Tendencias en Seguridad de la Información · Tendencias en Seguridad de la Información 444 BCRA...
Transcript of Tendencias en Seguridad de la Información · Tendencias en Seguridad de la Información 444 BCRA...
Tendencias en Tendencias en Seguridad de la Seguridad de la
InformaciónInformaciónInformaciónInformación
Julio César [email protected]
12 de Septiembre de 2012Buenos Aires - Argentina
Tendencias en Seguridad de la Información
AgendaAgendaAgendaAgenda
• Presión de las regulaciones
• El rol del CSO
• Outsourcing de la seguridad• Outsourcing de la seguridad
• Incidentes de seguridad
• Vulnerabilidades
• Seguridad de la infraestructura crítica
• La Nube segura
2222
Presión de las regulacionesregulaciones
3333
Presión de las regulaciones
Evolución de la madurez y estado de implementación de las normativas relacionadas con seguridad en Argentina
NormativaNormativaNormativaNormativa EvoluciónEvoluciónEvoluciónEvolución
SOX
BCRA A4609
Tendencias en Seguridad de la Información
4444
BCRA 5203
Protección de datos personales
• Las normativas llegaron para quedarse
• La mayoría de las mismas impactan en el sector de SI
• Se debe tomarlas como “oportunidades”
PCI
Cantidad de proyectos PCI-DSS en clientes de Cybsec
(Incluye Auditorías, Revisiones y análisis de GAP)
Presión de las regulaciones
Tendencias en Seguridad de la Información
Cantidad de trabajos realizados
25
5555
0
5
10
15
20
2007 2008 2009 2010 2011 Ene-Ago2012
Cantidad de trabajos realizados
¿Con cuántos de los ítems cumplen las organizaciones?
Presión de las regulaciones
Tendencias en Seguridad de la Información
Promedio de cumplimento de controles por
año
6666
0,0%10,0%
20,0%30,0%40,0%50,0%
60,0%70,0%
2008 2009 2010 2011
Payment Application Data Security Standard (PA-DSS)
• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012
Presión de las regulaciones
Tendencias en Seguridad de la Información
7777
Ud está
Aquí
Asesoramiento Análisis GAP Certificación Compliance
Payment Application Data Security Standard (PA-DSS)
• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012
Presión de las regulaciones
Tendencias en Seguridad de la Información
8888
Ud está
Aquí
Asesoramiento Análisis GAP Certificación Compliance
El Rol del CSOEl Rol del CSO
9999
CISO: Chief Information Security Officer
• Encargado de seguridad de la Información dentro de una Organización• El nivel de reporte depende del grado de maduración de la empresa
Seguridad InformáticaSeguridad Informática Seguridad de la InformaciónSeguridad de la Información
Rol del CSO
Tendencias en Seguridad de la Información
10101010
Seguridad InformáticaSeguridad InformáticaTareas técnicas y operativasTareas técnicas y operativas
Seguridad de la InformaciónSeguridad de la InformaciónRol de ManagementRol de Management
Seguridad InformáticaSeguridad InformáticaTareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,
soporte a áreas de sistemassoporte a áreas de sistemas
Antes HoyAntes Hoy
Outsourcing deseguridad
11111111
seguridad
Situación actual
Las áreas de seguridad de la información en las Organizaciones están
realizando outsourcing de las siguientes tareas:
- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)
Outsourcing de seguridad
Tendencias en Seguridad de la Información
12121212
- PenTest
- Gestión de vulnerabilidades (scannings)
- Gestión de accesos (ABM Users y Permisos)
- Respuesta a incidentes
- Soporte a proyectos internos
- Desarrollo de Documentación
Tendencias
- Madurez en los servicios de outsourcing de seguridad
- Acompañamiento de la estrategia de la Organización
Horas de Soporte
Outsourcing de seguridad
Tendencias en Seguridad de la Información
13131313
Recurso on-site
Especializado
Sector de Seguridad
de la Información
Incidentes de seguridadseguridad
14141414
Incidentes de seguridad
Cantidad de incidentes graves manejados por CYBSEC
14
16
18
Incidentes de seguridad
Tendencias en Seguridad de la Información
15151515
0
2
4
6
8
10
12
14
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012*Ene-Ago
Tendencia Actual
- Aumento de incidentes de seguridad (mayoría de los casos insiders)
- Aumento exponencial de ataques de phishing contra entidades
bancarias (Disparador: transferencias inmediatas Abril 2011)
Incidentes de seguridad
Tendencias en Seguridad de la Información
16161616
- Ataques de phishing más sofisticados (incluyendo explotación de
vulnerabilidades)
- Hacktivismo (Sector 404 Argentina
y Anonymous Argentina)
Manejo de Incidentes
La pregunta hoy no es si voy a tener un incidente de seguridad, sino:
¿cuando lo voy a tener?
Madurez del Manejo de Incidentes de Seguridad Interno
Incidentes de seguridad
Tendencias en Seguridad de la Información
17171717
- No poseen (85%)
- Manejo de incidentes desorganizado (8%)
- Manejo de incidentes formal para la foto (compliance) (4%)
- Manejo de incidentes formal real (2%)
- CSIRT interno (<1%)
VulnerabilidadesVulnerabilidades
18181818
Vulnerabilidades de seguridad
- Un nuevo trabajo: Vulnerability Researcher
- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código
+ Conocimiento de la misma en el mercado = Hasta U$S 100.000
Vulnerabilidades
Tendencias en Seguridad de la Información
19191919
- Maduración del mercado de compra/venta de vulns
- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's
Exploit Acquisition Program, etc
- Mercado oficial – negro – gris
Tendencias en vulnerabilidades de seguridad
- Más gente buscando nuevas vulnerabilidades!!!
- Intentos por regular la actividad (Alemania, USA, etc.)
Vulnerabilidades
Tendencias en Seguridad de la Información
20202020
- Acercamiento al tema de las áreas de inteligencia de algunos países
- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days
- Aumento de los Toolkits para
Cybercrimen (Phishing – Botnets – Etc.)
Seguridad de la infraestructura
crítica
21212121
crítica
Situación actual
Alcance de las IC: Administración, Espacio, Industria Nuclear, Industria
Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de
la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema
Financiero y Tributario.
Seguridad de la infraestructura crítica
Tendencias en Seguridad de la Información
22222222
En las Organizaciones, el sinónimo es protección de redes SCADA
La red SCADA era manejada Seguridad Corporativa se está
por ingenieros y proveedores. metiendo en el tema.
- Integración con la red corporativa
- Aplicación de estándares
- Actualización / Patches
Tendencias
- Los gobiernos están involucrándose en el tema. En Argentina, en
2011 se creó el Programa Nacional
de Infraestructuras Críticas de
Información y Ciberseguridad (ICIC).
Seguridad de la infraestructura crítica
Tendencias en Seguridad de la Información
23232323
- Las Organizaciones que poseen este tipo de redes industriales están
avanzando en la aplicación de medidas
de seguridad.
La nube segurasegura
24242424
Situación actual
- Beneficio de los servicios cloud: Empresas chicas
- Cultura empresarial
- SLA (la base de todo)
La nube segura
Tendencias en Seguridad de la Información
Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.
Acuerdos negociables
25252525
- SLA (la base de todo)
- Modelos y seguridad
Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).
Aspectos de seguridad a tener en cuenta
NIST 800-144 - Guidelines on Security and Privacy in Public
Cloud Computing – Diciembre 2011
1. Gobierno2. Cumplimiento
La nube segura
Tendencias en Seguridad de la Información
26262626
2. Cumplimiento3. Confianza4. Arquitectura5. Identity y Access Management6. Aislamiento de software7. Protección de información8. Disponibilidad9. Respuesta ante Incidentes
¿Preguntas?