PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

Transcripción

1 PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

2 AGENDA Una mirada actual Regulaciones Requerimientos de Gestión de Riesgo Requerimientos PCI Payment Card Industry Defensa en Profundidad - Estrategia para la implementación de Seguridad de la Información Definiciones Diseño y componentes de la Defensa en Profundidad Riesgos Seguridad - Continuidad Estrategia de Implementación

4 Una mirada actual REGULACION 40+ countries have adopted e-commerce laws OPERACION 052 GLBA Consolidacion infraestructura Interoperabilidad diversos sistemas Flexibilidad a cambios tecnológicos ISO PATRIOT Sarbanes-Oxley FISMA Basel II CIRCULAR NERC 834 AS/NZS4360 CIRCULAR Complejidad IT EU Data Protection Privacy PCI Security Standard Demanda de conectividad y disponibilidad Administración sistemas de seguridad SEGURIDAD Vulnerabilidades (Aplicaciones, Hardware, procesos, comunicaciones) Disponibilidad de servicios Fraude, suplantación de identidad, integridad de información, robo de la información Aseguramiento de comunicaciones Continuidad del Negocio

5 A cualquier hora y en cualquier lugar!! Servicios Financieros Regulaciones del Gobierno Servicios Almacenes CLIENTES Comunicaciones i Terminales Empresas Centros de Logística Estaciones de Servicio i

6 El reto Hoy: Interconectividad e Interoperabilidad

7 RESULTADO: Gran demanda en nuestra infraestructura Una mayor infraestructura: Posee flexibilidad y agilidad a los cambios de nuestras necesidades empresariales? Más costos en nuestra Customers tecnología IT, personas y Información Suppliers Partners procesos Más procesos, mayor posibilidad de vulnerabilidad Se dificulta cumplir con las regulaciones Asegurar la información, su disponibilidad e integridad 24x7 es más complejo Ya no es claro donde inicia y termina el perímetro Security Users Clients Gateway Network Servers Application Database Storage Availability

9 Qué Establecen Los Requerimientos de Gestión de Riesgos Operativos? Que las instituciones deben contar con un sistema para la gestión del riesgo operativo que les permita identificar, medir, controlar, mitigar y monitorear los riesgos derivados d de las fallas en: Los procesos Las personas Las tecnologías de información Los eventos externos, incluyendo el riesgo legal

10 Riesgos de las Tecnologías de Información Para una adecuada gestión del riesgo, las instituciones deben disponer de políticas, procesos y procedimientos que aseguren una adecuada planificación y administración de las tecnologías de información para garantizar que: La administración de TI es adecuada para soportar los requerimientos actuales y futuros de la entidad Las operaciones de TI satisfacen los requerimientos de la entidad Los recursos y servicios provistos por terceros se administran adecuadamente y se monitorean su efectividad y eficiencia El proceso de adquisición, desarrollo, implementación y mantenimiento de aplicaciones satisfacen los objetivos del negocio La infraestructura tecnológica se administra y monitorea de manera adecuada.

11 Disposiciones en Seguridad De la Información Las instituciones deben disponer de políticas, procesos y procedimientos que aseguren: Que el sistema de administración de seguridad de la información satisfaga las necesidades de la entidad para salvaguardar la información contra el uso, revelación y modificación no autorizados, así como daños y pérdidas Que exista continuidad en la operación de la institución frente a eventos imprevistos en las tecnologías de información Que los planes de contingencia y continuidad garanticen la capacidad para operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del negocio, implementando además un proceso de administración de la continuidad del negocio

12 Qué es PCI DSS? Requerimientos e de Seguridad desarrollados ados por Mastercard International y Visa para la protección de los datos de tarjetahabientes.

13 Campo de Aplicación Miembros, comerciantes y proveedores de servicios de almacenamiento, procesamiento o transmisión de datos de tarjetahabientes. Componentes de sistemas (redes, servidores y aplicaciones) i inc luidos o conectados a los ambientes de datos de tarjetahabientes.

14 Requerimientos 1. Construir y mantener una red segura 2. Protección de los datos de tarjetahabientes 3. Mantener un programa de administración de vulnerabilidades 4. Implementar fuertes medidas de control de acceso 5. Monitoreo y pruebas regulares a la red 6 M t líti d id d d l 6. Mantener una política de seguridad de la información

15 El reto Hoy: Interconectividad e Interoperabilidad

16 AGENDA Una mirada actual Regulaciones Requerimientos Gestión de Riesgo Requerimientos PCI Payment Card Industry Defensa en Profundidad - Estrategia para la implementación de Seguridad de la Información Definiciones Diseño y componentes de la Defensa en Profundidad Riesgos Seguridad - Continuidad Estrategia de Implementación

17 DEFENSA EN PROFUNDIDAD Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capa de seguridad, el trabajo del atacante se hace sencillo. Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, es infalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad se aumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar las intrusiones y los ataques justo cuando estos ocurren. La filosofía Defense in Depth establece que: los sistemas de seguridad de un sistema deben ser entendidos y contenidos dentro de capas, cada una independiente DATOS de la anterior de forma funcional y conceptual. Seguridad Lógica Seguridad Fisica

18 DEFENSA EN PROFUNDIDAD CONCEPTOS DE DISEÑO EVALUACIÓN DE RIESGOS ESTRATEGIAS Y ESTÁNDARES ZONAS SEGURAS ENDURECIMIENTO DE SISTEMAS Endurecimiento del Sistema Operacional Eliminar servicios no requeridos Actualización periódica de parches (sistemas operativos y aplicaciones) Desactivar protocolos no encriptados Protección contra virus Renombrar cuentas de administrador Cambiar passwords por defecto Desactivar ar cuentas de invitadoitado No permitir anonimus FTP Incrementar tamaño de archivos de log Permisos sobre directorios, archivos y otros objetos Desplegar mensajes de alerta Implementar el concepto de menor privilegio Separación de funciones COMPONENTES ENRUTADORES SWITCHES FIREWALLS ACCESO REMOTO VPN ACCESO REMOTO DIAL UP REDES INALAMBRICAS DETECCIÓN DE INTRUSIONES EVALUACION DE LA SEGURIDAD DE LA RED Análisis de vulnerabilidades

19 EL RETO ES MÁS COMPLEJO: IInterconectividad, i id d, IInteroperabilidad, bilid d S id d Interconectividad Seguridad DATOS APLICACIÓN SERVIDORES RED PERIMETRO SEGURIDAD FÍSICA PROCEDIMIENTOS

20 SEGURIDAD ES UN PROCESO DE GESTIÓN DE RIESGOS!!!

21 Mapa de Riesgos: Correlación, Procesos y Tecnologías Servicios S i i Por Internet Cuentas Corrientes Tarjetas T j t MAPADeDE Crédito Otros Ot Call Cajeros ProductosDEL NEGOCIO RIESGOS Center Electrónicos Financieros Procesos Tarjeta Portal Crédito y Y De VULNERABILIDADES Y AMENAZAS EN WEB Cartera Canje Crédito Procesos d P dell Negocio Sistemas de Cuentas Autorizados PROCESAMIENTOS DEInformación DATOS Corrientes Activos VULNERABILIDADES Y AMENAZAS TÉCNICAS Servidor de Aplicaciones Infraestructura Usuarios Centro de Cómputo Cadena de Valor Director De TI Router Firewall Estación de Trabajo

22 Proceso de construcción del Mapa de Riesgos Tecnológicos 1. Levantamiento de Información (conocimiento del negocio) 2. Pruebas de Vulnerabilidad y Hacking Etico (Internet / internas / wireless) 3. Verificación de Líneas Telefónicas 4. Valoración de red ideal segura 5. Pruebas de Ingeniería Social 6. Evaluación de Seguridad Física 7. Evaluación de Código de las Aplicaciones 8. Evaluación del procesamiento de datos 9. Valoración de los controles existentes 10.Generación del mapa de riesgos 11.Implementación de las estrategias de mitigación 12.Monitoreo de los riesgos

23 Pruebas de Penetración Externa Direcciones publicadas en el Internet. Análisis de Vulnerabilidades Pruebas Externas LAN Corporativ a Servidores Servidores Servidores SW VPN1/FireWall-1 LAN Corporativ a FireWall Internet Equip o portátil

24 Pruebas de Penetración Interna LAN Corporativa Análisis de Vulnerabilidades Pruebas Internas Servidores Servidores Servidores Ubicado en cualquier punto de la red de la organización SW Equipo portátil LAN Corporativa FireWall Internet

25 Zonas Seguras INSEGURA DE CONFLICTO Requiere autenticación de acceso a sistemas específicos expuestos al público. Clientes Acceso altamente restringido. Accesos no autorizados se deben detectar en tiempo real Sistemas bajo el control directo de la organización. Los usuarios requieren acceso total a sistemas internos Requiere autenticación fuerte para proteger sistemas expuestos al público. Soporte a vendedores y partners CONFIANZA SEMIPROTEGIDA

26 Valoración de Red Ideal Segura ELEMENTO DE SEGURIDAD PUNTAJE CONTROLES EXISTENTES CONTROLES A IMPLEMENTAR NIVEL IDS E IPS 0 No se encuentran Implementar esquema de 0% implementados identificación y detección de intrusiones VLANs y VLAN ACLs 0 No se encuentran implementados Implementar PVLAN en cada subred Generar VACL dentro de cada red 0% Micro VLAN 0 No se encuentran implementados Realizar segmentación de esta forma o buscar equipos que permitan la segmentación MVLAN sin necesidad de configurar máscara 0% IPSEC 0 No se encuentran Es necesario implementar 0% implementados IPSEC para asegurar encripción de datos Firewall 4 Existen firewalls sque Se deben proteger todas las 80% protegen la red de ataques redes con el firewall externos y en algunos casos Implementar firewall de host de ataques internos para cada equipo

27 Protección de Bases de Datos Autenticación fuerte Auditoría granular Administración y configuración Cifrado (Red, almacén y respaldo) Clasificación de datos Nivel de seguridad por etiquetas Auditoria Forense Segregación de deberes Enmascaramiento de datos Solución de respaldo

28 Estrategias y Estándares: SGSI Dominios cubiertos Por el SGSI Políticas de Seguridad Organización de la Seguridad de la Información Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Gestión de Activos Control de Accesos Conformidad d Seguridad física y del entorno Seguridad en los Recursos Humanos Gestión de Incidentes de seguridad de la Información Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones Adquisición, desarrollo y mantenimiento de sistemas de información

29 EL RETO ES MAS COMPLEJO: Interconectividad Interconectividad,, Interoperabilidad Interoperabilidad, Seguridad DATOS APLICACIÓN Articulación de los conceptos p SERVIDORES de diseño y los componentes de Defensa enredprofundidad mediante el mapa de riesgos y el PERIMETRO SGSI de la SEGURIDAD FÍSICA organización PROCEDIMIENTOS

30 EL RETO ES MAS COMPLEJO: Interconectividad Interconectividad,, Interoperabilidad Interoperabilidad, Seguridad DATOS APLICACIÓN SERVIDORES RED PERIMETRO SEGURIDAD FÍSICA PROCEDIMIENTOS

32 RIESGOS SEGURIDAD - Identificación CONTINUIDAD De Riesgos Riesgos Identificación Riesgos Potenciales Residuales Desastres Naturales Fuego Huracanes Inundaciones Tornados.. Humanos Sabotaje Código Malicioso Errores de Operador.. Tecnológicos Fallas de Hardware Corrupción de datos Caída de telecomunicaciones Fallas de energía eléctrica Evaluación de Riesgos Desastres Naturales Fuego Huracanes Inundaciones Tornados.. Humanos Sabotaje Código Malicioso Errores de Operador.. Tecnológicos Fallas de Hardware Corrupción de datos Caída de telecomunicaciones Fallas de energía eléctrica Controles y Seguridades Controles Administrativos Controles Operacionales Controles Técnicos Desastres Naturales Fuego Huracanes Inundaciones Tornados.. Humanos Sabotaje Código Malicioso Errores de Operador.. Tecnológicos Fallas de Hardware Corrupción de datos Caída de telecomunicaciones Fallas de energía eléctrica C O P N L T A I N N E G S E N D C E I A BCP : La última defensa

34 RETORNO DE LA INVERSIÓN EN SEGURIDAD Implementación de la Estrategia de Seguridad Componente 1 - Estrategia DEFENSA EN PROFUNDIDAD Entrenamiento t Pre - Auditoría Aseguramiento Zonas de Seguridad Estrategias de Continuidad Concientización SISTEMA DE GESTION DE LA SEGURIDAD - SGSI SOA Análisis GAP Políticas Procedimientos Organización del Área de Seguridad Inversión Adicional Pruebas de Ingeniería Social Recolección de Información Evaluación de Seguridad Física MAPA DE RIESGOS BIA Entrevistas t de Pruebas de Vulnerabilidad d y Análisis de Riesgos Etical Hacking Evaluación de Aplicaciones Evaluación de Red Ideal Segura

35 RETORNO DE LA INVERSIÓN EN SEGURIDAD Implementación de la Estrategia de Seguridad Componente 2 - Soluciones DEFENSA EN PROFUNDIDAD Entrenamiento Mantenimiento IPSEC Segmentación Configuración de Equipos FIREWALL Protección DATOS Políticas Protección Redes Inalámbricas Protección de Seguridad VLAN s y IDS / IPS Equipos de Cx Capa 2 y 3 Micro VLAN s DISEÑO DE LA RED IDEAL SEGURA MAPA DE RIESGOS Pruebas de Ingeniería Social Recolección de Información Evaluación de Seguridad Física Entrevistas de Análisis de Riesgos BIA Pruebas de Vulnerabilidad y Etical Hacking Evaluación de Aplicaciones Evaluación de Red Ideal Segura

36 UN SOLO ESFUERZO PARA SATISFACER DIFERENTES REQUERIMIENTOS RETORNO DE LA INVERSIÓN EN SEGURIDAD DEFENSA EN PROFUNDIDAD COSO CIRCULAR 052 / 834 SOX PCI ISO ASNZ 4360 ITIL MAGERIT NIST COBIT SERVICIOS DE SEGURIDAD GESTIONADOS SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN MAPA DE RIESGOS Pruebas de Ingeniería Social Evaluación de Seguridad Física BIA Evaluación de Aplicaciones Recolección de Información Entrevistas de Análisis i de Riesgos Pruebas de Vulnerabilidad y Etical Hacking Evaluación de Red Ideal Segura

37 GRACIAS!!! Ramiro Merchán, CISA, GSEC