Post on 04-Nov-2018
Ricardo Morales, CISSP, CISA, CISM, ISO27001 LA, ITIL (OSA), CGEIT, CRISC, ISO20000 Auditor
6 Dic 2012
CONFERENCIA ANUAL ISACA MONTERREY 2012
AGENDA
1. Introducción 2. Ambiente de Seguridad en México3. Enfoque FDI (Fugas de Información)4. Componentes FDI5. Metodología FDI
CONFERENCIA ANUAL ISACA MONTERREY 2012
CONFERENCIA ANUAL ISACA MONTERREY 2012
Iniciamos
CONFERENCIA ANUAL ISACA MONTERREY 2012
360 / 370
Announced August 2, 1972 and withdrawn September 15, 1980.
Monolithic processor (main) storage of up to four megabytes was available in a single Model 158.
1 MB RAM 5 MDD
CONFERENCIA ANUAL ISACA MONTERREY 2012
Seguridad en los 70s
Redes NO Públicas
Bardas físicas
Alambres Corporativos
Batas Blancas/ No acceso masivo a la Tecnología
Dominio del Procedimiento BATCH
Muy Caro Ambiente de Cómputo
Control de Acceso (factor de Exposición es bajo)
Poca Sistematización en empresas (Sist. Inf.)
Dominio de Desarrollos propios/ tercera generación de lenguajes
CONFERENCIA ANUAL ISACA MONTERREY 2012
Bing Bang
Desktop
Internet
$/ MB
$/ GHZ
Nativos Digitales
FORTRAN —"the infantile disorder"—, by now nearly 20 years old, is hopelessly inadequate for whatever computer application you have in mind today: it is now too clumsy, too risky, and too expensive to use.
The use of COBOL cripples the mind; its teaching should, therefore, be regarded as a criminal offence.
Worms
Movilidad
Red Social
Anonymous
Cyberwar
K Mitnick
XLSI
CONFERENCIA ANUAL ISACA MONTERREY 2012
Procesos de Negocio
Sistemas de
Monitoreo que
permiten acceder a
datos
transaccionales
Archivo y
Eliminación no
controlada de
información
sensitiva
Inadecuados perfiles
de acceso permiten
que usuarios puedan
acceder a
información que no
deberian ver
Tercerización de
Procesos sin
adecuados
controles
Publicación de
información de la
empresa en Internet
(redes sociales) o
almacenados en la
“nube”
Desarrolladores que
acceden a datos en
Producción
Información Información
Sensible no
encriptada en las
Bases
Conocen esteAmbiente?
CONFERENCIA ANUAL ISACA MONTERREY 2012
Ambiente en México (relacionado a FDI)
LFPDPPP, existe el marco legal, organizaciones poco preparadas, ha ocurrido un caso relevante (San Pablo Dic 2012), sociedad sin ejercer sus derechos ARCO, a la expectativa del nuevo Gobierno.
Continuidad de Negocios, a causa de una gran variedad de desastres naturales y altos índices de delincuencia, las organizaciones están mejorando sus Planes de Continuidad que todavía son muy inmaduros, Gobierno sin capacidad para organizar Planes ante desastres en conjunto con las Organizaciones.
Delitos Cibernéticos, no hay marco legal, nos llaman en la Región “Las islas caimanes de TI”, por lo que las Organizaciones deben ser capaces de responder para protegernos ante eventos de Seguridad aún sin esta legislación.
CONFERENCIA ANUAL ISACA MONTERREY 2012
Ambiente en México (relacionado a FDI)
Contratos, se empiezan a ver casos donde además de incorporar en los Contratos Propiedad Intelectual y NDAs se añaden temas de Fugas de Información.
ISO27001, su certificación está en crecimiento debido principalmente a requisitos cliente-proveedor, son menos de 40 Sistemas Certificados (Japón tiene más de 4,000).
Documentos Electrónicos, el uso de la Firma Electrónica Avanzada se fomentará mas por los Estados y Plataforma e-México; La Protección y Resguardo de los archivos de Facturación (XML) debe de ser una prioridad de acuerdo como está el marco de ley (deducibilidad y resguardo seguro como mínimo 5 años).
CONFERENCIA ANUAL ISACA MONTERREY 2012
Enfoque de Cliente ante FDI • Preocupaciones Políticas
• Competencia
• Coyunturales
• Preocupaciones Ideológicas
• Cumplimiento
• Información Técnica
• Propiedad Intelectual
El Paradigma de Seguridad cambió: ya no es sólo asunto de protegerse de las amenazas exteriores,
ahora es cuidar la información que sale
CONFERENCIA ANUAL ISACA MONTERREY 2012
Enfoque de Cliente ante FDI -BDs
Manufacturing Sector PúblicoConsumo
MasivoOil & Gas Financiera Salud
Telecom,
Media y
Tecnología
Proyectos de desarrollo de
Negocios
Base de proveedores
Base de Proveedores
Detalle de producción
Tarjetas de crédito
Información de Pacientes
Nuevos Productos
Aspectos Impositivos Sensibles
Ejecución presupuestaria
PromocionesDesarrollos
tecnológicos
Información de Seguridad
de clientes
Desarrollo de medicamentos
Desarrollos tecnológicos
CONFERENCIA ANUAL ISACA MONTERREY 2012
Esquema conceptual de funcionamiento FDI
Registros de Auditoría
¿A dónde van
los datos?¿Qué hace el
usuario con los datos?
Datos no
estructurados
� Lectura
� Escritura
� Copiar/Pegar
� Mover
� Imprimir
� Copiar a CD
� Subir a la Web
Datos
estructurados
� Ver
� Modificar
� Borrar
� Extraer Redes
Dispositivos
Aplicaciones
Usos típicos de DLP
Analizar el contenido de un Archivo y/o su nombre
REGISTRAR, AVISAR O DETENER un mensaje de Correo
MONITOREAR la Red de la Organización en busca de información sensible y REGISTRAR o AVISAR todos los movimientos
REGISTRAR, AVISAR O CONTROLAR que un usuario Copie en forma no autorizada información sensible en un CD, disco o USB
ENCONTRAR información sensible Almacenada en lugares donde NO debiera estar
CONTROLANDO la fuga de información en una laptop corporativa aunque la misma este fuera de la red corporativa
REGISTRAR, AVISAR O CONTROLAR que un usuario Imprima en forma no autorizada un documento
CONTROLANDO las Copias en Memoria
CONFERENCIA ANUAL ISACA MONTERREY 2012
Cumplimiento - back to basics
• Regulaciones
• Leyes
• Convenios
• Por Industria -PCI -HIPAA -LFPDPPP -etc
CONFERENCIA ANUAL ISACA MONTERREY 2012
COMPONENTES FDI
• Diagnóstico Inicial
• Análisis de Cumplimiento
• Normatividad (Política, Directrices)
• Áreas Sensibles
• Análisis de Riesgos
• Alcance
• Proceso de Incidentes
• Dueños de Activos de Información
• Implementación Técnica
• Métricas
• Reglas de Fugado
• Ajuste Controles existentes(Net, agents, Mail, Web, etc.)
• Análisis de Flujos
• Clasificación de Información (Labeling y Manejo)
• Modelo, Proceso, Entrenamiento,
Tecnología
CONFERENCIA ANUAL ISACA MONTERREY 2012
COMPONENTES
COMPONENTES Ajuste gradual de la solución DLPL
eve
l o
f R
isk
(N
o.
of
Inc
ide
nts
)
Datos de Empleados:
Tipo de Información: Tabla Excel con información de empleados.
Acción: Manipulación de información de empleados de la organización.
Respuesta: Generación de alerta en la consola de administración de la herramienta.
Exact Data Matching
STRUCTURED DATACUSTOMER DATA
Datos de Clientes y Empleados
Bajo porcentaje de falsos positivos
ReglasCOMPONENTES
Datos de Tarjetas de Crédito:
Tipo de Información: Excel con Tarjetas de crédito con BIN 5544
Acción: Copia de información de tarjetas de crédito con prefijo 5544 hacia un dispositivo extraíble.
Respuesta: Bloqueo de la acción “copia” y notificación al usuario.
DescribedContent Matching
DESCRIBED DATA
Information noIndexable
Palabras Clave
Data Identifiers
ReglasCOMPONENTES
Marco Normativo :
Tipo de Información: 15 Documentos de un Marco Normativo en formato de Word.
Acción: Copia parcial o total del texto de un documento perteneciente al marco normativo.
Respuesta: Generación de alerta en la consola de administración.
Indexed Document Matching
UNSTRUCTURED DATAINTELLECTUAL PROPERTY
Datos de Diseño y Financieros
Bajo porcentaje de falsos positivos
ReglasCOMPONENTES
Ejemplo de Alerta generada en la estación de trabajo del usuario.
Ejemplo de Alerta generada en la consola
de administración
AlertasCOMPONENTES
SGFDI
Establecer Proceso deFDI
Implementar y operar Gestión de
FDI
Monitoreo y revisión Gestión de FDI
Plan
Do Act
Check
Implementar y operar Gestión de
FDI
• Implementar las mejoras identificadas
• Realizar acciones correctivas y preventivas
• Comunicar los resultados
• Fine Tunning Reglas
• Auditoria de Incidentes
• Auditoria del SGFDI
• Revisión de Métricas
• Controles existentes (Net, Mail, Web, etc.)
• Proceso de Incidentes
• Reglas de Fugado, Proceso FDI
• Implementación Técnica
• Normatividad (Política, Directrices)
• Tratamiento de Riesgos
• Clasificación de Información
• Concientización, Entrenamiento
• Análisis de Cumplimiento
• Workshop Alta Administración
• Diagnostico Inicial
• Análisis de Flujos
• Alcance, Modelo FDI
• Métricas, Áreas Sensibles
• Análisis de Riesgos
CONFERENCIA ANUAL ISACA MONTERREY 2012
En que están fallando las Organizaciones
• Borrachera Tecnológica
• Clasificación de Información
• Proceso de Incidentes
• Fine Tunning Tech
• Penalidades
• Mantenimiento de reglas
• Políticas
• Administración de Riesgos
CONFERENCIA ANUAL ISACA MONTERREY 2012
A.16 Fuga de Información / ISO27001
Objetivo de Control A.16.1 Asegurar que la Información Sensible pueda ser monitoreada y controlada ante posibles fugas
Control A.16.1.1 Inventario de Datos SensiblesControl A.16.1.2 Flujos de Datos Sensibles.Control A.16.N
Objetivo de Control A.16.2
Control A.16.2.1Control A.16.2.2.Control A.16.2.N
¿Será el nuevo Dominio #12 ?
To be Continued………….
Preguntas
Expositor:
Ricardo Morales
6 Dic 2012
www.isacamty.org.mx
www.isaca.org
CONFERENCIA ANUAL ISACA MONTERREY 2012
•Apoyos
Expositor:
www.isacamty.org.mx
www.isaca.org
CONFERENCIA ANUAL ISACA MONTERREY 2012
Principales proveedores de soluciones DLP