Mejores Practicas de Seguirdad de la

Informacion

Santiago Gabriel Cavanna

SANS-GSEC /ISC2 CISSP

CA Solution Strategist

santiago.cavanna@ca.com

Observaciones preliminares

> Que estamos discutiendo los profesionales de seguridad de la información?.

Seguridad informática VS Seguridad de la Información

> Por que es tan difícil explicar “el problema”. Ciencias exactas vs ciencias sociales La desventaja del modelo

> La evolución vertiginosa. Brechas de conocimiento – conflicto entre paradigmas de comunicación y

acceso.

> La demanda del “negocio”, por tipo de negocio (mercados verticales, demandas especificas)

Rápido y furioso.

> Riesgos, damnificados, responsables Directos e indirectos.

Agenda

> Definición simplificada del problema

> Modelos de Madures

> Estándares y Regulaciones y Mejores Practicas

> Recomendaciones generales

Definición simplificada del problema

Definición simplificada del problema

> El problema se sintetiza en alcanzar niveles aceptables de Confidencialidad, disponibilidad e integridad de la información que sostienen los objetivos del negocio

> Las claves son: Alcanzar – (modelo iterativo)

Confidencialidad.

Disponibilidad.

Integridad.

Niveles aceptables – (gestión de riesgos)

Objetivos del negocio – (Mandatorio y Rector)

Algunos Problemas subyacentes

> Definición de activos de información Valor de la información, percepción del valor de la información,

rentabilidad, dependencia.

Impacto sobre incidentes de perdida de confidencialidad, integridad o disponibilidad de la información.

> Cultura de la organización Composición humana de la organización

Supuestos, expectativas, idealización de la seguridad.

Relacionamiento entre los actores y entre los actores y la organización, sus procesos y sistemas.

Adaptabilidad al cambio, al control o a la limitación de privilegios– Modelo de seguridad aceptados o aceptables

Estado del arte: parte 1

> Sistemas distribuidos.

> Entornos heterogéneos.

> Interacciones multidireccionales y multisistemas.

> Aumento explosivo de los activos de información.

> Aumento explosivo de la dependencia a los sistemas.

> Relación entre vulnerabilidades y atacantes por definición, desventajosa

> Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente.

> Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.

Estado del arte: parte 2A

ttac

k So

ph

istica

tion

email propagation of malicious code

“stealth”/advanced scanning techniques

widespread attacks using NNTP to distribute attack

widespread attacks on DNS infrastructure

executable code attacks (against browsers)

automated widespread attacks

GUI intruder tools

hijacking sessions

Internet social engineering attacks

automated probes/scans

widespread denial-of-service

attackstechniques to analyze code for

vulnerabilitieswithout source code

DDoS attacks

increase in worms

sophisticated command & control

anti-forensic techniques

home users targeted

distributed attack tools

increase in wide-scale Trojan horse

distribution

Windows-based remote controllable

Trojans (Back Orifice)

Intruder Knowledge1990 2005

packet spoofing

Modelos de Madures

Modelos de Madurez.

> Basados en la Capacidad. (CMM)

> Basados en la Completitud. (ISO 9000-14000)

Act Plan

DoCheck

Maturity

Level

Time ScaleEffective Quality Improvement

Consolidate the Level Reached

Level 0

ITIL Maturity Model (information from Pink Elephant)

AwarenessProcess driven by tools

Roles and responsibilities poorly defined

InitiationSome policies statements

Words no DocsNo dedicated resources

AbsenceNo evidence of activities supporting

the process

ControlMeasurable Targets

Mgmt Reports producedFormal Planning

Tasks, responsibilities, well defined

IntegrationSignificant quality improvements

Interdepartmental communicationsQuality & Per. Metrics transferred between

processes

Absence

Level 1

Level 2

Level 3

Level 4

Level 5

Initiation

Awareness

Control

Integration

Optimization

OptimizationLinks between IT & Corporate Policy

InnovationQA & Continuous improvement

World Class Perf. Measurements

Maturity Model: Cobit Version 4.0

Modelo de madurez de Seguridad (basado en la capacidad)

Modelo de madurez de Seguridad(basado en la completitud)

Administración de TI: Modelo de madurez CA

Conduciendo el negocio

Activo

Eficiente

Receptivo

Responde a problemas y fallas

Procesos manuales “ad-hoc”

Procesos estandarizados

Respuestas automatizadas

Recursos de TI consolidados

Servicios de TI relevantes al negocio

Administración por nivel de servicio

Administración financiera de TI

TI se optimiza en tiempo real dinámicamente para apoyar al negocio

Proyectos transparentes

3

2

1

4

Ag

ilid

ad

Flexibilidad

- Dedicated Security Staff- Business Unit Owners

- Basic Security Policies- Identify & Classify Assets- Backup/Recovery Process- Periodic Vulnerability Assessments - Network Vulnerability Scanning

- Basic OS w/o Patches - Network Scanners- Anti-Virus- Backup and Storage

Co

nd

uct

So

luti

on

-Lea

din

g A

sses

smen

t to

Det

erm

ine

Cu

rren

t S

tate

& d

eliv

er G

AP

An

alys

is

Maturity Level (1)Active

Maturity Level (2)Efficient

Additional Capabilities Needed to Advance

to Next Level

- Certified Security Staff- Security Awareness Training (IT, HR, Dev)

- Security Policies and Backup/Recovery Process- Identify & Classify Assets- Periodic Vulner. Assessments and A&P- Network Vulner. And AV Scanning- Develop Standard OS Configurations- Vulnerability Research- Agent-based vulnerability and Configuration Management- Business Impact Analysis- Integrated Vulnerability Mgmt. and Helpdesk Processes - Manual Load of OS Patches

- Network Scanners- Anti-Virus- Backup and Storage- Agent Based Vulnerability & Configuration Management- Service Desk (Help Desk)

Security Awareness Training

Periodic Vulnerability & Attack and Penetration Testing

SA

O-D

efin

ed R

oad

map

an

d A

sso

ciat

ed R

OI D

eliv

ered

to

Clie

nt

to M

ove

fro

m A

ctiv

e to

Eff

icie

nt

Mat

uri

ty L

evelPeople

Process

Technology

Security Policies & Procedures

Security Solution Design, Implementation, and Integration

Unicenter Service Desk

BrightStor ArcServe

eTrust Anti-Virus & Vulnerability Manager

CISSP Training

CA products required to realize new capabilities

Maturity Capability Blueprint – Active to Efficient

Estándares y Regulaciones y Mejores Practicas

ISO27001

Communicationsand

OperationsManagement

OrganizationalSecurity

Security Policy

AssetClassification

andControl

BusinessContinuity

Management

Access Control

Physicaland

EnvironmentalSecurity

PersonnelSecurity

SystemsDevelopment

andMaintenance

Compliance

COBiT

Monitorand

Support

Acquireand

Implement

Planand

Organize

Defineand

Support

COSO

Monitoring

InternalEnvironment

RiskAssessment

ControlActivities

Informationand

Communications

ITIL

ICT InfrastructureManagement

ServiceDelivery /Support

BusinessPerspective

Planning toImplement

ServiceManagement

ApplicationManagement

SecurityManagement

ObjectiveSetting

RiskResponse

EventIdentification

COBIT

IT OPERATIONS

IT Governance

Quality Systems & Frameworks

Service

Mgm

t.

Ap

p. D

ev.

Pro

ject Mg

mt.

IT P

lann

ing

IT S

ecurity

Qu

ality System

Modelo de Gobierno IT

COSO

ITIL

BS7799

PMI

ISO

SixSigma

TSOIS

Strategy

ASL

CMM

Sarbanes Oxley

US Securities & Exchange Commission

ISO 27001 – Anexo Objetivos de control y controles.

> A5 Security Policy (3)

> A6 Organization of Information security (4)

> A7 Assesst Management (5)

> A8 Human Resourses Security (6)

> A9 Phisical And Environmental security (7)

> A10 Comunication And Operations Management (8)

> A11 Access Control (9)

> A12 Information System Acquisition, dev and maintenance (10)

> A13 Information Security incident Management (nuevo)

> A14 Business Continuity Management (11)

> A15 Compliance. (12)

> American Society for Industrial Security (ASIS)

> Australian Computer Emergency Response Team

> Armed Forces Electronics and Communication Association (AFCEA)

> Association of anti Virus Asia Researchers (AVAR)

> CLUSIF (Infosec Association of France)

> CLUSIT (Infosec Association of Italy)

> Cyber Security Industry Alliance (CSIA)

> Distributed Management Task Force (DMTF)

> Government Electronics and Information Technology Association (GEIA)

> ICSA Labs

> IEEE-ISTO Open Security Exchange (OSE)

> Information Security & Privacy Advisory Board (ISPAB)

> Information Sharing & Analysis Center Council (ISAC Council)

> Information Systems Control & Audit Association (ISACA)

> Information Technology Association of America (ITAA)

> Information Technology-Information Sharing and Analysis Center (IT-ISAC)

> InfraGard

> InterNational Committee for Information Technology Standards (INCITS)

> International Information Systems Security Certification Consortium (ISC)2

> International Security Trust & Privacy Alliance (ISTPA)

> Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX)

> Israel Security Forum

> IT Service Management Forum (itSMF)

> John Jay College of Criminal Justice

> Korea Institute of Information Security & Cryptology

> Liberty Alliance

> Mitre CVE Editorial Board

> National Cyber Security Summit Task Forces

> New York Electronic Crimes Task Force

> Object Management Group (OMG)

> Open Mobile Alliance

> Open Source Development Lab (OSDL)

> Organization for the Advancement of Structured Information Standards (OASIS)

> Security Industry Association (SIA)

> SHARE

> The Open Group

> Virus Bulletin

> Wild List Organization (ITW)

> World Wide Web Consortium (W3C)

CA Security Affiliations

Recomendaciones generales

Tarea para el hogar

> Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación?

> Hemos realizado un analisis de riesgo integral?

> Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos?

> Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible?

> Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?

Muchas gracias