Issuu on Google+

Enfoque Mitigación de Riesgos Tecnología Seguridad de Redes Sector Grandes Corporaciones Geografía América Latina

Advisor

Análisis independiente de tendencias tecnológicas para profesionales de TIC

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas


2010

Indice Introducción Una red más grande, pero con más amenazas Un mundo peligroso La seguridad tratada de manera amplia SOC – Knock-out a las amenazas Consideraciones finales

2

Advisor

3 4 6 8 10 12

Análisis independiente de tendencias tecnológicas para profesionales de TIC


Introducción Actualmente asistimos a un crecimiento acelerado del número de usuarios y servicios de Internet. Cada vez más personas acceden a la red, a través de una diversidad cada vez mayor de canales, con los más diversos fines: desde leer noticias, hacer compras, intercambiar mensajes y archivos con amigos, hasta ver películas enteras en alta resolución y colaborar on-line para la creación de contenidos. Ese crecimiento acelerado tiene también un aspecto negativo: la combinación de un número creciente de usuarios y de amenazas, tales como virus y ataques, que hacen de Internet un ambiente potencialmente vulnerable.

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas

3


Una red más grande, pero con más amenazas En América Latina y en el mundo, el uso de Internet se expande rápidamente. A pesar de que estamos muy por debajo en términos de penetración, si comparamos con países desarrollados, las tasas de crecimiento del servicio de Internet son significativas. La competencia del mercado combinada con la búsqueda voluntaria por parte de la población, especialmente de las nuevas generaciones, de los servicios y el desarrollo tecnológico (como el acceso móvil) resulta en una gran cantidad de oportunidades y perspectivas. El escenario se vuelve aún más positivo cuando sumamos a ese contexto la posibilidad de apoyo gubernamental. Bajo una perspectiva más crítica, una red de telecomunicaciones en plena expansión y una base creciente de usuarios principiantes pueden ser un ambiente propicio para la proliferación de amenazas como virus, troyanos y otros usos indebidos de Internet, tales como fraudes o ataques de denegación del servicio. El aumento del número de amenazas, que por sí solo ya es preocupante, encuentra un ambiente que se expande más rápidamente que la capacidad de protegerse.

4

Advisor

Además, los nuevos medios de acceso, como teléfonos celulares, electrodomésticos y dispositivos personales, a pesar de tener recursos cada vez más próximos a los desktops y notebooks, tienen una tendencia a presentar un abordaje menos rígido en cuestiones de seguridad. La propia movilidad que esos dispositivos proporcionan torna la cuestión de seguridad más complicada. El escenario es de optimismo, pero requiere cautela y acciones estructuradas. La seguridad de la información debe ser una pauta presente en las diversas esferas en que actúa Internet, desde las redes de telecomunicaciones, el ambiente corporativo y el uso doméstico de los servicios.

Análisis independiente de tendencias tecnológicas para profesionales de TIC


“El aumento del número de amenazas, que por sí solo ya es preocupante, encuentra un ambiente que se expande más rápidamente que la capacidad de protegerse”

Figura 1  Crecimiento de Internet en América Latina

(Argentina, Chile, Colombia, Méjico, Venezuela)

8% 6%

Usuarios de banda ancha (000)

4%

2%

3%

4.232,7

6.855,9

10.531,5

15.441,4

19.107,7

2005

2006

2007

2008

2009

Proporción de domicilios con acceso a Internet

(Porcentual sobre el total de domicilios en zona urbana)

Seguridad de la Información

Fuente: ITU

Tecnología y procesos para la protección y combate de amenazas

5


Un mundo peligroso Un análisis del ambiente muestra que el tratamiento del problema puede ser más trabajoso de lo que el sentido común nos llevaría a creer. Las diversas amenazas causadas por cuestiones de seguridad (ej: virus, spams y ataques) pueden tener causas bien diferentes, como problemas de protección de la red, dispositivos desprotegidos o usuarios incautos/ malintencionados, trayendo como impacto daños de imagen (pérdida de datos de clientes o websites violados), reducción de eficiencia de la red o incluso denegación del servicio y daños financieros causados por fraudes. Quedó atrás el tiempo en que la principal preocupación de la seguridad en una empresa era la protección contra los virus informáticos. Las amenazas actualmente se presentan en gran cantidad y variedad. En una única sesión en la

computadora, un usuario puede ser expuesto a decenas de diferentes amenazas electrónicas. Hasta fue creada una expresión para referirse a esa nueva serie de software indeseable: malware. Actualmente los virus informáticos perdieron importancia frente a otros tipos de malware cuya intención no es, necesariamente, dañar los archivos de la computadora o dificultar la vida del usuario, sino buscar informaciones personales u obtener el control de sus máquinas. A partir de ahí, los responsables por ese malware pueden lograr beneficios financieros de diversas formas, ya sea usurpando la personalidad del usuario, como con el “alquiler” de redes de computadoras-zombis, que permite que las computadoras de los usuarios sean utilizadas para spam y ataques a determinadas redes y sistemas. Esas redes son también llamadas botnets.

Figura 2  Amenazas, vulnerabilidad e impactos de seguridad

Amenazas

Vulnerabilidades

tMalware (spams, virus, rootkits) t"UBRVFTFYUFSOPTJOUFSOPT tPhishing t"UBRVFTEFJOHFOJFSÓB social

t'BMUBEFQPMÓUJDBT t'BMUBEFDBQBDJUBDJØOZ DPODJFOUJ[BDJØO t3FEFTEFTQSPUFHJEBT t'BMMBTEFTPęXBSF t6TVBSJPTJODBVUPT

Impactos

t%B×PTBMBJNBHFO t$BÓEBEFFĕDJFODJBEFMBSFE t.PEJĕDBDJØOSPCPEFEBUPT DPOĕEFODJBMFT t%FOFHBDJØOEFTFSWJDJPTZ QÏSEJEBEFJOHSFTPT t'SBVEF

Fuente: Logicalis

6

Advisor

Análisis independiente de tendencias tecnológicas para profesionales de TIC


“El ambiente externo más hostil combinado con menos protección es el escenario propicio para que ocurran problemas” Las amenazas son potenciadas por fallas de seguridad o vulnerabilidad de los más diversos tipos: redes no protegidas o no monitoreadas, sistemas sin control de acceso o con permisos de acceso muy amplios pueden permitir que ocurran incidentes de seguridad. El ambiente externo más hostil combinado con menor protección es un escenario propicio para la aparición de problemas. Las fallas de seguridad existen no sólo como consecuencia de vulnerabilidades de origen tecnológico, sino también por fallas de procedimientos y políticas de la organización. Usuarios incautos (cuando no malintencionados), procesos no definidos y no estandarizados, falta de documentación, entre otras, pueden ser causa de eventos graves de seguridad. Una organización puede tener los mejores sistemas de seguridad y

aún así estará sujeta a incidentes si esas inversiones no son acompañadas por políticas y procesos bien establecidos. El abanico de amenazas es tan diverso como sus consecuencias. Desde simples ataques a los websites, daños a una o varias máquinas debido a virus y reducción de eficiencia causada por spams, hasta la denegación del servicio (denial of service) y robos de informaciones para uso fraudulento (phishing), las amenazas de seguridad vienen ganando proporciones más serias y dañinas para los proveedores de servicios.

Figura 3  Aumento de las amenazas de seguridad 45

Malware Exclusivo (incluidas

variantes) en base de datos (millones)

40 35 30 00

ene/10

feb/10

mar/10

abr/10

may/10

jun/10 49

Velocidad de ataques DdoS (Gbps)

10

2004

17

2005

24

2006

40

2007

2009

Fuentes: Arbor ISR 2009, McAfee Labs

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas

7


La seguridad tratada de manera amplia Las acciones para atenuar las amenazas deben ser tomadas de manera amplia, con el objetivo de disminuir las vulnerabilidades en los diversos eslabones de la red: desde la salida a Internet, pasando por la red del proveedor de servicios, hasta el ambiente corporativo o domĂŠstico. SĂłlo con monitoreo, protecciĂłn y tratamiento de incidentes de seguridad en toda la extensiĂłn de la cadena es posible tener visibilidad y promover acciones que disminuyan los riesgos para el servicio y para los usuarios de las redes de comunicaciĂłn.

Los usuarios, sean ellos corporaciones o individuos, deben considerar soluciones que posibiliten el monitoreo, control y protecciĂłn de sus redes y computadoras contra ataques y otras amenazas. Debido al aumento de la complejidad para mantenerse actualizado en cuanto a las amenazas y soluciones, una opciĂłn que viene ganando espacio es la contrataciĂłn de seguridad de red como servicio, ofrecido por proveedores de servicios y empresas especializadas (seguridad gerenciada). El uso de soluciones

Figura 4  Abordaje amplio de seguridad

t.POJUPSFPEFMBSFEBUSBWĂ?TEF BDDJPOFTQSPBDUJWBT TFHVJNJFOUP EFOVFWBTBNFOB[BTZOVFWBT TPMVDJPOFT ZSFBDUJWBT HFTUJĂ˜O EFJODJEFOUFT

t(FTUJĂ˜OEFBDDFTPEFDMJFOUFT  TPDJPTZQSPWFFEPSFTDPOFDUBEPTBMBSFE

t%FGJOJDJĂ˜OEFQPMĂ“UJDBTEF TFHVSJEBEZNPOJUPSFPEF TVVTP t7JTJCJMJEBEZNJUJHBDJĂ˜OEF BUBRVFTZBNFOB[BTFYUFSOBT FJOUFSOBT

Ambiente corporativo

Internet

t7JTJCJMJEBEZNJUJHBDJĂ˜OEF BUBRVFTZBNFOB[BT QSPWFOJFOUFTEF*OUFSOFU

Proveedor de servicios de telecomunicaciones

t$BVUFMBFOMBNBOJQVMBDJĂ˜O EFBSDIJWPT DMBWFTF JOGPSNBDJĂ˜OFOHFOFSBM t6TPZNBOUFOJNJFOUPEF TPMVDJPOFTZTFSWJDJPTEF NJUJHBDJĂ˜O

Ambiente domĂŠstico

'VFOUF-PHJDBMJT

8

Advisor

AnĂĄlisis independiente de tendencias tecnolĂłgicas para profesionales de TIC


"Si para los usuarios la misión de mantenerse protegidos ya parece una tarea ardua, para los proveedores de servicios de telecomunicaciones el desafío es todavía aún más complejo." tecnológicas de seguridad, sean propias o contratadas a terceros, deben venir siempre acompañadas de procedimientos/políticas de concientización en cuanto a los riesgos de seguridad. Si para los usuarios la misión de mantenerse protegidos ya parece una tarea ardua, para los proveedores de servicios de telecomunicaciones el desafío es aún más complejo. Los mismos deben garantizar la visibilidad de los eventos en la red a lo largo de todo su dominio, desde la entrada o salida de Internet, hasta el acceso a los usuarios de los servicios de conectividad. Monitorear el tráfico y poder controlarlo, identificar y bloquear ataques, controlar el acceso a la red de profesionales o terceros son apenas algunos de los requisitos para una gestión más segura de la red. El abanico de soluciones que pueden ser utilizadas es tan diversificado como el de posibles amenazas. Otra perspectiva que debe ser considerada es la de no desvincular la “seguridad” de la “información”. Uno de los objetivos primordiales de la seguridad de la información es proteger los datos traficados y almacenados y no sólo a “una red” o “una computadora”. Es decir, la protección en el nivel de la red debe ser siempre acompañada de mecanismos que disminuyan los riesgos de exposición o pérdida de informaciones confidenciales en las actividades operacionales. El uso de claves, documentos y archivos debe ser tratado siguiendo políticas bien definidas y divulgadas, con el soporte de procesos y herramientas que monitoreen y evalúen su correcta utilización, además de los programas de concientización de los usuarios y la capacitación en seguridad.

Figura 5  Soluciones tecnológicas de seguridad t"OUJ - Virus - Spam - Pishing - Adwares tFirewalls t'JMUSPEF63-T t4JTUFNBTEFEFUFDDJØOQSFWFODJØOEF JOUSVTJØO *%4*14

t$POUSPMEFBENJTJØOBMBSFE /"$

t$PSSFMBDJØOEFFWFOUPTEFTFHVSJEBE t%FUFDDJØOZNJUJHBDJØOEF%%P4 t)FSSBNJFOUBTEFUFTUFPEFQFOFUSBDJØO t%-1ZDSJQUPHSBGÓB t"DDFTPSFNPUPTFHVSP 71/TTFHVSBT

t*OWFTUJHBDJØOZBOÈMJTJT tLawful interception tTrouble-tickets t)FSSBNJFOUBTQBSBHFTUJØOEFSJFTHPT WVMOFSBCJMJEBEZDPOGPSNJEBE t)FSSBNJFOUBTQBSBHFTUJØOEF BDUVBMJ[BDJPOFTZDBNCJPTFOHFOFSBM t)FSSBNJFOUBTQBSBEJWVMHBDJØOEF QPMÓUJDBTZQSPDFEJNJFOUPTEFTFHVSJEBE Fuente: Logicalis

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas

9


SOC - knock-out a las amenazas Frente a esa amplitud de amenazas, soluciones tecnológicas y acciones necesarias, ¿cómo es posible coordinar las actividades de seguridad dentro de la empresa? Una forma estructurada de actuar sobre estos puntos es el establecimiento de un SOC -Security Operations Center, una entidad avanzada de monitoreo, detección y acción sobre eventos de seguridad y desarrollo de prácticas y políticas corporativas. Con una visión end-to-end de los procesos de seguridad, es posible actuar y administrar los aspectos más críticos de todo el ciclo de gestión: • Instalación de nuevos equipos en la red; sean ellos soluciones de seguridad, como firewalls, o servidores y routers. • Asignación, rastreo y retiro de acceso a los equipos por profesionales y terceros. • Recolección de logs y eventos de los equipos. • Correlación de los datos recolectados, generación de alarmas y tratamiento de incidentes. • Generación de soluciones a los problemas raíz • Desarrollo de nuevas soluciones, nuevos procesos y mejora de la infraestructura tecnológica para monitoreo y actuación.

Con esas actividades básicas, la empresa obtiene prácticas para actuar sobre incidentes, una visión más inmediata para defenderse de ataques y también procesos para lograr la disminución de la vulnerabilidad, diseños de procesos y políticas; además de buscar soluciones más avanzadas para protección de la red, en un abordaje de largo plazo. La combinación de esas prácticas de acción instantánea con diseños de proyectos de mejora a largo plazo establece un ambiente más seguro y monitoreado en relación a la seguridad. Algunos desafíos enfrentados por gestores de SOC son la dificultad de estructurar equipos con la capacitación y la certificación necesarias, la necesidad de detallar los procesos de gestión de incidentes de seguridad, además de la selección e implementación de las mejores herramientas para la operación del SOC. El tema de la seguridad no es nuevo, pero el establecimiento de una visión estructurada para su tratamiento aún lo es. Una importante perspectiva para el SOC es su relación con entidades externas, sean ellas órganos legales, para lawful interception y combate de crímenes cibernéticos, o se trate de entidades neutras de monitoreo de seguridad (ej.: arcert.gov.ar; clcert.cl; pecert.gob.pe; cert.uy). Aunque el SOC pueda ser visto como un elemento de competitividad y disponibilidad de servicio para las prestadoras de servicio de telecomunicaciones, la cooperación entre profesionales y equipos no es rara, dado que existe una amenaza común que ataca indiscriminadamente.

• Relación con los diversos stakeholders del proceso, incluyendo clientes (externos e internos), otras operadoras y empresas y órganos legales.

10

Advisor

Análisis independiente de tendencias tecnológicas para profesionales de TIC


"El tema seguridad no es nuevo, pero el establecimiento de una visión estructurada para su tratamiento aún es reciente."

Figura 6  Visión Logicalis de SOC – Security Operations Center

Relacionamiento con el cliente Entrada de terceros

IMAC

Soporte a investigaciones

Gestión de desempeño

Implementación

Acceso

Evento

Entrada de nuevo equipamiento

Validación de pedido de acceso

Recolección de logs y datos

Análisis de vulnerabilidad

Definición de perfiles y derechos

Normatización

Recibimiento de pedido y detección

Validación de pedido

Análisis/ Elaboración de corrección

Definición de requisitos de seguridad

Soporte al monitoreo

Correlación

Clasificación

Consulta/ Inclusión base

Ejecución de corrección

Gestión del riesgo

Gestión de conformidad

Investigación/ Análisis

RCA

Gestión de cambios

Políticas y normas de seguridad

Mejora de procesos

Configuración Liberación para implementación Gestión de actualizaciones

Rastreamiento de acceso Remoción/Res tricción de acceso

Notificación

Incidente

Problema

Seguridad de la información Disponibilidad/ Capacitación y entrenamiento DRP

Resolución/ Cierre

Desarrollo de la solución Escalonamiento

Búsqueda de soluciones/ Sourcing

Implantación de soluciones

IMAC ®: Install, Moves, Adds and Changes

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas

11


Consideraciones finales Soluciones combinadas de consultoría y tecnología La seguridad de la información y de redes debe ser tratada con abordajes que consideren tanto los aspectos tecnológicos como de procesos, incluyendo el conocimiento sobre los diferentes tipos de amenazas y soluciones posibles, los diferentes tipos de herramientas para protección, monitoreo y disminución de riesgos, además de conocimiento de características específicas para los diferentes ambientes (redes corporativas, redes de proveedores de servicios de telecomunicaciones). Tal abordaje requiere la combinación de skills de procesos de gestión de seguridad y conocimiento profundo sobre las tecnologías de red e infraestructura de TI, así como las soluciones de seguridad aplicables para garantizar mayor

12

Advisor

Análisis independiente de tendencias tecnológicas para profesionales de TIC


protección y viabilidad. Conciliar todas estas especialidades en un mismo equipo y mantener neutralidad respecto a las influencias de proveedores de tecnologías específicas es una misión compleja. Con un ecosistema amplio de socios tecnológicos para las más diversas demandas de seguridad así como un equipo altamente especializado de consultores especialistas en prácticas de seguridad de la información y de red, Logicalis puede ser el socio ideal en el diseño, implementación y operación de nuevos servicios (seguridad gerenciada), modelos de operación (SOC) y soluciones tecnológicas de seguridad.

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas

13


Advisor es una publicación de Logicalis®. Este documento contiene informaciones propiedad de Logicalis®, de sus subsidiarias y asociadas, y son protegidas por la legislación vigente. Reproducción total o parcial de esta obra sólo con previa autorización de Logicalis®. Las informaciones contenidas en esta publicación son basadas en conceptos testeados y empleados en el desarrollo de proyectos específicos y gestión sujetas a alteraciones de acuerdo al escenario de mercado y los objetivos de cada proyecto.

ALEXANDRE MURAKAMI Gerente de Seguridad de la Información

YASSUKI TAKANO Gerente de Consultoría

LEANDRO MALANDRÍN Consultor

IGNACIO PERRONE Gerente de Consultoría – Logicalis Southern Cone

Con 10 años de experiencia en seguridad de la información, actuó en el diseño e implementación de proyectos para operadoras de telecomunicaciones y grandes corporaciones, además de haber participado del proyecto de informatización del sistema electoral en Brasil. Graduado en Ciencias de la Computación en la UNESP y Pos-Graduado en Administración de Empresas en la ESAN, es Profesor en el Grupo Veris Educacional.

Con más de 10 años de experiencia en consultoría, actuó en un sinnúmero de proyectos de diseño e implementación de nuevos modelos de servicios y operación, y en el desarrollo de soluciones de automación de procesos. Actuó como Consultor en Roland Berger. Es ingeniero graduado en el ITA y está haciendo una Maestría en Administración de Empresas en la FGV.

Con experiencia en proyectos de modelaje de Centros de Operaciones de Seguridad y Evaluación de la gestión y de seguridad de la información para diversas organizaciones. Actuó en investigaciones relacionadas a la criptografía, protocolos de seguridad y análisis de malwares. Graduado en Ingeniaría de la Computación en la POLI-USP y con especialización de la UIUC (Illinois, EUA).

Con más de 10 años de experiencia en consultoría y TIC, en su anterior posición lideró el equipo de telecomunicaciones de América Latina en Frost & Sullivan, habiendo trabajado también en The Yankee Group y Pyramid Research. Magister en Sociología Económica por la UNSaM y Licenciado en Sociología por la UBA.

alexandre.murakami@br.promonlogicalis.com

yassuki.takano@br.promonlogicalis.com

leandro.malandrin@br.promonlogicalis.com

ignacio.perrone@la.logicalis.com

+55(11)3573.7197

+55(11)3573.7358

+55(11)3573.7284

+54 (11) 4344.0329

Para saber más sobre éste y otros asuntos y conocer lo que podemos hacer por su empresa, contáctese con nosotros: advisor@la.logicalis.com Director responsable Luis Minoru luis.minoru@br. promonlogicalis.com

14

Advisor

Análisis independiente de tendencias tecnológicas para profesionales de TIC


Logicalis Con más de veinte años de experiencia en tecnología, Logicalis trabaja de manera activa en el diseño y la implementación de soluciones de seguridad de información y redes para sus clientes. Logicalis utiliza procedimientos que siguen las mejores prácticas y políticas de seguridad, aplicando internamente las recomendaciones y soluciones que luego propone e implementa en los proyectos de sus clientes. La combinación de profesionales con elevado nivel de capacitación y certificación con un ecosistema de socios tecnológicos enfocados en seguridad (Cisco, Arbor, Blue Coat, F5, Fortinet, Mc Afee) le permite realizar el diseño de las soluciones más apropiadas para cada demanda.

Seguridad de la Información

Tecnología y procesos para la protección y combate de amenazas

15


www.la.logicalis.com

Logicalis 2010


Logicalis Advisor Seguridad