Concientización en Seguridad

Transcripción

1 Security Awareness Concientización en Seguridad El Factor Humano MBA Lic. Roberto Langdon Lic. en Sistemas y MBA en Marketing Management USAL State University of New York Albany, USA Director del Instituto de Investigaciones en Seguridad en TICs de FUNDESCO Presidente & CEO - 2MINDS Servicios Informáticos SRL Director de la Comisión de Seguridad del CPCI-CABA Director Académico de la Certificación en Dirección de Seguridad de la Información, y de la Diplomatura en Seguridad de la Información, en la Universidad CAECE Profesor del Seminario Intensivo de Seguridad de la Información en el Instituto Universitario de la Policía Federal Argentina (IUPFA) (Extensión Extracurricular) Profesor de Seguridad Informática en la Universidad Nacional de Tres de Febrero (UNTREF) Miembro del subcomité de Seguridad de IT de IRAM Consultor Senior en Seguridad Informática y Física Productor y Conductor del programa Templarios de la Seguridad (radio y TV IP por internet) 1

2 EL OBJETIVO DE LA CONCIENTIZACION EN SEGURIDAD NO ES FORMAR PARANOICOS EN EL TEMA ES JUSTAMENTE CREAR CONCIENCIA 2

3 3

4 Introducción a End User Security Awareness Los POR QUE, QUE y COMO de Security Awareness Por qué implementar una campaña de Security Awareness? Comunicar políticas a la comunidad de usuarios, y asegurarse de su cumplimiento Mitigar la ecuación SEGURIDAD versus USABILIDAD Defenderse ante las amenaza Ingeniería Social La concientización del usuario optimiza el perfil global de seguridad Qué queremos lograr haciendo que los usuarios conozcan sobre la seguridad? Fomentar al uso de hábitos seguros y desalentar los comportamientos riesgosos Cambiar la percepción del usuario respecto de la Seguridad de la Información Informar a los usuarios sobre cómo reconocer y reaccionar ante amenazas potenciales Educar a los usuarios sobre técnicas de seguridad de la información que pueden usar Cómo obtener los resultados deseados? Generar interés Educar Comunicar Recurrencia en los esfuerzos Medir resultados 4

5 End User Security Awareness Challenges Brindar un mensaje consistente sobre la importancia de IT Security Convencer a los usuarios a crear y mantener hábitos seguros de uso en PC Motivar a los usuarios a tener un interés personal en Information Security Dar alta prioridad a End User Security Awareness en la organización Desarrollar material que brinde un claro mensaje sobre temas de seguridad 5

6 Elementos clave del Programa de Seguridad de la Información TECNOLOGIA - System Security - UTM. Firewalls - IDS/IPS - Data Center - Physical Security - Vulnerability Assmt - Penetration Testing -Application Security - Secure SDLC - SIM/SIEM - Managed Services - Training - Awareness - HR Policies - Background Checks - Roles / responsibilities - Mobile Computing - Social Engineering - Social Networking - Acceptable Use - Policies - Performance Mgt GENTE PROCESOS - Risk Management - Asset Management - Data Classification - Info Rights Mgt - Data Leak Prevention - Access Management - Change Management - Patch Management - Configuration Mgmt - Incident Response - Incident Management 7

7 ROL DEL CSO ANALISIS IDENTIFICACION DE LOS RIESGOS ELEGIR COMO MITIGARLOS MITIGACION GESTION Y CONTROL TECNOLOGIAS SEGURIDAD FISICA SEGURIDAD INFORMATICA PLAN DE SEGURIDAD POLITICAS Y PROCEDIMIENTOS COMPLIANCE BCP / DRS - SECURITY AWARENESS MONITOREO Y CONTROL REPORTES AUDITORIAS ACCIONES SUMARIAS Y LEGALES 8

8 Concientización a nivel Alta Gerencia CONSULTOR en SEGURIDAD CAPACITACION PRESUPUESTO DIRECCION RRHH DIRECCION LEGALES ALTA GERENCIA DECISION COGNITIVA PRIORIDADES RRHH DISPONIBLES SUBESTIMACION IGNORANCIA APOYO EXPLICITO RIESGOS AMENAZAS VULNERABILIDADES 9

9 Acciones iniciales CAPACITACION NOMBRAR AL CSO / CISO CREAR EL COMITÉ DE SEGURIDAD RISK ASSESSMENT (Comité de Riesgos) ALTA GERENCIA VULNERABILITY ASSESSMENT (Seguridad) EL CSO /CISO PRESENTA POLITICAS DE SEGURIDAD AL COMITÉ DE SEGURIDAD EL COMITÉ SEG. REVISA Y APRUEBA LAS POLITICAS DE SEGURIDAD DECISION COGNITIVA LAS POLITICAS SE IMPLEMENTAN (R+T+$) RRHH COMUNICA Y EXIGE CUMPLIMIENTO 10

10 Concientización de IT Concientización técnica Plataformas tecnológicas segurizadas y actualizadas Vulnerability Assessment como práctica habitual periódica Compliance Políticas, Normas, leyes y regulaciones Auditoría de Cumplimiento 11

11 Concientización de Appl.Dev. Concientización técnica Técnicas de Programación Segura (OWASP) SQL Inj. XSS - XSRF Vulnerabilidades de Plataformas tecnológicas Code Vulnerability Assessment como práctica habitual Concientización en las Políticas de Desarrollo Entornos separados y controlados de Desarrollo, Testing y Producción Archivos de Prueba especialmente generados por programas controlados Control de Versionado de Aplicaciones (Bibliotecas) Documentación actualizada y resguardada siempre Auditoría de Cumplimiento Code Testing & Review Verificación de cumplimiento de Políticas de Desarrollo 12

12 Concientización del Personal Concientización en Seguridad Seguridad en el Hogar Riesgos de los Menores y Adolescentes en Internet Seguridad Urbana Comportamiento en Redes Sociales (Social Engineering) Protección de los Information Assets Responsabilidades Conocimiento de todas las Políticas de Seguridad de la Información de la Organización Concientización en las Políticas de Uso Correcto de los Activos de Información (por RRHH) Uso correcto del Laboral (dominio) Uso correcto de los recursos de acceso a Internet Uso del ancho de banda Acceso a contenidos inapropiados (Explicar el filtro de Contenidos) Almacenamiento de contenidos inapropiados en su PC Responsabilidad del resguardo de información de workstations Protagonismo en ejercer el cumplimiento de las políticas de Seguridad de la Información Responsabilidad primaria de controlar el cumplimiento por los jefes y supervisores directos Informar y registrar siempre cualquier incidente de Seguridad 13

13 Seguridad en Redes Sociales Principales riesgos por la información brindada No tener correctamente seteados los parámetros de Seguridad de acceso a la info Exceso de información privada (facilita enormemente a la Ingeniería Social) Imágenes en exceso de familiares del titular (facilitan secuestros reales o virtuales) Imágenes de Auto, Vivienda o Casa de Fin de Semana (demuestra poder adquisitivo disponible, y por ende nivel de rescate a solicitar) Imágenes de los menores en la sede de su Colegio (ídem anterior + identificación del lugar) Fotos de destino de Vacaciones (demuestra poder adquisitivo disponible) Fotos y/o comentarios que demuestran que el individuo está fuera de su casa, ya sea viaje de negocios o placer (facilita el robo de la vivienda) Comentarios en el muro, que demuestren proyectos futuros de inversión Fotos de menores que brinden una imagen equivocada respecto de su tipo de vida y moral Principales riesgos de las aplicaciones No todas son inocentes (algunas son códigos maliciosos) Las aplicaciones que aceptemos, dicen claramente que podrán ver todo nuestro perfil, contactos y contenidos, que podrán enviar s en nuestro nombre, etc Ataques de LIKEJACKING (dar me gusta a cualquier cosa, donde facilitamos la descarga de código malicioso) Perfiles falsos y fraudulentos Invitaciones Falsas 14

14 Conclusiones y Recomendaciones La Seguridad de la Información es una disciplina, y como tal, debe enseñarse la práctica de la misma Introducir los conceptos de Seguridad de la Información dentro de la Cultura de la Organización Fijar lineamientos claros de interpretar, de cumplir y de controlar Las Políticas deben ser desarrolladas objetivamente La concientización en Seguridad debe darle un valor personal al empleado, no sólo laboral. Recordar que Security Awareness es un proceso contínuo de largo plazo (métricas) 15

15 16