NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD MARCELO GALVÁN - Director Departamento de Seguridad de la Información Banco Central del Paraguay
DEBO GESTIONAR LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN DE MI ORGANIZACIÓN? 90% ha tenido que lidiar con ISI en los pasados 6 meses 40% considera disponer de procedimientos de Gestión de ISI implementados 100% considera que su organización puede ser victima de un ataque cibernético 30% considera disponer de procesos de identificación de ISI en un tiempo razonable 100% considera de valor la utilización de metodologías o estándares de Gestión de ISI 20% tiene implementado un SOC (Security Operations Center) interno o externo
MODELOS DE REFERENCIA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN +1000 publicaciones relacionadas a Ciberseguridad tales como Normas o Estándares (Research Report PwC 2013) +30 publicaciones dedicadas parcial o totalmente a la Gestión de ISI ORGANIZACIÓN Y PERSONAS PRODUCTOS Y TECNOLOGÍAS SERVICIOS PROFESIONALES
MODELOS DE REFERENCIA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Modelo, Guía o Norma de Referencia: NIST SP 800-61 R2 Computer Security Incident Handling Guide Good Practice Guide for Incident Management ISO 27035:2011 Information security incident management Autoridad de publicación: National Institute of Standards and Technology - U.S. Dep. Commerce European Network and Information Security Agency ISO/IEC JTC 1/SC 27 Incluye aspectos relacionados a: Organización y Personas Productos y Tecnologías Organización y Personas Servicios Profesionales Organización y Personas Integrado a: NIST Cybersecurity Framework ENISA Cybsersecurity Eval. Framework ISO 27.000 Family Standards
MODELO DE REFERENCIA: NIST SP 800-61 R2 Computer Security Incident Handling Guide Estructura y Servicios del Equipo de Respuesta Procesos y Fases de la Gestión de Incidentes Colaboración y Coordinación entre organizaciones - Modelos de Equipo de Respuesta - Selección del personal del equipo - Servicios de Gestión Incluidos - Relación con otras áreas - Preparación - Detección y análisis - Contención, erradicación y recuperación - Actividades postincidente - Coordinación con organizaciones externas - Colaboración para el intercambio de información
MODELO DE REFERENCIA: NIST SP 800-61 R2 Computer Security Incident Handling Guide Incident Handling Life Cycle
MODELO DE REFERENCIA: Good Practice Guide for Incident Management Marco o Contexto de la Gestión de Incidentes Procesos y Fases de la Gestión de Incidentes - Roles Responsabilidades - Cooperación Nacional - Servicios y políticas del CERT - Relaciones con la alta administración - Registro y Clasificación - Resolución del incidente - Actividades postincidente - Workflows - Taxonomías
MODELO DE REFERENCIA: Good Practice Guide for Incident Management Respuesta Reporte Cierre Incident Handling Process Flow Example
MODELO DE REFERENCIA: ISO 27035:2011 - Information security incident management Procesos y Fases de la Gestión de Incidentes - Preparación y planeación - Detección y reporte - Clasificación - Respuesta - Lecciones aprendidas
MODELO DE REFERENCIA : ISO 27035:2011 - Information security incident management - isirt - PoC - Referencias Cruzadas con la 27001 Incident Handling Phases
GESTIÓN DE INCIDENTES: EL CASO DEL BANCO CENTRAL DEL PARAGUAY Basado en la ISO 27035:2011 Adaptado a la estructura y a los procesos internos del BCP Además del PoC y del isirt se vió la necesidad de generar un CSI (Comité de Seguridad de la Información) para hacer frente a situaciones de crisis Se diseño un modelo de isirt del tipo Ad Hoc, facilitando la inclusión de otras áreas afectadas Se han incorporado las recomendaciones de otros modelos de referencia, tales como ITIL y COBIT
H. DE USUARIO GTIC - POC DSI ISIRT CSI MONITOREO INICIO EVENTO EVENTO EVENTO DETECCIÓN Y REPORTE Registra el Evento y Asigna un Responsable Recibe notificación del evento ocurrido y registra el caso GESTIÓN DE INCIDENTES: EL CASO DEL BANCO CENTRAL DEL PARAGUAY ANALISIS Y EVALUACION Responde al Evento Analiza y Evalúa si Corresponde a un incidente o a un Falso Positivo Es un incidente? NO SI Responde al Incidente Analiza el incidente y toma las medidas necesarias para su resolución RESPUESTA Y REMEDIACION Se pudo Resolver? SI Documenta y Cierra el Caso Notifica al usuario sobre el cierre del caso NO Documenta los resultados del análisis realizado SI Se pudo Resolver? SI Documenta y Cierra el Caso Reportó un usuario? NO NO FIN FIN
CONCLUSIONES, OBSERVACIONES Y RECOMENDACIONES FINALES 1) Aprender a gestionar incidentes de seguridad es crucial 2) Los modelos de referencia facilitan la gestión de incidentes 3) Reaprovechar procesos y estructuras internas 4) Compartir información es parte del proceso 5) Involucrar a las autoridades según la necesidad 6) La clave son las personas
MUCHAS GRACIAS MARCELO GALVÁN A., ISO 27001LA, ISO22301LA, CCNP, CCDP, CCSS Director de Seguridad de la Información Banco Central del Paraguay mgalvan@bcp.gov.py +595216192696