Nos importa la ciberseguridad?

Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP

9 de Setiembre de 2015
Agenda

Situacin actual de la ciberseguridad 3

El entorno cambiante de las amenazas 10
Cyber Threat Intelligence (CTI) 16
Reduciendo el riesgo 19
Agregando valor 26
Como adelantarme al cibercrimen 31

Pgina 2 Nos importa la ciber seguridad? - CIGRAS 2015

Situacin actual de la
ciberseguridad
Las amenazas estn evolucionando
a un ritmo, en el cual, los enfoques
tradicionales de seguridad sern
imprescindibles para mantener, pero
no sern suficientes para abordar
adecuadamente los riesgos.

Pgina 3 Nos importa la ciber seguridad? - CIGRAS 2015

Situacin actual en Uruguay

CERTuy
Ao 2014
499 incidentes

http://www.cert.uy/inicio/novedades/software+y+tecnologia/estadistica+de+incidentes+certuy+2014

Pgina 4 Nos importa la ciber seguridad? - CIGRAS 2015

Situacin actual en Uruguay

CERTuy
Ao 2015
377 incidentes 1er.semestre
23,2% de incremento en
igual periodo que el ao anterior

http://www.cert.uy/inicio/novedades/software+y+tecnologia/estadisticas+de+incidentes+en+primer+semestre+de+2015

Pgina 5 Nos importa la ciber seguridad? - CIGRAS 2015

Quines son los atacantes?

En Uruguay
No hay registros de organizaciones conocidas
Acciones individuales
Son oportunistas

En el mundo
Estn organizados, y no son oportunistas
Tienen financiamiento, son pacientes y sofisticados
Buscan vulnerabilidades en las personas, en los procesos y en la
tecnologa
Desarrollan nuevas herramientas y tcnicas para alcanzar sus objetivos
Han mejorado en el proceso de identificar brechas y vulnerabilidades
desconocidas en la seguridad de las organizaciones.

Pgina 6 Nos importa la ciber seguridad? - CIGRAS 2015

Las amenazas se incrementan

Actualmente, no es posible prevenir todos los ataques o

violaciones de seguridad.
67% de los participantes de la edicin 2014 del Global Information
Security Survey (*) de EY, ven un crecimiento de las amenazas en
sus entornos de riesgo de seguridad de la informacin.

(*) El Global Information Security Survey de EY, es una encuesta mundial, que en la edicin
2014, (17ma. Edicin), incluy las respuestas de 1825 organizaciones de 60 pases, en 25
sectores de la industria. Esta edicin se enfoc en analizar que tan preparadas estn las
organizaciones para gestionar las ciber amenazas, y que necesitan hacer para adelantarse a
los cibercriminales.
http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf

Pgina 7 Nos importa la ciber seguridad? - CIGRAS 2015

Otros resultados que preocupan

Presupuestos de seguridad de la informacin

43% mantendrn sus presupuestos en los prximos 12 meses
5% disminuira dicho presupuesto.
Habilidades tcnicas
53% no disponen de los recursos adecuados
Nuevas tecnologas
58% no disponen de un rea para analizar las nuevas tecnologas y su impacto en
la seguridad de la informacin
Capacidad para detectar ataques
56% no son capaces de detectar un ataque sofisticado
Respuesta a incidentes
6% disponen de un programa de respuesta a incidentes robusto

Pgina 8 Nos importa la ciber seguridad? - CIGRAS 2015

Ciberseguridad en la agenda
corporativa
Teniendo en cuenta que:
Las organizaciones dependen cada vez ms en la informacin de sus
sistemas y comparten grandes volmenes de datos.
Diariamente, la informacin y la propiedad intelectual estn en riesgo.

Un ataque ciberntico puede tener graves implicancias:

Daar la marca y la reputacin
Afectar la confianza de los interesados (stakeholders)
Prdida de la ventaja competitiva
Provocar incumplimientos legales o regulatorios
Causar dao financiero

La ciberseguridad debera ser uno de los principales temas de la agenda

corporativa.

Pgina 9 Nos importa la ciber seguridad? - CIGRAS 2015

El entorno cambiante de las
amenazas

El ambiente seguro de hoy,

tendr vulnerabilidades
maana, por lo cual una
organizacin no puede
permitirse ser
complaciente.

Pgina 10 Nos importa la ciber seguridad? - CIGRAS 2015

La tecnologa est evolucionando
rpidamente

Las tecnologas avanzadas (cloud, big data, mobile,

social media, etc.) ofrecen nuevas posibilidades y
beneficios, pero tambin introducen nuevos riesgos.

El avance e innovacin de productos es tan vertiginoso,

que nos vemos superados de evaluar adecuadamente los
riesgos asociados.

El Internet of Things ofrece productos con conectividad

IP, que tienen sus propias vulnerabilidades.

Pgina 11 Nos importa la ciber seguridad? - CIGRAS 2015

Ecosistema de entidades
conectadas digitalmente

Vivimos y operamos en un ecosistema de entidades,

personas y datos conectadas digitalmente.
Las empresas comparten cada vez ms datos digitales a nivel global.
Las actividades comerciales, tales como lanzamientos de nuevos
productos, fusiones y adquisiciones, y la expansin del mercado, e
incluso conferencias tienen ahora una dimensin ciberntica

Toda conexin directa a Internet puede significar un enlace

directo con los atacantes:
Muchos servicios operan ahora en Internet y estn cada ves ms
conectados.

Pgina 12 Nos importa la ciber seguridad? - CIGRAS 2015

La motivacin de las amenazas
est cambiando

El Cibercrimen es un gran negocio:

Ciber criminales pueden convertir los datos robados en efectivo o
en beneficios equivalentes.
Hacktivistas quieren daar la reputacin de una organizacin lo
ms rpido posible.
Atacantes patrocinados por un gobierno, proporcionan
informacin para mejorar las capacidades estratgicas de la
nacin anfitriona.
Organizaciones y personas son amenazadas a pagar un rescate,
ante la posibilidad de que hayan sido hackeadas.

Las organizaciones tambin estn siendo atacadas, porque

el atacante quiere ejercer influencia poltica.

Pgina 13 Nos importa la ciber seguridad? - CIGRAS 2015

Obstculos a la seguridad sin
fronteras

Pocas empresas disponen de los recursos fsicos y financieros, y del

conocimiento tcnico de los atacantes.
Escasez de personas con la capacidad y experiencia adecuada.
Los presupuestos se estn comprimiendo.
Falta de apoyo del directorio para invertir en un enfoque proactivo.

Se requieren soluciones para abordar de manera integral las

necesidades de ciberseguridad (p.ej. GRC e IAM)
GRC Governance, Risk and Compliance

IAM Identity and Access Management

Pgina 14 Nos importa la ciber seguridad? - CIGRAS 2015

Adelantarse al cibercrimen

Getting ahead of cybercrime

Saber que est pasando, como est pasando, identificando quin es la amenaza, y
determinar si un ataque puede ocurrir y cuando.
Requiere
Recoleccin de informacin de amenazas (inteligencia)
Capacidad analtica de usarla para tomar decisiones crticas y estratgicas de
negocio.
Mediante la implementacin de los ltimos desarrollos de inteligencia
de amenazas, se puede anticipar y desviar lo que es probable que
suceda.
La identificacin oportuna y la denuncia de las infracciones reducir los costos, as
como el incentivo de los atacantes.
Tener un enfoque proactivo de la ciberseguridad generar confianza en las partes
interesadas, clientes y socios de negocios.

Pgina 15 Nos importa la ciber seguridad? - CIGRAS 2015

Cyber Threat Intelligence - CTI
(Inteligencia de Amenazas Ciberntica)

Una organizacin que slo puede

reaccionar a las nuevas
amenazas, una vez que estn
activas, puede descubrir que ha
actuado demasiado tarde..

Pgina 16 Nos importa la ciber seguridad? - CIGRAS 2015

 Que es CTI?

Es una solucin basada en el anlisis de probabilidad

Utiliza informacin histrica de incidentes para entender el ambiente interno, y
determinar posibles objetivos de nuevos ataques.
Permite reunir conocimientos basados en el anlisis de los riesgos contextuales y
situacionales.
Mediante indicadores especficos permite priorizar las amenazas, brindar
empoderamiento para la toma de medidas proactivas, a los efectos de reducir el
riesgo y mejorar la gobernanza.
Analiza lo que est sucediendo en el ambiente de las ciber amenazas, para que la
organizacin puede desarrollar un plan de defensa robusto.
Permite entender quines podran estar interesados en atacar a su entorno.
Puede ser configurada para el entorno de amenazas especficas de
la organizacin, su industria y mercados.
Mejora la capacidad de la organizacin para anticipar las infracciones
antes de que ocurran, y de responder rpidamente a las violaciones
confirmadas.

Pgina 17 Nos importa la ciber seguridad? - CIGRAS 2015

Que ofrece CTI?
Prevencin
proactiva
CTI permite un grado de
capacidad de anlisis
predictivo para complicar
los ataques mediante la
comprensin de las
amenazas en su contra y
los posibles objetivos que
persiguen.
Quin es probable que
ataque?
Que tipos de activos
estn buscando?
Pgina 18 Nos importa la ciber seguridad? - CIGRAS 2015
Vigilancia y
deteccin
Informacin obtenida de CTI
e informacin compartida le
permite a la organizacin
realizar un anlisis de los
registros de logs para
identificar cuando un
atacante est presente.
La alerta que estoy
viendo est relacionada
con algo que s que es
mal?
Puedo asignar
rpidamente criticidad a
esto y escalar acciones?
Respuesta a
incidentes
Cuando se produce un
incidente, CTI puede dar un
panorama de las
actividades de respuesta a
incidentes y de los
enfoques de mitigacin
para asegurar que la
informacin crtica y los
activos permanecen
protegidos.
Que lecciones
aprendidas de incidentes
puede ayudar a mejorar
la proteccin proactiva?
Como CTI reduce el riesgo?

CTI reduce las

posibilidades de que el
atacante alcance sus
metas.

Pgina 19 Nos importa la ciber seguridad? - CIGRAS 2015

Priorizar las actividades de
prevencin y de respuesta
Entender las probables amenazas e identificar las vulnerabilidades
en forma anticipada, ayuda a las organizaciones a priorizar las
actividades de prevencin y de respuesta, de forma de reducir las
posibilidades de que el atacante alcance su meta.
Mediante la integracin de CTI dentro de los aspectos de la operaciones
de seguridad, el anlisis permite trazar el panorama de las amenazas y
poner los datos histricos en su contexto - las decisiones se pueden
basar en los precedentes en lugar de la intuicin.
Cuando la naturaleza de la amenaza bajo sospecha se atribuye a un
tipo especfico de ataque, los procesos se pueden ajustar y desarrollar
contramedidas adecuadas.

Pgina 20 Nos importa la ciber seguridad? - CIGRAS 2015

El mercado actual de CTI

La informacin consolidada de la amenazas se puede obtener de

proveedores externos.
Hay diferentes tipos de proveedores
Hay muchas compaas que proveen fuentes de datos, anlisis y
contexto.
Algunas se enfocan en soluciones tcnicas integrales, como las
compaas de respuesta a incidentes.
Otras se centran en proporcionar entornos de intercambio de informacin
y fuentes de informacin de amenazas.
Hay algunas compaas que proporcionan datos relativos a los
dominios maliciosos, actividad de botnets, datos de malware y de otro
gran volumen de indicadores maliciosos.
Hay compaas que ofrecen servicios gratuitos.
Algunas compaas se especializan en un tipo de amenazas.

Pgina 21 Nos importa la ciber seguridad? - CIGRAS 2015

Los desafos para CTI -
sobrecarga de datos

El volumen de informacin que se recibe puede ser muy grande.

Algunos proveedores estn tratando de enfocarse en la calidad sobre

la cantidad:
Es ms fcil procesar un volumen limitado de informacin

Es probable que sea muy valiosa, con un contexto considerable

Pero seguramente se pierdan algunos indicadores

La clave es asegurarse de que el proveedor de informacin, incluya

los tipos de amenazas que son probables de estar activas en su
entorno.

Pgina 22 Nos importa la ciber seguridad? - CIGRAS 2015

Los desafos para CTI -
grupos de intercambio de informacin

El intercambio de informacin en un grupo ms grande, ya

sea en un ambiente ad-hoc, semi-formal, o moderadamente
formal, es el elemento clave para las organizaciones que
tienen mayor xito en la comprensin, alcance y mitigacin
de las intrusiones en sus redes.
Para que el grupo mantenga su valor, es crtico asegurar que la
informacin fluya de todos los participantes, tanto como sea posible.
Si un participante comienza a ser el proveedor principal en el grupo, y
obtiene poca informacin en retorno, tender a buscar nuevos socios
para compartir su informacin, lo que reducir los beneficios de los
interesados.

Pgina 23 Nos importa la ciber seguridad? - CIGRAS 2015

Los desafos de CTI -
integracin en las operaciones

La informacin de CTI, es generalmente adquirida, pero no

debidamente integrada en las operaciones.

Sin la integracin tcnica de CTI dentro de la infraestructura

existente, la organizacin est gastando recursos y perdiendo la
oportunidad de automatizar los procesos y aumentar la visibilidad.

Los principales proveedores de CTI disponen, ya sea de un

componente de servicio gestionado o una API que se puede integrar
en el SIEM (Security Information and Event Management) de
eleccin.

Pgina 24 Nos importa la ciber seguridad? - CIGRAS 2015

Como CTI proporciona valor?

Las compaas deben madurar

sus operaciones en sincrona
con sus capacidades de
inteligencia, con el fin de
maximizar sus resultados

Pgina 25 Nos importa la ciber seguridad? - CIGRAS 2015

CTI - tctico y estratgico

CTI es valioso tanto desde el punto de vista tctico como estratgico:

Inteligencia Tctica - la difusin de indicadores de compromiso y

quizs recomendaciones sobre los procedimientos de respuesta a
incidentes, es muy importante para la capacidad de una organizacin,
para incrementar su postura de seguridad.

Inteligencia Estratgica - se construye sobre la base de

conocimientos que la inteligencia tctica ha reunido; el anlisis de los
datos se puede utilizar para ayudar a la organizacin a tomar
decisiones importantes, dando lugar a cambios en el proceso no
tcnico y consideraciones que pueden reducir en gran medida el
riesgo.

Pgina 26 Nos importa la ciber seguridad? - CIGRAS 2015

CTI enfocado en las prioridades
del negocio

Para que CTI sea realmente til, necesita enfocarse en las

prioridades del negocio, ayudando a reducir el perfil de
riesgo de la organizacin, mediante la mejora de las
operaciones de seguridad y la toma de decisiones
empresariales.

CTI debe esforzarse por ser:

Oportuna - Abordar un tema que est sucediendo, o que pueda suceder.

Precisa - representativa de la actividad real identificada.

Realizable - debe ser capaz de hacer realidad algo con l

Relevante - el contenido abordado debe ser algo de valor para el

negocio.

Pgina 27 Nos importa la ciber seguridad? - CIGRAS 2015

Sincronizar operaciones maduras
con las capacidades de CTI
Las empresas deben madurar sus operaciones en sincrona con su
capacidad de CTI, a los efectos de maximizar sus resultados.
Una nueva capacidad de CTI, debera dar lugar a cambios en los
procesos que permitan que la organizacin sea ms gil en la
respuesta a un mejor conocimiento de la situacin
Las capacidades de CTI menudo ya estn dentro de las organizaciones:
Repuesta a incidentes, equipos de monitoreo de la seguridad, operadores SIEM, y
personal de riesgos, seguramente tengan una buena idea de donde vienen las
amenazas.
Utilizar los datos que ya se encuentran dentro de los registro de logs de la empresa y
de las bases de datos de gestin de incidentes
Mirar el panorama de amenazas de su industria, los riesgos sern similares.
Los analistas de CTI deben tener una exposicin a diferentes
industrias, para poder recurrir a varias experiencias.

Pgina 28 Nos importa la ciber seguridad? - CIGRAS 2015

Cmo adelantarme al
cibercrimen?

Las amenazas cambian

con el tiempo - al igual
que los riesgos . Una
capacidad de CTI
dinmica ayuda a
garantizar que las
operaciones de seguridad
tambin puedan
mantenerse al da con
esos cambios.

Pgina 29 Nos importa la ciber seguridad? - CIGRAS 2015

De 'reactivo' a 'proactivo' para
adelantarse al cibercrimen
Las organizaciones deben tener la posibilidad de utilizar los conceptos
de seguridad de ltima generacin, como la defensa activa, la campaa
defensiva, y la aplicacin de contramedidas.
El objetivo es pasar de un estado reactivo a un enfoque ms proactivo -
para poder adelantarse al cibercrimen
Esto requiere:
Madurez en los controles de lnea de base y en CTI

Organizaciones que tienen una slida comprensin de su entorno

El conocimiento de la ubicacin de su informacin y activos crticos

Desarrollar un programa de CTI aporta conocimiento para las amenazas

especficas que aumentan el riesgo de la organizacin.
Ayuda a asegurar la continuidad del negocios, y en ltima instancia, el
xito de la organizacin

Pgina 30 Nos importa la ciber seguridad? - CIGRAS 2015

Un proceso de mejora de 3 etapas

Para adelantarse al cibercrimien se sugiere que las organizaciones

adopten un proceso de mejora de 3 etapas:
1. Activar (un enfoque fundamental)
Las organizaciones primero necesitan establecer y mejorar las bases slidas de la
ciberseguridad.
2. Adaptar (un enfoque dinmico)
Las organizaciones estn cambiando constantemente y las amenazas cibernticas estn
evolucionando, por lo que la seguridad ciberntica tiene que ser capaz de adaptarse a las
necesidades cambiantes
3. Anticipar (un enfoque proactivo)
Las organizaciones deben hacer esfuerzos para predecir lo que viene para que puedan estar
mejor preparados para los ataques cibernticos inevitables.
Esto requiere de una capacidad de CTI madura, una metodologa slida de
evaluacin de riesgos, un experimentado mecanismo de respuesta a
incidentes, y una organizacin informada

Pgina 31 Nos importa la ciber seguridad? - CIGRAS 2015

Preguntas???

Pgina 32 Nos importa la ciber seguridad? - CIGRAS 2015

Muchas gracias

Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP

felipe.sotuyo@uy.ey.com

Pgina 33 Nos importa la ciber seguridad? - CIGRAS 2015