Ciberdefensa Desafíos tecnológicos. Hugo Carrión G. Junio, 2014

Transcripción

1 Ciberdefensa Desafíos tecnológicos Hugo Carrión G. Junio, 2014

2 Clasificación y Control de Activos El nuevo valor de la información requiere indiscutiblemente un alto nivel de seguridad a fin de lograr mantener: Confidencialidad Integridad Disponibilidad

3 Confidencialidad 1. PÚBLICO- Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado o no. 2. USO INTERNO - Información que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para la entidad o terceros. 3. CONFIDENCIAL - Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas para la entidad o terceros. 4. SECRETA - Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves para la entidad o terceros.

4 Integridad 1. Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria. 2. Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas leves. 3. Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas. 4. Información cuya modificación no autorizada no podría repararse, ocasionando pérdidas graves.

5 Disponibilidad 1. Información cuya inaccesibilidad no afecta la operación. 2. Información cuya inaccesibilidad permanente durante una semana podría ocasionar pérdidas significativas. 3. Información cuya inaccesibilidad permanente durante un día podría ocasionar pérdidas significativas. 4. Información cuya inaccesibilidad permanente durante una hora podría ocasionar pérdidas significativas.

6 Niveles de control Control Control Control Identidades Accesos Información Administrar y gobernar la identidad y que es lo que pueden acceder basado en el rol Control de acceso a sistemas y aplicaciones a través de ambientes físicos, virtuales y la nube Encontrar, clasificar y control como es que la información es utilizada basada en el contenido de la identidad Content-, identity and access management 6

7 Gestión del Ciclo de Vida de Identidades Control Identidades Empleados, Contratistas, Usuarios Privilegiados Consumidores Ecosistemas de Partners Partners Capacidades Identity Governance Role Management Provisioning User Activity Reporting 7

8 Autenticación y Autorización Control Cloud Network UNIX/Linux Databases Accesos Virtual Applications Windows Storage Capacidades Web Access Management Privileged User Management Virtualization Security Authentication/Fraud Mgmt 8

9 Control y Protección de la Información Control Datos regulados PII/PHI Información Propiedad Intelectual Datos corporativos Capacidades Descubrimiento de la Información Clasificación Gestión de Políticas de Uso de Datos 9

10 Vulnerabilidades más comunes Vulnerabilidades Hack Passwords Configuración Incorrecta Ingeniería Social Seguridad Débil Transferencia de datos sin encriptar Software sin parche de seguridad Ejemplos Uso de passwords default o en blanco Passwords predecibles Usuarios con privilegios excesivos Aplicaciones corriendo sin autorización Administradores que resetean passwords sin verificar la identidad del llamado Servicios no usados y puertos inseguros Firewalls y Routers usados incorrectamente Paquetes de autenticación en texto plano Datos importantes sin encriptar vía Internet Service Packs no mantenidos Antivirus sin actualizar

11 Qué representan estos números en seguridad? Costo promedio de una brecha de seguridad, $ 124 por registro comprometido (2010), siendo la negligencia la causa principal Ponemon Institute - CA-sponsored survey 48% 87% 74% Porcentaje de todas las brechas de seguridad, involucraron un mal uso de usuario privilegiado Verizon report, 2010 Porcentaje de las organizaciones que experimentaron una brecha de datos IT Compliance Institute Porcentaje de las organizaciones que sufrieron brechas perdieron clientes como resultado de la brecha IT Compliance Institute 11

12 Es posible tener DEMASIADA Seguridad?

13 Un enfoque UNIFICADO de Seguridad Pasando del No te permito a Conocer porqué Apps Privileged Users Servers Web Servers Servicio de Seguridad Web Services Seguridad de CONOCER Conocer Usuario, acceso, datos,actividad Infrastructura de Seguridad Seguridad del NO No Viruses, Spyware, Vulnerabilidades, intrusiones Trojans Spam Worms Spyware 13

14 Servicio de Seguridad El Desafío Principal Conectar los usuarios a la información Parece simple, no?

15 En realidad es BASTANTE más complicado Ayudar a que la gente correcta tenga el acceso correcto a la información correcta en el momento correcto Empleados, Contratados, Usuarios Privilegiados Portales Sistemas de Seguridad Se tiene que Autenticar Gente Servicios Dispositivos Clientes Cadena de Valor Partners Servidores Aplicaciones Información Directorios Sistemas Operativos Se tiene que Autorizar a: Sistemas Aplicaciones Uso de la Información Se tiene que Reportar : Actividad Usuario Actividad Información Actividad Privilegiada Privacidad/Compliance

16 Modelo Tradicional de IAM se queda CORTO Identidades Roles Permisos DLP Tradicional IAM Tradicional Información Clasificación Control Accesos Politicas Refuerzo Granular 16

17 Proceso de la Vida Real de Control de Identidad y Acceso En la vida real, basta con la Identidad y el Acceso? 17

18 Proceso de la Vida Real de Control de Identidad y Acceso + el CONTENIDO Contenido debe ser comprendido e integrado en el proceso 18

19 Migrando de IAM a Inteligencia en la Identidad Identidades Roles Permisos Gobierno de Identidades Scoring de Riesgos DLP Centrado en Identidades Inteligencia IAM basado en Contenido Información Clasificación Control basado en Identidades Atributos de Identidades Accesos Politicas Refuerzo granular basado en contenido 19

20 Mayor información Hugo Carrión G. IMAGINAR Centro de Investigación para la Sociedad de la Información Quito-Ecuador Teléfono: Móvil: Skype: hcarrion