE BASE DE DATOS 6 Y un servidor Windows con Oracle en configuraciones default (incluyendo contraseñas) 3 El hacker decide hacer War Driving

9 Escenario 2: Lo que se debe hacer FIREWALL IPS INTERNET ACCESS POINT 1 Redes Inalámbricas Seguras: Planeación Reglas claras (políticas) Adquisición de infraestructura robusta (p. ej. Access Points que vigilan, Firewalls inalámbricos) Configuraciones endurecidas Alternativas a WEP ROUTER 2 Routers endurecidos, incluyendo filtros (Como parte del Proceso de Configuraciones) SERVIDOR DE BASE DE DATOS 4 Opcional: appliance de monitoreo de la seguridad en el DBMS 3 Servidor Windows y Oracle endurecidos

10 Escenario 3: Usuario Abusivo 4 DEBILIDADES No hay políticas de seguridad 1 No hay un sistema de autenticación robusto No hay protección contra copia no autorizada de información (GRP) 2 El ERP no tiene habilitadas opciones de seguridad (bitácoras, autenticación adicional, encripción de 4 Cuco entra al sistema ERP con la cuenta de las Chanchis transacciones) Cuco accesa a información muy confidencial Nadie revisa las bitácoras 3 La graba en una memoria USB SERVIDOR APLICATIVO 5 SERVIDOR DE BASE DE DATOS Cuco altera ciertos registros sobre información financiera (cuentas x cobrar) El personal responsable se da cuenta varias semanas más tarde Y después de investigar tiene la sospecha de que fue Chanchis

11 Escenario 3: Lo que se debe hacer? No! 1a Existen políticas sobre passwords SERVIDOR APLICATIVO (GRP) SERVIDOR DE BASE DE DATOS 1b Los usuarios las conocen y las siguen 4a Endurecimiento del Sistema Operativo 4b Endurecimiento del ERP (incluye usuarios-grupos-permisos, Opciones de bitácora, encripción, Autenticación) 2 Autenticación vía Tokens (ideal: ligado a un Directorio Global) 4c Endurecimiento del DBMS (permisos,últimos parches, ) 3 Software para limitar El copiado de información (USB, CD, etc) 4d PROCESOS: - Control de cambios y Configuraciones (incluye endurecimiento, aplicación de parches) - Monitoreo y explotación de bitácoras

12 Retos de la Seguridad Alineada al negocio (el análisis de riesgo es fundamental) La seguridad es un proceso, no un proyecto. La tecnología no es suficiente (+ procesos + gente) Monitoreo y gestión 7 x 24 x 365 (gente) Requiere la participación de todos. incluyendo los proveedores. Creciente complejidad Mas riesgo -> mas necesidad de control Seguridad Perimetral - > Seguridad en Bases de Datos/ Desarrollo aplicativo / Control de acceso / Necesidad de medir para mejorar Cumplimiento regulatorio Mantener patrocinio de la alta dirección

13 Lo no tan bueno 3. Modelo de Zonas y Servicios

14 Modelo de Zonas y Servicios Pensado para: Cumplir cabalmente con el decreto de austeridad. Tener una cobertura integral de la seguridad. Ser implementado: En organizaciones medianas y grandes Con niveles de servicio muy concretos y medibles (tablero de control). Por varios proveedores (Telecomunicaciones, PCs/LANs, Servidores y BDs, Desarrollo, Seguridad y otros.) Por etapas. Aumentar la probabilidad de éxito y la visibilidad política del proyecto.

15 Ecosistema de la Seguridad CAT - Servicios de Cómputo / procesamiento Administrado Proveedor Telecomunicaciones Internet / VPN / MPLS CLIENTE y Proveedor de Seguridad Otros Proveedores BD Proveedor de Data Center Proveedor de Desarrollo de Aplicaciones Organización

16 Elementos del Modelo de Zonas y Servicios Servicios Generales Servicios Generales Análisis de Riesgos y Estrategia de Seguridad Normatividad de usuarios Programa de concientización Zonas de Servidores Zonas Zonas de Enlace con La Red WAN Servicios particulares Protección del perímetro Control de accesos y admón. identidades Seguridad en configuraciones Zonas de Usuarios típicos Zonas de Usuarios De información Sensitiva Zonas de Acceso a Internet Seguridad en información almacenada Seguridad en transacciones y Firma electrónica Desarrollo de software seguro

17 Metodología Determinar las distintas zonas a cubrir. Definir los servicios aplicables. Generar una matriz de Zonas.vs. Servicios. Determinar Prioridades Costos Fases Servicios Zonas Zona 1 subzona 1.1 subzona 1.2 Protección Tráfico Firma Electrónica Protección aplicativa... Servicio n Zona 2 Zona 3 subzona 3.1 subzona Zona n

18 Ejemplos de Zonas Zona Internet (perimetral): Es el entorno limitado físicamente y lógicamente por un conjunto de controles para el resguardo de las comunicaciones con Internet. Zona de Frontera con WAN (ó MPLS): Interconexión entre redes LAN y redes WAN. Zona de usuarios con información confidencial: Es el entorno limitado físicamente y lógicamente por el conjunto de controles de seguridad que aseguran la operación segura de los componentes de negocio contenidos en ella. Interconexión entre usuarios críticos y la red corporativa. Zona de Gestión: Segmento de red asociado al monitoreo y gestión de la totalidad de la red corporativa.

19 Tipos de Servicios 1. Servicios de Ciclo Completo: Establecimiento de la Normatividad Implementación de tecnología Operación de los controles/tecnologías de seguridad Reportes del Servicio/ Cumplimiento de Niveles de Servicio (SLAs) 2. Servicios Normativos: Establecimiento de la Normatividad Transferencia a los responsables Vigilancia de cumplimiento

20 Ejemplos de Servicios Servicio de Protección de Tráfico: Asegurar y proteger los flujos de información que se transmite a través de la red de comunicaciones entre una zona protegida y redes externas. Suministrar, implementar y operar tecnologías (p.e. FW, IPSs, Web Filter, E- mail Filter, etc.) Generar normatividad propia de la Zona y transferirla a responsables. Prevenir, detectar y responder ante la ejecución de ataques o actividades maliciosas que pudieran afectar la operación de la organización. Servicio de Control de Acceso: Lograr que sólo los usuarios autorizados puedan acceder a los servidores y a sus aplicaciones y se tenga un registro de las bitácoras de acceso de los diferentes dispositivos y sistemas. Suministrar, implementar y operar tecnologías (p.e. NAC, etc.) Generar normatividad para autenticación de Usuarios y transferirla a responsables. Implantar proceso de administración de bitácoras.

21 Ejemplo de Matriz

22 Ventajas del Modelo Es muy sencillo dividir las responsabilidades y seguir teniendo un marco común. Cada zona incorpora los servicios que requiere (de acuerdo a la información y tipo de usuarios que involucra). Interacción natural entre distintas áreas informáticas y diferentes proveedores: Cobertura bien definida Responsabilidades claras (por servicio) Normatividad central Cada área o proveedor DEBE seguir la normatividad (y estar sujeto a revisiones de cumplimiento) Cada zona genera sus indicadores para el Tablero de Control de la Seguridad (operativos y de gestión).

23 Lo no tan bueno 4. Recomendaciones

24 Recomendaciones Las bases deben establecer criterios claros para Que la convocante satisfaga sus requerimientos de seguridad Que el ganador sea una empresa con las capacidades y calificaciones adecuadas. Planear a 3 años Cómo saber lo que requeriremos a 3 años? Dejar alguna partida de buffer Capacitar al personal Enfocado a ser Administradores/Auditores de los contratos Muy recomendable la certificación CISA (Certified Information Systems Auditor) Los Niveles de Servicio deben ser el principal indicador del nivel de seguridad de la organización. Cuidado con los candados tecnológicos (por producto). Cada vez serán más acotados.

25 Lo no tan bueno 5. Conclusiones

26 Conclusiones El Decreto generó un cambio de paradigma en la forma de contratar y de ver las TICs. Después de la transición vendrá la madurez. La Seguridad de la Información es hoy una prioridad en el Gobierno Federal. Protección de información Seguridad Nacional Presiones regulatorias Imagen El modelo de zonas y servicios se constituye en una herramienta de apoyo para entender, planear y ejecutar proyectos de seguridad en la información con un enfoque integral. Mucha suerte!

27 Preguntas y Respuestas Gracias por su atención!!! Nos vemos en el stand. Ing. Carlos Boris Pastrana Polo Desarrollo de Negocios Sector Gobierno Scitum, S.A. de C.V. cpastrana@scitum.com.mx