Presentación Taller Europeo "Safe-Infrastructures" Security y Protección de Infraestructuras Críticas Rafael Rodríguez de Cora Agente para España, Portugal y América Latina Information Security Forum Agenda www.securityforum.org • 0 - Acerca del ISF • 1 - TH 2013 y SoGP • 2 – Antecedentes ISF - CI • 3 - Las 3 C’s • 4 – Conclusiones Roadmap Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 2 0 – Presentación Entidad ACERCA DEL ISF www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 3 ¿Qué es el ISF? Una asociación internacional de más de 300 organizaciones de primer orden, la cual... • Se dedica a clarificar y resolver temas fundamentales acerca de la seguridad de la información • Es independiente y sin fines de lucro • Financia y gestiona el desarrollo de soluciones prácticas orientadas al negocio (herramientas y servicios) • Está conducida y gobernada por sus Miembros • Está gestionada por una organización gerencial profesional Sobre todo sirve para no re-inventar la rueda! www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 4 Miembros del ISF en España (Infraestructuras Críticas) BBVA BANKIA Grupo Santander Caixabank Telefónica Gas Natural www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 5 ¿Qué ofrece el ISF a sus Miembros? www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 6 Proyectos de Investigación e Informes que ofrece el ISF www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 7 ¿Cómo se confeccionan los Proyectos? - Seminarios de expertos ISF a nivel internacional - Sesiones en Congresos del ISF - Entrevistas detalladas con miembros expertos, alrededor del mundo - Material de otras organizaciones activas en los campos, tales como Cloud Security Alliance (CSA), ISO, NIST, CAMM, ENISA e ISACA - Recomendaciones hechas en otros proyectos del ISF complementarios - Conocimientos y liderazgo del ISF Global Team www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 8 1 - Necesidades Actuales y de Futuro TH 2013 Y SoGP www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 9 ¿Por qué mirar hacia el futuro? Para entender cómo las buenas prácticas deben cambiar en el futuro, se necesita entender que amenazas se tienen y cómo se • identifica amenazas nuevas y cambiantes, que debe responder ante ellas. pueden tener un impactos sobre la seguridad A este concepto, el ISF le llama Threat Horizon www.securityforum.org • • Seven deadly sins of cloud computing de la información, en los próximos 24 meses Orientación hacia la seguridad de la información y el negocio Informa sobre la estrategia de la seguridad de la información en diversas áreas. Copyright © 2011 Information Security Forum Limited 10 El proceso… Regional meetings ISF Members around the globe Sector input World Congress Finance, Manufacturing, Pharmaceutical, Services... Threat Horizon Dataset ISF Analysis Threat Horizon report Expert Input WEF, OECD, Futurologists Ongoing ISF research and analysis www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 11 Metodología Threat Horizon Considerar el mundo del futuro y cómo puede dar lugar a amenazas para la seguridad de la información P OLITICAL L EGAL E CONOMIC S OCIO-CULURAL T ECHNICAL www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 12 Tendencias 2012 sobre seguridad de la información Considering the PLEST framework, several major trends emerge: P Abuse of personal & mobile devices Mobile malware OLITICAL Changing cultures L EGAL E CONOMIC S T Weaknesses in infrastructure OCIO-CULURAL Cyber extortion Erosion of network boundaries Criminal attacks and espionage ECHNICAL Identity theft Loss of communication links and power www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 13 Tendencias 2013 sobre seguridad de la información Considering the PLEST framework, several major trends emerge: Data leakage P OLITICAL L EGAL E CONOMIC S T Beyond cloud Blended attacks Attacks on infrastructure OCIO-CULURAL ECHNICAL www.securityforum.org Hacktivism Data quality issues New e-crime opportunities Securing the supply chain Seven deadly sins of cloud computing Device revolution Copyright © 2011 Information Security Forum Limited 14 SoGP The Standard of Good Practice for Information Security El Estándar del Foro sobre Mejores Prácticas 2007 www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 15 ¿Por qué utilizar el estándar del ISF? Implantado en algunas de las organizaciones más importantes del mudo, el Estándar está... diseñado para los requerimientos del negocio basado en experiencias prácticas orientado hacia los temas que pueden causar el mayor daño posibilitado para llevarse a cabo en la práctica definido con un amplio alcance realizado con un enfoque independiente descrito usando un lenguaje familiar de buenas prácticas www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 16 Categorías y conceptos del Standard of Good Practice Governance Technology Security governance Strategic alignment Stakeholder value delivery Risk management Resource management Performance monitoring Information risk treatment Information security strategy Acceptable usage policies Social networking Record management Sensitive information Application architecture Access control mechanisms Access control mechanisms - Password Access control mechanisms - Token Access control mechanisms – Biometric End User Environment Access Control Virtual servers Storage systems Critical infrastructure Information leakage protection Digital rights management Cybercrime End user environment profile Office equipment External supplier security management process Cloud computing Security audit process - Planning Security audit process - Fieldwork Security audit process - Reporting Security audit process - Monitoring Information risk reporting Monitoring information security compliance www.securityforum.org Ojo Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 17 2 – Dificultades que se Plantean para las Instalaciones ANTECEDENTES ISF - CI www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 18 Informe sobre Infraestructuras Críticas www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 19 Categorías de Infraestructuras (según el ISF) Telecommunications equipment includes network equipment, telephone communications equipment and mobile communications equipment. Buildings includes safety equipment, physical access equipment, surveillance equipment and environmental equipment. www.securityforum.org Operational equipment includes financial processing equipment, production machinery, healthcare and office support equipment, processing and maintenance equipment, industrial equipment and transportation. Utilities includes water processing equipment, supply pipeline equipment and electricity supply equipment. Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 20 Recomendaciones para asegurar infraestructuras criticas El informe ofrece recomendaciones para contemplar los problemas de seguridad de la información en el contexto de las infraestructuras críticas, incluyendo temas como: acordar qué infraestructuras son críticas; falta de entendimiento en el papel que juegan los sistemas de información soportando las infraestructuras críticas; debilidad de controles para proteger contra las amenazas a los sistemas de información; y enfoques ad-hoc para gestionar los riesgos de la información, asociados con las infraestructuras críticas. Las recomendaciones detalladas se contemplan en las cuatro tareas que se mencionan más abajo. Ref Recomendaciones A Identificar las infraestructuras críticas B Determinar qué sistemas de información soportan las infraestructuras críticas C Llevar a cabo un análisis de riesgos de la información D Establecer un entorno de controles adecuado www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 21 3 – Retos Organizativos y Tecnológicos LAS TRES C’S www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 22 Cyber Cyber-crime Cyber-terrorismo Cyberciticenship Cybersecurity Cyber war Ataques a Infraestructuras mediante la nube www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 23 Cloud www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 24 Seguridad en la Nube: los siete pecados capitales 1. Ignorancia: nadie sabe si la nube ya existe en la organización, ni se preocupa por ello 2. Ambigüedad: requerimientos de seguridad no están especificados en contratos, SLA o EULA 3. Duda: las garantías sobre los procedimientos de seguridad por parte de los proveedores, son difíciles de obtener 4. Ilegalidad: las leyes y regulaciones no se entienden y pueden dar lugar a nocumplimiento, sobre todo en el manejo de los datos. 5. Desorden: no se lleva una gestión adecuada de la información para la clasificación, almacenamiento, y destrucción de los datos. 6. Vanidad: creer que la seguridad de infraestructuras de la organización está preparada para la nube, cuando no lo está. 7. Complacencia: asumir una disponibilidad de servicio de 24/7 cuando puede no existir una solución en caso de un incidente grave de seguridad. Cometidos por toda la organización, no solo por los técnicos! www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 25 El enfoque del ISF para la gestión de proveedores externos Los servicios en la nube son parte de una red compleja de proveedores externos! Que tiene mucho que ver con las Infraestructuras Críticas y la Cadena de Suministros! www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 26 Gestión de Proveedores Externos Esta metodología está diseñada para el manejo de los proveedores externos nuevos y existentes, incluyendo los proveedores de la nube. Gestiona todo el proceso, desde las consultas iniciales hasta la terminación del mismo, en caso necesario. Este enfoque puede complementarse mediante los 8 procedimientos básicos de seguridad de la información del ISF para los proveedores externos. www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 27 Consumerisation i-Everything Consumerización y Seguridad de la Información www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 28 Consumerisation • Un imperativo estratégico • Securización de dispositivos es la pieza central de la respuesta de la organización (También para SCADA y Smart Grid) • Cuatro aspectos de la respuesta 1. Gobernanza 2. Usuarios 3. Dispositivos 4. Aplicaciones y datos “Communication and information processing devices originally designed for personal use being used in the workplace” www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 29 Dos puntos de vista sobre consumerización Tradicional: “todo está centrado en la tecnología” ISF: “es mucho más que eso …. se trata de gobernanza, usuarios, dispositivos, aplicaciones y datos” www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 30 Una selección de las soluciones a los riesgos USUARIOS DISPOSITIVOS y SISTEMAS OPERATIVOS APPS y DATOS 1.1 Concienciación 1.1 Posibilitar la funcionalidad de seguridada 1.1 Crear un almacén de apps de la organización 2.1 Monitorización del uso de dispositivos 2.1 Control sobre conectividad 2.1 Despliegue de software de monitorización 3.1 Facilitar actualizaciones de software 3.1 Implementar clasificación de datos GOBERNANZA 1.1 Entender la situación actual 2.1 Decidir nivel de soporte 3.1 Selección de proveedores preferidos 1.3 Definir políticas www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 31 4 – Roadmap I+D+I – Programa Horizon 2020 CONCLUSIONES www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 32 Conclusiones (1 de 2) • • El ISF dispuesto a colaborar en proyectos financiados por la UE - Usar el conocimiento de las organizaciones miembros - El CPNI de UK ya colabora con el ISF (Confidencial) Se debe tener una perspectiva del Negocio - Perspectiva por encima de la técnica - Entender lo que el negocio trata de conseguir • La información sobre amenazas e incidentes es poco útil si no está vinculada a controles. • Se debe incidir mucho en la concienciación. Las amenazas son externas e internas. • El problema es mundial por lo que el estar asociado a organizaciones internacionales es fundamental. Se necesita intercambio de información entre los gobiernos y el sector privado, a nivel internacional. www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 33 Conclusiones (2 de 2) • Las organizaciones deben prepararse internamente para gestionar debidamente el problema, de manera integrada: - Seguridad Integral (sin apellidos). Concepto de sistema inmunológico - Gestión de Riesgos operacionales, que incluyen los de la información - El organigrama de la empresa debe reflejar estos conceptos. • El aseguramiento de la fiabilidad y seguridad no es un problema técnico • Está previsto que con la implantación de IPV6, Smart Grid y SCADA, los sistemas industriales se acerquen cada vez más a los sistemas TIC. y además se agraven los riesgos. • Por lo tanto muchas de las políticas, metodologías, conceptos, análisis de riesgos y controles, se pueden aplicar en este contexto. Los dispositivos, fijos o móviles, serán terminales IP de la red. www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 34 CONTACTO ISF Velázquez 86- B 28006 - MADRID Tel: +34 91 432 14 15 Fax: +34 91 578 27 97 Rafael Rodríguez de Cora E-mail: rrcora@calogistics.com www.securityforum.org www.securityforum.org Seven deadly sins of cloud computing Copyright © 2011 Information Security Forum Limited 35