430 likes | 673 Views
Banco de la Nación Argentina. Seguridad Informática “Una mirada diferente desde el HACER y desde el ASEGURAMIENTO”. Seguridad Informática. “ No es solamente implementar usuarios y contraseñas ”. La seguridad es…. Servicio. Control de Accesos. Plan de Continuidad de Negocio.
E N D
Banco de la Nación Argentina Seguridad Informática“Una mirada diferente desde el HACER y desde el ASEGURAMIENTO”
Seguridad Informática “No es solamente implementar usuarios y contraseñas” La seguridad es… Servicio Control de Accesos Plan de Continuidad de Negocio Gestión de Incidentes Análisis de Vulnerabilidades Concientización de usuarios Encripción Análisis de Eventos Evaluación de Software Análisis de Riesgo ABM de Usuarios Análisis Forense Desarrollo de Políticas Normas y Estándares Debe implementarse utilizando… Test de Penetración Criterio de Negocio AntiSpam Firewalls AntiVirus Doble Factor de Autenticación PKI Controles AntiPhishing Sistemas de detección de Intrusos Marcos Normativos Herramientas Forenses Correlación de eventos Permisos mínimos necesarios
Banco de la Nación Argentina Líder, Regulador y Testigo del Sistema Financiero Argentino 624 Sucursales 14 Sucursales en el Exterior 55 Anexos Operativos 4 Agencias Móviles +16.800 Empleados
Banco de la Nación Argentina Equipamiento Informático: Equipamiento Central Mainframe Equipamiento Disribuído + 16.000 Estaciones de Trabajo + 2.000 Servidores +900 Switches +700 Routers Centro de Procesamiento Paralelo Activo-Activo
Banco de la Nación Argentina Usuarios de los distintos Sistemas: 14.000 usuarios en el Computador Central 16.000 usuarios en Redes de PC’s 11.500 usuarios en Correo 23.000 usuarios en Aplicativos externos 10.000 usuarios de Aplicativos internos TOTAL: 74.500 De los cuales 4.700 corresponden a usuarios críticos, resguardados para ser utilizados en caso de emergencia.
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Gestión de Incidentes de Seguridad • Plan de Continuidad del Negocio • Cumplimiento Marco NormativoISO 27001 / 27002
Normativa Políticas Normas Procedimientos Estándares Técnicos
Modelo Conceptual Negocio
Fuga de Información Sensible • Pérdidas Financieras • Daños de Imagen / Reputación • Caída de Sistema / Pérdida de Clientes • Problemas Legales De qué protegernos? Cómo hacerlo? • Planificación y Análisis de Riesgo • Cumplimiento Normativo (ISO 27001 / 27002 / BCRA “A” 4609, 5374…) • Manual de Políticas (Aprobado por el Directorio) • Manual de Normas (Alineado con el Manual de Políticas) • Estándares y procedimientos Negocio “La Estrategia de Seguridad debe estar alineada con los objetivos del negocio”
Modelo Conceptual Información Negocio
Integridad • Confidencialidad • Disponibilidad • Auditabilidad Qué proteger ? Cómo hacerlo? Información “La Información es uno de los activos más importantes del Banco” La Exactitud, totalidad de la información y los métodos de acceso Que sea accedida solo por los autorizados Que esté disponible toda vez que se requiera Que todos los eventos sean correctamente registrados • Clasificar la Información • Analizar los riesgos (Amenazas / Probabilidad de Ocurrencia / Impacto) • Establecer los métodos necesarios para garantizar la Integridad, Confidencialidad, Disponibilidad y Auditabilidad de la Información
Modelo Conceptual Software y Aplicaciones Información Negocio
Software ilegal • Agujeros de Seguridad en el Desarrollo • Acceso a datos por fuera de la aplicación • Registros de eventos incompletos • Virus, Troyanos, Spam, Phishing, Spy… De qué protegernos? Cómo hacerlo? Software y Aplicaciones “Diariamente se descubren cientos de vulnerabilidades de software” • Inventario de Software • Análisis de Vulnerabilidades • Eliminación o Mitigaciòn de Riesgos • Herramientas de Alertas / Control / Registración / Seguimiento … • Aplicación de Parches
Modelo Conceptual Hardware Software y Aplicaciones Información Negocio
Acceso Físico al Centro de Cómputos • Robo de Computadoras / Notebook • Robo de Medios magnéticos • Catástrofes / Incendios • Fallas de energía De qué protegernos? Cómo hacerlo? Hardware “La tecnología avanza y las amenazas son cada vez mas complejas” • Inventario de Hardware • Control de Acceso • Backups • Borrado seguro de medios magnéticos • Plan de Continuidad de Negocio
Modelo Conceptual Canales Hardware Software y Aplicaciones Información Negocio
Comunicaciones dentro de la red • Comunicaciones con entidades externas • HomeBanking • Cableado / Routers / Switches / Hubs … • Firewall / IPS / IDS Qué proteger? Cómo hacerlo? Canales “Los datos deben viajar por canales seguros” • Control de Acceso • Segmentación de la Red • Autenticación • Encripción
Modelo Conceptual Usuarios Canales Hardware Software y Aplicaciones Información Negocio
El 40% de los ataques es interno • Los usuarios no conocen sobre seguridad • Usuarios mal informados revelan información confidencial (Fallas Humanas) • Empleados deshonestos o desvinculados Porqué? Cómo hacerlo? Usuarios “El factor humano es el eslabón mas débil de la seguridad” • Plan de Concientización de Usuarios • Acuerdo de confidencialidad y Buen Uso • Control de usuarios finales (análisis de eventos / alertas) • Capacitación
Modelo Conceptual Controles Continuidad de Negocio Usuarios Canales Hardware Software y Aplicaciones Información Negocio
Controles “Principal componente de la estrategia de Seguridad” Los Controles pueden ser: • Administrativos ( Políticas / Estándares …) • Técnicos ( Control de Acceso a la red / Monitoreo de Permisos …) • Físicos (Control de Acceso Físico / Cámaras …) Los Controles Deben: • Mitigar Riesgos manteniendo la relación costo – beneficio • Usar Métricas para medir y monitorear la Seguridad No se puede administrar lo que no se puede medir
Continuidad de Negocio “Es preferible tener un plan y no necesitarlo que necesitar un plan y no tenerlo” • Porqué podría necesitar planes de continuidad? • Catástrofes naturales • Incendios • Fallos en el suministro eléctrico • Fallos en las comunicaciones • Fallos en los Sistemas • Errores humanos / Huelgas • El plan debe ser desarrollado para cubrir el peor escenario, de forma tal que escenarios menores queden cubiertos también. • Se sabe que el peor escenario sucede sin aviso ni advertencia.
Seguridad InformáticaAspectos a tener en cuenta • Apoyo de la Alta Gerencia • Independencia del Área de Sistemas • Implementación de un Sistema de Gestión de Seguridad (SGSI) • Presupuesto Propio para adquirir herramientas específicas • Cumplimiento Legal y Normativo • Planificación estratégica orientada a segurizar el negocio • Plan de Concientización de usuarios • Monitoreo y Controles basados en • métricas preestablecidas • (Tablero de Control)
Como concientizar ? • Cursos presenciales de concientización a usuarios finales • Inducción / Mandos Medios / Gerencia • Cursos a distancia (elearning) • Circulares • Publicaciones mensuales en revista corporativa Algunos temas tratados: • Navegar Protegido • Prevención contra Virus • Consejos sobre Redes Sociales • Buenas Prácticas de Contraseñas • Uso de Medios extraíbles • Consejos sobre Home Banking • Resguardo de Archivos Personales • La importancia de Reporte de Incidentes
Seguridad InformáticaAspectos a tener en cuenta A I • “Los gerentes de seguridad de la información eficientes entienden que las auditorías constituyen tanto un proceso esencial de aseguramiento como un aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad” • Los auditores “pueden ser un factor clave en la implementación de los estándares de seguridad al comunicar información de retroalimentación basada en los resultados de las auditorías a la alta dirección para influir en la posición de los ejecutivos y conseguir su apoyo para actividades relacionadas con la seguridad” • “Incluir auditores en la gestión general de la seguridad puede ser una herramienta poderosa para mejorar la cultura de seguridad de una organización” (Fuente: ISACA – Manual CISM)
A I Auditoría Interna Normas Internacionales para el ejercicio profesional(sobre Atributos – sobre Desempeño) • La actividad de auditoría interna debe proporcionar servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de la organización (Normas sobre Atributos: 1100 – Independencia y objetividad) • Estatuto – Código de Ética – Comité de Auditoría (Normas sobre Atributos: 1000 – Propósito, Autoridad y Responsabilidad) • Capacitación profesional continua (Normas sobre Atributos: 1200 – Aptitud y cuidado profesional) • Debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado (Normas sobre Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) • Planes – Procedimientos – Matrices de Riesgo – Herramientas de auditoría (Normas sobre Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) • Aseguramiento y mejora de la calidad (Normas sobre Atributos: 1300 –Programa de aseguramiento y mejora de la calidad)
Auditoría Interna A I Normas Internacionales para el ejercicio profesional de la AI(de implantación) • Norma (D) 2100 - Naturaleza del Trabajo • 2110 .A2 • La actividad de auditoría interna debe evaluar si el gobierno de tecnología de la información de la organización apoya las estrategias y objetivos de la organización. • 2120.A1 • “La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente: • Logro de los objetivos estratégicos de la organización, • Fiabilidad de integridad de la información financiera y operativa, • Eficacia y eficiencia de las operaciones y programas, • Protección de activos, y • Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos”
A I Normativa SI (ISACA: COBIT – DS5 Garantizar la seguridad de los sistemas)
Controles y Continuidad de Negocio A I Modelo Conceptual SI Normas Internacionales para el ejercicio profesional Glosario: Controles de TI: “Soportan la gestión y el gobierno del negocio, y proporcionan controles generales y técnicos sobre las infraestructuras de tecnología de la información tales como aplicaciones, información, infraestructura y personas.” Gobierno de TI: “Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización.”
Controles y Continuidad de Negocio A I Negocio (ISACA: COBIT – DS4 Garantizar la continuidad del servicio)
Controles y Continuidad de Negocio A I Información (ISACA: COBIT – DS11 Administración de Datos)
Controles y Continuidad de Negocio A I Software y Aplicaciones (ISACA: COBIT – AI2 Adquirir y Mantener Software Aplicativo )
Controles y Continuidad de Negocio A I Hardware (ISACA: COBIT – AI3 Adquirir y Mantener Infraestructura Tecnológica)
Controles y Continuidad de Negocio A I Canales
Usuarios A I
3LoD para Gestión de Riesgos Modelo de las tres líneas de defensa (3LoD, en inglés) ¿es aplicable a Seguridad Informática? Fuente: IAIA (Plataforma Global de Defensa y Promoción)
3LoD para Gestión de Riesgoy Seguridad Informática Modelo de las tres líneas de defensa (3LoD, en inglés) • Primera línea de defensa (Gerencia operativa) • Tiene la propiedad, responsabilidad y obligación de evaluar, controlar y mitigar los riesgos, a la vez que mantiene controles internos eficaces. • Tiene la propiedad, responsabilidad y obligación de definir la adecuada segregación de funciones, otorgar acceso a la información con los principios de “necesidad de conocer y mínimo privilegio”, cumplimiento de Políticas, Normas y Procedimientos de Seguridad. • Segunda línea de defensa (Contralor, Gestión de riesgos, Seguridad Informática, otras funciones de cumplimiento) • Facilitan y supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la organización • Facilitan y supervisan la implementación de las Políticas de Seguridad por parte de la gerencia operativa, ayudan a difundir la cultura de seguridad de la información. • Administra el SGSI, informa a la alta dirección el estado de la seguridad. Fuente: IAIA (Plataforma Global de Defensa y Promoción)
A I 3LoD para Gestión de Riesgoy Seguridad Informática Modelo de las tres líneas de defensa (3LoD, en inglés) • Tercera línea de defensa (Auditoría interna) • A través de enfoque basado en el riesgo, proporcionará aseguramiento sobre la eficacia de gobierno, gestión de riesgos y control interno en el organismo de gobierno y la alta dirección de la organización, incluidas las maneras en que funcionan la primera y segunda línea de defensa. • Esta responsabilidad cubre todos los elementos del enfoque de gestión de riesgos de la institución: identificación de riesgo, evaluación de riesgo y respuesta a comunicaciones de información relativa a riesgos (de toda la organización y hacia la alta dirección y el organismo de gobierno). • Auditoría externa y Organismos reglamentarios externos • Se ubican fuera de la estructura de la organización. Cumplen un rol en la estructura de gobierno general y de control de la organización (este es específicamente el caso en los sectores regulados como el sector de bancos). Se pueden considerar como una línea de defensa adicional que proporciona aseguramiento a los accionistas, al consejo y a la alta dirección. Fuente: IAIA (Plataforma Global de Defensa y Promoción)
Gestión de Riesgos de TI Proporciona una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas se ha dotado • Activos • Amenazas • Controles Mejores prácticas / Regulaciones ISO 27005 framework Risk Analysis and Evaluation ISO 31000 Risk Management Risk IT Framework (ISACA) NIST SP 800 30 framework for Mitigation MageritMethodology for IT Risk Analysis BCRA 4609 / 4793 / 5374
Riesgos de TI Seguridad Informática Auditoría de Sistemas Negocio Información Usuarios Seguridad Informática Aplicación Auditoría por proceso Modelo conceptual Aplicación Aplicación Clasificación de Activos, Análisis y Gestión de Riesgos Aplicación Software de Base Software de Base • mejorar el SGSI y a Servidor Servidor Usuarios Hardware Canales Auditoría específica por aplicativo / plataforma / canal / UF (Aspecto Seguridad)
La Seguridad: Otra mirada “La Buenaventura” - Michelangelo Caravaggio Al observar ésta obra, la atención del espectador se centra en las intensas miradas de los personajes, ubicadas en el área más iluminada del cuadro….
La Seguridad: Otra mirada “La Buenaventura” - Michelangelo Caravaggio …Pero sin advertir lo que sucede en sus manos…
Gracias! Roberto Arienti rarienti@bna.com.ar Mónica Rela mrela@bna.com.ar