Riesgos en Entornos Corporativos (2009)

707 views

Published on

Cuáles son los riesgos para las empresas cuando se publican contenidos a través de entornos Web 2.0 y desde la perspectiva de la Identidad Digital.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
707
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Riesgos en Entornos Corporativos (2009)

  1. 1. Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br /> Gabriel Marcos, Product Manager<br />Datacenter, Security & Outsourcing – Latin America & Caribbean<br /> gabriel.marcos@globalcrossing.com<br />
  2. 2. © 2009 – Global Crossing<br />Introducción<br />
  3. 3. Riesgo<br />Por qué pensar en “Riesgo”?<br />Procesos<br />Oportunidades<br />Negocio<br />Acciones<br />Riesgo<br />Recursos<br />Amenazas<br />
  4. 4. Riesgo<br />Dos puntos de vista:<br />Empresa<br />Hacker<br />Activos<br />Beneficio<br />Vulnerabilidades<br />Dificultad<br />Riesgo<br />Motivación<br />
  5. 5. Ataques: Enfoque Tradicional<br />Paradigma:<br />Tecnología<br />(Hackers)<br />Personas<br />(Hackers)<br />Utilizan<br />Vulneran<br />Tecnología<br />(Empresa)<br />Personas<br />(Empresas)<br />Colaboran<br />Trabajan<br />Protegen<br />Negocio<br />
  6. 6. Ataques: Nuevo Enfoque<br />Evolución de los ataques:<br /><ul><li> Los métodos de protección evolucionan, y demandan ataques de mayor complejidad.
  7. 7. Es necesario encontrar alternativas a las vulnerabilidades en la tecnología.</li></li></ul><li>Ataques: Nuevo Enfoque<br />Requerimientos:<br /><ul><li> Beneficio económico de los ataques
  8. 8. Vulnerabilidades más fáciles de aprovechar
  9. 9. Ataques no dependientes de la tecnología
  10. 10. Amenazas difíciles de mitigar
  11. 11. Menor riesgo para el atacante (Anonimato)</li></li></ul><li>Ataques: Nuevo Enfoque<br />Objetivo: Menor Esfuerzo y Mayores Beneficios<br /><ul><li> Ingeniería Social
  12. 12. Procesos</li></ul>Vulnerabilidades asociadas a las Personas<br />
  13. 13. Ataques: Actualidad<br />Nuevo Paradigma:<br />Tecnología<br />(Hackers)<br />Personas<br />(Hackers)<br />Utilizan<br />Engañan<br />Vulneran<br />Engañan<br />Tecnología<br />(Empresa)<br />Personas<br />(Empresas)<br />Vulneran<br />Colaboran<br />Trabajan<br />Protegen<br />Negocio<br />
  14. 14. Ataques: Actualidad<br />Esfuerzo vs. Efectividad:<br />
  15. 15. Ataques: Actualidad<br />Dificultad de Mitigación:<br />Denial of Service<br />Ingeniería Social / Malware<br /> Firewall<br /> IDS<br /> Control de Acceso<br />Hardening<br />Patch Management<br /> Anti-malware (Virus/SPAM)<br />Change Management<br /> Host Firewall<br />Host IDS<br />Análisis de Vulnerabilidades<br /> Monitoreo de Incidentes<br /> Security Awareness<br /> Firewall<br /> IDS<br />
  16. 16. Ataques: Actualidad<br />La Combinación Perfecta (para los Hackers):<br />Personas<br />Activos<br />Procesos<br />Recursos<br />Identidad<br />Información<br />Confianza<br />Targets<br />RSS<br />Mash-ups<br />Pod<br />Blogs<br />Wikis<br />Social Nets<br />Tags<br />Tecnología<br />Web 2.0<br />
  17. 17. © 2009 – Global Crossing<br />Web 2.0 + Identidad Digital<br />
  18. 18. Web 2.0<br />Qué es Web 2.0?<br /><ul><li> Tecnologías “Web”
  19. 19. Conceptos:
  20. 20. Interacción
  21. 21. Convergencia
  22. 22. Usabilidad
  23. 23. Identidad Digital
  24. 24. Socialización
  25. 25. Dinamismo</li></li></ul><li>Web 2.0<br />Web 2.0 en Entornos Corporativos<br /><ul><li> Comunicación directa con clientes
  26. 26. Menor “time tomarket”
  27. 27. Aprovechamiento del contenido
  28. 28. Menor tiempo de desarrollo
  29. 29. Texto + Audio + Video
  30. 30. Menor costo
  31. 31. Mayor público</li></li></ul><li>Web 2.0<br />Web 2.0 en Entornos Corporativos<br />
  32. 32. Web 2.0<br />Web 2.0 en Entornos Corporativos<br />
  33. 33. Web 2.0<br />Aplicaciones Web 2.0:<br /><ul><li> E-commerce
  34. 34. E-learning
  35. 35. Collaboration
  36. 36. Knowledge
  37. 37. Networking
  38. 38. B2B / B2C
  39. 39. Advertising</li></li></ul><li>Web 2.0<br />Web 2.0 + Identidad Digital<br /><ul><li> Investigación de mercado
  40. 40. Contenido “a la medida”
  41. 41. Venta on-line
  42. 42. Intercambio de información
  43. 43. Partnerships
  44. 44. Efectividad / Targeting
  45. 45. Encuestas</li></li></ul><li>Identidad Digital<br />Trazabilidad Digital<br /><ul><li> La identidad digital acompaña a la persona.
  46. 46. A través de la identidad digital, es posible acceder a todos los ambientes en los que participa.</li></li></ul><li>© 2009 – Global Crossing<br />Web 2.0 + Identidad Digital:<br />Riesgos en Entornos Corporativos<br />
  47. 47. Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Nuevas Oportunidades (para los Hackers)<br />Personas<br />Empresas<br />Tecnología<br />Marcas<br />
  48. 48. Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Personas vs. Tecnologías y Personas<br />Cuáles son los riesgos?<br /><ul><li>Passwords
  49. 49. Información Personal
  50. 50. Información Comercial
  51. 51. “Auto-Fill”
  52. 52. Acceso a otros PCs
  53. 53. Autorización</li></li></ul><li>Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Personas vs. Tecnologías y Personas<br />Qué amenazas existen?<br /><ul><li> Captura de Identidad
  54. 54. Acceso a Sistemas Críticos
  55. 55. Fraude
  56. 56. Robo de Información
  57. 57. Espionaje
  58. 58. Phishing</li></li></ul><li>Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Personas y Empresas vs. Empresas<br />Cuáles son los riesgos?<br /><ul><li> Pérdida de clientes
  59. 59. Falsa información
  60. 60. Falsos Webparts
  61. 61. Robo de Identidad Corporativa
  62. 62. Venta de Nicknames
  63. 63. Robo de contactos</li></ul>Reuters http://twitter.com/reuters<br />CNN http://twitter.com/cnnbrk<br />Times http://twitter.com/nytimes<br />WHP (CBS-affiliate) http://twitter.com/whptv<br />Wired News http://twitter.com/wired<br />NPR http://twitter.com/nprnews<br />ZDNet http://twitter.com/zdnett<br />CNET News http://twitter.com/CNETNews<br />Revision3 http://twitter.com/revision3<br />Times OnLinehttp://twitter.com/TimesWorldNews<br />CBC News http://twitter.com/cbcnews<br />Orlando Sentinel http://twitter.com/orlandosentinel<br />Dell Outlethttp://twitter.com/DellOutlet<br />Direct2Dell http://twitter.com/Direct2Dell<br />Amazon.com Deals: http://twitter.com/amazondeals<br />Buy.com http://twitter.com/Buy_com<br />Forrester http://twitter.com/forrester<br />Deacons http://twitter.com/Deacons<br />PerkettPRhttp://twitter.com/PerkettPR<br />Q1Labs http://twitter.com/Q1Labs<br />GM http://twitter.com/GMblogs<br />Ford http://twitter.com/FoMoCoNA<br />…<br />
  64. 64. Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Personas vs. Marcas<br />Cuáles son los riesgos?<br /><ul><li> Desprestigio
  65. 65. Pérdida de valor de la marca
  66. 66. Menor precio por acción
  67. 67. Pérdida de socios estratégicos</li></li></ul><li>Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Personas vs. Marcas<br />Qué tan difundido está?<br />
  68. 68. Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Personas vs. Marcas<br />Cuánto vale una marca?<br />
  69. 69. Web 2.0 + Identidad Digital: Riesgos en Entornos Corporativos<br />Tecnologías<br />Vectores de Ataque Web 2.0<br /><ul><li> Cross-site scripting (AJAX)
  70. 70. XML poisoning
  71. 71. Maliciouscode (AJAX)
  72. 72. RSS injection
  73. 73. WSDL scanning
  74. 74. Cross-sitevalidation (AJAX)
  75. 75. Web services
  76. 76. SOAP manipulation
  77. 77. XPATH Injection
  78. 78. RIA manipulation</li></li></ul><li>© 2009 – Global Crossing<br />Recomendaciones<br />
  79. 79. Recomendaciones<br /><ul><li> Realizar mediciones de Riesgo y Vulnerabilidades de forma recurrente.
  80. 80. Implementar auditorias de código y procesos de calidad para el desarrollo de aplicaciones Web 2.0.
  81. 81. Aislar componentes de terceras partes en ambientes seguros.
  82. 82. Conservar registros de todas las transacciones… y verificarlos!
  83. 83. Evitar el uso de “proxies AJAX”.
  84. 84. Alinear los desarrollos tecnológicos a la estrategia de branding.
  85. 85. Gestionar IT&C según buenas prácticas y procesos probados (ej: ITIL, ISO 27000, ISO 9000).</li></li></ul><li>© 2009 – Global Crossing<br />¿Quién tiene la primera pregunta?<br />
  86. 86. © 2009 – Global Crossing<br /> Muchas GRACIAS!<br />Gabriel Marcos, Product Manager<br />Datacenters, Security & Outsourcing – Latin America & Caribbean<br />gabriel.marcos@globalcrossing.com<br />

×