Gestion integral del riesgo

4,321 views

Published on

Frente a nuevos riesgos a los que se enfrenta la industria, existen mayores retos para mejorar la gestión. La estrategia: IBM Security.

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,321
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
90
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Gestion integral del riesgo

  1. 1. Gestión Integral de Riesgo Juan Paulo Cabezas Arquitecto de Soluciones de Seguridad Región SSA, IBM Software jcabezas@cl.ibm.com Santiago, 10 de Marzo del 2011
  2. 2. Agenda • Introducción y gestión de riesgos en un planeta inteligente • 2010 IBM Global IT Risk • Estrategia de IBM • Caso de éxito • Nuevas soluciones • Visión Integral
  3. 3. ¿Hacia donde va la seguridad en un planeta más inteligente ? Smart supply Smart countries Smart retail chainsEl planeta es cada vez más INSTRUMENTADO, INTERCONNECTADO e Smart water management Smart weather Smart energy grids INTELIGENTE. Intelligent oil SmartNuevas posibilidades. field technologies Smart regions healthcareNuevas complejidades.Nuevos Riesgos. Smart traffic Smart food Smart cities systems systems 3
  4. 4. El soldadochilenas están llenas de errores en cuanto a Las firmas Manning dijo: “Incluso en un ambienteque posee seguridad de laTI, pero están avanzando en la planificación de seguridad de mejor en el planeta,servidores débiles, auditoria débil, seguridad Americas, preparación ante desastres, señaló a Business News físicadébil, contrainteligencia débil, perfect storm”Ernst & un socio del área de asesoría en riesgo y gestión de (23 Youngaños) 4
  5. 5. La necesidad de progreso es clara 80% 93% 25.000 M 10.000Firmas de de los 285 millones de mensajes de el númeroservicios de ataques el 2008, datos son estimado definancieros, dicen estaban enfocados manejados por el regulacionesque sus procesos al sector finanzas, mercado cada día, bancarias ende gobierno, más de la mitad fue ubicando a la USA, más degestión del riesgo detectado por infraestructura 4.000 sey cumplimiento, terceros. global de TI, bajo encuentran enno se encuentran estrés continuo. desarrollointegrados através de laempresa. 5
  6. 6. La crisis de la industria financiera reveló seis puntos clave• El mundo cambió y cambiará la manera en que las empresas gestionan el riego• Suficiente capital, no es suficiente.• Medir el riesgo No es gestionarlo• La percepción tiene valor y la evaluación de riesgo puede ser influida de gran forma por la confianza y reputación• La gestión del riesgo es una responsabilidad colectiva• El riesgo debe ser gestionado a través de la organización … definitivamenteSe hace necesario una forma más inteligente de gestión de riesgo 6
  7. 7. Los retos de hoy en día en el manejo de la Gobernabilidad, Riesgo & Cumplimiento Adopción Segura de Protección de identidades Nuevos modelos de negocio Nuevas tecnologías digitales y privacidad Outsourcing y trabajo desde el hogar Integridad y disponibilidad deAdopción de Virtualización Manejar la complejidad información para tomar decisiones y Cloud del cumplimiento de normativas al instante 7
  8. 8. Algunos resultados del estudio “2010 IBM Global IT Risk”Aéreas de Fortalezas Aéreas para mejorar de los encuestados se califican a la forma en que su66 % calificaron su forma de gestionar el riesgo de manera 34 % compañía mitiga los riesgos como “pobre o “promedio” general como:“buenos” o “expertos” ha aumentado el gasto en53 % gestión de riesgo para TI, durante el último año 47 % Dice que el planeamiento del riesgo se realiza en silos54 % posee una estrategia de continuidad de negocio bien desarrollada 46 % poseen un departamento encargado oficialmente de gestión de riesgos 83 % cree que ellos deben tener un rol mas importante en las estrategias de gestión del riesgo 8
  9. 9. Mayores retos para mejorar la gestión de riesgo Aunque más del 50% de los presupuestos se han mantenido igual o crecido, el 36% todavíaImplementar procesos necesarios 38% lucha con la obtención de una financiamiento para mitigar riesgos adecuado. Asegurar el presupuesto de 36% Los encuestados no identificó un fuerte proceso gestión de riesgo de comunicación de las políticas de gestión de riesgos. Trabajar en un departamento que posea una visión integral del 33% riesgo a nivel empresa A pesar de los beneficios empresariales asociados a la gestión de riesgos TI, asegurar el Comunicar políticas y apoyo de alta dirección sigue siendo un desafío 30% procedimientos a los empleadosLograr que la alta gerencia posea “Tenemos que madurar la imagen una visión holística de la gestión 25% de riego corporativa del área de Riesgos TI, identificarla como agragador de valorConvencer al superior de dejarme participar activamente en la 11% y facilitador del negocio, a través de gestión de riego todas las unidades de negocio” Aerospace and defense, North America 9
  10. 10. De las 5 tecnologías evaluadas las redessociales, plataformas móviles y cloud presentan la evaluación de mayor riesgo 64%Herramientas de 21% Redes sociales “Estamos preocupados por la 15% posibilidad de controlar con 54% seguridad el flujo de datos Plataformas . 27% hacia y desde dispositivos móviles 19% móviles de los empleados y como almacenarlo” 42% Manufacturing, North AmericaCloud computing 35% 24% 26% “Nos encontramos revisando Virtualización 31% las soluciones de Cloud, sin 43% embargo aún no hemos 25% perfeccionado la seguridad Architectura 42% de nuestras propias redes” Orientada a Healthcare, North America 34% Servicios Extradamente Algo riesgoso Moderadamente / nada de Riesgoso/Riesgoso riesgoso 10
  11. 11. La estrategia de IBM Security• Una forma de definir las capacidades de seguridad independiente de productos y soluciones.• Principios de arquitectura que son válidos en todos los ámbitos y entornos de implementación• Basados en investigación y muchos escenarios relacionados con el clientes• Una hoja de ruta para ayudar en el diseño e implementación de soluciones de seguridad Capacidades y IBM Security ofertas IBM Blueprint IBM Security Visión de Architectura Framework Visión Técnica Platform Component Configuration Foundational Common Security Visión de Negocio Security Mgmt Infrastructure Services features Technologies and Practices Standards & principles Dominios Seguridad Catálogo integrado de productos, Problemas e incentivos Describe los productos de servicios y soluciones manera agnóstica, basadoDescribe los problemas de en la experiencia delseguridad desde el punto cliente, estándares yde vista del negocio principios comunes AMPLIO DETALLADO 11
  12. 12. ¿Por Qué Funciona Nuestra Estrategia? Visión CompletaServicios Profesionales Security Information and Event Security Governance, Risk and GRC Management (SIEM) & Log ComplianceServicios Gestionados ManagementProductos Identity & Access Access Identity Management Management ManagementEn La Nube Data Loss Data Entitlement Data Security Prevention Management Encryption & Key Lifecycle Messaging Security Management E-mail Database Monitoring Security Data Masking & Protection Application Web Application Application Security Vulnerability Firewall Scanning Access & Entitlement Web / URL Filtering SOA Security Management Infrastructure Vulnerability Virtual System Endpoint Protection Security Assessment Security Threat Security Event Managed Intrusion Prevention Analysis Management Mobility Svcs System Firewall, IDS/IPS Mainframe Security Security Configuration MFS Audit, Admin & Management Compliance & Patch Management Physical Security 12
  13. 13. Ejemplo de proyecto de gestión de Riesgo Operacional de TINecesidad del Banco Internacional en Chile, con requerimientos normativos. Posee controles y procesos de maduroscliente de gestión de permisos en sistemas y aplicaciones. Necesita disminuir el esfuerzo en dichas tareas.  Implementa su proceso de gestión de identidades sobre una herramienta de SoftwareSolución  Realizar dicho proceso utilizando modelo de roles y permisos  Extiende la solución construyendo módulos ad-hoc para satisfacer sus necesidades Gestión de IdentidadesCapacidades Dashboard y visibilidad del cumplimiento de políticas al instante y manejo dedel Framework excepciones Integración con plataformas estándares, legacy y aplicaciones propietarias Automatización y mejora en el control de usuariosBeneficios Generación automatizada de información para auditoría Cambio de foco: Operativo -> Normativo Mejores SLAs y mejor apreciación por parte del negocio 13
  14. 14. Virtualización, un primer paso en el camino de Cloud Despliegue rápido de infraestructura y aplicaciones Cloud  Gestión de servicios Computing basado en requerimientos  Catalogo de ServiciosVirtualización Mejor utilización de HW Servicio integrado de gestión Mejora la agilidad de TI de ciclo de vida.  Expone los recursos como “un servicio”  Infraestructura de la seguridad Integrada  Aprovisionamiento veloz de recursos de TI, ampliable en gran escala Consolidación de servidores  Gestión de servicios  Agilizar la operación–gestión de dinámica sistemas físicos y virtuales  Ahorro de energía vía  Disminución consumo energético redistribución de cargas de trabajo. 14
  15. 15. Convergencia de Redes y Servidores: Pérdida de Visibilidad “La falta de Visibilidad y controles en las redes virtuales internas generadas por la comunicación VM-a-VM, ciega los actuales controles de seguridad” Fuente: Neil MacDonald, Gartner 15
  16. 16. Nuevos riesgos de la Virtualización Amenazas tradicionales Nuevas amenazas Amenazas tradicionales aplican a los ambientes virtuales Proliferación de VM Vuln —————————— Admin clients Reasignación dinámica —————————— Vuln vCenter Estado dinámico servers Vuln ——————————Vulnerabilidades Vuln Service Robo de VMAdministrativas Console——————————Asegurar el Vuln Virtualalmacenamiento de las Devices Pérdida de visibilidadVMs y los datos de Privilege ——————————administración d Access Intercambio de recursos————————— ——————————Requieres expertise Vuln Puntos comunes de fallaadicional Stealth rootkits en hardware —————————— Objetivos:Virtual NICs & Virtual Hardware MÁS COMPONENTES = MÁS EXPUESTOS 16
  17. 17. IBM Virtual Server Protection for VMware Ofrece la más amplia, integrada y profunda protección para ambientes virtualizados con un solo producto • Firewall • Integración con VMsafe • Detección de Rootkit • Intrusion Detection & Prevention • Análisis de tráfico entre VMs • Gestión segregada de VMs • Aplicación de política de red • Protección integrada con VMotion • Auto descubrimiento de VMs • Auditoría de Infraestructura Virtual (Monitoreo de usuarios privilegiados) • Protección de segmentos virtuales • Virtual NAC • Gestión Centralizada • Protección de Web Application • Virtual Patch 1717
  18. 18. Operación de TI y Seguridad debe ser eficiente y eficazTivoli Endpoint Manager permite a los clientes consolidar sus operaciones de TI y TI S e c u re = M a n a g e dfunciones de seguridad en una sola vista, el modelo de entrega y oferta de softwareAyuda a proveer• Visibilidad total• Control de calidad• Rapidez en remediación• Gran escalabilidad• Framework versátil Agente común de• Reducción de costos administración GESTIÓN DE GESTIÓN DEMediante Consola SISTEMAS administrativa SEGURIDAD• Gestión de configuración de seguridad y vulnerabilidades unificada• Gestión del ciclo de vida de los Infraestructura sistemas común• Protección de Endpoint• Gestión de consumo energético Tivoli Endpoint Manager ENDPOINT ENDPOINT MÓVILES ENDPOINT ESPECIFICOS TRADICIONALES 18
  19. 19. La visión integral de IBM Security Solutions Aplicar políticas, demostrar cumplimiento y mitigar amenazas 1919
  20. 20. IBM Security, la voz coordinada de Seguridad IBM ha establecido el servicio más eficiente y dinámico, cros-compañía para su portafolio de Seguridad TI, IBM es el asociado de confianza enlazando las áreas de investigación, entregando productos y servicios diseño, desarrollo, comercialización, reconocidos por su liderazgo enservicios y soporte para soluciones de Seguridad de TI seguridad en todo el mundo. La filosofía de IBM, Seguro por Diseño; en donde el factor Seguridad y Privacidad se utilizan en el diseño inicial y no luego que la solución ya es un hecho Las soluciones de IBM Security Solutions permites a los clientes ocuparse de las 3 C: Complejidad, Cumplimiento y Costo una voz coordinada de seguridad 20
  21. 21. Anexos 21

×