ecurity ervices

ecurity
ervices
Índice
Introducción
Visión
Security Services
Metodología
Nuestro equipo
Antecedentes
Security Services
Necesidades
Introducción
Security Services
+ Confianza
Necesidades
Introducción
Security Services
Introducción
La información, el activo más importante de las
Compañías, se encuentra cada día más integrado a
la Tecnología. Es por ello que, la Tecnología de la
Información, se esta convirtiendo en un pilar
estratégico en toda Organización.
Baufest ayuda activamente a las organizaciones a
proteger su información contra amenazas internas
o externas minimizando los riesgos sobre la
operación del negocio.
Nuestro equipo de expertos certificados y de
amplia experiencia en servicios de seguridad se
complementa con el resto de los especialistas de
Baufest, brindando de esta manera servicios de
amplio alcance alineados al negocio.
Security Services
Introducción
La información, el activo más importante de las
Compañías, se encuentra cada día más integrado a
la Tecnología. Es por ello que, la Tecnología de la
Información, se esta convirtiendo en un pilar
estratégico en toda Organización.
Baufest ayuda activamente a las organizaciones a
proteger su información contra amenazas internas
o externas minimizando los riesgos sobre la
operación del negocio.
Nuestro equipo de expertos certificados y de
amplia experiencia en servicios de seguridad se
complementa con el resto de los especialistas de
Baufest, brindando de esta manera servicios de
amplio alcance alineados al negocio.
Security Services
Introducción
Send
Security Services
Introducción
Usuario
2 hours ago
Nuestro producto se hace de esta
forma ……… Mi cuenta es:
xxxxxxxxxxxx
Send
Security Services
Introducción
Consultoría
Necesidades
Security Services
Objetivos
Solución
Security Services
Introducción
Security Services
Introducción
Baufest ayuda activamente a las
organizaciones a proteger su
información contra amenazas
internas o externas minimizando los
riesgos sobre la operación del
negocio.
Somos una unidad especializada en
apoyar a empresas que están en
proceso de aseguramiento de su
negocio. Acompañaremos a nuestros
clientes en las diversas etapas de un
proyecto de esta clase.
Security Services
Visión
¿Dónde
estoy?
¿Dónde quiero
estar?
Security Services
Visión
¿Dónde
estoy?
¿Dónde quiero
estar?
Inicial
Repetible
Definido
Administrado
Optimizado
•Ausencia de política
•Roles y responsabilidades
no definidos
•Procesos y tareas
Manuales
•Sin gestión de incidente
•Ausencia de métricas e
informes
•Políticas limitadas
•Roles parcialmente
definidos
•Procesos y tarea
semiautomatizados
•Visibilidad limitada de
incidentes
•Métricas e informes
limitados
•Política integral definida
y publicada
•Roles y responsabilidades
bien determinados y
definidos
•Procesos y tarea
automatizados
•Seguimiento de los
incidentes críticos
•Métricas e informes
definidos
•Políticas publicadas e
implementadas de forma
uniforme
•Roles y responsabilidades
definidos y ejecutados
•Procesos y tarea
automatizados y
operativos
•Seguimiento y cierre de
todos los incidentes
•Métricas e informes
enviados y revisado por
el alta dirección
•Revisión y mejora
continuas de las políticas
•Roles y responsabilidades
revisados de manera
continua
•Actualización
permanente de la
automatizaciones
•RCA aplicado a todos los
incidentes y
solucionados.
•Métricas y
requerimientos de
informes revisados
periódicamente y
actualizados
Security Services
Procesos
Herramientas
Personas
Visión
Security Services
Visión
Security Services
Visión
Tenemos muchos empleados y nos es difícil
controlar la información que sale de la
compañía, pudiendo haber casos de perdida
de información
La infraestructura tecnológica que la soporta
el negocio no esta diseñada para soportar
riesgos naturales o accidentes como
incendios, inundaciones, terremotos, etc.
Tenemos muchos empleados, algunos de
ellos seguramente no contentos con la
compañía, que pueden querer afectar el
negocio atacando de alguna manera los
sistemas informáticos
Necesito mejorar la accesibilidad a la
información a través de diferentes
tecnologías, pero esto me genera nuevos
riesgos de accesos no autorizados que antes
no tenia.
Mis competidores están queriendo
obtener información sobre nuestros
productos u operaciones.
Mi infraestructura tecnológica es muy
compleja para administrar las identidades y
permisos de mis usuarios generando una alta
posibilidad de errores y altos costos de
operación innecesarios.
Mis competidores u otras organizaciones
externas están interesados en afectar la
operación de nuestro negocio.
Los tiempos de respuesta en la creación de
usuarios y otorgamiento de permisos
necesarios para operar son muy largos,
afectando la disponibilidad
Trabajamos en un contexto geográfico
inseguro. Ha habido muchos robos de
elementos de trabajo como Notebooks o
Pcs,
Otra necesidad complementaria: Debo
cumplir con un marco regulatorio
especifico como…
Security Services
Security Services
Brindamos servicios y
soluciones completas
relacionadas a la
Seguridad de la
información, con el
objetivo de satisfacer
las necesidades de
nuestros clientes.
Con una postura ética y
atención personalizada,
siempre nos destacamos
por la calidad de las
soluciones brindadas,
alineadas con las
necesidades expresadas
por nuestros clientes.
Security Services
Security Services
Cloud Security
Security
Governance
Technical Security
Advisory
Security
Compliance
Secure Software
Development
Security Training
and Awareness
Security Services
Cloud Security
Los servicios de seguridad en la nube abarcan desde la evaluación de riesgos y
cumplimiento regulatorio, hasta los aspectos técnicos de hardening y
despliegue de controles específicos, tanto en el contexto de proyectos
puntuales, o como parte de la estrategia corporativa del salto a la nube, con el
objetivo de garantizar una transición segura.
Nos especializamos en la definición de arquitecturas de nube que escalan de
tamaño sin comprometer la seguridad y podemos ayudarlo a diseñar
mecanismos y controles desde el principio, siguiendo las recomendaciones de
las mejores prácticas del mercado.
• Poner en marcha herramientas de gestión de vulnerabilidades y colectores de
eventos de seguridad (SIEM) en la nube.
• Implementar controles que hagan cumplir las políticas de protección de
integridad de datos, confidencialidad y prevención de fuga de información.
• Automatizar tareas de seguridad a fin de reducir los costos de administración
• Combinar la evaluación de riesgos y hardening para proporcionar una mayor
seguridad integrada
• Implementar mecanismos que hagan cumplir la autenticación fuerte para el
acceso remoto a máquinas virtuales, consolas de administración y APIs
Security Services
Evaluación de, y asistencia para, el diseño y la implementación de los procesos,
controles, y hasta el mismo plan estratégico de gobernanza de seguridad de la
información corporativos, de acuerdo con modelos de gestión de riesgos,
normativas y estándares específicos, como MAGERIT, OCTAVE, ISO/IEC 27005,
ISM3, o CObIT
Security
Governance
Desde el diseño del programa de seguridad de información, y hasta su
completa implementación, o para asistirlo en la integración de nuevos
requisitos técnicos o reglamentarios en un programa existente.
Los Expertos de Baufest pueden asistirlo a impulsar las iniciativas de seguridad
para que pueda cumplir con sus responsabilidades fundamentales, lo que le
permitirá ejecutar de manera más eficiente y eficaz el plan de gobernanza.
Sin importar el tipo o el tamaño de su proyecto de gobernanza, el objetivo final
de nuestros servicios es siempre el mismo: Habilitarlo para que tenga visibilidad
y control sobre los activos de información de su organización, y que los
controles que decida implementar estén a la medida de sus necesidades.
Security Services
El Servicio cubre evaluaciones, asesoramiento y gestión técnica de
herramientas de seguridad en sus entornos tecnológicos con el objetivos de
identificar el estado real de las aplicaciones, las plataformas que las soportan,
las redes y los controles de seguridad que se han implementado
Technical Security
Advisory
La tecnología es el marco que nos permite desarrollar barreras y salvaguardas
necesarias para prevenir de las amenazas a las cuales se está expuesto a nivel
organizacional cómo así también minimizar los riesgos inevitables.
Nuestros expertos se encuentran al tanto de las últimas vulnerabilidades y las
nuevas amenazas son simuladas remotamente a fin de determinar el impacto
potencial en sus sistemas.
En base al análisis de los resultados de estas pruebas, el servicio ofrece
rápidas soluciones basadas en mejores prácticas que protegen sus sistemas y
detienen las amenazas antes que éstas puedan afectarle
Security Services
Los servicios de cumplimiento regulatorio contemplan el diagnóstico, análisis
de brecha (GAP Analysis), implementación de sistemas de gestión o controles,
así como la simulación de auditoria (pre-auditoría) en preparación de una
auditoría de certificación, con el objetivo de cumplimentar Normativas y
Regulaciones Internacionales, Leyes y comunicaciones bancarias locales de
cada país.
Security
Compliance
Nuestros servicios de implementación relacionados con estándares de
adopción voluntaria (e.g. ISO) permiten preparar un camino de adecuación
paulatino y con una visión de riesgo ajustada a sus posibilidades de
presupuesto y capacidad de trabajo, mientras que lo preparamos para
gestionar y desarrollar las tareas con niveles de riesgo aceptable y
recomendable para la Seguridad de la Información.
•
•
•
•
•
ISO/IEC 27001 Sistema de gestión de seguridad de la información
PCI DSS (v2.0 y v3.0) – Payment Card Industry
SOx (Ley Sarbanes-Oxley)
Comunicaciones del Banco Central de cada país
Leyes de Protección de los Datos Personales
Security Services
Si su modelo de ciclo de vida de desarrollo de aplicaciones confía en la
práctica de penetración y parche, es muy probable que esté pagando el doble
por su software.
Secure Software
Development
Trabajamos realizando análisis, y brindando asesoramiento para el diseño de
seguridad en arquitectura de software. Si su necesidad es la adquisición de
herramientas de análisis de código estático o dinámico, o de protección de
aplicaciones (e.g. WAF), podemos asesorarlo, proveerle las herramientas, la
capacitación para su uso, y la perspectiva para maximizar su inversión
Si su organización ya está pensando en los siguientes pasos o aún no sabe
como comenzar, podemos ayudarlo a establecer seguridad en el desarrollo
mediante modelos de madurez estándares, para que todos sus proyectos
contemplen los controles necesarios de acuerdo al riesgo y las capacidades de
su equipo de desarrollo.
Nuestros servicios cubren el espectro completo de seguridad en el desarrollo,
durante todo el ciclo de vida con el objetivo de que su software sea seguro
desde el diseño y para que pague solo una vez por su software.
Security Services
Asistencia en la elaboración de la estrategia y los contenidos de un programa
de concientización y educación de seguridad de la información.
Security Training
and Awareness
• Generación de la estrategia de concientización en seguridad
• Concepción de materiales de concientización creativos (mailing, posters,
juegos, campañas de branding)
• Armado de un equipo interno que lleve a cabo la estrategia
• Tips para la creación de contraseñas
• Asesoramiento de concientización alineado a las políticas de seguridad
• Tips ante hackers
• Disciplina de backup ante posible pérdida de información
• Métricas del servicio
• Encuestas de actitud
• Talleres de ejemplificación (phishing en vivo, hacking de ingeniería social
en vivo)
Security Services
Metodología
Comprender en dónde se ubica la empresa
actualmente
Assessments
(Evaluaciones)
Evaluaciones, Identificación de Vacíos de
Control, Pruebas de penetración
Crear Estrategia de Seguridad para el
futuro
Estrategia de Seguridad
Establecer y priorizar un plan de seguridad
Gestionar una implementación efectiva
Cuantificación y manejo
del Riesgo
Decisiones en seguridad sistemática. Ex:
Optimización de Control
Acelerar la curva de aprendizaje
Soporte CISO (Jefe de
Seguridad)
Incrementar el equipo de seguridad
empresarial
Enfocarse en los asuntos críticos
Remediación de
hallazgos
Poner en práctica un programa de
seguridad
Ser consciente que las amenazas están
evolucionando
Asegurar capacidades de respuesta efectiva
a incidentes
Cibernético – Físico
Respuesta a Incidentes
Revisar amenazas de seguridad, que
impliquen lo físico y cibernético
Proceso y práctica operacional para evaluar
e implementar IR
Security Services
Metodología
Plan (Planificar)
Act (Actuar)
• Se buscan las actividades
susceptibles de mejora y se
establecen los objetivos a
alcanzar.
• Si los resultados son
satisfactorios se implantará
la mejora de forma
definitiva, y si no lo son
habrá que decidir si realizar
cambios para ajustar los
resultados o si desecharla.
directivas,
procedimientos y concienciación
Red / Internet
Do (Hacer)
• Se realizan los cambios para
implantar la mejora
propuesta. Generalmente
conviene hacer una prueba
piloto para probar el
funcionamiento antes de
realizar los cambios a gran
escala.
host
Aplicación
Datos
Check (Verificar)
• Una vez implantada la
mejora, se deja un periodo
de prueba para verificar su
correcto funcionamiento.
Security Services
Nuestro equipo
Nuestro responsable de la Práctica
LUCIANO MOREIRA DA CRUZ
Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías
informáticas y comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones
de Auditor Líder ISO 27001, MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure
Cloud Services, Cloud Computing Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD
UNIVERSITY. Participó y lideró proyectos complejos en grandes empresas.
Especialidades:
Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un
sistemas de gestión de la calidad y de seguridad de la información.
Conocimientos:
ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA.
Algunos de nuestros Technical leaders
LEONARDO ROSSO
• ISC2 CISSP
• ISACA CISA
• IRCA Certified Lead Auditor
ISO/IEC 27001
• MCSA Office 365
• Microsoft Specialist: Server
Virtualization 2012
• MCSA Windows Server 2008
• MCITP Virtualization
Administrator 2008R2
• MCITP Enterprise
Administrator 2008
• MCSE + Security 2003
MARCELA MEYORÍN
• Certified Information System
Auditor (CISA)
• Lead Auditor ISO 25999-2
• Fundation ITIL v.3
• ISO 20000
• Curso Seguridad Informática
– Aplicación de LOPD
• La Seguridad en los Sistemas
de Información e Internet
(LOPD)
HECTOR MARTINOTI
• IRCA Certified Lead Auditor
ISO/IEC 27001
• VMware vSphere 5: Optimize
& Scale
• VMware Certified
Professional 5 - Data Center
Virtualization (VCP5-DCV)
• Microsoft Windows Server
2012
• MCTS Windows server 2008
• Red Hat Certified System
Administrator (RHCSA)
• CCNA
CHRISTIAN IBIRI
MCSE Communication
MCSE Private Cloud
MCSE Server Infrastructure
MCSA Office 365
MCTS Administering Office
365 for Small Business
• MCTS Implementing
Microsoft Azure
Infrastructure
• MCTS Server Virtualization
with Windows Server
•
•
•
•
•
Security Services
Antecedentes
Banco Hipotecario
• Assessment y Gestión de Ambientes
• Definición del Modelo de Gobierno y Gestión de
Ambientes
• Definición de Procesos de Gobierno y Gestión de
Ambientes
• Definición de Estrategias de Implementación del
Modelo presentado
•
Asistimos al área de Infraestructura Tecnológica en la
elaboración, implementación y documentación de los
procesos del área Gobierno y Gestión de Ambientes.
•
Este trabajo se valido en conjunto con los
responsables Infraestructura Tecnológica, Seguridad
informática, áreas prestadoras y técnicas del banco.
Gift Card
La Solución
Desafío
• Compañía líder en emisión, procesamiento y
comercialización de Gift Cards en Argentina.
Actualmente procesamos las Gift Cards de
las principales tiendas del país, y posee
canales comerciales propios para la venta a
grandes empresas como a particulares.
• Luego de algunos incidentes de seguridad
en su actual aplicación core, Giftcard a
contactado a Baufest solicitando un
Assessment de seguridad para evaluar los
procesos del sistema actual y con eso lograr
mitigar los riegos del sistema nuevo a ser
desplegado
•
Para lograr el objetivo Baufest recomiendo realizar una
evaluación de la infraestructura de seguridad que incluye los
procesos, la tecnología y las personas.
•
El objetivo de la evaluación fue evaluar los procesos que hacen al
sistema actual y, de esta manera, prevenir falencias en el nuevo
sistema a ser desplegado. Donde se encontraron varios puntos ya
corregidos y se tomaron consideración para una segunda etapa
llamada hardering de la plataforma para el nuevo despliegle.
DON MARIO
Assesment de seguridad sobre infraestructura
Cloud:
Tuvo como objetivo la evaluación de los niveles
de seguridad asociados a los servicios y
aplicativos publicados y montados en Cloud
con el objetivo de identificar posibles
vulnerabilidades que pudieran afectar tanto a
su operativa normal como también aquellas
vulnerabilidades que pudieran revelar
información sensible o provocar accesos no
autorizados.
Gift Card
La Solución
Desafío
• Compañía líder en emisión, procesamiento y
comercialización de Gift Cards en Argentina.
Actualmente procesamos las Gift Cards de las
principales tiendas del país, y posee canales
comerciales propios para la venta a grandes
empresas como a particulares.
• Luego de un assessment de seguridad se
realizaron correcciones inmediatas pero
quedando algunos aspectos de seguridad
pendientes a corregir con la migración a la
nueva plataforma.
• Contemplando todos los puntos de
aseguramiento a realizar en el corto y mediano
plazo.
•
Contemplado el informe y los apectos de seguridad se llevo
acabo un proyecto de Hardering de la plataforma.
•
El objetivo del proyecto fue Lograr una arquitectura robusta para
soportar las demandas del negocio y al mismo tiempo mitigar al
máximo cualquier tipo de fraude tecnológico o de otra índole.
Evitando ataques conocido y no conocidos en la actualidad.
Brindando una arquitectura segura y respaldada.




Asegura que los recursos críticos tengan los “parches” actualizados y
sean capaces de defenderse contra vulnerabilidades conocidas.
Facilita el despliegue rápido de una configuración de referencia base
segura y fácil de auditoría de un servidor frente a cambios
inesperados.
Mejora la seguridad de los sistemas frente a amenazas internas y
externas.
Reducir los riesgos asociados con fraude y error humano.
Nextel
Diseño e implementación de estándares
y políticas de Seguridad para toda la
organización.
Asistimos al área de arquitectura IT en
la elaboración, implementación y
documentación de las políticas y
estándares del área para el grupo NII
en Latinoamérica.
Este trabajo se hizo en conjunto con los
responsables de arquitectura, seguridad
informática, bases de datos,
virtualización, datacenter y
telecomunicaciones.
Tenaris
• Tenaris es una empresa metalúrgica multinacional subsidiaria del Grupo Argentino Techint,líder mundial en la producción de tubos de
acero sin costura para la industria del petróleo.
• Desafío:
• Desde el área de seguridad corporativa de Tenaris, necesitaban contar con un equipo capacitado en distintas tecnologías,
metodologías y procesos de seguridad para la participación activa en distintos proyectos en un periodo acordado.
• Solución
• Desde Baufest se brindo un equipo de trabajo especializado en seguridad para suplir esa necesidad y hacer frente a nuevos
requerimientos y proyectos de seguridad
• Implementación de Framework de Seguridad para el Desarrollo Seguro.
• Brindado de capacitación y concientización sobre seguridad en Tenaris University
• Definición, desarrollo y implementación del modelo y estrategia de seguridad para nueva
aplicación Comercial del grupo.
• Modelado y definición de roles (RBAC) para Aplicación de gestión de la producción.
• Aseguramiento de plataforma para Aplicación gestión de la producción.
• Security Project Management en la Implementación de solución de IDM identity management.
• Implementación de Matriz RASCI para el área de seguridad corporativa.
• Modelado de roles estándares SAP (RBAC).
• Gestión de la seguridad en plataforma documental.
Tenaris
Actividades de Security Advisor
• Implementación de aspectos de seguridad en
el desarrollo en metodología y ciclo de vida
de las aplicaciones.
• Elaboración de políticas y estándares de
seguridad en SOA.
• Elaboración de estándares de controles de
seguridad en diferentes aspectos.
• Elaboración de guide-lines de desarrollo
seguro para diferentes plataformas y
proyectos
• Elaboración de material de curso y
concientización de seguridad internos.
• Provisión de capacitaciones de seguridad en
el ciclo de vida de las aplicaciones.
+23 años de innovación
Desde 1991, brindamos servicios de Software & IT para grandes
empresas
Oficinas en Argentina, Chile, México, España y USA
+1.000 proyectos en 50 países de América, Europa, Asia y África
+350 personas, +310 dedicadas a servicios e IT
Antigüedad top customers: entre 18 y 5 años
+95% índice de satisfacción de clientes
Desde 2008, entre las mejores empresas para trabajar en la
Argentina
ISO 9001 en Gestión de Servicios de Software
Calificación Investment Grade otorgada por Standard & Poor’s
Argentina
Buenos Aires
Tel.: +54 (11) 4118-8080
Fax: +54 (11) 4118-8080
Roosevelt 1655
C1428BNC, Buenos Aires
Argentina
Santa Fe
Tel.: +54 (342) 412-0368
San Jerónimo 1838
S3000FPP, Santa Fe
Argentina
¡Muchas Gracias!
Chile
Tel.: +56 (2) 2840-9977
General del Canto 526,
7500652, Providencia,
Santiago de Chile
Mexico
Luciano Moreira
IT & Security PracticeUnitManager
[email protected]
Tel.: +52 (55) 5531-8878
Fax: +52 (55) 5531-8878
Avda. Ejército Nacional 678,
Col. Polanco Reforma,
Distrito Federal C.P. 11550
México D.F.
USA
Tel +1 (617) 275-2420
1 Broadway 14th floor
Cambridge, MA 02142
USA
Spain
Tel.: +34 91 745-2763
Fax: +34 91 561-5626
c/ Francisco Giralte, 2
28002, Madrid
Spain