ecurity ervices
Transcripción
ecurity ervices
ecurity ervices Índice Introducción Visión Security Services Metodología Nuestro equipo Antecedentes Security Services Necesidades Introducción Security Services + Confianza Necesidades Introducción Security Services Introducción La información, el activo más importante de las Compañías, se encuentra cada día más integrado a la Tecnología. Es por ello que, la Tecnología de la Información, se esta convirtiendo en un pilar estratégico en toda Organización. Baufest ayuda activamente a las organizaciones a proteger su información contra amenazas internas o externas minimizando los riesgos sobre la operación del negocio. Nuestro equipo de expertos certificados y de amplia experiencia en servicios de seguridad se complementa con el resto de los especialistas de Baufest, brindando de esta manera servicios de amplio alcance alineados al negocio. Security Services Introducción La información, el activo más importante de las Compañías, se encuentra cada día más integrado a la Tecnología. Es por ello que, la Tecnología de la Información, se esta convirtiendo en un pilar estratégico en toda Organización. Baufest ayuda activamente a las organizaciones a proteger su información contra amenazas internas o externas minimizando los riesgos sobre la operación del negocio. Nuestro equipo de expertos certificados y de amplia experiencia en servicios de seguridad se complementa con el resto de los especialistas de Baufest, brindando de esta manera servicios de amplio alcance alineados al negocio. Security Services Introducción Send Security Services Introducción Usuario 2 hours ago Nuestro producto se hace de esta forma ……… Mi cuenta es: xxxxxxxxxxxx Send Security Services Introducción Consultoría Necesidades Security Services Objetivos Solución Security Services Introducción Security Services Introducción Baufest ayuda activamente a las organizaciones a proteger su información contra amenazas internas o externas minimizando los riesgos sobre la operación del negocio. Somos una unidad especializada en apoyar a empresas que están en proceso de aseguramiento de su negocio. Acompañaremos a nuestros clientes en las diversas etapas de un proyecto de esta clase. Security Services Visión ¿Dónde estoy? ¿Dónde quiero estar? Security Services Visión ¿Dónde estoy? ¿Dónde quiero estar? Inicial Repetible Definido Administrado Optimizado •Ausencia de política •Roles y responsabilidades no definidos •Procesos y tareas Manuales •Sin gestión de incidente •Ausencia de métricas e informes •Políticas limitadas •Roles parcialmente definidos •Procesos y tarea semiautomatizados •Visibilidad limitada de incidentes •Métricas e informes limitados •Política integral definida y publicada •Roles y responsabilidades bien determinados y definidos •Procesos y tarea automatizados •Seguimiento de los incidentes críticos •Métricas e informes definidos •Políticas publicadas e implementadas de forma uniforme •Roles y responsabilidades definidos y ejecutados •Procesos y tarea automatizados y operativos •Seguimiento y cierre de todos los incidentes •Métricas e informes enviados y revisado por el alta dirección •Revisión y mejora continuas de las políticas •Roles y responsabilidades revisados de manera continua •Actualización permanente de la automatizaciones •RCA aplicado a todos los incidentes y solucionados. •Métricas y requerimientos de informes revisados periódicamente y actualizados Security Services Procesos Herramientas Personas Visión Security Services Visión Security Services Visión Tenemos muchos empleados y nos es difícil controlar la información que sale de la compañía, pudiendo haber casos de perdida de información La infraestructura tecnológica que la soporta el negocio no esta diseñada para soportar riesgos naturales o accidentes como incendios, inundaciones, terremotos, etc. Tenemos muchos empleados, algunos de ellos seguramente no contentos con la compañía, que pueden querer afectar el negocio atacando de alguna manera los sistemas informáticos Necesito mejorar la accesibilidad a la información a través de diferentes tecnologías, pero esto me genera nuevos riesgos de accesos no autorizados que antes no tenia. Mis competidores están queriendo obtener información sobre nuestros productos u operaciones. Mi infraestructura tecnológica es muy compleja para administrar las identidades y permisos de mis usuarios generando una alta posibilidad de errores y altos costos de operación innecesarios. Mis competidores u otras organizaciones externas están interesados en afectar la operación de nuestro negocio. Los tiempos de respuesta en la creación de usuarios y otorgamiento de permisos necesarios para operar son muy largos, afectando la disponibilidad Trabajamos en un contexto geográfico inseguro. Ha habido muchos robos de elementos de trabajo como Notebooks o Pcs, Otra necesidad complementaria: Debo cumplir con un marco regulatorio especifico como… Security Services Security Services Brindamos servicios y soluciones completas relacionadas a la Seguridad de la información, con el objetivo de satisfacer las necesidades de nuestros clientes. Con una postura ética y atención personalizada, siempre nos destacamos por la calidad de las soluciones brindadas, alineadas con las necesidades expresadas por nuestros clientes. Security Services Security Services Cloud Security Security Governance Technical Security Advisory Security Compliance Secure Software Development Security Training and Awareness Security Services Cloud Security Los servicios de seguridad en la nube abarcan desde la evaluación de riesgos y cumplimiento regulatorio, hasta los aspectos técnicos de hardening y despliegue de controles específicos, tanto en el contexto de proyectos puntuales, o como parte de la estrategia corporativa del salto a la nube, con el objetivo de garantizar una transición segura. Nos especializamos en la definición de arquitecturas de nube que escalan de tamaño sin comprometer la seguridad y podemos ayudarlo a diseñar mecanismos y controles desde el principio, siguiendo las recomendaciones de las mejores prácticas del mercado. • Poner en marcha herramientas de gestión de vulnerabilidades y colectores de eventos de seguridad (SIEM) en la nube. • Implementar controles que hagan cumplir las políticas de protección de integridad de datos, confidencialidad y prevención de fuga de información. • Automatizar tareas de seguridad a fin de reducir los costos de administración • Combinar la evaluación de riesgos y hardening para proporcionar una mayor seguridad integrada • Implementar mecanismos que hagan cumplir la autenticación fuerte para el acceso remoto a máquinas virtuales, consolas de administración y APIs Security Services Evaluación de, y asistencia para, el diseño y la implementación de los procesos, controles, y hasta el mismo plan estratégico de gobernanza de seguridad de la información corporativos, de acuerdo con modelos de gestión de riesgos, normativas y estándares específicos, como MAGERIT, OCTAVE, ISO/IEC 27005, ISM3, o CObIT Security Governance Desde el diseño del programa de seguridad de información, y hasta su completa implementación, o para asistirlo en la integración de nuevos requisitos técnicos o reglamentarios en un programa existente. Los Expertos de Baufest pueden asistirlo a impulsar las iniciativas de seguridad para que pueda cumplir con sus responsabilidades fundamentales, lo que le permitirá ejecutar de manera más eficiente y eficaz el plan de gobernanza. Sin importar el tipo o el tamaño de su proyecto de gobernanza, el objetivo final de nuestros servicios es siempre el mismo: Habilitarlo para que tenga visibilidad y control sobre los activos de información de su organización, y que los controles que decida implementar estén a la medida de sus necesidades. Security Services El Servicio cubre evaluaciones, asesoramiento y gestión técnica de herramientas de seguridad en sus entornos tecnológicos con el objetivos de identificar el estado real de las aplicaciones, las plataformas que las soportan, las redes y los controles de seguridad que se han implementado Technical Security Advisory La tecnología es el marco que nos permite desarrollar barreras y salvaguardas necesarias para prevenir de las amenazas a las cuales se está expuesto a nivel organizacional cómo así también minimizar los riesgos inevitables. Nuestros expertos se encuentran al tanto de las últimas vulnerabilidades y las nuevas amenazas son simuladas remotamente a fin de determinar el impacto potencial en sus sistemas. En base al análisis de los resultados de estas pruebas, el servicio ofrece rápidas soluciones basadas en mejores prácticas que protegen sus sistemas y detienen las amenazas antes que éstas puedan afectarle Security Services Los servicios de cumplimiento regulatorio contemplan el diagnóstico, análisis de brecha (GAP Analysis), implementación de sistemas de gestión o controles, así como la simulación de auditoria (pre-auditoría) en preparación de una auditoría de certificación, con el objetivo de cumplimentar Normativas y Regulaciones Internacionales, Leyes y comunicaciones bancarias locales de cada país. Security Compliance Nuestros servicios de implementación relacionados con estándares de adopción voluntaria (e.g. ISO) permiten preparar un camino de adecuación paulatino y con una visión de riesgo ajustada a sus posibilidades de presupuesto y capacidad de trabajo, mientras que lo preparamos para gestionar y desarrollar las tareas con niveles de riesgo aceptable y recomendable para la Seguridad de la Información. • • • • • ISO/IEC 27001 Sistema de gestión de seguridad de la información PCI DSS (v2.0 y v3.0) – Payment Card Industry SOx (Ley Sarbanes-Oxley) Comunicaciones del Banco Central de cada país Leyes de Protección de los Datos Personales Security Services Si su modelo de ciclo de vida de desarrollo de aplicaciones confía en la práctica de penetración y parche, es muy probable que esté pagando el doble por su software. Secure Software Development Trabajamos realizando análisis, y brindando asesoramiento para el diseño de seguridad en arquitectura de software. Si su necesidad es la adquisición de herramientas de análisis de código estático o dinámico, o de protección de aplicaciones (e.g. WAF), podemos asesorarlo, proveerle las herramientas, la capacitación para su uso, y la perspectiva para maximizar su inversión Si su organización ya está pensando en los siguientes pasos o aún no sabe como comenzar, podemos ayudarlo a establecer seguridad en el desarrollo mediante modelos de madurez estándares, para que todos sus proyectos contemplen los controles necesarios de acuerdo al riesgo y las capacidades de su equipo de desarrollo. Nuestros servicios cubren el espectro completo de seguridad en el desarrollo, durante todo el ciclo de vida con el objetivo de que su software sea seguro desde el diseño y para que pague solo una vez por su software. Security Services Asistencia en la elaboración de la estrategia y los contenidos de un programa de concientización y educación de seguridad de la información. Security Training and Awareness • Generación de la estrategia de concientización en seguridad • Concepción de materiales de concientización creativos (mailing, posters, juegos, campañas de branding) • Armado de un equipo interno que lleve a cabo la estrategia • Tips para la creación de contraseñas • Asesoramiento de concientización alineado a las políticas de seguridad • Tips ante hackers • Disciplina de backup ante posible pérdida de información • Métricas del servicio • Encuestas de actitud • Talleres de ejemplificación (phishing en vivo, hacking de ingeniería social en vivo) Security Services Metodología Comprender en dónde se ubica la empresa actualmente Assessments (Evaluaciones) Evaluaciones, Identificación de Vacíos de Control, Pruebas de penetración Crear Estrategia de Seguridad para el futuro Estrategia de Seguridad Establecer y priorizar un plan de seguridad Gestionar una implementación efectiva Cuantificación y manejo del Riesgo Decisiones en seguridad sistemática. Ex: Optimización de Control Acelerar la curva de aprendizaje Soporte CISO (Jefe de Seguridad) Incrementar el equipo de seguridad empresarial Enfocarse en los asuntos críticos Remediación de hallazgos Poner en práctica un programa de seguridad Ser consciente que las amenazas están evolucionando Asegurar capacidades de respuesta efectiva a incidentes Cibernético – Físico Respuesta a Incidentes Revisar amenazas de seguridad, que impliquen lo físico y cibernético Proceso y práctica operacional para evaluar e implementar IR Security Services Metodología Plan (Planificar) Act (Actuar) • Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar. • Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. directivas, procedimientos y concienciación Red / Internet Do (Hacer) • Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala. host Aplicación Datos Check (Verificar) • Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento. Security Services Nuestro equipo Nuestro responsable de la Práctica LUCIANO MOREIRA DA CRUZ Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías informáticas y comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones de Auditor Líder ISO 27001, MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure Cloud Services, Cloud Computing Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD UNIVERSITY. Participó y lideró proyectos complejos en grandes empresas. Especialidades: Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un sistemas de gestión de la calidad y de seguridad de la información. Conocimientos: ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA. Algunos de nuestros Technical leaders LEONARDO ROSSO • ISC2 CISSP • ISACA CISA • IRCA Certified Lead Auditor ISO/IEC 27001 • MCSA Office 365 • Microsoft Specialist: Server Virtualization 2012 • MCSA Windows Server 2008 • MCITP Virtualization Administrator 2008R2 • MCITP Enterprise Administrator 2008 • MCSE + Security 2003 MARCELA MEYORÍN • Certified Information System Auditor (CISA) • Lead Auditor ISO 25999-2 • Fundation ITIL v.3 • ISO 20000 • Curso Seguridad Informática – Aplicación de LOPD • La Seguridad en los Sistemas de Información e Internet (LOPD) HECTOR MARTINOTI • IRCA Certified Lead Auditor ISO/IEC 27001 • VMware vSphere 5: Optimize & Scale • VMware Certified Professional 5 - Data Center Virtualization (VCP5-DCV) • Microsoft Windows Server 2012 • MCTS Windows server 2008 • Red Hat Certified System Administrator (RHCSA) • CCNA CHRISTIAN IBIRI MCSE Communication MCSE Private Cloud MCSE Server Infrastructure MCSA Office 365 MCTS Administering Office 365 for Small Business • MCTS Implementing Microsoft Azure Infrastructure • MCTS Server Virtualization with Windows Server • • • • • Security Services Antecedentes Banco Hipotecario • Assessment y Gestión de Ambientes • Definición del Modelo de Gobierno y Gestión de Ambientes • Definición de Procesos de Gobierno y Gestión de Ambientes • Definición de Estrategias de Implementación del Modelo presentado • Asistimos al área de Infraestructura Tecnológica en la elaboración, implementación y documentación de los procesos del área Gobierno y Gestión de Ambientes. • Este trabajo se valido en conjunto con los responsables Infraestructura Tecnológica, Seguridad informática, áreas prestadoras y técnicas del banco. Gift Card La Solución Desafío • Compañía líder en emisión, procesamiento y comercialización de Gift Cards en Argentina. Actualmente procesamos las Gift Cards de las principales tiendas del país, y posee canales comerciales propios para la venta a grandes empresas como a particulares. • Luego de algunos incidentes de seguridad en su actual aplicación core, Giftcard a contactado a Baufest solicitando un Assessment de seguridad para evaluar los procesos del sistema actual y con eso lograr mitigar los riegos del sistema nuevo a ser desplegado • Para lograr el objetivo Baufest recomiendo realizar una evaluación de la infraestructura de seguridad que incluye los procesos, la tecnología y las personas. • El objetivo de la evaluación fue evaluar los procesos que hacen al sistema actual y, de esta manera, prevenir falencias en el nuevo sistema a ser desplegado. Donde se encontraron varios puntos ya corregidos y se tomaron consideración para una segunda etapa llamada hardering de la plataforma para el nuevo despliegle. DON MARIO Assesment de seguridad sobre infraestructura Cloud: Tuvo como objetivo la evaluación de los niveles de seguridad asociados a los servicios y aplicativos publicados y montados en Cloud con el objetivo de identificar posibles vulnerabilidades que pudieran afectar tanto a su operativa normal como también aquellas vulnerabilidades que pudieran revelar información sensible o provocar accesos no autorizados. Gift Card La Solución Desafío • Compañía líder en emisión, procesamiento y comercialización de Gift Cards en Argentina. Actualmente procesamos las Gift Cards de las principales tiendas del país, y posee canales comerciales propios para la venta a grandes empresas como a particulares. • Luego de un assessment de seguridad se realizaron correcciones inmediatas pero quedando algunos aspectos de seguridad pendientes a corregir con la migración a la nueva plataforma. • Contemplando todos los puntos de aseguramiento a realizar en el corto y mediano plazo. • Contemplado el informe y los apectos de seguridad se llevo acabo un proyecto de Hardering de la plataforma. • El objetivo del proyecto fue Lograr una arquitectura robusta para soportar las demandas del negocio y al mismo tiempo mitigar al máximo cualquier tipo de fraude tecnológico o de otra índole. Evitando ataques conocido y no conocidos en la actualidad. Brindando una arquitectura segura y respaldada. Asegura que los recursos críticos tengan los “parches” actualizados y sean capaces de defenderse contra vulnerabilidades conocidas. Facilita el despliegue rápido de una configuración de referencia base segura y fácil de auditoría de un servidor frente a cambios inesperados. Mejora la seguridad de los sistemas frente a amenazas internas y externas. Reducir los riesgos asociados con fraude y error humano. Nextel Diseño e implementación de estándares y políticas de Seguridad para toda la organización. Asistimos al área de arquitectura IT en la elaboración, implementación y documentación de las políticas y estándares del área para el grupo NII en Latinoamérica. Este trabajo se hizo en conjunto con los responsables de arquitectura, seguridad informática, bases de datos, virtualización, datacenter y telecomunicaciones. Tenaris • Tenaris es una empresa metalúrgica multinacional subsidiaria del Grupo Argentino Techint,líder mundial en la producción de tubos de acero sin costura para la industria del petróleo. • Desafío: • Desde el área de seguridad corporativa de Tenaris, necesitaban contar con un equipo capacitado en distintas tecnologías, metodologías y procesos de seguridad para la participación activa en distintos proyectos en un periodo acordado. • Solución • Desde Baufest se brindo un equipo de trabajo especializado en seguridad para suplir esa necesidad y hacer frente a nuevos requerimientos y proyectos de seguridad • Implementación de Framework de Seguridad para el Desarrollo Seguro. • Brindado de capacitación y concientización sobre seguridad en Tenaris University • Definición, desarrollo y implementación del modelo y estrategia de seguridad para nueva aplicación Comercial del grupo. • Modelado y definición de roles (RBAC) para Aplicación de gestión de la producción. • Aseguramiento de plataforma para Aplicación gestión de la producción. • Security Project Management en la Implementación de solución de IDM identity management. • Implementación de Matriz RASCI para el área de seguridad corporativa. • Modelado de roles estándares SAP (RBAC). • Gestión de la seguridad en plataforma documental. Tenaris Actividades de Security Advisor • Implementación de aspectos de seguridad en el desarrollo en metodología y ciclo de vida de las aplicaciones. • Elaboración de políticas y estándares de seguridad en SOA. • Elaboración de estándares de controles de seguridad en diferentes aspectos. • Elaboración de guide-lines de desarrollo seguro para diferentes plataformas y proyectos • Elaboración de material de curso y concientización de seguridad internos. • Provisión de capacitaciones de seguridad en el ciclo de vida de las aplicaciones. +23 años de innovación Desde 1991, brindamos servicios de Software & IT para grandes empresas Oficinas en Argentina, Chile, México, España y USA +1.000 proyectos en 50 países de América, Europa, Asia y África +350 personas, +310 dedicadas a servicios e IT Antigüedad top customers: entre 18 y 5 años +95% índice de satisfacción de clientes Desde 2008, entre las mejores empresas para trabajar en la Argentina ISO 9001 en Gestión de Servicios de Software Calificación Investment Grade otorgada por Standard & Poor’s Argentina Buenos Aires Tel.: +54 (11) 4118-8080 Fax: +54 (11) 4118-8080 Roosevelt 1655 C1428BNC, Buenos Aires Argentina Santa Fe Tel.: +54 (342) 412-0368 San Jerónimo 1838 S3000FPP, Santa Fe Argentina ¡Muchas Gracias! Chile Tel.: +56 (2) 2840-9977 General del Canto 526, 7500652, Providencia, Santiago de Chile Mexico Luciano Moreira IT & Security PracticeUnitManager [email protected] Tel.: +52 (55) 5531-8878 Fax: +52 (55) 5531-8878 Avda. Ejército Nacional 678, Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F. USA Tel +1 (617) 275-2420 1 Broadway 14th floor Cambridge, MA 02142 USA Spain Tel.: +34 91 745-2763 Fax: +34 91 561-5626 c/ Francisco Giralte, 2 28002, Madrid Spain