seguridad asequible para pymes
DESCRIPTION
Seguridad asequible para PYMES #seguridadpymesED by @solidrockitnews @jon_uriona in Araba @EnpresaDigitala Miñano 24-09-2013TRANSCRIPT
1
Seguridad asequible para PYMES
Araba Enpresa DigitalaMiñano
24-09-2013
Pág 2
SEGURIDAD ASEQUIBLE PARA PYMES
¿Quiénes somos?
Ángel Lafuente Echeazarra
● Consultoría informática
– Arquitectura e ingeniería de sistemas.
– (el arte de dar) Soporte .– Apoyo a la gerencia en dirección TIC.– Desarrollo– Divulgación y formación.
● Software libre y cloud computing
Jon Urionaguena
● Consultoría de Seguridad TIC
– Infraestructura de Internet propia– Migración de servicios a la nube– Servicios Cloud Seguros– Soluciones basadas en Software
Libre– Tecnología propia de securización
Pág 3
SEGURIDAD ASEQUIBLE PARA PYMES
¿Qué nos motiva?● Nuestros equipos trabajan día a día en las infraestructuras sobre las que se
levantan los sistemas de información de nuestros clientes.
● La seguridad TIC es siempre un reto.
● La reducción de presupuestos de informática de las empresas penaliza gravemente los proyectos de mejora de seguridad.
● Nuestro desafío = jornada de divulgación para PYMES.
– Las PYMEs tienen menos recursos
– Jornada muy práctica.
– Orientada a los problemas de seguridad más comunes de una PYME.
– Presentando soluciones preferiblemente software libre.
– Proponiendo una metodología mínima de implantación.
Pág 4
SEGURIDAD ASEQUIBLE PARA PYMES
Programa
9:00 – 9:10 Presentación del seminario
9:10 – 9:50 Explícame una vez más por qué debo invertir en seguridad.
● Conceptos básicos.● Sospechosos habituales.● Servicio vs seguridad: una falsa dualidad.● ¿Cómo medir la mejora en seguridad?● Regla de Pareto presupuesto asequible.→● Un ejemplo ilustrativo.
9:50 – 11:00 Soluciones prácticas I
● Clásicos de la seguridad: – Claves, SSL, malware, seguridad física y
control del software instalado.– Restricción de uso de USB en Windows.– Asegurando almacenamiento USB
incluidos (Truecrypt)
11:00 – 11:20 Descanso / Café / Networking
11:20 – 12:30 Soluciones prácticas II
● Seguridad en el móvil.● Controlando los ficheros corporativos.● Aplicaciones web corporativas seguras.● Lecciones del caso Snowden (riesgos del
cloud)
12:30 – 12:45 Conclusiones
Pág 5
SEGURIDAD ASEQUIBLE PARA PYMES
Materiales
● Presentación disponible en PDF en
http://bit.ly/16UEq43● Comentarios en Twitter:
– Hashtag → #seguridadpymesED
– Organiza →@enpresadigitala
– Ponentes →@solidrockitnews @jon_uriona
Pág 6
SEGURIDAD ASEQUIBLE PARA PYMES
Explícame una vez más por qué debo invertir en seguridad
Pág 7
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos
● En la empresa, hoy día, el activo más importante
– Información:
● Almacenada (datos de negocio)● Intercambiada (correo, e-commerce, B2B, etc...)
– Actividad de las máquinas – Producción
● Pensad un momento cómo funcionaríais hoy sin correo electrónico, móvil, tablet, portátil, servidor, aplicaciones o servicios en Internet.
– Es como cuando se va el suministro eléctrico. Los trabajadores están mirando …
– La dependencia de las TICs es creciente la sociedad de la información→
Pág 8
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: activos y riegos
● Activos IT debemos “conocerlos”, valorarlos y clasificarlos.→– Inventario y valoración
● Riesgos IT debemos “conocerlos”, valorarlos y clasificarlos.→– El análisis de riesgos actividad es una transversal en la empresa. Es una actividad que
debería existir en otros ámbitos, financiero, procesos, proyectos, etc...
– Documentos relacionados: plan de seguridad y plan de contingencia.
Pág 9
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: ¿qué es seguridad?
● ¿Qué significa que los activos estén seguros?
● Tengo que garantizar su:
– Confidencialidad.
– Integridad.
– Disponibilidad.
● Muy sencillo de definir … más difícil de implementar. ;-)
Pág 10
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos
● Activos:
– Valor
– Riesgo Por vulnerabilidad→
● Valoramos Impacto/Gravedad● Según el valor del activo
– Amenaza – Probabilidad de que ocurra
● Gestión de riesgos IT: Wikipedia
– Actividad recurrente:
● Identificación de riesgos para el negocio/información● Valoración (cualitativa y cuantitativa)● PDCA de las medidas a aplicar para contener los riesgos
– Necesitamos valorar, medir - Métricas
Pág 11
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: métricas de seguridad
● Qué son:
– Medida “objetiva” y comparable.
– Permite realizar una evolución en el tiempo, conociendo el estado en cualquier momento
● Medidas de seguridad = Mecanismos para aminorar el riesgo
– Mitigación: reducir, evitar y traspasar
● Riesgo = Valor de la pérdida x Probabilidad de que ocurra
– Riesgo aceptado/tolerado = El punto en que el coste de la contramedida a aplicar sobrepasa el valor de la pérdida
● ¡Priorización de riesgos!
Pág 12
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: métricas de seguridad
● Ejemplo de métricas en un SIEM
Pág 13
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● ¿A qué riesgos están expuesto mis activos?
● Mi organización es como las demás; estamos expuestos a los mismos riesgos.
● Referencia encuesta global →Kaspersky Labs Global Corporate IT Security Risks 2013 (May 2013)
● Algo más cercano → INTECO.
Pág 14
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● Estadísticas de amenazas externas (fuente Kaspersky Labs)
Pág 15
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● Estadísticas de amenazas internas (fuente Kaspersky Labs)
Pág 16
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● Un análisis crítico de estos datos
– El perfil de las empresas de la encuesta no se ajusta al de la PYME.
– ¿Es una buena métrica el número de ataques,?
● Los ataques de spam, malware son los más numerosos porque son masivos y porque las organizaciones grandes tienen estadísticas de los mismos.
● Las herramientas para medir ataques de otro tipo suelen menos efectivas (por ejemplo, filtraciones) y el número de ataques menor, por lo que el margen de error es mayor
● Falta correlación con otros parámetros
● Lo que aprendemos ya tenemos un → listado de riesgos probables
– Ataques externos: malware, spam, phising, intrusiones de red, robos de móviles ..
– Ataques internos: vulnerabilidades de software, filtraciones accidentales, robo de móviles, ….
– El “hacker peliculero” es poco probable. Hay más riesgo de negligencia o mala fé.
Pág 17
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad vs servicio
● Servicio TIC: es un conjunto de personas y máquinas que soportan uno o varios procesos de negocio. Por ejemplo: el servicio de correo electrónico.
● La seguridad suele ser vista como una causa de disminución de calidad de servicio.
● Prefacio de la guía de seguridad de SLES
“A good system does what it is expected to do, and it does it well.
A secure system is a good system that does nothing else. “
● Los usuarios, los desarrolladores, el personal del CAU suelen percibir la implantación de medidas de seguridad con gran resistencia al cambio.
● Ejemplo clásico: la rotación de contraseñas
Pág 18
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad vs servicio: falsa dualidad
● El error está en concebir la seguridad de un servicio TIC como algo ajeno al mismo.
– Una servicio inseguro es un mal servicio.
– Se desprecia fácilmente el valor de la información como activo por su intagibilidad.
● La seguridad TIC debe estar presente en todas las fases de un servicio: diseño, construcción, funcionamiento, mantenimiento y cancelación.
● Tópico (pero cierto): la seguridad debe ser un proceso transversal.
● Asegurar un servicio TIC es un gran reto.
– Si el cambio es transparente para el usuario es que lo has hecho bien Nadie valorará →tu éxito.
– Difícil de vender a la dirección es un esfuerzo que en términos de negocio no va a →tener impacto.
Pág 19
SEGURIDAD ASEQUIBLE PARA PYMES
¿Cómo medir la mejora en seguridad?
● Métrica sencilla
– Es un primer paso para probar a medir.
– Si funciona, podéis ir a metodologías y análisis más complejos.
– Lo importante es medir repetidas veces (¿anualmente?) con el mismo sistema.
● Disponemos una métrica de riesgo agregado sencilla pensando en un negocio PyME
– Impacto: Nada, Leve, Moderado, Alto, Extremo
– Probabilidad: Nada, Poca, Media, Mucha
● Nos da un listado de prioridades
– Las medidas aplicadas bajarán, anularán o traspasarán el riesgo
– Descenso de la probabilidad de ocurrencia.
Pág 20
SEGURIDAD ASEQUIBLE PARA PYMES
¿Cómo medir la mejora en seguridad?
● Tabla ejemplo
Pág 21
SEGURIDAD ASEQUIBLE PARA PYMES
Regla de Pareto presupuesto asequible.→
● En seguridad parece que nunca hay límite de gasto: siempre hay algo que mejorar.
● Apliquemos la regla de Pareto para limitar el alcance de nuestro proyecto de seguridad
– El 20% del esfuerzo supone el 80% de la mejora, luego reduciremos los riesgos rápidamente.
– Método:
● Se completa la tabla anterior incluyendo agrupando los activos por servicio TICs.● Se valoran según la métrica y se le asigna un presupuesto ajustado.● Se ejecutará el 20 % del presupuesto total que supondría ejecutar todas las
contramedidas detectadas.
Pág 22
SEGURIDAD ASEQUIBLE PARA PYMES
Invertir en seguridad es ser menos vulnerable
● La percepción del riesgo es subjetiva.
● Los riesgos sólo preocupan si son inminentes o si ya han tenido impacto.
● Invertir en seguridad es hacer que nuestra organización sea menos vulnerable.
● No existe un argumento irrefutable que respalde una inversión en seguridad.
● Es una cuestión de cultura corporativa a todos los niveles.
Pág 23
SEGURIDAD ASEQUIBLE PARA PYMES
¿Cuánto ha supuesto en euros?
● Y eso que no eran responsables del incidente ….
Pág 24
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de la seguridad
Pág 25
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad: supuestos de partida
● Damos por descontando lo siguiente (¿ o no?):
– Problema 1: malware y virus de múltiples fuentes.
– Solución : software de seguridad (antivirus o similar) actualizado en todos los equipos con MS Windows.
– Problema 2: acceso sin limitaciones al sistema por parte de los usuarios.
● Imposible control localizado para atacantes internos● A través de estos usuarios un atacante externo puede hacer lo que le venga en
gana.
– Solución: usuarios sin privilegios.
– Problema 3: ataques de ingeniería social.
– Solución: atención y concienciación.
Punto de partida del seminarioPunto de partida del seminario
Pág 26
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad: supuestos de partida
● Posibles intrusos/atacantesPosibles intrusos/atacantes
– Internos:Internos:
● Empleados descontentosEmpleados descontentos● Gente que cambia de trabajoGente que cambia de trabajo● ......
– ExternosExternos
● VisitasVisitas● Partners en nuestras instalacionesPartners en nuestras instalaciones● Piratas en InternetPiratas en Internet● ......
Pág 27
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad
● Problemas
– Acceso físico a equipos/servidores.
– Sesiones de usuario abiertas.
– Acceso a BIOS – Capacidad de arrancar otros SOs
– Baja protección de contraseñas.
– Compartición redes (redes locales, wifi).
– Pérdida de dispositivos y datos.
– Actualización del software.
Pág 28
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad
● Riesgos / Impacto
– Robo de identidad Impersonación →
– Robo de datos Confidencialidad →
– Manipulación de datos Integridad→
– Manipulación de sistemas Disponibilidad→
Pág 29
SEGURIDAD ASEQUIBLE PARA PYMES
Sesión abierta – Contraseña en post-it
● Riesgo
– Atacante interno.
– Robo datos en el equipo, impersonando al usuario
– Ataque al PC de usuario y sus aplicaciones.
● Solución
– Formación y concienciación.
– Activar salvapantallas.
– Gestión razonable de cambio de contraseñas
● Repercusión en el servicio
– Baja, si no hay mucha rotación de contraseñas.
● Coste solución
– 15 minutos por usuario y equipo.
Pág 30
SEGURIDAD ASEQUIBLE PARA PYMES
Acceso físico a los PCs
● Riesgo
– Acceso al sistema y sus sesiones. Sin modificación
– Acceso a los datos Robo de discos. Modificación→
● Solución
– Clave en BIOS
– Deshabilitar el arranque mediante DVD o USB.
– Cifrado de discos (vemos Truecrypt después)
– Passwords robustos con cambios periódicos
– Evitar LanManager.
Pág 31
SEGURIDAD ASEQUIBLE PARA PYMES
Acceso físico a los PCs
● Repercusión en el servicio
– Bajo, si la rotación de contraseñas es razonable.
– El cifrado total de disco puede ralentizar el rendimiento en aplicaciones exigentes.
● Coste solución
– Cambios de BIOS 15 minutos por equipo.→
– Política contraseñas:
● 15 minutos en un dominio.● 15 minutos por PC si no hay dominio.
– Cifrado de disco horas por PC dependiendo de la solución.→
Pág 32
SEGURIDAD ASEQUIBLE PARA PYMES
Acceso físico a los PCs
● Demo acceso físico
Pág 33
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Problema / Riesgo
– Vector de entrada PC, servidor, portátil.→
– Multitud de dispositivos tiene almacenamiento USB: disco externos (USB, SATA), memorias USB, móviles, reproductores de música, discos extraíbles
– Puedo perder datos en forma de ficheros.
– Además, suele ser un punto de entrada a software malicioso o no deseado.
– El mayor punto de pérdida de datos.
● Ejemplo:
– Un empleado cambia de trabajo
– Sale de la organización.
– Le sobornan.
– Es bastante común hacerse una copia de seguridad en un USB para trabajar en casa.
Pág 34
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Solución 1: deshabilitar USB
– Por BIOS.
– Por sistema operativo.
– En MS Windows 2003, XP, Vista, 2008 y posterior se puede hacer por políticas a nivel de máquina y de dominio
● Existe la posibilidad de sólo permitir el acceso en sólo lectura. ● También se puede aplicar a todo tipo de almacenamiento extraible.
● Repercusión el servicio
– BIOS muy alto. Hay muchos dispositivos que funcionana vía USB.→
– Por sistema operativo alto. Los usuarios pierden una función a la que están muy →habituados. ¿Equipo para conectar USBs?
● Coste: 15 minutos por PC para BIOS o configuración políticas.
Pág 35
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Demo
Pág 36
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Solución 2: dar acceso sólo a ciertos USB
– En MS Windows Vista, 7, 2008 y posterior se puede,por políticas a nivel de máquina y de dominio
● Permitir que sólo ciertos USBs se monten en ciertos equipos o por ciertos usuarios.● El control se hace restringiendo el tipo de driver que está permitido instalar.● Estos significa que el control se hace por el modelo de USB.● Tengo control si proporciono a los usuarios sus dispositivos USB oficiales.● Evito la fuga en móviles, MP3 y resto de USBs.
Pág 37
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Demo
Pág 38
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Repercusión en el servicio
– Baja. Los usuarios disponen de USB corporativo.
● Coste solución
– Restricción USB desde Windows.:
● 15 minutos en un dominio.● 15 minutos por PC si no hay dominio.
– Alta de USBs
● 15 minutos en un dominio.● 15 minutos por PC si no hay dominio.
Pág 39
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Problema
– En una red se comparte el medio para transmisión de datos
● WLAN la señal electromagnética con el punto de acceso. →● LAN Cable y elementos de conmutación/repetición→
– Los datos se pueden llegar a ver “en claro”.
● Casos vulnerables WIFI:
● Sin clave evidente →● Segura:
– WEP: Crackeable de manera sencilla– WPA: Crackeable por diccionario
● Problemática de APs compartidos con entorno abierto:
– WEP: Nos dan la clave de cifrado– WPA: Compartimos la contraseña de cifrado y por tanto podemos descifrar la
negociación de la clave de sesión.
Pág 40
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Casos vulnerables red cableada
– Hub: En claro
– Switch: ARP spoofing o port monitoring a nivel de switch
● Riesgo Robo de credenciales→– Impersonación
● Usuario/pass● Cookies
– Otros...
● Bancos● E-Commerce
Pág 41
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Solución
– Cifrado de las comunicaciones
● HTTP HTTPS→● Correo – SSL/TLS y STARTLS
– Evitar uso de WIFI, al menos fuera de la empresa.
– Protección del medio (cable).
Pág 42
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Demo
Pág 43
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Repercusión en el servicio
– SSL bajo. La mayoría de soluciones vienen preparadas para trabajar SSL. →
– No usar WIFI medio-alto si se restringe en la propia empresa. Los dispositivos →móviles no tienen acceso a la LAN y los costes de datos móviles subirán.
● Coste solución
– SSL 1/2 hora por sistema a asegurar.→
– No WIFI 1 hora.→
Pág 44
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Problema / Riesgo
– Pérdida/robo de almacenamiento
● Un USB/CD● Un portátil/tablet/móvil
– Acceso físico al mismo
– Confidencialidad de nuestros datos
● Competencia – Propiedad intelectual● Robo de contraseñas para accesos● Datos íntimos
Pág 45
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Solución
– Teoría: cifrado de la información, cifrado robusto (algoritmos válidos actualmente)
● Evita el acceso libre a los datos cuando hay acceso físico al soporte.
– Práctica: solución de cifrado en el propio almacenamiento, protegido por clave por el usuario
– Herramientas:
● Cifrado a nivel filesystem: EFS, LUKS● Cifrado a nivel de usuario: Truecrypt, Bitlocker● Otros comerciales (soluciones DLP)
– Recomendamos Truecrypt por ser multiplataforma y software libre.
Pág 46
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Demo
Pág 47
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Repercusión en el servicio
– Bajo. Supone un paso más para acceder a la información, pero es bastante amigable.
– Alto ,si se implanta en DVDs.
● Coste solución
– Depende del número de dispositivos y su naturaleza.
● Preparar un contenedor Truecrypt. De 15 a 30 minutos dependiendo del tamaño.● Cifrar un dispositivo completo. De 30 a 60 minutos dependiendo del tamaño.
– Es fácil formar a los usuarios.
Pág 48
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Problema
– Todo el software tiene un ciclo de vida
● Nuevas funcionalidades● Corrección de errores - bugs
– De funcionalidad– De seguridad
– Problemas de seguridad
● Ejecución de código arbitrario – Disponibilidad● Inserción de payloads – Ejecución de código maligno
– Troyanos– Robo de credenciales y de datos
Pág 49
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Problema
– Problemas de seguridad: conocidos por piratas
● A veces antes que el fabricante: 0 day
– Importante: siempre a la última versión del software
– Confiabilidad del software:
● ¿Qué hace el software por dentro? ¿Sólo lo que “parece”?● Una actualización puede cambiar la funcionalidad – Inserción de un troyano.● ¿Es el software original o ha sido alterado (P2P)?
Pág 50
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Solución
– Elección consciente del software
● Referencias y contratos con el fabricante● Software Open Source:
– Podemos ver lo que hace.– Normalmente auditado por comunidades abiertas.
– Disponer siempre de la última versión
● Actualizaciones● Origen confiable del mismo: firma digital, hash, etc...
Pág 51
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Repercusión en el servicio
– Depende del grado automatización y de los permisos ¡Silent Updates para Java ya!→
– Alto si tenemos que implantar una herramienta de distribución se software.
– Depende del servicio y del software
● Aplicaciones certificadas con IE6.
– Conflicto clásico entre sistemas y desarrollo a ver quién actualiza una base de datos →de una aplicación crítica.
● Coste solución
– Proporcional al número de usuarios y Pcs.
Pág 52
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
Pág 53
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Problema
– Los dispositivos móviles (móviles y tabletas) ya no son meros teléfonos; nos sirven como pequeños ordenadores conectados directamente a Internet.
– Almacenan toda clase de información sensible:
● Personal fotos, contactos, usuarios y claves de acceso a servicios en la nube y →redes sociales.
● Corporativa fotos,contactos, archivos y claves de acceso a servicios en la nube y →aplicaciones internas.
– Son fáciles de perder y objeto de deseo para ladrones.
– En el diseño de sus sistemas operativos (iOS, Android, Windows Phone ..), las funciones de seguridad están siendo implantadas ahora que son sistemas maduros y el hardware más potente (excepción Blackberry).
– Hay muchos tipos de sistemas operativos, lo que complica la gestión.
– Todavía no hay herramientas de gestión móviles (MDM) maduras para la PYME.
Pág 54
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Riesgo
– Infecciones en los dispositivos por malware.
● Robo de datos en línea.● Uso no permitido de servicios e pago.
– Acceso a datos personales o confidenciales en caso de robo.
– Acceso a credenciales corporativas y personales.
Pág 55
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Reflexión
– Los dispositivos móviles son el punto más expuesto de nuestras empresas.
– Con estos dispositivos y los servicios en nube, los departamentos de TICs se han visto desbordados:
● Hay mejores servicios en la nube que dentro de las propias empresas.● No hay herramientas para implantar medidas de seguridad es como retrotraerse →
10 o 15 años al mundo del PC.● Paradigma Dropbox→
– Si un dispositivo móvil es como un pequeño PC, apliquemos en ellos los principios de clásicos de seguridad
Pág 56
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Solución 1: clásicos de seguridad
– Sesión abierta salvapantallas y patrón de seguridad.→
– Acceso físico es complicado tener acceso a los datos.→
– WIFI no usar redes WIFI públicas. El 3G es más seguro.→
– Actualización de software sólo usar sitios de aplicaciones oficiales. Los fabricantes →no actualizan los sistemas todo lo que debieran, sobre todo en Android.
● Repercusión en el servicio
– Ninguna. Sólo formar a los usuarios en un uso razonable del dispositivo.
● Coste solución
– Ninguno adicional. Debe ser la configuración normal del dispositivo.
Pág 57
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: Prey
● Solución 2: localización de dispositivos robados con PreyProject
– PreyProject es un servicio en nube.
● Gratis hasta 3 dispositivos.● Versión de pago: más funciones y dispositivos.
– Localiza dispositivos móviles (Android e iOS) y PCs (Windows, Linux y Mac).
– Es software libre.
– Impacto casi nulo en el rendimiento.
– La aplicación está bien escondida para el usuario normal.
● Repercusión en el servicio
– Ninguna. Puede llegar a ser invisible para el usuario
● Coste solución
– 15 minutos por dispositivo y el coste del servicio de pago si se desea
Pág 58
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: Prey
● Demo
Pág 59
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: EDS Lite
● Solución 3: cifrado de datos con EDS Lite
– EDS Lite es una aplicación en Android que permite generar contenedores seguros para archivos en Android.
– Es gratuita. Hay versión de pago.
– Los contenedores de archivos pueden ser abiertos por Truecrypt en PC sincronizar →con Dropbox.
● Repercusión en el servicio
– Baja. Complica un poco el acceso a los datos.
● Coste solución
– 15 minutos de configuración por dispositivo y la formación a los usuarios 2 h
Pág 60
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: EDS Lite
● Demo
Pág 61
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
Pág 62
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Problema
– Mucha información se guardan en ficheros y no en aplicaciones o bases de datos corporativas.
● Estándares de facto: MS Office, Catia, AutoCad ...● Usamos ficheros porque son fáciles de compartir mediante soportes o redes.● Esta facilidad hace que las fugas de información a través de ficheros sea el riesgo
más común.● La fuga puede ser malintencionada o no. Casi siempre el ataque es interno.
– Controlar los almacenamientos extraíbles no es suficiente. El activo es el fichero no el medio USB.
● Por correo web o estándar.● Por servicios en Internet: dropbox, mensajería instántanea-● Mediante impresión.
– Las técnicas que tratan de evitar y detectar estas fugas se conocen como DLP (Data Loss Protection) soluciones de seguridad complejas,→
Pág 63
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Riesgo
– Filtración de datos personales y confidenciales.
– Ataque a la propiedad intelectual
– Vulneración de legislación vigente y de contratos con clientes.
– No saber que he perdido información.
● Impacto
– Muy alto.
● Enfoque para una PYME
– Una solución DLP es muy cara.
– Es más barato restringir el acceso a la información delicada → los permisos en el servidor de ficheros son un punto crítico.
Pág 64
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Comprendiendo cómo funciona un DLP
– Un DLP trata de controlar todos los puntos por donde la información puede salir de un infraestructura TIC. En un PC es como un antivirus.
– Es como poner un vigilante en cada puerta de una biblioteca.
– Pero hay muchos huecos:
● El teléfono, el fax, un libro que se arroja por la ventana.● Pcs, USBs, móviles (Bluetooth o WIFI), impresoras, servicios web, ● Por eso resulta bastante compleja una solución DLP.
● MyDLP es un DLP de software libre.
– Sólo para realizar la demo.
– No lo recomendamos
● La versión de comunidad carece de funciones clave.● No parece maduro y con un modelo claro de software libre.
Pág 65
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos: Sealpath
● Demo
Pág 66
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Solución: Sealpath
– Sealpath protege los ficheros allá donde estén añadiendo una coraza de seguridad en →vez de controlar las puertas de la biblioteca, se centra en proteger los libros.
– Está disponible como solución SaaS y como software tradicional.
– Protege ficheros de MS Office, PDF y XPS con un amplio espectro de permisos para el documento.
– No guarda el fichero en sí, sólo gestiona la cobertura.
– Permite auditar el uso del fichero.
– Permite inutilizar un fichero a distancia.
– Disponible también en dispositivos móviles.
– Permite el uso de servicios cloud con tranquilidad.
– Es una empresa vasca. :-)
– No hay nada similar en software libre. :-(
Pág 67
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos: Sealpath
● Demo Sealpath
Pág 68
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos: Sealpath
● Repercusión en el servicio
– Baja, internamente La integración con Office y Adobe Reader facilitan la labor de formación.
– Media, de cara al exterior. Hay que tener preparado un procedimiento para formar rápidamente a los usuarios externos con quien compartamos
● Coste solución
– Instalación y configuración. 15 minutos por equipo.
– Formación: 1 h por usuario
– Sealpath Professional: 6 € al mes por usuario.
Pág 69
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
Pág 70
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Problema
– Disposición de aplicaciones corporativas para el negocio basadas en web:
● ERP, CRM, intranet documental, tienda online, etc...
– Normalmente basadas en software generalista, con posibles desarrollos a medida
● Ejemplos:
– Web en Joomla, Wordpress o Drupal– CRM tipo SugarCRM, etc...– Tienda online basada en Prestashop
– Software en continuo desarrollo
– Problemas de seguridad habituales
● Inyecciones desde usuarios● Vulnerabilidades en la gestión de identidades y permisos
Pág 71
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Problema
– OWASP 10
Pág 72
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Riesgo
– Robo de datos
– Manipulación de datos
– Disponibilidad de las aplicaciones
– Vulneración de leyes (LOPD)
– Pérdida de imagen corporativa
Pág 73
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Demo SQL injection en formulario de login
● Introducción de sentencias SQL por parte del usuario hasta el sistema de BD final, a través del formulario de captura de datos de login
● Acceso completo a BD final:
– Crear, borrar, eliminar y consultar cualquier registro● ¿Por qué?
– Errores en la codificación del código– Falta de validación y filtrado de los datos entrantes del usuario
● ¿Cómo?● Envío de datos del “navegador” al servidor – POST/GET para consultas/formularios● Manipulación de los datos sin validación en servidor● Consultas manipuladas a la BD
Pág 74
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
Pág 75
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Solución
– Actualización constante del software web
● Elección del ciclo de vida de los componentes determinante ¿cuánto tiempo va →estar soportada mi aplicación web?
– Auditorías de seguridad Pentesting Web→
● No incluyen corrección de errores, sólo la detección.
– Desarrollo seguro
● Paradigma de desarrollo web seguro.● Formación y método del equipo de desarrollo.● Importante elección de proveedor si se externaliza un desarrollo. Es difícil de
valorar. ¿Certificaciones?
Pág 76
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Repercusión en el servicio
– Baja ya que la funcionalidad no debería cambiar.
● Coste solución
– Actualizaciones
● Incluida en la administración del sistema.● Si hay una buena gestión de cambio, habrá que pasar un test funcional completo
en el entorno de pruebas 4 horas para aplicaciones sencillas.→– Auditorías externas. Depende mucho de cada caso: aplicación, cliente, auditor y
alcance del proyecto.
Pág 77
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
Riesgos del cloud
Pág 78
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● ¿Quién es Edward Snowden?
– Es un ingeniero informático que trabajó para la CIA y la NSA.
– Filtró a la prensa, entre otros, la existencia de PRISM un programa de vigilancia electrónica por parte del gobierno de EE.UU.
● Cronología resumida
– 6-6-2013. The Guardian y The Washington Post revela la que la NSA y el FBI han solicitado acceso a la infraestructura de Google, Microsoft , Facebook entre otros.
– 9-6-2013. Snowden confiesa ser la fuente de las filtraciones desde Hong-Kong.
– 15-6-2013. Microsoft y Facebook, entre otras, reconocen haber proporcionado datos sobre miles de personas a agencias gubernamentales..
– 21-06-2013. The Guardian desvela que al gobierno británico, aliado con el estadounidense, tiene capacidad para “pinchar” nodos centrales de Internet y recoger información de forma masiva.
– 23-06.2013. Snowden recala en Rusia donde acabará exiliado. Continuará ...
Pág 79
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Cómo funciona PRISM (presuntamente)
Pág 80
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Problema los medios de que disponen son enormes. → The Black Budget.
Pág 81
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Problema Nos vigilan→
● ¿Y esto es una novedad? → Programa ECHELON, SITEL.
Pág 82
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Problema
– Hechos
● Los gobiernos vigilan y vigilarán; es parte de su trabajo (lucha contra la pornografía infantil).
● Siempre habrá personas que utilicen estos sistemas para beneficio propio.● El espionaje industrial siempre ha sido una labor de inteligencia.● En Occidente nos enteramos de la existencia de este tipo de programas; en Rusia,
en China “no existen” estos programas porque no hay filtraciones.● Este tipo de actividades seguirá creciendo en los próximos años (ciberguerra,
cibercomandos)● Existen otra clase de agentes agresivos como corporaciones, delincuencia de
organizada y grupos políticos como Anonymous.
INTERNET ES UN MEDIO HOSTIL
¿ADOPTAR SOLUCIONES CLOUD SUPONE UN RIESGO AÑADIDO?
Pág 83
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Riesgo
– Cada vez las empresas utilizan más servicios cloud y crece la cantidad de datos de la empresa fuera de la infraestructura de la empresa.
● Aplicaciones completas: ERP, CRM en SaaS.● Servidores en infraestructuras IaaS.
– La mayoría de empresas líderes en cloud son norteamericanas.
– Internet es una interconexión de redes.
● ¿Quién puede estar escuchando?
– El proveedor.– El gobierno donde del país donde este alojado ese nodo de red.
– Fuera de Occidente el riesgo pasa a ser muy alto ya que los gobiernos controlan el acceso a Internet. Por ejemplo: poner sedes en China o Oriente Medio.
– Nuestra propiedad intelectual se ve amenazada.
– Nuestro personal susceptible de ser chantajeado si se llega a sus datos privados.
Pág 84
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Solución 1: desactivar el modo paranoia
– El cloud tiene riesgos parecidos al hosting (web, correo, servidores) tradicional y las empresas no lo perciben como tal.
– Es poco probable estar en el foco, pero no hay que descuidarse.
● Solución 2: segregar los datos más sensibles y aplicarles un tratamiento especial.
– Cifrado de ficheros.
– No dejarlos en servicios cloud o sólo en servicios de confianza.
– Repercusión en el servicio
● Alto. Implica una buena formación, concienciación y auditoría interna.● Coste. Medio.
Pág 85
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Solución 3: prestar servicios de nube internamente
– Por ejemplo: sustituir Dropbox por Owncloud (software libre).
Pág 86
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Repercusión en el servicio
– Depende de la diferencia de funciones y calidad entre el servicio en la nube y lo que prestemos nosotros.
● Coste solución
– Normalmente caro.
– Cuanto más pequeña sea la organización más uso hará de SaaS.
– Los servicios en Internet son bastante buenos y a veces gratuitos.
● Gmail vs Zimbra● Dropbox vs Owncloud
– ¿Son mis instalaciones seguras?
Pág 87
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Solución 4: controlar el hardware
– Tener la infraestructura en nuestras instalaciones.
– Llevar nuestra infraestructura a un proveedor cercano con el que haya poder de negociación y más control. Por ejemplo: Cloud Norte ;-)
– Dependencia de AWS o Azure buscar en el futuro proveedores de OpenStack o crear →nubes privadas para los datos críticos (infraestructura híbrida). proyecto conjunto →Solid Rock IT + Cloud Norte en OpenStack.
Pág 88
SEGURIDAD ASEQUIBLE PARA PYMES
Conclusiones
Pág 89
SEGURIDAD ASEQUIBLE PARA PYMES
Presupuesto asequible
● Presupuesto para las soluciones presentadas
– Externalizar estas mejoras a 40 € / hora.
– 20 ordenadores: 15 Pcs y 5 portátiles en un dominio MS Windows.
– 10 smartphones.
– Contratamos Prey Pro para los smartphones y Sealpath para 5 usuarios.
– Dejamos la auditoría de aplicaciones y revisar nuestro uso de servicios en nube para tiempos mejores.
Pág 90
SEGURIDAD ASEQUIBLE PARA PYMES
Presupuesto asequible
● Lo más básico: ~ 2500 € 125 € / usuario el primer año→
● Mejora espectacular.
Pág 91
SEGURIDAD ASEQUIBLE PARA PYMES
Conclusiones
● Detecta tus activos y valora tus riesgos tabla de métrica propuesta → →diagnóstico anual.
● Con un presupuesto limitado puedes mejorar notablemente.
● Olvídate de ataques complejos un atacante buscará primero el punto →más debil: configuraciones por defecto, clásicos de seguridad e ingeniería social.
● Piensa en la seguridad como una función más de TICs a la hora actualizar o implantar nuevos sistemas.
● No trates todos los datos de igual modo: identifica los usuarios y la información más sensible y protégelos.
● Se cauto cuando la información salga de tu infraestructura: USB, nube ...
Pág 92
SEGURIDAD ASEQUIBLE PARA PYMES
Fin
Mila esker / GraciasPara cualquier duda o consulta