Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA DE LA

Anuncio 
PLANEACIÓN ESTRATÉGICA
DE LA SEGURIDAD DE LA
INFORMACIÓN
Ramiro Merchán – CISA , GSEC
DIGIWARE DE COLOMBIA
AGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
AGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
Una mirada actual…
REGULACION
40+
countries have
adopted
e-commerce
laws
OPERACION
ISO 27001
FISMA
CIRCULAR
834
CIRCULAR
052
GLBA
PATRIOT
Basel II
NERC
AS/NZS4360
Sarbanes-Oxley
EU Data Protection
Privacy
PCI Security Standard
Consolidacion infraestructura
Complejidad IT
Interoperabilidad diversos sistemas
Demanda de conectividad y disponibilidad
Flexibilidad a cambios tecnológicos
Administración sistemas de seguridad
SEGURIDAD
Vulnerabilidades (Aplicaciones,
(Aplicaciones
Hardware, procesos,
comunicaciones)
Disponibilidad de servicios
Fraude, suplantación de identidad,
integridad de información, robo de la
información
Aseguramiento de comunicaciones
Continuidad del Negocio
A cualquier hora y
en cualquier lugar!!
Servicios
Financieros
Regulaciones
del Gobierno
Servicios
Almacenes
CLIENTES
C
Comunicaciones
i
i
Terminales
Empresas
Centros
C
t
d
de
Logística
E t i
Estaciones
de
d Servicio
S i i
El reto Hoy: Interconectividad
e Interoperabilidad
RESULTADO: Gran demanda
en nuestra infraestructura
Una mayor infraestructura:
•
¿Posee flexibilidad y agilidad a
los cambios de nuestras
necesidades empresariales?
•
Más costos en nuestra
tecnología IT , personas y
procesos
•
•
•
•
Información
Users
Clients
Más procesos, mayor
posibilidad de vulnerabilidad
Se dificulta cumplir con las
regulaciones
Asegurar la información, su
disponibilidad e integridad
24x7 es más complejo
Ya no es claro donde inicia y
termina el perímetro
Customers
Suppliers
Partners
Gateway
Security
Network
Servers
Application
Database
Storage
Availability
AGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
¿Qué Establecen Los Requerimientos
¿
q
de Gestión
de Riesgos Operativos?
Que las instituciones deben contar con un sistema para
la gestión del riesgo operativo que les permita
identificar, medir, controlar, mitigar y monitorear los
riesgos
i
d i d de
derivados
d las
l fallas
f ll en:
• Los procesos
• Las personas
• Las tecnologías de información
• Los eventos externos, incluyendo el riesgo
legal
Riesgos de las Tecnologías
de Información
Para una adecuada gestión del riesgo, las instituciones
deben disponer
p
de p
políticas,, p
procesos y p
procedimientos
que
aseguren
una
adecuada
planificación
y
administración de las tecnologías de información para
garantizar que:
• La administración de TI es adecuada para soportar los
requerimientos actuales y futuros de la entidad
• Las operaciones de TI satisfacen los requerimientos de la
entidad
• Los recursos y servicios provistos por terceros se administran
adecuadamente y se monitorean su efectividad y eficiencia
• El proceso de adquisición, desarrollo, implementación y
mantenimiento de aplicaciones satisfacen los objetivos del
negocio
• La infraestructura tecnológica se administra y monitorea de
manera adecuada.
Disposiciones en Seguridad
De la Información
Las instituciones deben disponer de políticas,
procesos y procedimientos que aseguren:
•
Que el sistema de administración de seguridad
g
de la
información satisfaga las necesidades de la entidad para
salvaguardar la información contra el uso, revelación y
modificación no autorizados, así como daños y pérdidas
•
Que exista continuidad en la operación de la institución frente a
eventos imprevistos en las tecnologías de información
•
Que los planes de contingencia y continuidad garanticen la
capacidad para operar en forma continua y minimizar las
pérdidas en caso de una interrupción severa del negocio,
p
además un p
proceso de administración de la
implementando
continuidad del negocio
Qué es PCI DSS?
Requerimientos
eque
e tos de Seguridad
Segu dad desa
desarrollados
o ados
por Mastercard International y Visa para la
protección de los datos de
tarjetahabientes.
j
Campo de Aplicación
• Miembros, comerciantes y proveedores de
servicios de almacenamiento, procesamiento o
transmisión de datos de tarjetahabientes.
• Componentes de sistemas (redes, servidores y
aplicaciones)
li
i
) inc
i
l id
luidos
o conectados
t d
a los
l
ambientes de datos de tarjetahabientes.
Requerimientos
1. Construir
C
y mantener una red segura
2. Protección de los datos de tarjetahabientes
3. Mantener un programa de administración de
vulnerabilidades
4. Implementar fuertes medidas de control de
acceso
5. Monitoreo y pruebas regulares a la red
6 M
6.
Mantener
t
una política
líti de
d seguridad
id d de
d la
l
información
El reto Hoy: Interconectividad
e Interoperabilidad
AGENDA
• Una mirada actual
• Regulaciones
• Requerimientos Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
DEFENSA EN PROFUNDIDAD
•Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capa
de seguridad, el trabajo del atacante se hace sencillo.
•Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, es
infalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad se
aumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar las
intrusiones y los ataques justo cuando estos ocurren.
•La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de un sistema
DATOS
deben ser entendidos y contenidos dentro de capas, cada una independiente
de la anterior de
forma funcional y conceptual”.
Seguridad Lógica
Seguridad Fisica
DEFENSA EN PROFUNDIDAD
CONCEPTOS DE DISEÑO
•
EVALUACIÓN DE RIESGOS
•
ESTRATEGIAS Y ESTÁNDARES
•
ZONAS SEGURAS
•
ENDURECIMIENTO DE SISTEMAS
–
–
–
–
–
–
–
–
–
–
–
–
–
–
Endurecimiento del Sistema Operacional
Eliminar servicios no requeridos
Actualización periódica de parches (sistemas
operativos y aplicaciones)
Desactivar protocolos no encriptados
Protección contra virus
Renombrar cuentas de administrador
Cambiar passwords por defecto
Desacti ar cuentas
Desactivar
c entas de in
invitado
itado
No permitir anonimus FTP
Incrementar tamaño de archivos de log
Permisos sobre directorios, archivos y otros
objetos
Desplegar mensajes de alerta
Implementar el concepto de menor privilegio
Separación de funciones
COMPONENTES
•
ENRUTADORES
•
SWITCHES
•
FIREWALLS
•
ACCESO REMOTO – VPN
•
ACCESO REMOTO – DIAL UP
•
REDES INALAMBRICAS
•
DETECCIÓN DE INTRUSIONES
•
EVALUACION DE LA SEGURIDAD DE LA
RED
– Análisis de vulnerabilidades
EL RETO ES MÁS COMPLEJO:
IInterconectividad,
i id d, IInteroperabilidad,
bilid d S
id d
Interconectividad
Seguridad
DATOS
APLICACIÓN
SERVIDORES
RED
PERIMETRO
SEGURIDAD FÍSICA
PROCEDIMIENTOS
SEGURIDAD ES
UN PROCESO DE
GESTIÓN DE
RIESGOS!!!
Mapa de Riesgos:
Correlación, Procesos y Tecnologías
Servicios
S i i
Por
Internet
Cuentas
Corrientes
Tarjetas
T j t
MAPADeDE
Crédito
Otros
Ot
Call
Cajeros
ProductosDEL NEGOCIO
RIESGOS
Center
Electrónicos
Financieros
Procesos
Tarjeta
Portal
Crédito y
Y De
VULNERABILIDADES
Y
AMENAZAS
EN
WEB
Cartera
Canje
Crédito
Procesos d
P
dell
Negocio
Sistemas de
Cuentas
Autorizados
PROCESAMIENTOS
DEInformación
DATOS
Corrientes
Activos
VULNERABILIDADES Y AMENAZAS TÉCNICAS
Servidor de
Aplicaciones
Infraestructura Usuarios
Centro de
Cómputo
Cadena de
Valor
Director
De TI
Router
Firewall
Estación de
Trabajo
Proceso de construcción del
Mapa de Riesgos Tecnológicos
1. Levantamiento de Información (conocimiento del
negocio)
2. Pruebas de Vulnerabilidad y Hacking Etico (Internet /
internas / wireless)
3. Verificación de Líneas Telefónicas
4. Valoración de red ideal segura
5 Pruebas de Ingeniería Social
5.
6. Evaluación de Seguridad Física
7. Evaluación de Código de las Aplicaciones
8. Evaluación del procesamiento de datos
9. Valoración de los controles existentes
10 G
10.Generación
ió del
d l mapa de
d riesgos
i
11.Implementación de las estrategias de mitigación
12.Monitoreo de los riesgos
Pruebas de Penetración Externa
Direcciones
publicadas en
el Internet.
Análisis de Vulnerabilidades
Pruebas Externas
LAN
Corporativ
a
Servidores
Servidores
Servidores
SW
VPN1/FireWall-1
LAN
Corporativ
a
FireWall
Internet
Equip
o
portátil
Pruebas de Penetración Interna
LAN
Corporativa
Análisis de Vulnerabilidades
Pruebas Internas
Servidores
Servidores
Servidores
Ubicado en cualquier
punto de la red de la
organización
SW
Equipo
portátil
LAN
Corporativa
FireWall
Internet
Zonas Seguras
INSEGURA
DE CONFLICTO
Requiere
autenticación de
acceso a sistemas
específicos
expuestos al público.
Clientes
Acceso altamente
restringido.
Accesos no
autorizados se deben
detectar en tiempo
real
Requiere
autenticación fuerte
para proteger
sistemas expuestos
p
al público. Soporte a
vendedores y
partners
Sistemas bajo el
control directo de la
organización. Los
usuarios requieren
acceso total a
sistemas internos
CONFIANZA
SEMIPROTEGIDA
Valoración de Red Ideal Segura
ELEMENTO DE SEGURIDAD
PUNTAJE
CONTROLES EXISTENTES
CONTROLES A IMPLEMENTAR
NIVEL
IDS E IPS
IDS E IPS
0
No se encuentran No
se encuentran
implementados
Implementar esquema de Implementar
esquema de
identificación y detección de intrusiones
0%
VLANs y VLAN ACLs
0
No se encuentran implementados
Implementar PVLAN en cada subred
Generar VACL dentro de cada red
0%
Micro VLAN
0
No se encuentran i l
implementados
t d
Realizar segmentación de esta f
forma o buscar equipos que b
i
permitan la segmentación MVLAN sin necesidad de configurar máscara
0%
IPSEC
0
No se encuentran N
implementados
EEs necesario implementar i i l
IPSEC para asegurar encripción
de datos
0%
Firewall
4
Existen firewalls que ste
e a s que
protegen la red de ataques externos y en algunos casos de ataques internos
Se debe p otege todas as
Se deben proteger todas las redes con el firewall
Implementar firewall de host para cada equipo
80%
Protección de Bases de Datos
Autenticación fuerte
Auditoría
granular
Administración y
configuración
Cifrado (Red, almacén y respaldo)
Clasificación de datos
Nivel de seguridad por etiquetas
Segregación de deberes
Auditoria Forense
Enmascaramiento de datos
Solución de respaldo
Estrategias
y Estándares: SGSI
g
Seguridad organizativa
Dominios cubiertos
Por el SGSI
Seguridad lógica
Seguridad física
Políticas de Seguridad
Seguridad legal
Organización de la Seguridad de la
Información
Gestión de Activos
Control de Accesos
C f
id d
Conformidad
Seguridad física y del
entorno
Gestión de Incidentes
de seguridad de la
Información
Gestión de la
continuidad del
negocio
Seguridad en los
Recursos Humanos
Gestión de
comunicaciones y
operaciones
Adquisición, desarrollo y
mantenimiento de sistemas
de información
EL RETO ES MAS COMPLEJO:
Interconectividad
Interconectividad,, Interoperabilidad
Interoperabilidad, Seguridad
DATOS
APLICACIÓN
Articulación de los conceptos
p
SERVIDORES
de diseño y los componentes de
Defensa enREDProfundidad
mediante el mapa de riesgos y el
PERIMETRO
SGSI
de la SEGURIDAD FÍSICA
organización
PROCEDIMIENTOS
EL RETO ES MAS COMPLEJO:
Interconectividad
Interconectividad,, Interoperabilidad
Interoperabilidad, Seguridad
DATOS
APLICACIÓN
SERVIDORES
RED
PERIMETRO
SEGURIDAD FÍSICA
PROCEDIMIENTOS
AGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
RIESGOS – SEGURIDAD CONTINUIDAD
Riesgos
g
Potenciales
Desastres
Naturales
•Fuego
•Huracanes
•Inundaciones
•Tornados
.
.
Humanos
•Sabotaje
•Código Malicioso
•Errores de
Operador
.
.
Tecnológicos
•Fallas de Hardware
•Corrupción de datos
•Caída de
telecomunicaciones
•Fallas de energía
eléctrica
Identificación
De Riesgos
Evaluación de
Riesgos
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Desastres
Naturales
•Fuego
•Huracanes
•Inundaciones
•Tornados
.
.
Humanos
•Sabotaje
•Código Malicioso
•Errores de
Operador
.
.
Tecnológicos
•Fallas de
Hardware
•Corrupción de
datos
•Caída de
telecomunicaciones
•Fallas de energía
eléctrica
lé t i
BCP : La última defensa Controles y
Seguridades
•Controles
Administrativos
•Controles
Operacionales
•Controles
Técnicos
Riesgos
Residuales
Desastres
Naturales
•Fuego
•Huracanes
•Inundaciones
•Tornados
.
.
Humanos
•Sabotaje
•Código Malicioso
•Errores de
Operador
.
.
Tecnológicos
•Fallas de
Hardware
•Corrupción de
datos
•Caída de
telecomunicaciones
•Fallas de energía
eléctrica
lé t i
C
O
P N
L T
A I
N N
E G
S E
N
DC
E I
A
AGENDA
• Una mirada actual
• Regulaciones
• Requerimientos de Gestión de Riesgo
• Requerimientos PCI – Payment Card Industry
• Defensa en Profundidad - Estrategia para la implementación
de Seguridad de la Información
• Definiciones
• Diseño y componentes de la Defensa en Profundidad
• Riesgos – Seguridad - Continuidad
• Estrategia de Implementación
Implementación de la
Estrategia de Seguridad
Componente 1 - Estrategia
RETORNO DE LA INVERSIÓN EN SEGURIDAD
DEFENSA EN PROFUNDIDAD
E t
Entrenamiento
i t
P - Auditoría
Pre
A dit í
Zonas de
Seguridad
Aseguramiento
Estrategias de
Continuidad
Concientización
SISTEMA DE GESTION DE LA SEGURIDAD - SGSI
SOA
Análisis
GAP
Políticas
Procedimientos
Organización del
Área de Seguridad
Inversión
Adicional
MAPA DE RIESGOS
Pruebas de
Ingeniería Social
Recolección
R
l ió de
d
Información
Evaluación de
Seguridad Física
Entrevistas
E
t i t d
de
Análisis de Riesgos
BIA
Evaluación de
Aplicaciones
Pruebas
P
b d
de Vulnerabilidad
V l
bilid d y E
Evaluación
l
ió de
d Red
R d Ideal
Id l
Etical Hacking
Segura
Implementación de la
Estrategia de Seguridad
Componente 2 - Soluciones
RETORNO DE LA INVERSIÓN EN SEGURIDAD
DEFENSA EN PROFUNDIDAD
Entrenamiento
IPSEC
Segmentación
Mantenimiento
Protección
DATOS
FIREWALL
Configuración de Protección de
Equipos
Equipos de Cx
Seguridad
Capa 2 y 3
Políticas
IDS / IPS
Protección
Redes Inalámbricas
VLAN’s y
Micro VLAN’s
DISEÑO DE LA RED IDEAL SEGURA
MAPA DE RIESGOS
Pruebas de
Ingeniería Social
Recolección de
Información
f
ó
Evaluación de
Seguridad Física
Entrevistas de
Análisis
ál
de
d Riesgos
BIA
Evaluación de
Aplicaciones
Pruebas de Vulnerabilidad y Evaluación de Red Ideal
Eticall Hacking
k
Segura
UN SOLO ESFUERZO PARA SATISFACER
DIFERENTES REQUERIMIENTOS
RETORNO DE LA INVERSIÓN EN SEGURIDAD
DEFENSA EN PROFUNDIDAD
COSO
SOX
ASNZ 4360
PCI
MAGERIT
ITIL
CIRCULAR
052 / 834
ISO 27000
NIST
COBIT
SERVICIOS DE SEGURIDAD GESTIONADOS
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
MAPA DE RIESGOS
Pruebas de
Ingeniería Social
Recolección de
I f
Información
ió
Evaluación de
Seguridad Física
Entrevistas de
A áli i de
Análisis
d Riesgos
Ri
BIA
Evaluación de
Aplicaciones
Pruebas de Vulnerabilidad y Evaluación de Red Ideal
Eti l Hacking
Etical
H ki
S
Segura
GRACIAS!!!
Ramiro Merchán, CISA, GSEC
[email protected]
Documentos relacionados
Diapositiva 1
Diapositiva 1
Clasificacion ASM PDHO
Clasificacion ASM PDHO
Administrador de Servidores DESCRIPCION DEL PUESO
Administrador de Servidores DESCRIPCION DEL PUESO
La presente Guía es un marco de referencia para orientar
La presente Guía es un marco de referencia para orientar
Responsabilidades y Obligaciones de las Autoridades
Responsabilidades y Obligaciones de las Autoridades
Caso de Éxito: Interoperabilidad del SNC
Caso de Éxito: Interoperabilidad del SNC
Las normas formales –es decir la Ley– se refieren a aquellos
Las normas formales –es decir la Ley– se refieren a aquellos
TAREA 1 SERVICIO UNIVERSAL
TAREA 1 SERVICIO UNIVERSAL
Descargar
Anuncio
Anuncio