ELIMINACIÓN DE LAS BRECHAS DE SEGURIDADPERSPECTIVAS DE SECURITY FOR

BUSINESS INNOVATION COUNCIL

Preparación para las vulneraciones

2

Este libro electrónico contiene perspectivas sobre la preparación, la respuesta y la resistencia a las vulneraciones, las cuales se basan en entrevistas detalladas realizadas con Security for Business Innovation Council (SBIC)1. SBIC está compuesto por ejecutivos de seguridad con visión de futuro de empresas Global 1000 comprometidas a promover el estado de la seguridad de la información en todo el mundo, para lo cual comparten perspectivas que provienen de su experiencia en situaciones reales.

Los parámetros de preparación para el sector en general se obtuvieron de una encuesta global que se aplicó a 170 profesionales de seguridad en 30 países. Se proporcionan medidas dentro de cuatro áreas principales de preparación para las vulneraciones y respuesta a incidentes: inteligencia de contenidos, análisis forense y analítica, inteligencia de amenazas y respuesta a incidentes.

Mediante la comparación y el contraste de las respuestas de líderes del sector con las del sector en general, es posible ofrecer recomendaciones útiles para la creación de un programa preventivo de preparación y respuesta a las vulneraciones.

DESCRIPCIÓN GENERAL

1 En el apéndice encontrará una lista completa de organizaciones y representantes de SBIC

Preparación para las vulneraciones

3

RESPUESTA A INCIDENTESLa respuesta a incidentes es un enfoque organizado para manejar eventos adversos confirmados o presuntos que afectan la seguridad de sistemas o redes computacionales. Los procesos de respuesta a incidentes eficaces manejan los incidentes de una manera que limita el daño y reduce el tiempo y el costo de la recuperación.

La planificación de la respuesta a incidentes debe ser un proceso dinámico. Las organizaciones que no evalúan ni mejoran los planes de respuesta a incidentes exponen su negocio a mayores niveles de riesgo.

SBIC En general

Implementaron planes formales de respuesta a incidentes.

Un 67 % de los miembros de SBIC usa formalmente

inteligencia y conocimientos clave

obtenidos de los incidentes de

seguridad para mejorar los procesos

de respuesta.

100 %

70 %

Un 57 % del grupo que no pertenece a

SBIC no revisa ni actualiza esos

planes o lo hace rara vez.

“Las personas y el proceso son más importantes que la tecnología en lo que concierne a la respuesta a incidentes. Primero, un equipo de operaciones de seguridad debe tener funciones y responsabilidades claramente definidas para evitar la confusión en el momento crucial. Sin embargo, es igualmente importante disponer de visibilidad y flujos de trabajo constantes durante cualquier crisis de seguridad significativa para garantizar la responsabilidad y la coherencia, y ayudar a las organizaciones a mejorar los procedimientos de respuesta en el transcurso del tiempo”.

Ben Doyle, director de seguridad de la información, Thales Australia y Nueva Zelanda

Preparación para las vulneraciones

4

INTELIGENCIA DE CONTENIDOSLa inteligencia de contenidos es un estado de concientización situacional que se obtiene de las herramientas, la tecnología y los procesos que implementan las organizaciones para identificar y monitorear recursos fundamentales y divulgar inteligencia útil con fines de análisis y respuesta.

Los miembros de SBIC cuentan con equipos de ciberseguridad cualificados que se encargan exclusivamente de identificar e implementar tecnologías para elevar el nivel de la inteligencia de contenidos. El uso compartido de la información es un proceso institucionalizado y continuo.

Implementó una solución de agregación y correlación de registros orientada a la seguridad para contar

con alertas centralizadas de actividad sospechosa

Utiliza la importancia de los recursos o datos de

vulnerabilidad durante las operaciones diarias y la

administración de incidentes

Identi�ca y reduce los falsos positivos

SBIC

En general

100 %92 %

45 %

60 %

90 %

50 %

“Las organizaciones deben perfeccionar continuamente su enfoque de la recopilación de inteligencia. ¿Qué tan útil y oportuna es? ¿Es valiosa para el negocio? Si no lo hacen, nos encontraremos saturados de información y prácticamente perdidos”.Tim McKnight, director global de seguridad de la información, General Electric

Preparación para las vulneraciones

5

ANÁLISIS FORENSE Y ANALÍTICAEl análisis forense comprende la captura, el registro y el análisis de datos de redes y hosts con el fin de descubrir el origen de ataques u otros incidentes.

El análisis forense es una funcionalidad clave para detectar campañas de ataques y ataques avanzados y sofisticados.

SBIC

En general

Cuenta con una funcionalidad de análisis forense de host

“activa”

83 %

72 %

Implementó una funcionalidad de análisis forense de red “activa”, como una herramienta con captura y análisis

completos de paquetes

83 %

42 %

“Es importante usar orígenes internos y externos para la detección y el análisis de malware. Con el uso de terceros, las organizaciones pueden apreciar de mejor manera lo que sucede y aprovechar esa inteligencia con el fin de prepararse para los ataques futuros”.Dave Martin, director de confianza, RSA

Preparación para las vulneraciones

6

INTELIGENCIA DE AMENAZAS La inteligencia de amenazas es el proceso de recopilar y combinar datos de amenazas internas y externas para implementar métodos eficaces de detección, investigación y respuesta a eventos de seguridad.

“Las operaciones de seguridad deben mantener cierto nivel de flexibilidad. Con eventos de día cero y otros tipos de ataques que son menos comprensibles, los equipos de operaciones de seguridad deben ser ágiles y adaptables. Los servicios basados en suscripción son buenos como ayuda adicional si un equipo tiene restricción de recursos”.Jerry Geisler, director sénior de operaciones de seguridad de los sistemas de información, oficina del director de seguridad de la información, Walmart

100 %

60 %

100 %

43 %

Un 83 % usa estos datos en

operaciones diarias de

ciberseguridad.

Dispone de un programa activo de administración de vulnerabilidades para identi�car, investigar, evaluar y corregir los posibles puntos de vulneraciones.

Aumenta la inteligencia de amenazas interna con datos

de orígenes externos.

SBIC

En general

7

PERSPECTIVAS ADICIONALES

Preparación para las vulneraciones

8

PERSPECTIVAS ADICIONALESRESPUESTA Y ADMINISTRACIÓN DE INCIDENTES La manera en que se da prioridad y se rastrean los incidentes de seguridad puede afectar considerablemente la eficacia de la respuesta a las vulneraciones. Muchas organizaciones aún dependen de un sistema descentralizado manual para rastrear los incidentes de seguridad. En algunos casos, esto consiste en algo más que una hoja de cálculo que actualiza el analista de seguridad según las necesidades. Esto dificulta el establecimiento de un gobierno corporativo, el rastreo de la manera en que se abordan los incidentes y la incorporación de perspectivas que permitan perfeccionar el proceso en el transcurso del tiempo.

Las organizaciones deben utilizar un sistema basado en flujos de trabajo exclusivo que proporcione visibilidad total, desde la recopilación de alertas hasta la creación y la escalación de incidentes a través de moderación, contención, análisis y corrección. Entre los encuestados de SBIC, solo un 58 % emplea un sistema de administración de incidentes y flujos de trabajo exclusivo para las operaciones de seguridad destinado a rastrear y administrar incidentes.

Finalmente, las pruebas habituales aumentan la posibilidad de que los procedimientos de respuesta a incidentes se implementen según lo previsto cuando se requieren. Entre los miembros de SBIC, el 92 % implementó un proceso formal para probar su programa de respuesta a incidentes por lo menos una vez al año. Los juegos de guerra cibernética identifican áreas que se deben mejorar y permiten asegurarse de que los niveles correctos de atención, el personal y el presupuesto se centren en las aplicaciones y los datos de mayor valor y en la infraestructura vulnerable.

INTELIGENCIA DE CONTENIDOS El establecimiento de inteligencia de contenidos es fundamental y constituye el primer paso en la creación de un programa de preparación y respuesta a las vulneraciones. Las organizaciones deben aprovechar la tecnología de recopilación de datos para obtener una visibilidad amplia y profunda de la actividad en todo el ambiente. Debe haber una funcionalidad que brinde una detección automatizada de anomalías con un recurso o un equipo dedicados a analizar los posibles incidentes que expone la tecnología.

El desarrollo de inteligencia de contenidos es un proceso continuo. Los miembros de SBIC, que han implementado avanzados protocolos de preparación y respuesta a las vulneraciones, promueven la mejora continua. Un 58 % de los miembros entrevistados señaló que, a pesar de disponer de agregación central para la automatización de datos y alertas de seguridad, es difícil garantizar la cobertura para todos los recursos fundamentales.

Los falsos positivos constituyen otro reto. El análisis de incidentes falsos positivos permite ajustar los sistemas de inteligencia de contenidos. Entre los miembros de SBIC, el 50 % carece de un proceso formal. Muchas empresas no tienen en cuenta los falsos positivos.

Las organizaciones deben intentar constantemente aumentar los orígenes de inteligencia de contenidos. Según los miembros de SBIC, el uso compartido de datos entre los equipos internos es fundamental, tanto a través de comunicaciones fuera de banda habituales como de herramientas de GRC centralizadas. La meta debe ser derribar los sistemas aislados que existen.

Preparación para las vulneraciones

9

PERSPECTIVAS ADICIONALESANÁLISIS FORENSE Y ANALÍTICA El análisis forense y la analítica de la red son esenciales para los esfuerzos más avanzados de preparación para las vulneraciones. Las organizaciones que dependen exclusivamente del análisis de registros terminarán con muchos puntos ciegos potenciales. Mediante la correlación de paquetes de red con otros datos de seguridad, las organizaciones pueden descubrir ataques que no detectaron las herramientas de SIEM centradas en registros ni las herramientas basadas en firmas.

El análisis de malware es una técnica forense estándar que forma parte de la mayoría de los esfuerzos de preparación y respuesta a las vulneraciones. Mediante la comprensión de cómo funciona el malware y cuáles son sus objetivos, las organizaciones pueden abordar vulnerabilidades de redes y terminales con el fin de mejorar la detección y la defensa ante ataques. Sin embargo, los atacantes continúan desarrollando sus técnicas en respuesta a estas herramientas, razón por la cual muchos ataques no se pueden detectar mediante motores analíticos.

Las herramientas forenses para el análisis estático y dinámico del uso de la memoria, las conexiones de red abiertas, los procesos en ejecución y los registros de eventos pueden revelar pruebas de intrusiones y ataques sigilosos. Un 83 % de los miembros de SBIC encuestados dispone de funcionalidades de análisis forense de host activas, aunque estas herramientas se implementan en distintos niveles de funcionalidad y no todos las usan en el proceso investigativo.

INTELIGENCIA DE AMENAZAS De acuerdo con SBIC, se deben obtener los siguientes datos de amenazas para mejorar la preparación y la respuesta a las vulneraciones:

• Datos de vulnerabilidades

• Datos de amenazas de código abierto

• Feeds de inteligencia de amenazas externos de terceros

Sin embargo, las organizaciones no deben llegar a depender demasiado de la inteligencia de amenazas. Los adversarios también se suscriben a feeds de amenazas y crean sus ataques para evitar el uso de indicadores conocidos, lo cual puede limitar la eficacia contra campañas sofisticadas.

Los datos de vulnerabilidad combinados con la determinación anticipada de la importancia de los recursos de información (por ejemplo, de misión crítica y fundamentales para el negocio) brindan contexto de negocios que ayuda a las organizaciones a dar prioridad a la asignación de recursos.

Preparación para las vulneraciones

10

¿ESTÁ SU EMPRESA PREPARADA PARA LAS VULNERACIONES? Preguntas esenciales en las cuatro categorías principales de preparación y respuesta a las vulneraciones

Respuesta a incidentes

• ¿Dispone su organización de un proceso de respuesta a incidentes formalmente definido y documentado?• ¿Definió criterios de contratación y programas de capacitación para desarrollar recursos humanos de respuesta a incidentes eficaces?• ¿Cuenta con un sistema que permite a su personal dar prioridad a la respuesta a incidentes?• Si un tercero, como un organismo de aplicación de la ley, informa a su organización sobre una vulneración de seguridad dentro de la red, ¿sabe qué pasos seguir para responder?• ¿Con qué frecuencia se prueban formalmente las funcionalidades de respuesta a incidentes? Inteligencia de contenidos

• ¿Dispone actualmente su organización de una solución de recopilación de datos centrada en la seguridad para proporcionar alertas e investigación centralizadas de la actividad sospechosa?

• ¿Cuenta su organización con una función o un equipo dedicados al desarrollo y las pruebas de nuevo contenido para las tecnologías de seguridad?• ¿Implementó medidas para identificar y reducir los falsos positivos?• ¿Incorpora datos sobre la importancia de los recursos u otras medidas de riesgo para que la inteligencia de contenidos sea más útil? Análisis forense y analítica

• ¿Implementó una funcionalidad de análisis forense de red “activa”, como una herramienta con captura y análisis completos de paquetes? • ¿Tiene actualmente su organización de seguridad una función de análisis de malware?• ¿Cuenta actualmente con una funcionalidad de análisis forense de host “activa”? Inteligencia de amenazas

• ¿Dispone su organización de un programa de administración de vulnerabilidades? • ¿Revisa su equipo de seguridad los datos de amenazas para categorizarlos y darles prioridad con el fin de usarlos en las operaciones diarias?• ¿Utiliza su programa de operaciones de seguridad datos de inteligencia de amenazas de código abierto con el fin de incluirlos en las operaciones diarias?• ¿Compra su programa de operaciones de seguridad datos de inteligencia de amenazas externos con el fin de usarlos en las operaciones diarias?• ¿Analiza habitualmente su organización las lecciones aprendidas de los incidentes de seguridad para generar inteligencia que se incorpora en las operaciones de seguridad

con fines de perfeccionamiento continuo?

Preparación para las vulneraciones

11

SECURITY FOR BUSINESS INNOVATION COUNCILMarene Alison*: vicepresidenta mundial de seguridad de la información, Johnson & Johnson

Anish Bhimani*: director de TI, Commercial Banking, JP Morgan Chase

William Boni: director corporativo de seguridad de la información y vicepresidente, Enterprise Information Security, T-Mobile USA

Roland Cloutier*: vicepresidente y director de seguridad, Automatic Data Processing, Inc.

Dr. Martijn Dekker*: vicepresidente sénior, director de seguridad de la información, ABN Amro

Ben Doyle*: director de seguridad de la información, Thales Australia y Nueva Zelanda

Jerry R. Geisler III*: oficina del director de seguridad de la información, Walmart Stores, Inc.

Malcolm Harkins: vicepresidente y director de seguridad y privacidad, Intel

Kenneth Haertling*: vicepresidente y director de seguridad, TELUS

Dave Martin*: exvicepresidente y director de seguridad, EMC Corporation, director de confianza, RSA

Timothy McKnight*: director global de seguridad de la información, General Electric

Kevin Meehan*: vicepresidente y director de seguridad de la información, The Boeing Company

Philip Hong Sun, Kim: vicepresidente ejecutivo y director de seguridad de la información, Standard Chartered Bank of Korea

David Powell: director de seguridad de TI, National Australian Bank

Robert Rodger: director del grupo de seguridad de la infraestructura, HSBC Holdings plc.

Ralph Salomon: vicepresidente de seguridad, oficina de procesos y cumplimiento de normas, SAP Cloud and Infrastructure Delivery

Vishal Salvi*: director de seguridad de la información y vicepresidente sénior, HDFC Bank Limited

Denise D. Wood*: vicepresidenta corporativa de seguridad de la información, directora de seguridad de la información, directora de riesgos de TI, FedEx Corporation

*Miembros de SBIC que participaron en esta encuesta

EMC2, EMC, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. © Copyright 2015 EMC Corporation. Todos los derechos reservados. Publicado en México. 15/04 Libro electrónico H14105

Preparación para las vulneraciones