Estado del arte de la

seguridad de la información

Julio César Ardita

[email protected]

21 de Octubre de 2014
Buenos Aires - Argentina
Estado del arte de la seguridad de la información

Agenda
• Incidentes de seguridad
• El rol del CISO
• Presión de las regulaciones
• Vulnerabilidades
• Outsourcing de la seguridad
• Seguridad de las redes industriales
• La nube segura
• Herramientas de seguridad
• Seguridad en dispositivos móviles

2
Incidentes de
seguridad

3
Estado del arte de la seguridad de la información
Incidentes de seguridad

Incidentes de seguridad

Incidentes públicos vs. incidentes privados

- Fraudes
- Amenazas
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS

4
Estado del arte de la seguridad de la información
Incidentes de seguridad

Incidentes de seguridad

Cantidad de incidentes graves manejados por CYBSEC

18

16

14

12

10

0
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014*

5
Estado del arte de la seguridad de la información
Incidentes de seguridad

Tendencia Actual

- Aumento de incidentes de seguridad (mayoría de los casos insiders)

- Aumento exponencial de ataques de phishing contra entidades

financieras argentinas (Disparador: transferencias inmediatas Abril 2011)

- Ataques de phishing más sofisticados (incluyendo explotación de

vulnerabilidades)

- Hacktivismo (Sector 404 Argentina

y Anonymous Argentina)

- Origen de ataques: Redes Wifi abiertas o redes TOR

6
Estado del arte de la seguridad de la información
Incidentes de seguridad

Manejo de Incidentes

La pregunta hoy no es si voy a tener un incidente de seguridad, sino:

¿Cuándo lo voy a tener?

Madurez del Manejo de Incidentes de Seguridad Interno

- No poseen (85%)

- Manejo de incidentes desorganizado (8%)

- Manejo de incidentes formal para la foto (compliance) (4%)

- Manejo de incidentes formal real (2%)

- CSIRT interno (<1%)

7
El Rol del CISO

8
Estado del arte de la seguridad de la información
Rol del CISO

CISO: Chief Information Security Officer

• Encargado de seguridad de la Información dentro de una Organización

• El nivel de reporte depende del grado de maduración de la empresa

Seguridad Informática Seguridad de la Información

Tareas técnicas y operativas Rol de Management

Antes Hoy

Seguridad Informática
Tareas técnicas, operativas, regulaciones,
soporte a áreas de sistemas

9
Estado del arte de la seguridad de la información
Rol del CISO

La evolución de las áreas de Seguridad

(grados de madurez)

- Nivel Estratégico – CISO

- Nivel de Negocio – Gerente de Seguridad
- Nivel Gerencial – Jefe de Seguridad Informática
- Nivel Técnico – Administrador de Seguridad

Estructura del área de seguridad

- Tipo de Compañía - Tamaño de la Compañía

- Regulaciones que aplican - Presupuesto
- Cultura organizacional - Rol del CSO
- Grado de madurez de la Compañía
10
Estado del arte de la seguridad de la información
Rol del CISO

El CSO debe:
- Tener visibilidad hacia la organización.
- Dar valor agregado en seguridad.
- Moverse en un plano estratégico y de
negocios (y no solamente en un plano técnico).
- Ser proactivo y ayudar al negocio.
- Aprovechar las oportunidades (reuniones, incidentes, etc.)
y mostrar las capacidades de su equipo y gestión.
- Moverse políticamente en la organización.
- Tener la habilidad de presentar resultados para que el
resto de la organización pueda entender claramente cuales
son los riesgos y cómo estamos trabajando para mitigarlos.

11
Presión de las
regulaciones

12
Estado del arte de la seguridad de la información
Presión de las regulaciones

Evolución de la madurez y estado de implementación de las normativas

relacionadas con seguridad en Argentina

Normativa Madurez
SOX 5
BCRA 4609 4
BCRA 5374 2
Protección de datos personales 2
Protección de datos de salud 1
PCI-DSS 3

• Las normativas llegaron para quedarse

• La mayoría de las mismas impactan en el sector de SI
• Se debe tomarlas como “oportunidades”

13
Estado del arte de la seguridad de la información
Presión de las regulaciones

PCI-DSS
- Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015
- Principales procesadores, gateways de pago y grandes comercios
certificados
- Comienzo de utilización de tecnología chip en tarjetas de crédito

BCRA 5374
- Los Bancos están implementando la normativa de seguridad en canales
electrónicos – Concientización
- Uso de doble factor de autenticación para transacciones críticas

Protección de datos personales

- La DNPDP está realizando inspecciones
- Manual de seguridad – Clasificación de información
- Está comenzando la protección de datos de salud (Estándar HL7 - IRAM-
ISO 27.799)

14
Vulnerabilidades

15
Estado del arte de la seguridad de la información
Vulnerabilidades

Vulnerabilidades de seguridad

- Un nuevo trabajo: Vulnerability Researcher

- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código

+ Conocimiento de la misma en el mercado = Hasta U$S 100.000

- Maduración del mercado de compra/venta de vulns

- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's

Exploit Acquisition Program, etc

- Mercado oficial – negro – gris

16
Estado del arte de la seguridad de la información
Vulnerabilidades

Vulnerabilidades de seguridad

- Aparecerán nuevas vulnerabilidades críticas

y es clave la rapidez para aplicar la solución
a la misma.
Ejemplos: Heartbleed, Shellshock,
POODLE: SSLv3 vulnerability, etc.

Patch Management
- Desarrollar estrategia de patch management
- Clasificar el nivel de riesgo de la vulnerabilidad.
- Aplicación de patch / workaround: SO – AP – DB – Desarrollo.
- Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología.

17
Estado del arte de la seguridad de la información
Vulnerabilidades

Tendencias en vulnerabilidades de seguridad

- Más gente buscando nuevas vulnerabilidades!!!

- Intentos por regular la actividad (Alemania, EEUU, etc.)

- Acercamiento al tema de las áreas de inteligencia de algunos países

- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days

- Aumento de los Toolkits para

Cybercrimen (Phishing – Botnets – Etc.)

18
Outsourcing de la
seguridad

19
Estado del arte de la seguridad de la información
Outsourcing de seguridad

Situación actual

Las áreas de seguridad de la información en las Organizaciones están

realizando outsourcing de las siguientes tareas:

- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)

- PenTest
- Gestión de vulnerabilidades (scannings)
- Gestión de accesos (ABM Users y Permisos)
- Respuesta a incidentes
- Soporte a proyectos internos
- Desarrollo de Documentación

20
Estado del arte de la seguridad de la información
Outsourcing de seguridad

Tendencias

- Madurez en los servicios de outsourcing de seguridad

- Establecimiento de SLA´s.
- Acompañamiento de la estrategia de la Organización

Recurso on-site
especializado

Horas de Soporte
Sector de Seguridad
de la Información

21
Seguridad de las
redes industriales

22
Estado del arte de la seguridad de la información
Seguridad de las redes industriales

Situación actual

Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria

Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud,
Tecnologías de la Información y las Comunicaciones (TIC), Transporte,
Alimentación y Sistema Financiero y Tributario.

En las Organizaciones, el sinónimo es protección de redes industriales (SCADA)

La red SCADA era manejada Seguridad Corporativa se está

por ingenieros y proveedores. metiendo en el tema.
- Integración con la red corporativa
- Aplicación de estándares
- Actualización / Patches

23
Estado del arte de la seguridad de la información
Seguridad de las redes industriales

24
Estado del arte de la seguridad de la información
Seguridad de las redes industriales

Tendencias

- Los gobiernos están involucrándose en el tema. En Argentina, en

2011 se creó el Programa Nacional
de Infraestructuras Críticas de
Información y Ciberseguridad (ICIC).

- Las Organizaciones que poseen este tipo de redes

industriales están avanzando en la aplicación de
medidas de seguridad.

25
La nube segura

26
Estado del arte de la seguridad de la información
La nube segura

Situación actual

- Beneficio de los servicios cloud: Empresas chicas

- Cultura empresarial Acuerdos predefinidos y no negociables

Son los estándares en los modelos cloud ya
que permiten la economía de escala.
- SLA (la base de todo)
Acuerdos negociables
Similares a los contratos tradicionales
de outsourcing (complejos!).

- Modelos y seguridad

27
Estado del arte de la seguridad de la información
La nube segura

Aspectos de seguridad a tener en cuenta

NIST 800-144 - Guidelines on Security and Privacy in Public

Cloud Computing

1. Gobierno
2. Cumplimiento
3. Confianza
4. Arquitectura
5. Identity y Access Management
6. Aislamiento de software
7. Protección de información
8. Disponibilidad
9. Respuesta ante Incidentes

28
Herramientas de
seguridad de la
información

29
Estado del arte de la seguridad de la información
Herramientas de seguridad de la información

Madurez en el uso de herramientas de seguridad

Madurez
Antivirus (Correo – Navegación – Workstations) 5

AntiSpam 4

Filtro de contenido (Protección en la navegación) 3

Firewalls 5

Sistemas de Detección de Intrusiones 4

Sistemas de Prevención de Intrusiones 3

Web Application Firewalls 2

Herramientas Anti-DDOS 1

30
Estado del arte de la seguridad de la información
Herramientas de seguridad de la información

Madurez en el uso de herramientas de seguridad

Madurez
Firewall de Base de Datos 2

Identity Management 2

DLP (Data Loss Prevention) 1

NAC (Network Access Control) 1

Correlación de eventos 2

MDM (Mobile Device Management) 3

Encryption Tools 2

31
 Seguridad en
dispositivos móviles

32
Estado del arte de la seguridad de la información
Seguridad en dispositivos móviles

Dispositivos móviles (teléfonos y tablets)

Uso Personal (BYOD)

Mejores prácticas de seguridad.
Password – encripción de información
Guía de recomendaciones.

Uso Corporativo
Mayor posibilidad de control
Password – encripción de información – wipe remoto – control de aplicaciones
– antivirus – Actualizaciones – Monitoreo - Etc.

33
Estado del arte de la seguridad de la información
Seguridad en dispositivos móviles

Uso de MDM (Mobile Device Management)

Respuesta a la necesidad empresarial de poder gestionar de forma

centralizada los dispositivos móviles (principalmente tablets y
smartphones)
34
Estado del arte de la seguridad de la información
Seguridad en dispositivos móviles

Características de MDM

Gestión de Hardware y software

Inventario de dispositivos
Catálogo de software
Distribución de aplicaciones Administración de perfiles
Actualizaciones Configuraciones de correo
Listado de Apps permitidas Configuraciones Wifi
Configuraciones VPN
Política de Backup
Aseguramiento del dispositivo
Control de dispositivos
Bloqueo remoto
Borrado remoto
Encripción
Política de contraseñas

35
Muchas gracias!

Julio César Ardita

[email protected]

21 de Octubre de 2014
Buenos Aires - Argentina