Hardening usuarios smartfense

Fabián A. Calvete [email protected] @ facalvete Hardening de Usuarios en Cloud Computing Cuando más Controles Técnicos No son Suficiente

Fabián A. Calvete Director & Co-fundador de SICLABS Ingeniero en Informática egresado de la Facultad del Ejército Especialista en Telecomunicaciones egresado del ITBA CISSP ISO 27.001 Leader Auditor Acerca del autor

Arquitectura Tradicional vs Nuevas Tecnologías El paso del tiempo ha introducido cambios sustanciales en la tecnología de los sistemas de cómputo: Antes: Acceso Remoto por Dialup Hoy: VPN over Internet ( IPsec o TLS) Antes: Telefonía Tradicional Hoy: VoIP / ToIP Antes: Servidores Físicos Hoy: Virtualización Antes Hoy

Cloud Computing Un nuevo paradigma que busca cambiar el modelo tradicional de los sistemas de cómputo, llevándolos a Internet. La gran ventaja de la nube: Portabilidad . La implementación del Cloud Computing: Reduce los Costos .

Cloud Computing (Cont.)

Cloud Computing (Cont.) Existen riesgos de Seguridad de la Información en Cloud Computing?

No todo es felicidad en el mundo del Cloud Computing. Cada día surgen nuevas vulnerabilidades y también nuevas amenazas con la capacidad de explotarlas. y viejas vulnerabilidades no remediadas! Cloud Computing (Cont.)

Cloud Computing (Cont.) Siempre existen riesgos de Seguridad de la Información

Noticias de la realidad

Activos de Información Información e-mail

Principios de Seguridad de la Información

Amenazas: Ciclo de vida Vulnerabilidad Agente de amenaza Amenaza Riesgo Contramedida Exposición Activo Produce Explota Ocasiona Puede dañar Sujeto Puede ser contrarrestado con Afecta

Amenazas: Vulnerabilidad de día 0

Amenazas: Exploits

Amenazas: APT

Amenazas: Spear Phising

Amenazas: Fuga de información

Amenazas: Ransomware

Vulnerabilidades de Capa 8: El Usuario Con el fenómeno de Cloud Computing, las organizaciones tienen un nuevo desafío: Capacitar a sus colaboradores para saber utilizar esta herramienta, con el objetivo de contribuir a mantener los datos corporativos seguros A medida que los ataques se vuelven más frecuentes y sofisticados, las empresas deben confiar en los empleados para proteger sus datos. Las soluciones de seguridad actuales descuidan el factor más vulnerable: El Usuario .

Ingeniería Social Ingeniería social describe el tipo de intrusión no técnico basado en la interacción humana. Usualmente involucra el engañar a las personas con el propósito de quebrar procedimientos de seguridad existentes. Busca obtener información sensible.

Ingeniería Social: Ayer

Ingeniería Social: Hoy

Concientización de usuarios: Definiciones Consiste en una acción que se relaciona con la toma de conciencia acerca de una determinada situación. Hacer conocer las consecuencias de las propias decisiones. Profundizar en el conocimiento de la realidad. Concientizar es un proceso que se ejecuta mediante un Plan anual . Educación != Capacitación != Concientización

Plan de Concientización: Estructura tipo Objetivos Alcance Responsabilidades Establecer una Línea Base Definir Motivos Particulares de Enseñanza (MPE: Tópicos) Desarrollar Contenidos Principales y de Refuerzo Seleccionar la Forma de Presentación de los contenidos Definir métricas para comprobar la efectividad del Plan

Plan de Concientización: Estructura tipo (Cont.) Establecer un Cronograma de ejecución Ejecutar el Plan según el cronograma establecido Realizar evaluaciones y mediciones de efectividad del Plan / Registro de evaluaciones y mediciones Determinar controles preventivos, detectivos y correctivos, en base al resultado obtenido en las mediciones Retroalimentar el proceso de Concientización (Mejora Continua)

Plan de Concientización: Objetivo Comprender el concepto de Información. Comprender los principios de Seguridad de la Información. Conocer las amenazas a la seguridad: Externas / Internas. Asimilar las vulnerabilidades del personal. Conocer la estrategia de la organización con respecto a la Seguridad de la Información.

Plan de Concientización: Alcance Determinar si el Plan abarcará al personal de la Sede Central o de todas / algunas Sucursales. Determinar las áreas participantes: RRHH Finanzas Marketing Legales, etc. Determinar el tipo de público asistente: Nivel Estratégico (Altos Mandos: Gerencias) Nivel Táctico (Mandos Medios: Jefes y Supervisores) Nivel Operativo (Todos los demás)

Plan de Concientización: Responsabilidades Seguridad de la Información Auditoría y Control TIC RRHH Asuntos Legales Toda aquella área que directa o indirectamente deba participar en la ejecución del Plan.

Plan de Concientización: Establecer una Línea Base Es probable que los usuarios de la organización tengan, en materia de Seguridad de la Información, Conocimientos, Hábitos y Comportamientos diferentes. Es recomendable medir, inicialmente, todos estos factores. Para medir conocimientos : Encuestas (Selección múltiple, Verdadero o Falso, etc.) Para medir Hábitos y Comportamientos : Simulaciones (Preferentemente No Intrusivas)

Establecer una Línea Base: Encuestas

Establecer una Línea Base: Simulación Phishing

Establecer una Línea Base: Simulación Ransomware

Plan de Concientización: MPE Introducción a Seguridad de la Información Política de Seguridad de la organización Acuerdo de Confidencialidad Passwords: Buenas Prácticas de uso Técnicas de Control de Acceso (AAA): Identificación Autenticación Autorización Accounting

Plan de Concientización: MPE (Cont.) Ingeniería Social Buenas Prácticas y Riesgos en el uso del Correo Electrónico Buenas Prácticas y Riesgos en el uso del acceso a Internet Phishing y URLs maliciosas Peligros en la descarga de archivos adjuntos Malware Ransomware, etc.

Plan de Concientización: Desarrollo de Contenidos Contenido Principal : Es el material que se utiliza para brindar las principales capacitaciones a los usuarios. Suele cubrir, en forma detallada, uno o más MPE o Tópicos. Debe resultar atractivo para los usuarios. Idealmente, no debería presentar conceptos directos; se debería ubicar al usuario en escenarios cotidianos de su día a día y mostrar cuál es la conducta segura en cada uno de ellos. Explicar cómo lo aprendido impacta en la vida personal de cada usuario.

Plan de Concientización: Desarrollo de Contenidos Contenido de Refuerzo : Permite complementar el contenido principal. Como los usuarios no tienen una ”Memoria Perfecta” no recordarán algo que no sea de su total interés. Resulta importante reforzar el contenido previamente enseñado. No deben intentar abarcar el 100% del contenido principal, sino recordar pequeñas partes del mismo, a fin de mejorar el proceso de asimilación.

Plan de Concientización: Presentación de Contenidos Contenido Principal : Capacitaciones presenciales Capacitación a través de recursos tecnológicos (Por ejemplo, SMARTFENSE ) Contenido de Refuerzo : Newsletters Posters Artículos en revistas o boletines empresariales Competencias con Incentivos

Presentación de Contenidos Principales

Presentación de Contenidos Principales (Cont.)

Presentación de Contenidos de Refuerzo: Newsletters

Presentación de Contenidos de Refuerzo: Posters

Presentación de Contenidos de Refuerzo: Posters (Cont.)

Plan de Concientización: Evaluaciones Realizar encuestas de calificación. Recoger métricas antes y después de cada acción (Evidencias). Observar el comportamiento del personal. Monitorear el uso de recursos. Auditar passwords.

Plan de Concientización: Evaluaciones – Simulaciones con Momentos Educativos

Plan de Concientización: Evaluaciones – Exámenes

Plan de Concientización: Registro de Acciones - Exámenes

Plan de Concientización: Registro de Acciones – Simulación de Phishing

Plan de Concientización: Registro de Acciones – Simulación de Ransomware

Beneficios de un Plan de Concientización Importante reducción de la cantidad de acciones no autorizadas generadas por el personal de la organización. Incremento significativo de la efectividad de los controles implantados. Prevención de amenazas que explotan vulnerabilidades del personal. Ayuda a evitar el fraude, desperdicio y abuso de recursos informáticos.

Conclusiones Considerar la Concientización como un proceso anual que debe incluirse en el Plan de Seguridad de la organización. Demostrar compromiso por parte del nivel superior. La manera ideal de presentar los contenidos de un Plan de Concientización es aquella que sea atractiva para todos los usuarios. Realizar capacitaciones presenciales y a través del uso de Plataformas que automaticen el proceso de Concientización.

Conclusiones (Cont.) Muchos ataques exitosos podrían no haberlo sido si los usuarios hubieran estado Concientizados . La falta de un control técnico puede compensarse con un efectivo Plan de Concientización .

Hardening usuarios smartfense

About This Presentation

Slide Content

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

Hardening usuarios smartfense

About This Presentation

Slide Content

Slide 1

Slide 2

Slide 3

Slide 4

Slide 5

Slide 6

Slide 7

Slide 8

Slide 9

Slide 10

Slide 11

Slide 12

Slide 13

Slide 14

Slide 15

Slide 16

Slide 17

Slide 18

Slide 19

Slide 20

Slide 21

Slide 22

Slide 23

Slide 24

Slide 25

Slide 26

Slide 27

Slide 28

Slide 29

Slide 30

Slide 31

Slide 32

Slide 33

Slide 34

Slide 35

Slide 36

Slide 37

Slide 38

Slide 39

Slide 40

Slide 41

Slide 42

Slide 43

Slide 44

Slide 45

Slide 46

Slide 47

Slide 48

Slide 49

Slide 50

Slide 51

Slide 52

Slide 53

Slide 54

Slide 55

Slide 56

Slide 57

Slide 58

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

Pray For The Peace Of Jerusalem and You Will Prosper

Don_t_Waste_Your_Life_God.....powerpoint

VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf

Fertility awareness methods for women in the society

Chapter 5 Arithmetic Functions Computer Organisation and Architecture

syakira bhasa inggris (1) (1).pptx.......