2. Objetivos primarios de un plan de continuidad
Planear estrategias
eficientes y efectivas
encaminadas a mantener y
en caso de una
emergencia restablecer las
operaciones
primordiales de la
organización en caso de
alguna crisis o contingencia.
Analizar las amenazas que
podrían afectar al
cumplimiento de los
objetivos dictados por la
alta dirección.
Identificar los procesos, servicios y
sistemas críticos del negocio para
la supervivencia de la organización.
Evaluar el impacto que
tendrían en la organización y
en el cumplimiento de la
misión y visión de la alta
dirección.
Desarrollar, robustecer y
fortalecer la capacidad de
RESILIENCIA de los procesos
críticos de la organización.
3. Continuidad o DRP Tradicional
DRP = Se limita a los procesos e infraestructura de TI de la organización
• Comúnmente se enfoca solo en la recuperación tecnológica.
• Los escenarios de contingencia que prevé son mayormente tecnológicos.
• Los esfuerzos se basan en recuperación por medio de respaldos, doble
infraestructura para un mismo propósito, en los casos con mas recursos
usan optan por la redundancia tecnológica.
• RESILIENCIA TECNOLOGICA.
4. Continuidad de Negocio
BCP = La continuidad del negocio no solo es para TI:
• La estrategia de continuidad incluye no solo la tecnología (estrategias de
DRP), involucra procesos de administración en la organización.
• Los escenarios de contingencia que prevé son mas amplios, basados en
riesgos y amenazas hacia los objetivos de la organización de acuerdo a la
misión y visión definida por la alta dirección.
• Los esfuerzos se basan en recuperación tecnológica y de procesos críticos
operados por personas.
• Cuenta con un plan de respuesta a incidentes.
• RESILIENCIA TECNOLOGICA + ADMINISTRATIVA
6. Continuidad de Negocio y Seguridad de las Sociedades
BCP + Seguridad de las Sociedades (ISO 22313)
• La estrategia de continuidad incluye la tecnología, los procesos
administrativos y operativos e involucra AL TOTAL de las partes interesadas
y la seguridad social (sociedad, clientes ,etc.).
• Orientada a incrementar la gestión de la crisis y las capacidades de
continuidad del negocio a través de interoperabilidad técnica, humana,
organizacional y funcional así como concientización de la situacional
compartida entre todas las partes interesadas.
• Enfocada a cubrir TODOS LOS RIESGOS en TODAS las actividades.
• RESILIENCIA EN LA ORGANIZACION Y EN LA SOCIEDAD
7. Pruebas de continuidad orientadas a la simulación de escenarios de contingencia
Escenarios de contingencia simulados:
Las buenas practicas, las normas y las leyes aplicables en México piden la
ejecución de pruebas anualmente, aunque solo se exigen en “escritorio” y no
siempre tomando en cuenta todos los escenarios.
Se debe estar preparado para responder ante cualquier escenario planteado
en nuestro BCP, no solo documentarlo si no llevarlo a cabo (simularlo) para
detectar desviaciones en cada uno previendo la hipotética materialización de
amenazas, con escenarios de fallas totales o parciales de todos los recursos
críticos para el negocio.
9. Amenazas Recientes a la continuidad del Sistema Financiero Mundial
Anonymous
“Es un seudónimo utilizado mundial mente para designar a un grupo de
individuos dispersos por todo el mundo que de forma individual o en
ocasiones en grupos realizan diversas acciones de protesta con el objetivo de
reivindicar la libertad de expresión, la independencia en Internet, el reparto de
la riqueza y otros muchos aspectos como injusticias etc. ”
10. Lulz Sec-urity
“Lulz Security (también denominado LulzSec) es un grupo o individuo hacker.
Su lema es “Riéndose de tu seguridad desde 2011!” es responsable de varios
ataques de alto perfil, incluyendo el robo de más de 1.000.000 de cuentas de
usuario de Sony en 2011 ganando la atención de sus objetivos de alto perfil,
ese mismo año lanzo un ataque contra Banco de Portugal haciendo el sitio y
algunos de sus servicios inaccesibles .
Amenazas Recientes a la continuidad del Sistema Financiero Mundial
11. Método de ataque de Grupos “Hacktivistas”
Principal Método de ataque,
"Denegación de servicios focalizados“: Impide el uso legítimo de los usuarios al
usar un servicio de red, el ataque se puede dar de muchas formas pero todas
tienen algo en común, utilizan el protocolo TCP/IP para conseguir su propósito.
12. Efectos adversos de un ataque DDOS
Efectos de Ataque:
• Consumo de recursos computacionales, tales como ancho de banda, espacio
de disco, o tiempo de procesador.
• Alteración de información de configuración, tales como información de rutas
de encaminamiento.
• Alteración de información de estado, tales como interrupción de sesiones.
• Interrupción de componentes físicos de red.
• Obstrucción de medios de comunicación entre usuarios de un servicio y la
víctima, de manera que ya no puedan comunicarse adecuadamente.
13. Ataque DDOS
Por que prefieren un ataque DDOS?:
• Barato, un kit de ataque DDOS en la Deep Web cuesta alrededor de 150
Dólares.
• Fácil y sencillo de realizar.
• Gran poder de despliegue, afectación y daño (tangible, moral y de imagen).
• Alto porcentaje de éxito, dependiendo de el blanco a atacar.
• Se usa como cortina de humo ante un fraude o un robo de información.
• Últimamente se usa como modus operandi para extorsionar a las empresas
• NO SE ESTA PREPARADO PARA UN ATAQUE DE ESTE TIPO, ya que NO SE
PREEVE ni se contempla en muchos, muchos casos.
23. Operación Icarus Anonymous
#OpIcarus en México
En el video se amenaza a los bancos centrales de cada país (en nuestro caso a
Banco de México), aunque también se han presentado situaciones con los
bancos mas importantes de cada país:
Según Anonymous, ataca BBVA Bancomer y logra su objetivo:
24. Como hacer frente a
los grupos de
hacktivistas, a los
hackers y al
ciberterrorismo.
25. Puntos clave
Prevención:
Monitoreo y conocimiento de la plataforma
-Comportamiento Habitual
-Valores Máximos
-Crecimiento esperado
Correcto diseño de la plataforma y planificación de procedimientos
-Hardening a servicios actuales y hardenear los de nueva creación desde su nacimiento
-Escaneo de vulnerabilidades
-Pruebas de Pen Test periódicas
-Definir valores máximos de recursos
-Conocimiento y aplicación de políticas de QoS al flujo de trafico
-Políticas antispoofing
-Incluir Elementos de control (firewalls de nivel 7 e IPS)
-Contemplar software antivirus y antimalware (para evitar el uso de pc’s internas para
un ataque suicida)
26. Puntos clave
Detección de ataques:
Métodos de detección = Monitorización
-Tener los datos "habituales" de funcionamiento y compararlos con
los aportados por la monitorización (CPU, memoria, red , latencias y ancho de banda
utilizado, disco, etc.)
Análisis de información de tráfico
Obtener información sobre cantidades de tráfico así como número de conexiones e IPs
origen/destino
Obtención de valores SNMP
Capturas de trazas (tcpdump) del tráfico
Determinar el tipo de ataque que se está sufriendo (revisando las capturas de paquetes
o flujos de tráfico)
27. Puntos clave
Mitigación:
Conocer los orígenes y el modo de ataque
Modificar parámetros de configuración de infraestructura bajo ataque
-Modificación de algunos de los parámetros de configuración, como los temporizadores,
tamaños de ventana TCP, QoS, restringiendo mucho más sus valores, por ejemplo
reduciendo drásticamente los temporizadores de sesión, o el ancho de banda utilizado
por cierto rango de IPs.
-Descartar directamente el tráfico susceptible de ser un ataque, en lugar restringir esos
parámetros de configuración.
Utilizar un dispositivo anti-DDoS en línea el cual es un equipo que “en vivo” sondea,
reconoce y evita el tráfico malicioso y a la vez minimiza el impacto de los ataques
DoS/DDoS
Contratar un esquema servicio Anti-DDoS "en la nube"
28. Puntos clave
Planificación de la contingencia:
-Considerar un plan de contingencia en caso de recibir un ataque y que este no pueda ser
detenido.
-Realizar el bypass del equipo "cuello de botella", si el ataque está afectando
primordialmente a equipos intermedios de conexión.
-Acordar con el ISP el descarte directo de cierto tráfico para evitar que este llegue a la
arquitectura propia.
-Deshabilitar totalmente el servicio que está siendo atacado, solo si esté está destinado a él,
así no serán afectados el resto de servicios que utilizan la misma infraestructura.
-Añadir más equipamiento para repartir la carga de manera balanceada.
-Existen soluciones de fabricantes de balanceadores que pueden detectar una mayor
demanda de recursos en los servidores.
29. Puntos Base
• Contar con políticas de seguridad que sea difundida al interior de nuestra empresa.
• Realizar análisis de riesgo periódicamente a nuestros sistemas de información
críticos.
• Realizar una adecuada configuración de los activos tecnológicos.
• Prever una correcta segregación de funciones en todos los niveles de la
organización (administrativos, operativos y SU’s).
• Realizar prueba de estrés a los sistemas críticos de la organización.
• Contar con un esquema de escaneo de vulnerabilidades y PENTEST
• Contar con un plan de respuesta de incidentes (planeado, organizado,
estructurado, ensayado y en mejora continua) que abarque TODOS los escenarios
posibles.
Acciones generales para minimizar el riesgo de un ataque: