SlideShare una empresa de Scribd logo

CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

Javier Antunez / CISSP / LA27001 / IA9001
Javier Antunez / CISSP / LA27001 / IA9001

Presentación: Asegure su empresa con 20 controles. Top 20 Critical Security Controls - SANS - CCS (Council on CyberSecurity) Presentación brindada en Segurinfo Argentina 2014 Español

Tecnología
1 de 24
Descargar para leer sin conexión
Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados Presentada por:
Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda  Intro Controles  Conclusiones  Origen  ¿Por qué son útiles?  Pilares  20 controles críticos  Grupos de controles  Mitigaciones  5 quick wins  Roadmap
Intro: Abordaje actual  Aplicamos buenas prácticas  A veces a medias…  Hacemos buenas cosas  En lugar de hacer las cosas necesarias…  Muchas veces el árbol no nos deja ver el bosque…
Intro: Abordaje actual  Tenemos demasiadas herramientas disponibles  Lo que dificulta decidir cual utilizar 6
Intro: Abordaje actual  Puede que seamos muy exigentes en algunos puntos… 7
Intro: Abordaje actual  … y poco exigentes en otros. 8
Origen de los controles  Surge del ámbito gubernamental  Primero corregir los males conocidos  NSA + CIS + SANS  consorcio  Expansión de miembros a +100  Conocimiento agregado publico/privado  Versión 5 (revs. Cada 6/12 meses desde 2008)  Gestionado por SANS hasta 2013 (hoy por el Council on CyberSecurity – CCS) 9
¿Por qué son útiles?  Aportantes / Consenso  Foco en acciones de alta prioridad  Casos de éxito  Adoptantes  Herramientas disponibles  Mapeo contra frameworks existentes  Mapa de ruta para mejorar la seguridad 10
Pilares  Ofensa informa a defensa  Priorización  Métricas  Monitoreo continuo  Automatización 11
20 Controles críticos 12
20 Controles críticos 13
Grupos de controles Gestión de riesgos en activos  CSC1- Inventario de dispositivos autorizados y no autorizados  CSC2- Inventario de software autorizado y no autorizado  CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers  CSC4- Análisis y remediación de vulnerabilidades continua  CSC6 - Seguridad en Software de Aplicación  CSC7 - Control de dispositivos Wireless 14
Grupos de controles  Gestión de riesgos de usuarios  CSC12- Uso controlado de privilegios administrativos  CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria  CSC15- Acceso controlado basado en el "need to know“  CSC16- Control y monitoreo de cuentas de usuario 15
Grupos de controles  Gestión de riesgos de red  CSC10- Configuraciones Seguras para Dispositivos de Red  CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red  CSC13- Defensa perimetral  CSC19 Ingeniería de red segura 16 CSC3 CSC1
Grupos de controles  Prevención y respuesta a incidentes  CSC5 - Defensas contra Malware  CSC8 - Capacidad de recupero de datos  CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps  CSC17 -Data loss prevention  CSC18 -Gestión de Respuesta ante Incidentes  CSC20 - Pruebas de Penetración y Hacking Ético 17
Anatomía de un ataque actual  Identificar un objetivo  Analizar vectores de ataque  Explotación  Consolidación (upload/exec/persist)  Realizar conexiones salientes (C & C)  Reconocimiento interno  Pivot dentro de la red
Mitigación de ataques 19
5 Quick Wins 1. App white listing (en CSC2) 2. Standard, secure system configurations (en CSC3) 3. Patchear software de aplicación dentro de las 48 horas (en CSC4) 4. Patchear software de sistemas dentro de las 48 horas (en CSC4) 5. Reducir el Nro. de usuarios con privilegios administrativos (en CSC3 y CSC12) 20
Roadmap 1. Gap analisys inicial 2. Plan de implementación en fases 3. Primer fase 1. Mejorar el uso herramientas existentes 2. Incorporar nuevas herramientas 3. Mejora de procesos / skills 4. Integración de controles en la operación + monitoreo continuo 5. Repetir pasos 3 y 4 para siguientes fases 21
Conclusiones  Controles prioritarios bien fundados  No abarca todos los aspectos de seguridad  punto de partida  Basado en experiencias de ataques  Conceptualización simplificada  Focalización de esfuerzos  No olvidar: Monitoreo continuo + Automatización 22
Gracias por asistir a esta sesión…
Para mayor información: (Javier Antúnez) (jantunez@portoyasociados.com.ar) Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en

Recomendados

Wargames in your office
Wargames in your officeWargames in your office
Wargames in your officeRafael Sánchez Gómez
 
Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...
Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...
Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...Christian Izarra
 
Seguridad de base de datos
Seguridad de base de datosSeguridad de base de datos
Seguridad de base de datosesteban gutierrez
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesAlexander Velasque Rimac
 
Planificación
Planificación Planificación
PlanificaciónRUTH RAMIREZ
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1Alexander Velasque Rimac
 
Controles final
Controles finalControles final
Controles finalAlexander Velasque Rimac
 
Tema 8
Tema 8Tema 8
Tema 8Carmelo Branimir España Villegas
 

Recomendados

Wargames in your office
Wargames in your officeWargames in your office
Wargames in your officeRafael Sánchez Gómez
 
Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...
Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...
Neuralys OverWatch - Risk Management & Mitigation Enforcement - Presentation ...Christian Izarra
 
Seguridad de base de datos
Seguridad de base de datosSeguridad de base de datos
Seguridad de base de datosesteban gutierrez
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesAlexander Velasque Rimac
 
Planificación
Planificación Planificación
PlanificaciónRUTH RAMIREZ
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1Alexander Velasque Rimac
 
Controles final
Controles finalControles final
Controles finalAlexander Velasque Rimac
 
Tema 8
Tema 8Tema 8
Tema 8Carmelo Branimir España Villegas
 
Material riesgos adoc
Material riesgos adocMaterial riesgos adoc
Material riesgos adocAlva R. Lomelí
 
Validación de Sistemas Computarizados
Validación de Sistemas Computarizados Validación de Sistemas Computarizados
Validación de Sistemas Computarizados Nombre Apellidos
 
Presentación1
Presentación1Presentación1
Presentación1juap321
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datosmarthacely7
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientonoriarman
 
C:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosC:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosXimena Williams
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJUANCARLOSRIVERA2012
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 
Veronica cansigña
Veronica cansigñaVeronica cansigña
Veronica cansigñaflaquitauce
 
Controles
ControlesControles
ControlesAlexander Velasque Rimac
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoriaAlexander Velasque Rimac
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemasDoris Suquilanda
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosAngel Gom
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Trendspotting: How to Predict and Position Your AMC and Your Clients for Success
Trendspotting: How to Predict and Position Your AMC and Your Clients for SuccessTrendspotting: How to Predict and Position Your AMC and Your Clients for Success
Trendspotting: How to Predict and Position Your AMC and Your Clients for SuccessEpic | A Brand Voice Agency
 
عباس 88
عباس 88عباس 88
عباس 88عباس طمبل عبدالله الملك
 
9 Surprising Tips to Make Your AMC Stand Out
9 Surprising Tips to Make Your AMC Stand Out9 Surprising Tips to Make Your AMC Stand Out
9 Surprising Tips to Make Your AMC Stand OutEpic | A Brand Voice Agency
 

Más contenido relacionado

La actualidad más candente

Validación de Sistemas Computarizados
Validación de Sistemas Computarizados Validación de Sistemas Computarizados
Validación de Sistemas Computarizados Nombre Apellidos
 
Presentación1
Presentación1Presentación1
Presentación1juap321
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datosmarthacely7
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientonoriarman
 
C:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosC:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosXimena Williams
 
Veronica cansigña
Veronica cansigñaVeronica cansigña
Veronica cansigñaflaquitauce
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosAngel Gom
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 

La actualidad más candente (19)

Material riesgos adoc
Material riesgos adocMaterial riesgos adoc
Material riesgos adoc
 
Validación de Sistemas Computarizados
Validación de Sistemas Computarizados Validación de Sistemas Computarizados
Validación de Sistemas Computarizados
 
Presentación1
Presentación1Presentación1
Presentación1
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresas
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datos
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimiento
 
C:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosC:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De Datos
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Veronica cansigña
Veronica cansigñaVeronica cansigña
Veronica cansigña
 
Controles
ControlesControles
Controles
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemas
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 

Destacado

Trendspotting: How to Predict and Position Your AMC and Your Clients for Success
Trendspotting: How to Predict and Position Your AMC and Your Clients for SuccessTrendspotting: How to Predict and Position Your AMC and Your Clients for Success
Trendspotting: How to Predict and Position Your AMC and Your Clients for SuccessEpic | A Brand Voice Agency
 
Social media for small NGOs
Social media for small NGOsSocial media for small NGOs
Social media for small NGOsAmy Coulterman
 
Limitations of carotid stenting - dr Antoni Ferens
Limitations of carotid stenting - dr Antoni FerensLimitations of carotid stenting - dr Antoni Ferens
Limitations of carotid stenting - dr Antoni Ferenspiodof
 
CEHRS Exam Score.PDF
CEHRS Exam Score.PDFCEHRS Exam Score.PDF
CEHRS Exam Score.PDFBarbara Walt
 
Building A Social Media Strategy - And Executing It
Building A Social Media Strategy - And Executing ItBuilding A Social Media Strategy - And Executing It
Building A Social Media Strategy - And Executing ItJames Burnes
 
Acculturation and Children - The Third Culture Kid
Acculturation and Children - The Third Culture KidAcculturation and Children - The Third Culture Kid
Acculturation and Children - The Third Culture KidYukei Ng
 
Inyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSInyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSsuperserch
 
Chela stress test
Chela stress testChela stress test
Chela stress testsuperserch
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
NEW Oriflame catalog
NEW Oriflame catalogNEW Oriflame catalog
NEW Oriflame catalogOri Feri
 
Jvmmx docker jvm
Jvmmx docker jvmJvmmx docker jvm
Jvmmx docker jvmsuperserch
 
Cloudino workshopcpmx7
Cloudino workshopcpmx7Cloudino workshopcpmx7
Cloudino workshopcpmx7superserch
 

Destacado (20)

Trendspotting: How to Predict and Position Your AMC and Your Clients for Success
Trendspotting: How to Predict and Position Your AMC and Your Clients for SuccessTrendspotting: How to Predict and Position Your AMC and Your Clients for Success
Trendspotting: How to Predict and Position Your AMC and Your Clients for Success
 
عباس 88
عباس 88عباس 88
عباس 88
 
9 Surprising Tips to Make Your AMC Stand Out
9 Surprising Tips to Make Your AMC Stand Out9 Surprising Tips to Make Your AMC Stand Out
9 Surprising Tips to Make Your AMC Stand Out
 
CBCS Exam Score
CBCS Exam ScoreCBCS Exam Score
CBCS Exam Score
 
Social media for small NGOs
Social media for small NGOsSocial media for small NGOs
Social media for small NGOs
 
Social media: marketing is in dialogue
Social media: marketing is in dialogueSocial media: marketing is in dialogue
Social media: marketing is in dialogue
 
Limitations of carotid stenting - dr Antoni Ferens
Limitations of carotid stenting - dr Antoni FerensLimitations of carotid stenting - dr Antoni Ferens
Limitations of carotid stenting - dr Antoni Ferens
 
What’s Your Endgame?
What’s Your Endgame?What’s Your Endgame?
What’s Your Endgame?
 
CEHRS Exam Score.PDF
CEHRS Exam Score.PDFCEHRS Exam Score.PDF
CEHRS Exam Score.PDF
 
Special Issue: Eco Sustainable Future From Now
Special Issue: Eco Sustainable Future From NowSpecial Issue: Eco Sustainable Future From Now
Special Issue: Eco Sustainable Future From Now
 
Building A Social Media Strategy - And Executing It
Building A Social Media Strategy - And Executing ItBuilding A Social Media Strategy - And Executing It
Building A Social Media Strategy - And Executing It
 
Acculturation and Children - The Third Culture Kid
Acculturation and Children - The Third Culture KidAcculturation and Children - The Third Culture Kid
Acculturation and Children - The Third Culture Kid
 
Inyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJSInyección, XSS, CSRF en ChelaJS
Inyección, XSS, CSRF en ChelaJS
 
Chela stress test
Chela stress testChela stress test
Chela stress test
 
Jvmmx jigsaw
Jvmmx jigsawJvmmx jigsaw
Jvmmx jigsaw
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
 
NEW Oriflame catalog
NEW Oriflame catalogNEW Oriflame catalog
NEW Oriflame catalog
 
Jvmmx docker jvm
Jvmmx docker jvmJvmmx docker jvm
Jvmmx docker jvm
 
PR in the board room
PR in the board roomPR in the board room
PR in the board room
 
Cloudino workshopcpmx7
Cloudino workshopcpmx7Cloudino workshopcpmx7
Cloudino workshopcpmx7
 

Similar a CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacionUNEFA
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
planificacion wireless -c2
planificacion wireless -c2planificacion wireless -c2
planificacion wireless -c2Jonathan Dender
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobitDavid Acsaraya
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Ciclo de Vida de un sistema de información y técnicas para su desarrollo
Ciclo de Vida de un sistema de información y técnicas para su desarrollo Ciclo de Vida de un sistema de información y técnicas para su desarrollo
Ciclo de Vida de un sistema de información y técnicas para su desarrollo Daniel221A
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdfIBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdfEduOliver2
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 

Similar a CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez (20)

Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad II
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacion
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
planificacion wireless -c2
planificacion wireless -c2planificacion wireless -c2
planificacion wireless -c2
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobit
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"
 
Ciclo de Vida de un sistema de información y técnicas para su desarrollo
Ciclo de Vida de un sistema de información y técnicas para su desarrollo Ciclo de Vida de un sistema de información y técnicas para su desarrollo
Ciclo de Vida de un sistema de información y técnicas para su desarrollo
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Cobit ppt
Cobit pptCobit ppt
Cobit ppt
 
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdfIBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 

Último

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Último (11)

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez

  • 1.
  • 2. Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados Presentada por:
  • 3. Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
  • 4. Agenda  Intro Controles  Conclusiones  Origen  ¿Por qué son útiles?  Pilares  20 controles críticos  Grupos de controles  Mitigaciones  5 quick wins  Roadmap
  • 5. Intro: Abordaje actual  Aplicamos buenas prácticas  A veces a medias…  Hacemos buenas cosas  En lugar de hacer las cosas necesarias…  Muchas veces el árbol no nos deja ver el bosque…
  • 6. Intro: Abordaje actual  Tenemos demasiadas herramientas disponibles  Lo que dificulta decidir cual utilizar 6
  • 7. Intro: Abordaje actual  Puede que seamos muy exigentes en algunos puntos… 7
  • 8. Intro: Abordaje actual  … y poco exigentes en otros. 8
  • 9. Origen de los controles  Surge del ámbito gubernamental  Primero corregir los males conocidos  NSA + CIS + SANS  consorcio  Expansión de miembros a +100  Conocimiento agregado publico/privado  Versión 5 (revs. Cada 6/12 meses desde 2008)  Gestionado por SANS hasta 2013 (hoy por el Council on CyberSecurity – CCS) 9
  • 10. ¿Por qué son útiles?  Aportantes / Consenso  Foco en acciones de alta prioridad  Casos de éxito  Adoptantes  Herramientas disponibles  Mapeo contra frameworks existentes  Mapa de ruta para mejorar la seguridad 10
  • 11. Pilares  Ofensa informa a defensa  Priorización  Métricas  Monitoreo continuo  Automatización 11
  • 14. Grupos de controles Gestión de riesgos en activos  CSC1- Inventario de dispositivos autorizados y no autorizados  CSC2- Inventario de software autorizado y no autorizado  CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers  CSC4- Análisis y remediación de vulnerabilidades continua  CSC6 - Seguridad en Software de Aplicación  CSC7 - Control de dispositivos Wireless 14
  • 15. Grupos de controles  Gestión de riesgos de usuarios  CSC12- Uso controlado de privilegios administrativos  CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria  CSC15- Acceso controlado basado en el "need to know“  CSC16- Control y monitoreo de cuentas de usuario 15
  • 16. Grupos de controles  Gestión de riesgos de red  CSC10- Configuraciones Seguras para Dispositivos de Red  CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red  CSC13- Defensa perimetral  CSC19 Ingeniería de red segura 16 CSC3 CSC1
  • 17. Grupos de controles  Prevención y respuesta a incidentes  CSC5 - Defensas contra Malware  CSC8 - Capacidad de recupero de datos  CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps  CSC17 -Data loss prevention  CSC18 -Gestión de Respuesta ante Incidentes  CSC20 - Pruebas de Penetración y Hacking Ético 17
  • 18. Anatomía de un ataque actual  Identificar un objetivo  Analizar vectores de ataque  Explotación  Consolidación (upload/exec/persist)  Realizar conexiones salientes (C & C)  Reconocimiento interno  Pivot dentro de la red
  • 20. 5 Quick Wins 1. App white listing (en CSC2) 2. Standard, secure system configurations (en CSC3) 3. Patchear software de aplicación dentro de las 48 horas (en CSC4) 4. Patchear software de sistemas dentro de las 48 horas (en CSC4) 5. Reducir el Nro. de usuarios con privilegios administrativos (en CSC3 y CSC12) 20
  • 21. Roadmap 1. Gap analisys inicial 2. Plan de implementación en fases 3. Primer fase 1. Mejorar el uso herramientas existentes 2. Incorporar nuevas herramientas 3. Mejora de procesos / skills 4. Integración de controles en la operación + monitoreo continuo 5. Repetir pasos 3 y 4 para siguientes fases 21
  • 22. Conclusiones  Controles prioritarios bien fundados  No abarca todos los aspectos de seguridad  punto de partida  Basado en experiencias de ataques  Conceptualización simplificada  Focalización de esfuerzos  No olvidar: Monitoreo continuo + Automatización 22
  • 23. Gracias por asistir a esta sesión…
  • 24. Para mayor información: (Javier Antúnez) (jantunez@portoyasociados.com.ar) Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en