Seguridad Inteligente (2009)

3,618 views
3,392 views

Published on

Conceptos sobre qué significa la gestión inteligente del riesgo asociado a Seguridad de la Información.

Published in: Business, Technology
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,618
On SlideShare
0
From Embeds
0
Number of Embeds
29
Actions
Shares
0
Downloads
0
Comments
0
Likes
6
Embeds 0
No embeds

No notes for slide

Seguridad Inteligente (2009)

  1. 1. Seguridad Inteligente<br /> Gabriel Marcos, Product Manager<br />Datacenter, Security & Outsourcing – Latin America & Caribbean<br /> gabriel.marcos@globalcrossing.com<br />
  2. 2. © 2009 – Global Crossing<br />Definición<br />
  3. 3. ¿Qué es “Seguridad Inteligente”?<br /><ul><li> ¿Es un producto de software / hardware?
  4. 4. ¿Es una “nueva tendencia”?
  5. 5. ¿Es un servicio? ¿Una modalidad de un servicio?</li></ul>En primera instancia, es un concepto que determina requerimientos para un sistema de gestión de la seguridad…<br />
  6. 6. Lo único seguro: el Riesgo<br /><ul><li> Las amenazas se vuelven más sofisticadas;
  7. 7. Cada parte de la cadena de valor es susceptible de fallas;
  8. 8. Las motivaciones de los atacantes evolucionan;
  9. 9. Los sistemas de protección mejoran, pero las aplicaciones y sistemas operativos se vuelven más complejos!</li></ul>Gestionar la seguridad, es gestionar el Riesgo<br />El objetivo no es “RIESGO $0”, sino gestionarlo!<br />¿Qué sería hacerlo de forma “inteligente”?<br />
  10. 10. ¿Qué es “inteligencia”?<br />http://buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LEMA=inteligencia<br />inteligencia.<br />(Del lat. intelligentĭa).<br />1. f. Capacidad de entender o comprender.<br />2. f. Capacidad de resolver problemas.<br />3. f. Conocimiento, comprensión, acto de entender.<br />4. f. Sentido en que se puede tomar una sentencia, un dicho o una expresión.<br />5. f. Habilidad, destreza y experiencia.<br />6. f. Trato y correspondencia secreta de dos o más personas o naciones entre sí.<br />7. f. Sustancia puramente espiritual.<br />
  11. 11. “Seguridad” + “Inteligencia”<br /><ul><li> Podemos interpretar a la “Seguridad Inteligente” como:
  12. 12. Sistemas de gestión del riesgo de la seguridad de la información, con la capacidad de detectar amenazas de alta complejidad.
  13. 13. Por lo tanto, la “Seguridad Inteligente” se obtiene a través de la combinación de distintos factores, tanto tecnológicos como humanos y procedurales.
  14. 14. Profundizando un poco más…</li></li></ul><li>Definición<br />Gestión del riesgo con mejora continua de políticas, procesos y procedimientos<br />Sistemas de Gestión <br />del Riesgo<br />Protección y control de los activos de información, en todos sus formatos<br />Seguridad de la Información<br />Alertas, Alarmas, Incidentes: Reactivos, Proactivos, Potenciales<br />Capacidad de detectar<br />Evolución de la complejidad sobre la media de las amenazas<br />Amenazas de alta complejidad<br />
  15. 15. © 2009 – Global Crossing<br />Sistemas de Gestión del Riesgo<br />
  16. 16. Sistemas de Gestión del Riesgo:Impacto en el Negocio<br />Estudio sobre Delito Digital 2008 - Argentina<br />
  17. 17. Sistemas de Gestión del Riesgo:Objetivos<br /><ul><li> Los objetivos de un proceso de gestión del riesgo son:
  18. 18. Conocer, detalladamente, todos los activos de la organización, considerando:
  19. 19. Impacto en el negocio
  20. 20. Amenazas a las que se encuentran expuestos
  21. 21. Grado de exposición
  22. 22. Probabilidad de ocurrencia de las amenazas
  23. 23. Implementar controles que reduzcan el nivel de exposición de la organización a límites aceptables
  24. 24. Actualizar periódicamente la información
  25. 25. Administrar la aplicación de los controles según el modelo PDCA</li></li></ul><li>Sistemas de Gestión del Riesgo:Clasificación de los riesgos<br /><ul><li> Para cada activo, los riesgos se clasifican de acuerdo al criterio de amenazas y vulnerabilidades:</li></ul>Tipos de Activo<br />Activo<br />Amenazas<br />Vulnerabilidad<br />
  26. 26. Sistemas de Gestión del Riesgo:Matriz de Riesgo<br /><ul><li> La matriz de riesgo es un indicador genérico de la situación de riesgo general de una compañía o proceso:</li></li></ul><li>Sistemas de Gestión del Riesgo:Proceso de Gestión del Riesgo<br />
  27. 27. Sistemas de Gestión del Riesgo:Aplicación de controles<br />PLAN<br />DO<br />CHECK<br />ACT<br />
  28. 28. © 2009 – Global Crossing<br />Seguridad de la Información<br />
  29. 29. Seguridad de la Información<br />ISO 27001 = toda la problemática de la seguridad y la gestión del riesgo, organizada en 11 dominios.<br />Política de seguridad<br />Organización de información<br />Administración de activos<br />Recursos Humanos<br />Seguridad Física y Ambiental<br />Operaciones y Comunicaciones<br />Control de Acceso<br />Sistemas de Información<br />Gestión de Incidentes<br />Continuidad del Negocio<br />Cumplimiento regulatorio<br />
  30. 30. Seguridad de la Información<br />ISO 27001 ayuda a resolver los problemas más críticos, que son comunes a todas las empresas.<br />CONTINUIDAD DEL NEGOCIO<br />CONCIENTIZACION<br />SEGURIDAD DEL SOFTWARE<br />CONFIDENCIALIDAD<br />CONTROLES DE ACCESO<br />GESTION DE RIESGO<br />SEGURIDAD FÍSICA<br />MANEJO DE INCIDENTES<br />NORMAS Y LEYES<br />SEGURIDAD LOGICA<br />
  31. 31. Seguridad de la Información<br />ISO 27001 tiene puntos en común con muchas normas nacionales e internacionales.<br />
  32. 32. Seguridad de la Información<br />Riesgo = ¡posibilidad de pérdidas económicas!<br /><ul><li> La gestión de riesgo (“Risk Management”) es un proceso clave incluido en todas las normas más aceptadas globalmente: ISO 27001, BS 25999, ITIL, COBIT, etc.
  33. 33. Aunque es principalmente mantenido por el área de IT, es observado con mucho cuidado por Finanzas.
  34. 34. ISO 27001 es la forma más fácil y completa de implementar un proceso seguro de gestión del riesgo.</li></li></ul><li>© 2009 – Global Crossing<br />Capacidad de Detectar<br />
  35. 35. Capacidad de detectar<br /><ul><li> Las amenazas se vuelven más sofisticadas;
  36. 36. Cada parte de la cadena de valor es susceptible de fallas;
  37. 37. Las motivaciones de los atacantes evolucionan;
  38. 38. Los sistemas de protección mejoran, pero las aplicaciones y sistemas operativos se vuelven más complejos!</li></ul>“Todo lo que se puede medir, se puede mejorar”<br />[Peter Drucker]<br />
  39. 39. Capacidad de detectar<br />Activos amenazados: información confidencial, datos sensibles, correo, comercio digital, usuarios, contraseñas, fuga de información, usuarios mal intencionados, hacking, incumplimientos, etc.<br />
  40. 40. Capacidad de detectar<br /><ul><li>SIEM: Security and InformationEvent Management</li></ul> Almacenamiento de información:<br /><ul><li>Grandes volúmenes de información
  41. 41. Múltiples orígenes</li></ul> Generación de reportes:<br /><ul><li>A medida
  42. 42. Cumplimiento de normas</li></ul> Gestión de amenazas:<br /><ul><li>Manejo de incidentes
  43. 43. Gestión de alarmas</li></li></ul><li>Capacidad de detectar<br /><ul><li>SIEM: </li></ul> “Facilita” el proceso…<br />…pero no lo “reemplaza”<br /><ul><li> Las estructuras de control (Separación de Funciones, Recursos Humanos, etc.) son condición necesaria para la implementación del concepto de SIEM.</li></li></ul><li>Capacidad de detectar<br /><ul><li>SIEM + ISO 20000 + ISO 27001 = sistema de gestión de incidentes, amenazas, problemas, eficiencia operativa, calidad, satisfacción, seguridad, riesgo, compliance…</li></li></ul><li>© 2009 – Global Crossing<br />Amenazas de alta complejidad<br />
  44. 44. Vulnerabilidades<br /><ul><li> Las vulnerabilidades que más crecen… son las más peligrosas!</li></ul>Microsoft Security IntelligenceReport<br />
  45. 45. Amenazas de alta complejidad<br /><ul><li>Botnets:
  46. 46. SPAM
  47. 47. DDoS (DistributedDenial of Service)
  48. 48. Malware hosting
  49. 49. Hosting de contenido ilegal
  50. 50. Fraude digital
  51. 51. SearchEngines
  52. 52. DNS Spoofing
  53. 53. Malware:
  54. 54. SPAM
  55. 55. IM (InstantMessaging)
  56. 56. Redes Sociales
  57. 57. XSS
  58. 58. Ajax
  59. 59. Worms
  60. 60. Phishing
  61. 61. Cross-site-scripting</li></ul>…y una larga lista de “etcéteras”!<br />
  62. 62. Amenazas de alta complejidad<br />
  63. 63. Amenazas de alta complejidad<br />
  64. 64. Amenazas de alta complejidad<br />Microsoft Security IntelligenceReport<br />
  65. 65. Amenazas de alta complejidad<br />
  66. 66. Amenazas de alta complejidad<br />
  67. 67. Amenazas de alta complejidad<br />
  68. 68. © 2009 – Global Crossing<br />Recomendaciones<br />
  69. 69. Recomendaciones<br /><ul><li>La inteligencia está en el conjunto:
  70. 70. Herramientas
  71. 71. Recursos Humanos
  72. 72. Procesos
  73. 73. Utilizar las referencias normativas, principalmente:
  74. 74. ITIL / ISO 20000
  75. 75. ISO 27000
  76. 76. Implementar, en este orden:
  77. 77. Procesos
  78. 78. Herramientas SIEM</li></li></ul><li>© 2009 – Global Crossing<br />¿Quién tiene la primera pregunta?<br />
  79. 79. © 2009 – Global Crossing<br /> Muchas GRACIAS!<br />Gabriel Marcos, Product Manager<br />Datacenter, Security & Outsourcing – Latin America & Caribbean<br />gabriel.marcos@globalcrossing.com<br />

×