Un enfoquede procesos a la seguridadde la información
Transcript of Un enfoquede procesos a la seguridadde la información
1
Un enfoque de procesos a la seguridad de la información
Infosec es cada vezmás procesos
2
3
4
55
U N I V E R S I T YU N I V E R S I T Y
SWIFT
PC
SAP®,People-Soft®,JD-Edwards®,
SincoSoft®,S1ESA®, Seven®,
Apotheosis®,otros ERPs
Pagos electrónicos y SWIFT
6
7
8
9
1010
AntesP
ITS
Em
pres
a de
Tr
ansp
orte
inicio
Recolectar documentos
Revisar documentos
docs
Recibir documentos
Completar y Corregir
incompleto
AsignarturnoOk
Persona TO revisa
documentos
incompleto
RadicartrámiteOk
Entrega colilla radicado a
usuario
Genera manifiesto Envía a CP
tula
Revisar número cincho
y registro recepción
Apertura tula Entrega a correspondencia
Recepción tula y manifiesto
starttimer
bolsa
Recibe correspondencia
Separa correspondencia
Radica recepción
trámiteindiv Acumula
escritorio
múltiple
horarevisar
pendientes
Recogercorrespondencia
trámite
TO original y una copia
Relaciona en manifiesto
Arma tula para PIT y
cincho
Entrega tula a motorizado
Recibetula
Distribuye trámites en PIT
Presenta colilla radicado
Busca trámiteEntrega
relación TO y valor a pagar
Recibe recibo de pago
Paga en Banco o en caja
Verifica pago Entrega TO
termina
Recibe TO
stoptimer
Ubica trámite. Cambia a
"RECIBIDO"
Revisa docs
Compara info con base de datos
Actualiza revisión técnico-
mecánicaOk
Graba # revisión técnico-mecánica,
cambia a "DIGITACIÓN"
Cambia fecha vencimiento TO, cambia a "IMPRESO", sistema
genera # EV
Compara# EV del
sistema con físico
Imprime TO, cambia a
"ENVÍO PIT"Ok
Separa copia TO
Genera soportes
de archivo
Empaca en bolsa TO
original y copia
Cambia a "DEVUELTO"
Incorrectos
no iguales
Ingresa motivo, cambia a
"ENVÍO PIT"
Empaca en bolsa
Lleva bolsa a mesa
correspondencia
Bolsa con devolución
ServitecaOk
No existeServiteca
Solicita a sistemas creación Serviteca
Crea Serviteca en Base de Datos
Informa a TO
espera
indivi
Ingreso sistema # radicado
múltiple
verificación recibo físico de documentos por
placa y manifiesto
nosoportes
Cambia a "RECIBIDO"Ok
Revisa completitud
docs
Incompletos
Incompletos
Ok Valida información
Incorrectos
Ok
Sólo en Alamos
# EV sistema>
físico
mayor
menor
Anula # EV físicas
Busca # EV en
caja fuerte
Ingresa # EV a informe Excel
Entrega informe fin de mes a
Especies Venales
Entrega informe anuladas a Jefe de Producción
1
1
1
1
1
1
9. Pérdida de documentos en CP
10. Control de acceso a caja fuerte
7., 11. y 13. Errores de transcripción por ingreso manual de datos
12. Verificaciones de legalidad dependen de la experiencia del funcionario
14. No seguimiento sobre reversión
15. Transcripción no obligatoria de datos
17. TO anuladas
19. Copias de TO, en general manejo
de archivos
16. Informe de TO anuladas en Excel
1. No trazabilidad de transacciones
2. Privilegios no asociados a
funciones"need to know"
3. y 4. Rotación de cargos5. Múltiples chequeos
6. Amenazas contra disponibilidad
causadas por RUNT
8. Acceso no autorizado causado
por inactividad
16. Cupos y tutelas 18. Cambios en producción sin ningún
control
18. Almacenamiento desordenado de papeles
20. EV en blanco
21. Opciones activas en la
aplicación aparentemente sin
uso
7. y 13. Errores de transcripción por ingreso manual de datos
22. TO. duplicadas 23. Fecha vencimiento TO.
24. Copia TO. a mesa de ping-pong
25. Verificación firmas
26. Copia BD. en Interventoría
27. Gestión de Identidades
28. Ficha técnica indefinida
29. Indicios pobre calidad datos
30. Datos reales en ambientes de pruebas
31. Diferentes versiones de clientes de Qx®
RTO Actual - Expedición TO.
1111
DespuésS
IME
mpr
esa
de
Tran
spor
te Recibe solicitud
AutenticaciónEmpresa
Diligenciar formulario
Recibir formularioOk
starttimer termina
stoptimer
AutenticaciónSIM
credenciales
error
Formulario
Ok
error
RU
NT
Fase
cold
a
WS RUNT SOAT arriba?
Ok
Consumo WS SOAT
caido
SOAT Ok?
placa
OkError
WS Revisión arriba?
Consumo WS
Revisión
Ok
caido
placa
Existe WS Póliza CA?
Consumo WS Póliza
CA
Si
no
placa
Consumo Póliza ECA
placaRevisión Ok?
OkError
Póliza CA Ok?
Ok
Error
Póliza ECA Ok? Ok
Error
ImprimirTO.
Validar reglas
negocio y aspectos jurídicos, medidas
cautelares
Ok
error
Tran
spor
tado
r inicio
Solicita TO.
Gestionar requisitos
Transporte físico de TO., TO. (s),iniciado por SIM o por la Empresa de Transporte
Recibir TO. (s)
termina
Generar informe
rechazos recibido
termina
Enviar a empresa o
PIT
Atención PIT, recibir
documentos
web /manual? web
Manual
Digitalizar documentos
Recibir pago
RevisarResultados
Pagar servicio botón de
pagos
protocolo ACH
web Impresión TO. arriba?
No
Diligenciar formulario
Instalación DIE e inventario TAGs
Si
Genera EV y
registrar pago
1. No disponibilidad ws. terceros
Nuevo RTO - Expedición (individual y múltiple), Renovación y Duplicado TO.
2. No disponibilidad información terceros
3. Préstamos de cuentas, no trazabilidad
4. Falta de calidad de datos
5. Perfiles, roles y control de acceso
6. Fuga de información por copias no controladas
Expedición primera vez No
Si
Asociar placa, DIE y cita
-
Registrarerror
Registrarerror
Registrarerror
Algún error?
Ok
Errores
WS Póliza CA arriba?
Ok
caido
Hint: revisión imagen
Existe WS Póliza ECA?
Si
WS Póliza ECA arriba?
Ok
caido
noHint:
revisión imagen
Firmar digitalmente
carta de solicitud
Digitalizar docs
adicionales
Validación manual
imágenes CA, ECA
12
Críticas a ISO-9000
12
13
Críticas a ISO-9000 (.)
13
1414
15
Ciclo Deming
15
Plan Do
Check Act
Standardization
Maturity
16
Ciclo Deming en Colombia
16
Standardization
ISO 9000certified
17
• Especificación,• Diseño,• Implementación,• Testing,• Uso,• Mantenimiento
17
¿Dónde puede fallar el proceso de ingeniería de software?
Requirementsand
Use Cases
Architectureand
DesignTest plans Code
Tests andTest Results
Feedback from the
Field
¿Seguridad?
¿Continuidad?
¿Cumplimiento?
18
• Incorporar un requerimiento nuevo en un sistemaen producción cuesta 200 veces más queincorporarlo a tiempo de especificación,
• La corrección de defectos consume más del 50% de los recursos del proyecto,
• Más del 50% de los defectos en la industria del software se deben a fallas en la determinación de requerimientos
18
Algunos hechos obvios
SQUARE (Security Quality Requirements Engineering) methodology. http://www.cert.org/sse/square.html
19
2020
Typical software security vulnerabilities
Atypicalpatchtuesday
20
2121
¿Dónde puede fallar el proceso de ingeniería de software?
Requirementsand
Use Cases
Architectureand
DesignTest plans Code
Tests andTest Results
Feedback from the
Field
¿Seguridad?
¿Continuidad?
¿Cumplimiento?
+ Test Driven Development+ Continuous Integration+ Lean
22
Estamos muy ocupados…
22
23
El FBI y la puerta trasera al iPhone
24
25
Vulnerabilidades en una organización
25
New or foreigncompetitors
Public boycott& condemnation
Foreign marketprotectionism
Offensiveadvertising
Loss of intellectualproperty
Customer relations
Supplier relationsDealer relations
Inadequatemgmt. oversight
Ethics violation
Timing of businessdecisions and moves
Negative mediacoverage
Market sharebattlesPricing and incentive wars
Attacks on brand loyalty
Union relations, labordisagreements & contract
frustrationProduct design& engineering
Product developmentprocess
Perceived quality
Joint-venture /alliance relations
Technology decisions
Mergers & industryconsolidation
Product-market alignment“gotta have products”Program lunch
Customer demandseasonality & variability
IneffectiveplanningBudget overruns
or unplanned expenses
HR risks – key skill shortage, Personal turnoverHarassment &discrimination
Embezzlement
Loss of keyequipment
Vandalism
Arson
Warranty/productrecall campaigns
Kidnapping
TheftInfo. Mgmt. problems
Accounting or internalcontrols failure
Loss of key personalIT failures
Workplace violence
Operator errorsaccidental damage
Loss of keysupplier
Utilities failures(comm., electricity,water, power, …)
Supplier businessinterruption
Tier 1,2,3, nsupplier problems:
financial trouble, quality “spills”,failure to deliver materials
Service providerfailures
Restriction ofaccess / egress
Dealer distributionnetwork failures
Logistics provider failures
Logistics routeor mode disruptions
Asbestos exposureMold exposure
Geopolitical risksSevere hot/cold
weatherEarthquake
FloodingTerrorism / sabotage
WildfireDisease / epidemic
TornadoAnimal infestation
Blizzard / ice stormsHail damage
Hurricane / typhoonHeavy rain
thunderstorms
Currencyinconvertibility
Economicrecession
Financial marketinstability
Currency &foreign exchange rate
fluctuations
Interest ratefluctuations
Shareholderactivism
Credit default
Adverse changesin environmental
regulations
Accounting/taxlaw changes
Asset valuation
Liquiditycash
Health care& pension costs
Data & creditrating
Revenuemanagement
Uncompetitivecost structure
Product liability
General liability
Volcanoeruption
TsunamiWind damage
Land, water,atmospheric
pollution
Deductiblelimits
Loss of keyfacility
Propertydamage
Lightningstrikes
Building subsidence& sinkholes
Building collapse
Workerscompensation
Directors &officers liability
3rd partyliability
Cargo losses
Boiler or machineryexplosion
FinancialVulnerability
HazardVulnerability
StrategicVulnerability
OperationsVulnerability
Terrorism
Riesgo“país”
Governmentinquiries
Fuente: The Resilient Enterprise. Sheffi. MIT Press. 2007.
26
Vulnerabilidades Operacionales
26
HR risks – key skill shortage, Personal turnover
Harassment &discrimination
Embezzlement
Loss of keyequipment
Vandalism Arson
Warranty/productrecall campaigns
Kidnapping
Theft
Info. Mgmt. problems
Accounting or internalcontrols failure
Loss of key personal
IT failuresWorkplace violence
Operator errorsaccidental damage
Loss of keysupplier
Utilities failures(comm., electricity,water, power, …)
Supplier businessinterruption
Tier 1,2,3, nsupplier problems:
financial trouble, quality “spills”,failure to deliver materials
Service providerfailures
Restriction ofaccess / egress
Dealer distributionnetwork failures
Logistics provider failures
Logistics routeor mode disruptions
TerrorismGovernment
inquiries
2727
Basel II framework - International Convergence of Capital Measurement and Capital Standards
28
644. Operational risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk but excludes strategic and reputational risk.
• legal risk includes, but is not limited to, exposure to fines, penalties, or punitive damages resulting from supervisory actions, as well as private settlements
28
Basel II framework - International Convergence of Capital Measurement and Capital Standards
2929
Las relaciones
Gente Información Sitios Tecnología
ProcesosdeNegocio
Servicios
Activos
3030
Un activo fallido puede hacer fallar la misión
Servicio
Service’sMission
Misión delaOrganización
Gente Información Sitios Tecnología
Proceso deNegocio
Mission
✗✗ ✗
✗
• La falla de uno o más activos tiene un efecto cascada sobre procesosde negocios, servicios y la organización como un todo
31
Las tres dimensiones críticas
31
Gente con destrezas,entrenamiento y motivación
Herramientas y Equipos
Procedimientos y Métodos que definenlas relaciones de las tareas
PROCESO
radio waves
receiver wherewaves are collected
wavesconverted intoelectro signals
computerreceived as signal
32
• Reingeniería de Procesos:• Gestión de Riesgos:• Gestión de Continuidad:• Gestión de incidentes:• Gestión de Activos:• Gestión de logs, monitoreo y mediciones:• Seguridad en el ciclo de vida del software:• Gestión de terceros:• Gestión de identidades:• Gestión de acceso:• Gestión de vulnerabilidades:
Cómo preservar la misión
33
Petraeus Scandal
33
34
Petraeus Scandal (.)
34
35
• Bitcoin y hashblocks,• Ingenieros Industriales identifican mejoras incrementales,
– Mejoras radicales requieren entender IT,
• Seguridad en el ciclo de vida del software,• Atención CoveOps,• Certificaciones sin valor real,
– Seguridad por marketing…
Atentos a: