Infraestructuras Críticas

Anuncio
Presentación Taller Europeo
"Safe-Infrastructures"
Security y Protección de
Infraestructuras Críticas
Rafael Rodríguez de Cora
Agente para España, Portugal y América Latina
Information Security Forum
Agenda
www.securityforum.org
•
0 - Acerca del ISF
•
1 - TH 2013 y SoGP
•
2 – Antecedentes ISF - CI
•
3 - Las 3 C’s
•
4 – Conclusiones Roadmap
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
2
0 – Presentación Entidad
ACERCA DEL ISF
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
3
¿Qué es el ISF?
Una asociación internacional de más de 300
organizaciones de primer orden, la cual...
• Se dedica a clarificar y resolver temas fundamentales
acerca de la seguridad de la información
• Es independiente y sin fines de lucro
• Financia y gestiona el desarrollo de soluciones prácticas
orientadas al negocio (herramientas y servicios)
• Está conducida y gobernada por sus Miembros
• Está gestionada por una organización gerencial profesional
Sobre todo sirve para no re-inventar la rueda!
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
4
Miembros del ISF en España
(Infraestructuras Críticas)
 BBVA
 BANKIA
 Grupo Santander
 Caixabank
 Telefónica
 Gas Natural
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
5
¿Qué ofrece el ISF a sus Miembros?
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
6
Proyectos de Investigación e Informes que ofrece el
ISF
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
7
¿Cómo se confeccionan los Proyectos?
-
Seminarios de expertos ISF a nivel internacional
-
Sesiones en Congresos del ISF
-
Entrevistas detalladas con miembros expertos, alrededor del mundo
-
Material de otras organizaciones activas en los campos, tales como
Cloud Security Alliance (CSA), ISO, NIST, CAMM, ENISA e ISACA
-
Recomendaciones hechas en otros proyectos del ISF
complementarios
-
Conocimientos y liderazgo del ISF Global Team
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
8
1 - Necesidades Actuales y de Futuro
TH 2013 Y SoGP
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
9
¿Por qué mirar hacia el futuro?
Para entender cómo las buenas prácticas deben cambiar en el
futuro, se necesita entender que amenazas se tienen y cómo se
•
identifica amenazas nuevas y cambiantes, que
debe responder ante ellas.
pueden tener un impactos sobre la seguridad
A este concepto, el ISF le llama
Threat Horizon
www.securityforum.org
•
•
Seven deadly sins of cloud computing
de la información, en los próximos 24 meses
Orientación hacia la seguridad de la
información y el negocio
Informa sobre la estrategia de la seguridad de
la información en diversas áreas.
Copyright © 2011 Information Security Forum Limited
10
El proceso…
Regional
meetings
ISF Members around
the globe
Sector input
World
Congress
Finance, Manufacturing,
Pharmaceutical,
Services...
Threat
Horizon
Dataset
ISF
Analysis
Threat
Horizon
report
Expert Input
WEF, OECD,
Futurologists
Ongoing ISF research and analysis
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
11
Metodología Threat Horizon
Considerar el mundo del futuro y cómo puede dar lugar a amenazas para la
seguridad de la información
P
OLITICAL
L
EGAL
E
CONOMIC
S
OCIO-CULURAL
T
ECHNICAL
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
12
Tendencias 2012 sobre seguridad de la información
Considering the PLEST framework, several major trends emerge:
P
Abuse of personal
& mobile devices
Mobile malware
OLITICAL
Changing cultures
L
EGAL
E
CONOMIC
S
T
Weaknesses in
infrastructure
OCIO-CULURAL
Cyber extortion
Erosion of network
boundaries
Criminal attacks
and espionage
ECHNICAL
Identity theft
Loss of communication
links and power
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
13
Tendencias 2013 sobre seguridad de la información
Considering the PLEST framework, several major trends emerge:
Data leakage
P
OLITICAL
L
EGAL
E
CONOMIC
S
T
Beyond cloud
Blended
attacks
Attacks on
infrastructure
OCIO-CULURAL
ECHNICAL
www.securityforum.org
Hacktivism
Data quality
issues
New e-crime
opportunities
Securing the
supply chain
Seven deadly sins of cloud computing
Device
revolution
Copyright © 2011 Information Security Forum Limited
14
SoGP
The Standard
of Good Practice
for Information Security
El Estándar del Foro sobre
Mejores Prácticas
2007
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
15
¿Por qué utilizar el estándar del ISF?
Implantado en algunas de las organizaciones
más importantes del mudo, el Estándar está...
 diseñado para los requerimientos del negocio
 basado en experiencias prácticas
 orientado hacia los temas que pueden causar el mayor daño
 posibilitado para llevarse a cabo en la práctica
 definido con un amplio alcance
 realizado con un enfoque independiente
 descrito usando un lenguaje familiar de buenas prácticas
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
16
Categorías y conceptos del Standard of Good
Practice
Governance
Technology
Security governance
Strategic alignment
Stakeholder value delivery
Risk management
Resource management
Performance monitoring
Information risk treatment
Information security strategy
Acceptable usage policies
Social networking
Record management
Sensitive information
Application architecture
Access control mechanisms
Access control mechanisms - Password
Access control mechanisms - Token
Access control mechanisms – Biometric
End User Environment
Access Control
Virtual servers
Storage systems
Critical infrastructure
Information leakage protection
Digital rights management
Cybercrime
End user environment profile
Office equipment
External supplier security management process
Cloud computing
Security audit process - Planning
Security audit process - Fieldwork
Security audit process - Reporting
Security audit process - Monitoring
Information risk reporting
Monitoring information security compliance
www.securityforum.org
Ojo
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
17
2 – Dificultades que se Plantean para las
Instalaciones
ANTECEDENTES ISF - CI
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
18
Informe sobre Infraestructuras Críticas
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
19
Categorías de Infraestructuras (según el ISF)
Telecommunications equipment
includes network equipment, telephone
communications equipment and mobile
communications equipment.
Buildings includes safety equipment,
physical access equipment,
surveillance equipment and
environmental equipment.
www.securityforum.org
Operational equipment includes financial
processing equipment, production
machinery, healthcare and office support
equipment, processing and maintenance
equipment, industrial equipment and
transportation.
Utilities includes water processing
equipment, supply pipeline equipment and
electricity supply equipment.
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
20
Recomendaciones para asegurar infraestructuras criticas
El informe ofrece recomendaciones para contemplar los problemas de seguridad
de la información en el contexto de las infraestructuras críticas, incluyendo temas
como: acordar qué infraestructuras son críticas; falta de entendimiento en el
papel que juegan los sistemas de información soportando las infraestructuras
críticas; debilidad de controles para proteger contra las amenazas a los sistemas
de información; y enfoques ad-hoc para gestionar los riesgos de la información,
asociados con las infraestructuras críticas. Las recomendaciones detalladas se
contemplan en las cuatro tareas que se mencionan más abajo.
Ref
Recomendaciones
A
Identificar las infraestructuras críticas
B
Determinar qué sistemas de información soportan las infraestructuras críticas
C
Llevar a cabo un análisis de riesgos de la información
D
Establecer un entorno de controles adecuado
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
21
3 – Retos Organizativos y Tecnológicos
LAS TRES C’S
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
22
Cyber
Cyber-crime
Cyber-terrorismo
Cyberciticenship
Cybersecurity
Cyber war
Ataques a Infraestructuras
mediante la nube
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
23
Cloud
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
24
Seguridad en la Nube: los siete pecados capitales
1.
Ignorancia: nadie sabe si la nube ya existe en la organización, ni se preocupa por
ello
2.
Ambigüedad: requerimientos de seguridad no están especificados en contratos,
SLA o EULA
3.
Duda: las garantías sobre los procedimientos de seguridad por parte de los
proveedores, son difíciles de obtener
4.
Ilegalidad: las leyes y regulaciones no se entienden y pueden dar lugar a nocumplimiento, sobre todo en el manejo de los datos.
5.
Desorden: no se lleva una gestión adecuada de la información para la clasificación,
almacenamiento, y destrucción de los datos.
6.
Vanidad: creer que la seguridad de infraestructuras de la organización está
preparada para la nube, cuando no lo está.
7.
Complacencia: asumir una disponibilidad de servicio de 24/7 cuando puede no
existir una solución en caso de un incidente grave de seguridad.
Cometidos por toda la organización, no solo por los técnicos!
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
25
El enfoque del ISF para la gestión de proveedores
externos
Los servicios en la
nube son parte de
una red compleja de
proveedores
externos!
Que tiene mucho
que ver con las
Infraestructuras
Críticas y la Cadena
de Suministros!
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
26
Gestión de Proveedores Externos
Esta metodología está diseñada
para el manejo de los
proveedores externos nuevos y
existentes, incluyendo los
proveedores de la nube.
Gestiona todo el proceso, desde
las consultas iniciales hasta la
terminación del mismo, en caso
necesario.
Este enfoque puede
complementarse mediante los 8
procedimientos básicos de
seguridad de la información del
ISF para los proveedores
externos.
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
27
Consumerisation
i-Everything
Consumerización y Seguridad de la Información
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
28
Consumerisation
•
Un imperativo estratégico
•
Securización de dispositivos es la
pieza central de la respuesta de
la organización (También para
SCADA y Smart Grid)
•
Cuatro aspectos de la respuesta
1.
Gobernanza
2.
Usuarios
3.
Dispositivos
4.
Aplicaciones y datos
“Communication and information
processing devices originally
designed for personal use being
used in the workplace”
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
29
Dos puntos de vista sobre consumerización
Tradicional:
“todo está centrado en la tecnología”
ISF:
“es mucho más que eso …. se trata de
gobernanza, usuarios, dispositivos,
aplicaciones y datos”
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
30
Una selección de las soluciones a los riesgos
USUARIOS
DISPOSITIVOS y
SISTEMAS
OPERATIVOS
APPS y
DATOS
1.1 Concienciación
1.1 Posibilitar la funcionalidad
de seguridada
1.1 Crear un almacén de apps
de la organización
2.1 Monitorización del uso de
dispositivos
2.1 Control sobre
conectividad
2.1 Despliegue de software de
monitorización
3.1 Facilitar actualizaciones de
software
3.1 Implementar clasificación
de datos
GOBERNANZA
1.1 Entender la situación
actual
2.1 Decidir nivel de soporte
3.1 Selección de proveedores
preferidos
1.3 Definir políticas
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
31
4 – Roadmap I+D+I – Programa Horizon 2020
CONCLUSIONES
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
32
Conclusiones (1 de 2)
•
•
El ISF dispuesto a colaborar en proyectos financiados por la UE
-
Usar el conocimiento de las organizaciones miembros
-
El CPNI de UK ya colabora con el ISF (Confidencial)
Se debe tener una perspectiva del Negocio
-
Perspectiva por encima de la técnica
-
Entender lo que el negocio trata de conseguir
•
La información sobre amenazas e incidentes es poco útil si no está vinculada
a controles.
•
Se debe incidir mucho en la concienciación. Las amenazas son externas e
internas.
•
El problema es mundial por lo que el estar asociado a organizaciones
internacionales es fundamental. Se necesita intercambio de información
entre los gobiernos y el sector privado, a nivel internacional.
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
33
Conclusiones (2 de 2)
•
Las organizaciones deben prepararse internamente para gestionar
debidamente el problema, de manera integrada:
-
Seguridad Integral (sin apellidos). Concepto de sistema inmunológico
-
Gestión de Riesgos operacionales, que incluyen los de la información
-
El organigrama de la empresa debe reflejar estos conceptos.
•
El aseguramiento de la fiabilidad y seguridad no es un problema técnico
•
Está previsto que con la implantación de IPV6, Smart Grid y SCADA, los
sistemas industriales se acerquen cada vez más a los sistemas TIC. y además
se agraven los riesgos.
•
Por lo tanto muchas de las políticas, metodologías, conceptos, análisis de
riesgos y controles, se pueden aplicar en este contexto. Los dispositivos, fijos
o móviles, serán terminales IP de la red.
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
34
CONTACTO ISF
Velázquez 86- B
28006 - MADRID
Tel: +34 91 432 14 15
Fax: +34 91 578 27 97
Rafael Rodríguez de Cora
E-mail: rrcora@calogistics.com
www.securityforum.org
www.securityforum.org
Seven deadly sins of cloud computing
Copyright © 2011 Information Security Forum Limited
35
Descargar