Este documento presenta una visión general de la seguridad empresarial y los riesgos cibernéticos a los que se enfrentan las empresas. Explica que la seguridad de la información debe considerarse parte integral de los procesos de negocio de una empresa para reducir riesgos tecnológicos, operativos y legales que podrían interrumpir las operaciones. También describe las herramientas, procesos y tecnologías holísticas que las empresas pueden implementar para defenderse, incluyendo capacitación a empleados, políticas
1. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 1
Verano 2015 1
Seguridad Empresarial: Herramientas y
técnicas de las empresas para contener y
detectar ataques de cybercriminales
2 Julio 2015
ALEJANDRO SANCHEZ ALFARO
Asociación Latinoamericana de Profesionales en Seguridad Informática, ALAPSI A.C.
Datos de contacto
http://mx.linkedin.com/in/Alxsachez
asanchez@xith.com
Guadalajara, Jal. México
Verano 2015 2
2. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 2
Objetivo
Verano 2015 3
Presentar un panorama general sobre los riesgos
y tecnología con los que los hackers cuentan
para atacar una empresa y las herramientas,
procesos y tecnología con las cuales las
empresas pueden defenderse.
Verano 2015 4
PANORAMA ACTUAL DE RIESGOS
INFORMATICOS PARA LAS
EMPRESAS
3. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 3
¿Seguridad en las empresas?
Verano 2015 5
Y como nos fue en el 2014
Verano 2015 6
• En el 2014 los costos relacionados con el cibercrimen crecieron un 114%
Internet Security Threat Report 2015
• Una vez liberada la información de una vulnerabilidad, se detectan
exploits en internet atacando exitosamente a empresas en cuestión
de horas. Exploits para Heartbleed fueron vistos en internet en 4
horas.
• El Ransomware ha incrementado su nivel de crecimiento en un 113%
atacando redes corporativas y obteniendo dinero por los secuestros de
información, entre 300 y 500 dólares por evento.
• Los cibercriminales utilizan cada vez más software legal para ocultar
sus herramientas dentro de ellos, integrándose a actualizaciones,
social media y sitios web comerciales y legales infectados con
malware
4. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 4
Incremento del riesgo 2014
Verano 2015 7
Se ha incrementado el tiempo entre que sale
una vulnerabilidad y se libera el parche para
eliminarla
Se ha reducido el tiempo entre lo que sale
una vulnerabilidad y el tiempo en que los
cyberdelincuentes la utilizan
La tecnología, un apoyo y un
riesgo
Verano 2015 8
Los televisores inteligentes de LG
recolectan información de carpetas y
archivos de la red local.
Diario TI 22/11/13 15:42:31
Esta semana, un propietario de LG Smart TV denunciaba que los aparatos “llamaban a casa” reportando a LG
información no sólo sobre sus programas favoritos, sino también sobre archivos de vídeo privados almacenados
en memorias USB conectadas a su red local.
Estudiando el tema más en detalle, un bloguero ha detectado que su propio televisor LG reporta a la empresa los
nombres de archivos intercambiados por otros PC y dispositivos conectados a la misma red local que el televisor.
5. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 5
Principales riesgos
Verano 2015 9
Ransomware
Robo de datos personales
Fraudes
Aprovechamiento de recursos informáticos
Verano 2015 10
PORQUÉ CONSIDERAR A LA
SEGURIDAD DE LA INFORMACION
COMO PARTE DE LOS PROCESOS
DE NEGOCIO
6. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 6
Riesgos a la información
Verano 2015 11
Captura de información desde
el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Intercepción de comunicaciones
Destrucción de equipamiento
Bomb shells
Acceso indebido a documentos impresos
Software ilegal
Falsificación de información para
terceros
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Password cracking
Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attack
Keylogging
Java applets
Port scanning
Instalaciones
default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son verificados
Desactualización
Backups inexistentes
¿ QUE TIENEN EN COMUN ?
SON SOLO RIESGOS TECNOLÓGICOS
Impactos de los riesgos
Verano 2015 12
Captura de información desde el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Destrucción de equipamiento
Bomb shells
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Keylogging
Java applets
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son verificados
Desactualización
Backups inexistentes
SON SOLO RIESGOS TECNOLÓGICOS
Interrupción o alteración
de los procesos de negocio
¿ ?
Impactos:
Económicos, Legales
Productivos, Clima laboral
7. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 7
Verano 2015 13
LA SEGURIDAD DE LA INFORMACIÓN NO
ES SOLO UN ASUNTO DE TECNOLOGÍA
ES UN ASUNTO DE NEGOCIOS
LA SEGURIDAD DE LA INFORMACIÓN NO
ES SOLO UN ASUNTO DE TECNOLOGÍA
ES UN ASUNTO DE NEGOCIOS
“La utilidad de proteger la información radica en detectar y reducir
los riesgos de que la información o los activos tecnológicos sean
dañados de tal manera que interrumpa o reduzca la efectividad de la
operación del negocio y la organización”,
Verano 2015 14
Afectación a la operación del activo y servicios ofrecidos
• Salida de línea del servidor, interrupción del servicio
• Investigación de vectores de ataque
• Reinstalación de aplicativo, limpieza de base de datos, cache de google, etc
• Ajuste de herramientas
Impacto a la imagen de la organización
•El ataque puede ser rápidamente difundido
•Se genera una impresión de desconfianza en el servicio a pesar de
que éste sea eficiente
Impacto a la carrera del personal involucrado
•A pesar del gran esfuerzo del personal de TI y responsables superiores
de generar buenos servicios bastan pequeños problemas para tirar a la
borda buenos esfuerzos.
Una intrusión
que puede llevar
una hora a un
atacante tiene un
impacto de
semanas de
trabajo, altos
costos de
recuperación e
afectación a la
imagen de la
organización de
meses
8. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 8
Verano 2015 15
La seguridad de la información como
un proceso integral
Verano 2015 16
Disponibili
dad
Integridad
Confidenci
alidad
Procesos Tecnologia
Personas
Administra
ción de
incidentes
Mejora
continua
Administra
ción del
Riesgo
ESTRATEGIA
Y
LIDERAZGO
La seguridad de la información
es un asunto integral
9. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 9
Verano 2015 17
Capacitación en
mejores prácticas
Auditores/
CISO
Firewalls
Detectores de intrusos
NAC
Control de contenido
Tokens
DLP
Políticas y procedimientos
Auditorías de vulnerabilidades
Continuidad de la operación
Hardening
Mejores prácticas en seguridad
Arquitectura de Seguridad
Sistemas de Gestión de Seguridad de la Información
Administración del riesgo
Preparar a las personas
Verano 2015
18
Capacitación y certificación
Autoridad y responsabilidad
Cultura de Seguridad
Compromiso de la dirección
10. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 10
Preparar a la tecnología
Verano 2015
19
Firewall
Detectores
de intrusos
Control
de
contenido
mail y
web
Detectores
de intrusos
Tokens
NAC
Scanners
de
vulnerabil
idades
Anti-
malware
VPNs
Software
de
cumplimi
ento
Cumplimiento de los
objetivos
organizacionales
Preparar a los procesos
Verano 2015
Políticas
Procedimientos
Hojas de trabajo /
Checklists
Registros
TACTICO
- EL COMO -
ESTRATEGICO
- EL QUÉ -
METRICAS E
INDICADORES
Servicios
ofrecidos
por TI
Objetivos
de
Negocio
Administra
ción del
riesgo
Visión de
la
dirección
OPERATIVO
LA
EVIDENCIA
11. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 11
Ciclo general de SI
Verano 2015 21
Responsable
de Seguridad
de la
Información
Alineación con
los objetivos
de la
organización
Arquitectura
de
Seguridad:
Inventario de
activos y
procesos,
zonas de
seguridad
Clasificación
de
información
Análisis y de
riesgos
tecnológicos y
operativos
Políticas,
procedimientos,
controles y
métricas para la
reducción de los
riesgos
tecnológicos
Automatización
de cumplimiento
de políticas y
procedimientos
- Tecnología -
Monitoreo y
Auditoria
Capacitación y Sensibilización
Sistema de gestión y
mejora continua
Sistema de Gestion de SI
12. Asociación Latinoamericana de Profesionales en Seguridad Informática A.C.
www.alapsi.org
10o Día de la Seguridad
ALAPSI A.C. Summer
Edition
Verano 2015 12
Lo que aprendimos
La seguridad es un asunto de negociosLa seguridad es un asunto de negocios
La seguridad debe reducir los riesgos a la operación y a la
información contenida en los procesos de negocio
La seguridad debe reducir los riesgos a la operación y a la
información contenida en los procesos de negocio
La seguridad para ser efectiva debe ser implementada en los
ámbitos de personas, procesos y tecnología
La seguridad para ser efectiva debe ser implementada en los
ámbitos de personas, procesos y tecnología
Se requiere la participación de toda la empresa y la definición
de responsables y actividades
Se requiere la participación de toda la empresa y la definición
de responsables y actividades
Verano 2015 24
10º Día de la Seguridad
Summer Edition
2 Julio 2015