[PPT] - Informa(on Security Fundamentals: What We Learn When We Listen PowerPoint Presentation

SLIDE 1

Informa(on ¡Security ¡ Fundamentals: ¡What ¡We ¡ Learn ¡When ¡We ¡Listen

EVAN ¡FRANCEN, ¡PRESIDENT ¡& ¡CO-‑FOUNDER ¡-‑ ¡FRSECURE MARCH ¡17, ¡2015

SLIDE 2

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ Topics/Agenda ¡

Introduc*on ¡
We’re ¡all ¡experts ¡right? ¡
Fundamentals ¡ ¡
The ¡value ¡of ¡listening ¡
Principles ¡
Solu*ons ¡– ¡What ¡to ¡do… ¡
Ques*ons ¡

SLIDE 3

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ Introduc3on ¡

FRSecure ¡
Informa*on ¡security ¡consul*ng ¡company ¡
Business ¡since ¡2008 ¡
700+ ¡clients, ¡many ¡in ¡legal, ¡healthcare, ¡and ¡finance ¡
Speaker ¡– ¡Evan ¡Francen ¡
President ¡& ¡Co-‑founder ¡of ¡FRSecure ¡
20+ ¡years ¡of ¡informa*on ¡security ¡experience ¡
Big ¡breach ¡inside ¡experience ¡
Informa*on ¡security ¡evangelist ¡
Special*es: ¡Security ¡leadership ¡coaching, ¡risk ¡management, ¡methodology ¡development, ¡and ¡

Social ¡Engineering ¡ ¡;) ¡

SLIDE 4

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ If ¡there’s ¡one ¡thing ¡that ¡I’ve ¡learned ¡in ¡20+ ¡years ¡in ¡informa3on ¡ security ¡it’s ¡to ¡LISTEN. ¡ If ¡there’s ¡one ¡more ¡thing ¡that ¡I’ve ¡learned ¡in ¡20+ ¡years ¡in ¡ informa3on ¡security ¡it’s ¡that ¡I ¡don’t ¡know ¡everything! ¡ ¡ ¡ Although ¡too ¡many ¡informa3on ¡security ¡“experts” ¡won’t ¡admit ¡it. ¡

SLIDE 5

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ One ¡thing ¡is ¡clear… ¡

We’re ¡missing ¡the ¡informa3on ¡security ¡ fundamentals! ¡

SLIDE 6

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ What ¡are ¡some ¡of ¡the ¡fundamentals? ¡ ¡ We’re ¡all ¡experts, ¡right? ¡

What ¡is ¡“informa*on ¡security”? ¡

We ¡can ¡argue ¡about ¡who’s ¡defini*on ¡is ¡beUer, ¡but ¡we ¡need ¡to ¡start ¡with ¡a ¡common ¡understanding ¡(or ¡defini*on). ¡

SLIDE 7

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ What ¡are ¡some ¡of ¡the ¡fundamentals? ¡ ¡ Informa*on ¡security ¡is ¡the ¡applica*on ¡of ¡administra3ve, ¡physical, ¡ and ¡technical ¡controls ¡to ¡protect ¡the ¡confiden3ality, ¡integrity, ¡and ¡ availability ¡of ¡informa*on. ¡

¡ “Most ¡organiza-ons ¡overemphasize ¡technical ¡controls ¡to ¡protect ¡confiden-ality ¡ and ¡do ¡so ¡at ¡the ¡expense ¡of ¡other ¡cri-cal ¡controls ¡and ¡purposes.” ¡

Seems ¡fundamental. ¡ ¡How ¡about ¡a ¡story? ¡

SLIDE 8

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ What ¡are ¡some ¡of ¡the ¡fundamentals? ¡ ¡ Probably ¡one ¡of ¡the ¡most ¡overused ¡words ¡in ¡all ¡of ¡security… ¡

What ¡is ¡“risk”? ¡

Again, ¡we ¡can ¡argue ¡about ¡who’s ¡defini*on ¡is ¡beUer, ¡but ¡we ¡need ¡to ¡start ¡with ¡a ¡common ¡understanding ¡(or ¡ defini*on). ¡

SLIDE 9

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ What ¡are ¡some ¡of ¡the ¡fundamentals? ¡ ¡ Risk ¡is ¡the ¡likelihood ¡of ¡something ¡bad ¡happening ¡and ¡the ¡impact ¡if ¡it ¡

did. ¡

¡ “The ¡likelihood ¡of ¡a ¡threat ¡exploi-ng ¡a ¡vulnerability, ¡leads ¡an ¡associated ¡ impact.” ¡

Seems ¡fundamental. ¡ ¡How ¡about ¡another ¡story? ¡

SLIDE 10

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ What ¡are ¡some ¡of ¡the ¡fundamentals? ¡ ¡ Risk ¡

Anybody ¡know ¡who ¡this ¡guy ¡is? ¡ ¡à ¡

SLIDE 11

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ What ¡are ¡some ¡of ¡the ¡fundamentals? ¡ ¡ What ¡is ¡informa*on ¡security? ¡ ¡ What ¡is ¡risk? ¡

¡ Why ¡are ¡these ¡defini-ons ¡so ¡important? ¡

Because ¡they ¡should ¡drive ¡everything ¡you’re ¡doing. ¡

SLIDE 12

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ The ¡value ¡of ¡listening. ¡ ¡ To ¡keep ¡us ¡honest ¡(and ¡humble), ¡we ¡organized ¡the ¡FRSecure ¡ Customer ¡Advisory ¡Board ¡(or ¡“CAB”). ¡ ¡ We ¡posed ¡two ¡simple ¡ques*ons… ¡

What ¡is ¡your ¡greatest ¡frustra*on ¡with ¡respect ¡to ¡informa*on ¡security? ¡ What ¡is ¡your ¡greatest ¡challenge ¡with ¡respect ¡to ¡informa*on ¡security? ¡

Then ¡we ¡listened… ¡

SLIDE 13

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ The ¡value ¡of ¡listening. ¡ ¡ Greatest ¡frustra3ons: ¡

1. Lack ¡of ¡common ¡informa*on ¡security ¡understanding. ¡
2. Different ¡interpreta*ons ¡of ¡different ¡informa*on ¡security ¡

regula*ons ¡and ¡standards. ¡

3. Lack ¡of ¡educa*on ¡for ¡prac**oners ¡and ¡execu*ve ¡management. ¡
4. Constantly ¡changing ¡priori*es ¡based ¡on ¡outside ¡influences. ¡

Together ¡we ¡derived ¡a ¡core ¡frustra*on ¡that ¡sums ¡up ¡everything; ¡we ¡are ¡all ¡speaking ¡different ¡languages ¡ for ¡the ¡same ¡topic. ¡

SLIDE 14

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ The ¡value ¡of ¡listening. ¡ ¡ Greatest ¡Challenges: ¡

1. Educa*on/training ¡for ¡execu*ves, ¡IT ¡personnel, ¡and ¡users. ¡
2. Management ¡commitment ¡to ¡con*nuous ¡improvement. ¡
3. Obtaining ¡the ¡necessary ¡resources ¡to ¡manage ¡informa*on ¡
security. ¡
4. Measuring ¡informa*on ¡security ¡(metrics, ¡status, ¡improvements, ¡

etc.) ¡

Greatest ¡frustra*ons ¡could ¡be ¡summed ¡up ¡with; ¡we ¡don’t ¡know ¡how ¡to ¡fix ¡the ¡issues ¡facing ¡us ¡within ¡the ¡ greater ¡context ¡of ¡a ¡strategic ¡informa*on ¡security ¡program. ¡

SLIDE 15

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ So ¡what ¡are ¡we ¡going ¡to ¡do? ¡ ¡ Our ¡two ¡problems, ¡summed ¡up ¡by ¡listening: ¡

1. We ¡are ¡all ¡speaking ¡different ¡languages ¡for ¡the ¡same ¡topic. ¡
2. We ¡don’t ¡know ¡how ¡to ¡fix ¡the ¡issues. ¡

Now ¡we ¡can ¡offer ¡some ¡advice, ¡but ¡only ¡aVer ¡listening. ¡ ¡

SLIDE 16

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ We ¡are ¡all ¡speaking ¡different ¡languages ¡for ¡the ¡same ¡topic. ¡

1. Define ¡and ¡live ¡by ¡your ¡defini*on ¡of ¡informa*on ¡security. ¡ ¡Get ¡

everybody ¡in ¡agreement ¡with ¡the ¡common ¡defini*on ¡because ¡it ¡ will ¡(or ¡should) ¡drive ¡everything. ¡

2. Define ¡and ¡live ¡by ¡your ¡defini*on ¡of ¡risk. ¡ ¡If ¡you ¡can ¡understand ¡

and ¡communicate ¡risk ¡well: ¡

You ¡will ¡automa*cally ¡be ¡compliant ¡with ¡regula*ons. ¡
You ¡will ¡be ¡able ¡to ¡make ¡good ¡decisions. ¡
You ¡will ¡build ¡a ¡security ¡program ¡that ¡works ¡for ¡you. ¡

SLIDE 17

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ We ¡don’t ¡know ¡how ¡to ¡fix ¡the ¡issues. ¡ Start ¡with ¡defining ¡your ¡informa*on ¡security ¡principles. ¡ ¡These ¡are ¡ the ¡rules ¡that ¡you ¡are ¡going ¡to ¡live ¡by. ¡ ¡Here’s ¡ours: ¡

1. A ¡business ¡is ¡in ¡business ¡to ¡make ¡money. ¡
2. Informa*on ¡Security ¡is ¡a ¡business ¡issue. ¡
3. Informa*on ¡Security ¡is ¡fun. ¡
4. People ¡are ¡the ¡biggest ¡risk. ¡
5. “Compliant” ¡and ¡“secure” ¡are ¡different. ¡

SLIDE 18

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ We ¡don’t ¡know ¡how ¡to ¡fix ¡the ¡issues. ¡ Start ¡with ¡defining ¡your ¡informa*on ¡security ¡principles. ¡ ¡These ¡are ¡ the ¡rules ¡that ¡you ¡are ¡going ¡to ¡live ¡by. ¡ ¡Here’s ¡ours: ¡

6. There ¡is ¡no ¡common ¡sense ¡in ¡Informa*on ¡Security. ¡
7. “Secure” ¡is ¡rela*ve. ¡
8. Informa*on ¡Security ¡should ¡drive ¡business. ¡
9. Informa*on ¡Security ¡is ¡not ¡one ¡size ¡fits ¡all. ¡
10. There ¡is ¡no ¡“easy ¡buUon”. ¡

SLIDE 19

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

¡ We ¡don’t ¡know ¡how ¡to ¡fix ¡the ¡issues. ¡ Now ¡that ¡you’re ¡bought ¡in ¡on ¡principles ¡for ¡managing ¡your ¡security ¡ program, ¡go ¡here: ¡

1. Management ¡commitment. ¡ ¡For ¡real. ¡Either ¡you’re ¡in ¡or ¡you’re ¡not. ¡
2. Asset ¡management. ¡ ¡You ¡can’t ¡secure ¡what ¡you ¡don’t ¡know ¡you ¡have. ¡
3. Access ¡control. ¡ ¡You ¡can’t ¡secure ¡what ¡you ¡can’t ¡control. ¡
4. Change ¡control. ¡ ¡See ¡step ¡3. ¡
5. Measure, ¡measure, ¡measure. ¡ ¡You ¡can’t ¡manage ¡what ¡you ¡can’t ¡
measure. ¡

SLIDE 20

In Informa(

rma(on
n ¡S

¡Secu ecurit rity ¡Fu y ¡Fundamen amentals als

As ¡you ¡build, ¡implement, ¡manage, ¡and ¡improve ¡your ¡security ¡ program… ¡

Don’t ¡forget ¡to ¡listen! ¡

The ¡things ¡that ¡people ¡are ¡telling ¡you ¡are ¡real, ¡and ¡you ¡might ¡learn ¡a ¡ thing ¡or ¡two. ¡ ¡ It’s ¡also ¡OK ¡to ¡admit ¡that ¡you ¡don’t ¡know ¡everything. ¡

SLIDE 21

Pe People… ¡ ¡ ¡ ¡A ¡ ¡social ¡ ¡engineer’s ¡ ¡dream

¡ Social ¡Engineering ¡Defined… ¡

Social ¡engineering ¡is ¡hacking ¡human ¡trust. ¡ ¡ It’s ¡convincing ¡someone ¡that ¡it’s ¡in ¡their ¡best ¡ interests ¡to ¡give ¡you ¡something. ¡ ¡That ¡ something ¡could ¡be ¡creden*als, ¡access ¡to ¡a ¡ computer ¡system, ¡personal ¡informa*on, ¡ physical ¡access, ¡or ¡any ¡number ¡of ¡things. ¡– ¡

Evan ¡Francen, ¡FRSecure ¡

SLIDE 22

Pe People… ¡ ¡ ¡ ¡A ¡ ¡social ¡ ¡engineer’s ¡ ¡dream

¡ Social ¡Engineering ¡Defined… ¡

The ¡best ¡way ¡to ¡protect ¡yourself ¡against ¡a ¡social ¡engineer ¡is ¡to ¡know ¡their ¡techniques ¡and ¡be ¡
aware. ¡
This ¡is ¡exactly ¡what ¡we’re ¡going ¡to ¡cover ¡today… ¡

SLIDE 23

Pe People… ¡ ¡ ¡ ¡A ¡ ¡social ¡ ¡engineer’s ¡ ¡dream

¡ Famous ¡Social ¡Engineers ¡

Some ¡of ¡my ¡favorites. ¡ ¡

SLIDE 24

Pe People… ¡ ¡ ¡ ¡A ¡ ¡social ¡ ¡engineer’s ¡ ¡dream

¡ Types ¡of ¡Social ¡Engineering ¡

DON’T ¡FORGET ¡-‑ ¡The ¡best ¡way ¡to ¡protect ¡yourself ¡against ¡a ¡social ¡engineer ¡is ¡

to ¡know ¡their ¡techniques ¡and ¡be ¡aware. ¡

There ¡are ¡four ¡main ¡types ¡of ¡social ¡engineering ¡aUacks ¡and ¡a ¡bunch ¡of ¡

varia*ons: ¡

Electronic ¡– ¡Phishing ¡is ¡the ¡#1 ¡varia*on ¡of ¡electronic ¡social ¡engineering. ¡
In-‑person ¡– ¡Physical ¡aUacks ¡that ¡typically ¡focus ¡on ¡gaining ¡physical ¡access ¡to ¡something. ¡
Physical ¡drop ¡– ¡Most ¡oqen ¡flash ¡drives ¡loaded ¡with ¡something ¡bad. ¡
Telephone ¡– ¡Call ¡and ¡ask. ¡ ¡Get ¡somebody ¡to ¡give ¡you ¡something ¡over ¡the ¡phone. ¡

All ¡of ¡these ¡types ¡of ¡aUacks ¡give ¡GREAT ¡results. ¡

We ¡have ¡a ¡saying… ¡ ¡“It’s ¡easier ¡to ¡go ¡through ¡your ¡secretary ¡than ¡it ¡is ¡your ¡firewall.” ¡

SLIDE 25