Soluciones Tecnológicas para la Seguridad. Lucia Carrión n Gordón NEXSYS DEL ECUADOR

Transcripción

1 Visión Técnica: Soluciones Tecnológicas para la Seguridad Lucia Carrión n Gordón NEXSYS DEL ECUADOR

2 Evolución de la Seguridad Administración de la Complejidad 1 ra Generación Puertas, Armas, Guardias Seguridad Actual 2 da Generación Seguridad Reactiva 3 ra Generación Seguridad permite hacer negocios 4 ta Generación Seguridad Proactiva y Responsabilidad Tiempo

3 Escenario después del 11 de Septiembre... Necesidades Inversión 9/11 Wake Up Call New Investment After Re-Think Security & Continuity Investments Not Matching Real Need Time of user confusion and vendor missteps Fuente: IDC, 2002

4 La falta de recursos es el principal reto para la administración de la seguridad Pregunta: Cuál es el principal reto para la administración de la infraestructura de seguridad? (% de respondientes) Falta de recursos 37% Monitoreo de seguridad 19% Falta de políticas y procedimientos 17% Falta de integración entre las soluciones de seguridad 12% Falsas alarmas/falsos positivos Conciencia/refuerzo de seguridad entre usuarios 6% 6% Ninguna 2% Otros 2% Fuente: IDC s Enterprise Security Survey, 2003

5 Cuál es la primera prioridad en el planeamiento de seguridad de TI? Pregunta: Cuando está evaluando la seguridad en su ambiente de TI, cuál categoria de las siguientes tiene la primera prioridad? (% de respondientes) Infraestructura 31% Datos 29% Clases de usuarios Aplicaciones 13% 12% Ubicación 7% No sabe/no ha definido/otros 8% Fuente: IDC s Enterprise Security Survey, 2003

6 Incremento de la inversión en TI Pregunta: Para el año 2004, los gastos en tecnología de su organización fueron mayores, menores o iguales que los del año 2003? Iguales que los del % Mayores que los del % Menores que los del % En promedio, las empresas incrementaron en 8.7% el gasto en TI durante el 2004 Fuente: IDC Peru IT Services Spending Trends 2004 n = 153

7 Dificultad para justificar los proyectos tecnológicos retrasan la inversión en TI... Pregunta: Cuál sería el factor principal que más probablemente retrasaría los gastos externos en tecnología de su organización? 0% 10% 20% 30% Otros proyectos tienen mayor prioridad Utilidades muy bajas para financiar proyectos Incertidumbre del ambiente comercial Cambio de necesidades de negocio Clima político nacional Intento de expandir ciclo de vida de productos Personal interno calificado No sabe Fuente: IDC Peru IT Services Spending Trends 2004 n = 153

8 ...Pero se debe actualizar la base instalada y atender las nuevas necesidades comerciales Pregunta: Cuál sería el factor principal que más probablemente aceleraría los gastos externos en tecnología de su organización? 0% 10% 20% 30% 40% Nuevas necesidades comerciales Actualización de base tecnológica instalada Hay buenas utilidades No sabe Clima político nacional Alianzas con proveedores externos Presión de la competencia Falta de personal con habilidades adecuadas Fuente: IDC Peru IT Services Spending Trends 2004 n = 153

9 Seguridad y administración tienen la primera prioridad de inversión en SW de infraestructura Pregunta: Cuál de los siguientes tipos de software de infraestructura representa la primera prioridad en términos de la inversión de su organización? Aplicaciones empresariales 41% Herramientas de desarrollo 32% Infraestructura 27% Administ.de Redes 7% Sistemas Operativos 13% Middleware 4% Otros 1% Seguridad 26% Almacenam. 23% Administ.de Sistemas 26% Fuente: IDC Peru Software Spending Trends 2004 n = 97

10 Es la misma prioridad para todos? Pregunta: Cuál de los siguientes tipos de software de infraestructura representa la primera prioridad en términos de la inversión de su organización? Seguridad #1 Para los profesionales de Negocios Administración de Sistemas #1 Para los profesionales de TI 2005 Almacenamiento Sistemas Operativos Fuente: IDC Peru Software Spending Trends 2004 n = 97

11 Ejm: Una Aplicación Web Internet DMZ Red Protegida HTTP request Cleartext or SSL transport Web server AJP IIOP T9 App server (optional) Web app Web app Web app Web app DB DB Red Interna Web client: IE, Mozilla, HTTP reply (HTML, JavaScript, VBScript, etc.) Apache IIS Netscape J2EE server ColdFusion Oracle 9iAS Perl C++ CGI Java ASP PHP ADO ODBC JDBC Oracle SQL Server

12 Redefinición de Seguridad 3A Los fabricantes de Seguridad 3A (accesos, administración y autentificación), rápidamente se han reposicionado en dos nuevas áreas: Identity and Access Management (IAM) Vulnerability Managemnet (SVM) La seguridad 3A a migrado de ser un colector de utilidades y middleware hacia una mas completa solución de IAM. Fuente: IDC Peru Software Spending Trends 2004 n = 97

13 Redefinición de Seguridad 3A Existe una creciente conexión entre el hardware de autentificación y AIM en los clientes corporativos y clientes de gobierno. Esta tendencia esta dirigida por las regulaciones standares del mercado (gobierno u otras) y el costo creciente de administrar los passwords. Identity and Access Management es un grupo de soluciones usadas para identificar usuarios en el sistema (empleados, clientes, proveedores, etc.) controlando sus accesos a los recursos dentro del sistema, asociando sus derechos de usuario y restricciones con las establecidas con su identificación de usuarios. Fuente: IDC Peru Software Spending Trends 2004 n = 97

14 Redefinición de Seguridad 3A Fuente: IDC Peru Software Spending Trends 2004 n = 97

15 3 P s de la seguridad Políticas Establecer políticas de privacidad, seguridad y continuidad del negocio Personas Educar y crear conciencia de la importancia de la seguridad de la información Solo el 17% de las políticas de seguridad son lideradas por los gerentes de negocio Procesos Unificar la seguridad física con la seguridad virtual Establecer procesos que permitan identificar y prevenir tempranamente los riesgos potenciales

16 Criterios de selección de proveedores La solución de seguridad propuesta se integra con la infraestructura existente?... reduce el tiempo requerido del personal de TI?... reduce los falsos positivos?... archiva la información referente a seguridad?... permite establecer políticas de seguridad a la medida?

17 Estado de la seguridad en el Ecuador Que tan evolucionado está el tema de la SI? Cuando hablamos de SI, en que piensa la gente? Cual es el problema mas grande que se tiene? Que significa esto?

18 Dinámica del Medio Riesgo es más alto que nunca uno de cada tres usuarios pierde información el robo (5.8%), fallas del disco (22.9%), problemas del software (13.2%) y de hardware (18.6%), así como virus y desastres naturales (6.7%). Hacer más con menos como siempre La responsabilidad es clave Mercado de seguridad fragmentado Carencia de integración

19 Qué nos dice la gerencia técnica? Los Virus y la Vulnerabilidad están fuera de control Administración de Parches El SPAM está impactando nuestra efectividad Administración de cuentas de usuarios costosa Muchos datos, insuficiente información

20 Qué es la seguridad? No es un tema de SW ni de HW Es un tema crítico de continuidad de negocios Máximo acceso / Máxima Seguridad Políticas y prioridades EN ECUADOR: estamos en un proceso de generación de conciencia OPORTUNIDAD

21 Política de Seguridad A menudo no existe Frecuentemente desactualizadas Frecuentemente desconocido por el staff No reforzadas Imposible administrarlas

22 Política de Seguridad Informática De qué hablamos cuando hablamos de SI?

23 1) Organización de la seguridad Existe una política de SI? Hay políticas individuales? Se revisan las políticas de SI? Hay algún organismo de SI? Existe un programa de concientización a nivel organización? Hay algún gerente de SI? Hay un comité de SI de la Dirección? Hay discriminación de funciones?

24 1) Organización de la seguridad Se auditan externamente los procesos? Hay normas para contratación en áreas sensitivas? Firman acuerdos de confidencialidad habitualmente?

25 2) Control de la SI Hay un programa de control de la SI? Tienen un proceso de medición del programa de SI? Hay boletín de SI, entrenamientos, accesorios, etc.? La Seguridad (si esta implementada), está basada en procesos o procesos de riesgo asociados? Saben los usuarios que la compañía monitorea?

26 3) Administración de Usuarios Borran a los usuarios cuando salen/abandonan la organización? Está la descripción de tareas actualizada? Hay política para cambio de roles? Tienen herramientas de management de usuarios? Hay política de autenticación de passwords? Existen cuentas invitado y acceso público? Hay estándares para la creación de ID? Están definidos los roles ó grupos de roles? Claves de acceso: Hay procedimientos escritos?

27 4) Control de Acceso a Sistemas Hay sistemas de registros de historia de cuentas? Hay sistemas de autenticación? Hay control de intentos fallidos? Hay documentación de restricciones de acceso a la red? Hay políticas escritas de acceso a Servidores, WEB, telefonía, Bases de datos, Internet, etc.?

28 5) Seguridad Física & Ambiental Hay política de: Suministro de Energía, UPSs, para los sistemas críticos? Hay seguridad física y de medio ambiente? Hay política de seguridad del personal? Hay política de destrucción segura de medios magnéticos, y datos sensibles? Hay políticas de seguridad física de hardware?

29 6) Valuación de activos Existen procedimientos de inventario de los activos de TI? Hay clasificaciones de seguridad en cada sitio para la información? Hay un responsable por cada activo? Hay una lista de activos críticos? Hay estudio de dependencia de activos?

30 7) Valuación de Activo informático Se ha documentado formalmente el manual de procedimientos para prevenir Riesgos de Activos de TI? Existe una metodología formal de RA? El RA identifica amenazas, vulnerabilidades y grado de impacto? Hay una estrategia de RA?

31 8) Continuidad del Negocio Hay un Business Continuity Plan, BCP? (plan de contingencia de negocios) Hay procesos para cubrir activos más valiosos? Se documentan las interrupciones de servicio? Hay procedimientos de respuesta ante incidentes? Tienen canales de comunicación replicados? Hay control de Back up y recuperación?

32 9) Auditoría Se archiva la información de acuerdo a la legislación vigente? Se pueden seguir las transacciones desde su inicio hasta su ejecución? Se auditan los eventos de seguridad? Se monitorean las alertas en la consola central? Están los clocks sincronizados?

33 10) Programas de Aplicación Hay política de desarrollo de aplicaciones? Existen procedimientos de control de cambios? Están los ambientes de aplicación y desarrollo adecuadamente separados? Procesos de seguridad para instalación de software? Hay ambiente de testeo?

34 Visión CA en Administración de Seguridad Proveer soluciones on-demand de administración de seguridad Permitir la administración proactiva de un ambiente completo de seguridad Permitir al cliente enfocarse en su negocio. Ser su consejero confiable en administración de seguridad Sociedad para lograr eficiencias comerciales Asegurar operaciones comerciales continuas Cumplir con políticas y regulaciones de seguridad Reducir los riesgos totales de seguridad

35 Estrategias Conocer los estándares de las compañías. Ver con qué regulaciones deben cumplir. Tener información para entregar referida a la regulación en cuestión.

36 CA etrust Security Management

37 Preguntas?

38 Gracias