Tendencias en Seguridad de la Información - CYBSEC · -Los gobiernos están involucrándose en el...

Tendencias en Tendencias en Seguridad de la Seguridad de la

InformaciónInformaciónInformaciónInformación

Julio César [email protected]

12 de Diciembre de 2012Asunción - Paraguay

Tendencias en Seguridad de la Información

AgendaAgendaAgendaAgenda

• Presión de las regulaciones

• El rol del CSO

• Outsourcing de la seguridad• Outsourcing de la seguridad

• Incidentes de seguridad

• Vulnerabilidades

• Seguridad de la infraestructura crítica

• La Nube segura

2222

Presión de las regulacionesregulaciones

3333

Presión de las regulaciones

Evolución de la madurez y estado de implementación de las normativas

relacionadas con seguridad en Paraguay

NormativaNormativaNormativaNormativa EvoluciónEvoluciónEvoluciónEvolución

SOX

Ley 1682/2001 y 1969/2002


4444

MCIIEF – Resolución 179/05 BCP

• Las normativas llegaron para quedarse

• La mayoría de las mismas impactan en el sector de SI

• Se debe tomarlas como “oportunidades”

PCI-DSS

Cantidad de proyectos PCI-DSS en clientes de Cybsec

(Incluye Auditorías, Revisiones y Análisis de GAP)



Cantidad de trabajos realizados

20

25

5555

0

5

10

15

20

2007 2008 2009 2010 2011 Ene-Nov2012

Cantidad de trabajos realizados

¿Con cuántos de los ítems cumplen las organizaciones?



Promedio de cumplimento de controles por

año

6666

0,0%10,0%

20,0%30,0%40,0%50,0%

60,0%70,0%

2008 2009 2010 2011

Payment Application Data Security Standard (PA-DSS)

• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012



7777

Ud está

Aquí

Asesoramiento Análisis GAP Certificación Compliance

Payment Application Data Security Standard (PA-DSS)

• Estándar de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012



8888

Ud está

Aquí

Asesoramiento Análisis GAP Certificación Compliance

El Rol del CSOEl Rol del CSO

9999

CISO: Chief Information Security Officer

• Encargado de seguridad de la Información dentro de una Organización• El nivel de reporte depende del grado de maduración de la empresa

Seguridad InformáticaSeguridad Informática Seguridad de la InformaciónSeguridad de la Información

Rol del CSO


10101010

Seguridad InformáticaSeguridad InformáticaTareas técnicas y operativasTareas técnicas y operativas

Seguridad de la InformaciónSeguridad de la InformaciónRol de ManagementRol de Management

Seguridad InformáticaSeguridad InformáticaTareas técnicas, operativas, regulaciones, Tareas técnicas, operativas, regulaciones,

soporte a áreas de sistemassoporte a áreas de sistemas

Antes HoyAntes Hoy

Outsourcing deseguridad

11111111

seguridad

Situación actual

Las áreas de seguridad de la información en las Organizaciones están

realizando outsourcing de las siguientes tareas:

- Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas)

Outsourcing de seguridad


12121212

- PenTest

- Gestión de vulnerabilidades (scannings)

- Gestión de accesos (ABM Users y Permisos)

- Respuesta a incidentes

- Soporte a proyectos internos

- Desarrollo de Documentación

Tendencias

- Madurez en los servicios de outsourcing de seguridad

- Acompañamiento de la estrategia de la Organización

Horas de Soporte

Outsourcing de seguridad


13131313

Recurso on-site

Especializado

Sector de Seguridad

de la Información

Incidentes de seguridadseguridad

14141414

Incidentes de seguridad

Cantidad de incidentes graves manejados por CYBSEC



14

16

18

15151515

Ene-Nov

0

2

4

6

8

10

12

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012*

Tendencia Actual

- Aumento de incidentes de seguridad (mayoría de los casos insiders)

- Aumento exponencial de ataques de phishing contra entidades

bancarias



16161616

- Ataques de phishing más sofisticados

(incluyendo explotación de vulnerabilidades)

- Hacktivismo (Anonymous Paraguay)

Manejo de Incidentes

La pregunta hoy no es si voy a tener un incidente de seguridad, sino:

¿cuando lo voy a tener?

Madurez del Manejo de Incidentes de Seguridad Interno



17171717

- No poseen (85%)

- Manejo de incidentes desorganizado (8%)

- Manejo de incidentes formal para la foto (compliance) (4%)

- Manejo de incidentes formal real (2%)

- CSIRT interno (<1%)

VulnerabilidadesVulnerabilidades

18181818

Vulnerabilidades de seguridad

- Un nuevo trabajo: Vulnerability Researcher

- Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código

+ Conocimiento de la misma en el mercado = Hasta U$S 100.000

Vulnerabilidades


19191919

- Maduración del mercado de compra/venta de vulns

- Players: Tippingpoint ZDI - Verisign iDefense VCP - Netragard's

Exploit Acquisition Program, etc

- Mercado oficial – negro – gris

Tendencias en vulnerabilidades de seguridad

- Más gente buscando nuevas vulnerabilidades!!!

- Intentos por regular la actividad (Alemania, USA, etc.)

Vulnerabilidades


20202020

- Acercamiento al tema de las áreas de inteligencia de algunos países

- Incremento de nuevos virus/troyanos/botnets utilizando Zero-days

- Aumento de los Toolkits para

Cybercrimen (Phishing – Botnets – Etc.)

Seguridad de la infraestructura

crítica

21212121

crítica

Situación actual

Alcance de las IC: Administración, Espacio, Industria Nuclear, Industria

Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de

la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema

Financiero y Tributario.

Seguridad de la infraestructura crítica


22222222

En las Organizaciones, el sinónimo es protección de redes SCADA

La red SCADA era manejada Seguridad Corporativa se está

por ingenieros y proveedores. metiendo en el tema.

- Integración con la red corporativa

- Aplicación de estándares

- Actualización / Patches

Tendencias

- Las Organizaciones que poseen este tipo de redes industriales están

avanzando en la aplicación de medidas de seguridad.

- Los gobiernos están involucrándose en el tema.



23232323

- Los gobiernos están involucrándose en el tema.

En Argentina, en 2011 se creó el Programa Nacional

de Infraestructuras Críticas de Información y

Ciberseguridad (ICIC).

Tendencias

- Paraguay creó en abril de 2012 la SETIC (Secretaría de Tecnologías de la

Información y Comunicaciones) - www.setics.gov.py

- Proyectos relacionados:



24242424

- Proyectos relacionados:

- Centro de Datos del Gobierno

- CERT Nacional

La nube segurasegura

25252525

Situación actual

- Beneficio de los servicios cloud: Empresas chicas

- Cultura empresarial

- SLA (la base de todo)

La nube segura


Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.

Acuerdos negociables

26262626

- SLA (la base de todo)

- Modelos y seguridad

Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).

Aspectos de seguridad a tener en cuenta

NIST 800-144 - Guidelines on Security and Privacy in Public

Cloud Computing – Diciembre 2011

1. Gobierno2. Cumplimiento

La nube segura


27272727

2. Cumplimiento3. Confianza4. Arquitectura5. Identity y Access Management6. Aislamiento de software7. Protección de información8. Disponibilidad9. Respuesta ante Incidentes

¿Preguntas?

Tendencias en Seguridad de la Información - CYBSEC · -Los gobiernos están involucrándose en el...

Documents

Transcript of Tendencias en Seguridad de la Información - CYBSEC · -Los gobiernos están involucrándose en el...