20150423 jornada_col abogados
TRANSCRIPT
Ciberseguridad. ¿Qué debemos hacer?
23 abril 2015
2
¿QUÉ ES ISACA?
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
¿Qué es ISACA?
• Non-profit association of individual members:– IT auditors – IT security professionals – IT risk and compliance professionals – IT governance professionals and more!
• Nearly all industry categories: financial, public accounting, government/public sector, technology, utilities and manufacturing.
• Formerly, the Information Systems Audit and Control Association -- ISACA now goes by its acronym only.
3
¿Qué es ISACA?
“Trust in, and value from, information systems”
ISACA’s vision (to aspire to as an organization)
“For professionals and organizations
be the leading global provider of knowledge, certifications, community, advocacy and education
on information systems assurance and security,
enterprise governance of IT, and IT-related risk and compliance”
ISACA’s mission (to guide decision making and investments)
4
¿Qué es ISACA?Formación a nivel global
5
¿Qué es ISACA?Certificaciones
1978+100.000
2003+18.000
2008+5.000
2010+16.000
+1.300 certificados en Madrid+350 horas de formación ofertadas cada año
6
¿Qué es ISACA?Investigación
COBIT 5 consolida e integra:
COBIT 4.1 Val IT 2.0 Risk IT Y, aprovecha de manera
significativa: • BMIS (Business Model for
Information Security), and • ITAF www.isaca.org/COBIT5
7
¿Qué es ISACA?Dimensión global
8
… en 82 países
¿Qué es ISACA?Dimensión global
2005 2006 2007 2008 2009 2010 2011 2012 -
20,000
40,000
60,000
80,000
100,000
15,118 16,569 19,590 21,840 22,089 21,500 21,847 23,250 1,967 2,194
2,930 3,340 3,585 3,917 4,328 4,800 13,218 15,412 18,861
22,566 23,840 24,683 25,939 27,969 28,945 32,828
37,121
40,941 41,331 42,395 45,739
48,483
1,889
2,180
2,530
2,815 2,885 3,001 3,229
3,476
Total miembros ISACA® a octubre
OceaníaNorteaméricaEuropa/ÁfricaLatinoaméricaAsia
9
¿Qué es ISACA?Dimensión nacional
2009 2010 2011 2012 -
200
400
600
800
1,000
1,200
1,400
1,600
1,059 1,053 1,055 1,035
339 351 339 361
176 192 183 161
Total miembros ISACA® en España a octubre
ValenciaBarcelonaMadrid
10
¿Qué es ISACA?Objetivos de ISACA Madrid
• Difundir y desarrollar las actividades de Auditoría de Sistemas de Información, Seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información.
• Formar a los profesionales y mantenerlos actualizados sobre las principales novedades de la materia.
• Promover y asistir en la certificación internacionalmente a los profesionales como cualificados para el ejercicio de la profesión (Certificados CISA, CISM, CGEIT, CRISC)
• Realizar estudios sobre la profesión y desarrollar estándares de la industria.
• Asistir a los profesionales (Bolsa de trabajo, orientación, etc.)
11
¿Qué es ISACA?Beneficios de los miembros
Comunidad &Liderazgo
Desarrolloprofesional
Investigacióny
Conocimiento
• ELibrary• Webinars, Seminarios
Virtuales y eSymposia archivados (CPE gratis)
• Career Centre• Descuentos en exámenes y
tasas mantenimiento anual de CISA, CISM, CGEIT, CRISC
• Mentoring (CPE gratis)• Descuentos en
conferencias / formación• Descuentos en la Librería
• Journal (CPE gratis)• Publicaciones de investigación
(muchas gratis para miembros)
• COBIT 5 - Abril 2012• Val IT• Risk IT• ITAF• BMIS• Mapeos de COBIT• COBIT Security
Baseline 2nd Ed.• Sitio web interactivo• Programas de auditoría
• Networking• Oportunidades de
Liderazgo a nivel local y global
• Nuevas comunidades online en el nuevo sitio web de ISACA
CapítuloLocal
• Educación barata• Formación presencial• Preparación a exámenes• Eventos de negocios y
sociales• Encuentro con personas
que entienden tus necesidades profesionales
Incrementar tu valor avanzando en tu
carrera
Abrir la puerta a un robusto liderazgo,
investigación y conocimiento
Conectarte con una comunidad global de
100.000
Proporcionar una red local de profesionales
12
13
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
14
Evolución del escenario de amenaza
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
15
APT (Advanced Persistent Threat)
– Un nuevo tipo de atacante– Atacante que se fija como objetivo una persona u
organización a atacar para conseguir un propósito específico
(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
16
Vectores de ataques adaptativos
Control tradicional APT Modus Operandi
Dispositivos perimetrales que inspeccionan el contenido del tráfico
SSL, cifrado a medida, ficheros cifrados o protegidos por contraseña
Cortafuegos de red analizado metadatos de tráfico
Inicio de conexión desde la red interna usando protocolos estándar (SSL, HTTP, DNS, SMTP, etc.)
Cortafuegos supervisando los metadatos del tráfico local
Añadir el malware a la lista blanca del cortafuegos
IDSs / IPSs en servidores y equipos Las comunicaciones usan puertos y protocolos comunes para ocultarse
Software AV con actualizaciones de firma automáticas
Código a medida para el objetivo; protección con técnicas anti-reversing (drivers de kernel, packers…)
(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
17
Vectores de ataques adaptativos
Control tradicional APT Modus Operandi
Escaneos de vulnerabilidades periódicos Ataques basados en vulnerabilidades de aplicaciones, zero-days
Autenticación de doble factor Malware instalado con privilegios de usuario frente al que se identifica el atacante
Desactivación de correos HTML y filtrado de contenidos dinámicos
Los enlaces al malware (en lugar del propio malware) están incluidos en los correos de phishing.
Filtrado en tiempo real de web y URLs maliciosas
Se comprometen sitios de terceros para alojar malware
(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
18
Vectores de ataques adaptativos
• La perspectiva debe ser:– La red está comprometida o pronto lo será.– ¿Cómo protegeremos los datos más importantes en un
entorno comprometido?– ¿Cómo hacemos difícil a los atacantes que tengan éxito?– ¿Cómo detectamos que se está produciendo un ataque?– ¿Cómo responderemos a los ataques sofisticados actuales?
(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
19
APT (Advanced Persistent Threat)
(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
20
Mayores riesgos de una APT
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
21
Fuentes de las APTs
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
22
Objetivos de las APTs
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
23
Evaluación de riesgos: Mapa de calor
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
24
Interrumpir la “kill chain” (Lockheed Martin)
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
25
Vectores de ataques adaptativos
• Los atacantes (creativos, con talento y agresivos) continuamente hacen evolucionar las amenazas Se adaptan y cambian.
• Las organizaciones deben también cambiar Es necesario eliminar la palabra “prevenir” del diccionario– No hay soluciones universales para prevenir que un atacante
sofisticado se infiltre en cualquier entorno.– Si un atacante sofisticado y con suficientes recursos se pone
como objetivo una organización, conseguirá acceder.(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
‘Resilience’
Gloucester, 2007
A VIABLE organization
Less controls
An AGILE organization
More controls
A SECURE organization
Early detectionInmediate respondQuick exploitation
A VIABLE organization
An AGILE organization
A SECURE organization
A RESILIENT organization
Traditional Risk Management will make us overconfident when we are in complex and
ambiguous situations
near-misses
RISK IN COMPLEX ENVIRONMENTS
Dave Snowden
Complex Complicated
SimpleChaoticBest PracticeSense - Clasify - Respond
Good practiceSense - Analyze - Respond
Emerging practiceTest – Sense - Respond
Novel practiceAct - Sense - Respond
Simple
Complicated
•PMBOK• PMI Practice Standard for Risk Management
• SEI’s SRE v2_0• ISO/IEC 16085 – 2006• ISO/IEC 27001
Complex
Chaotic
Complex Complicated
SimpleChaotic
Early detectionInmediate responseQuick exploitation
49
Respuesta
(C) 2
015
n+1
Inte
llige
nce
& R
esea
ch S
L. T
odos
los
dere
chos
rese
rvad
os
50
Estandarizar la gestión de incidentes
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
51
Estandarizar la gestión de incidentes
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
52
Capacidades de un CSIRT
CSIRT
Concienciación
Búsqueda
Forenses
Análisis de malware
Inteligencia
Id. vulnerabilidades
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
53
Impacto potencial de la ciberinteligencia
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
54
El rol del consejo
• MUST-DO
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
1. Los Directivos necesitan entender y acercarse a la seguridad como un tema general
de gestión de riesgos corporativos, no simplemente como un aspecto de TI.
55
El rol del consejo
• MUST-DO
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
2. Los Directivos deben entender las implicaciones legales de los ciber riesgos según
las circunstancias específicas de su organización.
56
El rol del consejo
• MUST-DO
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
3. Los Consejos deben tener un acceso adecuado a expertos en ciberseguridad, y se debe dotar de un tiempo regular y adecuado
en sus reuniones a las discusiones sobre gestión del riesgo ciber.
57
El rol del consejo
• MUST-DO
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
4. Los Directivos deben crear la expectativa de que la gestión establecerá un marco de gestión
de riegos corporativos con un presupuesto y personal adecuados.
58
El rol del consejo
• MUST-DO
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
5. Las discusiones del Consejo sobre ciber riesgos deben incluir la identificación de qué
riesgos evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos
asociados con cada aproximación.
59
El rol del consejo
• 6 preguntas que debería hacer:1. ¿Utiliza nuestra organización algún marco de seguridad?2. ¿Cuáles son los cinco principales riesgos de la organización
en materia de ciberseguridad?3. ¿Cómo se conciencia a los empleados sobre su rol en
relación a la ciberseguridad?4. ¿Se han considerado tanto las amenazas internas como las
externas a la hora de planificar las actividades del programa de seguridad?
5. ¿Cómo es gobernada la seguridad en la organización?6. En caso de un incidente serio, ¿se ha desarrollado un
protocolo de respuesta robusto?(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
64
Referencias
• “Cybersecurity. What The Board Of Directors Needs To Ask”, IIARF Research Report, 2014.
• “Advanced Persistent Threats. How to Manage the Risk to Your Business”, ISACA, 2013.
• “Responding to Targeted Cyberattacks”, ISACA, 2013
… todas ellas accesibles en www.isaca.org/cyber
(C) 2
015
n+1
Inte
llige
nce
& R
esea
rch
SL. T
odos
los
dere
chos
rese
rvad
os
Thank you…Keep the conversation at…
@antonio_ramosga@enplusone
es.linkedin.com/in/sorani/linkedin.com/company/n-1-intelligence-&-research
http://flip.it/YE7cC https://plus.google.com/+AntonioRamos