morella behrens l. cism-cgeit -...
TRANSCRIPT
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Resiliencia desde el punto de vista del Comportamiento Humano
!• Real Academia Española de la Lengua: es la capacidad humana de asumir con flexibilidad situaciones límites y sobreponerse a ellas • Psicología: gracias a ella somos capaces no solo de afrontar las crisis y situaciones traumáticas, sino que también podemos salir fortalecidos de ellas • Rafaela Santos- (Psiquiatra, Presidenta del Instituto Español de Resiliencia y
autora de “Levantarse y luchar”): consiste también en saber aprender de la derrota y transformarla en oportunidad de desarrollo personal !!
La Neurociencia muestra que el cerebro humano es capaz de adaptarse a los cambios a través de la plasticidad neuronal
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Ciber-ResilienciaSegún algunos autores, la Ciber-Resiliencia es: !• la capacidad para resistir, proteger y defender el uso del
ciberespacio de los atacantes • la capacidad de la infraestructura, ya sea de seguridad o de TI,
de proveer y mantener un funcionamiento aceptable a pesar de fallas y desafíos a la operación normal, por ejemplo: sobrecargas de trabajo, tráfico malicioso, etc.
Infraestructura suficientemente robusta como para protegerse y repeler potenciales ataques, así como ser tolerante a fallas
¿Es esto suficiente?
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Resiliencia en el Contexto de la Seguridad de la Información
» Algunas Consideraciones: • La seguridad es un proceso sistémico en el que intervienen factores
de diversa naturaleza • La seguridad debe responder a la realidad, al nivel de amenazas y
al nivel de riesgo aceptable para cada organización • Los pilares fundamentales para agregar valor a la gestión de la
seguridad son los procesos de prevención, protección y planificación • Una arquitectura de seguridad robusta combina 3 elementos
fundamentales: las personas, la tecnología e infraestructura y las políticas/ normas y procedimientos
Para que la Seguridad de la Información sea “resiliente" es necesario que todos sus procesos y los elementos que intervienen en la
seguridad sean resilientes
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¡¡ La Seguridad de la Información !es Compleja y Dinámica !!
RIESGO CRECIENTE • Pérdidas aproximadas
de $445 billones/año en la economía global (CSIS)
• $150 billones por pérdida de información personal
DIVERSIDAD DE ATAQUES • Virus • Accesos no autorizados • Negación de Servicios • SPAM • Phishing • Back Doors • APS (Advanced Persistent Threads)
NO EXISTE VERDADERO CONTROL • 77% reporta haber sufrido eventos de
seguridad • 34% dicen haber sufrido incrementos en el
número de incidentes • 3000 compañías desconocían haber tenido
incidentes hasta que el FBI se los informó
Fuente: (2014 US State of Cybercrime-PWC)
DIVERSIDAD DE TECNOLOGÍAS Y SOLUCIONES
• AntiVirus • Firewalls • IDS • IPS • Filtros de Contenido • Monitores de Políticas • Biometría • Escaners de Vulnerablidad • Event Security Management (SIEM) • Virtual Public Network (VPN) • …
POCA EXPERTICIA • Capacitación local
incipiente • Pocas empresas
especializadas en seguridad
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Qué hacen usualmente las Organizaciones?
SEGURIDAD
Definen e Implantan sus PNP
Incorporan Tecnologías
Capacitan al Personal
Ejecutan Análisis de Vulnerabilidad Periódicos
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Debilidades del Enfoque Actual
Generalmente olvidamos el factor humano
➢Para que la seguridad sea efectiva y resiliente se requiere un cambio cultural
Las vulnerabilidades son dinámicas
➢Se requiere vigilancia y monitoreo permanente así como capitalizar las experiencias
Inversiones en nuevas tecnologías de seguridad no resuelven el problema y a veces lo agravan
➢La inversión en tecnología debe estar acorde a requerimientos del Negocio.
➢Generalmente no sabemos qué necesitamos controlar
Humanamente es imposible procesar a tiempo todos los datos de seguridad de una empresa
➢Se requiere una solución efectiva que recolecte, homologue y presente oportunamente la información de seguridad
Adoptamos modelos de seguridad de otras empresas que no responden a nuestros objetivos
➢Se requiere una alineación de la seguridad al Negocio
Problema Se requiere
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Debilidades del Enfoque Actual (cont.)
El análisis de incidentes carece de una visión estratégica
➢Se requiere descifrar patrones ocultos
Muchos fraudes y problemas de seguridad son a nivel de seguridad física y procesos del negocio los cuales no se contemplan al momento del diseño
➢Se requiere una visión holística e integrada de la seguridad
Desconocemos si las políticas y regulaciones en realidad se cumplen
➢Se requiere establecer auditorias periódicas y evaluación del cumplimiento
Cuando ocurren incidentes el objetivo es mitigar y pocas veces aprendemos de la experiencia
➢Se requiere incorporar inteligencia a la detección y respuesta a incidentes
¡¡¡ UN ALTO PORCENTAJE DE LA SEGURIDAD ES REACTIVO !!!
Problema Se requiere
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Evolución de la Seguridad
Resiliencia: Capacidad para superar circunstancias adversas y capitalizar nuestras
experiencias
Vulnerabilidad: Debilidades para
enfrentar amenazas
Reacción: Respuesta ante
incidentes
P3
Prevención, Protección y Planificación
SEGURIDAD REACTIVA
SEGURIDAD PROACTIVA
SEGURIDAD RESILIENTE
Es un modelo integral de seguridad que, a través de una metodología sencilla, facilita la definición,
conceptualización, planificación y gestión estratégica de la seguridad en las organizaciones
Producto terminado: Mapa de Ruta para la Seguridad
Modelo Aplicado para la Prevención, Protección y Planificación de la Seguridad
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
ARQUITECTURA DE SEGURIDAD
POLÍTICAS, NORMAS Y PROCEDIMIENTOS
TECNOLOGÍAS
ORGANIZACIÓN
Visión del Negocio
Situación existente de la Seguridad
Objetivos y Estrategias
Empresariales
ESQUEMAS GESTIÓN
VISIÓN ESTRATÉGICA DE LA SEGURIDAD
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
Identificación de Controles Requeridos
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
» Asegurar el cumplimiento de políticas, normas y procedimientos que soporten la resiliencia
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
» Prevención (sensibilización del personal, creación de cultura resiliente)
» Monitorización (detección y alerta oportuna de incidentes)
» Gestión de incidentes (recopilación de eventos, notificación y aprendizaje de los incidentes)
PCI DSS
HIPPA BASILEAISO/27000
SOX
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
» Asegurar el cumplimiento de políticas, normas y procedimientos que soporten la resiliencia
» Desarrollar una cultura organizacional resiliente
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
» Características de una cultura de seguridad orientada a la resiliencia:– cultura orientada a la prevención– con actitud analítica consciente– capaz de crecerse ante las adversidades– orientada al trabajo en equipo– con una buena comunicación– con consciencia de sus habilidades y limitaciones– flexible ante los cambios y con capacidad de valorar
distintas alternativas– con visión objetiva de las dificultades y siempre bajo
una actitud positiva – que enfrenta los problemas como oportunidades de
crecimiento
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
» Asegurar el cumplimiento de políticas, normas y procedimientos que soporten la resiliencia
» Desarrollar una cultura organizacional resiliente» Diseñar un modelo tecnológico resiliente
alineado al negocio
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Eventos
Eventos
Eventos
Eventos
Incidentes
Incidentes
Incidentes
Incidentes
Eventos
Eventos
Eventos
Eventos
Eventos
Línea de la Normalidad
Línea de la Criticidad
Contención
Pérdidas
Daños
Pérdidas
Daños
Pérdidas
Certeza Incertidumbre
Recuperación
Eventos
Eventos
PREVENCIÓN
PROTECCIÓN
PLANIFICACIÓN
Siniestro
Siniestro
Incidentes
Incidentes
Identificación y Detección NeutralizaciónRespuesta
Controles
Inteligencia
PLANIFICACIÓNControles
Inteligencia
Eventos
Eventos
SEGURIDAD RESILIENTE
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
» Asegurar el cumplimiento de políticas, normas y procedimientos que soporten la resiliencia
» Desarrollar una cultura organizacional resiliente» Diseñar un modelo tecnológico resiliente alineado
al negocio » Implementar una plataforma tipo SIEM, con
incorporación de los controles definidos, para la detección a tiempo, respuesta oportuna e incorporación progresiva de inteligencia
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
¿Cómo Lograr una Seguridad Resiliente?
» Diseñar e implementar una arquitectura de seguridad integrada, alineada al negocio
» Asegurar el cumplimiento de políticas, normas y procedimientos que soporten la resiliencia
» Desarrollar una cultura organizacional resiliente» Diseñar un modelo tecnológico resiliente alineado al negocio» Implementar una plataforma tipo SIEM, con incorporación
de los controles definidos, para la detección a tiempo, respuesta oportuna e incorporación progresiva de inteligencia
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
En una seguridad resiliente pasamos de observadores de la inseguridad a
creadores de la seguridad
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015Resiliencia: Capitalizando las crisis a favor de la seguridad
El contenido del presente documento es propiedad intelectual de Securenet Corp C.A. Está prohibida su reproducción sin previa autorización.
Morella Behrens L. CISM-CGEIT (ISACA)
[email protected] +58 412 3305973
¿Quién quiero ser
“observador o creador”?