Asociación Latinoamericana de Profesionales en Seguridad Informática Seguridad Informática Mitos y Realidades VII Reunión de Responsables de Sistemas de

Asociación Latinoamericana de Profesionales en Seguridad Informática

““Seguridad Informática Mitos y Seguridad Informática Mitos y Realidades”Realidades”

VII Reunión de Responsables de Sistemas de InformaciónSan Pedro Sula, Honduras

Adrián Palma,CISSP,CISA,CISM.PresidenteALAPSI INTERNACIONAL


IntroducciónIntroducción

La actualidad y la información.

Grandes volúmenes de información y procesos.

Alta dependencia tecnológica.

Bajo control en la protección de información.

Internet, una nueva forma de vida o un problema para pensar.

Necesitamos seguridad.



Pero...

¿qué vamos a proteger?

¿cómo lo vamos a proteger?

¿qué tan costosa es la seguridad?

¿quién va a responder estas preguntas?

Sin embargo, antes de que se respondan, sabemos que necesitamos seguridad, eso es un hecho!!!.



Veamos los 6 errores mas comunes:

Ya compramos un Firewall, ya tenemos seguridad ¿no?.

Manejar el oscurantismo de lo inesperado.

Nunca ha pasado nada, o al menos no nos hemos dado cuenta.

No estoy en Internet, no necesito seguridad.

Mis empleados son gente de confianza!!!

Ver el problema de la seguridad como un problema tecnológico.


Estadísticas de AtaquesEstadísticas de Ataques

¿quién invierte mas en seguridad?¿de dónde vienen los ataques?¿ qué tecnologías son las mas usadas?¿cuánto cuestan las intrusiones?¿y los sitios web?, etc.


EstadísticasEstadísticas

Clasificación por puesto del participante

Fuente: Encuesta Global de Seguridad de la Información 2004



Clasificación por volumen de ingresos de la organización participante




Participación por sector industrial




¿Qué tan importante es la seguridad de la información para alcanzar los objetivos del negocio?




¿Cuánta importancia le dan los ejecutivos al tema?




¿Existen o se planea que existan las siguientes posiciones en su organización?




¿Existen o se planea que existan las siguientes posiciones en su organización?




¿A quién le reporta su departamento de seguridad de la información?




¿Qué tan efectivo es su departamento de seguridad de la información para satisfacer sus necesidades de la organización?




¿Con qué frecuencia se reporta a su consejo de dirección o equivalente sobre temas relacionados con seguridad de la información?




¿Qué tan seguido se reúne el responsable de la seguridad de la información con los líderes de las unidades de negocio?




De la Preocupación a la Conciencia




Prácticas de Control




Prácticas de Control




Prácticas de Monitoreo




Prácticas de Análisis de Riesgos




¿Qué le preocupa?




¿En qué va a concentrarse?




¿Qué le quitó el sueño?




¿Qué le quitó el sueño?




¿Cuanto se lo quitó?




¿Cuál fue el que más daño causó?




¿Ejecuta pruebas de penetración recurrentes o planea ejecutarlas en el 2004?




¿Qué tan preparados están para hacer frente a sus vulnerabilidades?




¿Quién cree que enfrenta mayores riesgos?




Preparándose para lo inesperado




En relación con los ingresos por ventas ¿Qué porcentaje representa su presupuesto para seguridad?




¿Cómo es su presupuesto de seguridad de la información de 2004 en comparación con 2003?




¿Cómo cree que será su presupuesto de seguridad de la información de 2005 en comparación con 2004?




¿Espera que el tiempo que su organización dedique al tema de seguridad de la información en 2004 se incremente o decremento?




¿Qué tan efectiva cree que está siendo la inversión en seguridad de la información en relación con los objetivos de negocio y las amenazas?




¿Qué lo detiene?




¿Qué tan efectivas son sus herramientas?




¿Qué tan efectiva es la tercerización para su programa de seguridad?




¿Qué tan efectivos son sus servicios?




Si algo le sucediera ¿A quién le avisaría?



La seguridad Informática, La seguridad Informática, sus problemas y limitacionessus problemas y limitacionesLa seguridad Informática, La seguridad Informática, sus problemas y limitacionessus problemas y limitaciones

¿los conocemos?...

¿todos?


La seguridad de la informaciónLa seguridad de la información

Áreas Tecnológicas

Gente

De herramientas de Seguridad

Infraestructura de TI

Negocio

Organizacional

¿De quién es el problema de la seguridad?


La seguridad y sus problemasLa seguridad y sus problemas

La seguridad “corre” en sentido completamente opuesto a la operación...

Seguridad Operación

Entonces, ¿¿¿mucha o poca seguridad???



La operación vs. el Nivel de Seguridad

Estado de EQUILIBRIO

Seguridad en proporción del posible impacto y costo de implantación

Esto es logrado mediante la construcción de una arquitectura de seguridad basada en análisis de riesgos



Internet es:Cada vez más peligrosa, mas necesaria y más complejaCada vez hay mas proveedores, socios de negocio, clientes, pero tambien, competidores, enemigos y amenazas

Productos de seguridad orientados a la detecciónRechazan el ataque, oFallan!!!


La seguridad y sus limitacionesLa seguridad y sus limitaciones

Demasiados proveedoresDemasiados productosDemasiados serviciosPoca información sólida

Problemas en el escalamiento y/o comprensión de las necesidades de seguridad

Ya tenemos un firewall!!! o ¿no?

Cuando vendes martillos, a todos los problemas les ves

cabeza de clavo, ¿o no?



El administrador de seguridad debe estar prevenido de todos y cada uno de los ataques y vulnerabilidades, conocidos y desconocidos

Los atacantes SÓLO necesitan explotar UNA vulnerabilidad

Poca gente disponible y especializada


Pocos proveedores enfocados a la seguridad de la información

Muy pocos con verdadera provisión de Soluciones Integrales, o son productos o serviciosDemasiada improvisaciónOrientados a un área de experiencia

La seguridad es relativa y dinámicaLo que hoy puede ser seguro, mañana “seguramente” no lo seráNo existe seguridad a prueba de todo



Algunas recomendacionesAlgunas recomendaciones

Administre el riesgoTodas las compañías lo hacen en sus procesos de negocioEl de la tecnología de información es uno másSe presentarán fallasEl negocio las puede resistirDebe incluirse en el costo de hacer negocio

Hay que equilibrar riesgo .vs. costoLa evaluación de esta fórmula debe ser continuaCambia con el tiempo, las condiciones de negocio, la gente, los cambios organizacionales, las fusiones, las alianzas, la tecnología, etc.



Proteja, Detecte y RespondaTodos los productos presentan fallas durante su vida útilTodos los proveedores de servicios cometen errores durante la duración del contratoSus usuarios se equivocan o deciden actuar en contra de las recomendaciones

Hay que monitorearLos monitores deben estar capacitados para tomar acciones que vayan más de allá de hacer sonar una alarma



Contrate uno o más Proveedores de Cabecera.

Ellos se dedican a la seguridad, su empresa o institución no!

Tienen mas experiencia por el número de clientes con los que trabajan.

Un buen proveedor puede entender, apreciar y actuar de manera efectiva observando la seguridad y sus efectos así como los requerimientos de negocio.


¡M u c h a s g r a c i a s!¡M u c h a s g r a c i a s!

Adrián Palma,CISSP,CISA,CISM

[email protected]

www.alapsi.org

Documents

Asociación Latinoamericana de Profesionales en Seguridad Informática Seguridad Informática Mitos y Realidades VII Reunión de Responsables de Sistemas de