Peligrosas asunciones y falsa sensación de control · Jornadas Técnicas 2013 – 13&14 de...

Jornadas Técnicas 2013 – 13&14 de Noviembre, Madrid

Peligrosas asunciones y falsa sensación de control

Román Ramírez Giménez


INDICADORES RELEVANTES

TCO en TI es un concepto complejo. CAPEX: inversiones en infraestructura. Maintenance CAPEX: renovaciones y obsolescencia. Costes ocultos: ¿He elegido bien a los proveedores? One-Off OPEX: ¿formación? ¿curva de aprendizaje? OPEX: costes de gestión


¿TI es un servicio core de mi negocio?

La respuesta suele ser que NO. Luego ese gasto inversión gasto debe controlarse. La tendencia es a reducir el gasto en CAPEX pero, cuidado, subir el OPEX afecta al EBITDA. Corrección: la tendencia real suele ser reducir el gasto tanto en CAPEX como en OPEX.


¿Qué quiere el negocio?


HOY

Tendencia a la reducción de costes (CAPEX y OPEX). Proceso de TI interno que se percibe como lento, caro o “no sensible a las necesidades del negocio”. Conclusión: outsourcing, cloud, byod, *aaS, pay-per-use, servicios frente a infraestructura.


La seguridad en esta ecuación

Hay que estar alienado por alineado con el negocio. No hay perímetro: cloud, byod. O si lo hay, no lo controlo completamente: *aaS, SLA (o SLO, je), contratos... “Estoy tranquilo, todos tienen SSAE16 y 27001”. Todos son Safe Harbour. Ninguno firma una cláusula de garantía sobre la confidencialidad de los activos de información. Conclusión: Nada que no conozcáis ya, ¡AY!


ASUNCIONES PELIGROSAS

Se pueden securizar los dispositivos móviles de usuario.



Los grandes proveedores de “Nube” son robustos.



“El enfoque tradicional de riesgos sirve”. Riesgo = Probabilidad x Impacto

Hemos jugado siempre con bajar la Probabilidad… Y luego están los Controles… ¿cómo los aplicamos en entornos que no controlamos? Hoy: con acuerdos. Ya sean MOI, SLA o “best effort”.


CONTRATOS

Si nuestros controles se están transformando en acuerdos, SLAs o MOI… ¿Estamos preparados para revisar cada línea, párrafo, cálculo del KPI/SLA en busca de pequeños potenciales malentendidos con nuestro proveedor? ¿Leemos los contratos? ¿en serio? ¿EN SERIO? ¿de verdad de la buena? ¿Cuántos usamos Google Apps?


¿Y los SLA?


¿infraestructura ng? ¿adaptative?

Ahora hablamos de Layer7 y firewalls-NG. También de Scoring y Adaptative Access Control. Federación, Identity Provider, Service Provider, SAML2, proveedores de Identidad en Cloud I(dM)aaS… El puesto de trabajo es el empleado. No tiene porqué ubicarse dentro de un perímetro. Implementamos acceso basado en riesgo… ¿y controlamos todos los puntos de entrada del usuario? ¿en todos sus terminales?


¿confidencialidad?

El camelo de la “tokenización” en servicios en la nube. “Ni nuestros propios sysadmins pueden acceder a sus datos”. Pero los de la NSA, sí, evidentemente (me he prometido a mí mismo no abundar sobre el tema). Y, desde luego, si el usuario debe recuperar su información íntegra, de alguna forma se puede ver...


¿confidencialidad?

¿Y estas empresas tienen contratos con terceras o cuartas partes de la misma manera que los tenemos nosotros con ellos? ¿Un proveedor de almacenamiento superseguro puede tener su backend en Amazon AWS? ¿o en Azure? ¿Qué pasa cuando los CPD europeos pasan a situación de contingencia? ¿el contrato dice que el DRP nunca se podrá activar fuera de nuestras fronteras?


Y el espionaje…

Prometo que no voy a abundar… ¿PERO qué pasa con empresas europeas que puedan tener intereses competitivos en Estados Unidos? Muchos periodistas lo tienen claro:


PERO… ¿y los hackers?

En todo este nuevo escenario descentralizado, con terminales heterogéneos, controles sobre papel, riesgos operacionales nulos porque, total, por correo electrónico no se mandan activos críticos… irrumpen de pronto las famosas APT Para mí son amenazas bastante simples: no creo que podamos hablar de “avanzadas”. Pero en el futuro, sí, lo serán. Y un usuario conectado a un servicio SaaS, con su tablet, en un Starbucks de Honduras… probablemente será un vector/víctima…


PERO… ¿y los ataques?

¿Qué pasa con las técnicas de ataque cuando no tengo ya un perímetro claro? Lo evidente que ya vemos todos: se deja de atacar al core de la empresa y se pone foco en el usuario. En los sectores azotados por el phishing se ve claramente: el delincuente no gasta esfuerzo en atacar infraestructuras de una entidad cuando puede ir directamente al usuario.


PERO… de nuevo, ¿y los ataques?

Ganando protagonismo el usuario… ¿hacia dónde evolucionan todos los terminales? Hacia HTML5 + javascript: MVC, node.js, Apache Cordova, jQuery Mobile… ¿Recordáis cuando en los informes de vulnerabilidades habláis de que un Cross Site Scripting es una vulnerabilidad de nivel bajo o muy bajo?


Dice gartner…

Que en 2014 tendremos unos DOS MIL QUINIENTOS MILLONES DE DISPOSITIVOS MÓVILES.


CONCLUSIONES

Muy importante abandonar asunciones incorrectas. En un escenario descentralizado, ¿dónde ubicar controles de manera realista? En el usuario, quizás… Enfocar el Control a través de acuerdos es peligroso: lo que para un proveedor es una vulnerabilidad que no reporta (ni atiende porque no computa el SLA), para un atacante puede ser esquilmar nuestro negocio. XSS.


CONCLUSIONES

Los Controles no pueden aplicarse aislados. Debemos establecer capas de controles secuenciales. Nuestros proveedores sean “on premise” o “Cloud” deben colaborar para ello. La seguridad no va a mejorar con enfoques de reducción del gasto: no debemos olvidar que la vulnerabilidad más insignificante es un vector de pérdida económica.


CONCLUSIONES

Obviamente, cuando negocio aprieta para recortar, la Seguridad no puede ir contracorriente. Quizás sea el momento de empezar a ser más imaginativos o de asumir más riesgos en la implantación de nuestros controles. El modelo de antes es incapaz de frenar las nuevas amenazas que llegan…


mailto:[email protected]

@patowc

Muchas gracias.

Peligrosas asunciones y falsa sensación de control · Jornadas Técnicas 2013 – 13&14 de...

Documents

Transcript of Peligrosas asunciones y falsa sensación de control · Jornadas Técnicas 2013 – 13&14 de...