Ponencia: Seguridad as a service: Como proteger el activo más crítico, la información - XV Congreso de Ingeniería Informática de la Comunitat Valenciana – #SI2020
Rafa Vidal, Nunsys - Seguridad as a service: Como proteger el activo más crítico, la información
1.
2.
3. www.nunsys.com
Uno de los temas de más actualidad es
el riesgo que supone para las empresas
la perdida de datos sensibles para su
negocio.
RANSOMWARE: 2.500 € pérdidas
RESCATE: Desde 84k€ hasta $930k
EXFILTRACIÓN DATOS: Aumentado
un 100% en 2020
Conocer el ciclo de vida de la
información
La forma de hacer negocios cambia y detectar
dónde se almacenan los datos (Servidores,
dispositivos móviles, nube o las propias
instalaciones de la empresa), entender el uso
que los empleados hacen de esos datos, dentro
o fuera de la red y protegerlos de forma
adecuada son puntos fundamentales en
cualquier empresa.
Desde que se genera un nuevo documento hasta que se destruye, la información y datos de la
empresa fluye entre personas y repositorios varios difíciles de controlar y proteger, especialmente
en la nube. En esta presentación veremos como la información crítica del negocio puede ser
controlada, gestionada y protegida ante cualquier uso fraudulento (exfiltración, destrucción,
corrupción, cifrado...).
4. www.nunsys.com
• Información de clientes
• Cuentas bancarias
• Facturas
• Incidencias/debilidades, Paswd, accesos remotos
• Información de la empresa
• Estados financieros
• Propiedad Intelectual / código fuente
• Mkt y estrategia / planes estratégicos
• Auditorías internas
• Documentos Recursos Humanos o Financieros
• Información de producción
• Sistemas de planificación, control de la producción, pedidos, logística
• Ejecutables de SW (desarrollos propios)
5. www.nunsys.com
Las soluciones para Proteger la Información de la empresa nos permite
asegurarnos que los usuarios finales no difunden información sensible o
importante de la compañía. También podemos utilizarlos para que el
administrador de red pueda controlar estos datos y definir criterios.
Existen YA soluciones fáciles y especializadas en ciberseguridad que ayudan
a proteger esa posible pérdida de datos con productos/servicios adecuados a
cada problemática en particular: Data Loss Prevention (DLP), Information
Right Management (IRM), Auditoria de Ficheros en servidores, MDM
(protección de dispositivos móviles), protección Endpoint y Server, Cifrado…
7. www.nunsys.com
CIO
Director de IT
Operación:
• Administración consolas
• Administración DLP,
MDM
• Admin. Herramientas
colaborativas
• Atención alertas
Fuentes de Información, comunicaciones, repositorios
Seguimiento de la información: IRM, DLP, Auditoría de Accesos…
Gestión:
• Clasificación
• Reglas de uso y
custodia
• Ciclo de vida del dato
• Pericial / defensa
jurídica
9. www.nunsys.com
•PlanificaciónF0. Arranque del proyecto
•Matriz de activos y riesgos detectadosF1. Análisis de riesgos
•Establecer criterios de clasificación e Indicar los
niveles de protección.
F2. Definir/actualizar la política de
clasificación de la información
•Definir estrategias para reducir, mitigar y/o
transferir los riesgos de la información.
F3. Plan de Protección de la
información
•Implantación de herramienta en base a los criterios
definidos en las anteriores etapas
F5. Definir e implantar los
controles adecuados
•Sesiones de formación técnica y de concienciación
de todo el personal
F4. Formación y concienciación
•Atender alertas de comportamientos sospechosos.
Evaluar la eficacia de los controles implantados.
F6. Operación y Revisión
Gestión
Operación
Infraestructura
10. www.nunsys.com
Definir/actualizar la política de clasificación de la información
• Nivel de protección a darle a los activos de información.
• Establecer criterios de clasificación objetivos y claros, acordados con los propietarios de la información.
• Acordar los requerimientos mínimos para el tratamiento durante todo el ciclo de vida de la información:
Ejemplos:
• Información confidencial: Salarios, planes estratégicos, código fuente crítico, planos, passwords…
• Información difusión interna restringida: Planificación de la producción, metodologías, stock, clientes, proveedores,
proyectos, código fuente, funcionamiento interno…
• Información difusión externa restringida: Pedidos, presupuestos, compras, ofertas, info de proyectos con clientes,
stakeholders…
• Información pública: Se puede publicar, intercambiar, etc. pero debe tener reglas para su uso en redes sociales, medios, etc.
11. www.nunsys.com
¿Y si a pesar de las medidas de protección se produce una incidencia o brecha de seguridad?
Control reputacional
Control de daños reputacionales
ocasionados por la difusión pública de la
brecha.
Asesoramiento ejecutado por especialistas
en minimización de daños reputacionales.
Eliminación de contenido de Internet
relacionado con la brecha sufrida.
Servicios jurídicos
Asesoramiento y defensa ante la
apertura de procedimiento sancionador
a raíz de la incidencia.
Acciones jurídicas frente al responsable
de la brecha o de la incidencia.
Notificación de la brecha
Asesoramiento legal para la notificación
de la brecha a la autoridad competente
y a los usuarios afectados.
Tramitación y alegaciones durante la
fase de investigación por la autoridad
de control.
12. www.nunsys.com
Accesos a carpetas / ficheros / Sistemas de Información
Cuadros de mando de Documentos etiquetados / confidenciales / afectos a GDPR
Servidores de ficheros / solución email / endpoint DLP – Comportamientos sospechosos
IRM - Intentos de acceso a la información
Top de usuarios con más alertas
Mapa de calor de los datos
• revisar los informes
• Top 10 usuarios con info sensible
• Top 10 posibles filtraciones de datos
• Top 10 de intentos de phising
• proponer conclusiones de mejoras y sugerencias continuas
• Periodicidad mensual
14. www.nunsys.com
• Mínima (Bronce)Proyecto tipo (100 u): 1 k€
• Política de clasificación y reglas de uso (manual)
• Revisión semanal / mensual
• Concienciación a usuarios
• Media (Plata) Proyecto tipo (100 u): 3 k€
• Etiquetado y clasificación semiautomática
• Herramientas para control de la Información
• Atención de incidencias generadas
• Avanzada (Oro) Proyecto tipo (100 u): 6 k€
• Oficina de Protección del Dato
• Gobierno del dato
• Conexión con PowerBI/otros para tener informes de los Datos de la empresa
MADUREZ:
INTELIGENCIA
COSTE MEDIO
Mínima 10 €/user CAPEX
Media 30 €/user CAPEX
Avanzada 60 €/user OPEX
Custom Personalizable
16. www.nunsys.com
Generación de
documentos
Presupuestos,
contratos,
pedidos
CRM, ERP, Local
Etiquetado
Metadatos,
Marca de agua,
Pie de página
Manual,
automático
(plantillas)
Auditar accesos
Prevención Fuga
Información (DLP)
Ajuste fino,
equipos propios
Requiere Agente
Protección de la
Información (IRM)
Máximo control
Protección en el
propio
documento
Etiquetar
Dentro de la
organización
Atención
incidencias
Atendido por
CIO, operador, o
CyberSOC
Alertas de
comportamiento,
alerta exfiltración
Fuera de la
organización
17. www.nunsys.com
• AUDITORIA DE ACCESOS
Windows/FILEAUDIT monitorea, audita y asegura archivos y directorios de una manera simple e intuitiva,
abordando un espacio clave en la seguridad nativa de Windows. Proteja la información confidencial y archivos
sensibles almacenados en Servidores Windows.
• DATA LOSS PREVENTION (DLP)
Prevención de perdida de datos, nos permite asegurarnos que los usuarios finales no difunden información sensible o importante de la
compañía. También podemos utilizarlos para que el administrador de red pueda controlar estos datos y definir criterios
• GESTION DE DERECHOS SOBRE LOS CONTENIDOS
IRM o Information Right Management, la protección viaja con el documento de manera nativa. Máximo control de
los datos.
• PROTECCION DE DISPOSITIVOS MOVILES
MDM permite asegurar, monitorizar y administrar dispositivos móviles de forma centralizada sin importar el
operador de telefonía o proveedor de servicios. MDM permiten hacer instalación de aplicaciones, localización y
rastreo de equipos, sincronización de archivos, reportes, etc..
18. www.nunsys.com
Azure Information Protection para Office 365
Microsoft Azure Information Protection se incluye en los planes Office 365 Enterprise E3 y superiores.
Azure Information Protection Premium P1
Proporciona derechos adicionales para usar los conectores locales, hacer un seguimiento de los documentos
compartidos y revocar el acceso a ellos, y permitir a los usuarios que clasifiquen y etiqueten documentos
manualmente.
Precio: €1,687
Nota: También forma parte de Microsoft Enterprise Mobility + Security E3, Microsoft 365 E3 y Microsoft 365
Empresa.
Azure Information Protection Premium P2
Amplía Azure Information Protection Premium P1 con clasificación, etiquetado y protección automatizados y
recomendados, reglas basadas en directivas y configuraciones Hold Your Own Key (HYOK) que abarcan Azure
Rights Management y Active Directory Rights Management.
Precio: €4,217
Nota: También forma parte de Enterprise Mobility + Security E5 y Microsoft 365 E5.
19. www.nunsys.com
Una directiva DLP contiene:
•Dónde proteger el contenido: ubicaciones como Exchange Online, SharePoint Online y sitios de
OneDrive para la Empresa, así como mensajes de chat y canales de Microsoft Teams.
•Cuándo y cómo proteger el contenido aplicando reglas compuestas de:
• Condiciones que el contenido debe cumplir antes de que se aplique la regla. Por ejemplo, una regla se puede configurar para que
busque solo contenido que incluya números de seguridad social y que se haya compartido con personas de fuera de su organización.
• Acciones cuando se encuentra contenido que coincide con las condiciones. Por ejemplo, una regla se puede configurar para
bloquear el acceso a un documento y enviar una notificación por correo electrónico al usuario y al responsable de cumplimiento.
20. www.nunsys.com
Usuario final: Emisor y receptor de
información
Mecanismos de One Time Password
Etiquetado y
clasificación de
información
Administración y
gestión de alertas
Almacenamie
nto seguro en
la nube
21. www.nunsys.com
Mínima (Bronce) Proyecto tipo (100 u): 2k €
Protección del correo y del puesto de trabajo
Reglas generales para evitar exfiltración
Auditoría de acceso a carpetas y ficheros
Media (Plata) Proyecto tipo (100 u): 4k €
Etiquetado automático por carpetas
Capas extra en el puesto de trabajo (Cifrado,
Navegación, DLP, MDM)
Avanzada (Oro) Proyecto tipo (100 u): 10k €
Etiquetado automático de documentos. Plantillas.
Protección en el propio documento (IRM)
Atención alertas
Cuadro de mando de Protección de la Información
MADUREZ
(ARMAS/MEDIOS)
COSTE MEDIO
AÑO (OPEX)
Mínima 20-25 €/user
Media 40-50 €/user
Avanzada 100-200 €/user
Custom Personalizable
23. www.nunsys.com
ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN:
• Administrar paneles de AIP / Auditoría a ficheros / DLP / IRM / Otras soluciones
• https://protection.office.com/ https://compliance.microsoft.com
PanelComplianceMicrosoft
24. www.nunsys.com
ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN:
• Generar plantillas de protección de la Información
• Etiquetado automático de información de la organización
• Administrar excepciones y actualizar plantillas y documentos
• Revisión periódica de informes
25. www.nunsys.com
OPERACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN:
• Generación de documentos → Guía para los usuarios
• Alertas de bloqueo (prevención de fuga de datos)
Track and Revoke
• Alertas por incumplimiento de políticas (advertencias de comportamientos sospechosos)
• Atención a usuarios (CAU)
26. www.nunsys.com
Azure Information Protection → ETIQUETAS D DATOS CONFIDENCIALES (DNI, IP, IBAN, etc.)
Azure Information Protection (AIP) es una solución basada en la nube que permite a las
organizaciones clasificar y proteger documentos y correos electrónicos mediante etiquetas. Se
pueden aplicar etiquetas:
• Automáticamente por los administradores mediante reglas y condiciones.
• Manualmente por los usuarios.
• Mediante una combinación en la que los administradores definen las recomendaciones que
se muestran a los usuarios.
Ejemplo: Un usuario que incorpore a un
fichero de Word una tarjeta de crédito,
tendrá una notificación al instante con la
advertencia de datos confidenciales.
27. www.nunsys.com
Azure Information Protection → Plantillas por departamento
Estas son algunas de las funciones de etiquetar contenido:
• Clasificación que se puede detectar independientemente de dónde se almacenen los datos
o con quién se compartan.
• Distintivos visuales, como encabezados, pies de página o marcas de agua.
• Metadatos que se agregan a los archivos y encabezados de correo electrónico en texto no
cifrado. Los metadatos de texto no cifrado garantizan que otros servicios puedan identificar
la clasificación y tomar las medidas adecuadas.
Generación de Plantillas para cada tipo de documento
Azure Information Protection usa el servicio Azure Rights Management (Azure RMS) para proteger los
datos.
28. www.nunsys.com
AIP e integración del usuario final para documentos y correos electrónicos → Clasificación de la información
El cliente de AIP instala la barra de Information Protection en las aplicaciones de Office y permite a los usuarios
finales integrar AIP con sus documentos y correos electrónicos.
• En O365, mediante el Se puede aplicar a ubicaciones completas
cliente de etiquetado unificado: con el explorador de Windows:
• Con tareas programadas con comandos de PowerShell
30. www.nunsys.com
Mínima (Bronce) Proyecto tipo (100 u): 500 €
Alertas de Endpoint y Accesos Windows
Media (Plata) Proyecto tipo (100 u): 80 €/mes
Configuración básica O365
Revisión paneles Compliance y Seguridad
(endpoint, correo, Servidor de ficheros)
Atención incidencias Fuga de Datos
Avanzada (Oro) Proyecto tipo (100 u): 200 €/mes
Configuración avanzada EIP/DLP/IRM
Atención comportamientos anómalos
Seguridad Gestionada (CyberSOC)
MADUREZ: TU EJERCITO COSTE MEDIO
AÑO (OPEX)
Mínima 5 €/user
Media 10 €/user
Avanzada 20-50 €/user
Custom Personalizable
31. www.nunsys.com
MADUREZ COSTE
HERRAMIENTAS
COSTE OPERACION COSTE GESTIÓN TOTAL
Mínima 10 €/user 20 €/user 5 €/user 35 €/user
Media 30 €/user 40 €/user 10 €/user 80 €/user
Avanzada 60 €/user 100 €/user 20-50 €/user 180 €/user
Custom Personalizable Personalizable Personalizable Personalizable
Para proteger la información crítica, hay que reforzar políticas y disponer controles
técnicos que aseguren su cumplimiento
¿Dónde te encuentras y donde quieres ir?
Prueba piloto sin coste entorno Microsoft
-
M
AD
UR
EZ
+
+
RIE
SG
O
-
32. •
•
•
• Desarrollo de un procedimiento de clasificación de la información en el que se tenga en consideración las
necesidades de negocio en cuanto a compartir o restringir la información, así como también los requisitos
legales. Será importante decidir que medias técnicas y organizativas se deben tener en cuenta a la hora de
compartir la información.
• Posibilidad de hacer uso de herramientas denominadas DLP (Data Leak/Loss Prevention) o IRM para gestionar
la información y prevenir sucesos que podrían ocasionar fugas de información o pérdida de datos. Este tipo
de herramientas proporcionan informes que ayudan a garantizar la seguridad de la información ya que
pueden mostrar qué datos están siendo utilizados, por quién están siendo accedidos e incluso hacia donde
van.
• Finalmente, es necesario atender las incidencias y hacer seguimiento para evitar falsos positivos y refinar
constantemente los ajustes de detección / respuesta a incidentes relacionados con la gestión de la
información.
• Seguridad en la organización.
• Control sobre la información que dispone la empresa.
• Obtención de datos para cuadros de mando.
• Poder medir el correcto trabajo de los suministradores.
•
•
•
✓
❑
✓
✓
•
•
•