Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)

1,711 views

Published on

Published in: Technology, News & Politics
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,711
On SlideShare
0
From Embeds
0
Number of Embeds
23
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)

  1. 1. Claves para Gerenciar Seguridad y Minimizar los riesgos Gabriel Marcos [email_address] Product Manager
  2. 2. Introducción <ul><li>Puntos de vista para analizar dónde se encuentran los riesgos, desde el campo de la seguridad informática, y entender cómo minimizarlos: </li></ul><ul><li>ORGANIZACIONAL </li></ul><ul><li>RECURSOS (PRESUPUESTO) </li></ul><ul><li>CALIDAD DE SERVICIO </li></ul><ul><li>RECURSOS (TECNOLOGICOS) </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos Por qué ?...
  3. 3. Punto de Vista: ORGANIZACIONAL <ul><li>Incluye: procesos, procedimientos, técnicas y líneas de reporte. </li></ul><ul><li>No hace falta un “hacker” para “explotar una vulnerabilidad” en la organización. </li></ul><ul><li>Son tan importantes los procesos de la propia empresa, como los de aquellas empresas con las cuales estamos interconectados. </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  4. 4. CLAVE: Asegurar desde el organigrama <ul><li>Definición única de las políticas de seguridad para toda la organización </li></ul><ul><li>Creación del Comité de Seguridad de la Información. </li></ul><ul><li>Creación de la figura de CISO (Chief Information Security Officer) </li></ul><ul><li>Buscar “cercanía” entre la definición de políticas y la administración de los componentes. </li></ul><ul><li>La dispersión de las distintas áreas de desarrollo y configuración de equipos, favorece a los hackers: ellos solamente necesitan encontrar “un” hueco, mientras que nosotros tenemos que cubrir “muchos”. </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  5. 5. No Recomendado: CIO / CTO Soporte Desarrollo Networking Marketing WEB Desarrollador Smtp Relay Routing Switching Firewall Sistemas E-commerce Intranet Help Desk Software File Server Claves para Gerenciar Seguridad y minimizar los riesgos
  6. 6. Recomendado: CEO CTO CIO CISO Comité de Seguridad Security Management Claves para Gerenciar Seguridad y minimizar los riesgos
  7. 7. Punto de Vista: RECURSOS (PRESUPUESTO) <ul><li>Los “hackers” tienen presupuesto y acceso a recursos ilimitados. </li></ul><ul><li>La seguridad muchas veces se ve como una “caja negra”, y esto dificulta conseguir recursos. </li></ul><ul><li>El factor “humano” en la seguridad informática es tan importante como el “tecnológico”. </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  8. 8. CLAVE: Comunicación y Presupuesto <ul><li>Realizar eventos de comunicación periódicos para todos los niveles de la organización. </li></ul><ul><li>Realizar presentaciones especiales para CEO / CIO / CTO sobre nuevas amenazas y tendencias de protección, en forma regular. </li></ul><ul><li>Mientras más gente comprenda los riesgos a los que está expuesto su información y su trabajo, más aceptación tendrán las políticas de seguridad orientadas a protegerlos (Security Awareness). </li></ul><ul><li>Si los niveles de decisión conocen los riesgos y la implicancia para el negocio de la compañía, estarán más dispuestos a asignar presupuesto para seguridad. </li></ul><ul><li>La implementación de políticas de seguridad y nuevas tecnologías siempre requiere el apoyo de los niveles de decisión más altos. </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  9. 9. <ul><li>Dictar cursos de “Security Awareness” para todos los usuarios. </li></ul><ul><li>Utilizar herramientas de “Security Awareness” a nivel de Red. </li></ul><ul><li>Temas sugeridos: P asswords, Virus, Backup de Datos, Respuesta ante incidentes, Privilegios de usuario, Seguridad física, Ingeniería social, Autenticación Fuerte. </li></ul>Acciones: <ul><li>Herramientas que permitan diagnosticar el estado actual de la seguridad de la red en cualquier momento. </li></ul><ul><li>Aplicaciones que generen reportes consolidados de todos los componentes distribuidos en la red, tanto en sectores públicos como internos. </li></ul>Comunicación y Presupuesto Claves para Gerenciar Seguridad y minimizar los riesgos
  10. 10. <ul><li>Generar y distribuir reportes del nivel de seguridad de la red. </li></ul><ul><li>Crear un manual de Políticas y Procedimientos de Seguridad, disponible para consulta en todo momento. </li></ul><ul><li>Resumen Ejecutivo: CEO / CIO / CTO. </li></ul><ul><li>Detalle: CISO / Auditoría. </li></ul><ul><li>Implementación de políticas: todos. </li></ul><ul><li>Mientras más difusión de las políticas de seguridad exista dentro de la empresa, menos espacio hay para las implementaciones “no standard” que son potencialmente riesgosas. </li></ul>Acciones: Comunicación y Presupuesto Claves para Gerenciar Seguridad y minimizar los riesgos
  11. 11. Punto de Vista: CALIDAD DE SERVICIO <ul><li>Es necesario promover la visión de la seguridad informática como “ enabler ” para las actividades de la compañía. </li></ul><ul><li>“ Seguridad” y “Calidad de Servicio” son dos conceptos íntimamente relacionados, aunque rara vez se lo reconozca. </li></ul><ul><li>Esta visión está sostenida por las más recientes normas internacionales referidas a seguridad. </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  12. 12. CLAVE: Pensar en “disponibilidad” <ul><li>Enfocar la seguridad como el medio para garantizar la “disponibilidad” de servicios y aplicaciones, no solamente para garantizar “conectividad”. </li></ul><ul><li>La seguridad interna de la red es un factor clave para el funcionamiento de una nueva tecnología y/o servicio. </li></ul><ul><li>Todos los servicios basados en IP están especialmente expuestos a ataques informáticos, aún cuando la conectividad esté disponible: VoIP / Videoconferencia / Streaming . </li></ul><ul><li>Ejemplo : imaginemos el impacto de masificar el uso de VoIP en la red, y durante un ataque perder “disponibilidad” del servicio para recibir pedidos, despachar mercadería, atender clientes, etc. </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  13. 13. <ul><li>Evitar asignar presupuesto para un servicio sin considerar el adicional de seguridad necesario (en inversión y procesos). </li></ul><ul><li>Manejar siempre soporte 7 x 24 para todos los componentes de seguridad. </li></ul><ul><li>En ocasiones se elige restar presupuesto al área de seguridad para volcarlo a la implementación de un nuevo servicio, sin considerar que para que la implementación sea exitosa debe ser segura. </li></ul><ul><li>La gran mayoría de los ataques se producen fuera del “horario laboral” de las empresas. </li></ul><ul><li>Utilizar “especialistas” todo el tiempo: una “guardia pasiva” generalista podría no detectar un incidente grave. </li></ul>Pensar en “disponibilidad” Claves para Gerenciar Seguridad y minimizar los riesgos
  14. 14. Punto de Vista: RECURSOS (TECNOLOGICOS) <ul><li>Antes de promover la compra de un producto o servicio, es necesario comprender en forma integral el problema a resolver. </li></ul><ul><li>Los ataques y sus tecnologías asociadas avanzan cada vez más rápidamente, y esto dificulta “estar siempre al día”. </li></ul><ul><li>La seguridad de toda una red, está definida por la seguridad de su punto más débil (…y no del más “protegido”). </li></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  15. 15. CLAVE: Dimensionar el “perímetro” Perímetro: borde exterior que limita el área de confianza a proteger. Dónde está hoy “el perímetro” ? Resulta interesante analizar la aparición de algunas amenazas y tecnologías de ataque, para ayudarnos a determinar cuál es el verdadero perímetro a considerar. Veremos que no es necesario realizar un análisis “exhaustivo” para llegar a conclusiones interesantes. Claves para Gerenciar Seguridad y minimizar los riesgos
  16. 16. Años ‘90 Servidores críticos Acceso por modems Años ‘80 Año 92 Contagio de Virus individual Año 94 Acceso a Internet Año 95 Contagio de Virus (red local) Año 99 Ataques DoS Año 97 Año 00 Usuarios Remotos Año 02 Sucursales Remotas (VPN) Año 03 Ataques internos Contagio de Virus por mail PSTN Internet Internet Internet Internet Internet Dimensionar el “perímetro” Claves para Gerenciar Seguridad y minimizar los riesgos
  17. 17. Ataques distribuídos Año 03 Año 03 Año 04 Año 05 Ataques de Layer 7 Tecnología “mutante” Ingeniería Social Sasser Blaster Slammer Internet Dimensionar el “perímetro” Claves para Gerenciar Seguridad y minimizar los riesgos Año 03 Redes de Terceros
  18. 18. Conclusión: hoy en día, no existen “áreas de confianza” en la red. Claves para Gerenciar Seguridad y minimizar los riesgos
  19. 19. Seguridad Perimetral: asegurar solamente la conexión a Internet resulta insuficiente. Claves para Gerenciar Seguridad y minimizar los riesgos VPN: encripción ( por sí sola ) no implica seguridad. Hay que considerar otras variables ( autenticación, permisos, calidad de servicio, análisis de tráfico ). Sucursales: no pueden estar al mismo nivel de seguridad que la red interna del predio principal, ya que son más difíciles de controlar. Servidores Críticos: no pueden estar al mismo nivel de seguridad que ninguna otra red, y no es suficiente analizar solamente el tráfico, también hay que auditar qué se hace sobre el servidor y el sistema operativo ( Server Sensor ).
  20. 20. Tendencias Hacia dónde va la “ Seguridad Informática” en Latinoamerica y en el mundo ? Claves para Gerenciar Seguridad y minimizar los riesgos
  21. 21. Tendencias <ul><li>Soluciones de seguridad “integrales” requieren management “integral”: </li></ul><ul><ul><li>Unificación de alarmas </li></ul></ul><ul><ul><li>Unificación de monitoreo </li></ul></ul><ul><ul><li>Reportes consolidados </li></ul></ul><ul><li>Reemplazo de servicios “pasivos” por servicios “activos”: </li></ul><ul><ul><li>IDP en lugar de IDS </li></ul></ul><ul><ul><li>Gerenciamiento con Intervención Inmediata en lugar de monitoreo de hardware. </li></ul></ul>Claves para Gerenciar Seguridad y minimizar los riesgos
  22. 22. Tendencias <ul><li>Monitoreo y testing proactivo: </li></ul><ul><ul><li>Scannings periódicos. </li></ul></ul><ul><ul><li>Data Penetration Testing (Hacking Ético) </li></ul></ul><ul><ul><li>Visita de especialistas de seguridad. </li></ul></ul><ul><ul><li>Actualización permanente. </li></ul></ul>Claves para Gerenciar Seguridad y minimizar los riesgos … y algunos conceptos:
  23. 23. Claves para Gerenciar Seguridad y minimizar los riesgos <ul><li>Gerenciamiento / Administración: es el componente principal de la seguridad de una organización. Hay que analizarlo en todas sus dimensiones: </li></ul><ul><ul><ul><li>Skills / Expertise </li></ul></ul></ul><ul><ul><ul><li>Horario de disponibilidad </li></ul></ul></ul><ul><ul><ul><li>Dedicación exclusiva </li></ul></ul></ul><ul><ul><ul><li>Actualización permanente </li></ul></ul></ul>Dedicación exclusiva: los administradores de seguridad no pueden realizar otras funciones; requieren niveles de expertise muy altos y actualización permanente.
  24. 24. Claves para Gerenciar Seguridad y minimizar los riesgos IDP en modo automático: no recomendable; en algunos casos, puede ocasionar menor disponibilidad de los servicios que un ataque. Firewall: es el “software de base” de la red ( Marcelo Gimenez dixit ). Es necesario pero no suficiente para proveer seguridad. IDP: se convirtió en el componente básico de un esquema de seguridad; en virtud de los nuevos ataques, sin la tecnología de IDP no es posible siquiera detectarlos.
  25. 25. Más fuentes de información… Claves para administrar Seguridad <ul><li>www.impsat.com.pe </li></ul><ul><li>www.i-sec.org </li></ul><ul><li>www.csoonline.com </li></ul><ul><li>www.computerworld.com </li></ul><ul><li>www.sans.org </li></ul>
  26. 26. ¡ Muchas Gracias ! ¿ Preguntas ?

×