CÓMO LIDIAR CON EL ENDURECIMIENTO NORMATIVO Y LOS … · Certificación del sistema (opcional) ISO...
Transcript of CÓMO LIDIAR CON EL ENDURECIMIENTO NORMATIVO Y LOS … · Certificación del sistema (opcional) ISO...
1
CÓMO LIDIAR CON EL ENDURECIMIENTO NORMATIVO Y LOS NUEVOS TIPOS DE ATAQUE
Francisco Valencia
Director General
Secure&IT
911 196 995
2
Cibercriminales: ¿Quiénes son y qué quieren?Movimientos sociales e inestabilidad política dan como resultado
organizaciones de hacktivismo, ciberdelincuencia, ciberterrorismo,
ciberespionaje y ciberguerra.
España es uno de los países más castigados por estas acciones delictivas.
Objetivos:
& Infraestructuras Críticas (Energía, Alimentación, Transportes)
& Administraciones públicas
& Empresas (industria, distribución, banca, seguros, sanidad y servicios).
Se detectan 14.000 nuevas formas de ataque al año, que han producido
145.000 impactos en empresas españolas, en 2017 con consecuencias
graves (sin contar las no denunciadas por miedo al desprestigio)
Principales ataques:
& DDoS, robo de datos y ransomeware.
& Chantaje con ingresos empleados en la financiación de terrorismo,
tráfico de personas, armas y/o drogas
& Web defacement y otros realizados por personas cercanas a la
empresa
& En empresas, ataques de robo de datos con fines de ciberespionaje,
empleando APTs
3
¿Qué técnicas emplean?
Las técnicas de hacking son cada vez más efectivas y rentables. Cada
año se duplican los ataques y su gravedad. Ataques como Heartbleed,
o Cryptolocker son sólo dos ejemplos de esto. Destacan las botnets,
ataques DDoS, ransomware y exploits que buscan, analizan y explotan
las vulnerabilidades. Además se extienden los ataques a través del
DNS, y se multiplican ataques a dispositivos móviles y las temidas APT
Estas herramientas son producidas y vendidas en Internet, creando el
denominado “Crime-as-a-service”, donde cualquiera puede ocasionar
graves pérdidas mediante el uso de armas tecnológicas.
El código dañino (Malware) alcanza los 1.000 millones de muestras.
Fundamentalmente los malware más extendidos en la actualidad son
Troyanos y Spyware. El malware en smartphones y tablets aumenta
exponencialmente.
El SPAM y navegación WEB siguen siendo los principales caminos
para la difusión de este malware, aunque empieza a ser relevado por
redes sociales e Ingeniería social, sobre todo en pornografía infantil o
pederastia.
4
Y la amenaza no son sólo los hackers…
MÁS AMENAZAS…
Errores humanos en
IT
Empleados descontentos
Competencia desleal
No cumplimiento
legal o contractual
Falta de Plan de
Continuidad
Formación insuficiente
Falta de medidas técnicas
La falta de valoración de activos y definición
de procesos críticos de negocio dificulta la
implantación de medidas técnicas y
organizativas con éxito. Provoca
inversiones vagamente justificadas y poco
efectivas.
Los departamentos de Asesoría Jurídica de
las empresas son expertos en normativa
laboral, mercantil, fiscal, etc, pero rara vez
son expertos en Derecho Tecnológico. Los
Departamentos de TI tampoco manejan
esta materia. Los incumplimientos y
sanciones en protección de datos y otras
normativas son habituales
La escasa formación y concienciación de
los recursos humanos favorece la ingeniería
social, deslealtad de empleados, robo de
información para entregarlos a la
competencia, etc.
5
Impactos de un ciberataque
Sobre la IMAGEN
& Pérdida de prestigio de la marca
& Pérdida de confianza de su entorno
& Elemento muy considerado a la hora de escoger proveedores
Sobre el NEGOCIO
& Indisponibilidad de ofrecer el servicio en condiciones normales
& Pérdida de datos e información acerca de las operaciones en curso
& Fuga de clientes
Sobre los ACTIVOS
& Depreciación de los activos de la empresa
& Pérdida de confianza de proveedores / financiadores
& Dificultad para entrar en mercados
Sobre el CUMPLIMIENTO
& Sanciones derivadas por incumplimiento de normativas de privacidad
& Incumplimiento de contratos con clientes y/o proveedores
& Posibles pleitos por daños a terceros
6
Entender que Seguridad Informática ≠ Seguridad de la Información
La seguridad de la información es elconjunto de medidas preventivas yreactivas de las organizaciones y de lossistemas tecnológicos que permitenresguardar y proteger la informaciónbuscando mantener la confidencialidad,la disponibilidad e integridad de lamisma.
La seguridad informática es el área de lainformática que se enfoca en laprotección de la infraestructuracomputacional y la informacióncontenida o circulante.
¿Qué podemos / debemos hacer?
7
Requerimientos de cumplimiento
& LEY 34/02 SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y
EL COMERCIO ELECTRONICO (ART. 27)
& 59/03 FIRMA ELECTRÓNICA (ART. 17)
& RD 1720/07 PROTECCIÓN DE DATOS (ART. 102)
& RD 03/10 ESQUEMA NACIONAL DE SEGURIDAD (ART. 24)
& LEY 10/10 BLANQUEO DE CAPITALES (ART. 25)
& RD 304/14 BLANQUEO DE CAPITALES (ART. 18)
& LEY 25/07 CONSERVACIÓN DE DATOS RELATIVOS A
COMUNICACIONES ELECTRÓNICAS (ART. 3, ART. 5)
& PCI-DSS V3.2 (REQ 3.1, REQ 3.6, REQ 8)
& LEY 26/06 MEDIACIÓN DE SEGUROS (ART. 8)
& RD 764/10 MEDIACION DE SEGUROS (CAP I, ART. 1)
& LEY 41/02 AUTONOMIA DEL PACIENTE (ART. 2)
& FOOD AND DRUGS ADMINISTRATION (ART. 4)
& GENERAL DATA PROTECTION REGULATION - GDPR
(ART 32, ART.33)
& RD 03/10 ESQUEMA NACIONAL DE SEGURIDAD
(ART. 23)
& LEY ORGÁNICA 10/95 CÓDIGO PENAL (ART. 31BIS)
& PCI-DSS V3.2 (REQ 5.1, REQ 10.5, REQ 11.1)
& RDL 12/2018 (Transposición de Directiva NIS)
& ISO 27001 (REQ A.12.4)
& ISO 22301 (REQ 8.4)
& ISO 20000-1 (REQ 6.6)
& HIPAA (AP. 164.308)
& SOX (SECC 404)
8
SEGURIDAD DE LA
INFORMACIÓN
CUMPLIMIENTO NORMATIVO
PROCESOS DE
SEGURIDAD
SEGURIDAD
INFORMÁTICA
VIGILANCIA DE LA
SEGURIDAD
Satisface la demanda que le es exigida a la
organización.
& Exigencias Legales (GDPR, C. Penal…)
& Normas Sectoriales (PCI-DSS, ENS…)
& Estándares (ISO 27001 / 20000 / 22301)
& Medidas dispuestas por Clientes
Permite dotar al CEO de un “cuadro de mando”
de la gestión de su seguridad.
& Identificación y valoración de Activos
& Análisis de Riesgos
& Roles y Responsabilidades
& Medidas aplicadas y sus Resultados
Protege las vulnerabilidades propias de los
sistemas informáticos:
& Sistemas anti malware
& Protección contra hackers
& Copias de seguridad
& Criptografía
CU
MP
LIM
IEN
TO
NO
RM
AT
IVO
PR
OC
ES
OS
CO
RP
OR
AT
IVO
S
SE
GU
RID
AD
INF
OR
MÁ
TIC
A
Permite la rápida detección, respuesta y
mitigación de impactos de seguridad
& Aplica tanto a IT como a procesos
& Reduce la incertidumbre. Existen IRPs
& Control gráfico
& Informes y cuadros de mandoVIG
ILA
NC
IA D
E
LA
SE
GU
RID
AD
Los pilares de la Seguridad de la Información
9
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y
EL CUMPLIMIENTO
Francisco Valencia
Director General
Secure&IT
911 196 995
10
¿QUÉ QUEREMOS HACER? Definir objetivos corporativos de seguridad
Para GDPR: Registro de actividades de tratamiento
Para Código penal: Listado de delitos aplicables
¿CÓMO NOS ORGANIZAMOS? Delegado de Protección de Datos, Compliance officer…
Responsable de Seguridad, Comité de Seguridad…
Establecer roles, responsabilidades y autoridades
MEDIDAS DE SEGURIDAD Realizar un Análisis de Riesgos (ISO 31000 - MAGERIT)
Seleccionar controles de mitigación (ISO 27002 - ENS)
Implantación de las contramedidas de reducción de riesgo
VIGILANCIA DE LA SEGURIDAD Un ataque en internet dura SEGUNDOS y se tarda MESES en detectarlo
El atacante SABE que tienes Firewall y Antivirus
Se hacen necesarias medidas de vigilancia
RESPUESTA ANTE INCIDENTES Implantar planes de respuesta a incidentes de seguridad
Implantar procedimiento de notificación de brechas
Gestión Canal de Denuncias
Continuidad de engocio
MEJORA CONTINUA Auditoría periódica
Planes de mejora
Revisión por la alta dirección
Certificación del sistema (opcional)
ISO 27001ENS
CÓDIGO PENALGDPRNIS…
11
Parece demasiado…
… Hagamos que parezca fácil
12
Necesidad de monitorización avanzada
Satisfacer la demanda que le es exigida a
la organización.
& Exigencias Legales (Privacidad…)
& Normas Sectoriales (PCI-DSS, ENS…)
& Estándares (ISO 27001 / 22301….)
& Medidas dispuestas por Clientes
Permiten dotar al CEO de un “cuadro de
mando” de la gestión de su seguridad.
& Identificación y valoración de Activos
& Análisis de Riesgos
& Roles y Responsabilidades
& Medidas aplicadas y sus Resultados
Protegen las vulnerabilidades propias de
los sistemas informáticos:
& Sistemas anti malware
& Protección contra hackers
& Copias de seguridad
& Criptografía
CU
MP
LIM
IEN
TO
PR
OC
ES
OS
SE
GU
RID
AD
TI
Informes de cumplimiento
Requerimiento de monitorizar
Cuadros de mando
Detección de eventos e incidentes
Correlación de eventos
13
Necesidad de monitorización avanzada
14
SIEM(Security Information Event Management)
& Análisis en tiempo real de eventos de
seguridad
& Almacenamiento y registro de los datos
& Categorización y de los registros
& Inteligencia de negocio
& Alertas y notificaciones
& Herramientas de visualización y control
& Priorización de eventos
& Reporting
& Cumplimiento
15
BigSIEM: SIEM SaaS & Emergency Response
BIGPROBE
BIGSIEM CONTROLLER
RESPUESTAREAL TIME
VIEW
REPORTINGFORENSICS
UP TO 150 FEEDS• SNORT• SURICATA• SPIDERLABS• VIRUSTOTAL• SORBS• BADIPS• HEURISTIC• STATIC• CERTS• ETC…
MACHINE LEARNING
A2L
BIG DATALOG COLLECTOR
16
& GESTIÓN DE LA DISPONIBILIDAD
& Estado up/down de dispositivos
& Estado up/down de interfaces
& Estado up/down de aplicaciones
& Estado up/down de procesos
& Estado de servicios cloud
& GESTIÓN DE LA CAPACIDAD
& Consumo de procesador, memoria
& Estado de los sistemas de
almacenamiento
& Consumo de ancho de banda
& GESTIÓN DEL RENDIMIENTO
& Retardos de red
& Tiempos de respuesta en
aplicaciones web
& GESTIÓN DE LA SEGURIDAD
& Estado de elementos de seguridad
& Firewall, IPS, WAF, antivirus, etc…
& Correlación de eventos y alertas
BigSIEM: Monitorización integral
17
BigSIEM: Capacidad de Análisis
18
BigSIEM: Capacidad de Análisis
19
BigSIEM: Capacidad de Análisis& BigSIEM: Análisis de más de 1000 variables
& Tráfico aceptado y denegado
& Sesiones
& Tamaño paquetes
& Inicios de sesión
& Login aceptados o bloqueados
& Malware detectado
& Correos electrónicos
& Acceso WEB
& Ficheros abiertos, copiados, movidos…
& Etc…
& Correlación de eventos entre distintos sistemas
& Firewall
& DNS firewall
& Antivirus de perímetro y puesto
& Sistemas de cifrado
& Sistemas de copia de seguridad
& Servidores
& Control de contenidos, proxys
& IPS / IDS
& Correo electrónico
& Sandbox
& Etc…
& Sonda BigPROBE
& Detección automática de anomalías de tráfico
& Cruce automático con más de 150 fuentes de
inteligencia
& Redes TOR
& Malware
& Reputación IP
& Reputación dominios
& Spam
& Detección automática comportamiento
ransomware
& Análisis horizontal y vertical de tráfico
& Análisis (correlación) cruzada
& Carga manual de información de ataque
& Análisis heurístico
& Seguridad WIFI (AP Rogues, etc)
& Correlación entre clientes del CERT
& Carga de avisos y alertas de CERTS
gubernamentales, como CCN-CERT
& Carga de vulnerabilidades de fabricantes
(Microsoft, Cisco, Adobe, etc)
& Detección de vulnerabilidades mediante
escaneo continuo
20
Secure&View©. Capacidad de Respuesta
SERVICIOS
& Alertas de seguridad
& Avisos de vulnerabilidades
& Monitorización
& Gestión de incidencias
& Gestión de vulnerabilidades
& Auditorías
& Test de Intrusión
& Inteligencia y análisis
& Gestión de dispositivos
& Firewalls
& WAF
& Antimalware
& MDM/MDS
& DNS Firewall
& Análisis de Riesgos
& Continuidad de Negocio
& Formación
& Consultoría
& Evaluación de productos
& Cumplimiento
& Servicio 24x7x365
& Certificado ISO27001:2013 e ISO9001:2015
& Acreditado CERT (Community Emergency Response Team)