Advisor. Seguridad de la Información. Tecnología y procesos para la protección y combate de amenazas

Transcripción

1 Enfoque Mitigación de Riesgos Tecnología Seguridad de Redes Sector Grandes Corporaciones Geografía América Latina Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas

2 2010 Indice Introducción Una red más grande, pero con más amenazas Un mundo peligroso La seguridad tratada de manera amplia SOC Knock-out a las amenazas Consideraciones finales Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

3 Introducción Actualmente asistimos a un crecimiento acelerado del número de usuarios y servicios de Internet. Cada vez más personas acceden a la red, a través de una diversidad cada vez mayor de canales, con los más diversos fines: desde leer noticias, hacer compras, intercambiar mensajes y archivos con amigos, hasta ver películas enteras en alta resolución y colaborar on-line para la creación de contenidos. Ese crecimiento acelerado tiene también un aspecto negativo: la combinación de un número creciente de usuarios y de amenazas, tales como virus y ataques, que hacen de Internet un ambiente potencialmente vulnerable. Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 3

4 Una red más grande, pero con más amenazas En América Latina y en el mundo, el uso de Internet se expande rápidamente. A pesar de que estamos muy por debajo en términos de penetración, si comparamos con países desarrollados, las tasas de crecimiento del servicio de Internet son significativas. La competencia del mercado combinada con la búsqueda voluntaria por parte de la población, especialmente de las nuevas generaciones, de los servicios y el desarrollo tecnológico (como el acceso móvil) resulta en una gran cantidad de oportunidades y perspectivas. El escenario se vuelve aún más positivo cuando sumamos a ese contexto la posibilidad de apoyo gubernamental. Bajo una perspectiva más crítica, una red de telecomunicaciones en plena expansión y una base creciente de usuarios principiantes pueden ser un ambiente propicio para la proliferación de amenazas como virus, troyanos y otros usos indebidos de Internet, tales como fraudes o ataques de denegación del servicio. El aumento del número de amenazas, que por sí solo ya es preocupante, encuentra un ambiente que se expande más rápidamente que la capacidad de protegerse. Además, los nuevos medios de acceso, como teléfonos celulares, electrodomésticos y dispositivos personales, a pesar de tener recursos cada vez más próximos a los desktops y notebooks, tienen una tendencia a presentar un abordaje menos rígido en cuestiones de seguridad. La propia movilidad que esos dispositivos proporcionan torna la cuestión de seguridad más complicada. El escenario es de optimismo, pero requiere cautela y acciones estructuradas. La seguridad de la información debe ser una pauta presente en las diversas esferas en que actúa Internet, desde las redes de telecomunicaciones, el ambiente corporativo y el uso doméstico de los servicios. 4 Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

5 El aumento del número de amenazas, que por sí solo ya es preocupante, encuentra un ambiente que se expande más rápidamente que la capacidad de protegerse Figura 1 Crecimiento de Internet en América Latina (Argentina, Chile, Colombia, Méjico, Venezuela) 8% Usuarios de banda ancha (000) 6% 4% 2% 3% 4.232, , , , , Proporción de domicilios con acceso a Internet (Porcentual sobre el total de domicilios en zona urbana) Fuente: ITU Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 5

6 Un mundo peligroso Un análisis del ambiente muestra que el tratamiento del problema puede ser más trabajoso de lo que el sentido común nos llevaría a creer. Las diversas amenazas causadas por cuestiones de seguridad (ej: virus, spams y ataques) pueden tener causas bien diferentes, como problemas de protección de la red, dispositivos desprotegidos o usuarios incautos/ malintencionados, trayendo como impacto daños de imagen (pérdida de datos de clientes o websites violados), reducción de eficiencia de la red o incluso denegación del servicio y daños financieros causados por fraudes. Quedó atrás el tiempo en que la principal preocupación de la seguridad en una empresa era la protección contra los virus informáticos. Las amenazas actualmente se presentan en gran cantidad y variedad. En una única sesión en la computadora, un usuario puede ser expuesto a decenas de diferentes amenazas electrónicas. Hasta fue creada una expresión para referirse a esa nueva serie de software indeseable: malware. Actualmente los virus informáticos perdieron importancia frente a otros tipos de malware cuya intención no es, necesariamente, dañar los archivos de la computadora o dificultar la vida del usuario, sino buscar informaciones personales u obtener el control de sus máquinas. A partir de ahí, los responsables por ese malware pueden lograr beneficios financieros de diversas formas, ya sea usurpando la personalidad del usuario, como con el alquiler de redes de computadoras-zombis, que permite que las computadoras de los usuarios sean utilizadas para spam y ataques a determinadas redes y sistemas. Esas redes son también llamadas botnets. Figura 2 Amenazas, vulnerabilidad e impactos de seguridad Amenazas Vulnerabilidades Impactos Malware (spams, virus, rootkits) Phishing social Fuente: Logicalis 6 Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

7 El ambiente externo más hostil combinado con menos protección es el escenario propicio para que ocurran problemas Las amenazas son potenciadas por fallas de seguridad o vulnerabilidad de los más diversos tipos: redes no protegidas o no monitoreadas, sistemas sin control de acceso o con permisos de acceso muy amplios pueden permitir que ocurran incidentes de seguridad. El ambiente externo más hostil combinado con menor protección es un escenario propicio para la aparición de problemas. Las fallas de seguridad existen no sólo como consecuencia de vulnerabilidades de origen tecnológico, sino también por fallas de procedimientos y políticas de la organización. Usuarios incautos (cuando no malintencionados), procesos no definidos y no estandarizados, falta de documentación, entre otras, pueden ser causa de eventos graves de seguridad. Una organización puede tener los mejores sistemas de seguridad y aún así estará sujeta a incidentes si esas inversiones no son acompañadas por políticas y procesos bien establecidos. El abanico de amenazas es tan diverso como sus consecuencias. Desde simples ataques a los websites, daños a una o varias máquinas debido a virus y reducción de eficiencia causada por spams, hasta la denegación del servicio (denial of service) y robos de informaciones para uso fraudulento (phishing), las amenazas de seguridad vienen ganando proporciones más serias y dañinas para los proveedores de servicios. Figura 3 Aumento de las amenazas de seguridad 45 Malware Exclusivo (incluidas variantes) en base de datos (millones) ene/10 feb/10 mar/10 abr/10 may/10 jun/10 Velocidad de ataques DdoS (Gbps) Fuentes: Arbor ISR 2009, McAfee Labs Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 7

8 La seguridad tratada de manera amplia Las acciones para atenuar las amenazas deben ser tomadas de manera amplia, con el objetivo de disminuir las vulnerabilidades en los diversos eslabones de la red: desde la salida a Internet, pasando por la red del proveedor de servicios, hasta el ambiente corporativo o doméstico. Sólo con monitoreo, protección y tratamiento de incidentes de seguridad en toda la extensión de la cadena es posible tener visibilidad y promover acciones que disminuyan los riesgos para el servicio y para los usuarios de las redes de comunicación. Los usuarios, sean ellos corporaciones o individuos, deben considerar soluciones que posibiliten el monitoreo, control y protección de sus redes y computadoras contra ataques y otras amenazas. Debido al aumento de la complejidad para mantenerse actualizado en cuanto a las amenazas y soluciones, una opción que viene ganando espacio es la contratación de seguridad de red como servicio, ofrecido por proveedores de servicios y empresas especializadas (seguridad gerenciada). El uso de soluciones Figura 4 Abordaje amplio de seguridad - Ambiente corporativo Internet Proveedor de servicios de telecomunicaciones Ambiente doméstico 8 Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

9 "Si para los usuarios la misión de mantenerse protegidos ya parece una tarea ardua, para los proveedores de servicios de telecomunicaciones el desafío es todavía aún más complejo." tecnológicas de seguridad, sean propias o contratadas a terceros, deben venir siempre acompañadas de procedimientos/políticas de concientización en cuanto a los riesgos de seguridad. Figura 5 Soluciones tecnológicas de seguridad Si para los usuarios la misión de mantenerse protegidos ya parece una tarea ardua, para los proveedores de servicios de telecomunicaciones el desafío es aún más complejo. Los mismos deben garantizar la visibilidad de los eventos en la red a lo largo de todo su dominio, desde la entrada o salida de Internet, hasta el acceso a los usuarios de los servicios de conectividad. Monitorear el tráfico y poder controlarlo, identificar y bloquear ataques, controlar el acceso a la red de profesionales o terceros son apenas algunos de los requisitos para una gestión más segura de la red. El abanico de soluciones que pueden ser utilizadas es tan diversificado como el de posibles amenazas. Otra perspectiva que debe ser considerada es la de no desvincular la seguridad de la información. Uno de los objetivos primordiales de la seguridad de la información es proteger los datos traficados y almacenados y no sólo a una red o una computadora. Es decir, la protección en el nivel de la red debe ser siempre acompañada de mecanismos que disminuyan los riesgos de exposición o pérdida de informaciones confidenciales en las actividades operacionales. El uso de claves, documentos y archivos debe ser tratado siguiendo políticas bien definidas y divulgadas, con el soporte de procesos y herramientas que monitoreen y evalúen su correcta utilización, además de los programas de concientización de los usuarios y la capacitación en seguridad. - Virus - Spam - Pishing - Adwares Firewalls Lawful interception Trouble-tickets Fuente: Logicalis Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 9

10 SOC - knock-out a las amenazas Frente a esa amplitud de amenazas, soluciones tecnológicas y acciones necesarias, cómo es posible coordinar las actividades de seguridad dentro de la empresa? Una forma estructurada de actuar sobre estos puntos es el establecimiento de un SOC -Security Operations Center, una entidad avanzada de monitoreo, detección y acción sobre eventos de seguridad y desarrollo de prácticas y políticas corporativas. Con una visión end-to-end de los procesos de seguridad, es posible actuar y administrar los aspectos más críticos de todo el ciclo de gestión: Instalación de nuevos equipos en la red; sean ellos soluciones de seguridad, como firewalls, o servidores y routers. Asignación, rastreo y retiro de acceso a los equipos por profesionales y terceros. Recolección de logs y eventos de los equipos. Correlación de los datos recolectados, generación de alarmas y tratamiento de incidentes. Generación de soluciones a los problemas raíz Desarrollo de nuevas soluciones, nuevos procesos y mejora de la infraestructura tecnológica para monitoreo y actuación. Con esas actividades básicas, la empresa obtiene prácticas para actuar sobre incidentes, una visión más inmediata para defenderse de ataques y también procesos para lograr la disminución de la vulnerabilidad, diseños de procesos y políticas; además de buscar soluciones más avanzadas para protección de la red, en un abordaje de largo plazo. La combinación de esas prácticas de acción instantánea con diseños de proyectos de mejora a largo plazo establece un ambiente más seguro y monitoreado en relación a la seguridad. Algunos desafíos enfrentados por gestores de SOC son la dificultad de estructurar equipos con la capacitación y la certificación necesarias, la necesidad de detallar los procesos de gestión de incidentes de seguridad, además de la selección e implementación de las mejores herramientas para la operación del SOC. El tema de la seguridad no es nuevo, pero el establecimiento de una visión estructurada para su tratamiento aún lo es. Una importante perspectiva para el SOC es su relación con entidades externas, sean ellas órganos legales, para lawful interception y combate de crímenes cibernéticos, o se trate de entidades neutras de monitoreo de seguridad (ej.: arcert.gov.ar; clcert.cl; pecert.gob.pe; cert.uy). Aunque el SOC pueda ser visto como un elemento de competitividad y disponibilidad de servicio para las prestadoras de servicio de telecomunicaciones, la cooperación entre profesionales y equipos no es rara, dado que existe una amenaza común que ataca indiscriminadamente. Relación con los diversos stakeholders del proceso, incluyendo clientes (externos e internos), otras operadoras y empresas y órganos legales. 10 Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

11 "El tema seguridad no es nuevo, pero el establecimiento de una visión estructurada para su tratamiento aún es reciente." Figura 6 Visión Logicalis de SOC Security Operations Center Relacionamiento con el cliente IMAC Entrada de terceros Soporte a investigaciones Gestión de desempeño Implementación Acceso Evento Entrada de nuevo equipamiento Validación de pedido de acceso Recolección de logs y datos Incidente Problema Seguridad de la información Análisis de vulnerabilidad Definición de perfiles y derechos Normatización Recibimiento de pedido y detección Validación de pedido Análisis/ Elaboración de corrección Disponibilidad/ DRP Capacitación y entrenamiento Definición de requisitos de seguridad Soporte al monitoreo Correlación Clasificación Consulta/ Inclusión base Ejecución de corrección Gestión del riesgo Gestión de conformidad Configuración Rastreamiento de acceso Investigación/ Análisis RCA Gestión de cambios Políticas y normas de seguridad Mejora de procesos Liberación para implementación Gestión de actualizaciones Remoción/Res tricción de acceso Notificación Escalonamiento Resolución/ Cierre Desarrollo de la solución Búsqueda de soluciones/ Sourcing Implantación de soluciones IMAC : Install, Moves, Adds and Changes Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 11

12 Consideraciones finales Soluciones combinadas de consultoría y tecnología La seguridad de la información y de redes debe ser tratada con abordajes que consideren tanto los aspectos tecnológicos como de procesos, incluyendo el conocimiento sobre los diferentes tipos de amenazas y soluciones posibles, los diferentes tipos de herramientas para protección, monitoreo y disminución de riesgos, además de conocimiento de características específicas para los diferentes ambientes (redes corporativas, redes de proveedores de servicios de telecomunicaciones). Tal abordaje requiere la combinación de skills de procesos de gestión de seguridad y conocimiento profundo sobre las tecnologías de red e infraestructura de TI, así como las soluciones de seguridad aplicables para garantizar mayor 12 Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

13 protección y viabilidad. Conciliar todas estas especialidades en un mismo equipo y mantener neutralidad respecto a las influencias de proveedores de tecnologías específicas es una misión compleja. Con un ecosistema amplio de socios tecnológicos para las más diversas demandas de seguridad así como un equipo altamente especializado de consultores especialistas en prácticas de seguridad de la información y de red, Logicalis puede ser el socio ideal en el diseño, implementación y operación de nuevos servicios (seguridad gerenciada), modelos de operación (SOC) y soluciones tecnológicas de seguridad. Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 13

14 Advisor es una publicación de Logicalis. Este documento contiene informaciones propiedad de Logicalis, de sus subsidiarias y asociadas, y son protegidas por la legislación vigente. Reproducción total o parcial de esta obra sólo con previa autorización de Logicalis. Las informaciones contenidas en esta publicación son basadas en conceptos testeados y empleados en el desarrollo de proyectos específicos y gestión sujetas a alteraciones de acuerdo al escenario de mercado y los objetivos de cada proyecto. ALEXANDRE MURAKAMI Gerente de Seguridad de la Información YASSUKI TAKANO Gerente de Consultoría LEANDRO MALANDRÍN Consultor IGNACIO PERRONE Gerente de Consultoría Logicalis Southern Cone Con 10 años de experiencia en seguridad de la información, actuó en el diseño e implementación de proyectos para operadoras de telecomunicaciones y grandes corporaciones, además de haber participado del proyecto de informatización del sistema electoral en Brasil. Graduado en Ciencias de la Computación en la UNESP y Pos-Graduado en Administración de Empresas en la ESAN, es Profesor en el Grupo Veris Educacional. Con más de 10 años de experiencia en consultoría, actuó en un sinnúmero de proyectos de diseño e implementación de nuevos modelos de servicios y operación, y en el desarrollo de soluciones de automación de procesos. Actuó como Consultor en Roland Berger. Es ingeniero graduado en el ITA y está haciendo una Maestría en Administración de Empresas en la FGV. Con experiencia en proyectos de modelaje de Centros de Operaciones de Seguridad y Evaluación de la gestión y de seguridad de la información para diversas organizaciones. Actuó en investigaciones relacionadas a la criptografía, protocolos de seguridad y análisis de malwares. Graduado en Ingeniaría de la Computación en la POLI-USP y con especialización de la UIUC (Illinois, EUA). Con más de 10 años de experiencia en consultoría y TIC, en su anterior posición lideró el equipo de telecomunicaciones de América Latina en Frost & Sullivan, habiendo trabajado también en The Yankee Group y Pyramid Research. Magister en Sociología Económica por la UNSaM y Licenciado en Sociología por la UBA. alexandre.murakami@br.promonlogicalis.com +55(11) yassuki.takano@br.promonlogicalis.com +55(11) leandro.malandrin@br.promonlogicalis.com +55(11) ignacio.perrone@la.logicalis.com +54 (11) Para saber más sobre éste y otros asuntos y conocer lo que podemos hacer por su empresa, contáctese con nosotros: advisor@la.logicalis.com Director responsable Luis Minoru luis.minoru@br. promonlogicalis.com 14 Advisor Análisis independiente de tendencias tecnológicas para profesionales de TIC

15 Logicalis Con más de veinte años de experiencia en tecnología, Logicalis trabaja de manera activa en el diseño y la implementación de soluciones de seguridad de información y redes para sus clientes. Logicalis utiliza procedimientos que siguen las mejores prácticas y políticas de seguridad, aplicando internamente las recomendaciones y soluciones que luego propone e implementa en los proyectos de sus clientes. La combinación de profesionales con elevado nivel de capacitación y certificación con un ecosistema de socios tecnológicos enfocados en seguridad (Cisco, Arbor, Blue Coat, F5, Fortinet, Mc Afee) le permite realizar el diseño de las soluciones más apropiadas para cada demanda. Seguridad de la Información Tecnología y procesos para la protección y combate de amenazas 15

16 Logicalis 2010