Embed Size (px)
Citation preview
Los diez peores errores en Seguridad de la Información, cometidos por la
alta dirección de la empresa.
Jesús Torrecillas (D.S.E.)
Antes de comenzar!
INTRODUCCIÓN
INTRODUCCIÓN
! El entorno de los “expertos en Seguridad Informática”. ! Considerar la Seguridad de la Información como factor estratégico. ! La complejidad de una empresa no garantiza al inmunización. ! La empresa “moderna” en el siglo XXI. ! Expertos en Seguridad o en vender miedo indiscriminado. ! La globalización y los efectos colaterales. ! Pasa la bola. ! Errar es humano, echar la culpa a otros es de comadrejas. ! Rollout, deployment, tag, capability!¡Cuidado! ! Vende burras ilustres. ! La Seguridad es un territorio comanche.
INTRODUCCIÓN
Neomanagement; un cáncer evitable
¿Cuál es el nivel de confort en su compañía? Cuando la gente está desesperada es cuándo se comenten los errores más estúpidos. ¿Cuál es el activo más valioso de su compañía? ¿Cómo saber de manera rápida un indicador de clima laboral en mi empresa? ¿Usando encuestas complejas? ¿Usando carísimos consultores externos? ¿Cómo está el baño de su empresa, departamento, etc!? ¿Hay mamones en su empresa? ¡¡¡EVITELOS!!! o le harán perder su tiempo, su energía, su ilusión, y le crearán mala fama a su empresa.
¿Les suenan este tipo de problemas?
Inyección ciega SQL. Ingeniería inversa. Phishing. Pharming. Rootkits. Ataques en capa 2. Envenenamiento ARP. DNS Spoofing. ICMP Redirect. Reflector Attack. Syn Flood. Ingeniería Social. Operación Aurora. Estupidez humana. (el más peligroso)
¿Dónde nos encontramos en Seguridad?
PRIMER ERROR Asignar a gente sin experiencia el mantenimiento de la Seguridad Informática y no dar formación para aprender en que consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto
! Obsolescencia del ciclo de vida de un plan director de Seguridad. ! Clases de Informáticos. ! Todología inspiradora. ! Intrusión profesional en Informática. ! Carencia de plan director de Seguridad.
SEGUNDO ERROR Falta de comprensión entre la relación de Seguridad de la Información con los problemas del negocio.
¿Sabe Seguridad en qué consiste la operación del negocio?
! Informática como área de apoyo a la operación. ! Seguridad el monstruo bicéfalo. ! Cuánta Seguridad necesito; que tamaño de empresa tengo. ! Seguridad debe conocer los entresijos de la operación.
TERCER ERROR Falta de conocimiento y de comprensión sobre los aspectos de la operación de Seguridad de la Información.
! Empresa chica problema chico, empresa media problema! ! Relaciones entre Seguridad y la alta dirección. ! Seguridad ¿Sabe vender su función a la alta dirección? ! Seguridad de la Información ¿Gasto o inversión? Akiles! ! ¿Sabe la dirección en qué consiste la operación de Seguridad? ! ¿Conocen como administrar el riesgo? ! ¿Saben prevenir la fuga de Información? ! Satisfacción del nivel de servicio de Seguridad hacia la empresa. ! ¿Conocen si han sufrido alguna vez fuga de información? ! ¿Saben el significado de hacktivismo y de espionaje industrial? ! ¿Cómo se ven ustedes!todólogos o expertos en Seguridad?
¿Qué saben ustedes de su nivel de servicio de Seguridad?
CUARTO ERROR Confiar la Seguridad de la Información solamente en los firewalls e IPS, IDs, etc!
! Firewalls, Ips, Ids!.¿Floreros de lujo? ¿Sirven para algo? ! La tecnología ayuda pero no garantiza! ! Programas de actualización y mantenimiento. ! Obsolescencia. ! Si funciona ni lo toques, no la vayas a fregar! ! Firewalls potentes y cuentas de usuarios débiles! ! Firewalls potentes y la red hecha un mugrero. ! ¿Estamos haciendo las cosas bien?
¿ Están seguros de que los cacharros funcionan bien?
QUINTO ERROR Que el departamento de Seguridad de la Información dependa del departamento de Informática.
! Jueces y partes por el mismo precio. ! Un ahorro mal entendido. ! La independencia clave para el buen hacer. ! Ocultar la realidad. ! Maquillaje de hallazgos para la alta dirección. (fraude interno) ! Seguridad Informática el azote de los informáticos. ! ¿Cuánto cuesta este ahorro mal entendido? ! Maquillar logs para que los auditores no encuentren nada. ! Juntos pero no revueltos. ! Presentar informes conjuntamente refuerzan la estrategia. ! ¿Auditorías paralelas antes del inicio de la “oficial”?
¿ Cómo son las relaciones entre Seguridad e Informática?
SEXTO ERROR Dejar sólo en manos de proveedores externos la operación de la Seguridad Informática, y la Operación crítica de Informática.
¿ Toda tu operación Informática en manos extrañas!?
! ¿Ahorro fiscal o problema de Seguridad? ! ¿Cómo se sienten los operadores subcontratados? ! ¿Qué reputación tienen estas empresas de “outsourcing”? ! ¿Empresas serias o bola de buitres sedientos de sangre? ! Mal pagados venden información estratégica. ! Mobbing o acoso moral laboral: “La verdad incómoda”.
PATITO CONSULTING SA DE CV
SÉPTIMO ERROR No darse cuenta del valor de la posesión de la Información y la reputación de la compañía.
! ¿Cuál es tu activo más importante!la información? ! De médicos y enfermeras y sus historiales clínicos. ! Despistes o negligencias (que te dejaste dentro). (osnis) ¿O S N I S? ! Eso no me pasa a mí!BUENO ESO CREO. ! Radio pasillo. ! Periodicazos célebres. (Enron, Los Arturos!y tu empresa)
El hábito no hace al monje pero sí lo condiciona.
OCTAVO ERROR Reaccionar reactivamente, dando soluciones breves, o haciendo parches para solucionar problemas que luego se reproducirán rápidamente.
¿ Sabes cuántos intentos de penetración se están produciendo en tus redes ?
! ¿Conoces tu historia? ! ¿Sabes a qué se parece tu red de datos? ! ¿Tienes un plan de contingencia frente a eventos? ! ¿Asegurarías que “todo” está bien en tu red? ! ¿Tienes claro que la Seguridad de la Información es un factor estratégico para la compañía? ! ¿Duermes tranquilo cada noche? ! ¿Tienes verdaderos expertos o “plomeros” de redes?
NOVENO ERROR Pretender que los problemas no aparecerán si son ignorados
Eso le pasa a los más “fregados” yo soy inmune!
! Provengo de una familia de alto nivel, “eso” no nos pasa. ! Mi empresa es la más chingona del mundo!eso no nos pasa. ! Massadá no caerá. Historias de castillos y fantasmas. ! Los elefantes blancos. ! Las enfermedades venéreas en la historia del mundo! ! La tuberculosis en el mundo moderno.
DECIMO ERROR Ocultamiento de problemas entre los departamentos de Tecnología Informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad)
¡¡¡Es un problema mundial!!!
¿Es el departamento de Seguridad Informática el azote del departamento de Informática?
! La Seguridad Informática no es patrimonio de unos o de otros. ! La integridad de la información impacta en los resultados de la operación. ! El uso indiscriminado de tecnología no garantiza que se esté más seguro. ! Cuándo vamos al médico! ¿Prevención o curación? ! La dirección debe vincularse con lo que pasa y exigir res- ponsabilidades a ambas partes.
RESUMEN: 1° Asignar a gente sin experiencia el mantenimiento de la Seguridad Informática y no dar formación para aprender en que consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.
2° Falta de comprensión entre la relación de Seguridad de la Información con los problemas del negocio.
3° Falta de conocimiento y de comprensión sobre los aspectos de la operación de Seguridad de la Información.
4° Confiar la Seguridad de la Información solamente en los firewalls e IPS, IDs, etc!
5° Que el departamento de Seguridad de la Información dependa del departamento de Informática.
RESUMEN: 6° Dejar sólo en manos de proveedores externos la operación de la Seguridad Informática, y la Operación crítica de Informática.
7° No darse cuenta del valor de la posesión de la Información y la reputación de la compañía.
8° Reaccionar reactivamente, dando soluciones breves, o haciendo parches para solucionar problemas que luego se reproducirán rápidamente.
9° Pretender que los problemas no aparecerán si son ignorados.
10° Ocultamiento de problemas entre los departamentos de Tecnología Informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad)
¿Y después de esto!?
RECONOCIMIENTOS: www.virustotal.com
http://www.rediris.es/
http://www.ati.es
http://www.cert.org/
http://www.hispasec.com/
http://www.zonavirus.com/
http://www.scambusters.org/
!!!"#$%&'()*&$+&',,,(
-./0**1$+22&'34&%0051'(
