Morella Behrens L. CISM-CGEIT -...

Resiliencia en el Contexto de la Seguridad de la Información

Morella Behrens L.!CISM-CGEIT

III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad

El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.

Resiliencia desde el punto de vista del Comportamiento Humano

!• Real Academia Española de la Lengua: es la capacidad humana de asumir con flexibilidad situaciones límites y sobreponerse a ellas • Psicología: gracias a ella somos capaces no solo de afrontar las crisis y situaciones traumáticas, sino que también podemos salir fortalecidos de ellas • Rafaela Santos- (Psiquiatra, Presidenta del Instituto Español de Resiliencia y

autora de “Levantarse y luchar”): consiste también en saber aprender de la derrota y transformarla en oportunidad de desarrollo personal !!

La Neurociencia muestra que el cerebro humano es capaz de adaptarse a los cambios a través de la plasticidad neuronal



Ciber-ResilienciaSegún algunos autores, la Ciber-Resiliencia es: !• la capacidad para resistir, proteger y defender el uso del

ciberespacio de los atacantes • la capacidad de la infraestructura, ya sea de seguridad o de TI,

de proveer y mantener un funcionamiento aceptable a pesar de fallas y desafíos a la operación normal, por ejemplo: sobrecargas de trabajo, tráfico malicioso, etc.

Infraestructura suficientemente robusta como para protegerse y repeler potenciales ataques, así como ser tolerante a fallas

¿Es esto suficiente?



Resiliencia en el Contexto de la Seguridad de la Información

» Algunas Consideraciones: • La seguridad es un proceso sistémico en el que intervienen factores

de diversa naturaleza • La seguridad debe responder a la realidad, al nivel de amenazas y

al nivel de riesgo aceptable para cada organización • Los pilares fundamentales para agregar valor a la gestión de la

seguridad son los procesos de prevención, protección y planificación • Una arquitectura de seguridad robusta combina 3 elementos

fundamentales: las personas, la tecnología e infraestructura y las políticas/ normas y procedimientos

Para que la Seguridad de la Información sea “resiliente" es necesario que todos sus procesos y los elementos que intervienen en la

seguridad sean resilientes



¡¡ La Seguridad de la Información !es Compleja y Dinámica !!

RIESGO CRECIENTE • Pérdidas aproximadas

de $445 billones/año en la economía global (CSIS)

• $150 billones por pérdida de información personal

DIVERSIDAD DE ATAQUES • Virus • Accesos no autorizados • Negación de Servicios • SPAM • Phishing • Back Doors • APS (Advanced Persistent Threads)

NO EXISTE VERDADERO CONTROL • 77% reporta haber sufrido eventos de

seguridad • 34% dicen haber sufrido incrementos en el

número de incidentes • 3000 compañías desconocían haber tenido

incidentes hasta que el FBI se los informó

Fuente: (2014 US State of Cybercrime-PWC)

DIVERSIDAD DE TECNOLOGÍAS Y SOLUCIONES

• AntiVirus • Firewalls • IDS • IPS • Filtros de Contenido • Monitores de Políticas • Biometría • Escaners de Vulnerablidad • Event Security Management (SIEM) • Virtual Public Network (VPN) • …

POCA EXPERTICIA • Capacitación local

incipiente • Pocas empresas

especializadas en seguridad



¿Qué hacen usualmente las Organizaciones?

SEGURIDAD

Definen e Implantan sus PNP

Incorporan Tecnologías

Capacitan al Personal

Ejecutan Análisis de Vulnerabilidad Periódicos


El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.

Debilidades del Enfoque Actual

Generalmente olvidamos el factor humano

➢Para que la seguridad sea efectiva y resiliente se requiere un cambio cultural

Las vulnerabilidades son dinámicas

➢Se requiere vigilancia y monitoreo permanente así como capitalizar las experiencias

Inversiones en nuevas tecnologías de seguridad no resuelven el problema y a veces lo agravan

➢La inversión en tecnología debe estar acorde a requerimientos del Negocio.

➢Generalmente no sabemos qué necesitamos controlar

Humanamente es imposible procesar a tiempo todos los datos de seguridad de una empresa

➢Se requiere una solución efectiva que recolecte, homologue y presente oportunamente la información de seguridad

Adoptamos modelos de seguridad de otras empresas que no responden a nuestros objetivos

➢Se requiere una alineación de la seguridad al Negocio

Problema Se requiere


El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.

Debilidades del Enfoque Actual (cont.)

El análisis de incidentes carece de una visión estratégica

➢Se requiere descifrar patrones ocultos

Muchos fraudes y problemas de seguridad son a nivel de seguridad física y procesos del negocio los cuales no se contemplan al momento del diseño

➢Se requiere una visión holística e integrada de la seguridad

Desconocemos si las políticas y regulaciones en realidad se cumplen

➢Se requiere establecer auditorias periódicas y evaluación del cumplimiento

Cuando ocurren incidentes el objetivo es mitigar y pocas veces aprendemos de la experiencia

➢Se requiere incorporar inteligencia a la detección y respuesta a incidentes

¡¡¡ UN ALTO PORCENTAJE DE LA SEGURIDAD ES REACTIVO !!!

Problema Se requiere



Evolución de la Seguridad

Resiliencia: Capacidad para superar circunstancias adversas y capitalizar nuestras

experiencias

Vulnerabilidad: Debilidades para

enfrentar amenazas

Reacción: Respuesta ante

incidentes

P3

Prevención, Protección y Planificación

SEGURIDAD REACTIVA

SEGURIDAD PROACTIVA

SEGURIDAD RESILIENTE

Es un modelo integral de seguridad que, a través de una metodología sencilla, facilita la definición,

conceptualización, planificación y gestión estratégica de la seguridad en las organizaciones

Producto terminado: Mapa de Ruta para la Seguridad

Modelo Aplicado para la Prevención, Protección y Planificación de la Seguridad



¿Cómo Lograr una Seguridad Resiliente?




» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio



ARQUITECTURA DE SEGURIDAD

POLÍTICAS, NORMAS Y PROCEDIMIENTOS

TECNOLOGÍAS

ORGANIZACIÓN

Visión del Negocio

Situación existente de la Seguridad

Objetivos y Estrategias

Empresariales

ESQUEMAS GESTIÓN

VISIÓN ESTRATÉGICA DE LA SEGURIDAD





Identificación de Controles Requeridos





» Asegurar el cumplimiento de políticas, normas y procedimientos que soporten la resiliencia



» Prevención (sensibilización del personal, creación de cultura resiliente)

» Monitorización (detección y alerta oportuna de incidentes)

» Gestión de incidentes (recopilación de eventos, notificación y aprendizaje de los incidentes)

PCI DSS

HIPPA BASILEAISO/27000

SOX






» Desarrollar una cultura organizacional resiliente



» Características de una cultura de seguridad orientada a la resiliencia:– cultura orientada a la prevención– con actitud analítica consciente– capaz de crecerse ante las adversidades– orientada al trabajo en equipo– con una buena comunicación– con consciencia de sus habilidades y limitaciones– flexible ante los cambios y con capacidad de valorar

distintas alternativas– con visión objetiva de las dificultades y siempre bajo

una actitud positiva – que enfrenta los problemas como oportunidades de

crecimiento






» Desarrollar una cultura organizacional resiliente» Diseñar un modelo tecnológico resiliente

alineado al negocio



Eventos

Eventos

Eventos

Eventos

Incidentes

Incidentes

Incidentes

Incidentes

Eventos

Eventos

Eventos

Eventos

Eventos

Línea de la Normalidad

Línea de la Criticidad

Contención

Pérdidas

Daños

Pérdidas

Daños

Pérdidas

Certeza Incertidumbre

Recuperación

Eventos

Eventos

PREVENCIÓN

PROTECCIÓN

PLANIFICACIÓN

Siniestro

Siniestro

Incidentes

Incidentes

Identificación y Detección NeutralizaciónRespuesta

Controles

Inteligencia

PLANIFICACIÓNControles

Inteligencia

Eventos

Eventos

SEGURIDAD RESILIENTE






» Desarrollar una cultura organizacional resiliente» Diseñar un modelo tecnológico resiliente alineado

al negocio » Implementar una plataforma tipo SIEM, con

incorporación de los controles definidos, para la detección a tiempo, respuesta oportuna e incorporación progresiva de inteligencia






» Desarrollar una cultura organizacional resiliente» Diseñar un modelo tecnológico resiliente alineado al negocio» Implementar una plataforma tipo SIEM, con incorporación

de los controles definidos, para la detección a tiempo, respuesta oportuna e incorporación progresiva de inteligencia



En una seguridad resiliente pasamos de observadores de la inseguridad a

creadores de la seguridad



Morella Behrens L. CISM-CGEIT (ISACA)

[email protected] +58 412 3305973

¿Quién quiero ser

“observador o creador”?

mailto:[email protected]

Morella Behrens L. CISM-CGEIT -...

Documents

Transcript of Morella Behrens L. CISM-CGEIT -...