Tendencias en Tendencias en Seguridad de la Seguridad de la

InformaciónInformaciónInformaciónInformación

Julio César Arditajardita@cybsec.com

12 de Septiembre de 2012Buenos Aires - Argentina

Tendencias en Seguridad de la Información

AgendaAgendaAgendaAgenda

• Presión de las regulaciones

• El rol del CSO

• Outsourcing de la seguridad• Outsourcing de la seguridad

• Incidentes de seguridad

• Vulnerabilidades

• Seguridad de la infraestructura crítica

• La Nube segura

2222

Presión de las regulacionesregulaciones

3333

Presión de las regulaciones

Evolución de la madurez y estado de implementación de las normativas relacionadas con seguridad en Argentina

NormativaNormativaNormativaNormativa EvoluciónEvoluciónEvoluciónEvolución

SOX

BCRA A4609

Tendencias en Seguridad de la Información

4444

BCRA 5203

Protección de datos personales

• Las normativas llegaron para quedarse

• La mayoría de las mismas impactan en el sector de SI

• Se debe tomarlas como “oportunidades”

PCI

Cantidad de proyectos PCI-DSS en clientes de Cybsec

(Incluye Auditorías, Revisiones y análisis de GAP)

Presión de las regulaciones

Tendencias en Seguridad de la Información

Cantidad de trabajos realizados

25

5555

0

5

10

15

20

2007 2008 2009 2010 2011 Ene-Ago2012

Cantidad de trabajos realizados

¿Con cuántos de los ítems cumplen las organizaciones?

Presión de las regulaciones

Tendencias en Seguridad de la Información

Promedio de cumplimento de controles por

año

6666

0,0%10,0%

20,0%30,0%40,0%50,0%

60,0%70,0%

2008 2009 2010 2011

Payment Application Data Security Standard (PA-DSS)

• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012

Presión de las regulaciones

Tendencias en Seguridad de la Información

7777

Ud está

Aquí

Asesoramiento Análisis GAP Certificación Compliance

Payment Application Data Security Standard (PA-DSS)

• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012

Presión de las regulaciones

Tendencias en Seguridad de la Información

8888

Ud está

Aquí

Asesoramiento Análisis GAP Certificación Compliance

El Rol del CSOEl Rol del CSO

9999

CISO: Chief Information Security Officer

• Encargado de seguridad de la Información dentro de una Organización• El nivel de reporte depende del grado de maduración de la empresa

Seguridad InformáticaSeguridad Informática Seguridad de la InformaciónSeguridad de la Información

Rol del CSO

Tendencias en Seguridad de la Información

10101010

Seguridad InformáticaSeguridad InformáticaTareas técnicas y operativasTareas técnicas y operativas

Seguridad de la InformaciónSeguridad de la InformaciónRol de ManagementRol de Management

Seguridad InformáticaSeguridad InformáticaTareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,

soporte a áreas de sistemassoporte a áreas de sistemas

Antes HoyAntes Hoy

Outsourcing deseguridad

11111111

seguridad

Situación actual

Las áreas de seguridad de la información en las Organizaciones están

realizando outsourcing de las siguientes tareas:

- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)

Outsourcing de seguridad

Tendencias en Seguridad de la Información

12121212

- PenTest

- Gestión de vulnerabilidades (scannings)

- Gestión de accesos (ABM Users y Permisos)

- Respuesta a incidentes

- Soporte a proyectos internos

- Desarrollo de Documentación

Tendencias

- Madurez en los servicios de outsourcing de seguridad

- Acompañamiento de la estrategia de la Organización

Horas de Soporte

Outsourcing de seguridad

Tendencias en Seguridad de la Información

13131313

Recurso on-site

Especializado

Sector de Seguridad

de la Información

Incidentes de seguridadseguridad

14141414

Incidentes de seguridad

Cantidad de incidentes graves manejados por CYBSEC

14

16

18

Incidentes de seguridad

Tendencias en Seguridad de la Información

15151515

0

2

4

6

8

10

12

14

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012*Ene-Ago

Tendencia Actual

- Aumento de incidentes de seguridad (mayoría de los casos insiders)

- Aumento exponencial de ataques de phishing contra entidades

bancarias (Disparador: transferencias inmediatas Abril 2011)

Incidentes de seguridad

Tendencias en Seguridad de la Información

16161616

- Ataques de phishing más sofisticados (incluyendo explotación de

vulnerabilidades)

- Hacktivismo (Sector 404 Argentina

y Anonymous Argentina)

Manejo de Incidentes

La pregunta hoy no es si voy a tener un incidente de seguridad, sino:

¿cuando lo voy a tener?

Madurez del Manejo de Incidentes de Seguridad Interno

Incidentes de seguridad

Tendencias en Seguridad de la Información

17171717

- No poseen (85%)

- Manejo de incidentes desorganizado (8%)

- Manejo de incidentes formal para la foto (compliance) (4%)

- Manejo de incidentes formal real (2%)

- CSIRT interno (<1%)

VulnerabilidadesVulnerabilidades

18181818

Vulnerabilidades de seguridad

- Un nuevo trabajo: Vulnerability Researcher

- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código

+ Conocimiento de la misma en el mercado = Hasta U$S 100.000

Vulnerabilidades

Tendencias en Seguridad de la Información

19191919

- Maduración del mercado de compra/venta de vulns

- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's

Exploit Acquisition Program, etc

- Mercado oficial – negro – gris

Tendencias en vulnerabilidades de seguridad

- Más gente buscando nuevas vulnerabilidades!!!

- Intentos por regular la actividad (Alemania, USA, etc.)

Vulnerabilidades

Tendencias en Seguridad de la Información

20202020

- Acercamiento al tema de las áreas de inteligencia de algunos países

- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days

- Aumento de los Toolkits para

Cybercrimen (Phishing – Botnets – Etc.)

Seguridad de la infraestructura

crítica

21212121

crítica

Situación actual

Alcance de las IC: Administración, Espacio, Industria Nuclear, Industria

Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de

la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema

Financiero y Tributario.

Seguridad de la infraestructura crítica

Tendencias en Seguridad de la Información

22222222

En las Organizaciones, el sinónimo es protección de redes SCADA

La red SCADA era manejada Seguridad Corporativa se está

por ingenieros y proveedores. metiendo en el tema.

- Integración con la red corporativa

- Aplicación de estándares

- Actualización / Patches

Tendencias

- Los gobiernos están involucrándose en el tema. En Argentina, en

2011 se creó el Programa Nacional

de Infraestructuras Críticas de

Información y Ciberseguridad (ICIC).

Seguridad de la infraestructura crítica

Tendencias en Seguridad de la Información

23232323

- Las Organizaciones que poseen este tipo de redes industriales están

avanzando en la aplicación de medidas

de seguridad.

La nube segurasegura

24242424

Situación actual

- Beneficio de los servicios cloud: Empresas chicas

- Cultura empresarial

- SLA (la base de todo)

La nube segura

Tendencias en Seguridad de la Información

Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.

Acuerdos negociables

25252525

- SLA (la base de todo)

- Modelos y seguridad

Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).

Aspectos de seguridad a tener en cuenta

NIST 800-144 - Guidelines on Security and Privacy in Public

Cloud Computing – Diciembre 2011

1. Gobierno2. Cumplimiento

La nube segura

Tendencias en Seguridad de la Información

26262626

2. Cumplimiento3. Confianza4. Arquitectura5. Identity y Access Management6. Aislamiento de software7. Protección de información8. Disponibilidad9. Respuesta ante Incidentes

¿Preguntas?