1 / 28

Incidentes de Seguridad Informática en las Empresas

Incidentes de Seguridad Informática en las Empresas. CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte gbetarte@tilsor.com.uy. CIGRAS 2012. Plan de la Presentación. Motivación y Contexto Creación y operación de un equipo de respuesta a incidentes de SI CSIRT Tilsor Conclusiones.

azizi
Download Presentation

Incidentes de Seguridad Informática en las Empresas

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Incidentes de Seguridad Informática en las Empresas CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte gbetarte@tilsor.com.uy CIGRAS 2012 CIGRAS 2012

  2. Plan de la Presentación • Motivación y Contexto • Creación y operación de un equipo de respuesta a incidentes de SI • CSIRT Tilsor • Conclusiones CIGRAS 2012 CIGRAS 2012

  3. Motivación • Nuevas tecnologías han revolucionado la forma de proveer servicios y hacer negocios pero también han introducido nuevos riesgos • Es necesario reconocer y asumir que la seguridad totalno existe • Incidentes de seguridad informática son un dato de la realidad y es necesario desarrollar mecanismos para gestionarlos • La complejidad para realizar un ataque sofisticado ha disminuido significativamente y la motivación se ha diversificado e incrementado • Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a un incidente limitará los daños y disminuirá los costos de recuperación CIGRAS 2012 CIGRAS 2012

  4. Contexto CIGRAS 2012 CIGRAS 2012

  5. Tendencias • Convergencia • Interconexión de sistemas internos • Interdependencia con sistemas externos • Consolidación hacia estándares abiertos (IP) • Consecuencias • Exposición de los sistemas (de infraestructuras críticas) a potenciales ataques de Internet • Nuevos riesgos: conexiones wireless, mantenimiento remoto por terceros • Ataques pueden tener consecuencias que superen el valor de la organización o compañía, con consecuencias significativas CIGRAS 2012 CIGRAS 2012

  6. Desafíos de la Seguridad de la Información • La Seguridad se ha convertido en un área crítica de los Sistemas de Información • Cómo encarar este desafío? • Gestión de la Seguridad de la Información • Sensibilización y Capacitación • Evaluación proactiva del nivel de aseguramiento de las plataformas informáticas y de comunicación • Gestión de incidentes (quénivel de criticidad?) CIGRAS 2012 CIGRAS 2012

  7. Incidentes: Impacto • Reporte Norton Cyber Crime 2011 • Daños del orden de los 338.000 M USD • LATAM: Brasil y México son los más afectados • Reporte ARBOR Networks 2011 Infrastructure Security • Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS attacks en LATAM • El 70% de los encuestados nunca intentaron efectuar una respuesta a un ataque DDoS • Ataques a gran empresa y gobiernos en aumento • Denegación de servicios (DDoS) • Botnets • Phishing • Defacement CIGRAS 2012 CIGRAS 2012

  8. Incidentes: Soluciones Los expertos piden Centrarse en la detección y no únicamente en la protección Monitorear y gestionar incidentes Enfocar los esfuerzos de protección en los activos críticos y no sólo en el perímetro Apoyo en CERTs/CSIRTs 40% de encuestados tienen CERT o CSIRT 66% colaboran con un CERT nacional CIGRAS 2012 CIGRAS 2012

  9. CERT/CC: Origen • 1988, Internet Worm afecta a un alto porcentaje de sistemas, dejándolos fuera de servicio • Se define estrategia para mejorar respuesta a incidentes de seguridad informática • La agencia DARPA crea el CERT/CC en el SEI de la Carnegie Mellon University CIGRAS 2012 CIGRAS 2012

  10. CERT/CC: Misión • Responder a incidentes de seguridad en Internet • Servir como modelo de operaciones para otros equipos de respuesta • Facilitar la creación de otros grupos (CSIRTs) que sirvan a otras comunidades objetivo (constituencies) • Facilitar la comunicación/divulgación de incidentes informáticos y coordinar acciones a nivel nacional o regional CIGRAS 2012 CIGRAS 2012

  11. Un enfoque organizacional para la gestión de incidentes de seguridad CIGRAS 2012 CIGRAS 2012

  12. CSIRT: Qué es? “A Computer Security Incident Response Team (CSIRT) is a service organization that is responsible for receiving, reviewing, and responding to computer security incident reports and activity. The services are usually performed for a defined constituency” (CERT/CC) CIGRAS 2012 CIGRAS 2012

  13. CSIRT: Aspectos fundamentales • Visión/Misión • Objetivos de alto nivel y sus prioridades • Comunidad Objetivo (Constituency) • Destinatarios a los que el CSIRT dará servicios • Servicios • Qué servicios le ofrece el CSIRT a su comunidad objetivo • Forma de relacionamiento • Forma de cooperación, coordinación (o cualquier interacción) con otros CSIRTs CIGRAS 2012 CIGRAS 2012

  14. CSIRT: Comunidad Objetivo • Entidad específica a la cual el CSIRT sirve • Puede ser acotada o no • Generalmente refleja la fuente de financiamiento • Relacionamiento con la comunidad objetivo: • Full: el CSIRT tiene autoridad total • Shared: el CSIRT comparte las decisiones • None: El CSIRT no tiene autoridad CIGRAS 2012 CIGRAS 2012

  15. CSIRT: Tipos de Comunidad Objetivo • Nacionales (CERTuy, ArCERT, CERT.br,…) • Organizacionales: Banco, Telco (CSIRT ANTEL), Empresa TI (CSIRT Tilsor) • Network Service Provider: ISP (CSIRT ANTEL) • Técnicas: el uso de un determinado S.O. • Contractual: quienes adquieren un servicio CIGRAS 2012 CIGRAS 2012

  16. CSIRT: Servicios Ref: CSIRT Services, CERT/CC CIGRAS 2012 CIGRAS 2012

  17. CSIRT Tilsor CIGRAS 2012 CIGRAS 2012

  18. TILSOR Hoy TILSOR +13 mil casos de Soporte Técnico resueltos +250 clientes entre Organismos Públicos y Empresas Privadas +40 mil horas de entrenamiento certificado +350 mil horas de consultoría en Tecnologías de la Información CIGRAS 2012 CIGRAS 2012

  19. Por qué un CSIRT? • Estrategia de la empresa en Seguridad Informática: • Requerimiento interno • Desarrollo de un área de servicios • Desafíos • Consolidar masa crítica experta • Identificar necesidades del mercado • Posicionarse como un referente CIGRAS 2012 CIGRAS 2012

  20. Comunidad Objetivo • Interna • SGSI de Tilsor • Infraestructura Tecnológica y Sistemas de Información de Tilsor SA • Serviciosreactivos, proactivos y calidad de seguridad • Externa • Socios y clientes de Tilsor SA • Serviciosproactivos y calidad de seguridad CIGRAS 2012 CIGRAS 2012

  21. Servicios • Reactivos • Gestión de incidentes • Alarmas • Gestión de vulnerabilidades y artefactos • Proactivos • Observatorio tecnológico • Desarrollo de herramientas • Calidad de seguridad • Sensibilización y capacitación • Evaluación de seguridad de infraestructuras y aplicaciones CIGRAS 2012 CIGRAS 2012

  22. Valor adicional • A la comunidad interna • Apoyo en el proceso de desarrollo de aplicaciones • Mitigación de riesgos en los ambientes de producción y soporte • A nuestros clientes y socios • Referente a quien acudir • Grupo profesional experto en seguridad • Servicios de consultoría con valor agregado CIGRAS 2012 CIGRAS 2012

  23. Algunos Ejemplos de Incidentes Resueltos Intento de enrolar servidores de Tilsor en un ataque DDoS a una empresa extranjera Estafa: intento de venta forzada de dominio Internet Problemas de envío de correos debido a inclusión del ISP de Tilsor en una lista negra Detección proactiva de vulnerabilidades en paquetes de software utilizados por Tilsor Análisis y procesamiento de alertas por infección con Malware reportadas por antivirus CIGRAS 2012 CIGRAS 2012

  24. Colaboración y Coordinación • A nivel nacional • CERTuy (contacto) • CSIRT ANTEL (contacto y colaboración) • A nivel LATAM • Proyecto AMPARO - LACNIC: Taller de Gestión de Incidentes itinerante • Reunión CSIRTs LATAm – LACNIC • Inicio de relaciones con TBSecurity CERT (España) CIGRAS 2012 CIGRAS 2012

  25. Algunas conclusiones CIGRAS 2012 CIGRAS 2012

  26. Una herramienta eficaz y útil • Masa crítica adecuada: dificultad de montar un equipo de esta característica • Canales de confianza: importancia de la coordinación y colaboración • Con la comunidad objetivo • Entre pares • Interacción y relacionamiento con el medio académico CIGRAS 2012 CIGRAS 2012

  27. Preguntas CIGRAS 2012 CIGRAS 2012

  28. Preguntas Muchas gracias CIGRAS 2012 CIGRAS 2012

More Related