Security Solutions “La Seguridad de estar en buenas manos”

Transcripción

Security Solutions
“La Seguridad de estar en buenas
manos”
Kenneth Tovar
18 de Octubre de 2007
© 2007 Global Crossing - Proprietary
AGENDA
Global Crossing Security Solutions
Tendencias del Mercado
Requerimientos de Clientes
Estrategia de Seguridad
Caso de Exito
Global Crossing Security Solutions
Conceptos Clave
2
Tendencias del Mercado
En la actualidad, los negocios muestran una tendencia al incremento de
empresas virtuales, que incorporan trabajadores móviles, oficinas
remotas e incluso canales y socios de negocios.
Así mismo, mientras las compañías dependen cada vez más en sus redes
y los ataques se vuelven más sofisticados, la seguridad se torna
indispensable.
La dinámica actual de los mercados empuja a las compañías hacia la
automatización de sus procesos para volverlos más eficientes y
productivos. Un punto de acuerdo entre los especialistas es que al
aumento en la automatización corresponde un incremento del nivel de
exposición para actividades de hacking e intentos de intrusión.
Según Frost & Sullivan, las vulnerabilidades
incrementaron un 274% en los últimos 4 años.
reportadas
se
Se incrementa la demanda por adhesión a normas internacionales de
seguridad, que se vuelven un requisito para hacer negocios.
3
Requerimientos de los Clientes
Reducir riesgos de ataques, intrusiones y hacking con impacto importante en los
negocios, reduciendo el nivel de exposición a pérdidas y demandas.
Minimizar inversiones iniciales en equipamiento, software y licencias; como
también el mantenimiento de recursos in-house para la operación.
Cumplir con regulaciones y normas (Sarbanes Oxley / ISO 27001).
Proteger la información sensible de la compañía, con el conocimiento y la
experiencia de expertos en seguridad certificados en las tecnologías más
importantes disponibles en el mercado y disponer de soporte 7x24.
Asegurar la calidad y la efectividad en cada fase de la implementación:
Diagnóstico, Plan Estratégico, Diseño, Definición de políticas y procedimientos,
Implementación y Administración y Soporte.
One-stop-shopping.
Enfocarse en core-business de la empresa.
4
Riesgos
Ataques de Ingeniería Social
Mucho más frecuentes de lo
que uno imagina…
Desprestigio en los medios
Una de las principales
herramientas para perder
negocios exitosos…
Pérdida de disponibilidad en
sistemas
E-commerce / Mail / Logística
y servicios (VoIP, Wi-Fi).
Desvalorización de los
recursos
Humanos y Tecnológicos
5
Por
esto, independientemente de qué sistema,
metodologías y lineamientos se implementen, es importante
definir una “estrategia” que sirva como orientación
permanente durante el desarrollo.
Una buena alternativa es construir el sistema de seguridad
en base a cuatro atributos claves:
• Disponible
• Controlado
• Protegido
• Flexible
6
¿Por qué Disponible, Controlado,
Protegido y Flexible?
Controlado
Disponible
Protegido
Flexible
Objetivos del
sistema de
Seguridad de la
Información
7
• Disponible:
• Un desarrollo potencialmente exitoso, que
presenta problemas de performance y/o de
seguridad, se convierte en un antecedente
negativo.
• Sistemas de voz sobre IP, aplicaciones e-commerce,
acceso remoto, webmail, etc.
• La disponibilidad permite justificar
inversiones, conseguir presupuesto para
nuevos desarrollos, y hacer negocios.
8
• Qué ocurre en un sistema NO Disponible ?
• Voz sobre IP / Wi-Fi: si la tecnología no
funciona, el servicio tampoco.
• e-commerce: la estrategia de venta y/o
promoción on-line puede fracasar por la
implementación tecnológica.
• Prensa: aparecer en los medios por un
problema de seguridad puede perjudicar la
confianza en la marca.
9
• Controlado:
• Es fundamental que cada acción importante
dentro del sistema genere evidencias,
correctamente resguardadas.
• Es también un requerimiento de las normas
internacionales (ISO 9001 / ISO 27001)
• En cualquier momento, el administrador debe
poder verificar el estado actual de la
seguridad del sistema, y de cada uno de sus
componentes.
10
• Qué ocurre en un sistema NO Controlado ?
• Trazabilidad: la posibilidad de encontrar el
origen de una falla, reside en poder analizar su
evolución paso a paso.
• Reacción: la información es relevante
cuando permite accionar al instante, no cuando
solamente sirve para hacer “autopsias”.
• Wi-Fi: controles que se extienden más allá de
los edificios…
11
• Protegido:
• Cada función dentro de cada proceso debe
estar correctamente documentada.
• Es también un requerimiento de las normas
internacionales (ISO 9001 / ISO 27001)
• Los roles deben dar lugar a permisos de
acceso dentro del sistema.
• Todos los componentes críticos del sistema
deben prever el bloqueo de acceso no
autorizado.
12
• Qué ocurre en un sistema NO Protegido ?
• Servidores críticos: no pueden estar al
mismo nivel que los demás componentes de la
red, son un caso especial.
• Múltiples repositorios: sin responsables de
los datos, la información se dispersa y puede
ser corrompida.
• Ingeniería social: la falta de procesos vuelve
a la organización más vulnerable.
13
• Flexible:
• Si los controles están mal implementados,
y/o son demasiados genéricos, la
información pasa a estar no disponible en
lugar de protegida.
• Los controles deben estar diseñados para no
generar “sofocamiento”.
• Está comprobado que el 80% de los ataques que recibe
una compañía, provienen de la red interna.
14
• Qué ocurre en un sistema NO Flexible ?
• Autenticación: muchos niveles de
autenticación generan puntos de falla.
• Passwords compartidas: los usuarios
comparten los passwords cuando los accesos
a una aplicación están mal administrados.
• Hacking interno: se instalan aplicaciones y
se intenta evitar controles o conseguir
privilegios para ejecutar acciones no
permitidas.
15
¿Es posible?
Controlado
Disponible
Protegido
Flexible
Situación
actual
16
Caso de Éxito
Sitio de e-commerce de mas ventas en Brasil..
Primera venta en Noviembre 1999.
Luego de dos años de fundada se tornaron
lideres en rentabilidad en el sector ventas de
electrónica en Brasil.
Clientes: 6 millones de consumidores y 12000
empresas
Reconocidos como la mayor empresa online de
América Latina.
Entregan a más de 200 países
Venta de 200 mil productos diferentes
17
Caso de Éxito
Si pensamos por que precisamos seguridad, que
palabras vienen a nuestra mente?
Captura de PC desde el exterior
Exploits
Violación de contraseñas
Phishing
Interrupción de los servicios
Spamming
Destrucción de soportes documentales
Acceso clandestino a redes
Ingeniería
Software ilegal social
Indisponibilidad de información clave
Rootkits
Intercepción de comunicaciones
Vulnerabilidades
Virus
18
Caso de Éxito
Y si pensamos en como prevenir esto? Que tendríamos
que considerar?
AntiVirus
Firewalls
IPSs
Encripción
Certificados digitales
Autenticación de usuarios
Politicas de seguridad
Procesos
Concientización
Seguridad física
19
Caso de Éxito
Y fundamentalmente tenemos que considerar una
metodología de trabajo que cubra las necesidades
funcionales como las tecnológicas
Plan
Estratégico
de Acción
Diagnóstico
general de
seguridad
Gestión
de la seguridad
Diseño
de la
solución
Políticas
y normas
de seguridad
Puesta
en marcha
20
Caso de Éxito
Panorama
Migración de 100 servidores alojados en hosting en un Data
Center de un competidor, a nuestro Data Center en San Pablo.
Cliente con poco conocimiento del funcionamiento de sus
aplicaciones.
Tiempo escaso para descubrir el funcionamiento de las
aplicaciones.
Cliente con la mayoría de sus servicios tercerizados.
El sitio de más ventas por Internet de Brasil, con el consiguiente
foco de ataques.
Proyecto realizado a medida. Topología diseñada
exclusivamente para la red del cliente.
21
Caso de Éxito
Diagnóstico
GAP Analisis ISO 27001
Tests de Penetración
Scanning
Consultoria
Auditoria
Management y soporte
Aplicación de Politicas & Procesos
Monitoreo y Reporte continuo
Actualización automática de antivirus
Mantenimiento Correctivo / Preventivo
Change Management
Análisis de logs
s
le
na
io
es
of
Pr
Consultoria
Networking (LAN – WAN)
VPN
Perímetro
Acceso remoto
Wireless LAN
Contingencias
os
Consultoria
Definición de prioridades
Definición del alcance
Planificación de corto, mediano y largo
plazo
ci
Diseño de solución
i
rv
Se
Plan estratégico
Políticas y standars
Consultoria
Definición de políticas y
manuales de procedimientos
Procedimientos de seguridad
Capacitación
Implementación
IP Cleaner
Firewall
Anti Spam y Anti Virus
IPS / IDS /ADS
IpSec
Integrados
Se
r
vi
ci
os
G
er
en
ci
ad
os
22
Caso de Éxito
23
Security Solutions
Expertos en
Seguridad
Experiencia y
Metodología
Hardware &
Software
Gerenciamiento &
Soporte
Conocer la Situación
Actual
Simplificar la
infraestructura y reducir
los riesgos
Identificar, determinar
y articular la mejor
opción tecnológica
Determinar políticas y
procedimientos
adecuados
Acceder a la
tecnología en
seguridad más
apropiada y su
creciente complejidad,
basándose solo en sus
necesidades e
implementándola
eficientemente.
Las mejores personas
para administrar y
proteger sus procesos
críticos de negocios
Planificar e
Implementar la mejor
solución para la
compañía
Lograr adhesión
completa a estándares
de seguridad
Security Operation
Center, único en
Latinoamérica, con la
mejor infraestructura.
Soporte 7x24.
Más Valor para Su Organización
Agilidad para soportar Crecimiento y Cambios.
Integración con Clientes, Proveedores y Socios.
Incremento de la eficiencia, identificando los riesgos con impacto en los negocios.
Cumplimento con estándares internacionales de Seguridad
24
Security Solutions
Expertos altamente profesionales en nuestro
Security Operation Center centralizado.
Selección de la mejor tecnología para proteger
su negocio con la flexibilidad necesaria.
Más de 1000 clientes están confiando su Seguridad en las
Soluciones de Seguridad Global Crossing
Minimizar las inversiones en hardware, software y licencias;
reduciendo el TCO .
Amplio entendimiento de las soluciones tecnológicas y la
infraestructura de seguridad, con personal certificado en las
tecnologías más importantes que están disponibles.
Casos de éxito en cientos de proyectos de seguridad para cada
segmento vertical del mercado.
El monitoreo constante realizado desde el Security Operation
Center (SOC) libera al cliente de las tareas de monitoreo y
administración
25
Security Solutions
8 Sistemas de
10 Plan de
información y
Desarrollo
Continuidad
del Negocio
Diseño
de la solución
Plan Estratégico
de Acción
11 Cumplimiento
5 Seguridad
7 Control de
Accesos
1 Política de
Seguridad
2 Organización de
Diagnóstico
general de
seguridad
Física y
Ambiental
la Información
Políticas y
normas
de seguridad
3 Administración
de Activos
9 Administración
Gestión
de Incidentes de
de la seguridad
Seguridad
4 Seguridad
Puesta
en marcha
de los
Recursos
Humanos
11 Cumplimiento
26
Conceptos Clave
Ayer
Reactivo
Standalone
Hoy
Flexible, proactivo.
Integrado/ múltiples capas
Productos puntuales
Network / Usuario final
Foco en la tecnología
Foco en los procesos
Orientación al producto
Orientación al servicio
El enfoque de seguridad debe ser
Estratégico, Planificado y Metodológico.
27
Conceptos Clave
Seguridad aislada :
Seguridad como parte del Sistema :
Asegurar solamente la
conexión a redes externas
resulta insuficiente.
Pensar en la seguridad desde adentro
hacia fuera, hay un universo de problemas
a resolver en nuestras redes IP.
28
Conceptos Clave
“Seguridad de la Información” es el Nuevo Concepto que congrega las antiguas
denominaciones como “Seguridad Informática”, “Seguridad de los Recursos
Humanos” y “Seguridad Física”.
Hoy día, Seguridad de la Información es un “Business Enabler”.
Algunas compañías Latinoamericanas ya están solicitando la adhesión a estándares
de Seguridad como requerimiento para la contratación de servicios.
Pensar en “Seguridad de la Información” como “Disponibilidad”: servicios como
“Voz sobre IP”, necesitan una estructura de red segura para operar correctamente.
Identificar las necesidades del Chief Security Information Officer (CISO): Global
Crossing puede cumplir con los requerimientos de recursos especializados a través
del Security Operation Center y los Servicios Profesionales, fortaleciendo el equipo
del CISO.
Considerar el soporte 24x7 como indispensable: la mayoría de los ataques
ocurren en horario no laboral, mientras una guardia pasiva no provee la protección
necesaria.
El gerenciamiento es “la clave”: debe ser considerado como el factor principal para
la seguridad, incluyendo el concepto de Dedicación Exclusiva.
29
Conceptos Clave
30

Security Solutions “La Seguridad de estar en buenas manos”

Transcripción

Documentos relacionados

PERSONALIZACIÓN DE PÁGINAS PAGOS