COMO EVITAR FUGA Y ROBO DE INFORMACION EN SU EMPRESA
Enero 2011
Frano Cape Frano Capeta ta Mondoñedo Mondoñedo
[email protected]
Temario 1)
Ries Riesgo goss prin princi cipa pale less que que perm permit iten en la fug fuga de de info inform rmac ació ión n a.
Identificaci ón ón
b.
Clasifica ci ción
2)
Tecno ecnolo logí gía a rela relaci cion onad ada a a la fug fuga de de inf infor orma maci ción ón
3)
Medi Medida dass de mitig mitigac ació ión n y con contr trol ol de fug fuga a de info inform rmac ació ión n
4)
Aplica Aplicació ción n de de norma normass y est están ándar dares es inter internac nacion ionale aless par para a prev preveni enirr la fuga fuga de información
5)
Tecnología de de mo monitoreo
6)
Aspect Aspectos os legale legaless y judici judiciale aless refe referid ridos os a la la fuga fuga de de inf inform ormac ación ión
7)
Proc Proces eso o de de inve invest stig igac ació ión n y reco recolec lecci ción ón de evi evide denc ncia iass
8)
Plan Plan de de acci accion ones es cor corre rect ctiv ivas as par para a evit evitar ar fug fuga a de inf infor orma maci ción ón a.
Relaci Relaciona onadas das al aspec aspecto to func funcion ional al de de la organ organiza izació ción n
b.
Relaci Relaciona onass al aspec aspecto to técni técnico co de la la organi organizaci zación. ón.
Temario 1)
Ries Riesgo goss prin princi cipa pale less que que perm permit iten en la fug fuga de de info inform rmac ació ión n a.
Identificaci ón ón
b.
Clasifica ci ción
2)
Tecno ecnolo logí gía a rela relaci cion onad ada a a la fug fuga de de inf infor orma maci ción ón
3)
Medi Medida dass de mitig mitigac ació ión n y con contr trol ol de fug fuga a de info inform rmac ació ión n
4)
Aplica Aplicació ción n de de norma normass y est están ándar dares es inter internac nacion ionale aless par para a prev preveni enirr la fuga fuga de información
5)
Tecnología de de mo monitoreo
6)
Aspect Aspectos os legale legaless y judici judiciale aless refe referid ridos os a la la fuga fuga de de inf inform ormac ación ión
7)
Proc Proces eso o de de inve invest stig igac ació ión n y reco recolec lecci ción ón de evi evide denc ncia iass
8)
Plan Plan de de acci accion ones es cor corre rect ctiv ivas as par para a evit evitar ar fug fuga a de inf infor orma maci ción ón a.
Relaci Relaciona onadas das al aspec aspecto to func funcion ional al de de la organ organiza izació ción n
b.
Relaci Relaciona onass al aspec aspecto to técni técnico co de la la organi organizaci zación. ón.
La in info form rmac acio ion n co como mo un ac acti tivo vo
Algún día, en los estados financieros, habrá un rubro en los activos que se leerá como “Información”; pues en la mayoría de los casos, la información es más valios iosa que el hardware que la procesa. – Grace Murray Hopper Hop per,, USN (Ret)
¿Que es seguridad de la información?
¿Qué es seguridad de la información?
Integridad …
¿Qué es seguridad de la información?
Confidencialidad …
¿Qué es seguridad de la información?
Disponibilidad …
¿Qué es seguridad de la información?
¿A que estamos expuestos?
Impactos … GOBIERNO Prestigio / Imagen
Datos de ciudadanos
Dinero
BANCOS
Fórmulas de productos Datos de empleados
EMPRESAS
Datos de clientes
Dinero de los clientes
Confiabilidad Estrategia comercial
¿Fuentes de Peligro?; usuarios conocedores
Robos de Equipos
Principales riesgos Captura de PC desde el exterior
Robo de información
Mails “anónimos” con información crítica o con agresiones
Spamming
Violación de e-mails
Intercepción y modificación de e-mails
Violación de contraseñas
Virus
Destrucción de equipamiento
Violación de la privacidad de los empleados
Incumplimiento de leyes y regulaciones
Fraudes informáticos
Ingeniería social
Interrupción de los servicios
Indisponibilidad de información clave
Programas “bomba” Propiedad de la Información
Destrucción de soportes documentales
Acceso clandestino a redes Acceso indebido a documentos impresos
empleados deshonestos
Robo o extravío de notebooks
Software ilegal
Intercepción de comunicaciones Falsificación de información para terceros Agujeros de seguridad de redes conectadas
Principales riesgos
Instalaciones default Password cracking
Escalamiento de privilegios
Puertos vulnerables abiertos Man in the middle
Exploits
Servicios de log inexistentes o que no son chequeados Denegación de servicio Últimos parches no instalados
Desactualización
Replay attack
Backups inexistentes Port scanning
Keylogging
Repercusión de las infracciones de seguridad
Pérdida de beneficios
Perjuicio de la reputación
Pérdida o compromiso de seguridad de los datos
Deterioro de la confianza del inversor
Deterioro de la confianza del cliente
Consecuencias legales
Interrupción de los procesos empresariales
Como sucede la perdida de Información En las empresas, los empleados sin ninguna mala intención simplemente pueden poner inadvertidamente la información en peligro, a veces dando por resultado perdida de datos.
Situaciones de perdida de información
Transacciones &Actividades de Monitoreo
Medios Moviles
Bases de Datos Comunicaciones.
Desarrollos y Accesos a Servidores
Almacenaje y disposición
Terceros
Principales Vectores de Fuga información
Demasiados Puntos potenciales de fuga….
Consideraciones para la protección de datos •
•
Una estrategia de protección de datos corporativo comienza con la comprensión de lo que son sus activos. No todos los datos se pueden proteger por igual – debemos entender lo que necesita ser protegido
El establecimiento de perfiles de riesgo ayuda a las organizaciones a entender su panorama y contribuir al establecimiento de políticas de seguridad para determinar cómo los sistemas / aplicaciones están configurados, qué derechos tienen los usuarios, y qué mecanismos de seguridad deben proteger los datos sensibles (datos de interés).
Aplicación de normas y estándares internacionales para prevenir la fuga de información
Si TENGO que hacer algo con relación a la SEGURIDAD, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables
Elegimos la más aceptada a nivel mundial Norma ISO 27001 Gestión de Seguridad de la Información
Norma ISO 27001 1. Política de Seguridad 2. Organización de Seguridad 3. Administración de Activos 4. Seguridad de los Recursos Humanos 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Administración de Incidentes de Seguridad de la Información 10. Plan de Continuidad del Negocio 11.Cumplimiento
Dominio: Políticas de Seguridad
Políticas de Seguridad de la Información Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Documento de políticas de SI Revisión y evaluación de las políticas de SI
Dominio: Organización de Seguridad de la información
Dominio: Clasificación y control de activos
Dominio: Seguridad de los Recursos Humanos
Dominio: Seguridad física y ambiental
Dominio: Gestión de comunicaciones y operaciones
Dominio: Control de accesos
Dominio: Adquisición, desarrollo y mantenimiento de sistemas de información
Dominio: Administración de incidentes en seguridad de la información
Dominio: Gestión de continuidad de negocio
Dominio: Cumplimiento
Aspectos legales y judiciales referidos a la fuga de información Proceso de Investigación y recolección de evidencias
Delitos Contra el Patrimonio Delitos Informáticos Artículo 207-A.- Delito Informático El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas. Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas. 42
Delitos Contra el Patrimonio Delitos Informáticos Artículo 207-B.- Alteración, daño y destrucción de base de datos, sistema, red o programa de computadoras El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa.
43
Delitos Contra el Patrimonio Delitos Informáticos Artículo 207-C.- Delito informático agravado En los casos de los Artículos 207-A y 207-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años, cuando: 1. El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo. 2. El agente pone en peligro la seguridad nacional.”
44
Objetivos Se hace un Peritaje Informático para : • Determinar QUE sucedió. • Determinar COMO sucedió. • Determinar QUIEN es responsable. • Con Metodología Técnica. • Con conformidad de Ley.
Etapas Fundamentales La Pericia Informática Forense se desarrolla en 4 (CUATRO) etapas básicas : A.Identificación y Adquisición B.Preservación
C.Análisis Forense D.Presentación Judicial
Los 4 Pasos •
Identificando la Evidencia Digital –
–
•
Se debe identificar el Tipo de Información disponible Se debe determinar la mejor manera de obtenerla.
Preservando la Evidencia Digital –
–
Con el menor cambio posible Se debe ser capaz de llevar la cuenta de cada cambio realizado.
Fuentes de Evidencia Básicamente se confía en los Registros y restos de información recuperados de un Sistema comprometido en la Escena del Crimen.
Necesitamos saber : • Dónde está la Evidencia • Qué significa la Evidencia • Como “levantarla” (adquirirla y preservarla)
También debemos saber … •
•
•
•
Cómo trabaja cada Sistema. Cuando fueron creados los registros (Entradas de Logs) y porqué. Dónde puedo encontrar Evidencia en cada Tipo de Sistema. Cómo actuar en cada Caso, y qué tipo de Herramientas debemos usar en cada Etapa.
Mutabilidad de la Evidencia •
La Evidencia Digital muta fácilmente –
–
–
Un intruso puede alterar los Logs durante el proceso de Adquisición de la Evidencia Se puede comprometer Componentes del Sistema que almacenan los Logs. Ud. Mismo puede modificar arbitrariamente los Logs en el proceso de Adquisición
RAPIDO Y SEGURO !!
Plan de acciones correctivas para evitar fuga de información
Prevención de la Fuga de la Información
Prevención de la Fuga de la Información; el PROYECTO
Tecnología de monitoreo
Prevención de Fuga de Información Modelo de Solución Conceptual Administración Central, Manejo de Políticas y Flujo de Trabajo Propietarios de los datos del negocio
Monitoreo del Punto Final
Administradores de Seguridad
Contenido descubierto
Manejo de Políticas
Monitoreo de Red
Monitoreo de actividades
1
3
2
Datos en Uso
Datos en Movimiento
Datos en Reposo
Prevención de Fuga de Información Modelo de Solución Tecnica
Solución a la Protección de Datos – Arquitectura Conceptual Establecer Políticas
Gobierno
Implementar Controles
Proceso
DLP
Encripción
DAM
Redacción
Archivo
de datos
Monitorear y Hacer cumplir los controles
Protección de Datos
DR WAN
Sucursales
Análisis de Negocios
Cinta de Respaldo
Data warehouse
Clientes Socios
WWW
WAN Empleados Remotos VPN
Portal del cliente Desarrollo Outsourced
E-mail de la empresa
Datos de Producción
Almacenamiento en disco
Estadiaje
Disco de Respaldo Servidor de Archivos
Aplicaciones TI y Sistemas
Pero muchas veces lo mas simple también funciona
