Confidencial

Managed Security Managed Security ServicesServices

como medir al prestador de como medir al prestador de serviciosservicios

CIITI 2004

Confidencial

El contexto actualEl contexto actual• Los negocios se basan en transaccionar información y estos necesitan cada vez mayor velocidad de reacción y menos puntos de falla.

• La tecnología y las redes son un insumo insustituible en el mundo de los negocios.

• Si necesitamos estar Online, deberemos prestarle atención a como cursamos la información! Dentro de la empresa, a nuestras sucursales desde y hacia Internet

•Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.

Confidencial

Por qué aumentan las amenazas?Por qué aumentan las amenazas?

• Crecimiento exponencial de las Redes y Usuarios Crecimiento exponencial de las Redes y Usuarios InterconectadosInterconectados

• Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías

•Tecnologías cada vez más complejas y anidadasTecnologías cada vez más complejas y anidadas

• Las prácticas de ingenieria usadas por los proveedores de Las prácticas de ingenieria usadas por los proveedores de servicios (Software, ISPs,etc) no producen sistemas inmunes servicios (Software, ISPs,etc) no producen sistemas inmunes a ataques. a ataques.

•El concepto de sistema, tiene implícito la característica de la El concepto de sistema, tiene implícito la característica de la no-perfecciónno-perfección

• A medida que se avanza hacia la amigabilidad de la A medida que se avanza hacia la amigabilidad de la tecnología se aleja de la seguridad de la mismatecnología se aleja de la seguridad de la misma

Confidencial

Por qué aumentan las amenazas?Por qué aumentan las amenazas?

• Técnicas de Ingeniería SocialTécnicas de Ingeniería Social• Comunidades de hackers Comunidades de hackers (http://www.zone-h.com)(http://www.zone-h.com)

• Fácil uso de herramientas de ataqueFácil uso de herramientas de ataque

• Alta disponibilidad de Herramientas Automatizadas de Alta disponibilidad de Herramientas Automatizadas de AtaquesAtaques

• Nuevas Técnicas de Ataque Distribuido (Ej:DDoS)Nuevas Técnicas de Ataque Distribuido (Ej:DDoS)

Fuente: FBI

Y más....Y más....

Confidencial

Sofisticación de ataques vs. Sofisticación de ataques vs. Conocimientos técnicos del atacanteConocimientos técnicos del atacante (fuente CERT)

Alto

Bajo

1980 1985 1990 1995 2000

password guessing

self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits

back doors

hijacking sessions

sweepers

sniffers

packet spoofing

GUIautomated probes/scans

denial of service

www attacks

Herramientas

Atacantes

Conocimientodel atacante

SofisticaciónDel ataque

“stealth” / advanced scanning techniques

burglaries

network mgmt. diagnostics

DDOS attacks

Confidencial

Ciclo de vida de una vulnerabilidadCiclo de vida de una vulnerabilidad

Hackers avanzadosDescubren

vulnerabilidad

Comienzan lasHerramientas de

explotación en crudo

Hacker novatosutilizan herramientas

de explotaciónEn crudo

Se desarrollan herramientasde escaneo/ataque automatizado

Se distribuye el uso deHerramientas de ataqueautomatizadas

Hackers comienzan aUtilizar nuevos tiposDe ataques

Confidencial

Los activos de su empresaLos activos de su empresa

La La informacióninformación debe considerarse como un recurso debe considerarse como un recurso intangible con el que cuentan las Empresas y por lo intangible con el que cuentan las Empresas y por lo tanto tiene valor para éstas, al igual que el resto de tanto tiene valor para éstas, al igual que el resto de los los activosactivos, debe estar debidamente protegida., debe estar debidamente protegida.

Si no la protegemos es probable que exista...Si no la protegemos es probable que exista...

•Pérdida de reputaciónPérdida de reputación

•Interrupción no planeada de negocios, servicios, producciónInterrupción no planeada de negocios, servicios, producción

•Perdidas financieras y de tiempoPerdidas financieras y de tiempo

•Robo de información sensibleRobo de información sensibleCuanto cuesta no tener sistemas por un día?Cuanto cuesta no tener sistemas por un día?

Cuanto cuesta un fraude a mis Bases de Datos?Cuanto cuesta un fraude a mis Bases de Datos?

Y cuanto vale perder la imagen ante el mercado ???Y cuanto vale perder la imagen ante el mercado ???

Confidencial

Seguridad:La principal prioridad del área Seguridad:La principal prioridad del área de ITde IT

Fuente: Team source

64%

56%

51%

33%

36%

33%

31%

13%

13%

10%

28%

31%

46%

54%

56%

59%

64%

74%

82%

85%

3%

3%

3%

0% 50% 100%

No es importante/Poco importante Indiferente

Bastante importante/Prioridad NS/NC

Construcción o contratación de un data center

Implementación o expansión del Call Center

Implementación de telefonia IP

Implementación de comunicaciones unificadas

Integración de telefonia en computadoras (CTI)

Implementación o migración de red VPN

Expansión de la red de datos

Implementación de acceso remoto a la red

Mejoras en seguridad de la red

Continuidad de los negocios - Disaster Recovery

Que importáncia tienen estas iniciativas para su empresa?% de respuestas

Argentina - 2003

Confidencial

La seguridad,La seguridad, es responsabilidad exclusiva del área de es responsabilidad exclusiva del área de

IT ?IT ?Generalmete las áreas de IT (*):

•Carecen de prioridades y entendimiento del bosque (metas del negocio, valuación de activos, amenazas, riesgos, estrategias de protección)

•Están faltante de tiempo, recursos y personal calificado en seguridad.

•No están actualizadas sobre nuevas vulnerabilidades, mutación de ataques, productos inseguros, parches con problemas…

•Están enfocadas en dar funcionalidades y respuestas a los usuarios finales, rompiendo la distancia y la objetividad necesaria a la hora de fijar normas y políticas de seguridad :

Microsoft OWA?

““Security Risk = Business Risk”Security Risk = Business Risk”

(*) Pymes, micropymes

Confidencial

Qué valor tiene la información ?Qué valor tiene la información ?• Antes que nada, consideramos al gerenciamiento Antes que nada, consideramos al gerenciamiento de la información como un Cost Center o Profit de la información como un Cost Center o Profit Center?Center?

• El valor de la información es relativa a cada El valor de la información es relativa a cada negocio, Security Risk = Business Risknegocio, Security Risk = Business Risk

Métodos de ponderación del valorMétodos de ponderación del valor

•ROSI : El ROI en la seguridadROSI : El ROI en la seguridad• Orientado a proyectos en curso (TCO, NPV, etc)Orientado a proyectos en curso (TCO, NPV, etc)

•Ponderación de riesgo/valuación cuantitativaPonderación de riesgo/valuación cuantitativa•SLE SLE (Single Loss Expectancy)= TAI x ratio de perdida por exposición (Single Loss Expectancy)= TAI x ratio de perdida por exposición (100%=perdida de todo los activos, 0=no pierdo nada) (100%=perdida de todo los activos, 0=no pierdo nada)

•ALE ALE (Annualized Loss Expectancy)= SLE x ratio de ocurrencia en el año(Annualized Loss Expectancy)= SLE x ratio de ocurrencia en el año

SLE Tool

Confidencial

Cálculo de la expectativa de pérdida de activos en un año (ALE)Componentes Promedio Total Descripción U$S/Euros Cantidad U$S

RRHH

Cantidad de empleados que poseen computadoras y/o acceden a procedimientos y/o a información. Este indicador se calcula tomando el sueldo promedio, en tres años de trabajo

$ 633 50 $ 1.235.000

Servidores Cantidad Total de servidores que posee la empresa $ 3.000 3 $ 9.000

Aplicativo Coste de sistema de misión crítica $ 10.000 1 $ 10.000

Cantidad de PCsCantidad de empleados que poseen computadoras y/o acceden a procedimientos y/o a información. $ 500 X $ 25.000

Costo software baseCantidad de empleados que poseen computadoras y/o acceden a procedimientos y/o a información. Se adicionan servidores $ 100 X $ 6.800

TAI $ 1.285.800

Ratio de exposición Ratio de pérdida por exposición ante problemas de seguridad 25% (*) Suponemos que alguna medida de seguridad ya se está tomando

Ratio de ocurrencia en el año Cantidad de vulnerabilidades x año en servers de Internet 6 (*) existen un promedio de 20 vulnerabiliaddes nuevas x mes

SLE $ 321.450ALE $ 1.928.700

$ 1.928.700 Dólares/EurosPor lo tanto, el valor anual en juego ,que implica la gestión de la seguridad perimetral de su empresa es de :

Valuación cuantitativa

Simulación: escenario 50 empleados, 3 servers, 1 aplicativo de misión crítica

Confidencial

Como resolver el desafío de la Como resolver el desafío de la seguridad en Internet?seguridad en Internet?

• La seguridad no es un producto, un La seguridad no es un producto, un firewall... La seguridad es un firewall... La seguridad es un proceso continuo.proceso continuo.

• El problema de la Seguridad está El problema de la Seguridad está en su gerenciamiento y no en las en su gerenciamiento y no en las tecnologías disponiblestecnologías disponibles

• El costo de la defensa depende de El costo de la defensa depende de la valuación de los activos a la valuación de los activos a defenderdefender

• No entrar en la táctica del avestruzNo entrar en la táctica del avestruz

Confidencial

La posibilidad de trabajar con La posibilidad de trabajar con un socio experto ? un socio experto ?

• Servicios de seguridad comunmente tercerizados– Gestión de firewalls, IDSs y VPNs

– Monitoreo de la seguridad perimetral

– Gestión de incidentes, análisis forénsicos

– Diagnóstico de vulnerabilidades y penetration testing

– Antivirus y content filtering

– Resguardo de información

– On site consulting

A pesar de que las empresas, no puedan desligarse del riesgo de la seguridad de la información y de los riesgos del negocio, la contratación de un proveedor de servicios de seguridad gestionados (MSSP) permite compartir la mitigación de riesgos y gerenciamiento

Confidencial

•Las empresas pequeñas y medianas han evitado por lo general la tercerización debido a su complejidad y a un supuesto riesgo implícito de pérdida de control y volatilidad de responsabilidades. 

•El modelo MSSP (Managed Security Service Provider) ofrece una decisión basada en “papeles complementarios y responsabilidades compartidas”. De esta forma la empresa y el MSP tienen definidos sus roles, permitiendo a la empresa rescatar el valor real del outsourcing, pero al mismo tiempo conservar el control de IT, reduciendo costos

•El MSSP se convierte en proveedor de información detallada de management, monitoreo y de recomendaciones técnicas. La empresa se transforma en un consumidor de este flujo de información y conserva el control de su propia infraestructura y aplicaciones.

Como minimizar el riesgo?: El Como minimizar el riesgo?: El MSSPMSSP

Confidencial

• De esta forma la empresa conserva el control de sus propios recursos mientras usa el expertise del MSSP para asistirla en las operaciones del día a día como así también en operaciones estratégicas de management.

• El mercado y el avance de la tecnología fuerza al MSSP a estar continuamente capacitando sus RRHH y adquiriendo las mejores herramientas de management y control.

• Bajo este modelo la empresa tiene la ventaja de hacer uso de servicios/soluciones de alto nivel sin haber necesitado desarrollarla en forma interna o haberla comprado a altos costos.

Como minimizar el riesgo?: El Como minimizar el riesgo?: El MSSPMSSP

Confidencial

Los servicios de seguridad gestionada crecen Los servicios de seguridad gestionada crecen velozmentevelozmente Tamaño del mercado mundial (Millones de dólares)

Fuente: IDC. Cifras similares son obtenidas a través de Gartner.

0

500

1000

1500

2000

2500

3000

3500

2000 2001 2002 2003 2004 2005

Desafio continuo para administrar complejas tecnologías y redes

Presión para reducir los costos de TI

Tendencia a focalizar en el negocio principal y tercerizar

Dificil adquisión de recusos humanos calificados

Confidencial

Ventajas y desventajas Ventajas y desventajas de trabajar con un MSSPde trabajar con un MSSP

VentajasVentajas

• Menor CostoMenor Costo

• Reducción de problemas de staffingReducción de problemas de staffing

• Mejores skillsMejores skills

• Objetividad e independenciaObjetividad e independencia

• Conocimientos de nuevos problemasConocimientos de nuevos problemas

• Performance del servicio Performance del servicio (SLAs)(SLAs)

• Insfraestructura especializada Insfraestructura especializada (SOC y (SOC y appliances)appliances)

DesventajasDesventajas

• ConfianzaConfianza

• DependenciaDependencia

• Parte de infraestructuras Parte de infraestructuras compartidascompartidas

• El día despues de la baja del El día despues de la baja del contratocontrato

• Puntos grises.Puntos grises.

Confidencial

•Es estratégica para mi empresa, la función/skill que estoy evaluando tercerizar ?

Banco: Autenticación de usuario para un Sistema de HomeBanking

Las 2 preguntas claves para saber si Las 2 preguntas claves para saber si conviene tercerizar...conviene tercerizar...

•Esta función /skill es el “core competency” de mi empresa ?

Lo hacemos bien, tenemos gente capacitada, recursos, etc?

Fuente: Gartner Group

Confidencial

Checklist para evaluar a un MSSPChecklist para evaluar a un MSSP

• Atributos del negocioAtributos del negocio

Viabilidad, años en el mercado, Satisfacción de clientes, Relación con proveedores, Viabilidad, años en el mercado, Satisfacción de clientes, Relación con proveedores, SLAs, estrategia de salida, propiedad de la tecnología, puntos de contacto, etcSLAs, estrategia de salida, propiedad de la tecnología, puntos de contacto, etc

• Atributos del servicioAtributos del servicio

Impacto inicial, Requerimientos de seguridad, disponibilidad del servicio, arquitectura Impacto inicial, Requerimientos de seguridad, disponibilidad del servicio, arquitectura del servicio, hard/soft del servicio, escalabilidad, alcance del servicio, reporting, costodel servicio, hard/soft del servicio, escalabilidad, alcance del servicio, reporting, costo

• Producción del servicio Producción del servicio

Políticas y procedimientos de seguridad, seguridad fisica, Disaster Recovery Plan, Políticas y procedimientos de seguridad, seguridad fisica, Disaster Recovery Plan, Contingencias, acceso a la información, Backups, Monitero y auditoria, gestión de Contingencias, acceso a la información, Backups, Monitero y auditoria, gestión de incidentesincidentes

Confidencial

Tips para lograr una buena Tips para lograr una buena tercerizacióntercerización

• Valuación de activos intangibles

• Valuación de recursos internos ($$, RRHH, etc)

• Test de las 2 preguntas !!

• Toma de conciencia: La empresa debe comprender por qué necesita/debe tercerizar.

• Selección del MSSP – Revisar checklist

Confidencial

GRACIAS !!!!GRACIAS !!!!

Preguntas ???Preguntas ???

Federico Seineldin Federico Seineldin fseineldin@openware.bizfseineldin@openware.biz