Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros"

Aurora Velázquez López
hace 8 años
Vistas:

1 Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros Marcos Polanco Velasco Director de Servicios Gestionados de Seguridad Mnemo evolution & integration services

Financieros Marcos Polanco Velasco Director de

2 Índice 1. Por qué la seguridad perimetral no basta 2. Modelo de protección de bases de datos propuesto 3. Conclusiones 2

3 1 Por qué la seguridad perimetral no basta Las nuevas tendencias en las estadísticas De 2006 a mediados de 2008 las vulnerabilidades reveladas que afectan las aplicaciones Web significaron un 51% del total de vulnerabilidades reportadas(1) Las más comunes son XSS (Cross Site Scripting), SQL Injection, File include. SQL injection es la que se ha incrementado de manera más significativa (1) Ya se han observado ataques masivos de SQL injection (1) (1)Reporte del Xforce Mid Year 2008 (ISS/IBM) 3

Las más comunes son XSS (Cross Site Scripting), SQL Injection, File include.

4 1 Por qué la seguridad perimetral no basta Las nuevas tendencias en las estadísticas El 40% de los ataques Web tienen como objetivo la obtención de datos personales (2) El 76% tienen como propósito la obtención de beneficios económicos (2) SQL Injection destaca como la técnica más utilizada con un 20% (2) (2)Reporte anual de 2007 de Web Application Security Consortium 4

como propósito la obtención de beneficios económicos (2) SQL Injection destaca como la

5 1 Por qué la seguridad perimetral no basta Poca atención a la protección de las bases de datos Primero había que proteger el perímetro La seguridad en bases de datos es mucho más compleja Seguridad del sistema operativo Seguridad de las aplicaciones (propietarias o comerciales) Privilegios Usuarios y administradores Arquitectura de red y su seguridad Protocolos de comunicación Implica a otras áreas de TI tradicionalmente no tan involucradas en seguridad como Desarrollo y DBA s 5

las aplicaciones (propietarias o comerciales) Privilegios Usuarios y administradores Arquitectura de red y su seguridad

6 2 Modelo de protección propuesto Características 1. Enfoque gradual Hacer progresos escalonados consistentemente Sin afectación a la operación del negocio pero mejorando la seguridad constantemente 2. Evaluación de la seguridad con un enfoque tipo de niveles de madurez 3. Balance entre actividades realizadas internamente y las externalizadas Externalizar las tareas operativas que por su naturaleza sea más eficiente un proveedor de seguridad gestionada Realizar de manera interna aquellas que sean más sensibles e intrínsecas al negocio 6

constantemente 2. Evaluación de la seguridad con un enfoque tipo de niveles de madurez 3.

7 2 Modelo de protección propuesto Componentes 7

8 2 Modelo de protección propuesto Componentes Diagnóstico Inicial 1. Diagnóstico Inventario Pruebas de vulnerabilidad Análisis de riesgos 2. Transferencia marco metodológico 3. Vigilancia (periódica) Cumplimiento vs Baselines establecidos Cumplimiento vs Regulaciones (SOX, PCI) 8

9 2 Modelo de protección propuesto Componentes Aseguramiento 1. Fortalecimiento de Configuraciones (hardening) Afinación de la base de datos Afinación de los sistemas operativos 2. Robustecimiento de la arquitectura de seguridad FWs e IPSs de BD, Aplicaciones Web y Webservers Sistemas de log management Otros dispositivos/herramientas de seguridad 9

10 2 Modelo de protección propuesto Componentes Operación 1. Monitoreo Activo desde un SOC FW s e IPS s de BD Log Management (también como transferencia metodológica) Otros elementos de seguridad 2. Gestión de infraestructura de seguridad desde un SOC 3. Respuesta a Incidentes 10

(también como transferencia metodológica) Otros elementos de

11 3 Conclusiones Conclusiones 1. Considerar las seguridad en las bases de datos ya no es opcional 2. Asegurar las bases de datos requiere de un enfoque más completo 3. Considerar los servicios gestionados como una opción para ayudar a proteger las bases de datos 4. Considerar servicios puntuales tanto como recurrentes 5. Considerar que llegar al nivel deseado podrá tomar bastantes meses 11

Considerar los servicios gestionados como una opción para ayudar a proteger las bases de datos 4.

12 Fin de la presentación Muchas gracias 12

Documentos relacionados

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de