Fuga de Información ISACA 6 dic 2012 v2 Fugas... · relevante (San Pablo Dic 2012), sociedad sin...

Ricardo Morales, CISSP, CISA, CISM, ISO27001 LA, ITIL (OSA), CGEIT, CRISC, ISO20000 Auditor

6 Dic 2012

CONFERENCIA ANUAL ISACA MONTERREY 2012

AGENDA

1. Introducción 2. Ambiente de Seguridad en México3. Enfoque FDI (Fugas de Información)4. Componentes FDI5. Metodología FDI



Iniciamos


360 / 370

Announced August 2, 1972 and withdrawn September 15, 1980.

Monolithic processor (main) storage of up to four megabytes was available in a single Model 158.

1 MB RAM 5 MDD


Seguridad en los 70s

Redes NO Públicas

Bardas físicas

Alambres Corporativos

Batas Blancas/ No acceso masivo a la Tecnología

Dominio del Procedimiento BATCH

Muy Caro Ambiente de Cómputo

Control de Acceso (factor de Exposición es bajo)

Poca Sistematización en empresas (Sist. Inf.)

Dominio de Desarrollos propios/ tercera generación de lenguajes


Bing Bang

Desktop

Internet

$/ MB

$/ GHZ

Nativos Digitales

FORTRAN —"the infantile disorder"—, by now nearly 20 years old, is hopelessly inadequate for whatever computer application you have in mind today: it is now too clumsy, too risky, and too expensive to use.

The use of COBOL cripples the mind; its teaching should, therefore, be regarded as a criminal offence.

Worms

Movilidad

Red Social

Anonymous

Cyberwar

K Mitnick

XLSI


Procesos de Negocio

Sistemas de

Monitoreo que

permiten acceder a

datos

transaccionales

Archivo y

Eliminación no

controlada de

información

sensitiva

Inadecuados perfiles

de acceso permiten

que usuarios puedan

acceder a

información que no

deberian ver

Tercerización de

Procesos sin

adecuados

controles

Publicación de

información de la

empresa en Internet

(redes sociales) o

almacenados en la

“nube”

Desarrolladores que

acceden a datos en

Producción

Información Información

Sensible no

encriptada en las

Bases

Conocen esteAmbiente?


Ambiente en México (relacionado a FDI)

LFPDPPP, existe el marco legal, organizaciones poco preparadas, ha ocurrido un caso relevante (San Pablo Dic 2012), sociedad sin ejercer sus derechos ARCO, a la expectativa del nuevo Gobierno.

Continuidad de Negocios, a causa de una gran variedad de desastres naturales y altos índices de delincuencia, las organizaciones están mejorando sus Planes de Continuidad que todavía son muy inmaduros, Gobierno sin capacidad para organizar Planes ante desastres en conjunto con las Organizaciones.

Delitos Cibernéticos, no hay marco legal, nos llaman en la Región “Las islas caimanes de TI”, por lo que las Organizaciones deben ser capaces de responder para protegernos ante eventos de Seguridad aún sin esta legislación.


Ambiente en México (relacionado a FDI)

Contratos, se empiezan a ver casos donde además de incorporar en los Contratos Propiedad Intelectual y NDAs se añaden temas de Fugas de Información.

ISO27001, su certificación está en crecimiento debido principalmente a requisitos cliente-proveedor, son menos de 40 Sistemas Certificados (Japón tiene más de 4,000).

Documentos Electrónicos, el uso de la Firma Electrónica Avanzada se fomentará mas por los Estados y Plataforma e-México; La Protección y Resguardo de los archivos de Facturación (XML) debe de ser una prioridad de acuerdo como está el marco de ley (deducibilidad y resguardo seguro como mínimo 5 años).


Enfoque de Cliente ante FDI • Preocupaciones Políticas

• Competencia

• Coyunturales

• Preocupaciones Ideológicas

• Cumplimiento

• Información Técnica

• Propiedad Intelectual

El Paradigma de Seguridad cambió: ya no es sólo asunto de protegerse de las amenazas exteriores,

ahora es cuidar la información que sale


Enfoque de Cliente ante FDI -BDs

Manufacturing Sector PúblicoConsumo

MasivoOil & Gas Financiera Salud

Telecom,

Media y

Tecnología

Proyectos de desarrollo de

Negocios

Base de proveedores

Base de Proveedores

Detalle de producción

Tarjetas de crédito

Información de Pacientes

Nuevos Productos

Aspectos Impositivos Sensibles

Ejecución presupuestaria

PromocionesDesarrollos

tecnológicos

Información de Seguridad

de clientes

Desarrollo de medicamentos

Desarrollos tecnológicos


Esquema conceptual de funcionamiento FDI

Registros de Auditoría

¿A dónde van

los datos?¿Qué hace el

usuario con los datos?

Datos no

estructurados

� Lectura

� Escritura

� Copiar/Pegar

� Mover

� Imprimir

� Copiar a CD

� Subir a la Web

Datos

estructurados

� Ver

� Modificar

� Borrar

� Extraer Redes

Dispositivos

Aplicaciones

E-mail

Usos típicos de DLP

Analizar el contenido de un Archivo y/o su nombre

REGISTRAR, AVISAR O DETENER un mensaje de Correo

MONITOREAR la Red de la Organización en busca de información sensible y REGISTRAR o AVISAR todos los movimientos

REGISTRAR, AVISAR O CONTROLAR que un usuario Copie en forma no autorizada información sensible en un CD, disco o USB

ENCONTRAR información sensible Almacenada en lugares donde NO debiera estar

CONTROLANDO la fuga de información en una laptop corporativa aunque la misma este fuera de la red corporativa

REGISTRAR, AVISAR O CONTROLAR que un usuario Imprima en forma no autorizada un documento

CONTROLANDO las Copias en Memoria


Cumplimiento - back to basics

• Regulaciones

• Leyes

• Convenios

• Por Industria -PCI -HIPAA -LFPDPPP -etc


COMPONENTES FDI

• Diagnóstico Inicial

• Análisis de Cumplimiento

• Normatividad (Política, Directrices)

• Áreas Sensibles

• Análisis de Riesgos

• Alcance

• Proceso de Incidentes

• Dueños de Activos de Información

• Implementación Técnica

• Métricas

• Reglas de Fugado

• Ajuste Controles existentes(Net, agents, Mail, Web, etc.)

• Análisis de Flujos

• Clasificación de Información (Labeling y Manejo)

• Modelo, Proceso, Entrenamiento,

Tecnología


COMPONENTES

COMPONENTES Ajuste gradual de la solución DLPL

eve

l o

f R

isk

(N

o.

of

Inc

ide

nts

)

Datos de Empleados:

Tipo de Información: Tabla Excel con información de empleados.

Acción: Manipulación de información de empleados de la organización.

Respuesta: Generación de alerta en la consola de administración de la herramienta.

Exact Data Matching

STRUCTURED DATACUSTOMER DATA

Datos de Clientes y Empleados

Bajo porcentaje de falsos positivos

ReglasCOMPONENTES

Datos de Tarjetas de Crédito:

Tipo de Información: Excel con Tarjetas de crédito con BIN 5544

Acción: Copia de información de tarjetas de crédito con prefijo 5544 hacia un dispositivo extraíble.

Respuesta: Bloqueo de la acción “copia” y notificación al usuario.

DescribedContent Matching

DESCRIBED DATA

Information noIndexable

Palabras Clave

Data Identifiers

ReglasCOMPONENTES

Marco Normativo :

Tipo de Información: 15 Documentos de un Marco Normativo en formato de Word.

Acción: Copia parcial o total del texto de un documento perteneciente al marco normativo.

Respuesta: Generación de alerta en la consola de administración.

Indexed Document Matching

UNSTRUCTURED DATAINTELLECTUAL PROPERTY

Datos de Diseño y Financieros

Bajo porcentaje de falsos positivos

ReglasCOMPONENTES

Ejemplo de Alerta generada en la estación de trabajo del usuario.

Ejemplo de Alerta generada en la consola

de administración

AlertasCOMPONENTES

SGFDI

Establecer Proceso deFDI

Implementar y operar Gestión de

FDI

Monitoreo y revisión Gestión de FDI

Plan

Do Act

Check

Implementar y operar Gestión de

FDI

• Implementar las mejoras identificadas

• Realizar acciones correctivas y preventivas

• Comunicar los resultados

• Fine Tunning Reglas

• Auditoria de Incidentes

• Auditoria del SGFDI

• Revisión de Métricas

• Controles existentes (Net, Mail, Web, etc.)


• Reglas de Fugado, Proceso FDI

• Implementación Técnica

• Normatividad (Política, Directrices)

• Tratamiento de Riesgos

• Clasificación de Información

• Concientización, Entrenamiento

• Análisis de Cumplimiento

• Workshop Alta Administración

• Diagnostico Inicial

• Análisis de Flujos

• Alcance, Modelo FDI

• Métricas, Áreas Sensibles

• Análisis de Riesgos


En que están fallando las Organizaciones

• Borrachera Tecnológica

• Clasificación de Información


• Fine Tunning Tech

• Penalidades

• Mantenimiento de reglas

• Políticas

• Administración de Riesgos


A.16 Fuga de Información / ISO27001

Objetivo de Control A.16.1 Asegurar que la Información Sensible pueda ser monitoreada y controlada ante posibles fugas

Control A.16.1.1 Inventario de Datos SensiblesControl A.16.1.2 Flujos de Datos Sensibles.Control A.16.N

Objetivo de Control A.16.2

Control A.16.2.1Control A.16.2.2.Control A.16.2.N

¿Será el nuevo Dominio #12 ?

To be Continued………….

Preguntas

Expositor:

Ricardo Morales

6 Dic 2012

www.isacamty.org.mx

www.isaca.org


•Apoyos

Expositor:

www.isacamty.org.mx

www.isaca.org


Principales proveedores de soluciones DLP

Fuga de Información ISACA 6 dic 2012 v2 Fugas... · relevante (San Pablo Dic 2012), sociedad sin...

Documents

Transcript of Fuga de Información ISACA 6 dic 2012 v2 Fugas... · relevante (San Pablo Dic 2012), sociedad sin...