Post on 30-Sep-2018
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
Peligrosas asunciones y falsa sensación de control
Román Ramírez Giménez
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
INDICADORES RELEVANTES
TCO en TI es un concepto complejo. CAPEX: inversiones en infraestructura. Maintenance CAPEX: renovaciones y obsolescencia. Costes ocultos: ¿He elegido bien a los proveedores? One-Off OPEX: ¿formación? ¿curva de aprendizaje? OPEX: costes de gestión
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
¿TI es un servicio core de mi negocio?
La respuesta suele ser que NO. Luego ese gasto inversión gasto debe controlarse. La tendencia es a reducir el gasto en CAPEX pero, cuidado, subir el OPEX afecta al EBITDA. Corrección: la tendencia real suele ser reducir el gasto tanto en CAPEX como en OPEX.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
¿Qué quiere el negocio?
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
HOY
Tendencia a la reducción de costes (CAPEX y OPEX). Proceso de TI interno que se percibe como lento, caro o “no sensible a las necesidades del negocio”. Conclusión: outsourcing, cloud, byod, *aaS, pay-per-use, servicios frente a infraestructura.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
La seguridad en esta ecuación
Hay que estar alienado por alineado con el negocio. No hay perímetro: cloud, byod. O si lo hay, no lo controlo completamente: *aaS, SLA (o SLO, je), contratos... “Estoy tranquilo, todos tienen SSAE16 y 27001”. Todos son Safe Harbour. Ninguno firma una cláusula de garantía sobre la confidencialidad de los activos de información. Conclusión: Nada que no conozcáis ya, ¡AY!
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
ASUNCIONES PELIGROSAS
Se pueden securizar los dispositivos móviles de usuario.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
ASUNCIONES PELIGROSAS
Los grandes proveedores de “Nube” son robustos.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
ASUNCIONES PELIGROSAS
“El enfoque tradicional de riesgos sirve”. Riesgo = Probabilidad x Impacto
Hemos jugado siempre con bajar la Probabilidad… Y luego están los Controles… ¿cómo los aplicamos en entornos que no controlamos? Hoy: con acuerdos. Ya sean MOI, SLA o “best effort”.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
CONTRATOS
Si nuestros controles se están transformando en acuerdos, SLAs o MOI… ¿Estamos preparados para revisar cada línea, párrafo, cálculo del KPI/SLA en busca de pequeños potenciales malentendidos con nuestro proveedor? ¿Leemos los contratos? ¿en serio? ¿EN SERIO? ¿de verdad de la buena? ¿Cuántos usamos Google Apps?
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
¿Y los SLA?
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
¿infraestructura ng? ¿adaptative?
Ahora hablamos de Layer7 y firewalls-NG. También de Scoring y Adaptative Access Control. Federación, Identity Provider, Service Provider, SAML2, proveedores de Identidad en Cloud I(dM)aaS… El puesto de trabajo es el empleado. No tiene porqué ubicarse dentro de un perímetro. Implementamos acceso basado en riesgo… ¿y controlamos todos los puntos de entrada del usuario? ¿en todos sus terminales?
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
¿confidencialidad?
El camelo de la “tokenización” en servicios en la nube. “Ni nuestros propios sysadmins pueden acceder a sus datos”. Pero los de la NSA, sí, evidentemente (me he prometido a mí mismo no abundar sobre el tema). Y, desde luego, si el usuario debe recuperar su información íntegra, de alguna forma se puede ver...
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
¿confidencialidad?
¿Y estas empresas tienen contratos con terceras o cuartas partes de la misma manera que los tenemos nosotros con ellos? ¿Un proveedor de almacenamiento superseguro puede tener su backend en Amazon AWS? ¿o en Azure? ¿Qué pasa cuando los CPD europeos pasan a situación de contingencia? ¿el contrato dice que el DRP nunca se podrá activar fuera de nuestras fronteras?
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
Y el espionaje…
Prometo que no voy a abundar… ¿PERO qué pasa con empresas europeas que puedan tener intereses competitivos en Estados Unidos? Muchos periodistas lo tienen claro:
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
PERO… ¿y los hackers?
En todo este nuevo escenario descentralizado, con terminales heterogéneos, controles sobre papel, riesgos operacionales nulos porque, total, por correo electrónico no se mandan activos críticos… irrumpen de pronto las famosas APT Para mí son amenazas bastante simples: no creo que podamos hablar de “avanzadas”. Pero en el futuro, sí, lo serán. Y un usuario conectado a un servicio SaaS, con su tablet, en un Starbucks de Honduras… probablemente será un vector/víctima…
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
PERO… ¿y los ataques?
¿Qué pasa con las técnicas de ataque cuando no tengo ya un perímetro claro? Lo evidente que ya vemos todos: se deja de atacar al core de la empresa y se pone foco en el usuario. En los sectores azotados por el phishing se ve claramente: el delincuente no gasta esfuerzo en atacar infraestructuras de una entidad cuando puede ir directamente al usuario.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
PERO… de nuevo, ¿y los ataques?
Ganando protagonismo el usuario… ¿hacia dónde evolucionan todos los terminales? Hacia HTML5 + javascript: MVC, node.js, Apache Cordova, jQuery Mobile… ¿Recordáis cuando en los informes de vulnerabilidades habláis de que un Cross Site Scripting es una vulnerabilidad de nivel bajo o muy bajo?
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
Dice gartner…
Que en 2014 tendremos unos DOS MIL QUINIENTOS MILLONES DE DISPOSITIVOS MÓVILES.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
CONCLUSIONES
Muy importante abandonar asunciones incorrectas. En un escenario descentralizado, ¿dónde ubicar controles de manera realista? En el usuario, quizás… Enfocar el Control a través de acuerdos es peligroso: lo que para un proveedor es una vulnerabilidad que no reporta (ni atiende porque no computa el SLA), para un atacante puede ser esquilmar nuestro negocio. XSS.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
CONCLUSIONES
Los Controles no pueden aplicarse aislados. Debemos establecer capas de controles secuenciales. Nuestros proveedores sean “on premise” o “Cloud” deben colaborar para ello. La seguridad no va a mejorar con enfoques de reducción del gasto: no debemos olvidar que la vulnerabilidad más insignificante es un vector de pérdida económica.
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
CONCLUSIONES
Obviamente, cuando negocio aprieta para recortar, la Seguridad no puede ir contracorriente. Quizás sea el momento de empezar a ser más imaginativos o de asumir más riesgos en la implantación de nuestros controles. El modelo de antes es incapaz de frenar las nuevas amenazas que llegan…
Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid
mailto:rramirez@rootedcon.es
@patowc
Muchas gracias.