View
35
Download
0
Category
Tags:
Preview:
DESCRIPTION
Mejores Practicas de Seguridad de la Informacion. Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com. Observaciones preliminares. Que estamos discutiendo los profesionales de seguridad de la información?. - PowerPoint PPT Presentation
Citation preview
Mejores Practicas de Seguridad de la
Informacion
Santiago Gabriel Cavanna
SANS-GSEC /ISC2 CISSP
CA Solution Strategist
santiago.cavanna@ca.com
Observaciones preliminares
> Que estamos discutiendo los profesionales de seguridad de la información?.
Seguridad informática VS Seguridad de la Información
> Por que es tan difícil explicar “el problema”. Ciencias exactas vs ciencias sociales La desventaja del modelo
> La evolución vertiginosa. Brechas de conocimiento – conflicto entre paradigmas de comunicación y
acceso.
> La demanda del “negocio”, por tipo de negocio (mercados verticales, demandas especificas)
Rápido y furioso.
> Riesgos, damnificados, responsables Directos e indirectos.
Agenda
> Definición simplificada del problema
> Modelos de Madures
> Estándares y Regulaciones y Mejores Practicas
> Recomendaciones generales
Definición simplificada del problema
Definición simplificada del problema
> El problema se sintetiza en alcanzar niveles aceptables de Confidencialidad, disponibilidad e integridad de la información que sostienen los objetivos del negocio
> Las claves son: Alcanzar – (modelo iterativo)
Confidencialidad.
Disponibilidad.
Integridad.
Niveles aceptables – (gestión de riesgos)
Objetivos del negocio – (Mandatorio y Rector)
Algunos Problemas subyacentes
> Definición de activos de información Valor de la información, percepción del valor de la información,
rentabilidad, dependencia.
Impacto sobre incidentes de perdida de confidencialidad, integridad o disponibilidad de la información.
> Cultura de la organización Composición humana de la organización
Supuestos, expectativas, idealización de la seguridad.
Relacionamiento entre los actores y entre los actores y la organización, sus procesos y sistemas.
Adaptabilidad al cambio, al control o a la limitación de privilegios– Modelo de seguridad aceptados o aceptables
Estado del arte: parte 1
> Sistemas distribuidos.
> Entornos heterogéneos.
> Interacciones multidireccionales y multisistemas.
> Aumento explosivo de los activos de información.
> Aumento explosivo de la dependencia a los sistemas.
> Relación entre vulnerabilidades y atacantes por definición, desventajosa
> Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente.
> Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.
Estado del arte: parte 2A
ttac
k So
ph
istica
tion
email propagation of malicious code
“stealth”/advanced scanning techniques
widespread attacks using NNTP to distribute attack
widespread attacks on DNS infrastructure
executable code attacks (against browsers)
automated widespread attacks
GUI intruder tools
hijacking sessions
Internet social engineering attacks
automated probes/scans
widespread denial-of-service
attackstechniques to analyze code for
vulnerabilitieswithout source code
DDoS attacks
increase in worms
sophisticated command & control
anti-forensic techniques
home users targeted
distributed attack tools
increase in wide-scale Trojan horse
distribution
Windows-based remote controllable
Trojans (Back Orifice)
Intruder Knowledge1990 2005
packet spoofing
Modelos de Madures
Modelos de Madurez.
> Basados en la Capacidad. (CMM)
> Basados en la Completitud. (ISO 9000-14000)
Act Plan
DoCheck
Maturity
Level
Time ScaleEffective Quality Improvement
Consolidate the Level Reached
Level 0
ITIL Maturity Model (information from Pink Elephant)
AwarenessProcess driven by tools
Roles and responsibilities poorly defined
InitiationSome policies statements
Words no DocsNo dedicated resources
AbsenceNo evidence of activities supporting
the process
ControlMeasurable Targets
Mgmt Reports producedFormal Planning
Tasks, responsibilities, well defined
IntegrationSignificant quality improvements
Interdepartmental communicationsQuality & Per. Metrics transferred between
processes
Absence
Level 1
Level 2
Level 3
Level 4
Level 5
Initiation
Awareness
Control
Integration
Optimization
OptimizationLinks between IT & Corporate Policy
InnovationQA & Continuous improvement
World Class Perf. Measurements
Maturity Model: Cobit Version 4.0
Modelo de madurez de Seguridad (basado en la capacidad)
Modelo de madurez de Seguridad(basado en la completitud)
Administración de TI: Modelo de madurez CA
Conduciendo el negocio
Activo
Eficiente
Receptivo
Responde a problemas y fallas
Procesos manuales “ad-hoc”
Procesos estandarizados
Respuestas automatizadas
Recursos de TI consolidados
Servicios de TI relevantes al negocio
Administración por nivel de servicio
Administración financiera de TI
TI se optimiza en tiempo real dinámicamente para apoyar al negocio
Proyectos transparentes
3
2
1
4
Ag
ilid
ad
Flexibilidad
- Dedicated Security Staff- Business Unit Owners
- Basic Security Policies- Identify & Classify Assets- Backup/Recovery Process- Periodic Vulnerability Assessments - Network Vulnerability Scanning
- Basic OS w/o Patches - Network Scanners- Anti-Virus- Backup and Storage
Co
nd
uct
So
luti
on
-Lea
din
g A
sses
smen
t to
Det
erm
ine
Cu
rren
t S
tate
& d
eliv
er G
AP
An
alys
is
Maturity Level (1)Active
Maturity Level (2)Efficient
Additional Capabilities Needed to Advance
to Next Level
- Certified Security Staff- Security Awareness Training (IT, HR, Dev)
- Security Policies and Backup/Recovery Process- Identify & Classify Assets- Periodic Vulner. Assessments and A&P- Network Vulner. And AV Scanning- Develop Standard OS Configurations- Vulnerability Research- Agent-based vulnerability and Configuration Management- Business Impact Analysis- Integrated Vulnerability Mgmt. and Helpdesk Processes - Manual Load of OS Patches
- Network Scanners- Anti-Virus- Backup and Storage- Agent Based Vulnerability & Configuration Management- Service Desk (Help Desk)
Security Awareness Training
Periodic Vulnerability & Attack and Penetration Testing
SA
O-D
efin
ed R
oad
map
an
d A
sso
ciat
ed R
OI D
eliv
ered
to
Clie
nt
to M
ove
fro
m A
ctiv
e to
Eff
icie
nt
Mat
uri
ty L
evelPeople
Process
Technology
Security Policies & Procedures
Security Solution Design, Implementation, and Integration
Unicenter Service Desk
BrightStor ArcServe
eTrust Anti-Virus & Vulnerability Manager
CISSP Training
CA products required to realize new capabilities
Maturity Capability Blueprint – Active to Efficient
Estándares y Regulaciones y Mejores Practicas
ISO27001
Communicationsand
OperationsManagement
OrganizationalSecurity
Security Policy
AssetClassification
andControl
BusinessContinuity
Management
Access Control
Physicaland
EnvironmentalSecurity
PersonnelSecurity
SystemsDevelopment
andMaintenance
Compliance
COBiT
Monitorand
Support
Acquireand
Implement
Planand
Organize
Defineand
Support
COSO
Monitoring
InternalEnvironment
RiskAssessment
ControlActivities
Informationand
Communications
ITIL
ICT InfrastructureManagement
ServiceDelivery /Support
BusinessPerspective
Planning toImplement
ServiceManagement
ApplicationManagement
SecurityManagement
ObjectiveSetting
RiskResponse
EventIdentification
COBIT
IT OPERATIONS
IT Governance
Quality Systems & Frameworks
Service
Mgm
t.
Ap
p. D
ev.
Pro
ject Mg
mt.
IT P
lann
ing
IT S
ecurity
Qu
ality System
Modelo de Gobierno IT
COSO
ITIL
BS7799
PMI
ISO
SixSigma
TSOIS
Strategy
ASL
CMM
Sarbanes Oxley
US Securities & Exchange Commission
ISO 27001 – Anexo Objetivos de control y controles.
> A5 Security Policy (3)
> A6 Organization of Information security (4)
> A7 Assesst Management (5)
> A8 Human Resourses Security (6)
> A9 Phisical And Environmental security (7)
> A10 Comunication And Operations Management (8)
> A11 Access Control (9)
> A12 Information System Acquisition, dev and maintenance (10)
> A13 Information Security incident Management (nuevo)
> A14 Business Continuity Management (11)
> A15 Compliance. (12)
> American Society for Industrial Security (ASIS)
> Australian Computer Emergency Response Team
> Armed Forces Electronics and Communication Association (AFCEA)
> Association of anti Virus Asia Researchers (AVAR)
> CLUSIF (Infosec Association of France)
> CLUSIT (Infosec Association of Italy)
> Cyber Security Industry Alliance (CSIA)
> Distributed Management Task Force (DMTF)
> Government Electronics and Information Technology Association (GEIA)
> ICSA Labs
> IEEE-ISTO Open Security Exchange (OSE)
> Information Security & Privacy Advisory Board (ISPAB)
> Information Sharing & Analysis Center Council (ISAC Council)
> Information Systems Control & Audit Association (ISACA)
> Information Technology Association of America (ITAA)
> Information Technology-Information Sharing and Analysis Center (IT-ISAC)
> InfraGard
> InterNational Committee for Information Technology Standards (INCITS)
> International Information Systems Security Certification Consortium (ISC)2
> International Security Trust & Privacy Alliance (ISTPA)
> Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX)
> Israel Security Forum
> IT Service Management Forum (itSMF)
> John Jay College of Criminal Justice
> Korea Institute of Information Security & Cryptology
> Liberty Alliance
> Mitre CVE Editorial Board
> National Cyber Security Summit Task Forces
> New York Electronic Crimes Task Force
> Object Management Group (OMG)
> Open Mobile Alliance
> Open Source Development Lab (OSDL)
> Organization for the Advancement of Structured Information Standards (OASIS)
> Security Industry Association (SIA)
> SHARE
> The Open Group
> Virus Bulletin
> Wild List Organization (ITW)
> World Wide Web Consortium (W3C)
CA Security Affiliations
Recomendaciones generales
Tarea para el hogar
> Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación?
> Hemos realizado un analisis de riesgo integral?
> Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos?
> Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible?
> Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?
Muchas gracias
Recommended