Presentación de PowerPoint

Anuncio
La información se mueve, ¿tu
seguridad también?
4 Septiembre 2014
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
AGENDA
1.
2.
3.
4.
5.
6.
7.
Introducción
Amenazas, vulnerabilidades y riesgos
Gobierno de dispositivos móviles
Administración de dispositivos móviles
Recomendaciones “hardening de dispositivos”
Aseguramiento de dispositivos móviles
Conclusiones
1. Introducción
¿Qué es un dispositivo móvil?
Tradicionales
Actualidad (emergentes)
2013 fue el año en que los dispositivos móviles como los smartphones
superaron el número de PC´s y laptops en el mundo
Conexión de los dispositivos móviles
Nubes
Públicas
Capa
Conexión
GSM
Nubes
Privadas
Otros
Dispositivos
GPRS/EDGE
3.5G
4G/LTE
Dispositivo
Móvil
Bluetooth
Redes
Corporativas
WLAN
NFC
Capa
Conexión
Evolución del uso de dispositivos móviles
Del celular al “Internet de las cosas”
1980
• Teléfonos móviles
• Análogos
• Digitales (2G)
1990
• Dispositivos
inteligentes
• GSM
• GPRS
2000
•
•
•
•
Primer Smartphone
Banda ancha
Servicios nube
Capacidad PC móvil
2010
• Smartphone avanzado
• Conexión a múltiples
gadgets
• Internet de las cosas
INTERNET
DE LAS COSAS
Impacto en negocios y sociedad
Patrones de trabajo
Movilidad y Flexibilidad
(+)
• BYOD ventajas:
•Mayor
productividad
•Ahorro en infra TI
•Empleados
contentos
(-)
BYOD riesgos:
•Múltiples dispositivos y
riesgos
•Reto para administrarlos
(+)
(-)
• Facilidad Home
Office
• Ambiente
organizacional
innovador (adopción
• Pérdida de frontera
entre trabajo y vida
personal
• Pérdida de tiempo
veloz de tech)
Otros impactos
Perímetro Organizacional
(+)
• Expertos en
seguridad mayor
capacitados
(-)
• Frontera lógica difusa
• Enfoque tradicional de
seguridad no es suficiente
(+)
• Mayor conectividad
• Alta disponibilidad
de la información
• Servicios de valor
agregado (big data)
(-)
• Conexiones y/o
interacciones riesgosas
• Fuga de información
(desatendida)
2. Amenazas, vulnerabilidades y riesgos
Tipos de riesgos en dispositivos móviles
Físicos
Riesgos
Organizacionales
Técnicos
Riesgo Físico
´
Fuente: Encuesta
Informationweek 2013
Riesgo Organizacional
• Uso de Dispositivos móviles está presente en todos los niveles.
• Los ambientes de PC se han robustecido, pero los dispositivos móviles aún
no, cuentan seguridad débil y son difíciles de administrar.
• Alta diversidad de dispositivos, tiempo de vida de los OS y Apps es muy
corto.
• Aplicaciones complejas (riesgo de acceso a fotos, geolocalización, etc.).
• Falta de capacitación a usuarios en uso de dispositivos móviles.
El riesgo organizacional se incrementa debido a la información
que almacena o a la que tenga acceso el dispositivo
Activos de información accesados a través de dispositivos móviles
95%
Email
61%
Aplicaciones Office
48%
VPN
41%
Servidores datos
31%
Bases de datos
CRM
29%
Wiki corporativa
28%
SaaS y Cloud
RH apps
24%
21%
Fuente: Encuesta
Informationweek 2013
Riesgo Técnico
• Monitoreo de actividades y Recuperación de información (a través de malware).
• Mensajes, Audio, Fotos, video, geolocalización, información estática, historiales,
almacenamiento.
• Conectividad no autorizada.
• El malware/spyware eventualmente necesita ponerse en contacto con el
atacante, para esto utiliza los siguientes vectores de comunicación.
• Email, SMS, HTTP, TCP, UDP, DNS, Bluetooth, WLAN.
• Suplantación de vista web o interface de usuario. (UI Impersonation)
• Los dispositivos móviles soportan la mayoría de protocolos web, sin embargo, las
páginas son modificadas por el proveedor del servicio para su visualización (en
pantallas pequeñas), esto es aprovechado por los hackers para suplantar páginas
y hacer phishing.
Riesgo Técnico (cont…)
• Almacenamiento y Fuga de información sensible.
• Los dispositivos móviles guardan mucha información sensible, esto incrementa el
riesgo de fuga de información.
• La información guardada te dice todo del usuario, que hace, donde está y sus
preferencias (predice comportamiento).
• Identificación, credenciales, localización, archivos
• Hasta las apps legítimas pueden tener fallas o almacenar información sensible en
texto plano o sin encriptar.
• Transmisión de información no segura.
• Los dispositivos móviles mayormente dependen de conexiones inalámbricas.
• No todas las trasmisiones son encriptadas sobre todo en redes públicas.
• Los usuarios tienden a no activar sus VPN en dispositivos móviles debido a su
complejidad, prefieren usar otro servicio que no sea por VPN.
Riesgo Técnico (cont…)
• Vulnerabilidades (por versiones recortadas).
• MS Office y PDF en sus suites para dispositivos móviles no incluyen las mismas
validaciones que detectan links malformados, lo cual es un vector de ataque.
• Facilidad de uso.
• Rápidas actualizaciones, nuevas apps, nuevas funciones, configuración de OS más
restringida, servicios mandatorios corriendo en bakground, opt-in (aceptación
explícita) de funciones adicionales a apps, obligación a firmarse a la nube para
obtener todos los servicios.
Participación de mercado global de OS móviles
3.20%
0.70%
17.60%
Android
Apple iOS
Microsoft
Otros
78.40%
Fuente: Estudio de
mercado Techcrunch
2014
Realidad actual participación de mercado
Comparando Manzanas contra Androides
Google Android
• Plataforma Open Source.
• OS de Google, Open Handset Alliance.
• Modelos Samsung, Motorola, HTC, otros.
• Apps distribuidas por Google Play.
• Múltiples fuentes de apps (varias ilegítimas).
• Puede soportar múltiples appstores.
• No necesita rooting para correr código no firmado.
• Grandes cantidades de malware por su penetración
de mercado y que aprovechan lacks en OS (ej.
Guardar conversaciones en microSD)
Comparando Manzanas contra Androides
Apple iOS
• Plataforma Propietaria “Cerrada”:
• Todos los dispositivos de Apple.
• Despliegue prácticamente uniforme.
• Apps distribuidas por App Store.
• iOS tiene pocas formas de instalarle software:
• Appstore.
• Ambientes controlados para testing.
• Aplicando Jailbreak al dispositivo.
• Su App Store efectivamente actúa como:
• Whitelist para verificar apps (firmas).
• Un punto común de actualizaciones.
Y entonces, viendo riesgos e impactos:
¿Todo está perdido?
¿Qué hacemos?
3. Gobierno de dispositivos móviles
Gobierno de dispositivos móviles
El primer paso para tomar la decisión estratégica es plantear un
buen caso de negocio:
•
•
•
•
Riesgos de seguridad e impactos potenciales.
Consideraciones costo beneficio.
Valor agregado (flexibilidad / productividad).
Habilitadores estratégicos para uso de móviles.
Gobierno de dispositivos móviles
La decisión estratégica que se tome puede ser una de las
siguientes:
• Solución de plataformas estandarizadas.
• BYOD “Puro”.
• Estrategia combinada.
4. Administración de dispositivos móviles
Administración de dispositivos móviles
Enfoque para administración de dispositivos móviles:
1. Categorización y clasificación de dispositivos móviles.
2. Identificación y clasificación de riesgo por tipo de
dispositivo.
3. Identificación de controles existentes para dispositivos
móviles y robustecimiento de los mismos.
4. Identificación de actividades de seguridad y prácticas
para cada habilitador de Cobit.
1. Categorización y clasificación de dispositivos móviles
Categorías de dispositivos móviles
Categoría
Dispositivos
Ejemplos
1
Almacenamiento de datos (limitado), servicios de
telefonía y mensajes básicos, OS propietario
(limitado), sin capacidad de procesamiento de
datos.
• Celular
tradicional
2
Capacidades de procesamiento y almacenamiento
de datos (incluyendo externos) , 0S estandarizado y
configurable, servicios ampliados.
• Smartphones
• Primeras
Pocket PC
3
Capacidades de almacenamiento, procesamiento y
transmisión de datos a través de diferentes
canales, conectividad a Internet de banda ancha,
0S estandarizado y configurable, capacidades de
una PC.
• Smartphone
avanzados.
• Tablets
4
Combinación de todas las capacidades anteriores y • Dispositivos
nuevas tecnologías.
emergentes.
2. Identificación y clasificación de riesgos por tipo de dispositivo
Clasificación de riesgos de dispositivos móviles
Categoría / Riesgo
Físico
Robo
Pérdida
Daño / Destrucción
Organizacional
Aglomeración / Usuarios “especiales”
Complejidad / Diversidad
Técnico
Monitoreo de actividad, Recuperación de datos
Conectividad de red no autorizada
Vista web / Suplantación de Identidad
Fuga de datos sensibles
Almacenamiento de datos sensibles inseguro
Transmisión insegura de datos sensibles
Vulnerabilidades (por versiones recortadas)
Usabilidad
Categoría 1 Categoría 2 Categoría 3 Categoría 4
Baja
Media
Alta
Media
Media
Alta
Alta
Media
Baja
Alta
Media
Baja
Baja
Baja
Baja
Media
Alta
Alta
Alta
Alta
Baja
Baja
Baja
Baja
Media
Baja
Baja
Baja
Alta
Media
Media
Alta
Alta
Alta
Alta
Baja
Alta
Alta
Alta
Alta
Media
Media
Alta
Alta
Alta
Alta
Alta
Alta
Media
Alta
Alta
Alta
2. Identificación y clasificación de riesgo por tipo de dispositivo
Riesgo físico / organizacional
Alto
Bajo
Cat. 4
Cat. 3
Cat. 2
Cat. 1
Riesgo tecnológico
Alto
3. Identificación de controles existentes
Capa de Hardware
• Protección del
firmware
• Seguridad
embebida en el
dispositivos
• Cifrado, etc.
Capa de Sistema Operativo
• Modelo de
seguridad
• Seguridad de lado
de proveedor
• Parches y control
remoto
Capa Secundaria
• Software agregado
• Encapsulación
• Adiciones
adecuaciones OS
• OS alternativos
4. Identificación de actividades de seguridad y prácticas para cada
habilitador
• Responsable asignado
• Perfil personal SI definido
• Admón. Seguridad
• Monitoreo Seguridad
• Uso responsable
• Concientización
• Incentivos
• Ajustar política SI:
• Principios
• Referencias
• Crear política BYOD
• Otras…
Proteger info sensible:
• Corporativa
• Personal
• En la nube
• MDM, MAM, MCM = EMM
• OS, Aplicaciones, Conectividad
• Habilidades de:
• Expertos en SI
• End Users
• Capacitación a
usuarios
5. Recomendaciones de “hardening” de
dispositivos móviles
“Hardening” de dispositivos móviles
Para implementar adecuadamente una estrategia de seguridad móvil, algunos pasos
tecnológicos deben ser ejecutados, conocidos como hardening:
Funcionalidad remota
Conectividad
(todos los canales)
Almacenamiento externo
o removible
Almacenamiento interno
Permanente y Semipermanente
Dispositivo y SIM Card
Enfoque de
hardening de
adentro hacia afuera,
por capas.
Guía de
hardening
6. Aseguramiento de dispositivos móviles
Líneas de defensa y revisiones típicas
•
•
•
•
Controles Internos
Cumplimiento políticas
Aceptación de riesgo
Controles Seguridad
3er Línea – Auditoría Interna
•
•
•
•
Riesgo dispositivo móvil
Eval. de riesgos
Valoración impactos
Riesgos de Seguridad
2da Línea – Administración de Riesgo
•
•
•
•
Autoevaluaciones
Revisiones de Admón.
Pruebas de Seguridad
Pruebas Funcionales
1er Línea - Administración
Aseguramiento de dispositivos móviles
Una adecuada estrategia de seguridad en dispositivos móviles incluye un
buen programa de Auditoría/Aseguramiento de los mismos.
La estrategia de Auditoría para dispositivos móviles genera preguntas:
• ¿Qué debo auditar?
•
¿Cuál es mi universo de auditoría?
• Si se permite BYOD, ¿Dónde empieza el dispositivo móvil y donde
termina?
Barreras de Auditoría
Fronteras de Auditoría y Barreras para dispositivos móviles
Dispositivo
Conectado
(Ej. Carro)
Dispositivo
Conectado
(Ej. GPS)
Dispositivo
Conectado
(Ej. juguete)
Barrera Audit
Barrera Audit
Barrera Audit
Redes
Corporativas
Dispositivo
Móvil
Barrera Audit
Datos e Información
El universo de Auditoría
debe ser definido en
base a la información
que reside y se procesa
en el dispositivo.
Redes
Públicas
Aseguramiento de dispositivos móviles
Una vez identificado el universo de auditoría se deberá seguir el
procedimiento tradicional de Auditoría:
Planeación  Alcance  Ejecución  Reporte  Seguimiento
Consideraciones especiales:
• Es posible los dispositivos no estén disponibles en todo momento para su
revisión
• Utilizar auditorías con enfoque centralizado y descentralizado.
• Aspectos legales de privacidad de auditados y fabricantes de dispositivos
• Pérdida de garantía de dispositivos, demandas de empleados.
BYOD Audit/Assurance Program
Mobile Computing Security Assurance Program
Investigación o Auditoría forense
de dispositivos móviles
Pasos para investigar un dispositivo (A través de él)
Asegurar
Dispositivo
• Resguardo físico
• Aislamiento
• Congelamiento
Asegurar
Información
• Instantánea (Imagen)
• Extraer línea de tiempo (Info)
• Extraer la carga útil (Info)
Analizar
Información
• Asegurar la evidencia
• Probar su admisibilidad
• Informar sobre la evidencia
Liberar
Dispositivo
• Obtener aprobaciones
• Liberar
Pasos para investigar un dispositivo (Alrededor de él)
Perímetro
Dispositivo
• Evidencia perimetral
• Contrapartes
• Revisar interacciones
Información
Replicada
• Almacenamiento secundario y replicación
• Información transitoria
• Información incidental
No
Repudiación
• Almacenamiento y transmisión
• Otra actividad
• Informar sobre la evidencia
7. Conclusiones
Conclusiones
• La Estrategia de Seguridad Integral para Dispositivos Móviles debe plantearse así:
• Gobierno  Administración  Hardening  Auditoría
• Los controles clave:
• Política de seguridad y uso de dispositivos móviles.
• Evaluación de riesgos (dispositivos móviles).
• Mitigación de riesgos (EMM; Configuración de Seguridad).
• Capacitación y concientización de usuarios en uso de dispositivos móviles.
• Proceso de cumplimiento/aseguramiento continuo (Monitoreo, Auditoría).
• Proteger los dispositivos en base a la información que procesan, transmiten y/o
almacenan.
Conclusiones
• BYOD está aquí para quedarse:
• Empleados contentos
• Ahorros para empresas
• Optimización trabajo TI
• Adopción veloz de nuevas
tecnologías
• Incrementa productividad
empleados
• Gobierno de Seguridad
complejo
• Preocupaciones de privacidad
• Cumplimiento regulatorio
• Falta de uniformidad
• Empleados renuentes
Recuerda es acerca de “limitar” para controlar
• iOS/Android , ¿Quién gana?
Conclusiones
• BYOD está aquí para quedarse:
• Empleados contentos
• Ahorros para empresas
• Optimización trabajo TI
• Adopción veloz de nuevas
tecnologías
• Incrementa productividad
empleados
• Gobierno de Seguridad
complejo
• Preocupaciones de privacidad
• Cumplimiento regulatorio
• Falta de uniformidad
• Empleados renuentes
Recuerda es acerca de “limitar” para controlar
• iOS/Android , ¿Quién gana?
EMPATE
PREGUNTAS
GRACIAS
Arnulfo Espinosa Domínguez, CISA, CRISC, Cobit 5F
Vicepresidente ISACA Capítulo Monterrey
arnulfoespinosa@gmail.com
4 Septiembre 2014
APPS? APPsolutamente necesario protegerlas
100
90
80
70
60
50
40
30
20
10
0
Techcrunch 2013
¿Qué es BYOD?
Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar
dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la
empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero
también se puede usar en PC´s)
BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”:
• … Device
• ….Application
• …Cloud
• ….Security
Aceptación de BYOD
Techcrunch 2013
¿Qué es BYOD?
Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar
dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la
empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero
también se puede usar en PC´s)
BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”:
• … Device
• ….Application
• …Cloud
• ….Security
Aceptación de BYOD
Techcrunch 2013
Componentes de una política BYOD
•
•
•
•
•
•
Objetivo /Metas
Alcance
Definiciones
Marco legal / Normativo
Referencias
Roles y responsabilidades
• Usuario y TI (todas áreas)
• Ciclo de vida de dispositivo
• Entrega, admón., respaldo y retiro
• Listado de dispositivos aprobados:
• Incluir todo lo inalámbrico
• Listado de aplicaciones aprobadas
• Expectativas de privacidad
• Cláusulas sobre soporte
• Configuración gral. dispositivo
• Información prohibida
• Cláusulas uso responsable
• Correo, info, seguridad, etc.
• Sobre reporte y tratamiento incidentes
• Contrato “Opt In” usuario
• Mejora continua
• Capacitación del usuario
La política BYOD aplica también para
escenarios combinados
Herramientas y referencias útiles para controlar dispositivos móviles
Referencias útiles
ISACA
• “Securing Mobile Devices” (2010 whitepaper)
• “Securing Mobile Devices Using Cobit 5 for
information Security”
• “BYOD Audit/Assurance Program”
• “Mobile Computing Security Assurance
• Program”
• “Geolocation: Risk, Issues and Strategies” (2011
whitepaper)
• Apple iOS Security
(www.cisecurity.org)
• Google Android (www.cisecurity.org)
• NIST Mobile Security Guidance (800124)
• IOS_Application_Security_Testing_Ch
eat_Sheet
• OWASP Mobile Security resources
• Vendor guidelines
• Certified Mobile Device Security
Professional (Link)
Otros
Herramientas
• ENISA Smartphone Risks (www.enisa.europa.eu) • Mobisec (www.sourceforge.net)
• Cloud Security Alliance – Mobile Threats
• Smartphone Penetration Testing
(www.cloudsecurityalliance.org)
Framework (link)
• Drozer (www.mwrinfosecurity.com)
¿Y tú cuando te convertiste en experto de BYOD
y Seguridad de Dispositivos Móviles?
AYER…
LIKE A BOSS!!!
¿Y tú cuando te convertiste en experto de BYOD
y Seguridad de Dispositivos Móviles?
AYER…
Descargar