Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Segurinfo 2010 - Defensa en profundidad
1. VII Congreso Internacional de Seguridad de la Información “LA SEGURIDAD AGREGA VALOR” 10 y 11 de marzo de 2010 – Sheraton Hotel - Buenos Aires - Argentina Estrategias de defensa en profundidad para ISPs y Datacenters organizado por: 1
2. 2 VII Congreso Internacional de Seguridad de la Información “LA SEGURIDAD AGREGA VALOR” 10 y 11 de marzo de 2010 – Sheraton Hotel – Buenos Aires - Argentina Presentada por: Gabriel Marcos Datacenter, Security & Outsourcing Product Manager Global Crossing LATAM LOGO de la EMPRESA
4. Agenda El punto de vista del ISP / Datacenter Modelo general del ISP/Datacenter Complejidad, Riesgos, Desafíos Qué es “defensa en profundidad”? Ventajas / Implementación Mitos falsos y verdaderos Recomendaciones 4
5. Punto de vista del ISP/Datacenter Tantos los ISP como los Datacenters son casos particulares: En general, los modelos están orientados a una organización “stand-alone” Prestar servicios implica complejidad adicional Algunos fabricantes de tecnología tampoco consideran estos requerimientos Hay mucho know-how en el mercado pero está orientado a las empresas 5
6. Punto de vista del ISP/Datacenter Ejemplos (mediciones propias): 300.000 eventos críticos por día (IDS/IPS) 80 Tbytesde logs por año (¡sólo FWs!) SPAM: 100% CAGR (2006 – 2009) Base: 4.000.000 por mes Virus: 200% CAGR (2006 – 2009) Base: 2.500.000 por mes POPs: 600 (¡sólo los propios!) 6
7. Modelo general de ISP/Datacenter(solamente redes, sin seguridad) 7 Backbone Empleado Internet ISP Perímetro Externo Red Interna Desconocido Sucursales Usuarios Servidores internos Intranet Cliente A Cliente B ISP (Red Interna) Datacenter Datacenter (Red Interna) Servidores en Datacenter Publicación de servicios Disasterrecovery Sistemas críticos
8. Punto de vista del ISP/Datacenter Complejidad: Múltiples perímetros Simultaneidad de políticas y regulaciones Protección “todos contra todos” Gestión centralizada Distribución de la arquitectura Integración con terceros 8
9. Punto de vista del ISP/Datacenter Riesgos: Gran ancho de banda + interconexión: alcance de los ataques Economía de escala para el atacante Compliancepor cliente Sin estandarización en las topologías Falta de visibilidad y control 9
10. Punto de vista del ISP/Datacenter Desafíos: Plataforma de base no intrusiva Servicios escalables Flexibilidad en compliance Granularidad por cliente Concientización Múltiples tecnologías ServiceLevelAgreements 10
11. Qué es “defensa en profundidad”? Defensa en profundidad: Es un modelo conceptual para diseñar un sistema de seguridad. La infraestructura está formada por capas interconectadas. Cada capa o “layer” utiliza controles y medidas de seguridad específicas. 11
12. Qué es “defensa en profundidad”? 12 Detalle técnico Complejidad Datos Aplicaciones Hosts Redes Perímetro Seguridad física Políticas y procedimientos
13. Qué es “defensa en profundidad”? Ventajas: Múltiples barreras: disuasión Reducción del alcance del ataque Medidas y controles específicos Implementación a partir de políticas Análisis de riesgo por capa Certificación 13
14. Políticas y procedimientos Referencia normativa: ISO 27001 Referencia metodológica: ITIL Definición de objetivos medibles ROSI (Returnon Security Investments) Tablero de control Compromiso de la Dirección Análisis de riesgos 14
15. Políticas y procedimientos Ejemplos: Política Corporativa Políticas del Datacenter Políticas de Uso Aceptable Leyes y regulaciones nacionales Leyes aplicables a Clientes Corporativos Normativas aplicables al Gobierno 15
16. Mitos falsos Implementar ITIL requiere contratar más de 40 personas (FALSO) Los roles no representan personas, sino responsabilidades. La mejor forma de controlar, es filtrar (FALSO) Seguridad es Disponibilidad! Hay que guardar todos los logs (FALSO) El análisis es más importante que la conservación. 16
17. Mitos falsos La seguridad requiere muchísima inversión (FALSO) La inversión está en función del riesgo. ¿Quién nos va a querer atacar, si no somos un banco? (FALSO) La marca tiene un valor económico, y es lo más importante! Hasta ahora no sufrimos ningún ataque… (FALSO) Los ataques modernos están pensados para no ser detectados y perdurar en el tiempo. Ya dimos una capacitación a los técnicos (FALSO) La concientización incluye la capacitación, dentro de un proceso continuo, para toda la organización. 17
18. Seguridad física Definición de perímetros Controles de acceso biométricos Manejo de inventarios: Software Hardware Licencias Personas Información 18
19. Perímetro Filtrado por etapas: Mayor volumen -> menor precisión “del Router al UTM” Balance de tecnologías: Más servicios -> menos detalle Más especialización -> menor ROI 19
21. Hosts Protección de accesos remotos: SSL VPN Client-to-site Endpointprotection: Remotos Red interna PDAs Terceros 21
22. Aplicaciones Seguridad desde el desarrollo! QualityAssurance Análisis técnicos: Vulnerability assessment: Por tecnología Por aplicación Penetration test Hardening 22
23. Datos Asignación de responsabilidades por la información: Confidencialidad Integridad Disponibilidad Registros (¡no logs!) Auditorias 23
24. Mitos verdaderos Para implementar seguridad es imprescindible el apoyo de la dirección (VERDADERO) La mejor forma de controlar, es conseguir compromiso del usuario (VERDADERO) La seguridad es una ventaja competitiva (VERDADERO) Se habla de seguridad, pero se trabaja sobre el riesgo (VERDADERO) 24
26. Recomendaciones Pensar en seguridad desde el inicio de cualquier proyecto (CIO + CISO) Agregar componentes solamente si se los puede monitorear Primero medir el riesgo, para después invertir, y verificar la efectividad Aplicar las normas y metodologías disponibles 26
28. Para mayor información: Gabriel Marcos gabriel.marcos@globalcrossing.com http://blogs.globalcrossing.com Para descargar esta presentación visite www.segurinfo.org 28 Los invitamos a sumarse al grupo “Segurinfo” en