mejores practicas de seguridad de la...
TRANSCRIPT
Mejores Practicas de Seguridad de la
Informacion
Santiago Gabriel Cavanna
SANS-GSEC /ISC2 CISSP
CA Solution Strategist
Observaciones preliminares
> Que estamos discutiendo los profesionales de seguridad de la información?.
Seguridad informática VS Seguridad de la Información
> Por que es tan difícil explicar “el problema”.
Ciencias exactas vs ciencias sociales
La desventaja del modelo
> La evolución vertiginosa.
Brechas de conocimiento – conflicto entre paradigmas de comunicación y acceso.
> La demanda del “negocio”, por tipo de negocio (mercados verticales, demandas especificas)
Rápido y furioso.
> Riesgos, damnificados, responsables
Directos e indirectos.
Agenda
> Definición simplificada del problema
> Modelos de Madures
> Estándares y Regulaciones y Mejores Practicas
> Recomendaciones generales
Definición simplificada del problema
Definición simplificada del problema
> El problema se sintetiza en alcanzar niveles aceptables de
Confidencialidad, disponibilidad e integridad de la
información que sostienen los objetivos del negocio
> Las claves son:
Alcanzar – (modelo iterativo)
Confidencialidad.
Disponibilidad.
Integridad.
Niveles aceptables – (gestión de riesgos)
Objetivos del negocio – (Mandatorio y Rector)
Algunos Problemas subyacentes
> Definición de activos de información
Valor de la información, percepción del valor de la información,
rentabilidad, dependencia.
Impacto sobre incidentes de perdida de confidencialidad,
integridad o disponibilidad de la información.
> Cultura de la organización
Composición humana de la organización
Supuestos, expectativas, idealización de la seguridad.
Relacionamiento entre los actores y entre los actores y la
organización, sus procesos y sistemas.
Adaptabilidad al cambio, al control o a la limitación de privilegios
– Modelo de seguridad aceptados o aceptables
Estado del arte: parte 1
> Sistemas distribuidos.
> Entornos heterogéneos.
> Interacciones multidireccionales y multisistemas.
> Aumento explosivo de los activos de información.
> Aumento explosivo de la dependencia a los sistemas.
> Relación entre vulnerabilidades y atacantes por definición, desventajosa
> Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente.
> Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.
Estado del arte: parte 2
Atta
ck
So
ph
istic
atio
n
email propagation of malicious code
“stealth”/advanced scanning techniques
widespread attacks using NNTP to distribute attack
widespread attacks on DNS infrastructure
executable code attacks (against browsers)
automated widespread attacks
GUI intruder tools
hijacking sessions
Internet social engineering
attacks
automated probes/scans
widespread denial-of-service
attacks techniques to analyze code for
vulnerabilities without source code
DDoS attacks
increase in worms
sophisticated command & control
anti-forensic
techniques
home users
targeted
distributed
attack tools
increase in wide-
scale Trojan horse
distribution
Windows-based
remote controllable
Trojans (Back
Orifice)
Intruder Knowledge 1990 2005
packet spoofing
Modelos de Madures
Modelos de Madurez.
> Basados en la Capacidad. (CMM)
> Basados en la Completitud. (ISO 9000-14000)
Act Plan
Do Check
Matu
rity Level
Time Scale
Consolidate the Level
Reached
Level 0
ITIL Maturity Model (information from Pink Elephant)
Awareness
Process driven by tools
Roles and responsibilities poorly
defined
Initiation
Some policies statements
Words no Docs
No dedicated resources
Absence
No evidence of activities supporting
the process
Control
Measurable Targets
Mgmt Reports produced
Formal Planning
Tasks, responsibilities, well defined
Integration
Significant quality improvements
Interdepartmental communications
Quality & Per. Metrics transferred between
processes
Absence
Level 1
Level 2
Level 3
Level 4
Level 5
Initiation
Awareness
Control
Integration
Optimization
Optimization
Links between IT & Corporate Policy
Innovation
QA & Continuous improvement
World Class Perf. Measurements
Maturity Model: Cobit Version 4.0
Modelo de madurez de Seguridad (basado en la capacidad)
Modelo de madurez de Seguridad (basado en la completitud)
Administración de TI: Modelo de madurez CA
Conduciendo el negocio
Activo
Eficiente
Receptivo
Responde a problemas y fallas
Procesos manuales “ad-hoc”
Procesos estandarizados
Respuestas automatizadas
Recursos de TI consolidados
Servicios de TI relevantes al negocio
Administración por nivel de servicio
Administración financiera de TI
TI se optimiza en tiempo real dinámicamente para apoyar al negocio
Proyectos transparentes
3
2
1
4
Ag
ilid
ad
Flexibilidad
- Dedicated Security Staff
- Business Unit Owners
- Basic Security Policies
- Identify & Classify Assets
- Backup/Recovery Process
- Periodic Vulnerability
Assessments
- Network Vulnerability
Scanning
- Basic OS w/o Patches
- Network Scanners
- Anti-Virus
- Backup and Storage
Co
nd
uc
t S
olu
tio
n-L
ea
din
g A
ss
es
sm
en
t to
De
term
ine
Cu
rre
nt
Sta
te &
de
liv
er
GA
P A
na
lys
is
Maturity Level (1)
ActiveMaturity Level (2)
Efficient
Additional Capabilities
Needed to Advance
to Next Level
- Certified Security Staff
- Security Awareness Training
(IT, HR, Dev)
- Security Policies and Backup/Recovery
Process
- Identify & Classify Assets
- Periodic Vulner. Assessments and A&P
- Network Vulner. And AV Scanning
- Develop Standard OS Configurations
- Vulnerability Research
- Agent-based vulnerability and
Configuration Management
- Business Impact Analysis
- Integrated Vulnerability Mgmt. and
Helpdesk Processes
- Manual Load of OS Patches
- Network Scanners
- Anti-Virus
- Backup and Storage
- Agent Based Vulnerability &
Configuration Management
- Service Desk (Help Desk)
Security Awareness Training
Periodic Vulnerability &
Attack and Penetration Testing
SA
O-D
efi
ne
d R
oa
dm
ap
an
d A
ss
oc
iate
d R
OI D
eliv
ere
d t
o C
lie
nt
to
Mo
ve
fro
m A
cti
ve
to
Eff
icie
nt
Ma
turi
ty L
ev
el
People
Process
Technology
Security Policies & Procedures
Security Solution Design,
Implementation, and Integration
Unicenter Service Desk
BrightStor ArcServe
eTrust Anti-Virus
& Vulnerability Manager
CISSP Training
CA products required to
realize new capabilities
Maturity Capability Blueprint – Active to Efficient
Estándares y Regulaciones y Mejores Practicas
ISO27001
Communications and
Operations Management
Organizational Security
Security Policy
Asset Classification
and Control
Business Continuity
Management
Access Control
Physical and
Environmental Security
Personnel Security
Systems Development
and Maintenance
Compliance
COBiT
Monitor and
Support
Acquire and
Implement
Plan and
Organize
Define and
Support
COSO
Monitoring
Internal Environment
Risk Assessment
Control Activities
Information and
Communications
ITIL
ICT Infrastructure Management
Service Delivery / Support
Business Perspective
Planning to Implement
Service Management
Application Management
Security Management
Objective Setting
Risk
Response
Event Identification
COBIT
IT OPERATIONS
IT Governance
Quality Systems &
Frameworks
Serv
ice
Mgm
t.
A
pp
. Dev.
Pro
ject M
gm
t.
IT P
lan
nin
g
IT
Secu
rity
Qu
ality
Syste
m
Modelo de Gobierno IT
COSO
ITIL
BS 7799
PMI
ISO
Six Sigma
TSO IS
Strategy
ASL
CMM
Sarbanes Oxley
US Securities & Exchange
Commission
ISO 27001 – Anexo Objetivos de control y controles.
> A5 Security Policy (3)
> A6 Organization of Information security (4)
> A7 Assesst Management (5)
> A8 Human Resourses Security (6)
> A9 Phisical And Environmental security (7)
> A10 Comunication And Operations Management (8)
> A11 Access Control (9)
> A12 Information System Acquisition, dev and maintenance (10)
> A13 Information Security incident Management (nuevo)
> A14 Business Continuity Management (11)
> A15 Compliance. (12)
> American Society for Industrial Security (ASIS)
> Australian Computer Emergency Response Team
> Armed Forces Electronics and Communication Association (AFCEA)
> Association of anti Virus Asia Researchers (AVAR)
> CLUSIF (Infosec Association of France)
> CLUSIT (Infosec Association of Italy)
> Cyber Security Industry Alliance (CSIA)
> Distributed Management Task Force (DMTF)
> Government Electronics and Information Technology Association (GEIA)
> ICSA Labs
> IEEE-ISTO Open Security Exchange (OSE)
> Information Security & Privacy Advisory Board (ISPAB)
> Information Sharing & Analysis Center Council (ISAC Council)
> Information Systems Control & Audit Association (ISACA)
> Information Technology Association of America (ITAA)
> Information Technology-Information Sharing and Analysis Center (IT-ISAC)
> InfraGard
> InterNational Committee for Information Technology Standards (INCITS)
> International Information Systems Security Certification Consortium (ISC)2
> International Security Trust & Privacy Alliance (ISTPA)
> Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX)
> Israel Security Forum
> IT Service Management Forum (itSMF)
> John Jay College of Criminal Justice
> Korea Institute of Information Security & Cryptology
> Liberty Alliance
> Mitre CVE Editorial Board
> National Cyber Security Summit Task Forces
> New York Electronic Crimes Task Force
> Object Management Group (OMG)
> Open Mobile Alliance
> Open Source Development Lab (OSDL)
> Organization for the Advancement of Structured Information Standards (OASIS)
> Security Industry Association (SIA)
> SHARE
> The Open Group
> Virus Bulletin
> Wild List Organization (ITW)
> World Wide Web Consortium (W3C)
CA Security Affiliations
Recomendaciones generales
Tarea para el hogar
> Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación?
> Hemos realizado un analisis de riesgo integral?
> Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos?
> Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible?
> Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?
Muchas gracias