Security Management. Control identity access information

Transcripción

1 Security Management Control identity access information El poder de los usuarios privilegiados, como gestionar, controlar su actividad y cumplir con las exigencias regulatorias

2 Qué representan estos números en el ámbito de la seguridad informática? $202 48% 87% Costo promedio de una brecha de seguridad, por registro comprometido (2010), siendo la negligencia la causa principal Ponemon Institute Porcentaje de todas las brechas que involucran un mal uso de parte de usuarios privilegiados Verizon report, 2010 Porcentaje de las compañías que han experimentado fuga de datos IT Compliance Institute 74% Porcentaje de compañias comprometidas que perdieron clientes o negocios como resultado de una fuga de datos o brecha de seguridad IT Compliance Institute 2 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

3 Qué están haciendo los Usuarios Privilegiados con la infraestructura y la información de su organización? 3 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

4 Cómo aseguras lo que no puedes ver? 4 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

5 Contexto Usuarios Privilegiados

6 Privilegio PRIVILEGIO > Qué es y Porqué importa? 6 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

7 Por qué importa? Administrador de empresa roba información 7 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

8 Por qué importa? Errores humanos 8 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

9 Por qué importa? Malicia, Maluso o Intención de Daño 48% of internal breaches are from privileged user misuse; a 26% increase from the prior year Source: Verizon 2010 Data Breach Report 9 Security Solu:ons from CA Technologies Copyright 2011 CA. All rights reserved.

10 Qué son los usuarios privilegiados? Usuario Normal Usuario Normal Es claramente identificado Es controlado Usuario Normal Seguridad del SO Seguridad de la Aplicación Datos, archivos y bitácoras críticos 10 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

11 Qué son los usuarios privilegiados? Root, DBA, sa, appadmin. > Administrator root Es anónimo Usuario Privilegiado Puede saltarse la seguridad aplicativa Puede ver y alterar datos de bases de datos aplicativos Puede generar incidentes de indisponibilidad Puede cambiar archivos de sistema Puede cambiar configuraciones al sistema Puede alterar bitácoras Puede borrar evidencia de sus actividades Seguridad del SO Seguridad de la Aplicación Datos, archivos y bitácoras críticos 11 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

12 Qué son los usuarios privilegiados? Virtualización: hypervisor access La Virtualización amplifica el problema! Usuario Privilegiado 12 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

13 Desafíos ACCESO IRRESTRICTO a los recursos Tipicamente por CUENTAS COMPARTIDAS dificulta la aplicación de RESPONSABILIDADES AUSENCIA DE SEGREGACIÓN de funciones Dificulta la INTEGRIDAD DE TRAZAS DE AUDITORIA FALTA DE TRANSPARENCIA de acesso VIRTUALIZACIÓN y la NUBE amplia los problemas Complica el proceso de TROUBLESHOOTING 13 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

14 La parte normativa y regulatoria Usuarios Privilegiados

15 Administrando el privilegio Estándares, normas y mejores prácticas COBIT ITIL ISO Code of practice for information security management Payment Card Industry (PCI DSS) SOX Ley Federal de Protección de Datos en Posesión de Particulares (LFPDPD) 15 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

16 ISO Control de Acesos Administración o Gestión de Privilegios Control: La asignación de privilegios de uso debe ser restringido y controlado. Guía de Implementación: Los privilegios debe ser asignados a los usuarios bajo el concepto need-to-use El proceso de autorización y registro de privilegios debe ser operado y mantenido en todo momento El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar privilegios a los usuarios debe ser promovido Los privilegios deben ser asignados a un userid distinto al usado para necesidades normales de operación 16 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

17 Ley Federal de Protección de Datos Personales en Posesión de los Particulares estipula: Artículo 19 Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. 17 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

18 Qué debemos buscar en el mercado? Usuarios Privilegiados

19 Los clientes declaran el siguiente problema a resolver El problema es como administrar el acceso a los usuarios privilegiados. No hay accountability" en como es el acceso otorgado o cuando los roles cambian dentro de la organización. Necesitamos automatizar las tareas de borrado de cambios innecesarios e identificar quien autorizó los cambios. 19

20 Controlar el Acceso Privilegiado Evaluar herramientas que provean un control granular de acceso de usuarios privilegiados lo que resulta en la protección de servidores, recursos de sistemas operativos; aplicaciones e infraestructura en ambientes físicos o virtualizados. 20 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

21 una completa solución de administración de usuarios privilegiados. Monitoreo, trazabilidad y reporteo de ac>vidad privilegiada Auten>cación de acceso privilegiado Admin de cuentas con password compar>do Solución de Admin de Usuarios Privilegiados Admin de usuarios privilegiados en ambientes virtuales Admin de passwords de aplica>vos Controles de acceso granulares 21 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

22 Qué debe contemplar una solución de este tipo? Control Auditar Force el principio del menor de los privilegios Force el proceso de acceso Protega passwords compar:dos y admin sus polí:cas Soporte a plataformas heterogéneas Registe usuarios por su ID orginal al elevarse sus privilegios Correlacione la ac:vidad de cuentas privilegiadas a los individuos que la usan Grabe y reproduzca las sesiones Governar Modelado y Administración central Habilite a dueños de cuentas compar:das a aprobar esos accesos privilegiados Cumplimiento regulatorio y norma:vo 22 Security Solu:ons from CA Technologies Copyright 2011 CA. All rights reserved.

23 Casos de uso Usuarios Privilegiados

24 Caso de uso 1: Control del Login Asegurar la apropiada autenticación y administración de passwords de los usuarios en todos los sistemas Controles aplicables: Todos los usuarios deben ser identificados Controles de tiempo Host fuente identificados Políticas de Passwords Bloqueo de cuentas 24 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

25 Caso de uso 2: Control de Privilegios Restringir acceso a la información sensitiva bajo el precepto de «need-to-know» Controles aplicables: Controlar quien puede cambiar su identidad de usuario a la de root u otra cuenta privilegiad (su) Controlar que programas puede ser ejecutados bajo una cuenta diferente (sudo) 25 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

26 Caso de uso 3: Controles a directorios y archivos Restringir acceso a la información sensible bajo el precepto «need-to-know» Controles aplicables: Programa permitido (Allowed) Ejemplo: solo la aplicación de nómina puede abrir archivos de la nómina Derechos de acceso condicionales Permite el acceso de 8 a 5, solo de Lun a Vie Permite el acceso solo vía vi - no con more Permite el acceso a Juan unicamente no con root Uso de Calendario 26 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

27 Caso de uso 4: Controles a directorios y archivos Monitoreo de la integridad de archivos críticos para alertar en línea de cualquier modificación no autorizada sobre sistemas, directorios o archivos críticos. Controles aplicables: Detección, en tiempo real, de cualquier modificación a un archivo Incluyendo atributos extendidos del archivo attributes Deshabilita permiso de ejecución de archivos no confiables o desconocidos Prevenir cambios a bitácoras Envió de alertas a sistemas de Mesa de Ayuda, SMS, 27 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

28 Caso de uso 5: Control de procesos Asegurar trazas de auditoría para que no sean alteradas Controles aplicables: Restringir quien puede detener o parar un proceso daemon Ejemplo: para un Web server, solo las cuentas sysadmin y webmaster tienen acceso, root no 28 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

29 Caso de uso 6: Análisis y consolidación de eventos de seguridad Registrar y monitorear todos los accesos a los recursos críticos Controles aplicables: Recolección de eventos Cross-Platform Análisis inteligente de Datos y sistema de alertamiento Repositorio centralizado de reportes para cumplimiento regulatorio 29 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

30 Concluyendo control donde lo necesitas! Controles Especializados Controles Estandard Apoyarse de herramientas que proveean control granular de los accesos de los usuarios privilegiados para proteger los servidores, su SO y sus recursos, aplicativos e infraestructura ya sea en ambientes físicos o virtuales. Control de Acceso a Host s Autenticación Linux/Unix Admin de Usuarios Privilegiados Reporte de Accesos High Risk UNIX/Linux High Risk Windows Low Risk Servers Databases Aplicacion es Routers Switches Amplitud de cobertura de infraestructura de TI 30 Security Solutions from CA Technologies Copyright 2011 CA. All rights reserved.

31 Security Management Control identity access information Gracias Ernesto Pérez, CISSP, CISM Sr Solution Strategist Ca Technologies