Presentación

Transcripción

Presentación

Accesos lógicos
Principales medidas de gestión para
la seguridad de la información
Ing. Oscar Tzorín
Superintendencia de Bancos
de Guatemala
Panorama actual de la seguridad
A
G
E
N
D
A
Clasificación de la información
Consideraciones al otorgar accesos
Principales medidas de gestión
Monitoreo y pistas de auditoría
Inadecuado uso de privilegios
Ref. Verizon Data Breach Investigation Report 2016
¿Qué los motiva?
Tiempo para detectar inadecuado uso de privilegios
El 63% de las intrusiones fueron debido a credenciales débiles o robadas.
Pasos realizados por los cibercriminales:
1. Comprometieron el ambiente del banco.
2. Obtuvieron las credenciales de un operador
con privilegios para crear, aprobar y enviar
mensajes a la red SWIFT.
3. Enviaron mensajes fraudulentos suplantando
la identidad del operador.
4. Eliminaron la mayoría de las pistas de los
mensajes fraudulentos.
A
G
E
N
D
A
Evaluación del nivel de riesgo de la información del negocio para asegurar que
dicha información reciba una adecuado protección.
Beneficios
• Crear conciencia en los colaboradores para proteger la información.
• Identificar la información crítica, su ubicación y quiénes la requieren.
• Comprender la información.
• Establecer la propiedad de la información.
• Priorizar los recursos, enfocándose en la información que requiere mayor
protección.
• Desarrollar directrices claras para el manejo de la información sensible.
• Almacenar la información sensible en mecanismos confiables.
Programa para la clasificación de la información
• Determinar los objetivos del proyecto de clasificación de la información.
• Establecer el apoyo de la organización.
• Desarrollar la política de clasificación de la información.
• Establecer los procedimientos y las herramientas para soportar el proceso
(aplicativos, formatos estandarizados, entre otros).
• Identificar a los dueños de la información y posibles delegados.
• Clasificar la información y aplicaciones.
• Trasladar la información a un repositorio central.
• Capacitar a los usuarios.
• Revisar y actualizar las clasificaciones de la información en forma periódica.
•
Desarrollar procedimientos de auditoría.
A
G
E
N
D
A
Aspectos base
• Modelo Discrecional (Discretional Access Control -DAC-): El dueño
de la información decide a quién otorga accesos. Corre el riego de
ejecutar fácilmente malware incrustado en documentos, otorga al
atacante de forma inherente sus privilegios.
• Modelo Mandatorio (Mandatory Access Control -MAC-): Accesos
otorgados por el sistema, toma en cuenta el nivel de sensibilidad,
autorización del sujeto y política de seguridad.
• Modelo Basado en Roles (Rol Based Access Control -RBAC-): Los
accesos son otorgados basados en las funciones del sujeto dentro de la
organización.
• Prácticas: Menor privilegio (least-privilege), necesidad de saber (needto-know), segregación de funciones.
Modelo Basado en Roles
Técnicas para apoyar los modelos de control de acceso
Matriz de control de acceso
Acceso basado en contenido
Acceso basado en contexto
Limitada interfaz de usuario
Acceso basado en reglas
A
G
E
N
D
A
Accesos lógicos a la red
• Comprender los procesos del negocio y cómo se traducen a
comportamientos en la red.
• Visibilidad y análisis de los flujos de tráfico.
• Adecuada segmentación y micro-segmentación (ambientes virtuales).
• Documentar la comunicación normal entre segmentos, cualquier
desviación de la norma debe ser examinado.
• Adecuada detección, identificación, autenticación y autorización de
dispositivos que se conectan a la red (Network Access Control -NAC-).
Accesos lógicos a la red
Directorio activo
• Adecuada gestión de usuarios y sus privilegios.
 Controlar grupos y usuarios con privilegios de administración.
(Administrator, Domain Admin, Enterprice Admin, Schema Admin, etc.).
 Identificar usuarios dados de baja que presentan actividades.
 Adecuadas políticas para contraseñas/vencimiento, nombre de
usuarios, intentos de conexión, etc.
Accesos lógicos a las aplicaciones y bases de datos
• Sesiones de usuario.
• Tiempo de actividad/inactividad.
• Validar el ingreso de datos.
• Aplicar mejores prácticas para evitar la exposición a buffer overflow.
• Limitar el uso de usuarios/contraseñas configuradas en el código
fuente.
• Asignar privilegios en base de datos empleando roles.
• Asignar adecuadamente recursos de la base de datos (CPU, memoria,
disco, sesiones por usuario, etc.)
• Deshabilitar usuarios/contraseñas por defecto.
Accesos lógicos a sistemas operativos
• Emplear plantillas de configuración.
 Deshabilitar usuarios/contraseñas por defecto.
 Deshabilitar servicios, protocolos, etc. que no se encuentren
autorizados.
 Aplicar políticas.
 Instalar herramientas de seguridad (AV, IDS, IPS, Sandboxing, etc.).
• Administrar adecuadamente actualizaciones de seguridad.
A
G
E
N
D
A
Monitoreo
• Determinar los eventos que se deben incluir en el monitoreo (Red,
sistema operativo, aplicaciones, usuarios).
• Centralizar consolas de monitoreo para una mejor visibilidad.
• Centralizar la recolección de eventos.
• Correlacionar eventos (Security Information and Event Management
-SIEM-).
• Proteger la base de datos de eventos.
Dudas o comentarios?
Ing. Oscar Tzorín
Superintendencia de Bancos de Guatemala.
9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala.
Guatemala, agosto de 2016.

Presentación

Transcripción

Documentos relacionados

Monte Castrove Parking Accesos Características

Portal de control de presencia del empleado