Seguridad Informática para Dispositivos Móviles en entornos
corporativos y personales
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Agenda
• ¿Qué es un dispositivo móvil?• Riesgos en dispositivos móviles.• Tendencias de Seguridad en dispositivos móviles.• Controles y Recomendaciones a aplicar.• Demo
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
¿Qué es un dispositivo movil?
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Riesgos en Dispositivos Móviles
• Perdida o Robo• Phishing (es exitoso)• Malware (400,000
descargas en Adroid)• Repackaging • Ataques QR • Wifi (Mitm)• Botnet (MitB)• BYOD
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Riesgos en Dispositivos Móviles
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Riesgos en dispositivos Móviles
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
• Anatomía de Ataque
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Caso de Estudio - Eurograbber
• Movimiento del dinero
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Tendencias de Seguridad Informática en dispositivos móviles.
• Establecer una estrategia de seguridad para móviles• Usar plataformas Mobile Device Management –
MDM• Habilitar el Password o PIN• Deshabilitar la instalación de aplicaciones no
confiables• Reportar la perdida de los dispositivos
inmediatamente• Utilizar Antivirus en moviles.
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Tendencias de Seguridad Informática en dispositivos móviles.
Sin MDM• Controles de seguridad limitados
– Ausencia de gestión de aplicaciones– No existe forma de restringir
configuraciones de seguridad en móviles
– Difícil de controlar el acceso de recursos internos
• Administración limitada– Dificultad para administrar
dispositivos– Poco control sobre el control del
estado de los dispositivos– No escalable
Con MDM• Controles adecuados
– Seguridad, borrado remoto– Gestión de aplicaciones– Restricciones basado en políticas– Controles de acceso y salida
• Administración Adecuada– Fácil de administrar y brindar
soporte a dispositivos diversos– Control sobre estado del
dispositivo– Escalable
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Tendencias de Seguridad Informática en dispositivos móviles.
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Controles y Recomendaciones a aplicar
• Concientizar a la organización sobre los riesgos en dispositivos móviles
• Realizar evaluación de riesgos para implementar controles acordes con los objetivos de negocio.
• Seguridad es un componente importante en la estrategia de adopción de tecnologías móviles
• Aplicar controles a nivel de código de aplicaciones moviles (OWASP)
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
Controles y Recomendaciones a aplicar
• Implementar políticas BYOD• Crear un proceso de aplicación de parches que sea aplicado
por el usuario• Implementar solución MDM & Antivirus• Establecer líneas base de seguridad con MDM y monitorear su
desviación • Aplicar por lo menos estos 5 controles
– Cifrado– PIN– Borrado después de 10 intentos– Borrado remoto– Apps Confiables (No jailbreak)
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
DEMO
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002
GRACIASRaúl Díaz Parra
Gerente IT & Risk [email protected]
[email protected] CEH, CHFI, ECSA, ECSP, CEI, CISM,
CISA, ITIL, CPTI, ISF ISO 27002
Raúl Díaz | CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISF ISO27002