Ricardo Morales, CISSP, CISA, CISM, ISO27001 LA, ITIL (OSA), CGEIT, CRISC, ISO20000 Auditor 6 Dic 2012 CONFERENCIA ANUAL ISACA MONTERREY 2012 AGENDA 1. 2. 3. 4. 5. Introducción Ambiente de Seguridad en México Enfoque FDI (Fugas de Información) Componentes FDI Metodología FDI CONFERENCIA ANUAL ISACA MONTERREY 2012 Iniciamos CONFERENCIA ANUAL ISACA MONTERREY 2012 360 / 370 Monolithic processor (main) storage of up to four megabytes was available in a single Model 158. Announced August 2, 1972 and withdrawn September 15, 1980. 1 MB RAM 5 MDD CONFERENCIA ANUAL ISACA MONTERREY 2012 Seguridad en los 70s Redes NO Públicas Muy Caro Ambiente de Cómputo Bardas físicas Control de Acceso (factor de Exposición es bajo) Alambres Corporativos Poca Sistematización en empresas (Sist. Inf.) Batas Blancas/ No acceso masivo a la Tecnología Dominio de Desarrollos propios/ tercera generación de lenguajes Dominio del Procedimiento BATCH CONFERENCIA ANUAL ISACA MONTERREY 2012 Bing Bang Nativos Digitales Movilidad XLSI Cyberwar Anonymous $/ GHZ Internet Red Social K Mitnick Worms $/ MB Desktop FORTRAN —"the infantile disorder"—, by now nearly 20 years old, is hopelessly inadequate for whatever computer application you have in mind today: it is now too clumsy, too risky, and too expensive to use. The use of COBOL cripples the mind; its teaching should, therefore, be regarded as a criminal offence. CONFERENCIA ANUAL ISACA MONTERREY 2012 Procesos de Negocio Información Información Sensible no encriptada en las Bases Archivo y Eliminación no controlada de información sensitiva Conocen este Ambiente? Desarrolladores que acceden a datos en Producción Publicación de información de la empresa en Internet (redes sociales) o almacenados en la “nube” Inadecuados perfiles de acceso permiten que usuarios puedan acceder a información que no deberian ver Sistemas de Monitoreo que permiten acceder a datos transaccionales Tercerización de Procesos sin adecuados controles CONFERENCIA ANUAL ISACA MONTERREY 2012 Ambiente en México (relacionado a FDI) LFPDPPP, existe el marco legal, organizaciones poco preparadas, ha ocurrido un caso relevante (San Pablo Dic 2012), sociedad sin ejercer sus derechos ARCO, a la expectativa del nuevo Gobierno. Continuidad de Negocios, a causa de una gran variedad de desastres naturales y altos índices de delincuencia, las organizaciones están mejorando sus Planes de Continuidad que todavía son muy inmaduros, Gobierno sin capacidad para organizar Planes ante desastres en conjunto con las Organizaciones. Delitos Cibernéticos, no hay marco legal, nos llaman en la Región “Las islas caimanes de TI”, por lo que las Organizaciones deben ser capaces de responder para protegernos ante eventos de Seguridad aún sin esta legislación. CONFERENCIA ANUAL ISACA MONTERREY 2012 Ambiente en México (relacionado a FDI) Contratos, se empiezan a ver casos donde además de incorporar en los Contratos Propiedad Intelectual y NDAs se añaden temas de Fugas de Información. ISO27001, su certificación está en crecimiento debido principalmente a requisitos clienteproveedor, son menos de 40 Sistemas Certificados (Japón tiene más de 4,000). Documentos Electrónicos, el uso de la Firma Electrónica Avanzada se fomentará mas por los Estados y Plataforma e-México; La Protección y Resguardo de los archivos de Facturación (XML) debe de ser una prioridad de acuerdo como está el marco de ley (deducibilidad y resguardo seguro como mínimo 5 años). CONFERENCIA ANUAL ISACA MONTERREY 2012 Enfoque de Cliente ante FDI • Preocupaciones Políticas • Competencia • Coyunturales El Paradigma de Seguridad cambió: ya no es sólo asunto de protegerse de las amenazas exteriores, ahora es cuidar la información que sale • Preocupaciones Ideológicas • Cumplimiento • Información Técnica • Propiedad Intelectual CONFERENCIA ANUAL ISACA MONTERREY 2012 Enfoque de Cliente ante FDI -BDs Manufacturing Sector Público Proyectos de desarrollo de Negocios Aspectos Impositivos Sensibles Consumo Masivo Oil & Gas Base de Base de Detalle de proveedores Proveedores producción Financiera Salud Telecom, Media y Tecnología Tarjetas de crédito Información de Pacientes Nuevos Productos Información Desarrollos Desarrollos Ejecución Desarrollo de Promociones de Seguridad presupuestaria medicamentos tecnológicos tecnológicos de clientes CONFERENCIA ANUAL ISACA MONTERREY 2012 Esquema conceptual de funcionamiento FDI ¿Qué hace el usuario con los datos? Datos no estructurados Lectura Escritura Copiar/Pegar Mover Imprimir Copiar a CD Subir a la Web Datos estructurados Ver Modificar Borrar Extraer ¿A dónde van los datos? E-mail Aplicaciones Dispositivos Redes Auditoría CONFERENCIARegistros ANUAL de ISACA MONTERREY 2012 Usos típicos de DLP REGISTRAR, AVISAR O DETENER un mensaje de Correo ENCONTRAR información sensible Almacenada en lugares donde NO debiera estar Analizar el contenido de un Archivo y/o su nombre REGISTRAR, AVISAR O CONTROLAR que un usuario Imprima en forma no autorizada un documento MONITOREAR la Red de la Organización en busca de información sensible y REGISTRAR o AVISAR todos los movimientos CONTROLANDO la fuga de información en una laptop corporativa aunque la misma este fuera de la red corporativa REGISTRAR, AVISAR O CONTROLAR que un usuario Copie en forma no autorizada información sensible en un CD, disco o USB CONTROLANDO las Copias en Memoria Cumplimiento - back to basics • Regulaciones • Leyes • Convenios • Por Industria -PCI -HIPAA -LFPDPPP -etc CONFERENCIA ANUAL ISACA MONTERREY 2012 COMPONENTES FDI • Análisis de Cumplimiento • Diagnóstico Inicial • Normatividad (Política, Directrices) • Análisis de Flujos • Métricas • Áreas Sensibles • Dueños de Activos de Información • Proceso de Incidentes • Reglas de Fugado • Análisis de Riesgos • Alcance • Implementación Técnica • Clasificación de Información • Ajuste Controles existentes (Net, agents, Mail, Web, etc.) (Labeling y Manejo) • Modelo, Proceso, Entrenamiento, Tecnología CONFERENCIA ANUAL ISACA MONTERREY 2012 COMPONENTES CONFERENCIA ANUAL ISACA MONTERREY 2012 Level of Risk (No. of Incidents) COMPONENTES Ajuste gradual de la solución DLP Exact Data Matching Datos de Empleados: COMPONENTES Reglas Tipo de Información: Tabla Excel con información de empleados. Acción: Manipulación de información de empleados de la organización. Respuesta: Generación de alerta en la consola de administración de la herramienta. STRUCTURED DATA CUSTOMER DATA Datos de Clientes y Empleados Bajo porcentaje de falsos positivos COMPONENTES Described Content Matching Datos de Tarjetas de Crédito: Reglas Tipo de Información: Excel con Tarjetas de crédito con BIN 5544 Acción: Copia de información de tarjetas de crédito con prefijo 5544 hacia un dispositivo extraíble. Respuesta: Bloqueo de la acción “copia” y notificación al usuario. DESCRIBED DATA Information no Indexable Palabras Clave Data Identifiers COMPONENTES Reglas Indexed Document Marco Normativo: Matching Tipo de Información: 15 Documentos de un Marco Normativo en formato de Word. Acción: Copia parcial o total del texto de un documento perteneciente al marco normativo. Respuesta: Generación de alerta en la consola de administración. UNSTRUCTURED DATA INTELLECTUAL PROPERTY Datos de Diseño y Financieros Bajo porcentaje de falsos positivos COMPONENTES Ejemplo de Alerta generada en la consola de administración Alertas Ejemplo de Alerta generada en la estación de trabajo del usuario. • Análisis de Cumplimiento • Workshop Alta Administración • Diagnostico Inicial • Análisis de Flujos Plan Establecer Proceso de FDI • Alcance, Modelo FDI • Implementar las mejoras identificadas • Métricas, Áreas Sensibles • Realizar acciones correctivas y preventivas • Análisis de Riesgos • Comunicar los resultados Implementar y operar Gestión de FDI Controles existentes (Net, Mail, Web, etc.) Do • • Proceso de Incidentes • Reglas de Fugado, Proceso FDI • Implementación Técnica • Normatividad (Política, Directrices) • Tratamiento de Riesgos • Clasificación de Información • Concientización, Entrenamiento SGFDI Monitoreo y revisión Gestión de FDI Check Implementar y operar Gestión de FDI • Fine Tunning Reglas • Auditoria de Incidentes • Auditoria del SGFDI • Revisión de Métricas Act En que están fallando las Organizaciones • Borrachera Tecnológica • Penalidades • Clasificación de Información • Mantenimiento de reglas • Proceso de Incidentes • Políticas • Fine Tunning Tech • Administración de Riesgos CONFERENCIA ANUAL ISACA MONTERREY 2012 A.16 Fuga de Información / ISO27001 Objetivo de Control A.16.1 Asegurar que la Información Sensible pueda ser monitoreada y controlada ante posibles fugas Control A.16.1.1 Inventario de Datos Sensibles Control A.16.1.2 Flujos de Datos Sensibles . Control A.16.N ¿Será el nuevo Dominio #12 ? Objetivo de Control A.16.2 Control A.16.2.1 Control A.16.2.2 . Control A.16.2.N To be Continued…………. CONFERENCIA ANUAL ISACA MONTERREY 2012 Preguntas Expositor: Ricardo Morales www.isacamty.org.mx www.isaca.org 6 Dic 2012 CONFERENCIA ANUAL ISACA MONTERREY 2012 •Apoyos Principales proveedores de soluciones DLP Expositor: www.isacamty.org.mx www.isaca.org CONFERENCIA ANUAL ISACA MONTERREY 2012