presentación de powerpoint · política de control de internet y de intranet por parte del...
TRANSCRIPT
Hardening de usuarios:
la gestión de la capa faltante
Mauro Graziosi, CEO de
Temario
Estado actual de las
corporaciones
Desafíos organizacionales
Soluciones propuestas
Estado actual
de las
corporaciones
Evolución de
los ataques
Fuente: Attack sophistication vs Intruder Knowledge. Carnegie Mellon University
[A]pache’s
Phishing Kit
Advertisement
Fuente: https://research.checkpoint.com/wp-content/uploads/2018/04/Tracking_Down_Apache_Phishing_Brochure_180424.pdf
[A]pache’s
Phishing Kit
Advertisement
Fuente: https://research.checkpoint.com/wp-content/uploads/2018/04/Tracking_Down_Apache_Phishing_Brochure_180424.pdf
Números del
Phishing
Durante la primera mitad de 2017,
se crearon alrededor de 8 millones
de sitios únicos de Phishing
El phishing estuvo presente en
el 90% de los ataques exitosos
Fuentes:
https://www-cdn.webroot.com/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf
https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_execsummary_en_xg.pdf
https://blog.segu-info.com.ar/2016/02/phishing-de-visa-paso-paso-alojado-en.html
Kit de Phishing
de VISA
Fuente: https://blog.segu-info.com.ar/2016/02/phishing-de-visa-paso-paso-alojado-en.html
Fuente: https://blog.segu-info.com.ar/2016/02/phishing-de-visa-paso-paso-alojado-en.html
Kit de Phishing
de VISA
Fuente: APWG Phishing Attack Trends Reports - http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf
Evasión de las
medidas de
protección
291.000
8.000.000
Sitios únicos de Phishing en la primera mitad del 2017
Detectados
Creados
Técnicas de
evasión
Se encuentran disponibles
entre 4 y 8 horas
Utilizan certificados SSL
Utilizan dominios muy similares
al dominio real
Fuente:
Webroot Quarterly Threat Trends
https://www-cdn.webroot.com/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf
Fuente: Webroot Quarterly Threat Trends - https://www-cdn.webroot.com/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf
Evolución de
los ataques de
Phishing
Fuente: Enterprise Strategy Group, 2017
Comparativa
entre Phishing
y otras
amenazas
Ataques
cada vez más
sofisticados El Phishing dirigido y el Whaling
han generado pérdidas por 5.3
billones de dólares entre 2013 y
2016 (sólo en USA)
El 91% de los ataques de
Phishing en 2017 derivaron en
un ataque de Ransomware y
Malware
Fuente:
https://www.vadesecure.com/en/ransomware-statistics-2017/
Números del
Ransomware
Se espera que en 2019 una
empresa sea víctima del
Ransomware cada 14 segundos
Fuentes:
https://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
https://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics.html
5
11,5
2017 2019
Costos asociados al Ransomware en
Billones de Dólares
Ejemplos de
Spear Phishing
Ejemplos de
Spear Phishing
Desafíos
organizacionales
Área de
Seguridad de
la Información
como
obstaculizador
Cumplimiento
Normativas externas
Firma + Actualización
de información
Requisitos sobre logs/registros
Fallo 1
Elementos: Consentimiento – Fallo Z.G.A. c. Total Austral S. A. -
CNTrab., sala X, Año 2005.
“Resulta excesivo e injustificado el despido del trabajador por la causal
de utilización del sistema informático para fines personales y
extralaborales, si durante el tiempo de prestación de servicios no
tuvo conocimiento ni le fue entregado ningún material
relativo a política ni seguridad informática ni fue
notificado de ningún código de ética informática de la
empresa. Resulta también injustificado si la implementación de una
política de control de Internet y de intranet por parte del empleador,
para impedir a los dependientes la utilización del sistema para los fines
mencionados, se habría llevado a cabo con posterioridad al despido del
trabajador.”
Fallo 2
Fallo Romero Walter Daniel c/Comsat Argentina SA s/despido - CNTRAB – SALA III –
2007. “La demandada se agravia porque entiende que la sentenciante, sobre la base de una
errónea apreciación de los hechos y de las pruebas producidas en la causa, concluyó que la
medida dispuesta fue desproporcionada y que debería haber aplicado una sanción menor, antes
que recurrir al despido. No asiste razón al apelante en lo principal de su queja porque no
probó que el actor violara la política interna de la compañía sobre el uso de tecnología y
recursos, y pusiera en peligro la seguridad informática y el patrimonio de la misma. La
empresa demandada no logró probar que había un reglamento interno sobre el uso que debía
darse a los equipos informáticos, ni que ese reglamento hubiera sido
puesto en conocimiento del personal en forma fehaciente, toda
vez que las pruebas aportadas no son suficientes a tal fin, pues el testigo García (fs.129) dijo
que todas las computadoras tienen acceso a Internet y conexión entre ellas, que la única
reglamentación que circuló una vez por mail fue una especie de
memo interno con una determinada política de la compañía
que hacia hincapié en cuestiones comerciales de licitaciones.”
Soluciones
propuestas
Suministrar
regularmente
información
Política de uso aceptable
Acuerdo de confidencialidad
Tratamiento de datos personales
Monitoreo laboral
Establecer
una línea base
de riesgo
Sirve como punto de entrada
para un proceso de mejora
continua
Permite conocer el estado de
riesgo actual de nuestra
organización
Usos de la
línea base o
fotografía de
riesgo
Brindar un estado de situación
Establecer objetivos, metas e
hitos
Evaluar en el tiempo la efectividad
de nuestras acciones
Demostrar la utilidad de la
inversión realizada
Indicadores
de riesgo
Comportamiento del
usuario
Fuga de información
Ejecución de Software
Malicioso
Opinión de los usuarios para
con el área de seguridad
Conocimiento de las
políticas de la organización
Conocimiento de la
organización
¿Y una vez
establecida?
Definir el estado deseado
Volver a tomar la fotografía
de riesgo
Comenzar con las acciones de
concientización y entrenamiento
Mejorar la
imagen del
área con una
comunicación
de valor
Contenidos adecuados a la
realidad de la organización
Comunicación cómoda y de
corta duración
Cambio de hábitos
VS cumplimiento
Refuerzo positivo
Por qué se implementan
las medidas
Gamificación
Vida privada y en
familia del usuario
Después Ahora
Políticas
Controles técnicos
Transparencia
Acceso / comunicación
Entrega de valor
Alcance
Reglas que prohíben hacer lo
que quiero como quiero
Estorbo que no permite hacer
lo que quiero como quiero
Baja
Bajo
¿?
Dentro de la organización
Pautas para trabajar de la
mejor manera
Medidas que me dan
tranquilidad y protección para
enfocarme en hacer mi trabajo
Media/Alta
Medio/Alto
Media/Alta
Dentro de la organización,
fuera de ella y para la vida
cotidiana
Siguientes
pasos
-
Preguntas