Tendencias en Seguridad de la Información - CYBSEC · -Los gobiernos están involucrándose en el...
Transcript of Tendencias en Seguridad de la Información - CYBSEC · -Los gobiernos están involucrándose en el...
Tendencias en Tendencias en Seguridad de la Seguridad de la
InformaciónInformaciónInformaciónInformación
Julio César [email protected]
12 de Diciembre de 2012Asunción - Paraguay
Tendencias en Seguridad de la Información
AgendaAgendaAgendaAgenda
• Presión de las regulaciones
• El rol del CSO
• Outsourcing de la seguridad• Outsourcing de la seguridad
• Incidentes de seguridad
• Vulnerabilidades
• Seguridad de la infraestructura crítica
• La Nube segura
2222
Presión de las regulacionesregulaciones
3333
Presión de las regulaciones
Evolución de la madurez y estado de implementación de las normativas
relacionadas con seguridad en Paraguay
NormativaNormativaNormativaNormativa EvoluciónEvoluciónEvoluciónEvolución
SOX
Ley 1682/2001 y 1969/2002
Tendencias en Seguridad de la Información
4444
MCIIEF – Resolución 179/05 BCP
• Las normativas llegaron para quedarse
• La mayoría de las mismas impactan en el sector de SI
• Se debe tomarlas como “oportunidades”
PCI-DSS
Cantidad de proyectos PCI-DSS en clientes de Cybsec
(Incluye Auditorías, Revisiones y Análisis de GAP)
Presión de las regulaciones
Tendencias en Seguridad de la Información
Cantidad de trabajos realizados
20
25
5555
0
5
10
15
20
2007 2008 2009 2010 2011 Ene-Nov2012
Cantidad de trabajos realizados
¿Con cuántos de los ítems cumplen las organizaciones?
Presión de las regulaciones
Tendencias en Seguridad de la Información
Promedio de cumplimento de controles por
año
6666
0,0%10,0%
20,0%30,0%40,0%50,0%
60,0%70,0%
2008 2009 2010 2011
Payment Application Data Security Standard (PA-DSS)
• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012
Presión de las regulaciones
Tendencias en Seguridad de la Información
7777
Ud está
Aquí
Asesoramiento Análisis GAP Certificación Compliance
Payment Application Data Security Standard (PA-DSS)
• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012
Presión de las regulaciones
Tendencias en Seguridad de la Información
8888
Ud está
Aquí
Asesoramiento Análisis GAP Certificación Compliance
El Rol del CSOEl Rol del CSO
9999
CISO: Chief Information Security Officer
• Encargado de seguridad de la Información dentro de una Organización• El nivel de reporte depende del grado de maduración de la empresa
Seguridad InformáticaSeguridad Informática Seguridad de la InformaciónSeguridad de la Información
Rol del CSO
Tendencias en Seguridad de la Información
10101010
Seguridad InformáticaSeguridad InformáticaTareas técnicas y operativasTareas técnicas y operativas
Seguridad de la InformaciónSeguridad de la InformaciónRol de ManagementRol de Management
Seguridad InformáticaSeguridad InformáticaTareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,
soporte a áreas de sistemassoporte a áreas de sistemas
Antes HoyAntes Hoy
Outsourcing deseguridad
11111111
seguridad
Situación actual
Las áreas de seguridad de la información en las Organizaciones están
realizando outsourcing de las siguientes tareas:
- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)
Outsourcing de seguridad
Tendencias en Seguridad de la Información
12121212
- PenTest
- Gestión de vulnerabilidades (scannings)
- Gestión de accesos (ABM Users y Permisos)
- Respuesta a incidentes
- Soporte a proyectos internos
- Desarrollo de Documentación
Tendencias
- Madurez en los servicios de outsourcing de seguridad
- Acompañamiento de la estrategia de la Organización
Horas de Soporte
Outsourcing de seguridad
Tendencias en Seguridad de la Información
13131313
Recurso on-site
Especializado
Sector de Seguridad
de la Información
Incidentes de seguridadseguridad
14141414
Incidentes de seguridad
Cantidad de incidentes graves manejados por CYBSEC
Incidentes de seguridad
Tendencias en Seguridad de la Información
14
16
18
15151515
Ene-Nov
0
2
4
6
8
10
12
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012*
Tendencia Actual
- Aumento de incidentes de seguridad (mayoría de los casos insiders)
- Aumento exponencial de ataques de phishing contra entidades
bancarias
Incidentes de seguridad
Tendencias en Seguridad de la Información
16161616
- Ataques de phishing más sofisticados
(incluyendo explotación de vulnerabilidades)
- Hacktivismo (Anonymous Paraguay)
Manejo de Incidentes
La pregunta hoy no es si voy a tener un incidente de seguridad, sino:
¿cuando lo voy a tener?
Madurez del Manejo de Incidentes de Seguridad Interno
Incidentes de seguridad
Tendencias en Seguridad de la Información
17171717
- No poseen (85%)
- Manejo de incidentes desorganizado (8%)
- Manejo de incidentes formal para la foto (compliance) (4%)
- Manejo de incidentes formal real (2%)
- CSIRT interno (<1%)
VulnerabilidadesVulnerabilidades
18181818
Vulnerabilidades de seguridad
- Un nuevo trabajo: Vulnerability Researcher
- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código
+ Conocimiento de la misma en el mercado = Hasta U$S 100.000
Vulnerabilidades
Tendencias en Seguridad de la Información
19191919
- Maduración del mercado de compra/venta de vulns
- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's
Exploit Acquisition Program, etc
- Mercado oficial – negro – gris
Tendencias en vulnerabilidades de seguridad
- Más gente buscando nuevas vulnerabilidades!!!
- Intentos por regular la actividad (Alemania, USA, etc.)
Vulnerabilidades
Tendencias en Seguridad de la Información
20202020
- Acercamiento al tema de las áreas de inteligencia de algunos países
- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days
- Aumento de los Toolkits para
Cybercrimen (Phishing – Botnets – Etc.)
Seguridad de la infraestructura
crítica
21212121
crítica
Situación actual
Alcance de las IC: Administración, Espacio, Industria Nuclear, Industria
Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de
la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema
Financiero y Tributario.
Seguridad de la infraestructura crítica
Tendencias en Seguridad de la Información
22222222
En las Organizaciones, el sinónimo es protección de redes SCADA
La red SCADA era manejada Seguridad Corporativa se está
por ingenieros y proveedores. metiendo en el tema.
- Integración con la red corporativa
- Aplicación de estándares
- Actualización / Patches
Tendencias
- Las Organizaciones que poseen este tipo de redes industriales están
avanzando en la aplicación de medidas de seguridad.
- Los gobiernos están involucrándose en el tema.
Seguridad de la infraestructura crítica
Tendencias en Seguridad de la Información
23232323
- Los gobiernos están involucrándose en el tema.
En Argentina, en 2011 se creó el Programa Nacional
de Infraestructuras Críticas de Información y
Ciberseguridad (ICIC).
Tendencias
- Paraguay creó en abril de 2012 la SETIC (Secretaría de Tecnologías de la
Información y Comunicaciones) - www.setics.gov.py
- Proyectos relacionados:
Seguridad de la infraestructura crítica
Tendencias en Seguridad de la Información
24242424
- Proyectos relacionados:
- Centro de Datos del Gobierno
- CERT Nacional
La nube segurasegura
25252525
Situación actual
- Beneficio de los servicios cloud: Empresas chicas
- Cultura empresarial
- SLA (la base de todo)
La nube segura
Tendencias en Seguridad de la Información
Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.
Acuerdos negociables
26262626
- SLA (la base de todo)
- Modelos y seguridad
Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).
Aspectos de seguridad a tener en cuenta
NIST 800-144 - Guidelines on Security and Privacy in Public
Cloud Computing – Diciembre 2011
1. Gobierno2. Cumplimiento
La nube segura
Tendencias en Seguridad de la Información
27272727
2. Cumplimiento3. Confianza4. Arquitectura5. Identity y Access Management6. Aislamiento de software7. Protección de información8. Disponibilidad9. Respuesta ante Incidentes
¿Preguntas?