Auditoría, Cumplimiento y Seguridad: El Triángulo Digital de las Bermudas

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Auditoría, Cumplimiento y Seguridad: El Triángulo Digital de las Bermudas"

Nicolás Alfredo Robles Pérez
hace 6 años
Vistas:

comentarios e información derivada representan únicamente el

2 Auditoría, Cumplimiento y Seguridad: El Triángulo Digital de las Bermudas Arturo García Hernández * (MSc, MSN, DSE, CISM) * Los comentarios e información derivada representan únicamente el punto de vista del expositor. Monterrey, Nuevo León. Diciembre

3 Agenda Objetivo El Triángulo Digital de las Bermudas Problemática Modelo Tradicional de Navegación Un paso más allá: GRIC Conclusiones 3

4 Objetivo Describir los retos que las organizaciones se enfrentan en los mares digitales contemporáneos y compartir algunos prácticas para que puedan navegar con mayor certeza en aguas turbulentas y misteriosas. 4

5 Triángulo de las Bermudas 5

6 Triángulo Digital de las Bermudas Seguridad Partes interesadas (stakeholders) Organización Auditoría Cumplimiento 6

7 Definiciones Auditoría: Inspección y verificación formal para validar que un estándar o conjunto de lineamientos están siendo atendidos, que los registros son precisos, o que los objetivos de eficiencia y eficacia están siendo alcanzados. Cumplimiento: Adherirse a requerimientos mandatorios definidos por las leyes y regulaciones, así como a requerimientos voluntarios resultado de obligaciones contractuales y políticas internas. Seguridad de la Información: Asegurar que dentro de la organización, la información está protegida contra la divulgación de parte de usuarios no autorizados (confidencialidad), modificación no apropiada (integridad), y al no acceso cuando se requiera (disponibilidad). Fuente: 7

8 Problemática La ausencia de un objetivo en común provoca en ocasiones una lucha interna en la cual se han perdido muchas organizaciones. Seguridad Organización Partes interesadas (stakeholders) Auditoría Cumplimiento 8

9 2017 Qué fue lo que falló?: A)Auditoría B)Cumplimiento C)Seguridad D)Algunas de las anteriores E)Todas las anteriores F)Ninguna de las anteriores Fuente:

10 Auditoría de Seguridad La auditoría de seguridad da certeza de la seguridad de la información de una organización? Cómo auditan la efectividad del programa y los controles de la seguridad de la información?

11 11

12 Modelo Tradicional de Navegación 12

13 Modelos Tradicionales de Gobernanza (1 de 2) Comúnmente los modelos tradicionales pretenden maximizar la navegación segura y efectiva satisfaciendo las siguientes necesidades: Alineación estratégica Entrega de valor Administración de recursos Administración del riesgo Medición del desempeño Cumpliendo con los requerimientos regulatorios y contractuales. 13

14 Modelos Tradicionales de Gobernanza (2 de 2) El modelo tradicional de gobierno de TI integra la implementación generalmente de varios marcos de trabajo líderes en mercado. Por ejemplo para ISACA: COBIT ISO27001 ITIL Auditoria Gobierno Seguridad Organización Cumplimiento Partes interesadas (stakeholders)

15 15

16 Un paso más allá Navegar en aguas profundas y turbulentas 16

17 Retos actuales Los mares actuales cada vez están más agitados y muchas organizaciones, particularmente las infraestructuras críticas de información (ICI), requieren modelos de seguridad que enfrenten exitosamente los retos actuales. Se requiere incorporar prácticas robustas en la estrategia de protección digital de las organizaciones para maximizar su nivel de resiliencia. 17

Ciberseguridad: A) Inteligencia de ciberamenazas B) Cacería de

18 El GRIC GRIC (Gobierno para la Resiliencia de Infraestructuras Críticas) Gobierno Seguridad Reforzado por las buenas prácticas de la Ciberseguridad: A) Inteligencia de ciberamenazas B) Cacería de ciberamenazas C) Red Team Organización Partes interesadas (stakeholders) Auditoria Cumplimiento 18

19 19

20 A) Inteligencia de ciberamenazas (Cyber Threat Intelligence) Definición: Proceso de adquisición y análisis de información para identificar, rastrear, predecir y contrarrestar las capacidades, intenciones y actividades de adversarios (atacantes), y ofrecer cursos de acción con base en el contexto particular de las organizaciones. Se apoya de investigación en fuentes abiertas, monitoreo de Deep Web y Dark Web, canales IRC, etc. Beneficios: Identificación de capacidades y técnicas de amenazas reales, nuevas y existentes. Búsqueda de posibles campañas actuales que se estén orquestando. Identificación de información que podría permitir la anticipación a posibles ataques. Información de otras organizaciones que han sido comprometidas antes de ser publicada en la Clear Web. Fuente: 20

21 Tipos de web Clear Web: todos los sitios web que pueden ser indexados (encontrados) por buscadores tradicionales como Bing, Google o Yahoo. También se le conoce como: clearnet, indexed web, indexable web, lightnet, visible web. Deep Web: toda aquella información en Internet que no puede ser indexada por buscadores tradicionales como Bing, Google o Yahoo. Incluye bases de datos, intranets de organizaciones, sitios web protegidos por contraseña, etc. Dark Web: conjunto de sitios web que requieren el uso de software especializado para navegar de forma anónima para ser accedidos. El software más común utilizado para acceder a la Dark Web es The Onion Browser, también conocido como TOR Browser. Fuente: 21

23 Riesgos de la Dark Web Un adversario podría planear y ejecutar ataques de gran impacto para la organización si: Obtiene información sobre la organización, sus procesos, procedimientos, personal, infraestructura, y/o tecnología. Descubre la identidad de quien navega la Dark Web utilizando técnicas de inferencia. Ej. analizando el cómo se dicen las cosas y no solo el qué, los términos utilizados, horarios de conexión, o a través de scripts que recolectan información del equipo de cómputo desde donde se accede. Logra comprometer los sistemas de los visitantes del sitio web de su propiedad. Ej. A través de scripts maliciosos que se ejecutan al momento de visitar el sitio web. 23

24 Recomendaciones para navegar en la Dark Web Utilizar equipo profesional de buceo. Acceder utilizando una conexión a internet aislada y diferente de la de la organización. Utilizar un equipo de cómputo y sistema operativo dedicados para la navegación en la Dark Web. Amnesic Incognito Live System*. Observar y no interactuar realizando transacciones o comentando en los sitios web. Evitar acciones que permitan a la terceros inferir la identidad del navegante. Conectarse frecuentemente en ciertos horarios. Comentar sobre temas muy específicos de la organización o la región de procedencia. No permitir la ejecución de scripts que recolectan información del equipo de cómputo desde donde se accede. Validar la información recabada. No toda la información en la Dark Web es confiable ni cierta. *

25 B) Cacería de ciberamenazas (Cyber Threat Hunting) Definición: Intercepción, rastreo y eliminación activa y oportuna de ciberamenazas a lo largo de todo el proceso dirigido que siguen los adversarios para conseguir sus objetivos maliciosos. Centra su búsqueda en las amenazas que tienen la intención, la capacidad y la oportunidad de hacer daño y que ya están dentro de las redes y sistemas de la organización. Beneficios: Detección temprana de amenazas (por tanto menos impacto a la organización). Mejora de contramedidas automatizadas. Permite mayor visibilidad y el descubrimiento de debilidades en los sistemas. Fuentes:

26 B) Cacería de ciberamenazas (Cyber Threat Hunting) Modelo de madurez para la cacería de ciberamenazas: Fuentes:

27 C) Red Team Evaluación práctica de la seguridad de los sistemas a través de la simulación realista de ataques simultáneos dirigidos al personal, los sistemas, el hardware y las instalaciones de una organización. Además de utilizar metodologías comunes de Ethical Hacking y/o Pentest, el equipo de seguridad ( Red Team ) basa su evaluación en las tácticas, técnicas y procedimientos que utilizan atacantes reales en situaciones reales. La Dark Web es una fuente valiosa para la búsqueda de exploits y herramientas de hackeo reales las cuales pueden ser usados en el ejercicio del Red Team. 27

28 Beneficios del Red Team Identificación de vulnerabilidades informáticas y estimación del riesgo real asociado en sistemas críticos. Provisión de información valiosa al proceso de inteligencia de ciberamenazas que permite potenciar el proceso de la cacería de ciberamenazas. Validación de potenciales vulnerabilidades identificadas en el proceso de inteligencia de ciberamenazas. Insumo necesario para la creación efectiva de play books. 28

Cacería de ciberamenazas Información de procesos, registro, logs Actividad maliciosa Indicadores de compromiso (IOCs) Configuraciones, parches, políticas Controles de seguridad Dark Web Fuente:

29 Cacería de ciberamenazas Información de procesos, registro, logs Actividad maliciosa Indicadores de compromiso (IOCs) Configuraciones, parches, políticas Controles de seguridad Dark Web Fuente: Elaboración propia Información de organizaciones comprometidas, campañas, herramientas de hackeo, exploits Herramientas de hackeo, exploits Inteligencia de ciberamenazas Red Team Resultados de las evaluaciones prácticas Configuraciones, parches, políticas Posibles ataques y vulnerabilidades por validar Modelo de gobierno (COBIT, ITIL, ISO 27001) Configuraciones, parches, políticas 29

30 Conclusiones La exhibición de un documento, una lista de verificación o checklist de forma solitaria para demostrar auditoría, cumplimiento o seguridad NO es garantía de la probabilidad de éxito de un ciberataque a la organización lo peor: puede incrementarla. Hoy en día la implantación exitosa de un modelo de gobernanza es la línea base mínima suficiente para navegar en los mares actuales del ciberespacio. Los océanos actuales son agitados y misteriosos, por lo que para navegar en el Triángulo digital de la Bermudas se requiere UNIDAD entre las prácticas de Auditoría, Cumplimiento y Seguridad. 30

31 31

32 Una tarea más Revisa y comparte el video de la plática TED La cultura de ciberseguridad Disponible en 32

33 Preguntas? Gracias. Arturo García Hernández 33

Documentos relacionados

Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia

Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia en Seguridad de la Información, contamos con amplia experiencia en la implementación de soluciones y servicios