Perspectivas sobre gobierno, riesgo y cumplimiento Octubre 2013 Centros de Operaciones de Seguridad en contra del crimen cibernético Las 10 mejores consideraciones para el éxito Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 1 Ya no es cuestión de “si sucediera”… es cuestión de ¿cuándo sucederá? Con el entendimiento de que los ataques nunca pueden ser completamente prevenidos, las compañías deberían reforzar sus capacidades de detección para poder responder apropiadamente. Contenidos Introducción ...................................................................... 5 Un centro de operaciones de seguridad exitoso se construye desde los cimientos ........................................... 7 1. Soporte ejecutivo y del comité directivo ................ 9 2. Inversión ............................................................... 10 3. Estrategia ............................................................. 11 4. Gente .................................................................... 13 5. Procesos ............................................................... 13 6. Tecnología ............................................................. 15 7. Entorno ................................................................. 17 8. Análisis y reportes ................................................ 18 9. Espacio físico ........................................................ 18 10. Mejora Continua .................................................... 19 Conclusión ......................................................................... 20 2 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético Introducción La percepción de la seguridad de la información está cambiando a un ritmo vertiginoso La seguridad de la información está cambiando a un paso vertiginoso. Los hackers son cada vez más implacables, haciendo que la respuesta a incidentes de seguridad de la información sea progresivamente más compleja. De acuerdo a Under cyber attack: la Encuesta Global de Seguridad de la Información de EY del 2013, el 59 % de los encuestados ha visto un incremento en las amenazas externas en los últimos 12 meses. En el mundo actual de la tecnología always-on o siempre encendida y en donde existe una conciencia insuficiente de parte de los usuarios, los ciber ataques ya no son cuestión de “si”, sino de ¿cuándo? Vivimos en una era en donde la prevención de seguridad de la información no es opcional. Muchas organizaciones han tenido un progreso sustancial por mejorar sus defensas. En nuestra encuesta más reciente, 60 % de los encuestados creen que sus operaciones de seguridad son maduras. Soluciones puntuales, en particular: antivirus, IDS, IPS, parchado y cifrado, muestran niveles madurez. Estas soluciones siguen siendo un control clave para combatir los ataques conocidos el día de hoy. Sin embargo, se vuelven menos efectivos en el tiempo mientras los hackers encuentran nuevas maneras de circunvenir los controles. Prepararse para los ataques conocidos ya es suficientemente difícil. Pero, ¿cómo pueden las organizaciones construir controles para los riesgos de seguridad de los que todavía no se enteran? Las organizaciones líderes más que mejorar su estado actual buscan expandir sus esfuerzos, emprender acciones más audaces para combatir las ciberamenazas. En lugar de esperar a que las amenazas vengan a ellos, estas organizaciones están priorizando esfuerzos que mejoran la visibilidad y habilitan un proceso proactivo a través del monitoreo y la pronta detección. Es probable que las organizaciones no puedan controlar cuándo sucederá un incidente de seguridad de la información, pero sí pueden controlar cómo responden a él. Expandir las necesidades de detección es un lugar clave para empezar con el esfuerzo. Un Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) funcionando en forma puede ser el corazón de la detección efectiva. Puede habilitar las funciones de seguridad de la información para responder más rápido, trabajar de manera más colaborativa y compartir conocimiento más efectivamente. En las páginas siguientes, exploramos las 10 áreas principales que las organizaciones necesitan considerar para hacer un éxito de su Centro de Operaciones de Seguridad. Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 3 * ¿Cómo puede haber cambiado el entorno de riesgo en el que opera su negocio en los últimos 12 meses? Escoja las que aplican Incremento en todas las amenazas (externas) 59% No hubo cambios en las vulnerabilidades (internas) 41% Incremento en vulnerabilidades (externas) 34% Sin cambio en las amenazas (externas) 29% Decremento en las vulnerabilidades (internas) Decremento en las amenazas externas 4 | 15% 7% *Bajo ciberataque. Encuesta Global sobre Seguridad de la Información de EY de 2013 Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético Un SOC exitoso se basa en los fundamentos Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 5 Empiece con lo básico. Parece lo suficientemente obvio. Y aun así, es en donde las organizaciones más sufren. Olvide las herramientas costosas y las habitaciones bien iluminadas, con grandes pantallas y escáneres biométricos en la entrada. No son la panacea que protegerá su perímetro de las amenazas del mundo exterior (o probablemente ya interior). En el núcleo de un SOC exitoso están unos cimientos fuertes para la excelencia operacional, impulsada por procesos bien diseñados y ejecutados, un gobierno fuerte, individuos capaces y en constante motivación para mejorar y estar delante de sus ciber adversarios. Un buen SOC es aquel que soporta los objetivos del negocio y mejora efectivamente la postura de riesgo de una compañía. Un SOC verdaderamente efectivo, es uno que provee un ambiente seguridad para que el negocio pueda generar, con base en sus objetivos nucleares, alineado con su dirección y visión estratégicas. Ya sea que una organización esté construyendo un nuevo SOC o buscando expandir sus capacidades existentes, aquí se mencionan diez consideraciones para el éxito: 1 Soporte ejecutivo y del comité directivo 2 Inversión 3 Estrategia 4 Gente 5 Procesos 6 Tecnología 7 Entorno 8 Análisis y reportes 9 Espacio físico 10 Mejora continua 6 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético Las 10 principales áreas que las organizaciones deben considerar para hacer de los Centros de Operaciones de Seguridad un éxito 1 Soporte ejecutivo y del comité directivo Un enfoque ascendente de la seguridad tiene oportunidades mínimas de supervivencia y aún menores de éxito. Sin un soporte ejecutivo claro, un SOC puede ser inefectivo y no se creará conciencia de su valor. Crear un SOC efectivo requiere soporte para establecer una ruta específica, una estrategia a largo plazo y un líder fuerte que impulse el cambio organizacional y desarrolle una cultura de seguridad. Asegurando el soporte ejecutivo En su aventura para asegurar el soporte ejecutivo, esté listo para contar una historia convincente. A continuación le mostramos cómo podría estructurar esta importante discusión: Defina problemas e impacto • ¿Por qué necesitamos un SOC? • ¿Qué problemas resolverá el SOC para la organización? • ¿Qué debe cumplir el SOC para resolver los problemas existentes? 65% de los encuestados en el GISS (Global Information Security Survey o Encuesta de Seguridad de la información de EY) 2013 citan restricciones de presupuesto como su principal obstáculo para entregar valor al negocio. Demuestre visión • ¿Cuál es la visión a corto plazo? • ¿Cuál es la visión a largo plazo y cómo alcanzará los deseados objetivos de madurez de estado final? • ¿Cómo se alinea su visión con los objetivos de negocio, prioridades y postura de riesgo? Conozca lo que se necesita • ¿Cómo habilitará el éxito del SOC? • ¿Qué necesita para que el SOC cumpla sus objetivos (gente, procesos, • tecnología, gobierno)? ¿Qué debe ser hecho internamente y qué debe ser subcontratado? Haga los cálculos correctos • ¿Cuál es la inversión inicial necesaria? • ¿Cuáles son los costos en curso de operar y evolucionar un SOC? • ¿Cuáles son los otros gastos en este espacio? Cuantifique el valor • ¿Cómo demostrará el valor del SOC? Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 7 2 50% de los encuestados en el GISS también mencionaron la falta de talento como un obstáculo para valorar la creación. Inversión Uno de los retos más significativos que un SOC puede enfrentar es su habilidad para trabajar (y tener éxito) dentro de sus medios limitados, especialmente cuando aún no ha probado ser exitoso o producido algún resultado tangible. Esto es particularmente complicado en un entorno en el que un número significativo de encuestados en el GISS de este año mencionaron que las restricciones de presupuesto son el obstáculo número uno para entregar valor al negocio. En el contexto de los medios limitados, enfóquese en adquirir el talento adecuado. Las funciones de seguridad de la información de hoy requieren un amplio rango de capacidades con una diversidad de experiencias. Esto puede ser una tarea difícil, especialmente en locaciones geográficas poco afortunadas y dada la escasez de profesionales de SOC o respuesta a incidentes en la industria. Para atraer el talento adecuado, es probable que las organizaciones tengan que ofrecer compensaciones de nivel Premium para acceder a oportunidades de crecimiento. La tecnología SOC y el modelo operativo tomará entonces gran parte del presupuesto. Las herramientas de código abierto son de uso libre, pero requerirán practicantes avanzados para configurarlas y operarlas. Las soluciones comerciales son fáciles de usar pero normalmente vienen acompañadas de altos costos de licenciamiento y soporte. Dados estos dos extremos es importante encontrar el balance adecuado que obtenga lo máximo del presupuesto limitado. Dirigir los recursos para asegurar algunos triunfos rápidos y demostrar el valor al negocio: en establecerá los fundamentos para una inversión más grande en el futuro. Dígalo y pruébelo La conversación alrededor de proveer de recursos el monitoreo de seguridad y los esfuerzos de respuesta a incidentes debe sobre pasar al área de TI y alcanzar los niveles del comité directivo. Una vez que la función de seguridad de la información tiene un asiento en el comité directivo, necesita contar una historia convincente. Nuestra experiencia indica que los miembros de la junta directiva están más convencidos de la necesidad de hacer algo cuando la historia incluye: a)Una revisión de programa de seguridad independiente que pueda evaluar el riesgo de seguridad y la madurez general de la función de seguridad. b)Una evaluación basada en escenarios que traduzca los temas técnicos a riesgos de negocio de alto impacto. Evaluaciones de seguridad de enfoque amplio pueden identificar oportunidades de mejora basados en la madurez general de la función de seguridad y del apetito de riesgo de la organización. Sin embargo, en donde las evaluaciones de seguridad tradicionales pueden quedarse cortas es en hacer los hallazgos relevantes para el negocio. Un benchmarking por sí solo no son un impulsor convincente para el cambio y la madurez es un concepto relativo. Las organizaciones también necesitan moverse más allá del cumplimiento y mirar a la seguridad a través de la lente del valor y el desempeño. 8 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético Las 10 principales áreas que las organizaciones deben considerar para hacer de los Centros de Operaciones de Seguridad un éxito 3 Estrategia Un SOC debe poder articular claramente su visión, misión y objetivos dentro del contexto de tres prioridades críticas: • Alineación con la postura general de riesgo. • Soporte de las metas de negocio. • Asistencia en cumplir con las obligaciones de cumplimiento. Para ganar soporte y compromiso, los SOC deben servir como centros de servicio compartido que entreguen valor significativo a los accionistas del negocio y que dicho valor se encuentre alineado con sus intereses. Por su naturaleza inherente de función organizacional cruzada su presentación en ocasiones involucra el agregar y centralizar operaciones existentes de departamentos separados. La falla de reasignar y reorganizar estos recursos y procesos representan un precipicio común que puede poner en peligro en éxito del recién establecido SOC, antes de que comience sus operaciones. Para este fin, las organizaciones necesitan y formalizar definir a conciencia el gobierno y modelo operativo del SOC (junto con procesos y acuerdos de nivel de servicio documentos) para alcanzar el seguimiento de responsabilidad y la supervisión, administrar las comunicaciones y guiar interacciones oportunas con funciones relevantes como TI, RH, legal, cumplimiento y otros. Una cadena de autoridad clara puede también minimizar la confusión y la incertidumbre durante acciones alto impacto en emergencias. Muestra de modelo de gobierno CEO Director ejecutivo COO Oficial en jefe de operaciones Negocio Cumplimiento Oficial en jefe de seguridad de la información Comité de Administración de Riesgos de Seguridad Legal Recursos humanos Administración de riesgos Director de operaciones de seguridad Análisis de seguridad Auditoria interna TI Monitoreo de seguridad Respuesta a incidente y cómputo forense Inteligencia de amenazas y administración de vulnerabilidades Prevención de pérdida de datos Seguridad física Comunicaciones Operaciones de seguridad Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 9 Las compañías deben crear un marco de gobierno corporativo para enfocarse en los temas de seguridad y evaluar su impacto en el negocio de forma que se aplique un manejo adecuado del riesgo. Adicionalmente, las compañías necesitan desarrollar un marco de gobierno para poder elevar los temas de seguridad y evaluar su impacto al negocio. Las políticas y los estándares son fundamentales para establecer una cultura enfocada a seguridad y habilitar un cambio organizacional duradero. Las políticas definen la visión y posición estratégica de largo plazo de la compañía al respecto de temas clave mientras que los estándares proveen la guía tangible para la implementación y procuración de esas reglas; juntos, forman los cimientos sobre los cuales, todas las demás iniciativas serán medidas en términos de valor, alineación y priorización. Aún más importante, sin políticas y estándares el SOC no tiene autoridad para tomar acción en respuesta a los hallazgos. Tratar de procurar o ejecutar reglas sobre los empleados, sin una guía clara de cómo hacerlo, puede poner en problemas a la organización desde el punto de vista legal (p.ej. quejas a Recursos Humanos, despidos no justificados). Sin políticas, la noción de conducta inapropiada hace poco sentido a los empleados y el intento de procuración puede dejar a la organización en un estado de confusión y debilidad. Operaciones de Seguridad vs Operaciones de Red Los SOC y Centros de Operaciones de Seguridad (Security Operations Centers, SOCs) y Centros de Operaciones de Red (Network Operations Center, NOC) exhiben varias similitudes. Ambas funciones son con frecuencia organizadas de manera similar usando un enfoque multinivel con roles similares en los niveles más bajos. Ambos comparten algunas herramientas, aunque cada uno tiene un conjunto de herramientas y técnicas individuales. Ambos grupos utilizan un amplio conocimiento del entorno de cómputo y requieren amplias habilidades técnicas. Lo más diferente es su perspectiva. Mientras que el NOC está principalmente preocupado con servir al negocio, el SOC está enfocado a protegerlo. Cuando se detecta un apagón de luz, por un lado, el personal del NOC se inclinará por atribuir la disrupción al mal funcionamiento de un dispositivo o a alguna situación con un sistema y tratará de atenderlo a través del reemplazamiento de hardware o un ajuste en la configuración. Por otro lado, el personal del SOC se inclinará por atribuir el problema a una actividad maliciosa y entonces solicitará una investigación antes de iniciar acciones de respuesta. Juntas, las diferencias y similitudes entre el NOC y el SOC crean sinergias poderosas que pueden beneficiar en gran proporción a la organización. Algunos ejemplos incluyen: • Mejores comunicaciones y conocimiento compartido para mejorar la concientización situacional y las capacidades de respuesta. • Tiempos de respuesta a incidentes reducidos al habilitar a la función • • de seguridad de la información y de TI para trabajar juntas hacia metas comunes, con cada una contribuyendo sus habilidades y experiencias especializadas. Planeación mejorada de contramedidas a través de la responsabilidad conjunta para la identificación y resolución de causas raíz. Reporteo de administración de incidentes racionalizado con un contexto técnico valioso. En EY, vemos que las funciones de seguridad pueden entregar un valor óptimo cuando las funciones no están embebidas dentro de TI. Aquellas organizaciones que pueden navegar los retos políticas asociados con una entidad NOC/SOC pueden obtener beneficios significativos en el largo plazo. De cualquier manera, los modelos operativos, procesos y procedimientos de la mayoría de las organizaciones de hoy no están suficientemente maduros todavía como para soportar este modelo avanzado de operación. 10 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético Las 10 principales áreas que las organizaciones deben considerar para hacer de los Centros de Operaciones de Seguridad un éxito 4 Gente No temas buscar apoyo de terceros. El SOC requiere recursos talentosos que posean un conocimiento técnico profundo y también un amplio rango de capacidades y una diversidad de experiencias. El personal del SOC debe poder analizar grandes volúmenes de datos de manera eficiente y reconocer de manera intuitiva la necesidad de ampliar el alcance de una investigación. Un SOC efectivo debe lograr el balance correcto entre los profesionales de seguridad y las transferencias internas del área de TI que pueden traer un sólido entendimiento del entorno de TI de la compañía y las funciones de nucleares del negocio que la infraestructura soporta. Las contrataciones externas de seguridad pueden dar una perspectiva fresca basados en experiencias previas. El SOC podría llegar a querer aumentar la cantidad de recursos con personal menos experimentado (y menos caro) que pueda ser desarrollado con una asesoría adecuada brindada por los empleados experimentados para convertirse en profesionales de la seguridad serios. 5 Procesos Lleva tiempo para que una operación de monitoreo de seguridad madure. Es posible que las organizaciones requieran un poco de ayuda externa durante el periodo inicial de desarrollo y crecimiento acelerado del SOC. Un socio de servicios de seguridad administrado puede aportar conocimientos profundos y recursos adicionales especializados a medida que el SOC cimiente sus bases. Conforme las capacidades internas maduran, el SOC puede dejar de depender del apoyo externo, hasta llegar a un punto en que tal apoyo ya no se requiera. Procesos bien definidos crean operaciones consistentes y resultados repetibles. El SOC necesita documentar y comunicar procesos efectivamente e implementar mecanismos de control de cambios para poder actualizar rápidamente los procesos cuando surjan oportunidades de mejora. Un SOC también necesita crear procesos con suficiente amplitud y profundidad para atender adecuadamente el universo de posibles escenarios de incidente y proveer guía detallada para la respuesta. Por ejemplo, un SOC debe documentar procesos para gestionar varios tipos de incidentes (p.ej. phishing, infecciones de malware, incidentes de BYOD, alteración no autorizada del sitio web, ataques de negación de servicio, etc.) así como guías de decisión para las medidas de respuesta apropiadas para cada situación (p.ej. despliegue de un equipo de respuesta a incidentes, investigación forense, análisis de malware). El SOC necesitará definir e implementar estos procesos en colaboración con los departamentos relacionados. La planeación conjunta es esencial para una respuesta oportuna y unificada así como una apropiada evaluación del impacto a la organización. ¿Qué enunciado describe mejor la madurez de su programa de detección? Tenemos dispositivos de seguridad perimetral (p.ej. IDS). No tenemos procesos formales implementados para respuesta y escalamiento. 32% Utilizamos una solución SIEM (Security Information and Event Management) para monitorear activamente la red, así como las bitácoras de los IDS, IPS y de sistema. Tenemos procesos informales de respuesta y escalamiento implementados. 27% Tenemos un programa formal de detección que aprovecha tecnologías modernas (detección de malware basada en host y basada en red, detección de anomalía conductual, etc.) para monitorear ambos el tráfico externo y el interno. Utilizamos procesos ad hoc para la recolección, integración, respuesta y escalamiento de amenazas. 20% 12% No tenemos un programa de detección. Tenemos una función formal y avanzada de detección que agrupa cada una de las categorías de la tecnología moderna (detección de malware basada en host, antivirus, detección de malware basada en red, DLP, IDS, firewalls de siguiente generación, agregación de bitácoras) y usamos análisis de datos sofisticado para identificar anomalías, tendencias y correlaciones. Tenemos procesos formales para la recolección, diseminación, integración, respuesta y escalamiento de amenazas. 9% Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 11 Muestra de arquitectura de servicio del SOC Inteligencia de amenazas y concientización externa Inteligencia de fuente abierta (OSINT) Inteligencia de señales (SIGINT) Inteligencia Humana (HUMINT) Alcance sectorial y geográfico de EY Experiencia de EY Contexto de negocio Datos de eventos de la empresa Políticas y estándares Marco de riesgos Estrategia de negocios Datos de incidentes Resultados de pruebas Heurística Requerimientos de cumplimiento Inventario de activos Estrategia de seguridad y de TI Datos forenses Datos de vulnerabilidad Estándares mínimos ¿Cómo trabajamos? ¿Quiénes somos? SOC Misión, visión y valores Gobierno y modelo operativo Estructura organizacional, roles y responsabilidades Habilidades y capacidades Mensajes y comunicaciones Procesos nucleares internos Tecnología y herramientas ¿Qué hacemos? Calidad | Eficiencia | Consistencia | Trabajo en equipo Respuestas a incidentes de seguridad de la información Monitoreo de seguridad Reporte y análisis de riesgo --------------------------------------------- Catálogo de servicios ------------------------------------------Forense digital y análisis de malware Identificación de amenazas y vulnerabilidades Optimización de la tecnología de monitoreo Métricas constantes y marco de trabajo de la mejora de desempeño Seguridad reforzada 12 | Administración de riesgos Administración de amenazas y vulnerabilidades Respuesta a incidentes Planeación de contramedidas Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético Métricas y reportes Las 10 principales áreas que las organizaciones deben considerar para hacer de los Centros de Operaciones de Seguridad un éxito 6 Tecnología Con frecuencia las organizaciones despliegan tecnología como medio de atender temas imperativos de seguridad. Los proyectos que son nombrados como soluciones técnicas están frecuentemente medidos por el éxito de la implementación más que por el valor que la tecnología provee. Por ejemplo en las preguntas alrededor de la protección de datos, los encuestados de la GISS hicieron referencia a la implementación de un sistema DLP y prestan poca atención en los otros componentes de un programa de Prevención de Pérdida de Datos como el desarrollo de una política o un estándar, gobierno, inventario y seguimiento de activos de información, clasificación y ciclo de vida de la información, y soportar los procesos y los procedimientos para el manejo de alertas. Para obtener el mayor valor de una solución tecnológica, las organizaciones deben suplementar sus esfuerzos de despliegue tecnológico con iniciativas estratégicas que traigan a la mesa la gobernanza apropiada, procesos, entrenamiento y concientización. Retos similares existen, cuando la implementación de un SOC se iguala al despliegue de un sistema SIEM. La implementación de un SOC bien diseñado es el paso que las compañías deben dar para obtener el mayor beneficio de una implementación SIEM. Un SOC debe estar equipado con una suite de productos tecnológicos que provean la visibilidad adecuada hacia el entorno que coadyuve a la postura de seguridad de la organización. Al seleccionar la tecnología correcta, el SOC necesita asignar un equipo de seguridad calificado que pueda identificar exactamente cuáles son las herramientas adecuadas para el trabajo. Este equipo será responsable de evaluar los RFP de distintos proveedores, considerar los requerimientos de integración del sistema, evaluar la interoperabilidad con la infraestructura existente y realizar demostraciones y pruebas de las soluciones. Algunas de las herramientas requeridas pueden incluir la tecnología de detección y prevención de intrusiones; soluciones SIEM; herramientas de administración de amenazas y vulnerabilidades; tecnologías de filtrado; herramientas de prevención de pérdida de datos; soluciones de inspección de tráfico/paquetes; y plataformas de análisis de datos y tecnologías de reporteo. Además, dependiendo del alcance de las responsabilidades, el SOC podría tener acceso a otros sistemas de negocio como herramientas forenses para soportar los esfuerzos de investigación de la respuesta a incidentes. Aunque las herramientas técnicas son importantes, el desplegar tecnología simplemente por hacerlo es costoso e inefectivo. Los planes de tecnología del SOC deben primer considerar lo que está disponible en casa para satisfacer sus necesidades: entonces, se podrá mejorar y ampliar las capacidades actuales a través del despliegue de herramientas y tecnologías suplementarias. El abordar las inversiones en aspectos técnicos del SOC como parte de la perspectiva más amplia de la estrategia de TI así como de los procesos de administración de portafolio es una mejor opción que perseguir adquisiciones de tecnología de seguridad de manera aislada. La implementación de un sistema SIEM no es igual a tener una capacidad madura de monitoreo de seguridad. De hecho, un SOC bien diseñado es requerido antes de que todos los beneficios de una implementación SIEM puedan notarse. Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 13 Caso de estudios del despliegue de un SOC Cliente: Organización de salud Estado original Aunque la organización realizó algún monitoreo informal de seguridad a través de la revisión de bitácoras bajo un esquema ad hoc, no existe un SOC. Retos La visibilidad limitada hacia el ambiente llevó a incidentes de seguridad que pasaron desapercibidos con un impacto potencial grave para la organización (p.ej. financiero, de cumplimiento, en reputación). Como EY ayudó al cliente EY asistió al equipo del cliente en diseñar y desplegar un SOC al crear unos cimientos fuertes en las áreas de personal, procesos y tecnología que soportan el futuro crecimiento y avance en la capacidad. • Gente Trabajando con el cliente, EY definió un modelo de gobernanza y operaciones para el SOC que claramente definió las oportunidades de integración con la función de seguridad de la información así como con otras áreas de la organización (TI, legal, respuesta a incidentes, cumplimiento, administración de riesgos y auditoría interna). Roles y responsabilidades claramente definidos fueron esenciales para asignar el personal del SOC y ayudó a soportar su adecuada operación. • Procesos EY desarrolló y documentó procesos y procedimientos para formalizar las operaciones del SOC para impulsar resultados y consistencia. Ayudamos al cliente a crear documentación de procesos para el monitoreo y detección de eventos, monitoreo de amenazas, administración de vulnerabilidades, respuesta a incidentes, reporteo y rastreo de riesgos. El verdadero valor de nuestro trabajo relacionado con procesos fue la habilidad de fomentar un cambio duradero. Bajo nuestra guía, el SOC pudo institucionalizar los procesos que definimos al probarlos en la práctica y ajustarlos para satisfacer las necesidades de la organización. • Tecnología EY trabajó con el cliente para desarrollar un plan multianual de tecnología que reforzara las capacidades del SOC a través del tiempo. Algunas de las implementaciones tecnológicas que soportamos fueron las de IDS/IPS, SIEM, TVM y GRC. También efectuamos recomendaciones para el despliegue e integración de sistemas de administración de inventario en las funciones del SOC, lo que lo habilitó para poder evaluar de manera precisa su impacto en el negocio. Beneficios Al enfocarse en lo básico, el cliente pudo desplegar efectivamente un SOC que entregó valor organizacional a través de: • Gobernanza fuerte que generó consistencia, propiedad de las responsabilidades y una integración adecuada con otras áreas relevantes de la organización • Procesos y procedimientos robustos, probados que impulsaron resultados repetibles y eficiencia • La integración adecuada de tecnología que proveyó información importante para soportar la toma de decisiones y una respuesta efectiva 14 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético 7 Entorno El propósito general de un SOC es brindar seguridad y actuar como un habilitador del negocio. Para lograrlo, el personal del SOC debe entender el negocio y el valor asociado con decisiones específicas para poder priorizar la respuesta más apropiada. Para administrar eventos que se alinean a las prioridades del negocio y evaluar el verdadero riesgo o impacto a la organización, el SOC necesita una sistema de administración de activos empresarial, bien mantenido (lo que incluye la criticidad de los proceso de negocio soportados). El conocimiento técnico de la infraestructura mantenido en el SOC es crítico para el éxito del mismo. Por ejemplo, investigar todas las actividades que aparentemente se desvían de la norma es ineficiente y costoso; sin embargo, los estándares mínimos ambientales pueden asistir al SOC para priorizar la remediación de vulnerabilidades o la resolución de eventos basados en imperativos del negocio. Los dos factores, conocimiento del negocio y familiaridad con la infraestructura, son beneficios inmediatos que las transferencias internas brindan a un nuevo SOC. Adicionalmente, los requerimientos de políticas y estándares pueden ayudar a alinear las operaciones del SOC a la postura general de riesgo y cumplimiento al detectar y resolver conductas de alto riesgo y violaciones a las políticas y a los estándares. Al correlacionar la información relevante para el negocio contra información técnica disponible, el SOC puede producir tendencias de la industria de seguridad que pueden habilitar al negocio para mejorar la toma de decisiones, la administración del riesgo y la continuidad del negocio. 62% de las organizaciones no tiene alineada su estrategia de seguridad de la información a su apetito o tolerancia de riesgo. 54% de las organizaciones no alinean su estrategia de seguridad de la información con su estrategia de negocios. Esté consciente de los puntos ciegos Los sistemas de control industrial son frecuentemente considerados las joyas de la corona de las operaciones de negocio y aun así, muy pocos les prestan atención. La mayoría de los SOC aún están en el procesos de reforzar las capacidades de monitoreo y respuesta para la infraestructura de TI y los sistemas críticos. Los SOC, con frecuencia excluyen la tecnología operacional (OT), que abarca recursos SCADA y ambientes de control de procesos, desde cualquier revisión basada en seguridad o escaneo de vulnerabilidades que no sea explícitamente requerido para propósitos regulatorios. Para hacer las cosas peores, los proveedores tienen a controlar los ciclos de parcheo, y los SOC raramente monitorean las redes operacionales en busca de conductas ilícitas. El temor de causar una disrupción operacional es tan grande que el negocio podría reaccionar con escepticismo y estar altamente preocupado por cualquier intento de hacer cambios. El resultado es que esos entornos permanecen muy poco monitoreados, incrementando en gran proporción la complejidad de los esfuerzos de administración de riesgos de las organizaciones. Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 15 “Sí miramos hacia los próximos años, necesitamos expandir la administración de la seguridad de la información a nivel de sistemas SCADA. Actualmente, esta área no está cubierta con la información de un ambiente de seguridad de la información, sin embargo requiere atención significativa como el costo de un compromiso con los niveles de daños” Ejecutivo de empresa de petróleo y gas. 8 Análisis y reportes Los SOC actuales tienen la ardua tarea de monitorear enormes volúmenes de datos para encontrar aquellas piezas de información relevante que significan un evento digno de ejecutar una acción o ampliar la revisión. Las herramientas basadas en reglas o en firmas ya no son tan efectivas en el entorno actual y nuevos modelos de amenaza han generado el concepto de perímetro defensivo en la obsolescencia. El SOC puede traer un valor único al monitoreo de actividades al utilizar análisis basados en conducta en contra de los estándares mínimos del entorno. Al usar técnicas avanzadas, el SOC puede analizar datos a través de varios sistemas y dispositivos, esto provee visibilidad hacia tendencias y patrones únicos que no podrían haber sido identificados de otra manera. El SOC también puede utilizar el análisis para crear métricas perspicaces y medidas de desempeño. Puede también usar algunas métricas para facilitar las mejoras operacionales internamente, mientras que la administración puede utilizar otras para tomar decisiones más informadas a la hora de balancear entre el precio y el riesgo. Así, unas métricas bien pensadas y un marco de reporteo puede agregar valor más allá de los temas de seguridad al funcionar también como un vehículo de comunicación para temas financieros y operacionales 9 Espacio físico El SOC debe mantener su propio espacio físico en una instalación segura. Crear una locación distinta para el SOC, junto con el hardware y software que necesitan, facilitará los tiempos cortos de respuesta y promoverá la unidad, la compartición de conocimientos y un equipo de trabajo cuyas filas se encuentren más cerradas. Los análisis del SOC raramente trabajan en el aislamiento. Aprovechar el conocimiento diverso y colectivo, así como la experiencia del equipo puede ser más contundente que aquel de cualquier individuo por sí solo. Los analistas del SOC también se desempeñan de manera más efectiva cuando se encuentran en proximidad física uno del otro. Los SOC exitosos con un amplio grado de colaboración a distancia son muy raros. Por estas razones, el SOC debe incluir un diseño de instalación que promueva la colaboración y que sea más parecido a un war room que a una granja. 16 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético 10 Mejora continua De la misma manera en que la seguridad está en cambio constante, el campo del SOC debe cambiar también. Las organizaciones deben establecer un marco de trabajo para monitorear continuamente el desempeño y mejorar sus programas de seguridad de la información en las áreas de gente, procesos y tecnología. El SOC necesita proveer la educación apropiada y entrenamiento constante para que las habilidades y conocimiento de su gente puedan evolucionar con el entorno cambiante de amenazas. De manera similar, los procesos necesitarán adaptarse para entregar un valor de mayor magnitud. Finalmente, el SOC necesitará evaluar constantemente para determinar su relevancia y efectividad en contra de amenazas internas y externas en evolución. Estos factores deben estar embebidos en el diseño de la organización del SOC y sus operaciones. Por ejemplo, después de la conclusión de incidente mayor o investigación única, los reportes after action y las sesiones de preguntas y respuestas de lecciones aprendidas identifican oportunidades para la mejora, mantienen informada a la administración y reconocen las contribuciones con ambos, el SOC y los miembros interdepartamentales del equipo. Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 17 Las organizaciones deben estar preparadas para combatir, administrar y mitigar los ciberataques que pueden ocurrir cualquier día, a cualquier hora, en cualquier lugar. 18 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético El abrasador ritmo del cambio tecnológico y las ciberamenazas que lo acompañan solamente van a acelerar. Un SOC la de a la organización la habilidad de anticipar y responder más rápidamente a las amenazas trabajar más colaborativamente y compartir el conocimiento más efectivamente. El SOC puede actuar como un concentrador de monitoreo de la seguridad, detección para toda la empresa. Pero para que una instalación de ese tipo sea verdaderamente efectiva, requiere un compromiso y una asignación de responsabilidades a nivel del comité directivo, sin él el SOC nunca podrá ejercer todo su potencial. Un SOC exitoso es una fuerte combinación de excelencia operacional motivada por procesos bien diseñados y ejecutados, una fuerte gobernanza, individuos capaces y una constante motivación por la mejora continua. Qué sí y no hacer para empezar Sí: tenga al equipo ejecutivo de la administración corporativa de su lado No: subestime el costo total para construir un SOC. Evite sorpresas y costos ocultos y comuníquese abiertamente para asegurar los fondos necesarios. Sí: desarrolle procesos de gobernanza sólidos para la asignación de responsabilidades y la supervisión y redefina reglas para la interacción con otras áreas. Sí: construya un equipo capaz. No: no empiece con la tecnología; entienda sus necesidades primero y entonces busque soluciones técnicas que encajen. Sí: habilite resultados repetibles a través de procesos, procedimientos y protocolos formales. Sí: entienda su activo más valioso y construya las operaciones del SOC a su alrededor Sí: use información disponible para reforzar la toma de decisiones y los esfuerzos de respuesta. No: subestime el valor de la colaboración. Construya un entorno de trabajo que produzca trabajo en equipo y habilite operaciones efectivas. Sí: manténgase a la par del horizonte de amenazas siempre cambiante a través de prácticas de mejora continua. Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético | 19 EY | Aseguramiento | Impuestos | Transacciones | Asesoría Acerca de EY EY es líder global en servicios de aseguramiento, impuestos, transacciones y asesoría. Las perspectivas y servicios de calidad que brindamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades. EY se refiere a la organización global y podría referirse a una o más firmas miembro de Ernst & Young Global Limited, cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited, una compañía de Reino Unido limitada por garantía, no proporciona servicios a clientes. Para obtener mayor información acerca de nuestra empresa, favor de ingresar a ey.com. © 2014 EYGM Limited. Todos los Derechos Reservados Este material ha sido elaborado solamente con fines informativos en general y no deberá ser utilizado como asesoría contable, fiscal u otro tipo de asesoría profesional. Favor de acudir a sus asesores para recibir asesoría específica. www.ey.com/GRCinsights Acerca de los Servicios de Asesoría de EY Mejorar el desempeño de los negocios mientras se administran los riesgos es un reto de negocios que es cada vez más complejo. Ya sea que se enfoque en una amplia transformación de su negocio o más específicamente en lograr un crecimiento, optimizar o proteger su negocio, tener los asesores indicados de su lado puede marcar la diferencia. Nuestros 30,000 profesionales en asesoría forman una de las redes globales de asesoría más extensas de cualquier firma profesional, proporcionándole equipos multidisciplinarios con experiencia que trabajan con nuestros clientes para ofrecerles un servicio excepcional a los clientes. Utilizamos metodologías comprobadas e integradas para ayudarle a resolver los problemas más desafiantes para su negocio, lograr un desempeño sólido en las complejas condiciones del mercado y generar una confianza sostenible de sus partes interesadas a más largo plazo. Entendemos que requiere de servicios que se adapten a sus necesidades industriales; por lo tanto, le ofrecemos nuestra amplia experiencia en el sector y nuestro profundo conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva. Sobre todo, nos comprometemos a medir las ganancias y a identificar en dónde su estrategia y las iniciativas de cambio están proporcionando el valor que su negocio necesita. Para encontrar más información sobre los servicios de IT Risk Advisory que pueden ayudar a su organización, comuníquese con su profesional local de EY, a algún miembro de nuestro equipo. Los líderes de seguridad de la información dentro de nuestra práctica de Riesgos son: Christian Andreani Director ejecutivo de Asesoría christian.andreani@mx.ey.com Tel. +52 (55) 5283-1339 Pilar Pliego Directora ejecutiva de Asesoría Monterrey pilar.pliego@mx.ey.com Tel. +52 (81) 8152 1815 20 | Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen cibernético