Benoît H. Dicaire (@BHDicaire)
Benoît H. Dicaire Expert indépendant en sécurité de l informa5on Architecture TI & SI Gouvernance 25 ans, minimum! CISSP, CISM, CRISC, PMP, ITIL, CISA, 2
La probléma5que When you can measure what you are speaking about, and express it in numbers, you know something about it. - Lord Kelvin Source: http://en.wikipedia.org/wiki/william_thomson,_1st_baron_kelvin 3
Une défini5on de vigie Terme u@lisé surtout au Québec, désigne tout aussi bien l'en@té (personne, organisme) qui scrute en profondeur l'environnement que l'acte de veille lui- même. - Office québécois de la langue française 4
Ma défini5on de la vigie Ac@vité de surveillance permanente de l'environnement d'une organisa@on Interne Externe Centre de coût ou de profit? 5
Portée de la vigie Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Audit interne Revue de direction Amélioration du SGSI Politique de sécurite Organisation de la sécurité de l information Gestion des actifs Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion de l exploitation et des télécommunications Contrôle d'accès Acquisition, développement et maintenance des systèmes d information Gestion de la continuité de l activité Conformité Actifs informationel Infrastructure & Solution technologique Processus, procédure & élément probant Portefolio, programmes, projets Appétit du risque Inventaire de risques Objectifs d affaires Cadre de contrôle Audit interne & externe North American Electric Reliability Corporation (NERC) National Institute of Standards and Technology (NIST) Organisation internationale de normalisation (ISO) Internet Engineering Task Force (IETF) IT Governance Institute (ITGI) Information Systems Audit and Control Association (ISACA) Control Objectives for Information and related Technology (CobiT) Payment Card Industry (PCI) Data Security Standard (DSS) Gouvernance Gestion du risque Conformité 6
Portée de la vigie /2 Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Micrologiciel Système d exploitation Réseau de stockage Réseautique Plateformes PHP, Ruby, ColdFusion, Perl, Python, JSP & ASP Bases de données Intergiciels Présentation Web Copie de sauvegarde Journalisation et corrélation Sondes IDS / IPS Coupe- feu Solutions Chaine protocolaire Serveur virtuel /physique Serveur de virtualisation Outils de gestion incluant les consoles Zones réseautiques Règles coupe- feu et des sondes Accès à distance Inventaires des risques Inventaire du matériel Classification des données Threat Management System TELUS Security Labs Symantec DeepSight Cisco Security IntelliShield Cassandra.Cerias.PURDUE.edu SANS Internet Storm Center SANS NewsBytes National Vulnerability Database Full Disclosure SecurityFocus Vulnerabilities SecurityFocus News Latest Secunia Advisories Secunia - Latest SECUNIA Virus Alerts Microsoft Security Bulletins Bugtraq US- Cert Cyber Security Bulletins US- CERT Technical Cyver Security Alerts CISCO Security Advisories SearchSecurity: Network Secuirty Tactics Network World on Security Darknet - The Darkside Technologies Configurations Vulnérabilités 7
Généraliste ou spécialiste? «Vigiste: personne qui scrute de façon approfondie à par@r de toutes les sources documentaires possibles un environnement donné afin d'en prévoir les évolu@ons.» - Office québécois de la langue française 8
L audience de l ac5vité de vigie ceux qui vont ar@culer et @rer profit d un bris de tendance iden@fiée par la vigie. 9
Les bénéfices de la vigie Améliorer la compé@@vité de l organisa@on Informa@on publiquement accessible Étalonnage (comparaison) de l industrie & lobbyisme Avoir des pistes de solu@ons afin d améliorer la prise de décision 10
Les grands jalons 1. Construire un système opéra@onnel de veille Configurer une base de données selon nos besoins Élaborer une méthodologie de recherche Classifier l'informa@on selon une taxonomie 2. Exécuter l ac@vité de vigie 3. Valider la démarche par le biais de la revue interne 4. Diffuser l informa@on aux audiences 11
Système opéra5onnel de veille Fureteur Internet (signets) Agrégateur de flux RSS (client et/ou web) Regroupement compa@ble avec la taxonomie Adresse de courriel non iden@fié à l org. Forum Yahoo!, Google, LinkedIN & Quora Twiser Sta@s@ques sur les #motclefs & recherche 12
Matériel complémentaire 13
Base de données Mul@ plateforme: PC, Mac, ipad & Web Synchronisa@on & partage de carnet Ajoute au PDF, la reconnaissance op@que de caractères Catalogue l informa@on avec des «meta index» Ges@on des formulaires Demandes & signalements 14
Méthodologie de recherche Travail solo ou d équipe? Méthodologie Approche vs budget Mise en forme de l informa@on Contextualisa@on Évalua@on par un expert technique Ajouts d'informa@ons complémentaires Poursuite de la recherche dans cese direc@on? 15
Taxonomie Étude théorique de la classifica@on, de ses bases, de ses lois, de ses principes et de ses règles. - Office québécois de la langue française Mots clefs u@lisés pour la classifica@on Lois, normes, body of knowledge, projets & technologies Ententes consensuelles révisées mensuellement U@lisa@on des méta index vs répertoires 16
Exemple de taxonomie 17
Exécu5on de l ac5vité Analyse des intrants provenant des ou@ls Visites de conférences, ateliers & séminaires Contextualisa@on Signalement et priorisa@on 18
Revue interne Révision des fiches de demandes de la période Priorisa@on des nouvelles demandes Iden@fica@on/ révision de sources d informa@on Améliora@on des méthodes et ou@ls de recherches Iden@fica@on de pistes et de connaissances pouvant s'avérer stratégiques pour l organisa@on 19
Diffusion Construc@f: orienter vers les projets priorisés Efficace: sommaire et points saillants Souple: dossier papier et/ou électronique Robuste: vision 2 ans lorsque disponibles Une téléconférence ~ 1 heure avec un analyste 20
Conclusion «Un homme sage apprend de ses erreurs. Un homme plus sage apprend des erreurs des autres.» - Confucius 21
Matériel complémentaire
Sources d informa5on Présenta@on: hsp://f.dicairestrategies.com/vigie.pdf RSS hsp://f.dicairestrategies.com/rss.pdf hsp://bhdicaire.com/about/twiser Twiser: @BHDicaire hsp://bhdicaire.com/about/twiser 23
Vos ou5ls 1. Evernote: www.evernote.com 2. Pinboard: hsps://pinboard.in/ 3. IF This Then That: hsp://i}s.com/ 4. Gmail & Reader: hsp://www.gmail.com 5. Instapaper: hsp://www.instapaper.com/ 24
FAV: hsp://www.favs- app.com/ 25
Blogs Raindrop TaoSecurity Security Bloggers Network Securosis Mcafee hsp://blogs.mcafee.com/ Oracle Mary Ann Davidson Lenny Zeltser (ISC)2 Security transcends technology InfoReck Iden@ty Woman Forensic Incident Response flyingpenguin ISO 27001 & BS25999 Andy itguy 26
Google Groups ISO 27001 Security Forum Na@onal Stock Exchange for IT Security SANS Internet Storm Center / DShield Security Crew Yahoo! Groups InfoSec Audit Risk Managers Quora LinkedIn Security Metrics CISO: Meaningful Metrics Security Leaders CSO RoundTable Business Con@nuity Management Informa@on exchange http://twitter.com/bdicaire/infosec 27
Body of Knowledge (ISC) 2 Common Body of Knowledge (CBK) Control Objec@ves for Informa@on and related Technology v4.1 (COBIT) DAMA Data Management Body of Knowledge (DMBOK) Enterprise Architecture Body of Knowledge (EABOK) ISO 27001:2005 IIBA Business Analysis Body of Knowledge (BABOK) Informa@on Technology Infrastructure Library v3 PMI Project Management Body of Knowledge(PMBOK) So}ware Engineering Body of Knowledge (SWEBOK) 28
Cour@ers de connaissances Gartner Forrester OVUM Aberdeeen Securosis 451 Group Enterprise Strategy Group Burton 29
Conférences RSI 20123 Montréal Mars Colloque Québécois de la sécurité de l informa@on 2013 Charlevoix 17 & 18 octobre Recon 2013 Montréal 8 au 10 juillet SecTor 2013 Toronto 17 au 19 octobre Security B- Sides Québec Osawa 12 & 13 novembre 30
Conférences /2 RSA Conference 2013 San Francisco 27 février au 2 mars Gartner Security & Risk Management Summit Washington, DC 20 au 23 juin Forrester s Security Forum 2013 Boston 16 & 17 Septembre Black Hat Las Vegas 3 & 4 Août Security B- Sides 31
Associa@ons Associa@on de Sécurité de l'informa@on du Montréal Métropolitain ISACA Chapitre de Montréal Chapitre de Québec Chapitre de Osawa Ins@tut des vérificateurs internes PMI Montréal Associa@on de la sécurité de l'informa@on du Québec Club de la sécurité de l informa@on du Québec Réseau Ac@on TI 32
Associa@ons /2 Security Klatch Osawa Area Toronto Area ISSA Osawa Osawa High Technology Crime Inves@ga@on Associa@on Interna@onal Informa@on Systems Security Cer@fica@on Consor@um 33
Lois canadiennes Dura lex, sed lex Québécoises & Ontariennes Health Insurance Portability and Accountability Act (HIPAA) of 1996 Sarbanes- Oxley Act of 2002 California Online Privacy Protec@on Act of 2003 Children Online Protec@on Act of 1998 34
La vigie 2.0 appliquée http://f.dicairestrategies.com/vigie.pdf Benoît H. Dicaire (@BHDicaire)
Portée de la vigie Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Audit interne Revue de direction Amélioration du SGSI Politique de sécurite Organisation de la sécurité de l information Gestion des actifs Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion de l exploitation et des télécommunications Contrôle d'accès Acquisition, développement et maintenance des systèmes d information Gestion de la continuité de l activité Conformité Actifs informationel Infrastructure & Solution technologique Processus, procédure & élément probant Portefolio, programmes, projets Appétit du risque Inventaire de risques Objectifs d affaires Cadre de contrôle Audit interne & externe North American Electric Reliability Corporation (NERC) National Institute of Standards and Technology (NIST) Organisation internationale de normalisation (ISO) Internet Engineering Task Force (IETF) IT Governance Institute (ITGI) Information Systems Audit and Control Association (ISACA) Control Objectives for Information and related Technology (CobiT) Payment Card Industry (PCI) Data Security Standard (DSS) Gouvernance Gestion du risque Conformité 36
Portée de la vigie /2 Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Micrologiciel Système d exploitation Réseau de stockage Réseautique Plateformes PHP, Ruby, ColdFusion, Perl, Python, JSP & ASP Bases de données Intergiciels Présentation Web Copie de sauvegarde Journalisation et corrélation Sondes IDS / IPS Coupe- feu Solutions Chaine protocolaire Serveur virtuel /physique Serveur de virtualisation Outils de gestion incluant les consoles Zones réseautiques Règles coupe- feu et des sondes Accès à distance Inventaires des risques Inventaire du matériel Classification des données Threat Management System TELUS Security Labs Symantec DeepSight Cisco Security IntelliShield Cassandra.Cerias.PURDUE.edu SANS Internet Storm Center SANS NewsBytes National Vulnerability Database Full Disclosure SecurityFocus Vulnerabilities SecurityFocus News Latest Secunia Advisories Secunia - Latest SECUNIA Virus Alerts Microsoft Security Bulletins Bugtraq US- Cert Cyber Security Bulletins US- CERT Technical Cyver Security Alerts CISCO Security Advisories SearchSecurity: Network Secuirty Tactics Network World on Security Darknet - The Darkside Technologies Configurations Vulnérabilités 37
Mission impossible? 38
UN ID unique avec NameCHK.com 39
Créa@on des comptes usagers Gmail & Reader: www.gmail.com OPML: hsp://f.dicairestrategies.com/bhdicaire.xml Evernote: www.evernote.com Protopage: www.protopage.com Twiser: www.twiser.com Présenta@on : hsp://f.dicairestrategies.com/vigie.pdf 40
www.google.ca/reader 41
Import des feeds OPML 42
Protopage.com/BHDicaire 43
Protopage.com: widget 1. hsp://isc.sans.edu/newssummary.xml 2. hsp://www.gossamer- threads.com/lists/bugtraq/ bugtraq.xml 3. hsp://seclists.org/rss/isn.rss 44
Protopage.com: widget #2 4. hsp://seclists.org/rss/cert.rss 5. hsp://www.securityfocus.com/rss/vulnerabili@es.xml 6. hsp://seclists.org/rss/dataloss.rss 7. hsp://www.microso}.com/technet/security/advisory/ RssFeed.aspx?securityadvisory 8. hsp://www.gossamer- threads.com/lists/fulldisc/full- disclosure.xml 9. hsp://seclists.org/rss/honeypots.rss 10. hsp://secunia.tumblr.com/rss 11. hsp://seclists.org/rss/oss- sec.rss 45
hbps://twiber.com/bhdicaire/lists 46
Google Mail: label 47
Google Mail: filters Skip inbox Mark as read Apply Label 48
Evernote: notebooks @Inbox Reference Material & Artefact (i.e. NDA) Work in Progress 49
Evernote: tags 50
Evernote: info sur une fiche 51
Evernote 52