mejores practicas de seguridad de la informacion santiago gabriel cavanna sans-gsec /isc2 cissp ca...
TRANSCRIPT
![Page 1: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/1.jpg)
Mejores Practicas de Seguridad de la
Informacion
Santiago Gabriel Cavanna
SANS-GSEC /ISC2 CISSP
CA Solution Strategist
![Page 2: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/2.jpg)
Observaciones preliminares
> Que estamos discutiendo los profesionales de seguridad de la información?.
Seguridad informática VS Seguridad de la Información
> Por que es tan difícil explicar “el problema”. Ciencias exactas vs ciencias sociales La desventaja del modelo
> La evolución vertiginosa. Brechas de conocimiento – conflicto entre paradigmas de comunicación y
acceso.
> La demanda del “negocio”, por tipo de negocio (mercados verticales, demandas especificas)
Rápido y furioso.
> Riesgos, damnificados, responsables Directos e indirectos.
![Page 3: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/3.jpg)
Agenda
> Definición simplificada del problema
> Modelos de Madures
> Estándares y Regulaciones y Mejores Practicas
> Recomendaciones generales
![Page 4: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/4.jpg)
Definición simplificada del problema
![Page 5: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/5.jpg)
Definición simplificada del problema
> El problema se sintetiza en alcanzar niveles aceptables de Confidencialidad, disponibilidad e integridad de la información que sostienen los objetivos del negocio
> Las claves son: Alcanzar – (modelo iterativo)
Confidencialidad.
Disponibilidad.
Integridad.
Niveles aceptables – (gestión de riesgos)
Objetivos del negocio – (Mandatorio y Rector)
![Page 6: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/6.jpg)
Algunos Problemas subyacentes
> Definición de activos de información Valor de la información, percepción del valor de la información,
rentabilidad, dependencia.
Impacto sobre incidentes de perdida de confidencialidad, integridad o disponibilidad de la información.
> Cultura de la organización Composición humana de la organización
Supuestos, expectativas, idealización de la seguridad.
Relacionamiento entre los actores y entre los actores y la organización, sus procesos y sistemas.
Adaptabilidad al cambio, al control o a la limitación de privilegios– Modelo de seguridad aceptados o aceptables
![Page 7: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/7.jpg)
Estado del arte: parte 1
> Sistemas distribuidos.
> Entornos heterogéneos.
> Interacciones multidireccionales y multisistemas.
> Aumento explosivo de los activos de información.
> Aumento explosivo de la dependencia a los sistemas.
> Relación entre vulnerabilidades y atacantes por definición, desventajosa
> Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente.
> Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.
![Page 8: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/8.jpg)
Estado del arte: parte 2A
ttac
k So
ph
istica
tion
email propagation of malicious code
“stealth”/advanced scanning techniques
widespread attacks using NNTP to distribute attack
widespread attacks on DNS infrastructure
executable code attacks (against browsers)
automated widespread attacks
GUI intruder tools
hijacking sessions
Internet social engineering attacks
automated probes/scans
widespread denial-of-service
attackstechniques to analyze code for
vulnerabilitieswithout source code
DDoS attacks
increase in worms
sophisticated command & control
anti-forensic techniques
home users targeted
distributed attack tools
increase in wide-scale Trojan horse
distribution
Windows-based remote controllable
Trojans (Back Orifice)
Intruder Knowledge1990 2005
packet spoofing
![Page 9: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/9.jpg)
![Page 10: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/10.jpg)
![Page 11: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/11.jpg)
![Page 12: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/12.jpg)
![Page 13: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/13.jpg)
![Page 14: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/14.jpg)
Modelos de Madures
![Page 15: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/15.jpg)
Modelos de Madurez.
> Basados en la Capacidad. (CMM)
> Basados en la Completitud. (ISO 9000-14000)
Act Plan
DoCheck
Maturity
Level
Time ScaleEffective Quality Improvement
Consolidate the Level Reached
![Page 16: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/16.jpg)
Level 0
ITIL Maturity Model (information from Pink Elephant)
AwarenessProcess driven by tools
Roles and responsibilities poorly defined
InitiationSome policies statements
Words no DocsNo dedicated resources
AbsenceNo evidence of activities supporting
the process
ControlMeasurable Targets
Mgmt Reports producedFormal Planning
Tasks, responsibilities, well defined
IntegrationSignificant quality improvements
Interdepartmental communicationsQuality & Per. Metrics transferred between
processes
Absence
Level 1
Level 2
Level 3
Level 4
Level 5
Initiation
Awareness
Control
Integration
Optimization
OptimizationLinks between IT & Corporate Policy
InnovationQA & Continuous improvement
World Class Perf. Measurements
![Page 17: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/17.jpg)
Maturity Model: Cobit Version 4.0
![Page 18: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/18.jpg)
Modelo de madurez de Seguridad (basado en la capacidad)
![Page 19: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/19.jpg)
Modelo de madurez de Seguridad(basado en la completitud)
![Page 20: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/20.jpg)
Administración de TI: Modelo de madurez CA
Conduciendo el negocio
Activo
Eficiente
Receptivo
Responde a problemas y fallas
Procesos manuales “ad-hoc”
Procesos estandarizados
Respuestas automatizadas
Recursos de TI consolidados
Servicios de TI relevantes al negocio
Administración por nivel de servicio
Administración financiera de TI
TI se optimiza en tiempo real dinámicamente para apoyar al negocio
Proyectos transparentes
3
2
1
4
Ag
ilid
ad
Flexibilidad
![Page 21: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/21.jpg)
- Dedicated Security Staff- Business Unit Owners
- Basic Security Policies- Identify & Classify Assets- Backup/Recovery Process- Periodic Vulnerability Assessments - Network Vulnerability Scanning
- Basic OS w/o Patches - Network Scanners- Anti-Virus- Backup and Storage
Co
nd
uct
So
luti
on
-Lea
din
g A
sses
smen
t to
Det
erm
ine
Cu
rren
t S
tate
& d
eliv
er G
AP
An
alys
is
Maturity Level (1)Active
Maturity Level (2)Efficient
Additional Capabilities Needed to Advance
to Next Level
- Certified Security Staff- Security Awareness Training (IT, HR, Dev)
- Security Policies and Backup/Recovery Process- Identify & Classify Assets- Periodic Vulner. Assessments and A&P- Network Vulner. And AV Scanning- Develop Standard OS Configurations- Vulnerability Research- Agent-based vulnerability and Configuration Management- Business Impact Analysis- Integrated Vulnerability Mgmt. and Helpdesk Processes - Manual Load of OS Patches
- Network Scanners- Anti-Virus- Backup and Storage- Agent Based Vulnerability & Configuration Management- Service Desk (Help Desk)
Security Awareness Training
Periodic Vulnerability & Attack and Penetration Testing
SA
O-D
efin
ed R
oad
map
an
d A
sso
ciat
ed R
OI D
eliv
ered
to
Clie
nt
to M
ove
fro
m A
ctiv
e to
Eff
icie
nt
Mat
uri
ty L
evelPeople
Process
Technology
Security Policies & Procedures
Security Solution Design, Implementation, and Integration
Unicenter Service Desk
BrightStor ArcServe
eTrust Anti-Virus & Vulnerability Manager
CISSP Training
CA products required to realize new capabilities
Maturity Capability Blueprint – Active to Efficient
![Page 22: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/22.jpg)
Estándares y Regulaciones y Mejores Practicas
![Page 23: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/23.jpg)
ISO27001
Communicationsand
OperationsManagement
OrganizationalSecurity
Security Policy
AssetClassification
andControl
BusinessContinuity
Management
Access Control
Physicaland
EnvironmentalSecurity
PersonnelSecurity
SystemsDevelopment
andMaintenance
Compliance
COBiT
Monitorand
Support
Acquireand
Implement
Planand
Organize
Defineand
Support
COSO
Monitoring
InternalEnvironment
RiskAssessment
ControlActivities
Informationand
Communications
ITIL
ICT InfrastructureManagement
ServiceDelivery /Support
BusinessPerspective
Planning toImplement
ServiceManagement
ApplicationManagement
SecurityManagement
ObjectiveSetting
RiskResponse
EventIdentification
![Page 24: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/24.jpg)
COBIT
IT OPERATIONS
IT Governance
Quality Systems & Frameworks
Service
Mgm
t.
Ap
p. D
ev.
Pro
ject Mg
mt.
IT P
lann
ing
IT S
ecurity
Qu
ality System
Modelo de Gobierno IT
COSO
ITIL
BS7799
PMI
ISO
SixSigma
TSOIS
Strategy
ASL
CMM
Sarbanes Oxley
US Securities & Exchange Commission
![Page 25: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/25.jpg)
![Page 26: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/26.jpg)
![Page 27: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/27.jpg)
ISO 27001 – Anexo Objetivos de control y controles.
> A5 Security Policy (3)
> A6 Organization of Information security (4)
> A7 Assesst Management (5)
> A8 Human Resourses Security (6)
> A9 Phisical And Environmental security (7)
> A10 Comunication And Operations Management (8)
> A11 Access Control (9)
> A12 Information System Acquisition, dev and maintenance (10)
> A13 Information Security incident Management (nuevo)
> A14 Business Continuity Management (11)
> A15 Compliance. (12)
![Page 28: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/28.jpg)
> American Society for Industrial Security (ASIS)
> Australian Computer Emergency Response Team
> Armed Forces Electronics and Communication Association (AFCEA)
> Association of anti Virus Asia Researchers (AVAR)
> CLUSIF (Infosec Association of France)
> CLUSIT (Infosec Association of Italy)
> Cyber Security Industry Alliance (CSIA)
> Distributed Management Task Force (DMTF)
> Government Electronics and Information Technology Association (GEIA)
> ICSA Labs
> IEEE-ISTO Open Security Exchange (OSE)
> Information Security & Privacy Advisory Board (ISPAB)
> Information Sharing & Analysis Center Council (ISAC Council)
> Information Systems Control & Audit Association (ISACA)
> Information Technology Association of America (ITAA)
> Information Technology-Information Sharing and Analysis Center (IT-ISAC)
> InfraGard
> InterNational Committee for Information Technology Standards (INCITS)
> International Information Systems Security Certification Consortium (ISC)2
> International Security Trust & Privacy Alliance (ISTPA)
> Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX)
> Israel Security Forum
> IT Service Management Forum (itSMF)
> John Jay College of Criminal Justice
> Korea Institute of Information Security & Cryptology
> Liberty Alliance
> Mitre CVE Editorial Board
> National Cyber Security Summit Task Forces
> New York Electronic Crimes Task Force
> Object Management Group (OMG)
> Open Mobile Alliance
> Open Source Development Lab (OSDL)
> Organization for the Advancement of Structured Information Standards (OASIS)
> Security Industry Association (SIA)
> SHARE
> The Open Group
> Virus Bulletin
> Wild List Organization (ITW)
> World Wide Web Consortium (W3C)
CA Security Affiliations
![Page 29: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/29.jpg)
Recomendaciones generales
![Page 30: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/30.jpg)
Tarea para el hogar
> Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación?
> Hemos realizado un analisis de riesgo integral?
> Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos?
> Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible?
> Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?
![Page 31: Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com](https://reader035.vdocuments.co/reader035/viewer/2022062418/5539abae5503464a018b497f/html5/thumbnails/31.jpg)
Muchas gracias