Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)
description
Transcript of Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)
![Page 1: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/1.jpg)
Acciones empresariales en la prevención de criminalidad virtual para mitigar
riesgos
Manuel Humberto Santander PeláezArquitecto Seguridad de la Información
![Page 2: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/2.jpg)
Agenda
• Introducción
• Riesgos Seguridad de la Información
• Procedimiento Respuesta a Incidentes
• Metodología investigación forense
• Conclusiones
![Page 3: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/3.jpg)
Introducción
![Page 4: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/4.jpg)
Historia
• Los viejos días …
– Windows 3.1
– DOS era usado para la gran mayoría de los
programas
– Internet Incipiente
– Modems!!!
– Computación Centralizada
– Mainframes
![Page 5: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/5.jpg)
Historia (2)
• Manejo de dinero en efectivo
– Las redes de cajeros eran incipientes
– Tarjetas débito o crédito manejadas mediante
voucher o autorización telefónica
• La información de la compañía residía en
libros
– Consultas manuales en archivos físicos de las
compañías
– Aseguramiento físico de la información
![Page 6: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/6.jpg)
Los viejos fraudes …
• Los mensajes anónimos se realizaban
manualmente
– Se cortaban letras de revistas
– Había que evitar los reconocimientos grafológicos
– El correo público, ideal para camuflar el emisor de
la comunicación
• Las suplantaciones igualmente existían
– ¿Qué tan fácil se puede suplantar una firma?
– ¿Cuántas personas cayeron en conversaciones
telefónicas con una persona ficticia?
![Page 7: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/7.jpg)
Los viejos fraudes … (2)
• Los virus de aquel entonces no hacían
mayores estragos
– Se desplegaban por diskettes
– Pocas aplicaciones en red
– Internet inexistente
• Cuando ocurrían estragos, los procesos de
contingencia se activaban
– Tecnología no era una variable crítica en la
empresa
– El tiempo de restauración no era relevante
![Page 8: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/8.jpg)
Pero …
• La tecnología evolucionó
• Internet hizo su aparición en el país
• Gopher, sólo para sistemas UNIX, empezó ser
desplazado gradualmente por Navegadores
Web
• Windows eliminó del mapa al viejo DOS
• Los negocios empezaron a requerir
intercambio de archivos dinámico
• La información ya no estaba sólo en servidores
centrales …
![Page 9: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/9.jpg)
Los nuevos fraudes
• Suplantación de usuarios
– Robo cuentas MSN
– Robo cuentas Facebook
– ¿Qué pasa si se roban las cuentas con privilegios
de pagos en el ERP?
• Envío de correos electrónicos anónimos
– Hotmail, GMAIL, yahoo, …
– ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
compañías
![Page 10: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/10.jpg)
Los nuevos fraudes (2)
• Negación de servicio en la infraestructura de la
compañía
– ¿Recuerdan el denial of service en twitter?
(http://status.twitter.com/post/157191978/ongoing-
denial-of-service-attack)
– ¿Qué pasa si eso lo hacen al portal web de Banco?
• Falsificación información en las bases de datos
– La infraestructura tiene vulnerabilidades
– ¿Qué pasa si alguien las aprovecha?
![Page 11: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/11.jpg)
Los nuevos fraudes (3)
• Exploits al alcance de cualquier persona
– http://www.packetstormsecurity.org
– http://www.securityfocus.org
– http://inj3ct0r.com/
• Herramientas para análisis de vulnerabilidades
– http://www.nessus.org
– http://www.openvas.org
![Page 12: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/12.jpg)
Los nuevos fraudes (4)
• Frameworks para penetration testing
– http://www.metasploit.org
• Distribuciones LiveCD para seguridad
– http://www.remote-exploit.org/backtrack.html
• Todos estos sitios actualizan su contenido
periódicamente
• Aunque el Sistema de Gestión de Seguridad
de la Información define controles, ¿Cubren
ampliamente estos controles los riesgos?
![Page 13: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/13.jpg)
Retos
• No existe seguridad garantizada 100%
– Los controles que minimizan los riesgos siempre
dejan un riesgo residual
– Riesgo residual, aunque bajo, implica que puede
materializarse
• Sabemos como controlar los riesgos para que
permanezcan mínimos
• ¿Qué hacer cuando los riesgos de seguridad
de la información se materializan?
![Page 14: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/14.jpg)
Riesgos Seguridad de la Información
![Page 15: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/15.jpg)
Controles ISO27001Políticas de Seguridad
Organización de la Seguridad
Clasificación y Control de Activos
Control de Accesos
Seguridad del Personal
Seguridad FísicaDesarrollo y
Mantenimiento de Sistemas
Gestión de Comunicaciones y
Operaciones
Administración de la Continuidad del
Negocio
Cumplimiento
Gestión de Incidentes de
Seguridad
ISO27001
Sistema de Gestión de
Seguridad de la
Información
![Page 16: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/16.jpg)
Controles técnicos de seguridad
• Firewalls
– Aplicación
– Red
• Sistemas de Detección de Intrusos
– Red (NIDS)
– Host (HIPS)
• Controles de navegación URL
![Page 17: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/17.jpg)
Controles técnicos de seguridad (2)
• Control antimalware
– Servidores
– PC
– Internet (http, ftp, smtp)
• Data loss prevention
– Servidores
– PC
– Internet
• NAC
![Page 18: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/18.jpg)
Controles técnicos de seguridad (2)
• Mitigan el riesgo de seguridad de la
información
– No lo eliminan
– Sí, puede materializarse el riesgo aún teniendo
controles
• Pueden proveer evidencia en caso de la
ocurrencia de un incidente de seguridad
• ¿Qué hacer empresarialmente?
![Page 19: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/19.jpg)
Procedimiento respuesta a incidentes
![Page 20: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/20.jpg)
Ciclo de vida respuesta a incidentes
PreparaciónDetección y
Análisis
Contención, Erradicación
y Recuperación
Actividades Post-Incidente
![Page 21: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/21.jpg)
• Debe establecerse una capacidad de respuesta
a incidentes en la organización
• Deben instalarse controles para que los equipos
de cómputo, la red y las aplicaciones son
suficientemente seguros
• Comunicaciones de los administradores de
incidentes
• Hardware y software para respuesta a
incidentes
21
Preparación de incidentes
![Page 22: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/22.jpg)
• El riesgo debe ser mínimo
– Los controles necesarios deben ser implementados
– Si no están los controles necesarios implementados,
el número de incidentes aumenta
• Proceso de gestión del riesgo
– Parte del Sistema de Gestión de Seguridad de la
Información
– El entorno cambia continuamente
– Debe realizarse periódicamente
22
Prevención de incidentes
![Page 23: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/23.jpg)
• Controles de seguridad para prevención de
incidentes
– Administración de parches
– Línea base para servidores y PC
– Seguridad en Red
– Prevención de código malicioso
– Entrenamiento para usuarios
23
Prevención de incidentes (2)
![Page 24: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/24.jpg)
• Los incidentes deben agruparse en categorías
– Definición de procedimientos por cada categoría de
incidente
– Permite mayor rapidez para atender los incidentes
• Tipos de incidente
– Denial of Service
– Código malicioso
– Acceso no autorizado
– Uso inapropiado
24
Detección y análisis
![Page 25: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/25.jpg)
• Análisis de incidentes
– Las señales de incidentes no corresponden
necesariamente a incidentes que hayan ocurrido o
estén ocurriendo
– Deben descartarse problemas en la infraestructura o
en el software antes de determinar que fue un
incidente de seguridad
– ¿Cómo determinar si ocurrió un incidente?
oDetermine patrones en los equipos y las redes de
datos
oDetermine los comportamientos normales
oUse logs centralizados y cree una política de
retención de logs
25
Detección y análisis (2)
![Page 26: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/26.jpg)
• Escogencia de una estrategia de contención
• Captura y manejo de evidencia
– Debe aplicarse la normatividad legal para la captura
de la evidencia
• Erradicación y recuperación
– El servicio debe recuperarse
– ¿Qué es primero? ¿Evidencia o servicio?
26
Contención, erradicación y recuperación
![Page 27: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/27.jpg)
• Lecciones aprendidas
– ¿Qué pasó exactamente y en qué tiempos?
– ¿Cómo manejó la gerencia y el personal el incidente?
¿Se siguieron los procedimientos? ¿Fueron
adecuados?
• Métricas del proceso de respuesta a incidentes
– Número de incidentes atendidos
– Tiempo por incidente
– Auditoría del proceso de respuesta a incidentes
27
Actividades Post-incidente
![Page 28: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/28.jpg)
MetodologíaInvestigación Forense
![Page 29: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/29.jpg)
29
Metodología Investigación Forense
Recolección de
Evidencia
Procesamiento de la
Evidencia
Análisis de la Evidencia
Reporte Final
![Page 30: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/30.jpg)
• Recolección de Evidencia
– Identificar, etiquetar, grabar y adquirir evidencia
desde fuentes relevantes de datos para el caso
– El procedimiento de cadena de custodia es
fundamental en esta etapa
– Deben utilizarse procedimientos que garanticen la
integridad de las porciones de evidencia extraídas
– Siempre y cuando usted sea cuidadoso y siga la
metodología en el procedimiento de extracción de
evidencia, ésta será válida dentro de un proceso
30
Metodología Investigación Forense (2)
![Page 31: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/31.jpg)
• Procesamiento de la Evidencia
– Procesar la evidencia mediante la combinación de
procedimientos automáticos y manuales para realizar
la valoración y la extracción de datos particulares de
interés para el investigador
– La integridad de la evidencia debe garantizarse
– Involucra el análisis del sistema de archivos, el
sistema operativo y los programas instalados en el
equipo
– Diversas herramientas para la realización de estas
tareas
31
Metodología Investigación Forense (3)
![Page 32: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/32.jpg)
• Análisis de la Evidencia
– Analizar los datos arrojados como resultado del
procesamiento de la evidencia
– Construcción del caso: Quién, qué, cuándo, dónde y
cómo
• Reporte Final
– Detalle completo de los pasos, herramientas y
procedimientos utilizados en toda la investigación
– Incluye recomendación de acciones para evitar la
materialización de riesgos como mejoras la las
políticas, guías, procedimientos, herramientas
32
Metodología Investigación Forense (4)
![Page 33: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/33.jpg)
Preguntas
![Page 34: Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)](https://reader038.fdocuments.net/reader038/viewer/2022102805/55641236d8b42aa9518b5cbb/html5/thumbnails/34.jpg)
¡Muchas Gracias!
Manuel Humberto Santander Peláez
Unidad Arquitectura y Estrategia
Subdirección Tecnología de Información
Empresas Públicas de Medellín E.S.P.
E-mail: [email protected]
http://manuel.santander.name