cibseguridad empresarial

Asociación Latinoamericana de Profesionales en Seguridad Informática A.C. www.alapsi.org

10o Día de la Seguridad ALAPSI A.C. Summer

Edition

Verano 2015 1

Verano 2015 1

Seguridad Empresarial: Herramientas y técnicas de las empresas para contener y

detectar ataques de cybercriminales

2 Julio 2015

ALEJANDRO SANCHEZ ALFAROAsociación Latinoamericana de Profesionales en Seguridad Informática, ALAPSI A.C.

Datos de contacto

http://mx.linkedin.com/in/Alxsachez

[email protected]

Guadalajara, Jal. México

Verano 2015 2



Edition

Verano 2015 2

Objetivo

Verano 2015 3

Presentar un panorama general sobre los riesgosy tecnología con los que los hackers cuentanpara atacar una empresa y las herramientas,procesos y tecnología con las cuales lasempresas pueden defenderse.

Verano 2015 4

PANORAMA ACTUAL DE RIESGOS INFORMATICOS PARA LAS

EMPRESAS



Edition

Verano 2015 3

¿Seguridad en las empresas?

Verano 2015 5

Y como nos fue en el 2014

Verano 2015 6

• En el 2014 los costos relacionados con el cibercrimen crecieron un 114%

Internet Security Threat Report 2015

• Una vez liberada la información de una vulnerabilidad, se detectanexploits en internet atacando exitosamente a empresas en cuestiónde horas. Exploits para Heartbleed fueron vistos en internet en 4horas.

• El Ransomware ha incrementado su nivel de crecimiento en un 113%atacando redes corporativas y obteniendo dinero por los secuestros deinformación, entre 300 y 500 dólares por evento.

• Los cibercriminales utilizan cada vez más software legal para ocultarsus herramientas dentro de ellos, integrándose a actualizaciones,social media y sitios web comerciales y legales infectados conmalware



Edition

Verano 2015 4

Incremento del riesgo 2014

Verano 2015 7

Se ha incrementado el tiempo entre que saleuna vulnerabilidad y se libera el parche paraeliminarla

Se ha reducido el tiempo entre lo que saleuna vulnerabilidad y el tiempo en que loscyberdelincuentes la utilizan

La tecnología, un apoyo y un riesgo

Verano 2015 8

Los televisores inteligentes de LG recolectan información de carpetas y archivos de la red local.

Diario TI 22/11/13 15:42:31

Esta semana, un propietario de LG Smart TV denunciaba que los aparatos “llamaban a casa” reportando a LGinformación no sólo sobre sus programas favoritos, sino también sobre archivos de vídeo privados almacenadosen memorias USB conectadas a su red local.

Estudiando el tema más en detalle, un bloguero ha detectado que su propio televisor LG reporta a la empresa los

nombres de archivos intercambiados por otros PC y dispositivos conectados a la misma red local que el televisor.



Edition

Verano 2015 5

Principales riesgos

Verano 2015 9

Ransomware

Robo de datos personales

Fraudes

Aprovechamiento de recursos informáticos

Verano 2015 10

PORQUÉ CONSIDERAR A LA SEGURIDAD DE LA INFORMACION COMO PARTE DE LOS PROCESOS

DE NEGOCIO



Edition

Verano 2015 6

Riesgos a la información

Verano 2015 11

Captura de información desdeel exterior

Violación de e-mailsViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

VirusFraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Intercepción de comunicaciones

Destrucción de equipamiento

Bomb shells

Acceso indebido a documentos impresos

Software ilegal

Falsificación de información para terceros

Spamming

Violación de la privacidad de los empleados

Ingeniería social

Password cracking

Exploits

Denegación de servicio

Escalamiento de privilegios

Replay attack

Keylogging

Java applets

Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son verificadosDesactualización

Backups inexistentes

¿ QUE TIENEN EN COMUN ?

SON SOLO RIESGOS TECNOLÓGICOS

Impactos de los riesgos

Verano 2015 12

Captura de información desde el exteriorViolación de e-mails

Violación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

Virus

Fraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Destrucción de equipamiento

Bomb shells

Acceso indebido a documentos impresos

Software ilegal

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Spamming

Violación de la privacidad de los empleados

Ingeniería social

Password cracking

Man in the middle

Exploits

Denegación de servicioEscalamiento de privilegios

Keylogging

Java applets

Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son verificados

Desactualización

Backups inexistentes

SON SOLO RIESGOS TECNOLÓGICOS

Interrupción o alteraciónde los procesos de negocio

¿ ?

Impactos:Económicos, Legales

Productivos, Clima laboral



Edition

Verano 2015 7

Verano 2015 13

LA SEGURIDAD DE LA INFORMACIÓN NO ES SOLO UN ASUNTO DE TECNOLOGÍA

ES UN ASUNTO DE NEGOCIOS

LA SEGURIDAD DE LA INFORMACIÓN NO ES SOLO UN ASUNTO DE TECNOLOGÍA

ES UN ASUNTO DE NEGOCIOS

“La utilidad de proteger la información radica en detectar y reducirlos riesgos de que la información o los activos tecnológicos seandañados de tal manera que interrumpa o reduzca la efectividad de laoperación del negocio y la organización”,

Verano 2015 14

Afectación a la operación del activo y servicios ofrecidos

• Salida de línea del servidor, interrupción del servicio

• Investigación de vectores de ataque

• Reinstalación de aplicativo, limpieza de base de datos, cache de google, etc

• Ajuste de herramientas

Impacto a la imagen de la organización

• El ataque puede ser rápidamente difundido

• Se genera una impresión de desconfianza en el servicio a pesar de que éste sea eficiente

Impacto a la carrera del personal involucrado

• A pesar del gran esfuerzo del personal de TI y responsables superiores de generar buenos servicios bastan pequeños problemas para tirar a la borda buenos esfuerzos.

Una intrusión que puede llevar

una hora a un atacante tiene un

impacto de semanas de

trabajo, altos costos de

recuperación e afectación a la imagen de la

organización de meses



Edition

Verano 2015 8

Verano 2015 15

La seguridad de la información como un proceso integral

Verano 2015 16

Disponibilidad

Integridad

Confidencialidad

Procesos Tecnologia

Personas

Administración de

incidentes

Mejora continua

Administración del Riesgo

ESTRATEGIA Y

LIDERAZGO

La seguridad de la información es un asunto integral



Edition

Verano 2015 9

Verano 2015 17

Capacitación en mejores prácticas

Auditores/CISO

FirewallsDetectores de intrusosNACControl de contenidoTokensDLP

Políticas y procedimientosAuditorías de vulnerabilidades

Continuidad de la operaciónHardening

Mejores prácticas en seguridad

Arquitectura de SeguridadSistemas de Gestión de Seguridad de la Información

Administración del riesgo

Preparar a las personas

Verano 2015

18

Capacitación y certificación

Autoridad y responsabilidad

Cultura de Seguridad

Compromiso de la dirección



Edition

Verano 2015 10

Preparar a la tecnología

Verano 201519

Firewall

Detectores de intrusos

Control de

contenido mail y web

Detectores de intrusos

Tokens

NAC

Scannersde

vulnerabilidades

Anti-malware

VPNs

Software de

cumplimiento

Cumplimiento de los objetivos

organizacionales

Preparar a los procesos

Verano 2015

Políticas

Procedimientos

Hojas de trabajo / Checklists

Registros

TACTICO- EL COMO -

ESTRATEGICO- EL QUÉ -

METRICAS E INDICADORES

Servicios ofrecidos

por TI

Objetivos de

Negocio

Administración del riesgo

Visión de la

dirección

OPERATIVOLA

EVIDENCIA



Edition

Verano 2015 11

Ciclo general de SI

Verano 2015 21

Responsable de Seguridad

de la Información

Alineación con los objetivos

de la organización

Arquitectura de

Seguridad:

Inventario de activos y procesos, zonas de seguridad

Clasificación de

información

Análisis y de riesgos

tecnológicos y operativos

Políticas, procedimientos,

controles y métricas para la reducción de los

riesgos tecnológicos

Automatización de cumplimiento

de políticas y procedimientos

- Tecnología -

Monitoreo y Auditoria

Capacitación y Sensibilización

Sistema de gestión y mejora continua

Sistema de Gestion de SI



Edition

Verano 2015 12

Lo que aprendimos

La seguridad es un asunto de negociosLa seguridad es un asunto de negocios

La seguridad debe reducir los riesgos a la operación y a la información contenida en los procesos de negocioLa seguridad debe reducir los riesgos a la operación y a la información contenida en los procesos de negocio

La seguridad para ser efectiva debe ser implementada en los ámbitos de personas, procesos y tecnologíaLa seguridad para ser efectiva debe ser implementada en los ámbitos de personas, procesos y tecnología

Se requiere la participación de toda la empresa y la definición de responsables y actividadesSe requiere la participación de toda la empresa y la definición de responsables y actividades

Verano 2015 24

10º Día de la SeguridadSummer Edition

2 Julio 2015

cibseguridad empresarial

Documents