presentación de powerpoint -...
TRANSCRIPT
Hallazgos yRecomendaciones en
Materia de Seguridad de laInformación
ASF | 1
Dirección General de Auditoría deTecnologías de la Información y
Comunicaciones
Lic. Genaro Héctor Serrano Martínez
Director de Auditoría de Tecnologías de Información y Comunicaciones
“La información es un activo vital para lasorganizaciones, pero no siempre es reconocidacomo tal”
“La incapacidad de poder visualizar los efectos de lapérdida de información crítica puede dar lugar aimportantes consecuencias”
“El grupo estratégico de seguridad de la informacióndeberá asegurarse de que se integren los controlesde seguridad en los equipos del ambiente operativoy de comunicaciones de la organización”
ASF | 2
Declaraciones
Cibercrimen en cifras En 2009, la mayor estafa de tarjetas de crédito en la historia
comprometió más de 130 millones de cuentas
La situación empeoró en 2011 cuando los datos de 117 millonesde cuentas de usuario de Linkedin fueron robados
En 2013, los datos de 500 millones de usuarios de Yahoo sefiltraron en una de las brechas de datos más grandes de la historia
En 2016, el ataque a Mossack Fonseca resultó en el compromisode 11,5 millones de datos privados de los usuarios
El costo de la ciberdelincuencia aumentará a US $ 2.1 billones en2019, tres veces más que los ingresos de la delincuenciatradicional
ASF | 3
Agenda
• Estado de las Regulaciones en México• Principales Responsabilidades de los Funcionarios• Principales Hallazgos
o Seguridad de la Informacióno Ciberseguridado Continuidad de las Operacioneso Privacidad de Datos
• Recomendaciones• Conclusiones
ASF | 4
RegulacionesLEY DE SEGURIDAD NACIONAL
Desarrollar tecnología especializada para la investigación y difusión confiablede las comunicaciones del Gobierno Federal en materia de SeguridadNacional, así como para la protección de esas comunicaciones y de lainformación que posea
Definir las medidas de protección, destrucción, códigos de seguridad en lascomunicaciones y demás aspectos necesarios para el resguardo de lainformación
ASF | 5
Regulaciones
MAAGTICSI
Proceso de Administración de Servicios (ADS)
o Administrar la capacidad de la infraestructura de TICo Administrar la continuidad de los servicios
Proceso de la Seguridad de la Información (ASI)
o Establecer el modelo de gobierno de la seguridado Diseño del Sistema de Gestión de Seguridad de la Información (SGSI)o Elaborar el análisis de riesgos
ASF | 6
RegulacionesLEY GENERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA
Toda la información pública generada, obtenida, adquirida, transformada o enposesión de los sujetos obligados es pública y será accesible a cualquierpersona
Como información reservada podrá clasificarse aquella cuya publicacióncomprometa la seguridad nacional, la seguridad pública o la defensa nacionaly cuente con un propósito genuino y un efecto demostrable
ASF | 7
RegulacionesLEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DESUJETOS OBLIGADOS
Con independencia del tipo de sistema en el que se encuentren los datospersonales, el responsable deberá establecer y mantener las medidas deseguridad de carácter administrativo, físico y técnico para la protección de losdatos personales
El tratamiento de datos personales deberá limitarse al cumplimiento de lasfinalidades previstas en el aviso de privacidad
ASF | 8
ResponsabilidadesLEY GENERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA
Establece los criterios para calificar las sanciones conforme a la gravedad dela falta, en su caso, las condiciones económicas del infractor y lareincidencia. Asimismo, contempla el tipo de sanciones, los procedimientos yplazos para su ejecución. Las sanciones de carácter económico no podrán sercubiertas con recursos públicos
LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DESUJETOS OBLIGADOS
Se sancionará con prisión de seis meses a cinco años al que, con el fin dealcanzar un lucro indebido, trate datos personales mediante el engaño,aprovechándose del error en que se encuentre el titular o la personaautorizada para transmitirlos
ASF | 9
ResponsabilidadesMAAGTICSI
Establecer y vigilar los mecanismos que permitan la administración de laseguridad de la información de la Institución, así como disminuir el impactode eventos adversos
El responsable del diseño de servicios de TIC, conjuntamente con elresponsable de la planeación estratégica de la UTIC, deberán asegurarse quese cumpla con estándares para el Cifrado de Datos
ASF | 10
ResponsabilidadesMAAGTICSI
En las contrataciones relacionadas con servicios de plataformas deprocesamiento de datos, las Instituciones deberán prever que laadministración e infraestructura esté clasificada en zonas de seguridadbasadas en funciones, tipo de datos y requerimientos de acceso a losespacios de almacenamiento
El grupo estratégico de seguridad de la información deberá asegurarse de quese integren al SGSI, controles de seguridad en los equipos del ambienteoperativo y de comunicaciones de la Institución, para efectuar la revisión a lasbitácoras internas de los mismos, con la finalidad de identificar intentos deataques o de explotación de vulnerabilidades
ASF | 11
Hallazgos – Seguridad TI
ASF | 12
Condición Efecto
Falta de un responsable de seguridadpara el cumplimiento de lo mecanismosde control, acciones de seguridad yadministración de riesgos, entre otros
Ausencia de la función para vigilar laintegridad, confidencialidad ydisponibilidad de la información
Usuarios con acceso ilimitado a losaplicativos y bases de datos principalessin los controles pertinentes
Se pueden ejecutar transacciones noautorizadas sin dejar rastros
Hallazgos – Seguridad TI
ASF | 13
Condición Efecto
Carencia de políticas de seguridadinstitucionales, así como de normativaspara su aplicación en todas las unidadesy órganos de las entidades
Las estrategias de seguridad sonheterogéneas y en algunos casos secontraponen
La administración de contraseñas tienedeficiencias como sesiones duplicadas,permite múltiples intentos fallidos,claves simples y repetitivas
El acceso a los aplicativos se encuentraen riesgo de accesos no autorizados
Hallazgos – Seguridad TI
ASF | 14
Condición Efecto
Carencia o deficiencias en laimplementación del Sistema deGestión de Seguridad de laInformación (SGSI)
Pérdida de la confidencialidad de lainformación, falta de integridad de losdatos, carencia de disponibilidad delas aplicaciones y falta de “norepudio” de las transacciones paradeslindar responsabilidades
Se carece de recertificación periódicade usuarios y sus privilegios en losaplicativos sustantivos
Transacciones no autorizadas deacuerdo al rol del funcionario, asícomo ataques por parte de empleadosdados de baja
Hallazgos – Seguridad TI
ASF | 15
Condición Efecto
Carencia del análisis de riesgos paraevaluar su impacto sobre los serviciosde la Institución, para obtener planesde remediación y definir los controlesrequeridos
Alto riesgo de materialización de lasamenazas
Deficiencias en la gestión deincidentes que impide la identificaciónde los problemas con mayorfrecuencia
Se obstaculiza la prevención deriesgos, así como los mecanismos derespuesta para mitigarlos.
Hallazgos – Seguridad TI
ASF | 16
Condición Efecto
Las pistas de auditoría y las bitácorasde los sistemas sustantivos no estánactivadas para su revisión periódica
No se detectan oportunamente losmovimientos irregulares o cambios noautorizados
Los proveedores tienen accesoilimitado a los aplicativos y bases dedatos principales de la institución, sinla supervisión adecuada por parte delas entidades
Se pueden ejecutar transacciones noautorizadas sin dejar rastros que ponenen riesgo los activos y procesos de lasinstituciones
Carencia del análisis de Segregaciónde Funciones en las actividades de lasáreas de TIC y en los procesos denegocio
No se detectan las actividades conposibilidad de fraude, irregularidadesen los procesos o manipulación de losreportes financieros
Hallazgos – Ciberseguridad
ASF | 17
Condición Efecto
Deficiencias en el código de losservicios web que permiten accesos noautorizados para modificar lainformación restringida, así como lainyección de código malicioso
Expone el contenido del servidor asícomo a los usuarios que usan elservicio
Deficiencias en la configuración de losservidores que facilitan el acceso paraprovocar un mal funcionamiento
Se puede tener acceso a informaciónsensible para la operación del sistemaque podría afectar su funcionalidad
Hallazgos – Ciberseguridad
ASF | 18
Condición Efecto
La información se encuentra expuestaen el sitio web, por lo que se puedeacceder a ella a través de buscadoresconvencionales
Existe el riesgo de suplantación deusuarios para acceder a contenidorestringido.
Carencia de un análisis devulnerabilidades de la infraestructuratecnológica y los aplicativossustantivos
No se atienden o mitigan los riesgosasociados a un entorno en constantecambio que pueden afectar a losactivos y operaciones de la entidad
Hallazgos – Continuidad
ASF | 19
Condición Efecto
Carencia de un centro de cómputo alternocon la capacidad suficiente para soportar demanera activa al centro de cómputo primario
Ante un desastre los mecanismos derecuperación presentarían fallassustanciales y el tiempo objetivo derecuperación (RTO) sería mayor al estimadoen los planes de contingencias
El centro de datos principal carece de laseguridad física suficiente para la operaciónde los servicios, con irregularidades en lossistemas de prevención de incendios,vigilancia, control de accesos, inundación,entre otros
La continuidad de la operación se encuentraen riesgo de ser interrumpida por un tiempoindeterminado
Hallazgos – Continuidad
ASF | 20
Condición Efecto
Deficiencias en la gestión de ladisponibilidad de la infraestructura decómputo para optimizar y monitorizar losservicios
No se asegura la operación de los procesosy sistemas con la finalidad de cumplir conlos niveles de servicio establecidos
Carencia o falta de pruebas del Plan deRecuperación de Desastres (DRP) paraidentificar los servicios que podrían resultarafectados como consecuencia deinterrupciones
El punto objetivo de recuperación (RPO) y eltiempo objetivo de recuperación (RTO) de lainformación, serían mayores a lossoportados por la institución para lacontinuidad de las operaciones
Hallazgos – Continuidad
ASF | 21
Condición EfectoLos respaldos no son probadosperiódicamente para detectar fallas en lagrabación de los datos
El punto objetivo de recuperación (RPO)de información sería mayor al estimadoen caso de una catástrofe en el centro dedatos.
Se carece de un análisis de impacto alnegocio (BIA) que considere todas lasáreas sustantivas de la institución
Falta de identificación de las necesidadesde recuperación para cumplir con losrequerimientos de la organización, lajerarquía de prioridades y la propuesta devalor para soportar las inversiones yoperaciones de la entidad
La gestión de la capacidad de lainfraestructura tecnológica es deficientepara asegurar que los servicios cuentancon un procesamiento y almacenamientosuficiente
Los recursos no se aprovechanadecuadamente con la consecuentedegradación de los niveles de servicio
Hallazgos – Privacidad
ASF | 22
Condición EfectoSe carece de mecanismos de cifrado dedatos en los dispositivos electrónicosmóviles que contienen informaciónreservada o sensible para la Institución
Alta vulnerabilidad para la privacidadde la información, tal es el caso delcorreo electrónico institucional
No se ejecuta el borrado seguro de lainformación para eliminar de manerapermanente y de forma irrecuperable losdatos contenidos en medios dealmacenamiento y equipos de cómputorelacionados
Alto riesgo sobre la confidencialidadde los datos que puede derivar en eluso indebido de la información
No se clasifican los datos con lafinalidad de determinar los nivelesapropiados de control
La estrategia para asegurar laconfidencialidad y privacidad de lainformación no es eficiente
Hallazgos – Privacidad
ASF | 23
Condición EfectoLos usuarios acceden a información queno les corresponde de acuerdo con susfunciones y responsabilidades
No se protegen los activos deinformación de acuerdo a su prioridady relevancia para la institución
Se carece de mecanismos de cifrado enlas bases de datos sustantivas delCentro de Datos Principal
La integridad de los datos críticos osensibles para la institución seencuentra en riesgo debido a quepueden ser alterados con facilidad,provocando pérdidas económicas yfraudes
Recomendaciones–Seguridad TI
ASF | 24
Identificar y comprender las vulnerabilidades del entorno de la Seguridad, tantohumanas como técnicas
Entender la causa y efecto de los riesgos para determinar el impacto querepresentan para la infraestructura tecnológica
Aplicar los resultados del análisis de riesgos para determinar los activos quedeben ser tratados primero y para cuales puede permitirse absorber el riesgoasociado a ellos
Enfocar la gobernanza de TI, la seguridad y las inversiones en privacidad en lasáreas que más contribuyen al cumplimiento de la misión de la entidad
Conozca los datos de la organización, comprenda los datos que posee y quéestá en riesgo.
Recomendaciones–Seguridad TI
ASF | 25
Restringir el acceso a la infraestructura tecnológica de acuerdo con el principiode “privilegio mínimo”, y garantizar que los administradores y los empleadossólo tengan los accesos y privilegios suficientes
La alta dirección debe asegurarse de que el equipo de seguridad de lainformación obtenga un grado de visibilidad amplio respecto a todas lasfunciones de la entidad, mediante el reconocimiento de la importanciafundamental y prioritaria de la gestión de la seguridad para la organización
La prioridad del equipo de seguridad de la información es identificar las áreasde bajo y alto riesgo en la organización. Los marcos de riesgo deben alinearseestrechamente con la gestión organizacional y los proyectos en marcha
Recomendaciones–Ciberseguridad
ASF | 26
El equipo de evaluación debe utilizar un enfoque basado en el riesgo paraconcentrar la energía de auditoría en las áreas de mayor relevancia
La gestión de cambios y parches debe enfocarse al conjunto de procesosejecutados dentro de la organización para gestionar las mejoras
La defensa en profundidad es una estrategia práctica para lograr la seguridadde la información en entornos altamente conectados como hoy en día
La evaluación debe centrarse en el mayor riesgo e incluir medidas para reducirlos falsos positivos.
Debido a que los ataques pueden provenir de múltiples puntos, lasevaluaciones deben incluir una revisión de las capas de seguridad de defensaen profundidad.
Recomendaciones–Ciberseguridad
ASF | 27
Dado que las evaluaciones de seguridad informática deben probar un estadoreal contra un estado deseado, deben utilizar estándares
Las víctimas no son sólo la organización, también la cadena de suministro, losclientes, sus familias y bancos
El personal inexperto puede causar más daño que bien a la infraestructuratecnológica
Aun cuando las evaluaciones de vulnerabilidad pueden consumir muchotiempo, pueden salvar a la organización de una violación mayor causada poruna vulnerabilidad
Aplicar la denegación de servicio distribuida para la protección contra ataques
Recomendaciones–Continuidad
ASF | 28
La externalización de las operaciones de seguridad es una opción paraorganizaciones de tamaño medio, para reducir los problemas demantenimiento en un escenario que siempre debe funcionar, sin perder de vistala gobernabilidad de los servicios y los acuerdos de no divulgación de lainformación
Para las grandes organizaciones, siempre es mejor tener un equipo internopara las operaciones primarias de seguridad, debido a que el grado deconfidencialidad de los datos involucrados es relativamente alto
El programa de continuidad debe ser comunicado y coordinado con lainstitución para asegurar la alineación y eliminar la duplicación de esfuerzos.
Los planes de continuidad deben ser actualizados para reflejar cualquiercambio significativo en los procesos de negocio, estructuras organizacionalese infraestructuras de TI
Recomendaciones–Continuidad
ASF | 29
Las copias de seguridad deben ser probadas periódicamente para validar quelos datos pueden restaurarse dentro de los RPO y RTO establecidos
El programa de continuidad debe aprovechar las ubicaciones geográficasdispersas de la entidad para implementar la duplicación y sincronización de losdatos en sistemas redundantes
El entrenamiento y la concientización del programa de continuidad deben serrealizados periódicamente
La entidad debe exigir a los proveedores de sistemas críticos que implementeny mantengan planes de continuidad que estén alineados con el plan decontinuidad de la institución
Recomendaciones–Privacidad
ASF | 30
Determinar cómo se recoge, utiliza, almacena y divulga la información personal
La privacidad no puede existir sin la seguridad de la información, por lo tanto,debe considerarse en todos los programas de seguridad TI
La privacidad debe ser parte del gobierno TI de la organización
La capacitación es ampliamente aceptada por los expertos en privacidad comouna de las facetas más importantes del programa
Recomendaciones–Privacidad
ASF | 31
Identificar los objetivos clave de privacidad de datos (principios y criterios), asícomo definir el alcance
Evaluar a la gente, el proceso y la tecnología contra los objetivos de negociodefinidos, e identificar áreas de mejora
Documentar los resultados de la evaluación y las pruebas para que puedanutilizarse para apoyar las políticas de privacidad de la organización
Proporcionar un equilibrio económico entre el impacto de la amenaza y elcosto de la contramedida
Conclusiones
ASF | 32
Es fundamental que las organizaciones se preocupen por posicionarestratégicamente a sus equipos de seguridad de la información, con lasfacultades y responsabilidades adecuadas para influir en los resultados de lasentidades
El Responsable de la Seguridad debe tomar el control de actuar como elintegrador principal de la acciones en esta materia, para asegurar que losobjetivos de la seguridad están bien alineados con las metas de la institución
Reducir las ganancias del negocio del cibercrimen mediante la implementaciónde mejores soluciones de seguridad, equipar a los profesionales altamentecalificados con las herramientas más eficaces y endurecer las leyes para tenersanciones efectivas
Conclusiones
ASF | 33
La privacidad es un factor inherente al ser humano que debe ser manejado enforma responsable y con las mejores tecnologías para garantizar que sólo laspersonas autorizadas puedan transmitirla
Identificar las necesidades de continuidad y recuperación para cumplir con losrequerimientos de la organización, la jerarquía de prioridades y la propuesta devalor para soportar las operaciones de la entidad
Gracias
ASF | 34
http://mx.linkedin.com/in/GenaroHectorSerranoMartinez
@ghectorserrano