Post on 14-Feb-2017
OFICIALES DE SEGURIDAD INFORMATICA:OFICIALES DE SEGURIDAD INFORMATICA:
UNA NECESIDAD ACTUALUNA NECESIDAD ACTUAL
Felipe SilgadoFelipe SilgadoSecure Team ConsultantSecure Team Consultantfsilgadofsilgado@@eteketek.com.co.com.co
SECURE-TeamSECURE-Team
Introduccin
Conceptos
Quines son las amenazas?
Problemtica
Necesidad de un ISO
Quin es un ISO?
Definicin
Funciones
Conclusiones
Agenda
INTRODUCCIONINTRODUCCION
Manejo del Riesgo
Toda informacin tiene un valor.
Debe definirse el valor de la informacin.
El valor cambia a medida que pasa el tiempo.
Entre ms alto sea el valor de la informacin, ms grande o importante se convierte esa
informacin para los que la quieren.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Una actividad que representa un posible peligro.
Puede aparecer en diferentes formas y de diferentes
fuentes.
No se puede proteger contra todas las amenazas.
Se debe proteger contra las mas importantes basado
en:Metas del negocio.
Datos validados.
Mas conocidas en la industria de la S.I.
Amenazas
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Debilidad que permite que una amenaza
suceda.
Debe estar asociada a una amenaza para
que tenga un impacto.
Puede ser prevenida (si se conoce sobre
esta).
Vulnerabilidades
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Potencial de perdida o dao.
La exposicin a una amenaza.
El riesgo es subjetivo.
Depende de la situacin y las circunstancias.
Riesgos
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Manejo del riesgo:Eliminarlo
Minimizarlo
Aceptarlo
Transferirlo
RIESGO = VALOR x AMENAZA x VULNERABILIDAD
RIESGO = POPULARIDAD + FUNCIONALIDAD
Riesgos
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
CONFIDENCIALIDADCONFIDENCIALIDAD
INTEGRIDADINTEGRIDAD DISPONIBILIDADDISPONIBILIDAD
Conceptos de Seguridad
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Hackers / Crackers.
Vndalos.
Espas.
Internos.
Generan una problemtica.
Quines son las amenazas?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Computer Crime
HIGH
LOW
AttackSophistication
Source: FBI
TOOLSIntruder
Knowledge
Attackers
1980 1985 1990 1995 2000
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Problemtica
Qu hago para mantener mi negocio funcionando?
Cmo debo protegerme?
Qu cosas debo implementar para protegerme?
Cmo hago para saber si he sido atacado?
Productos / Caja negra.
La seguridad no se compra por kilo.
Necesidad de protegerse contra los
atacantes.
ISOs: Una necesidad actual
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Porqu surgen los ISOs como una necesidad actual?
Encargado de este tema en las
organizaciones generalmente es el
administrador de la red.
Surge la necesidad en un ISO y una
estructura de seguridad clara, definida
y apoyada por la alta gerencia.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
ISOs: Una necesidad actual
QUIN ES UN ISO?QUIN ES UN ISO?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Quin es un ISO?
ISO (Information Security Officer),
Oficial de Seguridad Informtica.
Persona encargada de la seguridad
informtica de la organizacin.
Debe tener poder de decisin en la
organizacin.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Organigrama
Vicepresidenteo
Gerente de rea
Personal del rea Personal de
Administracin
Gerente Generalo
Presidente
Personal Operativo
Information SecurityOfficer(ISO)
Vicepresidenteo
Gerente de rea
Personal del rea
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Crear y organizar un rea de
seguridad informtica estructurada.
Establecer polticas de seguridad.
Clasificar la informacin de acuerdo a
su importancia en la organizacin.
Qu funciones tiene un ISO?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Definir cmo debe ser el control de
acceso a la informacin.
Valoracin de riesgos de seguridad
informtica (pruebas de vulnerabilidad).
Crear una poltica del correcto uso y
seguridad de computadores porttiles.
Qu funciones tiene un ISO?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Realizar auditoras de seguridad
informtica.
Plan de Continuidad del negocio
(Business Continuity Plan, BCP).
Mantener y dar seguimiento al ciclo
de vida de la seguridad informtica.
Qu funciones tiene un ISO?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Establecer pautas para el manejo del personal y recursos humanos en cuanto a seguridad informtica.
Registrar, controlar, administrar y dar seguimiento a los incidentes de seguridad informtica.
Disear, ejecutar y hacer seguimiento al Plan de concientizacin en seguridad informtica.
Qu funciones tiene un ISO?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Conocimiento de Networking
Enrutadores / Switches / Hubs ...
TCP/IP (mensajes, paquetes, etc.)
Servicios en Internet (http, smtp, ftp,
etc.)
Qu conocimiento debe tener?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Conocimiento de Seguridad
Firewalls
IDS
Antivirus
VPN
Sistemas de autenticacin
PKI
Qu conocimiento debe tener?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Conocimiento de Seguridad
Anlisis de riesgos
Pruebas de vulnerabilidad
Polticas de seguridad informtica
Disaster Recovery Planning
Business Continuity Planning
Qu conocimiento debe tener?
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Conocimiento de la organizacin
Metas del negocio - Mision
Infraestructura
Recurso humano
Problemas
Qu conocimiento debe tener?
Separacin / Rotacin de funciones
Permetro de seguridad
Defense in Depth
Estrategias de Seguridad
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Defense in Depth
INFO.
Network
Host
Application
Data File
Cerca
Guardia
Cerradura
Archivador
Estrategias de seguridad
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
CICLO DE VIDA DE LA CICLO DE VIDA DE LA SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Ciclo de vida de la S.I.
Responsabilidad del ISO.
Ciclo en el cual se mantiene la seguridad
informtica en la organizacin.
Fases mediante las cuales se da la
seguridad informtica.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Fases del proceso de seguridad
AssessmentDetection
Prevention
Response
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Assessment
Debilidades en seguridad.
Riesgos y amenazas.
Problemas de seguridad de apps.
Pasos que se deben seguir para prevenir
los problemas.
VRA Vulnerability and Risk Analysis
Anlisis y revisin de los riesgos en la
informacin (entrevistas).
Revisin de las plataformas (sistemas
operativos).
Revisin a nivel de red (enrutadores,
switches, etc.)
VRA Vulnerability and Risk Analysis
Pruebas de Vulnerabilidad (herramientas
automatizadas).
Ethical Hacking.
Revisin y Anlisis de Logs de seguridad
de los diferentes sistemas.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Prevention
Actividades a desarrollar para evitar que
pasen las cosas malas.
Incluye trabajo en:
Polticas de seguridad.
Plan de concientizacin.
Control de acceso.
Seguridad en las apps.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Plan de concientizacin
Security Awareness:www.securityawareness.com
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Detection
Mirar que cosas malas han pasado y
reaccionar a estas.
Monitoreo y alertas.
IDSs.
Antivirus.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Response
Forma en que se trata con el incidente.
Incluye encontrar cual fue el problema,
corregirlo y ver que no ocurra de nuevo.
Prcticas forenses.
Buscar al responsable del problema y al
causante del incidente.
Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.Oficiales de Seguridad Informtica: Una necesidad actual.
Prcticas forenses
Investigacin del incidente
Recolectar evidencia
Responder a las preguntas: Qu?,
Cundo?, Dnde?, Cmo? y Quin?
Es muy importante contar con una estructura de
seguridad informtica claramente definida en la
organizacin.
Es importante seguir el ciclo de vida de la
seguridad informtica, en casos en los que no se
tenga muy claro como se va a manejar la seguridad
informtica en la organizacin, es importante al
menos comenzar con el ciclo realizando la valoracin
y verificando que debilidades de seguridad se tienen.
Conclusiones
Un buen plan de concientizacin puede ayudar a que la organizacin mantenga un alto nivel de seguridad y que los incidentes sean mnimos.
Las organizaciones grandes que aun no cuentan con un ISO deben buscar una persona que desarrolle las funciones de este. Si la organizacin es pequea y no se puede dedicar una persona a este cargo, se debe tratar de distribuir las funciones del ISO entre personas que tengan el conocimiento suficiente para poder responder a este cargo.
Conclusiones
SANS
www.sans.org
Security awareness
www.securityawareness.com
GlendaleSystems.com
www.eon-commerce.com
Computer Security Policy Directory
http://www.computer-security-policies.com
Links
GRACIASGRACIAS