Distintas experiencias sobre la seguridad de las Ing. Ricardo Lira, M. en C., CISSP, PMP VIII Encuentro Iberoamericano de Protección VIII Encuentro Iberoamericano de Protección de Datos Ciudad de México
Agenda Introducción Estrategia integral de protección de las bases de datos Conclusiones
Introducción
Introducción Hecho de todos los días: Incremento en robo/pérdida de datos
Introducción Existen organizaciones que prestan poca atención a la seguridad de las, a pesar de que son un activo fundamental y habilitador clave para los negocios y gobiernos Los volúmenes de datos en las organizaciones han crecido de forma exponencial
Introducción Existen organizaciones que prestan poca atención a la seguridad de las, a pesar de que son un activo fundamental y habilitador clave para los negocios y gobiernos Los volúmenes de datos en las organizaciones han crecido de forma exponencial Our digital information universe is exploding and conservatively should reach 2,500 billion gigabytes by 2012. Eightyfive percent of this information will be managed by corporations at some point in its Fuente: EMC
Introducción Existen organizaciones hoy en día que: Muestran una posición reactiva ante la seguridad y privacidad de la información No cuentan con una estrategia clara de seguridad y privacidad de la información Se preocupan poco por concientizar y capacitar a sus empleados en seguridad y privacidad de la información Cuentan con políticas de seguridad y privacidad de información que sólo son papel muerto No cuentan con un enfoque integral que les permita atender el problema de seguridad (tecnología, procesos y gente) Asumen que el problema de seguridad y privacidad de la información es responsabilidad d única de la Dirección ió de Sistemas No saben el tratamiento que sus empleados y socios de negocio le están dando a su información y la de sus clientes
Introducción Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT VIII A study Encuentro conducted Iberoamericano by the Verizon RISK de Team Protección in cooperation de Datos with the United States Secret Service.
Introducción Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT VIII A study Encuentro conducted Iberoamericano by the Verizon RISK de Team Protección in cooperation de Datos with the United States Secret Service.
Introducción Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT VIII A study Encuentro conducted Iberoamericano by the Verizon RISK de Team Protección in cooperation de Datos with the United States Secret Service.
Estos son los hechos,,pero que podemos (debemos) hacer: Definir, implementar y verificar una Estrategia t integral de protección de las
Concientización y entrenamiento de usuarios Estrategia de protección de aplicativos de Estrat tegia de protección Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Estrategia de protección de sistemas operativos Estrategia de protección a nivel red Monitoreo Monitoreo de actividades en las - DAM Auditoría verificación de cumplimiento de controles técnicos, administrativos y físicos Detección y prevención de fuga de datos (DLP) Respuesta a incidentes de seguridad Políticas, procedimientos y estándares de seguridad y privacidad de la información Evaluación de Riesgos Estrategia de seguridad d alineada con estrate egia de nego ocio
Definición Operación Monitoreo Estrategia de protección de
Estr rategia de protecció ón de base es de dato os Definición Descubrimiento y clasificación de Operación Monitoreo Inventario y clasificación de, no sólo aquellas que están en custodia/operación de Sistemas también todas las que administra y operan las propias áreas del negocio
Estr rategia de protecció ón de base es de dato os Definición Descubrimiento y clasificación de Políticas de protección por tipo de Operación Monitoreo Políticas dirigidas a los administradores y usuarios de las. Establecer lo qué está permitido y qué está prohibido. Algunas de las políticas más importantes: control de acceso, respaldos, control de actualizaciones y cambios, cifrado, monitoreo, entre otras.
protecció ón de base es de dato os Definición Descubrimiento y clasificación de Políticas de protección por tipo de Operación Monitoreo rategia de Estr Definición de estándares y guías de robustecimiento Lineamientos de seguridad y privacidad específicos por cada tipo de manejador de base de datos. Algunos ejemplos: política de contraseñas robustas, depuración de cuentas de acceso, privilegios, roles, perfiles por omisión, permisos sobre tablas y objetos, bitácoras, entre otros
protecció ón de base es de dato os Definición Descubrimiento y clasificación de Políticas de protección por tipo de Operación Monitoreo Estr rategia de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Análisis de usuarios, perfiles y roles requeridos en cada una de las Bases de Datos con base en mínimo privilegio y segregación de funciones.
protecció ón de base es de dato os Definición Descubrimiento y clasificación de Políticas de protección por tipo de Operación Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo Estr rategia de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Clave contar con política, proceso y controles para cambios a DATOS! En la prueba de cambios se deben utilizar técnicas de enmascaramiento porque si no los datos reales productivos estarán ahora en pruebas y desarrollo
protecció ón de base es de dato os Definición Descubrimiento y clasificación de Políticas de protección por tipo de Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras Monitoreo Estr rategia de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Es clave identificar aquellas posibles actualizaciones que no es viable aplicarlas por dependencia con aplicaciones u otros componentes para establecer controles compensatorios. Gran reto: ventanas de mantenimiento.
protecció ón de base es de dato os Estr rategia de Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) Monitoreo Cifrado de datos en las productivas, durante su transmisión ió y su almacenamiento. Incluso considerar todo el ciclo de vida de los datos, no sólo mientras residen en las - qué pasa una vez que el datos esta en el endpoint?
protecció ón de base es de dato os Estr rategia de Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Monitoreo Cumplimiento de política y proceso de control de acceso
protecció ón de base es de dato os Estr rategia de Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Monitoreo Monitoreo de actividades en las - DAM Monitoreo en tiempo real de las actividades id d en las. No sólo debemos de cuidar las de los que no tienen acceso sino también de los que SI tiene acceso. DAM: Database Activityit Monitoring
protecció ón de base es de dato os Estr rategia de Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Monitoreo Monitoreo de actividades en las - DAM Auditoría verificación de cumplimiento de controles técnicos, administrativos y físicos Revisar aquellos eventos que son relevantes para la organización ió y que pueden mostrar signos de acceso no autorizado o abuso en privilegios otorgados. Revisar periódicamente el cumplimiento de las políticas y controles establecidos (técnicos, administrativos y físicos)
protecció ón de base es de dato os Estr rategia de Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Monitoreo Monitoreo de actividades en las - DAM Auditoría verificación de cumplimiento de controles técnicos, administrativos y físicos Detección y prevención de fuga de datos (DLP) Cuidar todo el ciclo de vida de los datos: si en las, pero también en su tránsito y en los endpoints.
protecció ón de base es de dato os Estr rategia de Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Monitoreo Monitoreo de actividades en las - DAM Auditoría verificación de cumplimiento de controles técnicos, administrativos y físicos Detección y prevención de fuga de datos (DLP) Respuesta a incidentes de seguridad Si estamos preparados para lo peor podremos minimizar i i el impacto en caso de que algo nos suceda.
No olvidar las demás capas de nuestra Arquitectura las Bases de Datos son elementos claves pero no son los únicos
Concientización y entrenamiento de usuarios Estrategia de protección de aplicativos de Estrat tegia de protección Definición Descubrimiento y clasificación de Políticas de protección por tipo de Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Operación Gestión de cambios: en configuración y datos (enmascaramiento) actualizaciones, versiones y configuraciones seguras mecanismos de cifrado (at rest, tránsito y almacenamiento) perfiles y privilegios Estrategia de protección de sistemas operativos Estrategia de protección a nivel red Monitoreo Monitoreo de actividades en las - DAM Auditoría verificación de cumplimiento de controles técnicos, administrativos y físicos Detección y prevención de fuga de datos (DLP) Respuesta a incidentes de seguridad Políticas, procedimientos y estándares de seguridad y privacidad de la información Evaluación de Riesgos Estrategia de seguridad d alineada con estrate egia de nego ocio
Conclusiones Necesitamos una estrategia integral de protección de información en nuestras organizaciones Los requerimientos de volúmenes de información está incrementando exponencialmente, pero no así la seguridad y privacidad de los mismos Seguir con una posición reactiva ante la seguridad y privacidad de la información puede llevar a la quiebra a nuestra organización El enfoque actual de seguridad y privacidad de la información es insostenible
Gracias! ricardo.lira@mx.ey.com @pentestmexico