SWIFT CUSTOMER SECURITY PROGRAMME

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SWIFT CUSTOMER SECURITY PROGRAMME"

Blanca Álvarez Belmonte
hace 5 años
Vistas:

1 2018 SWIFT CUSTOMER SECURITY PROGRAMME Mg. Ing. Mateo Martínez KRAV MAGA HACKING +1 (217)

Mateo Martínez Mateo Martinez Máster en Seguridad Informática. Ingeniero en Sistemas computacionales.

gerente de seguridad de la Información en reconocidas empresas internacionales.

C EH (Certified Ethical Hacker) de EC-Council, ISO 27001 Lead Implementer de PECB, ISO 27032 Lead Cybersecurity

Ha realizado la especialización en respuesta ante Incidentes en la Universidad de León en colaboración con OEA e

2 Mateo Martínez Mateo Martinez Máster en Seguridad Informática. Ingeniero en Sistemas computacionales. Cuenta con experiencia profesional como consultor, auditor, pentester, responsable de seguridad informática y como gerente de seguridad de la Información en reconocidas empresas internacionales. Cuenta con las certificaciones internacionales CISSP (Certified Information Systems Security Professional) de (ISC)2, C EH (Certified Ethical Hacker) de EC-Council, ISO Lead Implementer de PECB, ISO Lead Cybersecurity Manager e ITIL. Ha realizado la especialización en respuesta ante Incidentes en la Universidad de León en colaboración con OEA e INCIBE y ha completado el certificado ejecutivo en Estrategia y Liderazgo en Ciberseguridad en Florida International Unversity. Es Docente de las materias Hacking Ético y Respuesta ante Incidentes y Seguridad en el Desarrollo de Aplicaciones de Universidad ORT del Uruguay desde el año

3 SWIFT CSP 3

4 SWIFT CSP Fuente: 4

5 Pronósticos 2018 Un breve resumen de las regulaciones y de los riesgos que enfrentamos en este año 2018.

6 Cumplimiento Cambios 2018 en Cumplimiento 6

7 Pronósticos Migración en el comportamiento del Ransomware El Usuario como vector de incidentes OSINT altamente automatizado. Alto uso de información de Redes sociales. Continuamos con creciente complejidad de ataques Disponibles para cualquiera. Ataques incorporando Machine Learning IoT e Infraestructuras Críticas, crecientes objetivos Estrategias DevOps empujan la necesidad de DevSecOps 7

8 Políticas 8

9 Latinoamérica Estrategias de Ciberseguridad Colombia (2011 y 2016) Panamá (2013) Paraguay (2017) Chile (2017) Costa Rica (2017) México (2017) 9

10 Latinoamérica 10

11 SWIFT CUSTOMER SECURITY PROGRAMME (CSP) Tiene como objetivo mejorar el intercambio de información en toda la red, mejorar las herramientas relacionadas con SWIFT y proporcionar un marco de control de seguridad

SWIFT CSP Reporte de autocumplimiento 89% respondieron 99% de todos los mensajes 11.

12 SWIFT CSP Reporte de autocumplimiento 89% respondieron 99% de todos los mensajes instituciones 200 países Fuente: 12

13 SWIFT CSP Objetivos Asegurar el ambiente 3 Objetivos 8 Principios Conocer y limitar accesos Detección y respuesta 27 Controles 13

14 Mapping 14

15 Controles 3 Objetivos 16 controles obligatorios 11 controles recomendados Plan de Respuesta a Incidentes 15

16 Controles 16

17 Controles 17

18 Controles 18

19 Además, SWIFT provee 11 controles recomendados (para consideración): Controles recomendados Controles 2. Reducir superficie de Ataque y Vulnerabilidades 11 controles recomendados 2.4 A Seguridad en el Flujo de Datos de Back Office 2.5 A Protección de Datos en Comunicaciones Externas 2.6 A Confidencialidad e Integridad de la Sesión del Operador 2.7 A Escaneo de Vulnerabilidades 2.8 A Tercerización de Actividades Críticas 2.9 A Controles de Negocio en las Transacciones Asegurar la confidencialidad, integridad y mutua autenticidad del flujo de datos entre las aplicaciones de back office (o middleware) y los componentes de SWIFT. Proteger la confidencialidad de los datos relacionados a SWIFT transmitidos y almacenados fuera de la zona segura. Proteger la confidencialidad e integridad de las sesiones interactivas de operadores conectados a la infraestructura local SWIFT. Identificar vulnerabilidades conocidas dentro del ambiente SWIFT implementar procesos de escaneos de vulnerabilidades regularmente. Asegurar la protección de la infraestructura SWIFT local de riesgos debidos a la tercerización de actividades críticas. Restringir la actividad de transacciones a contrapartes validadas y aprobadas y dentro de los límites de la operativa habitual del negocio. 5. Gestión de Identidades y Segregación de funciones (y privilegios) Análisis de riesgos de 5.3 A Proceso de Background Check de Personal 5.4 A Almacenamiento físico y lógico de contraseñas Asegure la confiabilidad del personal que opera el entorno local de SWIFT realizando una verificación de personal. Protege las contraseñas registradas física y lógicamente. ciberseguridad a través de 6. Detectar Actividad Anómala en sistemas o transacciones escenarios 6.5 A Detección de Intrusos Detectar y prevenir actividades de red anómalas hacia y dentro del ambiente SWIFT. 7. Plan de Respuesta a Incidentes y Compartir información 7.3 A Penetration Testing 7.4 A Análisis de Riesgos de Ciberseguridad a través de Escenarios Validar las configuraciones de seguridad operacionales e identificar brechas de seguridad a través de la realización de pentration tests. Evaluar riesgos y preparación de la organización frente a escenarios de ciberataques. 19

20 Puntos a Considerar Existen ciertas consideraciones que es importante considerar para el cumplimiento a partir de 2018.

21 Fechas 21

22 Rol de los Equipos de Respuesta ante Incidentes de Seguridad Los equipos de respuesta especializados cumplen un rol fundamental en el proceso de defensa activa y deben ser motivadores de cambio.

05 Implementación 04 03 Evaluar la efectividad del CSIRT 02 Iniciar la implementación del CSIRT y anunciar la operación del CSIRT.

23 05 Implementación Evaluar la efectividad del CSIRT 02 Iniciar la implementación del CSIRT y anunciar la operación del CSIRT. Comunicar la visión del CSIRT y el Plan Operacional. 01 Recolectar Información relevante y Diseñar la vision del CSIRT. Comprender capacidades actuales Obtener apoyo de la alta dirección y determinar el plan estratégico del CSIRT 23

24 Implementación Analizar motivadores y requerimientos para la creación del CSIRT Seleccionar el modelo de CSIRT más adecuado Definición de servicios Definición e implementación de procesos Análisis de clientes y planes de comunicación con terceros Análisis FODA y PEST Definir la estructura necesaria Acompañar en la selección de personal Definir herramientas tecnológicas Desarrollo de políticas del CSIRT Búsqueda de cooperación con otros CSIRTS Creación de código de conducta y de ética Creación de checklist para el CSIRT

25 Servicios Servicios Core Planificar, Preparar y Capacitar Operación y Mejoras Pruebas y simulacros Gestión de alertas e incidentes Servicio 911 de respuesta a incidentes (en vivo) Coordinación de incidentes con terceros Análisis forense digital Gestión de vulnerabilidades y parches críticos de seguridad Ethical Hacking interno Innovación y desarrollo Monitoreo de sistemas críticos Gestión y comunicación de crisis Guías y auditorías de configuraciones de seguridad Entrenamientos y capacitación 25

26 Servicios Planificar, Preparar y Capacitar Operación y Mejoras Pruebas y simulacros Servicios de Colaboración Difusión de alertas de seguridad del mercado Acuerdos de colaboración con terceros Compartir información anónima de amenazas Generar lecciones aprendidas Monitoreo de Reputación 26

NIST SP800-61 Planificar, Preparar y Capacitar

27 NIST SP Planificar, Preparar y Capacitar Fuente: NIST Computer Security Incident Handling Guide 27

28 Ventajas - Disponer de una coordinación centralizada - Reaccionar a los incidentes relacionados con las TI - Contar con conocimientos técnicos necesarios - Tratar las cuestiones jurídicas y proteger evidencias - Realizar un seguimiento de los progresos conseguidos - Fomentar la cooperación en la seguridad de las TI - Desarrollar investigación e innovación 28

29 Mitigación La mayor inversión en la capacidad de respuesta ante incidentes de ciberseguridad no radica solo en preparar la contención y respuesta sino también prevenir y prepararse.

30 Prevenir TOP 10 (Mitigar 90% de Ataques): Listas Blancas de Aplicaciones. Gestión de Parches y vulnerabilidades en sistemas operativos y aplicaciones. Control de Integridad y control de cambios Minimizar permisos administrativos (a usuarios y administradores). Segmentación de la red. Control de dispositivos. Control de fuga de datos. Análisis de tráfico y Control de DDoS. Control de anomalías en estaciones de trabajo. Seguridad en el Desarrollo de Software 30

31 Conclusiones Un breve repaso de lo conversado, conclusiones y algunas recomendaciones prácticas

32 Conclusiones No esperar a diciembre 2018 para responder al SWIFT CSP Trabajar en programas de respuesta ante incidentes Realizar simulacros de incidentes de ciberseguridad Incorporar aspectos de ciberseguridad en análisis de riesgos Incorporar aspectos de mitigación del Top 10 mencionado Buscar Integración entre ISO 27001, ISO 27002, ISO 27032, PCI-DSS, ISO 31000, ISO 27005, regulaciones y normativas locales para la mejora de la seguridad de su organización. 32

33 Muchas gracias. Mg. Ing. Mateo Martínez KRAV MAGA HACKING +1 (217)

Documentos relacionados

IoT & AI. SME Case Study. Mg. Ing. Mateo Martínez KRAV MAGA HACKING. +1 (217)

IoT & AI. SME Case Study. Mg. Ing. Mateo Martínez KRAV MAGA HACKING. +1 (217) IoT & AI SME Case Study Mg. Ing. Mateo Martínez KRAV MAGA HACKING +1 (217) 636 4450 info@kravmagahacking.com www.kravmagahacking.com About Mateo Martinez Máster en Seguridad Informática. Ingeniero en Sistemas