Conceptos sobre qué significa la gestión inteligente del riesgo asociado a Seguridad de la Información.

1. Seguridad Inteligente Gabriel Marcos, Product Manager Datacenter, Security & Outsourcing – Latin America & Caribbean gabriel.marcos@globalcrossing.com

2. © 2009 – Global Crossing Definición

4. ¿Es una “nueva tendencia”?

5. ¿Es un servicio? ¿Una modalidad de un servicio?En primera instancia, es un concepto que determina requerimientos para un sistema de gestión de la seguridad…

7. Cada parte de la cadena de valor es susceptible de fallas;

8. Las motivaciones de los atacantes evolucionan;

9. Los sistemas de protección mejoran, pero las aplicaciones y sistemas operativos se vuelven más complejos!Gestionar la seguridad, es gestionar el Riesgo El objetivo no es “RIESGO $0”, sino gestionarlo! ¿Qué sería hacerlo de forma “inteligente”?

10. ¿Qué es “inteligencia”? http://buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LEMA=inteligencia inteligencia. (Del lat. intelligentĭa). 1. f. Capacidad de entender o comprender. 2. f. Capacidad de resolver problemas. 3. f. Conocimiento, comprensión, acto de entender. 4. f. Sentido en que se puede tomar una sentencia, un dicho o una expresión. 5. f. Habilidad, destreza y experiencia. 6. f. Trato y correspondencia secreta de dos o más personas o naciones entre sí. 7. f. Sustancia puramente espiritual.

12. Sistemas de gestión del riesgo de la seguridad de la información, con la capacidad de detectar amenazas de alta complejidad.

13. Por lo tanto, la “Seguridad Inteligente” se obtiene a través de la combinación de distintos factores, tanto tecnológicos como humanos y procedurales.

15. © 2009 – Global Crossing Sistemas de Gestión del Riesgo

16. Sistemas de Gestión del Riesgo:Impacto en el Negocio Estudio sobre Delito Digital 2008 - Argentina

18. Conocer, detalladamente, todos los activos de la organización, considerando:

19. Impacto en el negocio

20. Amenazas a las que se encuentran expuestos

21. Grado de exposición

22. Probabilidad de ocurrencia de las amenazas

23. Implementar controles que reduzcan el nivel de exposición de la organización a límites aceptables

24. Actualizar periódicamente la información

27. Sistemas de Gestión del Riesgo:Aplicación de controles PLAN DO CHECK ACT

28. © 2009 – Global Crossing Seguridad de la Información

29. Seguridad de la Información ISO 27001 = toda la problemática de la seguridad y la gestión del riesgo, organizada en 11 dominios. Política de seguridad Organización de información Administración de activos Recursos Humanos Seguridad Física y Ambiental Operaciones y Comunicaciones Control de Acceso Sistemas de Información Gestión de Incidentes Continuidad del Negocio Cumplimiento regulatorio

30. Seguridad de la Información ISO 27001 ayuda a resolver los problemas más críticos, que son comunes a todas las empresas. CONTINUIDAD DEL NEGOCIO CONCIENTIZACION SEGURIDAD DEL SOFTWARE CONFIDENCIALIDAD CONTROLES DE ACCESO GESTION DE RIESGO SEGURIDAD FÍSICA MANEJO DE INCIDENTES NORMAS Y LEYES SEGURIDAD LOGICA

31. Seguridad de la Información ISO 27001 tiene puntos en común con muchas normas nacionales e internacionales.

33. Aunque es principalmente mantenido por el área de IT, es observado con mucho cuidado por Finanzas.

36. Cada parte de la cadena de valor es susceptible de fallas;

37. Las motivaciones de los atacantes evolucionan;

38. Los sistemas de protección mejoran, pero las aplicaciones y sistemas operativos se vuelven más complejos!“Todo lo que se puede medir, se puede mejorar” [Peter Drucker]

39. Capacidad de detectar Activos amenazados: información confidencial, datos sensibles, correo, comercio digital, usuarios, contraseñas, fuga de información, usuarios mal intencionados, hacking, incumplimientos, etc.

46. SPAM

47. DDoS (DistributedDenial of Service)

48. Malware hosting

49. Hosting de contenido ilegal

50. Fraude digital

51. SearchEngines

52. DNS Spoofing

53. Malware:

54. SPAM

55. IM (InstantMessaging)

56. Redes Sociales

57. XSS

58. Ajax

59. Worms

60. Phishing

61. Cross-site-scripting…y una larga lista de “etcéteras”!

62. Amenazas de alta complejidad

63. Amenazas de alta complejidad

64. Amenazas de alta complejidad Microsoft Security IntelligenceReport

65. Amenazas de alta complejidad

66. Amenazas de alta complejidad

67. Amenazas de alta complejidad

68. © 2009 – Global Crossing Recomendaciones

70. Herramientas

71. Recursos Humanos

72. Procesos

73. Utilizar las referencias normativas, principalmente:

74. ITIL / ISO 20000

75. ISO 27000

76. Implementar, en este orden:

77. Procesos

79. © 2009 – Global Crossing Muchas GRACIAS! Gabriel Marcos, Product Manager Datacenter, Security & Outsourcing – Latin America & Caribbean gabriel.marcos@globalcrossing.com