Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

20121206 Fugas del capital intelectual

Anuncio 
Ricardo Morales, CISSP, CISA, CISM, ISO27001 LA, ITIL (OSA), CGEIT, CRISC, ISO20000 Auditor
6 Dic 2012
CONFERENCIA ANUAL ISACA MONTERREY 2012
AGENDA
1.
2.
3.
4.
5.
Introducción
Ambiente de Seguridad en México
Enfoque FDI (Fugas de Información)
Componentes FDI
Metodología FDI
CONFERENCIA ANUAL ISACA MONTERREY 2012
Iniciamos
CONFERENCIA ANUAL ISACA MONTERREY 2012
360 / 370
Monolithic processor (main) storage of up to
four megabytes was available in a single Model
158.
Announced August 2, 1972
and withdrawn September
15, 1980.
1 MB
RAM
5 MDD
CONFERENCIA ANUAL ISACA MONTERREY 2012
Seguridad en los 70s
Redes NO Públicas
Muy Caro Ambiente de Cómputo
Bardas físicas
Control de Acceso (factor de Exposición es bajo)
Alambres Corporativos
Poca Sistematización en empresas (Sist. Inf.)
Batas Blancas/ No acceso masivo a la
Tecnología
Dominio de Desarrollos propios/ tercera
generación de lenguajes
Dominio del Procedimiento BATCH
CONFERENCIA ANUAL ISACA MONTERREY 2012
Bing Bang
Nativos Digitales
Movilidad
XLSI
Cyberwar
Anonymous
$/ GHZ
Internet
Red Social
K Mitnick
Worms
$/ MB
Desktop
FORTRAN —"the infantile disorder"—, by now nearly 20 years old, is
hopelessly inadequate for whatever computer application you have in
mind today: it is now too clumsy, too risky, and too expensive to use.
The use of COBOL cripples the mind; its teaching should, therefore, be
regarded as a criminal offence.
CONFERENCIA ANUAL ISACA MONTERREY 2012
Procesos de Negocio
Información
Información
Sensible no
encriptada en las
Bases
Archivo y
Eliminación no
controlada de
información
sensitiva
Conocen este
Ambiente?
Desarrolladores que
acceden a datos en
Producción
Publicación de
información de la
empresa en Internet
(redes sociales) o
almacenados en la
“nube”
Inadecuados perfiles
de acceso permiten
que usuarios puedan
acceder a
información que no
deberian ver
Sistemas de
Monitoreo que
permiten acceder a
datos
transaccionales
Tercerización de
Procesos sin
adecuados
controles
CONFERENCIA ANUAL ISACA MONTERREY 2012
Ambiente en México
(relacionado a FDI)
LFPDPPP, existe el marco legal, organizaciones poco preparadas, ha ocurrido un caso
relevante (San Pablo Dic 2012), sociedad sin ejercer sus derechos ARCO, a la expectativa
del nuevo Gobierno.
Continuidad de Negocios, a causa de una gran variedad de desastres naturales y altos
índices de delincuencia, las organizaciones están mejorando sus Planes de Continuidad
que todavía son muy inmaduros, Gobierno sin capacidad para organizar Planes ante
desastres en conjunto con las Organizaciones.
Delitos Cibernéticos, no hay marco legal, nos llaman en la Región “Las islas caimanes de
TI”, por lo que las Organizaciones deben ser capaces de responder para protegernos
ante eventos de Seguridad aún sin esta legislación.
CONFERENCIA ANUAL ISACA MONTERREY 2012
Ambiente en México
(relacionado a FDI)
Contratos, se empiezan a ver casos donde además de incorporar en los Contratos Propiedad
Intelectual y NDAs se añaden temas de Fugas de Información.
ISO27001, su certificación está en crecimiento debido principalmente a requisitos clienteproveedor, son menos de 40 Sistemas Certificados (Japón tiene más de 4,000).
Documentos Electrónicos, el uso de la Firma Electrónica Avanzada se fomentará mas por los
Estados y Plataforma e-México; La Protección y Resguardo de los archivos de Facturación (XML)
debe de ser una prioridad de acuerdo como está el marco de ley (deducibilidad y resguardo
seguro como mínimo 5 años).
CONFERENCIA ANUAL ISACA MONTERREY 2012
Enfoque de Cliente ante FDI
• Preocupaciones Políticas
• Competencia
• Coyunturales
El Paradigma de Seguridad cambió: ya no es sólo
asunto de protegerse de las amenazas exteriores,
ahora es cuidar la información que sale
• Preocupaciones Ideológicas
• Cumplimiento
• Información Técnica
• Propiedad Intelectual
CONFERENCIA ANUAL ISACA MONTERREY 2012
Enfoque de Cliente ante FDI -BDs
Manufacturing Sector Público
Proyectos de
desarrollo de
Negocios
Aspectos
Impositivos
Sensibles
Consumo
Masivo
Oil & Gas
Base de
Base de
Detalle de
proveedores Proveedores producción
Financiera
Salud
Telecom,
Media y
Tecnología
Tarjetas de
crédito
Información
de Pacientes
Nuevos
Productos
Información
Desarrollos
Desarrollos
Ejecución
Desarrollo de
Promociones
de
Seguridad
presupuestaria
medicamentos tecnológicos
tecnológicos
de clientes
CONFERENCIA ANUAL ISACA MONTERREY 2012
Esquema conceptual de funcionamiento FDI
¿Qué hace el
usuario con los datos?
Datos no
estructurados
Lectura
Escritura
Copiar/Pegar
Mover
Imprimir
Copiar a CD
Subir a la Web
Datos
estructurados
Ver
Modificar
Borrar
Extraer
¿A dónde van
los datos?
E-mail
Aplicaciones
Dispositivos
Redes
Auditoría
CONFERENCIARegistros
ANUAL de
ISACA
MONTERREY 2012
Usos típicos de DLP
REGISTRAR, AVISAR O DETENER un mensaje de
Correo
ENCONTRAR información sensible
Almacenada en lugares donde NO debiera
estar
Analizar el contenido de un Archivo y/o su nombre
REGISTRAR, AVISAR O CONTROLAR que
un usuario Imprima en forma no
autorizada un documento
MONITOREAR la Red de la Organización en busca de
información sensible y REGISTRAR o AVISAR todos
los movimientos
CONTROLANDO la fuga de información en
una laptop corporativa aunque la misma
este fuera de la red corporativa
REGISTRAR, AVISAR O CONTROLAR que un usuario
Copie en forma no autorizada información sensible
en un CD, disco o USB
CONTROLANDO las Copias en Memoria
Cumplimiento - back to basics
•
Regulaciones
•
Leyes
•
Convenios
•
Por Industria -PCI -HIPAA -LFPDPPP -etc
CONFERENCIA ANUAL ISACA MONTERREY 2012
COMPONENTES FDI
• Análisis de Cumplimiento
• Diagnóstico Inicial
• Normatividad (Política, Directrices)
• Análisis de Flujos
• Métricas
• Áreas Sensibles
• Dueños de Activos de Información
• Proceso de Incidentes
• Reglas de Fugado
• Análisis de Riesgos
• Alcance
• Implementación Técnica
• Clasificación de Información
• Ajuste Controles existentes
(Net, agents, Mail, Web, etc.)
(Labeling y Manejo)
• Modelo, Proceso, Entrenamiento,
Tecnología
CONFERENCIA ANUAL ISACA MONTERREY 2012
COMPONENTES
CONFERENCIA ANUAL ISACA MONTERREY 2012
Level of Risk (No. of Incidents)
COMPONENTES
Ajuste gradual de la solución DLP
Exact Data
Matching
Datos de Empleados:
COMPONENTES
Reglas
Tipo de Información: Tabla Excel con información de
empleados.
Acción: Manipulación de información de empleados de la
organización.
Respuesta: Generación de alerta en la consola de
administración de la herramienta.
STRUCTURED DATA
CUSTOMER DATA
Datos de Clientes y
Empleados
Bajo porcentaje de
falsos positivos
COMPONENTES
Described
Content Matching
Datos de Tarjetas de Crédito:
Reglas
Tipo de Información: Excel con Tarjetas de crédito con BIN
5544
Acción: Copia de información de tarjetas de crédito con prefijo
5544 hacia un dispositivo extraíble.
Respuesta: Bloqueo de la acción “copia” y notificación al
usuario.
DESCRIBED DATA
Information no
Indexable
Palabras Clave
Data Identifiers
COMPONENTES
Reglas
Indexed Document Marco Normativo:
Matching
Tipo de Información: 15 Documentos de un Marco Normativo
en formato de Word.
Acción: Copia parcial o total del texto de un documento
perteneciente al marco normativo.
Respuesta: Generación de alerta en la consola de
administración.
UNSTRUCTURED DATA
INTELLECTUAL PROPERTY
Datos de Diseño y
Financieros
Bajo porcentaje de
falsos positivos
COMPONENTES
Ejemplo de Alerta
generada en la consola
de administración
Alertas
Ejemplo de Alerta
generada en la estación
de trabajo del usuario.
• Análisis de Cumplimiento
• Workshop Alta Administración
• Diagnostico Inicial
• Análisis de Flujos
Plan
Establecer Proceso de
FDI
• Alcance, Modelo FDI
•
Implementar las mejoras identificadas
• Métricas, Áreas Sensibles
•
Realizar acciones correctivas y preventivas
• Análisis de Riesgos
•
Comunicar los resultados
Implementar y
operar Gestión de
FDI
Controles existentes (Net,
Mail, Web, etc.)
Do
•
•
Proceso de Incidentes
•
Reglas de Fugado, Proceso FDI
•
Implementación Técnica
•
Normatividad (Política, Directrices)
•
Tratamiento de Riesgos
•
Clasificación de Información
•
Concientización, Entrenamiento
SGFDI
Monitoreo y revisión
Gestión de FDI
Check
Implementar y
operar Gestión de
FDI
•
Fine Tunning Reglas
•
Auditoria de Incidentes
•
Auditoria del SGFDI
•
Revisión de Métricas
Act
En que están fallando las Organizaciones
• Borrachera Tecnológica
• Penalidades
• Clasificación de Información
• Mantenimiento de reglas
• Proceso de Incidentes
• Políticas
• Fine Tunning Tech
• Administración de Riesgos
CONFERENCIA ANUAL ISACA MONTERREY 2012
A.16 Fuga de Información / ISO27001
Objetivo de Control A.16.1 Asegurar que la Información Sensible pueda
ser monitoreada y controlada ante posibles fugas
Control A.16.1.1 Inventario de Datos Sensibles
Control A.16.1.2 Flujos de Datos Sensibles
.
Control A.16.N
¿Será el nuevo Dominio #12 ?
Objetivo de Control A.16.2
Control A.16.2.1
Control A.16.2.2
.
Control A.16.2.N
To be Continued………….
CONFERENCIA ANUAL ISACA MONTERREY 2012
Preguntas
Expositor:
Ricardo Morales
www.isacamty.org.mx
www.isaca.org
6 Dic 2012
CONFERENCIA ANUAL ISACA MONTERREY 2012
•Apoyos
Principales proveedores de soluciones DLP
Expositor:
www.isacamty.org.mx
www.isaca.org
CONFERENCIA ANUAL ISACA MONTERREY 2012
Documentos relacionados
Código de Ética Profesional de ISACA
Código de Ética Profesional de ISACA
ANÁLISIS, DISCUSIÓN, ESTRUCTURA Y CALIDAD ARGUMENTATIVA DE LAS SENTENCIAS DE SALA REGIONAL MONTERREY
ANÁLISIS, DISCUSIÓN, ESTRUCTURA Y CALIDAD ARGUMENTATIVA DE LAS SENTENCIAS DE SALA REGIONAL MONTERREY
1992, 27 de Febrero, MONTERREY, MEXICO
1992, 27 de Febrero, MONTERREY, MEXICO
Proteger millones de datos al día, asegurar cumplimiento y hacerlo
Proteger millones de datos al día, asegurar cumplimiento y hacerlo
Dr. Renato Balderrama Santander
Dr. Renato Balderrama Santander
dIJIica `@ `l`ie?lM rieI~ ay ~dek
dIJIica `@ `l`ie?lM rieI~ ay ~dek
Descargar
Anuncio
Anuncio