Un libro interactivo para estructurar su caso y conseguir el presupuesto Infosec
Necesita el apoyo de todo su equipo para mantener su empresa en funcionamiento. Pero a veces los gerentes de TI pueden sentirse bastante solos en la zona de defensa. Piense en la seguridad de red. Su empresa no puede permitirse el tipo de ataque que golpeó a las tiendas Target y Home Depot. Estableció la mejor defensa posible, pero ahora necesita más dinero, más herramientas y más soporte. Este libro interactivo sirve precisamente para eso. Le mostraremos los pasos necesarios para analizar su situación, preparar un caso empresarial y presentarlo debidamente ante la alta gerencia. Y como no siempre se llega en primer lugar, también le daremos un plan secundario. Comencemos. Mi GRAN plan de seguridad 2
Paso 1. Informe preliminar Antes de salir del vestuario, necesita saber a qué se enfrenta. Un análisis del impacto empresarial le ayuda a entender qué es importante para mantener su empresa en funcionamiento, así sabrá lo que está en riesgo. Lista de comprobación a Hable con los gerentes de departamento. Qué recursos de red necesitan para alcanzar sus metas? a Cuál sería el impacto si las unidades empresariales perdieran los recursos de red? a Cuáles son los costos directos (costos reales y lucro cesante) por un acceso ilegal a los sistemas críticos? a También deben calcularse los costos indirectos (golpes a la reputación, a la marca y a la satisfacción del cliente). a Aproveche esta oportunidad para evangelizar sus planes de seguridad y para que sus compañeros se suban a bordo. 3
Paso 2. Día de entrenamiento Ya dejó en claro el riesgo en caso de que la empresa pierda el acceso a los sistemas críticos debido a un incidente de seguridad. Este es el momento de auditar las vulnerabilidades de seguridad. Puede hacer esto usted mismo o pedir ayuda de expertos. Lista de comprobación a a a a a a Busque agencias externas y aplicaciones en línea para realizar una auditoría de seguridad. Genere una política de seguridad informática: incluya todo, desde la frecuencia con la que deben cambiarse las contraseñas, hasta la forma en que los empleados tienen acceso remoto a los recursos de la compañía. Logre un consenso sobre la política con otros departamentos de modo que ellos puedan ayudar a asegurar los activos de forma proactiva. Revise y actualice las políticas cada año, incluya en este proceso la seguridad informática, los acuerdos de confidencialidad, las políticas de uso aceptable, etc. Mantenga su empresa en marcha. Pida aprobación antes de abordar algún asunto. Planifique la manera en que convertirá los resultados de la auditoría en información factible y comprensible. 4
Lectura obligatoria para el equipo Manténgase actualizado sobre los riesgos y las soluciones. Suscríbase a foros e informes de seguridad, y consúltelos periódicamente. Cómo encontrar recursos de auditoría: a Converse con el auditor externo sobre su preparación para la seguridad cibernética. a Consiga referencias de la comunidad de seguridad y de socios de tecnología actuales. a Pregunte en boletines técnicos por correo electrónico y en sitios de redes sociales, como LinkedIn. a Busque en línea servicios de evaluación de vulnerabilidades, servicios de evaluación de seguridad, servicios de pruebas de penetración, servicios de detección y respuesta ante incidentes o administración de exposición a amenazas. InformationWeek s DarkReading http://www.darkreading.com Internet Storm Center https://isc.sans.edu KrebsonSecurity krebsonsecurity.com Naked Security https://nakedsecurity.sophos.com Reading Room http://www.sans.org/reading-room Schneier on Security https://www.schneier.com WatchGuard Security Center http://watchguardsecuritycenter.com 5
Paso 3. Haga el recorrido Aquí es cuando pone a prueba exhaustiva su programa de seguridad mediante análisis de seguridad. Hasta los mejores programas de seguridad tienen problemas, así que si no encuentra nada, es muy probable que haya un error en su metodología. Lista de comprobación a Haga la investigación. Lea y hable con expertos para saber qué tipos de herramientas de análisis necesita. a Solicite aprobación antes de ejecutar cualquier análisis. a Asegúrese de comprender bien las herramientas y el efecto que puedan tener en su empresa. a Analice el tamaño de la red y la intensidad de análisis para estimar el tiempo necesario (de unas cuantas horas a semanas). a Ejecute los análisis y programe el tiempo de mantenimiento en caso necesario. 6
Soluciones de muestra Existen herramientas de análisis de seguridad de código abierto y de alta calidad disponibles en línea y sin costo. Comience con una herramienta de uso general y avance hacia los análisis especializados cuando sea necesario. Herramientas generales NMAP es un software de topología de red y toma de huellas digitales http://nmap.org OpenVAS es un analizador de vulnerabilidades http://www.openvas.org Herramientas especializadas Zed Attack Proxy (ZAP) es una herramienta para encontrar vulnerabilidades en aplicaciones web https://www.owasp.org/index.php/owasp_zed_attack_proxy_project Sqlmap es una herramienta de pruebas de penetración que automatiza el proceso de detección y explotación de fallas de inyección SQL http://sqlmap.org 7
Paso 4. Marque el campo Ahora que descubrió dónde se encuentran los problemas, es el momento de solucionarlos. Las decisiones sobre qué reparar (o no) deben basarse en la gravedad de la vulnerabilidad, la oportunidad de explotarla y la exposición que podría causar. Lista de comprobación a Revise la auditoría y los informes de análisis. Clasifique los problemas por orden de prioridad según la importancia del activo y la probabilidad de explotar el vector de ataque. a Use el análisis de impacto empresarial para clasificar los riesgos de forma adecuada. Una vulnerabilidad de alto nivel en un sitio de pruebas podría ser menos importante que un riesgo moderado en un sistema crítico. a Identifique qué elementos requieren poco esfuerzo o recursos para mitigarlos. a Desarrolle un plan de reparación junto a las partes interesadas a partir del análisis de impacto empresarial. 8
Paso 5. Póngase su cara de reto Es hora de poner su entrenamiento a prueba. Presentar su caso ante la alta gerencia puede ser como ir a las grandes ligas, pero este es su campo de juego. Si los altos ejecutivos no comprenden los riesgos, es su tarea educarlos. Lista de comprobación a Haga suyas las inquietudes de seguridad que denuncia. a Presente los riesgos en términos que los ejecutivos comprendan y que sean específicos para la empresa. a No use estadísticas engañosas como táctica para asustar. a Sea transparente con respecto a lo que ya hizo. Lo que tenemos, no funciona. Debemos corregirlo AHORA. Tengo un plan. a Explique cómo agotó los recursos actuales y lo que necesita para lograr resultados. a Identifique a las partes interesadas y promotores a partir de las reuniones con los gerentes de las unidades de negocios. a Sea insistente en sus argumentos hasta conseguir el apoyo que necesita. 9
Informes y estadísticas Actualice y distribuya periódicamente los informes que incluyan resúmenes ejecutivos concisos y con enfoque empresarial. Sugerencias para el éxito a No envíe informes sin procesar. Aplique el contexto para ayudar a los gerentes a comprender las decisiones. a Encuadre la conversación con requisitos de seguridad relacionados con su sector (SOC para empresas con cotización en bolsa, HIPAA para atención de salud, PCI DSS para minoristas, etc.). a Piense en crear informes personalizados para cada unidad de negocios. Documente el proceso Explique cada riesgo Metodología de análisis /auditoría Si el riesgo es aceptable o no Cuándo se realizó Cómo mitigarlo Participación de los interesados Qué pasa si no lo hacen Pasos de reparación Costos y esfuerzos estimados 10
Paso 6. La temporada no se acaba hasta que se acaba Lista de comprobación a Mantenga sus informes actualizados para estar siempre listo cuando lo llamen. a Ejecute las herramientas gratuitas y repare todos los problemas que pueda. a Agregue acciones de reparación a los informes que distribuya periódicamente. a Prepárese para mostrar el avance que logró desde la última presentación. a Si no puede solucionar un problema, brinde opciones: aceptar el riesgo, asignar recursos o quitar la conexión a los activos en riesgo. La seguridad es importante, pero la alta gerencia tiene que equilibrar iniciativas empresariales, retos y gastos que compiten entre sí. Es posible que no consiga todo lo que solicite de inmediato, pero siempre estará a un incidente de seguridad de conseguir los recursos. Esté preparado. AMBOS GANAMOS 11
Paso 7. Ofrezca su equipo A y no menos Una vez que esté preparado para implementar los servicios de seguridad, asegúrese que su equipo tenga las herramientas necesarias para afrontar el reto. WatchGuard puede ayudar con un conjunto de aplicaciones de productos de seguridad y de alto rendimiento para cumplir con las necesidades de empresas de todos los tamaños. XTM 2520 Grandes empresas y centros de datos corporativos* XTM series 800 y 1500 Grandes empresas distribuidas Firebox M400 y M500 Medianas empresas y empresas distribuidas Firebox M440 Opción de varios puertos XTM serie 5 Medianas empresas y empresas distribuidas XTM series 2 y 3 Oficinas pequeñas, sucursales y puntos de acceso inalámbrico Firebox T10 Oficina pequeña/oficina en casa y entornos minoristas pequeños *XTM 2520: El firewall UTM de 1 unidad en rack más rápido y más ecológico del mundo 12
Acerca de WatchGuard 505 Fifth Avenue South Suite 500 Seattle, WA 98104 www.watchguard.com Ventas en América del Norte +1 800 734 9905 Ventas internacionales +1 206 613 0895 WatchGuard Technologies, Inc. es un líder mundial en el sector de las soluciones integradas de seguridad empresarial multifunción, que combinan hábilmente el hardware estándar del sector, las mejores funciones de seguridad y herramientas de administración basadas en políticas. WatchGuard proporciona protección sencilla, pero de alta calidad, a cientos de miles de empresas de todo el mundo. Los productos de WatchGuard están respaldados por el servicio WatchGuard LiveSecurity, un innovador programa de soporte técnico. WatchGuard tiene su sede central en Seattle, Washington, con oficinas distribuidas por América del Norte, Europa, Asia-Pacífico y América Latina. Para obtener más información, visite WatchGuard.com. En el presente documento no se proporciona ninguna garantía explícita o implícita. Todas las especificaciones están sujetas a cambios y todos los productos, las características o las funcionalidades previstos para el futuro se proporcionarán según las bases disponibles, si las hay y cuando las haya. 2015 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard y Firebox son marcas comerciales registradas de WatchGuard Technologies, Inc. en Estados Unidos y/o en otros países. Todos los demás nombres comerciales y marcas comerciales pertenecen a sus respectivos propietarios. 13