Cibseguridad empresarial
-
Upload
gonzalo-espinosa-slidesh -
Category
Documents
-
view
62 -
download
0
Transcript of Cibseguridad empresarial
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 1
Verano 2015 1
Seguridad Empresarial: Herramientas y técnicas de las empresas para contener y
detectar ataques de cybercriminales
2 Julio 2015
ALEJANDRO SANCHEZ ALFAROAsociación Latinoamericana de Profesionales en Seguridad Informática, ALAPSI A.C.
Datos de contacto
http://mx.linkedin.com/in/Alxsachez
Guadalajara, Jal. México
Verano 2015 2
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 2
Objetivo
Verano 2015 3
Presentar un panorama general sobre los riesgosy tecnología con los que los hackers cuentanpara atacar una empresa y las herramientas,procesos y tecnología con las cuales lasempresas pueden defenderse.
Verano 2015 4
PANORAMA ACTUAL DE RIESGOS INFORMATICOS PARA LAS
EMPRESAS
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 3
¿Seguridad en las empresas?
Verano 2015 5
Y como nos fue en el 2014
Verano 2015 6
• En el 2014 los costos relacionados con el cibercrimen crecieron un 114%
Internet Security Threat Report 2015
• Una vez liberada la información de una vulnerabilidad, se detectanexploits en internet atacando exitosamente a empresas en cuestiónde horas. Exploits para Heartbleed fueron vistos en internet en 4horas.
• El Ransomware ha incrementado su nivel de crecimiento en un 113%atacando redes corporativas y obteniendo dinero por los secuestros deinformación, entre 300 y 500 dólares por evento.
• Los cibercriminales utilizan cada vez más software legal para ocultarsus herramientas dentro de ellos, integrándose a actualizaciones,social media y sitios web comerciales y legales infectados conmalware
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 4
Incremento del riesgo 2014
Verano 2015 7
Se ha incrementado el tiempo entre que saleuna vulnerabilidad y se libera el parche paraeliminarla
Se ha reducido el tiempo entre lo que saleuna vulnerabilidad y el tiempo en que loscyberdelincuentes la utilizan
La tecnología, un apoyo y un riesgo
Verano 2015 8
Los televisores inteligentes de LG recolectan información de carpetas y archivos de la red local.
Diario TI 22/11/13 15:42:31
Esta semana, un propietario de LG Smart TV denunciaba que los aparatos “llamaban a casa” reportando a LGinformación no sólo sobre sus programas favoritos, sino también sobre archivos de vídeo privados almacenadosen memorias USB conectadas a su red local.
Estudiando el tema más en detalle, un bloguero ha detectado que su propio televisor LG reporta a la empresa los
nombres de archivos intercambiados por otros PC y dispositivos conectados a la misma red local que el televisor.
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 5
Principales riesgos
Verano 2015 9
Ransomware
Robo de datos personales
Fraudes
Aprovechamiento de recursos informáticos
Verano 2015 10
PORQUÉ CONSIDERAR A LA SEGURIDAD DE LA INFORMACION COMO PARTE DE LOS PROCESOS
DE NEGOCIO
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 6
Riesgos a la información
Verano 2015 11
Captura de información desdeel exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Intercepción de comunicaciones
Destrucción de equipamiento
Bomb shells
Acceso indebido a documentos impresos
Software ilegal
Falsificación de información para terceros
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Password cracking
Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attack
Keylogging
Java applets
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son verificadosDesactualización
Backups inexistentes
¿ QUE TIENEN EN COMUN ?
SON SOLO RIESGOS TECNOLÓGICOS
Impactos de los riesgos
Verano 2015 12
Captura de información desde el exteriorViolación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Destrucción de equipamiento
Bomb shells
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Password cracking
Man in the middle
Exploits
Denegación de servicioEscalamiento de privilegios
Keylogging
Java applets
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son verificados
Desactualización
Backups inexistentes
SON SOLO RIESGOS TECNOLÓGICOS
Interrupción o alteraciónde los procesos de negocio
¿ ?
Impactos:Económicos, Legales
Productivos, Clima laboral
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 7
Verano 2015 13
LA SEGURIDAD DE LA INFORMACIÓN NO ES SOLO UN ASUNTO DE TECNOLOGÍA
ES UN ASUNTO DE NEGOCIOS
LA SEGURIDAD DE LA INFORMACIÓN NO ES SOLO UN ASUNTO DE TECNOLOGÍA
ES UN ASUNTO DE NEGOCIOS
“La utilidad de proteger la información radica en detectar y reducirlos riesgos de que la información o los activos tecnológicos seandañados de tal manera que interrumpa o reduzca la efectividad de laoperación del negocio y la organización”,
Verano 2015 14
Afectación a la operación del activo y servicios ofrecidos
• Salida de línea del servidor, interrupción del servicio
• Investigación de vectores de ataque
• Reinstalación de aplicativo, limpieza de base de datos, cache de google, etc
• Ajuste de herramientas
Impacto a la imagen de la organización
• El ataque puede ser rápidamente difundido
• Se genera una impresión de desconfianza en el servicio a pesar de que éste sea eficiente
Impacto a la carrera del personal involucrado
• A pesar del gran esfuerzo del personal de TI y responsables superiores de generar buenos servicios bastan pequeños problemas para tirar a la borda buenos esfuerzos.
Una intrusión que puede llevar
una hora a un atacante tiene un
impacto de semanas de
trabajo, altos costos de
recuperación e afectación a la imagen de la
organización de meses
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 8
Verano 2015 15
La seguridad de la información como un proceso integral
Verano 2015 16
Disponibilidad
Integridad
Confidencialidad
Procesos Tecnologia
Personas
Administración de
incidentes
Mejora continua
Administración del Riesgo
ESTRATEGIA Y
LIDERAZGO
La seguridad de la información es un asunto integral
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 9
Verano 2015 17
Capacitación en mejores prácticas
Auditores/CISO
FirewallsDetectores de intrusosNACControl de contenidoTokensDLP
Políticas y procedimientosAuditorías de vulnerabilidades
Continuidad de la operaciónHardening
Mejores prácticas en seguridad
Arquitectura de SeguridadSistemas de Gestión de Seguridad de la Información
Administración del riesgo
Preparar a las personas
Verano 2015
18
Capacitación y certificación
Autoridad y responsabilidad
Cultura de Seguridad
Compromiso de la dirección
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 10
Preparar a la tecnología
Verano 201519
Firewall
Detectores de intrusos
Control de
contenido mail y web
Detectores de intrusos
Tokens
NAC
Scannersde
vulnerabilidades
Anti-malware
VPNs
Software de
cumplimiento
Cumplimiento de los objetivos
organizacionales
Preparar a los procesos
Verano 2015
Políticas
Procedimientos
Hojas de trabajo / Checklists
Registros
TACTICO- EL COMO -
ESTRATEGICO- EL QUÉ -
METRICAS E INDICADORES
Servicios ofrecidos
por TI
Objetivos de
Negocio
Administración del riesgo
Visión de la
dirección
OPERATIVOLA
EVIDENCIA
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 11
Ciclo general de SI
Verano 2015 21
Responsable de Seguridad
de la Información
Alineación con los objetivos
de la organización
Arquitectura de
Seguridad:
Inventario de activos y procesos, zonas de seguridad
Clasificación de
información
Análisis y de riesgos
tecnológicos y operativos
Políticas, procedimientos,
controles y métricas para la reducción de los
riesgos tecnológicos
Automatización de cumplimiento
de políticas y procedimientos
- Tecnología -
Monitoreo y Auditoria
Capacitación y Sensibilización
Sistema de gestión y mejora continua
Sistema de Gestion de SI
Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org
10o Día de la Seguridad ALAPSI A.C. Summer
Edition
Verano 2015 12
Lo que aprendimos
La seguridad es un asunto de negociosLa seguridad es un asunto de negocios
La seguridad debe reducir los riesgos a la operación y a la información contenida en los procesos de negocioLa seguridad debe reducir los riesgos a la operación y a la información contenida en los procesos de negocio
La seguridad para ser efectiva debe ser implementada en los ámbitos de personas, procesos y tecnologíaLa seguridad para ser efectiva debe ser implementada en los ámbitos de personas, procesos y tecnología
Se requiere la participación de toda la empresa y la definición de responsables y actividadesSe requiere la participación de toda la empresa y la definición de responsables y actividades
Verano 2015 24
10º Día de la SeguridadSummer Edition
2 Julio 2015