TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV

Transcripción

1 YOUR BUSINESS. OUR INSIGHT. TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

2 Personas YOUR BUSINESS. OUR INSIGHT.

3 Agenda 9:45-10:00 Recepción & Presentación 10:00-10:20 Nociones de Seguridad Pere Pla (ezone Solutions) 10:20-10:40 Riesgos en Cada Escenario Remoto Pere Pla (ezone Solutions) 10:40-11:00 Coffee Break 11:00-11:20 Cliente Web en Microsoft Dynamics NAV (Tectura) 11:20-11:40 Soluciones de Seguridad (David Pujadas ezone Solutions) 11:40-12:00 Demostración (David Pujadas ezone Solutions) 12:00 Ronda de Preguntas Property of Tectura Corporation. This information is intended only for use of company name inserted. Page 3

4 YOUR BUSINESS. OUR INSIGHT. TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV Nociones de Seguridad 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

5 Sobre ezone La seguridad informática ezone es una consultora tecnológica especializada en seguridad Dos áreas especializadas: - Tecnología: Seguridad perimetral, mantenimientos de seguridad y proyectos relacionados con la seguridad. - Servicios gestionados: NetDefenZ y BackupDefenZ. - Consultoría: adaptación LOPD, planes de continuidad de negocio: DRP y BCP, auditorías de seguridad y test de intrusión. Personal: - Formado y certificado: ITIL, CISA, CISM y diversas certificaciones tecnológicas de fabricantes Oficinas: - Barcelona y Madrid - Property of Tectura Corporation. This information is intended only for use of company name inserted. 6/26/2013

6 La seguridad informática La seguridad informática La seguridad informática es una disciplina que se encarga de proteger la confidencialidad, integridad y la disponibilidad de una información almacenada en un sistema informático. Añadimos la autenticidad. No existe ninguna técnica que permita asegurar la inviolabilidad de un sistema informático. 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

7 Seguridad y amenazas Elementos a proteger Hardware Software Datos De quién hay que protegerse? Personas Amenazas lógicas Amenazas físicas 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

8 Principales amenazas Virus, gusanos, troyanos, backdoors, adware y pop-ups (solución: antivirus) Intrusos, hacker, cracker y keylogger (solución: firewall) Spam (solución: antispam) Spyware (solución: antispyware) Dialers (anti-dialer), bugs y exploits (actualización), jokes y hoaxes (ignorar) Property of Tectura Corporation. This information is intended only for use of company name inserted.

9 Soluciones Debemos enfocarnos en reducir el riesgo, y no en tratar de eliminar las amenazas, ya que es imposible. Tipos de ataques: Ataques Internos Premeditación (empleados mal intencionados o ex empleados con información privilegiada) Descuido Ignorancia Indiferencia de las politicas de seguridad Ataques externos Hackers, Crackers, Lammers, Script-Kiddies. Motivaciones: Ranking, reto personal, robo de datos, pruebas (pen test) y otros. 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

10 Normas simples 1. Siempre respetar las políticas de seguridad de la empresa 2. Siempre tener nuestros servicios actualizados a la última versión conocida estable 3. Utilizar mecanismos de criptografía (certificados digitales) para almacenar y transmitir datos sensibles 4. Cambiar las claves cada cierto tiempo 5. Autoauditar nuestros propios servicios (Test de intrusión) 6. Nunca pensar que a nosotros nadie nos ataca. 7. No dejar respaldos con información sensible en directorios web 8. No usar las mismas claves para servicios distintos (por ejemplo, que la clave de root sea la misma que la de MySQL) 9. Colaborar para reportar cualquier brecha de seguridad 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

11 Protección de redes WiFi Apagar el router o access point cuando no se utilice Nunca entregar la clave WiFi a terceros Utilizar claves de tipo WPA2. Como segunda opción WPA y en el peor de los casos WEP (128 y 64 bits) Habilitar el control de acceso por MAC Deshabilitar servicios innecesarios en el router (SNMP, Telnet, SSH, etc) Deshabilitar el acceso inalámbrico a la configuración Cambiar los puertos por defecto de los servicios necesarios en el router (ej: http a 1000) Desactivar el broadcasting SSID Desactivar DHCP. Utilizar sólo IP manuales dentro de rangos poco convencionales. (Ej: ) Usar VPN si fuese posible 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

12 Implicación en la sociedad Infraestructuras vitales de un estado: Actividades económicas Servicios públicos Tráfico aéreo Sistemas de salud Sistemas de inteligencia Sistemas de defensa Control sobre el enemigo Inexistencia de distancias y fronteras Nuevo equilibrio de poder 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

13 Es difícil ser hacker? Nivel de Sofisticación de las Herramientas Nivel de Conocimientos Necesarios /26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

14 Políticas de seguridad Las políticas no deben impedir el trabajo de los empleados en lo que les es necesario para sus tareas: Elaborar reglas y procedimientos para cada servicio, departamento o perfil de la organización Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los empleados con los problemas ligados con la seguridad de los sistemas informáticos. 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

15 Falsas acepciones Mi sistema no es importante para un hacker Estoy protegido pues no abro archivos que no conozco Como tengo antivirus estoy protegido Como dispongo de un firewall estoy seguro Tengo un servidor web cuyo sistema operativo es un Unix/Linux actualizado a la fecha

16 YOUR BUSINESS. OUR INSIGHT. TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV Riesgos en cada escenario 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

17 Formas de identificar amenazas Cada escenario está expuesto a un grupo de amenazas específicas que debemos identificar Se determina estimando el producto del "tamaño relativo" de la amenaza por su "capacidad intrínseca de generar daño", utilizando para ello la siguiente matriz, descartando aquellas No Significativas, o sea las que tengan un índice inferior a 3 (1 ó 2).

18 Qué es una Red Privada Virtual o VPN? Al utilizar Internet para trasnmitir datos de un punto a otro tenemos el riesgo de que puedan ver y alterar los datos Una VPN permite que enviemos y recibamos datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada se realiza estableciendo un conexión virtual punto a punto mediante el uso de conexiones dedicadas, encriptación o la combinación de ambos métodos

19 Riesgo cuando estoy en la oficina Entorno: Comunicaciones protegidas (firewall, etc) PC Protegidos (antivirus, etc) Normas de utilización Riesgos: Mínimo (si todo está correcto) Qué debemos tener: Políticas de seguridad Protección perimetral: firewalls, etc. Protección interna

20 Riesgo cuando trabajo desde mi casa Entorno: ADSL (sin firewall) PC o pequeña red ( antivirus?) Conecto con la oficina: modo terminal o VPN Riesgos: PC compartido (posible malware) Posibles accesos no autorizados Puedo infectar a la oficina a través de la VPN

21 Trabajo desde un cibercafé Entorno: Líneas desconocidas Se protegen sólo los propios PC Conecto con la oficina: modo terminal o VPN Riesgos: PC compartido (posible malware) Posibles accesos no autorizados Grabador de pulsaciones

22 Estoy en una WiFi gratuita o pública Entorno: Desconocido Conecto con la oficina: modo terminal o VPN Riesgos: Se puede analizar (sniffing) todo el tráfico abierto (sin SSL) Pueden entrar en nuestro PC Alto riesgo

23 Servicio NetDefenZ de ezone Seguridad remota gestionada: Firewall Antivirus perimetral Filtrado de contenidos Bloqueo por IPS de aplicaciones de redes sociales Antispam de primer nivel Monitorización permanente Atención personalizada Informe mensual Appliance en casa del cliente Solo cuotas mensuales Instalación en 1 día Sin límites de servicio Desde 98 /mes

24

25 YOUR BUSINESS. OUR INSIGHT. TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV Cliente Web en Microsoft Dynamics NAV 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

26 Novedades funcionales en NAV 2013 Productividad Gráficos Individual Mejoras en filtros Compartir Link Integración Excel Ribbon Integración OneNote Opciones de Llamadas Teclas rápidas Seleccionar Todo Gestión Rediseño tabla Financiera Plan de Cuentas Rediseño estructura Dimensiones Cash flow Contabilidad de Costes Herramienta cambio IVA Reports Gestión de Movimientos de Almacén Producto Ubicaciones dedicadas Integración con Pedidos de Servicio ADCS Supply Chain Ensamblage Management Parámetros de planificación Vistas de disponibilidad de producto Mejores prácticas SetUp

27 Tipos de Clientes en NAV 2013 Windows Client Web Client SharePoint Client Core ERP User Full Microsoft Dynamics NAV aplicación ERP User Full Microsoft Dynamics NAV aplicación en un navegador web Usuarios ERP ligeros u Ocasionales, ó Microsoft SharePoint Users Microsoft Dynamics NAV Portal framework for Microsoft SharePoint Aplicaciones autoservicio, colaboración Rico, Intensidad & Productividad usuario Acceso desde cualquier lugar, dispositivos SIN instalación Cliente Productividad de negocio mejorado a través de Microsoft SharePoint

28 YOUR BUSINESS. OUR INSIGHT. TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV Soluciones de seguridad 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

29 Origen de los accesos Cibercafés u otros puntos públicos Puntos residenciales, equipos propios con acceso a Internet Portátiles con acceso a Internet independiente Otras oficinas o delegaciones

30 Usuarios control de acceso Un primer nivel básico es por su IP de origen, siempre que sea posible identificarlo de manera única Identificación de usuario con nombre / password Comprobación real del usuario. Autenticación fuerte o doble autenticación. SMS / Token

31 Dónde se accede Documentación de Intranet Accesos administrativos a servidores Aplicaciones cliente / servidor Documentación de carácter confidencial

32 Cómo se controla Determinar las necesidades mínimas de conexión para su autenticación en origen: En conexiones abiertas (cibercafé) acceso mediante un portal de autenticación. Éste tiene acceso a la información necesaria y está cifrada En conexiones residenciales o independientes, mediante un software de validación y cifrado Para conexiones entre oficinas, hardware dedicado a establecer una conexión permanente segura y cifrada

33 Control de dónde se accede Limitar el acceso a lo estrictamente necesario Tener un registro de quién se ha conectado y el medio usado Registro de acceso a la información solicitada En lo posible, acceso mediante otros equipos en pasarela (frontales) protegiendo a los equipos internos y su valiosa información Borrado en el equipo de acceso, de todo caché o historial de acceso a la información del destino

34 Cómo se controla a los usuarios Gestión de contraseñas eficientes Evitar el uso del usuario admin / administrador / etc. Autorizar solamente algunos orígenes de conexión Comprobación mediante un sms / que es la persona autorizada y no otra (suplantación). Medidas de doble autenticación

35 YOUR BUSINESS. OUR INSIGHT. TRABAJE DE FORMA REMOTA Y SEGURA CON MICROSOFT DYNAMICS NAV Demostración 6/26/2013 Property of Tectura Corporation. This information is intended only for use of company name inserted.

36 Preguntas? Oficina Barcelona Aribau ª Barcelona Oficina Madrid Av de Manoteras 18 4ª Madrid

37 YOUR BUSINESS. OUR INSIGHT. This presentation contains information that is privileged, confidential or otherwise protected from disclosure. Any review, dissemination or use of this document or any of its contents must be approved by Tectura Corporation. Tectura makes no warranties, express, implied, or statutory, as to the information in this presentation. The information herein is for informational purposes only and represents the current view of Tectura as of the date of this presentation. Because Tectura must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Tectura, and Tectura cannot guarantee the accuracy of any information provided after the date of this presentation Tectura Corporation. All rights reserved. Tectura is a registered trademark owned by Tectura Corporation and registered in the U.S. and several European and Asian jurisdictions. All company, brand, or product names are marks of their respective holders. Special Note Regarding Forward-Looking Statements: This presentation may contain forward-looking statements relating to, without limitation, future economic performance, plans, and objectives of Tectura Corporation for future operations and projections of revenue and other financial items that are based on the beliefs of, assumptions made by, and information currently available to Tectura Corporation. The words expect, estimate, anticipate, believe, intend, plan and similar expressions and variations thereof are intended to identify forward-looking statements. The cautionary statements in this presentation and the assumptions used in the preparation of the forward-looking statements identify and involve important factors with respect to such forward-looking statements, including certain risks and uncertainties, which could cause actual results or the benefits that Tectura Corporation might derive to differ materially from those expressed in or implied by such forward-looking statements. Tectura info@tectura.com Property of Tectura Corporation. This information is intended only for use of company name inserted.