Professional Documents
Culture Documents
gobierno, riesgo y
cumplimiento
Octubre 2013
Centros de Operaciones
de Seguridad en contra del
crimen ciberntico
Las 10 mejores consideraciones para el xito
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Ya no es cuestin de si
sucediera es cuestin
de cundo suceder?
Con el entendimiento de
que los ataques nunca
pueden ser completamente
prevenidos, las compaas
deberan reforzar sus
capacidades de deteccin
para poder responder
apropiadamente.
Contenidos
Introduccin ......................................................................
1.
2.
Inversin ...............................................................
10
3.
Estrategia .............................................................
11
4.
Gente ....................................................................
13
5.
Procesos ...............................................................
13
6.
Tecnologa .............................................................
15
7.
Entorno .................................................................
17
8.
18
9.
18
19
Conclusin .........................................................................
20
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Introduccin
La percepcin de la
seguridad de la informacin
est cambiando a un ritmo
vertiginoso
La seguridad de la informacin est cambiando a un paso vertiginoso.
Los hackers son cada vez ms implacables, haciendo que la respuesta
a incidentes de seguridad de la informacin sea progresivamente ms
compleja. De acuerdo a Under cyber attack: la Encuesta Global de Seguridad
de la Informacin de EY del 2013, el 59 % de los encuestados ha visto un
incremento en las amenazas externas en los ltimos 12 meses.
En el mundo actual de la tecnologa always-on o siempre encendida y en
donde existe una conciencia insuficiente de parte de los usuarios, los ciber
ataques ya no son cuestin de si, sino de cundo? Vivimos en una era en
donde la prevencin de seguridad de la informacin no es opcional.
Muchas organizaciones han tenido un progreso sustancial por mejorar sus
defensas. En nuestra encuesta ms reciente, 60 % de los encuestados creen
que sus operaciones de seguridad son maduras. Soluciones puntuales, en
particular: antivirus, IDS, IPS, parchado y cifrado, muestran niveles madurez.
Estas soluciones siguen siendo un control clave para combatir los ataques
conocidos el da de hoy. Sin embargo, se vuelven menos efectivos en el
tiempo mientras los hackers encuentran nuevas maneras de circunvenir los
controles.
Prepararse para los ataques conocidos ya es suficientemente difcil. Pero,
cmo pueden las organizaciones construir controles para los riesgos de
seguridad de los que todava no se enteran?
Las organizaciones lderes ms que mejorar su estado actual buscan
expandir sus esfuerzos, emprender acciones ms audaces para combatir
las ciberamenazas. En lugar de esperar a que las amenazas vengan a ellos,
estas organizaciones estn priorizando esfuerzos que mejoran la visibilidad y
habilitan un proceso proactivo a travs del monitoreo y la pronta deteccin.
Es probable que las organizaciones no puedan controlar cundo suceder
un incidente de seguridad de la informacin, pero s pueden controlar cmo
responden a l. Expandir las necesidades de deteccin es un lugar clave para
empezar con el esfuerzo.
Un Centro de Operaciones de Seguridad (SOC por sus siglas en ingls)
funcionando en forma puede ser el corazn de la deteccin efectiva. Puede
habilitar las funciones de seguridad de la informacin para responder ms
rpido, trabajar de manera ms colaborativa y compartir conocimiento ms
efectivamente. En las pginas siguientes, exploramos las 10 reas principales
que las organizaciones necesitan considerar para hacer un xito de su Centro
de Operaciones de Seguridad.
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
59%
41%
34%
29%
15%
7%
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Las 10 principales reas que las organizaciones deben considerar para hacer
de los Centros de Operaciones de Seguridad un xito
65%
de los encuestados en el GISS (Global
Information Security Survey o Encuesta de
Seguridad de la informacin de EY) 2013
citan restricciones de presupuesto como su
principal obstculo para entregar valor al
negocio.
Demuestre visin
Cul es la visin a corto plazo?
Cul es la visin a largo plazo y cmo alcanzar los deseados
objetivos de madurez de estado final?
tecnologa, gobierno)?
Qu debe ser hecho internamente y qu debe ser subcontratado?
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
50%
de los encuestados en el GISS tambin
mencionaron la falta de talento como un
obstculo para valorar la creacin.
Inversin
Dgalo y prubelo
La conversacin alrededor de proveer de recursos el monitoreo de
seguridad y los esfuerzos de respuesta a incidentes debe sobre pasar
al rea de TI y alcanzar los niveles del comit directivo. Una vez que la
funcin de seguridad de la informacin tiene un asiento en el comit
directivo, necesita contar una historia convincente.
Nuestra experiencia indica que los miembros de la junta directiva estn
ms convencidos de la necesidad de hacer algo cuando la historia incluye:
a) Una revisin de programa de seguridad independiente que pueda
evaluar el riesgo de seguridad y la madurez general de la funcin de
seguridad.
b) Una evaluacin basada en escenarios que traduzca los temas tcnicos
a riesgos de negocio de alto impacto.
Evaluaciones de seguridad de enfoque amplio pueden identificar
oportunidades de mejora basados en la madurez general de la funcin
de seguridad y del apetito de riesgo de la organizacin. Sin embargo,
en donde las evaluaciones de seguridad tradicionales pueden quedarse
cortas es en hacer los hallazgos relevantes para el negocio. Un
benchmarking por s solo no son un impulsor convincente para el cambio y
la madurez es un concepto relativo. Las organizaciones tambin necesitan
moverse ms all del cumplimiento y mirar a la seguridad a travs de la
lente del valor y el desempeo.
8
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Las 10 principales reas que las organizaciones deben considerar para hacer
de los Centros de Operaciones de Seguridad un xito
Estrategia
Negocio
Cumplimiento
Ocial en jefe
de seguridad
de la informacin
Comit de Administracin
de Riesgos de Seguridad
Legal
Recursos humanos
Administracin de riesgos
Director de operaciones
de seguridad
Anlisis de seguridad
Auditoria interna
TI
Monitoreo de seguridad
Respuesta a incidente
y cmputo forense
Inteligencia de amenazas
y administracin
de vulnerabilidades
Prevencin de
prdida de datos
Seguridad fsica
Comunicaciones
Operaciones de seguridad
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
En EY, vemos que las funciones de seguridad pueden entregar un valor ptimo
cuando las funciones no estn embebidas dentro de TI. Aquellas organizaciones
que pueden navegar los retos polticas asociados con una entidad NOC/SOC
pueden obtener beneficios significativos en el largo plazo.
De cualquier manera, los modelos operativos, procesos y procedimientos de la
mayora de las organizaciones de hoy no estn suficientemente maduros todava
como para soportar este modelo avanzado de operacin.
10
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Las 10 principales reas que las organizaciones deben considerar para hacer
de los Centros de Operaciones de Seguridad un xito
Gente
Procesos
Procesos bien definidos crean operaciones consistentes y resultados repetibles. El SOC necesita documentar
y comunicar procesos efectivamente e implementar mecanismos de control de cambios para poder actualizar
rpidamente los procesos cuando surjan oportunidades de mejora.
Un SOC tambin necesita crear procesos con suficiente amplitud y profundidad para atender adecuadamente el
universo de posibles escenarios de incidente y proveer gua detallada para la respuesta.
Por ejemplo, un SOC debe documentar procesos para gestionar varios tipos de incidentes (p.ej. phishing, infecciones
de malware, incidentes de BYOD, alteracin no autorizada del sitio web, ataques de negacin de servicio, etc.) as
como guas de decisin para las medidas de respuesta apropiadas para cada situacin (p.ej. despliegue de un equipo
de respuesta a incidentes, investigacin forense, anlisis de malware). El SOC necesitar definir e implementar estos
procesos en colaboracin con los departamentos relacionados. La planeacin conjunta es esencial para una respuesta
oportuna y unificada as como una apropiada evaluacin del impacto a la organizacin.
Qu enunciado describe mejor la madurez de su programa de deteccin?
Tenemos dispositivos de seguridad perimetral (p.ej. IDS).
No tenemos procesos formales implementados para respuesta y escalamiento.
32%
Utilizamos una solucin SIEM (Security Information and Event Management) para monitorear activamente
la red, as como las bitcoras de los IDS, IPS y de sistema.
Tenemos procesos informales de respuesta y escalamiento implementados.
27%
20%
12%
9%
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
| 11
Inteligencia
de seales
(SIGINT)
Inteligencia
Humana
(HUMINT)
Alcance sectorial
y geogrco de EY
Experiencia de EY
Contexto de negocio
Polticas y
estndares
Marco
de riesgos
Estrategia
de negocios
Datos de
incidentes
Resultados
de pruebas
Heurstica
Requerimientos
de cumplimiento
Inventario de
activos
Estrategia de
seguridad y de TI
Datos forenses
Datos de
vulnerabilidad
Estndares
mnimos
Cmo trabajamos?
Quines somos?
SOC
Misin, visin y valores
Gobierno y modelo operativo
Estructura organizacional, roles y responsabilidades
Habilidades y
capacidades
Mensajes y
comunicaciones
Procesos
nucleares internos
Tecnologa y
herramientas
Qu hacemos?
Monitoreo de
seguridad
Reporte y
anlisis de riesgo
Identificacin de
amenazas y
vulnerabilidades
Optimizacin
de la tecnologa
de monitoreo
Seguridad
reforzada
12
Administracin
de riesgos
Administracin
de amenazas y
vulnerabilidades
Respuesta a
incidentes
Planeacin de
contramedidas
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Mtricas y
reportes
Las 10 principales reas que las organizaciones deben considerar para hacer
de los Centros de Operaciones de Seguridad un xito
Tecnologa
La implementacin de un
sistema SIEM no es igual
a tener una capacidad
madura de monitoreo
de seguridad. De hecho,
un SOC bien diseado es
requerido antes de que
todos los beneficios de
una implementacin SIEM
puedan notarse.
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
| 13
Retos
La visibilidad limitada hacia el ambiente llev a incidentes de seguridad que pasaron
desapercibidos con un impacto potencial grave para la organizacin (p.ej. financiero, de
cumplimiento, en reputacin).
Beneficios
Al enfocarse en lo bsico, el cliente pudo desplegar efectivamente un SOC que entreg
valor organizacional a travs de:
Gobernanza fuerte que gener consistencia, propiedad de las responsabilidades y una
integracin adecuada con otras reas relevantes de la organizacin
Procesos y procedimientos robustos, probados que impulsaron resultados repetibles y
eficiencia
La integracin adecuada de tecnologa que provey informacin importante para
soportar la toma de decisiones y una respuesta efectiva
14
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
Entorno
62%
de las organizaciones no tiene alineada su
estrategia de seguridad de la informacin a su
apetito o tolerancia de riesgo.
54%
de las organizaciones no alinean su estrategia
de seguridad de la informacin con su
estrategia de negocios.
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
| 15
S miramos hacia
los prximos aos,
necesitamos expandir
la administracin de
la seguridad de la
informacin a nivel
de sistemas SCADA.
Actualmente, esta rea
no est cubierta con
la informacin de un
ambiente de seguridad
de la informacin,
sin embargo requiere
atencin significativa
como el costo de un
compromiso con los
niveles de daos
Ejecutivo de empresa de petrleo y gas.
Anlisis y reportes
Espacio fsico
16
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
10 Mejora continua
De la misma manera en que la seguridad est en cambio constante, el campo
del SOC debe cambiar tambin. Las organizaciones deben establecer un
marco de trabajo para monitorear continuamente el desempeo y mejorar sus
programas de seguridad de la informacin en las reas de gente, procesos y
tecnologa.
El SOC necesita proveer la educacin apropiada y entrenamiento constante
para que las habilidades y conocimiento de su gente puedan evolucionar
con el entorno cambiante de amenazas. De manera similar, los procesos
necesitarn adaptarse para entregar un valor de mayor magnitud. Finalmente,
el SOC necesitar evaluar constantemente para determinar su relevancia y
efectividad en contra de amenazas internas y externas en evolucin.
Estos factores deben estar embebidos en el diseo de la organizacin del SOC
y sus operaciones. Por ejemplo, despus de la conclusin de incidente mayor
o investigacin nica, los reportes after action y las sesiones de preguntas y
respuestas de lecciones aprendidas identifican oportunidades para la mejora,
mantienen informada a la administracin y reconocen las contribuciones con
ambos, el SOC y los miembros interdepartamentales del equipo.
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
| 17
18
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
No:
S:
S:
No:
S:
S:
S:
No:
S:
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico
| 19
www.ey.com/GRCinsights
20
Perspectivas sobre gobierno, riesgo y cumplimiento - Centros de Operaciones de Seguridad en contra del crimen ciberntico