Securing Movile Devices: using Cobit 5 on BYOD INFOSEC SANTIAGO... · Securing Movile Devices:...
Transcript of Securing Movile Devices: using Cobit 5 on BYOD INFOSEC SANTIAGO... · Securing Movile Devices:...
Securing Movile Devices: using
Cobit 5 on BYOD
Alfonso Mateluna Concha
CISA – CISM – CRISC – CISSP
Agenda
No olvidar…
Casos de la vida real..
Definiciones
Qué es ISACA y cómo apoya
COBIT V
Desafios de BYOD
Programa de Seguridad
Foto de nivel global
No olvidar
Principios Básicos de Gestión
No se puede gestionar lo que no se comunica
No se puede comunicar lo que no se mide
No se puede medir lo que no se define
No se puede definir lo que no se entiende
Casos de la vida real¿Se ha encontrado usted con lo siguiente?
- Una institución ha publicado una aplicación para sus clientes con Smartphones, con debilidades en el
almacenamiento de contraseñas, token, cartolas.
- La empresa no existen políticas claras al respecto de segurizar adecuadamente los dispositivos móviles,
no se encriptan los discos duros, no hay aplicaciones plataformadas para gestión de correos y
conexiones remotas, no hay concientización respecto de los riesgos de BYOD a los usuarios.
- Los usuarios y dueños de los dispositivos ignoran como asegurarlos.
- Se deshabilita la autenticación de SIM..
- El patron de autenticación por figura en una matriz es una Z o M… (equivalente a QWERTY o 1234)..
- Los usuarios evitan conectarse usando su propia banda ancha y buscan zonas iluminadas; varias de
ellas inseguras
- Lo que partió como una excepción se generalizó, todos los empleados con smartphones pueden
conectarse a la red de la empresa.
- Los tablets y smartphones de propiedad de la empresa terminan siendo usados por los hijos de los
empleados, bajando contenido que no debían.
- Los usuarios nunca apagan el bluetooth, GPS, etc., almacenan archivos en sus memorias extraibles.
- Etc.
Aquí falta Gobierno de seguridad
Definiciones útiles de recordar..El Gobierno Corporativo es un proceso efectuado por el consejo de
administración de una entidad, su dirección y restante personal, aplicable a
la definición de estrategias en toda la empresa y diseñado para identificar
eventos potenciales que puedan afectar a la organización, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos. (COSO)
El gobierno de TI es un subconjunto
del gobierno corporativo.
El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y
consiste en liderazgo, estructuras organizacionales y procesos que
aseguren que TI sostiene y extiende las estrategias de la organización y sus
objetivos. (Instituto de Gobierno de TI, ISACA)
Qué es ISACA y cómo apoya a la
seguridad Creada en 1967.
Inicialmente, organización gremial de auditores de sistemas
Presente en más de 140 países, 200 capítulos.
Cuenta con más de 110.000 miembros en el mundo
Creadores de las Certificaciones
CISA, CISM, CRISC y CGEIT
IT Governance Institute
Creadores de COBIT, Val IT, RISK IT e ITAF
Investigación y publicaciones en temas relevantes
Hoy ISACA está focalizada en el Gobierno de Tecnologías de Información.
Qué es ISACA y cómo apoya a la
seguridad
• Control Objetives for Information and Related
Technology (COBIT)
– 1era edición (1996)
– 2da edición (1998)
– 3era edición (2000)
– 4ta edición (2005)
– 5ta edición (2012)
• Conjunto de Objetivos de Control, BSC, mejores
prácticas, con roles / métricas de desempeño
Qué es ISACA y cómo apoya a la
seguridad
• Publicada el 2006
• Marco para gerenciar
inversiones en TI
• Compatible con CobiT
• Constante revisión
• Versión actual 2.0
Qué es ISACA y cómo apoya a la
seguridad
• Proceso de Auditoria de Sistemas de Información
• Gobierno TI
• Gestión del Ciclo de Vida de Sistemas e Infraestructura
• Desarrollo y Soporte de Servicios TI
• Protección de Activos de Información
• Continuidad de Negocios y Recuperación ante Desastres
Qué es ISACA y cómo apoya a la
seguridad
• Gobierno Corporativo de
Seguridad de Información
• Gestión de Riesgos
• Gestión de un programa de
seguridad de información
• Administración de Seguridad de
Información
• Gestión de Incidentes
Qué es ISACA y cómo apoya a la
seguridad
• Revista “Control”
– Bi-Mensual
• Seguridad Wireless
• IT Governance
• Auditoria
• Contribuciones de todo el mundo
Publicaciones – seminarios periódicos
Desafíos de la seguridad en las empresas
Información a proteger:
Los documentos de constitución y alianzas.
Los mensajes y documentos intercambiados.
El historial de los clientes y proveedores.
El historial de productos y suministros.
El historial de procesos y métodos.
Patentes, desarrollos y documentos similares.
El general, todos los archivos de la empresa.
En definitiva, el know-how de la organización.
COBIT 5 y seguridad en dispositivos móviles
COBIT 5 presenta una suite de documentos especializados en temas de Seguridad,
Aseguramiento, Implementación en empresas, Consultoría; dando un marco
Metodológico y una visión holística de las necesidades de las empresas, entes
Reguladores, stakeholders, institutos normativos / estándares y aspectos culturales.
Ante los riesgos imprevistos para muchas empresas, se ha profundizado en temas
Como SAP, Wireless, fraude, y BYOD.
Existe un documento de 138 páginas, con un extenso análisis:
Visión de Vulnerabilidades, Amenazas y Riesgos
¿Es esto todo el ámbito de riesgo ante BYOD?
No.. Los medios sociales en el teléfono / Ipad / tablet del usuario
también son un riesgo.. En donde las políticas de filtro de la empresa
no pueden operar…
¿Y si el usuario se pone a contar todo lo que hace?.
¿Y si chatea?… ¿si pasa información confidencial?..
Visión de Vulnerabilidades, Amenazas y Riesgos
Cuáles son los principlaes ámbitos de riesgo?.
- Físico: ejemplo, robo y la pesadilla de que todos mis datos, hasta
bancarios, van allí..pérdida de identidad - firma digital..
- Organizacional: Los permisos que tengo en las aplicaciones de la
empresa los heredo en mi celular..
- Reputacional
- Técnicos: capa 8..
Visión de Vulnerabilidades, Amenazas y Riesgos
¿Cuáles son los ámbitos de riesgo ante conectividad no autorizada?.
Visión de Vulnerabilidades, Amenazas y Riesgos
¿Cuáles son los ámbitos de riesgo ante fuga de información?.
Visión de Vulnerabilidades, Amenazas y Riesgos
Paralelo entre ciclos de vida entre dispositivos de la empresa y BYOD
Las diferencias de enfoque debieran ser notables, sin embargo, no todas las
empresas manejan de esta manera su hardware que facilitan a los usuarios
Modelo de gestión de BYOD propuesto por ISACA
La administración debe estar consciente de los beneficios y riesgos de BYOD,
Como si fuera un proyecto más, se debe hacer un caso de negocio, en donde se
Clarifique:
-Los riesgos de seguridad y potenciales impactos
- Consideraciones de costo beneficio
- El real valor agregado, en términos de productividad / flexibilidad y acceso
- Motivaciones estratégicas para el uso de dispositivos móviles
Modelo de gestión de BYOD propuesto por ISACA
Marco de gestión de casos de negocios propuesto (extracto)
Modelo de gestión de BYOD propuesto por ISACA
Principios rectores de la gestión de controles y riesgos (extracto)