Grupo

Protección y Prevención frente a Incidentes de Seguridad

CONGRESO DINTEL – ENS 201129 de Marzo de 2011

Fernando García Vicent – Director General

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

« No ponemos mucha atención a la seguridad de la inf ormación. Esperamos que nuestros competidores roben nuestras ideas y sean tan

infructuosos como nosotros. »

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

París confirma un ataque inform ático a gran escala contra su Ministerio de Econom ía (07/03/2011)

Un ataque informático de gran escala ha afectado durante semanas al Ministerio francés de Economía, en particular a ordenadores de funcionarios encargados de la presidencia francesa del G20, según ha confirmado el propio ministerio.

El ataque, que comenzó en diciembre y se prolongó hasta el pasado fin de semana, ha afectado a más de 150 ordenadores del ministerio , especialmente de la dirección del Tesoro, y se ha centrado en documentos preparativos del G20 y en otros asuntos internacionales, según avanza la revista Paris Match en su sitio internet.

Aunque esta semana se ha llevado a cabo una operación de mantenimiento con 12.000 ordenadores del departamento de Economía, de un total de 170.000, los responsables de las pesquisas han admitido que tardarán semanas en identificar a los 150 funcionarios infiltrados informáticamente y res tablecer las garantías de seguridad del Ministerio .

El método utilizado ha consistido en la infiltración del sistema informático con una dirección de correo electrónico pirateada que permitía la entrada en un ordenador gracias a un documento adjunto de un mensaje que actuaba de caballo de Troya .

http://www.parismatch.com/Actu-Match/Societe/Actu/Affaire-d-espionnage-au-ministere-par-de-l-Economie-et-des-Finances-Paris-Match-258213/

¿MOTIVACIÓN POLÍTICA O ECONÓMICA?

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

SÓLO EL 5%DE LAS APLICACIONES SIN

VULNERABILIDADES

*Fuente: Application Defense Center de Imperva

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

EL 80%TIENEN

VULNERABILIDADES SEVERAS

*Fuente:Cenzic Intelligent Analysis Lab

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

49%DE LAS VULNERABILIDADES SON PUBLICADAS SIN CONTAR CONPARCHE/FIX

*Fuente: X-Force de ISS/IBM

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

ECONÓMICASITUACIÓN

RECESIVA

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Reducircostes

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

ImpactosMinimizar

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

¿ ESTARÁ SEGURA LA

INFORMACIÓNDE MI ORGANISMO ?

©gr

upom

nem

o, 2

010.

Der

echo

s R

eser

vado

s

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Esquema Nacional de Seguridad

El objeto último de la seguridad de la información es asegurar que una organización administrativa podrá cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

a) Seguridad integral .b) Gestión de riesgos .c) Prevención, reacción y

recuperación.d) Líneas de defensa.e) Reevaluación periódica .f) Función diferenciada.

Artículo 4. Principios básicos del Esquema Nacional de Segurida d

Desarrollo de la Política de Seguridad

Declaración de Aplicabilidad

Inventario de información, servicios y sistemas

Categorización de los sistemas

Análisis de Riesgos

Implantación de medidas de seguridad [org, op, mp]

Pero sobre todo…..

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Esquema Nacional de Seguridad

Se deberá conocer en todo momento el estado de seguridad de los sistemas , en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con d iligencia para gestionar el riesgo a la vista del estado de seguridad de los mi smos.

ENTRADA: Listado de ObjetivosTopología de Red

ENTRADA: Listado de ObjetivosTopología de Red

ENTRADA: Objetivos más vulnerables

ENTRADA: Objetivos más vulnerables

PRESENCIA INTERNETPRESENCIA INTERNET TEST DE PENETRACIÓNTEST DE PENETRACIÓN

Gestión de la Mejora ContinuaGestión de la Mejora Continua

ANÁLISIS GESTIONADOANÁLISIS GESTIONADO

ENTRADA: Datos de la Compañía

ENTRADA: Datos de la Compañía

SALIDA: Listado de Objetivos

SALIDA: Listado de Objetivos

SALIDA: Informe de Seguridad

SALIDA: Informe de Seguridad

ENTRADA: Listado de Objetivos

ENTRADA: Listado de Objetivos

SALIDA: Topología de Red

SALIDA: Topología de Red

INFRAESTRUCTURA REDINFRAESTRUCTURA RED

SALIDA: Informe Base de VulnerabilidadesLista de objetivos más vulnerables

SALIDA: Informe Base de VulnerabilidadesLista de objetivos más vulnerables

Artículo 20.2. Integridad y actualización del sistema

vulnerabilidades

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Esquema Nacional de Seguridad

Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la información del sistema debe estar identificado de forma única , de modo que se sepa, en todo momento, quién recibe derechos de acceso , de qué tipo son éstos , y quién ha realizado determinada actividad .

Artículo 14.4. Gestión de personal

Prevención contra ataques a aplicaciones web

Parcheo virtual de vulnerabilidades

Control de reputación

Gestión de derechos de usuario (usuarios con permi sos excesivos o durmientes)

Descubrimiento de BBDD, sus vulnerabilidades, y cuá les contienen datos sensibles

Monitorización / Auditoría de Datos – Quién, Qué, Dó nde, Cuándo, Cómo y Por qué

Separación de roles – Segregación de funciones

Control de accesos a Tablas y Ficheros

TRAZABILIDAD

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Esquema Nacional de Seguridad

Las medidas de detección estarán acompañadas de med idas de reacción, de forma que los incidentes de seguridad se atajen a tiempo.

Artículo 7.3 . Prevención, reacción y recuperación

El Centro Criptológico Nacional (CCN) articulará la respuesta a los incidentes de seguridad en torno a la estructura denominada CCN-C ERT (Centro Criptológico Nacional-Computer Emergency Reaction Team), que act uará sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administración pública y de la función de coordinación a nivel nacional e internacional del CCN.

Artículo 36. Capacidad de respuesta a incidentes de seguridad de la información

El CCN desarrollará un programa que ofrezca la infor mación, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respu esta a incidentes de seguridad , y en el que, aquél, será coordinador a nivel públi co estatal.

Artículo 37.2. Prestación de servicios de respuesta a incidentes d e seguridad …

respuesta a incidentes de seguridad

Prevención, reacción y recuperación

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Protección frente a incidentes de seguridad

Mi infraestructura de seguridad es compleja y costo sa de mantener.

El número de dispositivos ya es importante, y el ma ntenimiento y gestión diaria de la infraestructura se hace imposible.

Los requerimientos de formación y experiencia de mi s técnicos en distintas tecnologías son continuos. La rotación es un problema.

No tengo garantizado que si se produce un incidente de seguridadestemos preparados para detectarlo, y además para m itigar sus consecuencias.

No tengo presupuesto suficiente para Seguridad.

Prevención, reacción y recuperación: ¿CÓMO?

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Beneficios del proceso de Externalización (Segurida d Gestionada)

Simplificación de la Gestión de Infraestructura de Seguridad

Control mediante SLAs verificables mediante informe s mensuales

Estabilización del Control de Cambios y Configuraci ón

Procedimientos controlados de Monitorización y Resp uesta a IS

Procesos basados en metodologías, ITIL, CERT

Optimización de costes: Infraestructura, Personal, Formación

Protección frente a incidentes de seguridad

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Centros de Operaciones de Seguridad (SOC)

SECURITY OPERATIONS CENTERVista del SOC de Madrid de Grupo MNEMO-Ironwall

SECURITY OPERATIONS CENTERVista del SOC de Madrid de Grupo MNEMO-Ironwall

Firewalls

IDS/IPSFiltros de Contenido

Antivirus,Antispyware

©gr

upom

nem

o, 2

011

Der

echo

s R

eser

vado

s

Protección frente a incidentes de seguridad

TecnológicoEstratégicoOperativo

Seguridad en Aplicaciones y BBDD

INTELIGENCIAPARA PROTEGER SU

NEGOCIO