Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real

Gabriel Marcos – Product Manager

Seguridad de la información

es la gestión del riesgo

La información es el activo más valioso de una organización

QUE TAN SEGURA ESTA LA INFORMACION HOY

2012 Bit9 Cyber Security Research Report

Ciber-delito

Valor de la acción al

momento del ataque

http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html

By Zacks Equity Research | Zacks Mon, Apr 2, 2012 5:07 PM EDT

MARZO, 2012: ataque compromete información de 1.5 MM de tarjetas

El caso Global Payments

IBM X-Force Mid-year Trend and Risk Report – September 2011

“Hacker attack to cost Sony $172 million, almost as much as

initial Japanese earthquake damage”

http://latimesblogs.latimes.com/entertainmentnewsbuzz/2011/05/

hacker-attack-cost-sony-172-million.html

El caso Sony

IBM X-Force Mid-year Trend and Risk Report – September 2011

Hacker attack to cost Sony $172 million, almost as much as

initial Japanese earthquake damage

http://latimesblogs.latimes.com/entertainmentnewsbuzz/2011/05/hacker-attack-cost-sony-172-million.htmlhttp://www.mykonossoftware.com/cost-of-an-attack.php

COSTO REAL DE UN ATAQUE

OBJETIVOS DE ATAQUE

PCI Compliance For Dummies

Objetivos de ataque

Objetivos de ataque

Objetivos de ataque

Objetivos de ataque

MERCADO NEGRO DE LA INFORMACION

Fortinet 2013 Cybercrime ReportCybercriminals Today MirrorLegitimate Business Processes

Denial of Service (DoS)

Distributed Denial of Service (DDoS)

ADVANCED PERSISTENT THREATS (APT)

Investigación

Distribución

Control

Propagación

Infección

Objetivo

Búsqueda

1

2

3

4

5

6

7

Compromiso (ataque exitoso)

Extracción de datos

Descubrimiento

Contención o restauración

Rapidez para

producir resultados

Difícil de detectar y

reparar

MINUTOS

SEMANAS

MESES

ADVANCED PERSISTENT THREATS (APT)

REDES BOTNET

http://www.csoonline.com/article/348317/what-a-botnet-looks-like

Redes compuestas, cada una, de miles de computadores controlados desde un punto central disponibles para:

• ejecutar ataques de denegación de servicio (DDOS)

• distribución de amenazas

• robo de información• otros

REDES BOTNET

HERRAMIENTAS GRATUITAS…

MOVILIDAD

Es cada vez más difícil decirle “NO” al usuario

Mi única esperanza para ser productivo es ingresar con mi

laptop personal

Ahora entregue el celular no standard que esconde en su

ropa interior.

CONSUMERIZACION

NUEVAS TENDENCIAS: CONSUMERIZACION

NUEVAS TENDENCIAS

La vieja escuela

INVERTIRESPERARARRIESGAR

Para el CIO… Para el CEO…

Cuantos proyectos pospuso porque:- Falta presupuesto- Falta gente- Falta infraestructura

Qué tan actualizado está el software? Y los sistemas de protección?

Cómo provee soporte y gestión 7x24?

Cuánto se demora en reaccionar ante un ataque? Puede detectarlo o prevenirlo?

Cuántos eventos de seguridad analiza por día para detectar ataques?

Cuánto se demoran los reportes de compliance/seguridad?

Tiene un indicador/reporte del estado actual de la seguridad? En tiempo

real?

Sabe qué están haciendo las inversiones en seguridad aprobadas?

Cómo está su situación respecto a normas internacionales?

Qué información posee que puede ser blanco de ataques y cómo está

protegida?

PREGUNTAS INCOMODAS

METODOLOGIA DE AUTO-EVALUACION

Somos capaces de controlar?...

• Cambios de configuración• Reportes holísticos• Trazabilidad (a nivel de usuario)• Tiempo de reacción ante incidentes• Riesgos (a nivel de aplicación)• Continuidad de negocio• Más allá del perímetro

PRIVATE CLOUD COMPUTINGCONFIDENCIALIDADMADUREZSIN INVERSIONES IMPLEMENTACION INMEDIATA ALTA DISPONIBILIDADEXPERTOS 7x24SIN OBSOLESCENCIA

PRIVATE CLOUD COMPUTING

CSC Cloud Usage Index – Interviews in October and November 2011

PRIVATE CLOUD COMPUTING

Perímetro, un concepto del pasado

Perimeter Security FundamentalsBy Lenny Zeltser, Karen Kent, Stephen Northcutt, Ronald W. Ritchey, Scott WintersApr 8, 2005

El concepto de seguridad perimetral requiere:

1) Que exista un perímetro claro y bien delimitado

2) Enfocar todos los esfuerzos en proteger el perímetro

3) El perímetro sería el único punto a través del cual pueden ingresar amenazas a la red.

ESTRATEGIAS Y RECOMENDACIONES

Public Servers (WEB / MAIL)

INTERNET Private Network

Remote Branches

(VPN)

Remote Users

Local Users

Remote Branches

(WAN)

Third-parties (Clients / Vendors)

Critical Servers (CRM / ERP)

• Web Application Firewall ( WAF)

• Email Security

• Database Security

• Firewall• IPS• Antivirus• Antispam• Content filter• Site to site VPN• Client to site

VPN• SSL VPN

• Firewall• IPS

• Firewall• IPS• Site to site VPN

• Endpoint Security• Autenticación fuerte

Web Applications Penetration Test

Server Penetration Test

Vulnerability Assessments

ECOSISTEMA DE SEGURIDAD

Información en tiempo real para gestionar riesgo

Proactividad y prioridades del negocio

Reportes pre-configurados

Reportes de compliance: PCI

• Sin falsos positivos• Análisis de riesgo en tiempo real• Almacenamiento y consulta de logs• Implementación inmediata• Sin licencias, sin inversiones• Prevención + detección• Reportes en tiempo real, ejecutivos y

técnicos• ISO 27001, PCI, FISMA, HIPAA

Columbus Full-Guard SIEM

Muchas gracias!

Gabriel MarcosProduct Manager - Columbus Business Solutionsgmarcos@columbus.co @jarvel

Quién tiene la primera pregunta?