MONITORIZACIÓN Y VIGILANCIA COMO ELEMENTOS CLAVE EN LA PREVENCIÓN DEL DELITO Álvaro Romero Director del Centro de Seguridad Secure&View 1 alvaro.romero@secureit.es 911 196 995
Agenda 1 Introducción 2 Requerimientos de monitorización 3 SIEM vs LOG MANAGEMENT 4 Monitorización integral 5 Centro de Operaciones Secure&View 6 Demostración práctica 2
Agenda 1 Introducción 2 Requerimientos de monitorización 3 SIEM vs LOG MANAGEMENT 4 Monitorización integral 5 Centro de Operaciones Secure&View 6 Demostración práctica 3
Necesidad de vigilancia y control,,, La persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión Artículo 31 bis del Código Penal 4
Pilares en la prevención del delito tecnológico CUMPLIMIENTO NORMATIVO CUMPLIMIENTO Satisfacer la demanda que le es exigida a la organización. & Exigencias Legales (Privacidad ) & Normas Sectoriales (PCI-DSS, ENS ) & Estándares (ISO 27001 / 22301.) & Medidas dispuestas por Clientes PREVENCIÓN DEL DELITO TÉCNOLÓGICO PROCESOS Permiten dotar al CEO de un cuadro de mando de cumplimiento & Análisis de Riesgos & Roles y Responsabilidades & Medidas aplicadas y sus Resultados & Procedimientos de prevención SEGURIDAD INFORMÁTICA PROCESOS CORPORATIVOS SEGURIDAD TI Control de la actividad de los sistemas de información & Sistemas anti malware & Protección contra hackers & Copias de seguridad & Criptografía & Control de uso aceptable de las TIC 5
Pilares en la prevención del delito tecnológico CUMPLIMIENTO PROCESOS Satisfacer la demanda que le es exigida a la organización. & Exigencias Legales (Privacidad ) & Normas Sectoriales (PCI-DSS, ENS ) & Estándares (ISO 27001 / 22301.) & Medidas dispuestas por Clientes Permiten dotar al CEO de un cuadro de mando de la gestión de su seguridad. & Identificación y valoración de Activos & Análisis de Riesgos & Roles y Responsabilidades & Medidas aplicadas y sus Resultados & Procedimientos de prevención Requerimiento de monitorizar Informes de cumplimiento Cuadros de mando SEGURIDAD TI Protegen las vulnerabilidades propias de los sistemas informáticos: & Sistemas anti malware & Protección contra hackers & Copias de seguridad & Criptografía Detección de eventos e incidentes Correlación de eventos 6
Agenda 1 Introducción 2 Requerimientos de monitorización 3 SIEM vs LOG MANAGEMENT 4 Monitorización integral 5 Centro de Operaciones Secure&View 6 Demostración práctica 7
REQUERIMIENTOS DE CUMPLIMIENTO & PROTECCIÓN DE DATOS & COMERCIO ELECTRÓNICO & BLANQUEO DE CAPITALES & PRESTADORES DE SERVICIOS & FIRMA ELECTRÓNICA & MEDIDAS DICTADAS POR BANCO DE ESPAÑA & CÓDIGO PENAL & ESQUEMA NACIONAL SEGURIDAD & PCI-DSS & FDA & ISO 27001 / ISO 22301 / ISO 20000 & HIPAA & SOX 8
Agenda 1 Introducción 2 Requerimientos de monitorización 3 SIEM vs LOG MANAGEMENT 4 Monitorización integral 5 Centro de Operaciones Secure&View 6 Demostración práctica 9
LOG MANAGEMENT & RECOGIDA BRUTA DE LOGS Y REGISTROS & SUELEN EMPLEARSE RECOLECTORES INTERMEDIOS & PERMITEN SU ANÁLISIS EN DIFERIDO : ANÁLISIS FORENSE & SIRVEN COMO REGISTRO Y PRUEBA (CON CIERTAS MEDIDAS) & PERMITEN DETECTAR INCIDENTES DE SEGURIDAD A TORO PASADO & USADOS EN ACCOUNTING & LA GESTIÓN DE LOS LOGS ESTABLECE PARÁMETROS DE ROLL-OUT, TIEMPO DE ALMACENAMIENTO, VOLUMEN, CUSTODIA, CIFRADO Y FIRMA, ETC.. 10
SIEM (Security Information Event Management) & ANÁLISIS EN TIEMPO REAL DE LOS LOGS RECIBIDOS & CAPACIDAD DE ESTABLECER CORRELACIONES ENTRE ELLOS & Un usuario que accede a un sistema con su contraseña correcta no es un evento de seguridad & Salvo que se produzca después de 25.000 intentos fallidos!! COMPLIANCE SIEM & INTELIGENCIA ENTRE SISTEMAS, ENTRE CLIENTES, ENTRE ENTORNOS, Y ENTRE SOCS (CERTS) GRACIAS A LA COLABORACIÓN ENTRE ELLOS SECURITY LOG MANAGEMENT OPERATIONS & EN DEFINITIVA, UN PASO MÁS AL LOG MANAGEMENT 11
SIEM (Security Information Event Management) 12
Qué aporta entonces un SIEM? & ALMACENAMIENTO, CONTEXTO Y REGISTRO DE LOS DATOS & CATEGORIZACIÓN Y NORMALIZACIÓN DE LOS REGISTROS & ALERTAS Y NOTIFICACIONES & HERRAMIENTAS DE VISUALIZACIÓN Y SEGUIMIENTO & PRIORIZACIÓN DE EVENTOS & REPORTING & CUMPLIMIENTO 13
Agenda 1 Introducción 2 Requerimientos de monitorización 3 SIEM vs LOG MANAGEMENT 4 Monitorización Integral 5 Centro de Operaciones Secure&View 6 Demostración práctica 14
BigSIEM: Monitorización integral & & & & GESTIÓN DE LA DISPONIBILIDAD & Estado up/down de dispositivos & Estado up/down de interfaces & Estado up/down de aplicaciones & Estado up/down de procesos & Estado de servicios cloud GESTIÓN DE LA CAPACIDAD & Consumo de procesador, memoria & Estado de los sistemas de almacenamiento & Consumo de ancho de banda GESTIÓN DEL RENDIMIENTO & Retardos de red & Tiempos de respuesta en aplicaciones web GESTIÓN DE LA SEGURIDAD & Estado de elementos de seguridad & Firewall, IPS, WAF, antivirus, etc & Correlación de eventos y alertas 15
Agenda 1 Introducción 2 Requerimientos de monitorización 3 SIEM vs LOG MANAGEMENT 4 Monitorización integral 5 Centro de Operaciones Secure&View 6 Demostración práctica 16
Centro de Proceso de Datos (Secure&Cloud ) & Secure&Cloud es el Centro de Proceso de Datos de Secure&IT concebido para el alojamiento de aplicaciones críticas & Operado bajo ITIL, Certificado ISO 27001 & Centro neurálgico de telecomunicaciones & Doble fuente de energía independientes & Alta seguridad física, ambiental y en control de accesos & Desde el mismo se ofrecen los servicios de: & Alojamiento seguro de servidores & Navegación Segura & Seguridad en el Correo Electrónico & Seguridad en servidores WEB (WAF) & Mobile Device Security (MDM/MDS) & 17
Centro de Gestión de Seguridad (Secure&View ) & Secure&View es el centro de la actividad de Secure&IT & Servicio de monitorización, vigilancia, operación y soporte de Sistemas de Seguridad & Capacidad respuesta temprana a emergencias & Servicio 24 horas al día, 7 días a la semana & Procesos certificados ISO/IEC 27001:2013, y cumplimiento estricto de ITILv3, LOPD (nivel alto), LSSICE y las mejores prácticas de gestión de sistemas & Permite a las organizaciones una gestión profesional, avanzada y continuada de sus TIC, con base en la Seguridad de la Información y en las mejores prácticas en gestión de servicios TIC. & Desde Secure&View se prestan servicios centrados en 10 módulos: 1 Monitorización en Tiempo Real 6 Gestión de Alertas 2 Gestión de Elementos 7 Gestión de Incidencias 3 Gestión de Peticiones 8 Gestión de la Operación 4 Gestión de Inventario 9 Gestión del Conocimiento 5 Módulo de Informes 10 Gestión de la Seguridad 18
Centro de Gestión de la Seguridad (Secure&View ) MONITORIZACIÓN INFORMES EVENTOS SNMP ICMP WMI AGENTES ETC INVENTARIO INFORMES OPERACIÓN IT BBDD CONOCIMIENTO FORENSE OPERACIÓN AUDITORIA IDS HOST IDS SYSLOG AGENTES ETC SISTEMAS SEGURIDAD 19
Any To Log A2L BIGSIEM BBDD BIG DATA MATCHING LEARNING REQUISITOS LOG COLLECTOR BIGSIEM CONTROLLER CLIENTE BIGPROBE FORENSE REPORTING ALERTAS SNORT SURICATA SPIDERLABS VIRUSTOTAL SORBS REPRESENTACIÓN GRÁFICA OPERACIÓN ISO 27001 OTROS 20
Centro de Gestión de la Seguridad (Secure&View ) 21
Agenda 1 Introducción 2 Requerimientos de monitorización para el cumplimiento 3 SIEM vs LOG MANAGEMENT 4 Monitorización integral 5 SOC-CERT Secure&View 6 Demostración práctica 22
DEMO TIME.. 23
MUCHAS GRACIAS Álvaro Romero Director del Centro de Seguridad Secure&View 24 alvaro.romero@secureit.es 911 196 995