Presentacion De Servicios Y Soluciones De Mageni

Consultoría de Seguridad de Sistemas
TRANSFORMANDO LA SEGURIDAD EN UN ACELERADOR DEL NEGOCIO
Jonathan Jaquez
Chief Technical Officer
Mageni | “Seguridad para Innovación”
(809) 846 6724
jejaquez@mageni.net
09.23.09
© 2009 Mageni Networks, Todos los derechos reservados.

Visión de la Seguridad
Un ambiente seguro es esencial para las organizaciones entregar a sus clientes productos y servicios diferenciados, y tomar ventaja de las oportunidades de crecimiento. Un ambiente de tecnología seguro influye positivamente en la confianza de los inversionistas y clientes, agregándole valor a la empresa. Esto se traduce en grandes beneficios para el negocio.

Retos de la Seguridad de las TI

Administración eficiente y efectiva del riesgo en la información
Validación de la seguridad y testeo
Garantizar la auditabilidad de las operaciones
Mantener y probar el plan de respuesta a incidentes
Identificación y administración efectiva de los riesgos de las TI
Mejorar la seguridad con presupuesto limitado
Satisfacer los requerimientos de las regulaciones y marcos de seguridad que apliquen.
Los riesgos crecen mas rápido que la inversión de seguridad
Presión para demostrar el riesgo
El programa de seguridad debe agregar valor al negocio

Innovación de las Amenazas
Los ataques son dirigidos y metódicamente elaborados
Bandas de criminales trabajan arduamente para captar nuevos “mercados” (victimas)
Las victimas en su mayoría son bancos y medianas empresas
La tasa de los ataques esta acelerándose
El crimen cibernético es una industria vertical

Instituciones Financieras Atacadas por Mes
Fuente: RSA Fraud Report Jun’09

Países mas Atacados por Marcas
Fuente: RSA Fraud Report Jun’09

Costo Estimado por Incidentes
Fuente: UK Dept. of Trade and Industry

Factores que Incrementan el Riesgo
Marketing
Nuevas tecnologías
Nuevas aplicaciones y productos
Éxito
Poca seguridad
Desconocimiento de la sensibilidad situacional
Requerimientos de estándares (PCI DSS, CobiT, ITIL, ISO, etc)
Tecnologías y aplicaciones con ciclo de vida agotado
Aplicaciones sin S-SDLC (Secure Software Development Life Cycle)
Cada uno de estos factores se convierte en un indicador clave de la necesidad de pruebas de penetración.

La constante evolución de las amenazas
De buscar fama a buscar dinero
Crecimiento de los negocios
El riesgo es proporcional al crecimiento
Crecimiento acelerado de servicios y redes IP
Acelera exponencialmente el riesgo
Rápido crecimiento de la data
La data es la nueva moneda
Los costos de seguridad crecen 3x en relación al presupuesto
Impedimento para ejecutar los planes completamente
Regulaciones y estándares como PCI DSS y CobiT
Dirigen las inversiones de seguridad

La Tormenta Perfecta

Tendencias en la Explotación de Riesgos
Numero de Vulnerabilidades

Impacto del Cross Site Scripting (XSS)
6
1
2
3
4
5
A traves de un canal encriptado (HTTPS) para mitigar ser detectado el intruso extrae la data de la empresa,
El atacante pone malware en un sitio de confianza
Un empleado es infectado por el malware y recibe un troyano
El hacker obtiene el password de administrador de la PC
Usando el password de administrador gana acceso a una PC segura
El hacker usa otra cuenta con privilegios de administrador para ganar acceso al controlador del dominio
Web Confiable
DNS
WWW
Internet
Controlador de Dominio
Servidor con Secretos
Red Corporativa
Hacker
Windows con Cliente
Sin Parcho de Seguridad
Windows con
Parchos de Seguridad

Anatomía de la Inyección de Comandos SQL
1
2
3
4
Un hacker inyecta comandos SQL a la BD a través de un E-Banking
Extrae la base de datos e instala malware (troyanos y sniffers)
Gana privilegios de SA e Instala malware (troyanos y sniffers)
Escala privilegios a traves de la red local con los permisos de SA
WWW
BDB
Internet
Red Corporativa
WWW
BDA
Hacker

Ventana de Troyano sobre un E-Banking
Unavezlas credenciales son robadas, la ventana del troyano desaparece, entregando al hacker las credenciales validas.
La ventana maliciosa es puesta sobre la ventana legitima sin interaccion del usuario.
Caballo de troya activado al momento de la victima visitar el banco.
13

Nuestros Servicios de Consultoría
Administración de Riesgos
Evaluación de Riesgos
Sensibilidad Situacional (SA)
Análisis del Impacto al Negocio (BIA)
Análisis Riesgo versus Recompensa
Análisis SWOT
Asesoría de Riesgos de TI
Prevención del Fraude Electrónico
Alineación del ERM con ISO 31000
Evaluación de la Seguridad
Pruebas de Penetración
Evaluación de Vulnerabilidades
Auditoria de la Seguridad
Respuesta a Incidentes
Auditoria Forense
Diseño de Planes Estratégicos
Políticas de Seguridad
Mapa Estratégico de la Seguridad
Prevención de Perdida de Datos
BCP (BS 25999)
Respuesta a Incidentes (IRP)
Administración de Vulnerabilidades
IT GRC (Gobierno, Riesgo y Cumplimiento)
Evaluación de la Preparación para GRC
Alineación de los objetivos, metas y requerimientos del negocio con seguridad, riesgos y cumplimiento
Evaluación de la Madurez de los Procesos y Efectividad del GRC
Seguridad de las Aplicaciones Web
Modelado de Riesgos
Prueba de Penetración
Análisis de Vulnerabilidades
Evaluación de Productos
Integración de Seguridad al SDLC
Educación
Concientización de Seguridad
Hackeo Ético
Anti-Fraude Electrónico
Modelado de Riesgos
Estándares
Basilea II
ISO 27001
ISO 31000
CobiT
PCI DSS

Evaluación de la Seguridad
Requisito de PCI DSS 2.2, 6.2, 11.2, 11.1, 11.3 y DS5.5 de CobiT

Servicios de Auditoria de la Infraestructura

Metodología SPEAR
Strategic Penetration Analysis and Research

SPEAR
Una metodología de penetración que permite probar un sistema contra cualquier potencial vulnerabilidad, emulando un ataque real de atacantes expertos, bien motivados y equipados, que involucra la explotación activa de las vulnerabilidades técnicas y lógicas de un sistema, usando sofisticadas técnicas de penetración y ethical hacking permitiendo convertir cada ataque en una poderosa lanza dirigida para penetrar el sistema, proveyendo útiles reportes con sentido para el negocio y la alta administración.

Historia de SPEAR
Se ha demostrado que las pruebas de penetración de hoy son en su mayoría un análisis de vulnerabilidades, y no pueden cubrir todos los ángulos y vectores que un atacante experto cubre cuando busca comprometer una empresa.
SPEAR nació de la necesidad de proveer a las organizaciones publicas y privadas de pruebas de penetración pro-activas que detecten todos los vectores de ataques que usarían atacantes habilidosos, llenos de motivación, tiempo, recursos económicos y con las herramientas correctas para comprometer los recursos y activos de la empresa.

Pen-Test - VA - Auditoria

Desarrollo de Metodología SPEAR

Beneficios de Auditar la Infraestructura
Una ventaja competitiva – Eficiencia, Ahorro y Resultados
Previene las interrupciones de servicios, perdidas económicas; robo de propiedad intelectual, información crediticia y daños a la imagen corporativa
Encuentra donde su organización y sistemas son vulnerables antes que los hackers lo hagan
Identifica los riesgos que afectan a su organización y las soluciones para reducir, transferir, mitigar o aceptar el riesgo
Mejora las habilidades de su Staff para prevenir, detectar, y responder a amenazas futuras
Añade valor a las operaciones de la empresa
Satisface los requisitos de PCI DSS 2.2, 6.2 11.1, 11.2 y 11.3
Cumple con el objetivo de control DS5.5 de CobiT
Eleva el nivel de confianza de los interesados

Requisito de PCI DSS 6.3.1, 6.5, 11.1, 11.3, y DS5.5 de CobiT

Metodología Seguridad de las Aplicaciones

Beneficios de Asegurar las Aplicaciones
Una ventaja competitiva – Eficiencia, Ahorro y Resultados
Hereda los beneficios de SPEAR
Encuentra donde sus aplicaciones son vulnerables antes que los hackers lo hagan.
Satisface los requisitos de PCI DSS 6.3.1 y 6.5
La modelación de riesgos ayuda a ahorrar CAPEX en los proyectos de desarrollo
Integra la seguridad desde la concepción de las aplicaciones ayudando a solucionar vulnerabilidades que podrían ser muy costosas o imposibles de corregir una vez puestas en producción
Mitiga los riesgos que están en Internet que podrían afectar su imagen corporativa
Protege la información de sus clientes
Integra la seguridad al proceso de QA de una aplicación, mejorando la calidad y confiabilidad de la misma

Diseño de Planes Estratégicos de Seguridad
Requisito de PCI DSS 10 y DS5.2 de CobiT

Diseño de Planes Estratégicos de Seguridad

Beneficios de los Planes Estratégicos
Previene de forma eficiente y costo-efectiva los riesgos y amenazas de seguridad
Eleva el nivel de cumplimiento con los regulaciones y normativas como ISO 27001, PCI DSS y CobiT 4.1
Agrega valor a la seguridad y tecnología
La administración de riesgos es una excelente herramienta para justificar CAPEX
Ayuda a proteger la propiedad intelectual
Eleva el desempeño y efectividad de las tecnologías y la seguridad de la información
Ayuda a mejorar el desempeño de la inversión

Educación de Seguridad
“An ounce of prevention is worth a pound of cure.“ Benjamin Franklin

Educación de Seguridad

Beneficios de la Educación en Seguridad
Dele a su empresa una ventaja competitiva mostrando a sus clientes cuan importante es para usted la seguridad de ellos. Un plan de educación anti-fraude electrónico para los clientes es una necesidad que debería estar en sus planes de retención de clientes ya que incrementa la confianza de los mismos en su empresa
Creando una cultura de seguridad se mejora el desempeño de los usuarios internos y se mitigan los riesgos
La modelación de riesgos ayudara a los desarrolladores a crear aplicaciones seguras desde antes de comenzar a escribir código, a reducir costos de manejo de los proyectos y evitar errores de programación que podrían ser sumamente costosos
Provee una mejor protección, el principal componente de seguridad de un sistema es el ser humano

Preparación para Responder y Minimizar los Incidentes

Beneficios de la Respuesta a Incidentes
Minimiza el impacto de un incidente de seguridad
Facilita la aplicación de medidas legales contra los hackers
Provee confianza a los interesados
Reduce costos
Reduce las perdidas que podría ocasionar un incidente de seguridad

Gestión de TI, Administración de Riesgo y Cumplimiento
Requisito de CobiT ME3.3, 3.4, ME2.7, ME1.4 y ME4

Gestión, Riesgo y Cumplimiento
Gestión: Afinar las estrategias y objetivos del negocio, determinar el apetito de riesgo, establecer la cultura y valores, desarrollo de las políticas internas y monitoreo del desempeño y madurez.
Administración de Riesgos: Identificar y evaluar los riesgos que podrían afectar la habilidad de la empresa para lograr sus objetivos y llevar a cabo sus estrategias, y aplicar la administración de riesgos para ganar ventaja competitiva y determinar las estrategias para responder a los riesgos y las actividades de control.
Cumplimiento: Operar de acuerdo a los objetivos de control, adheridos a las regulaciones, políticas internas, procedimientos y compromiso de la administración.

Gestión, Riesgo y Cumplimiento
GRC provee un marco y metodología para habilitar a los responsables de manejar el negocio dar confianza a los interesados y reguladores que las regulaciones y objetivos corporativos son satisfechos.

Rendición de Cuentas
Corporativa
Crece la Conciencia de los Interesados
“Están manejando responsablemente los riesgos corporativos?”
“Estamos protegiendo las personas, clientes y sus ambientes?”
“Estas calificado para ser parte de nuestra cadena de suplidores?”
“Están ellos cumpliendo con DSS y CobiT?
Inversionistas
Empleados
“Son sus productos en línea seguros?”
“Todo se esta conduciendo con ética?”
Socios/Compras
Industria
Clientes
Comité de Ética

¿Por qué las Empresas Necesitan un ERM?
Objetivos y Metas
del Negocio
Procesos y Actividades del Negocio
ENTERPRISE RISK MANAGEMENT
Identifica, analiza, responde y monitorea los obstáculos que pueden impedir a los procesos y actividades del negocio el lograr los objetivos y metas del negocio.

Las Empresas Riesgo-Inteligentes
Riesgo y recompensa se basa en el análisis de la gestión y el proceso de toma de decisiones para la creación de valor y la protección
Existe un proceso sistemático para identificar, evaluar y dar prioridad a todos los riesgos empresariales de misión crítica
Hay gente, procesos y sistemas para desarrollar apropiadas y rentables soluciones de reducción del riesgo
Hay una capacidad de administración sostenible de gestión riesgo/recompensa para sostener una ventaja competitiva
La información correcta está disponible en el momento adecuado y en el lugar correcto
Esta establecido un comité de riesgo que monitorea los riesgos y el desempeño de los controles

La Fragmentación Incrementa el Riesgo
Comité de Auditoria
Monitorear y Evaluar
Compliance y Riesgo Análisis de Riesgos
SALARIES
Operaciones de TI
Protección de la Información y seguridad
Compras
Necesita adquirir la mejor tecnología
Ejecutivos y Directores
Estrategia corporativa y desempeño
Finanzas
Necesita confiabilidad e integridad de la data
?
Cadena de Suplidores
Clientes y Canales

GRC Unificado

Mejor Alineación = Ventaja Estratégica
Monitoree los
Riesgos
Responda a los
Riesgos
Defina Indicadores
Riesgo / KRI’s
Identifique los
Riesgos
Defina el Perfil de
Riesgo
Monitoree las
Estrategias
Controle las Iniciativas
Establezca Criterios
de éxito / KPI’s
Define los
Objetivos
Define Categoria
Estrategicas
1
2
3
Analizar el desempeño y curso correcto
Desarrollar una Estrategia de Riesgos-Inteligente
Desarrollar el Plan para
Ejecutar la Estrategia

¿Haremos proyecciones?
¿Hay aberraciones en los pronósticos?
¿Cual es la causa principal de la disparidad?
¿Cuales son sus metas estratégicas?
¿Que riesgos existen que puedan impactar las metas?
¿Que iniciativas controlaran la ejecución de la estrategia y mitigaran el riesgo?
¿Que KPIs y categorías de riesgos deben ser monitoreados?

Proceso de Planeación Estratégica
Proceso de Administracion de Riesgos

Resultados: GRC Unificado
Ejecutivos
Comité de Auditoria
Evidencia para decisiones y directivos
Confianza en las decisiones del negocio
Oficina de Riesgo
Análisis de Riesgo Integral
Finanzas
Data integra y confiable
SALARIES
Operaciones de TI
Infraestructura de TI Segura
Servicio
Accesible Confiable y Seguro
Compras
Adquisición Asertiva de Tecnológica
Suplidores
Clientes y Canales

Beneficios del GRC Unificado
Reduce costos y simplifica las operaciones de TI unificando su gestión de TI, riesgos y cumplimiento
Simplifica el cumplimiento de los OC de CobiT ME3.3, 3.4, ME2.7, ME1.4 y el proceso ME4
Incrementa el desempeño de los procesos
Eleva el nivel de madurez de la organización
Mejora la seguridad y el cumplimiento
Optimiza el desempeño de los objetivos de control
Administra el riesgo de forma integral
Ayuda a identificar y beneficiarse de las fortalezas, oportunidades, debilidades y amenazas de las TI
Incrementa la visibilidad en el desempeño y efectividad de la Gestión de TI, administración de riesgos y cumplimiento
Incrementa la protección de los datos identificando oportunidades de mejora de los procesos

¿Quién es Mageni?
Elegido por el MIT (Instituto de Tecnología de Massachusetts) y la Universidad de Harvard en el 2007 para ser parte del MIT E-Lab bajo el nombre “Cassandra Networks”
Mas de 8 años de experiencia en seguridad y pruebas de penetración
5 años de análisis, investigación y desarrollo de productos y servicios de seguridad
Experiencia en la implementación de CobiT 4.1, PCI DSS e ISO 27001
Excelente balance entre conocimiento técnico y administrativo
Mageni es una palabra Hebrea que significa: Mi Escudo, Mi Defensor y Mi Protector.

¿Por qué los Servicios de Mageni?
Costos efectivos y facturación flexible, crédito de hasta 90 días para pagar sin penalidad ni sobrecargos.
Satisfacen el cumplimiento regulatorio y gobierno de TI
Eficiente y efectiva identificación y administración del riesgo
Proveen seguridad integral de los recursos y activos de tecnología
Elevan el nivel de madurez de las TI y Seguridad
Garantizan una ventaja estratégica
Provee soluciones rentables para la efectiva reducción del riesgo
Mejor protección contra ataques sofisticados
Previenen la perdida económica de datos y propiedad intelectual
Ayudan a una eficiente y efectiva gestión de TI
Añaden valor al negocio
Elevan el nivel de confianza de los interesados
Previenen daños a la imagen corporativa

Jonathan Jaquez
Chief Technical Officer
Mageni Networks
http://www.mageni.net
Email: jejaquez@mageni.net
Móvil: 809.846.6724