Presentación
Transcripción
Presentación
Accesos lógicos Principales medidas de gestión para la seguridad de la información Ing. Oscar Tzorín Superintendencia de Bancos de Guatemala Panorama actual de la seguridad A G E N D A Clasificación de la información Consideraciones al otorgar accesos Principales medidas de gestión Monitoreo y pistas de auditoría Panorama actual de la seguridad Inadecuado uso de privilegios Ref. Verizon Data Breach Investigation Report 2016 Panorama actual de la seguridad ¿Qué los motiva? Ref. Verizon Data Breach Investigation Report 2016 Panorama actual de la seguridad Tiempo para detectar inadecuado uso de privilegios Ref. Verizon Data Breach Investigation Report 2016 Panorama actual de la seguridad El 63% de las intrusiones fueron debido a credenciales débiles o robadas. Ref. Verizon Data Breach Investigation Report 2016 Panorama actual de la seguridad Pasos realizados por los cibercriminales: 1. Comprometieron el ambiente del banco. 2. Obtuvieron las credenciales de un operador con privilegios para crear, aprobar y enviar mensajes a la red SWIFT. 3. Enviaron mensajes fraudulentos suplantando la identidad del operador. 4. Eliminaron la mayoría de las pistas de los mensajes fraudulentos. Panorama actual de la seguridad A G E N D A Clasificación de la información Consideraciones al otorgar accesos Principales medidas de gestión Monitoreo y pistas de auditoría Clasificación de la información Evaluación del nivel de riesgo de la información del negocio para asegurar que dicha información reciba una adecuado protección. Beneficios • Crear conciencia en los colaboradores para proteger la información. • Identificar la información crítica, su ubicación y quiénes la requieren. • Comprender la información. • Establecer la propiedad de la información. • Priorizar los recursos, enfocándose en la información que requiere mayor protección. • Desarrollar directrices claras para el manejo de la información sensible. • Almacenar la información sensible en mecanismos confiables. Clasificación de la información Programa para la clasificación de la información • Determinar los objetivos del proyecto de clasificación de la información. • Establecer el apoyo de la organización. • Desarrollar la política de clasificación de la información. • Establecer los procedimientos y las herramientas para soportar el proceso (aplicativos, formatos estandarizados, entre otros). • Identificar a los dueños de la información y posibles delegados. • Clasificar la información y aplicaciones. • Trasladar la información a un repositorio central. • Capacitar a los usuarios. • Revisar y actualizar las clasificaciones de la información en forma periódica. • Desarrollar procedimientos de auditoría. Panorama actual de la seguridad A G E N D A Clasificación de la información Consideraciones al otorgar accesos Principales medidas de gestión Monitoreo y pistas de auditoría Consideraciones al otorgar accesos Aspectos base • Modelo Discrecional (Discretional Access Control -DAC-): El dueño de la información decide a quién otorga accesos. Corre el riego de ejecutar fácilmente malware incrustado en documentos, otorga al atacante de forma inherente sus privilegios. • Modelo Mandatorio (Mandatory Access Control -MAC-): Accesos otorgados por el sistema, toma en cuenta el nivel de sensibilidad, autorización del sujeto y política de seguridad. • Modelo Basado en Roles (Rol Based Access Control -RBAC-): Los accesos son otorgados basados en las funciones del sujeto dentro de la organización. • Prácticas: Menor privilegio (least-privilege), necesidad de saber (needto-know), segregación de funciones. Consideraciones al otorgar accesos Modelo Basado en Roles Principales medidas de gestión Técnicas para apoyar los modelos de control de acceso Matriz de control de acceso Acceso basado en contenido Acceso basado en contexto Limitada interfaz de usuario Acceso basado en reglas Panorama actual de la seguridad A G E N D A Clasificación de la información Consideraciones al otorgar accesos Principales medidas de gestión Monitoreo y pistas de auditoría Principales medidas de gestión Accesos lógicos a la red • Comprender los procesos del negocio y cómo se traducen a comportamientos en la red. • Visibilidad y análisis de los flujos de tráfico. • Adecuada segmentación y micro-segmentación (ambientes virtuales). • Documentar la comunicación normal entre segmentos, cualquier desviación de la norma debe ser examinado. • Adecuada detección, identificación, autenticación y autorización de dispositivos que se conectan a la red (Network Access Control -NAC-). Principales medidas de gestión Accesos lógicos a la red Directorio activo • Adecuada gestión de usuarios y sus privilegios. Controlar grupos y usuarios con privilegios de administración. (Administrator, Domain Admin, Enterprice Admin, Schema Admin, etc.). Identificar usuarios dados de baja que presentan actividades. Adecuadas políticas para contraseñas/vencimiento, nombre de usuarios, intentos de conexión, etc. Principales medidas de gestión Accesos lógicos a las aplicaciones y bases de datos • Sesiones de usuario. • Tiempo de actividad/inactividad. • Validar el ingreso de datos. • Aplicar mejores prácticas para evitar la exposición a buffer overflow. • Limitar el uso de usuarios/contraseñas configuradas en el código fuente. • Asignar privilegios en base de datos empleando roles. • Asignar adecuadamente recursos de la base de datos (CPU, memoria, disco, sesiones por usuario, etc.) • Deshabilitar usuarios/contraseñas por defecto. Principales medidas de gestión Accesos lógicos a sistemas operativos • Emplear plantillas de configuración. Deshabilitar usuarios/contraseñas por defecto. Deshabilitar servicios, protocolos, etc. que no se encuentren autorizados. Aplicar políticas. Instalar herramientas de seguridad (AV, IDS, IPS, Sandboxing, etc.). • Administrar adecuadamente actualizaciones de seguridad. Panorama actual de la seguridad A G E N D A Clasificación de la información Consideraciones al otorgar accesos Principales medidas de gestión Monitoreo y pistas de auditoría Monitoreo y pistas de auditoría Monitoreo • Determinar los eventos que se deben incluir en el monitoreo (Red, sistema operativo, aplicaciones, usuarios). • Centralizar consolas de monitoreo para una mejor visibilidad. • Centralizar la recolección de eventos. • Correlacionar eventos (Security Information and Event Management -SIEM-). • Proteger la base de datos de eventos. Dudas o comentarios? Ing. Oscar Tzorín Superintendencia de Bancos de Guatemala. 9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala. Guatemala, agosto de 2016.