El papel del ISP en la seguridad del Comercio Electrónico Olof Sandström

Tamaño: px

Comenzar la demostración a partir de la página:

Download "El papel del ISP en la seguridad del Comercio Electrónico Olof Sandström"

1 El papel del ISP en la seguridad del Comercio Electrónico Olof Sandström Director de Seguridad Arsys.es

2 I Jornadas de Comercio Electrónico El papel del ISP en la seguridad del Comercio Electrónico (CE) Olof Sandström Director de Seguridad

3 Introducción - El cliente de CE demanda confianza 1. El proveedor es fiable 2. El proceso es seguro - Para que el proceso sea seguro hay que garantizar tres aspectos 1. Confidencialidad 2. Integridad 3. Disponibilidad

4 Introducción - Se hacen inversiones fabulosas para garantizar la Confidencialidad, Integridad y Disponibilidad de los sistemas de información, llegando a constituir auténticos búnkeres - Este gasto no es viable para muchas organizaciones - La organización debe dedicarse a su negocio y dejar que un tercero le proporcione los niveles de seguridad que necesita

auténticos búnkeres - Este gasto no es viable para muchas organizaciones - La

5 Pero, Qué es estar seguro? Entonces me dices que puedo estar tranquilo, que guardaras mis datos de forma segura Cuenta con ello, mi compañía tiene el sistema perfecto y seguro para tus datos

6 Entonces, Qué tenemos que hacer? Si queremos saber la situación real hay que tener en cuenta... - Servicios generales - Seguridad física - Mantenimiento - Sistemas informáticos - Redes y telecomunicaciones - Etc. Cada área aportará su visión, carencias, necesidades, etc., generalmente sin tener en cuenta las influencias que cada uno puede tener en el resto

.. - Servicios generales - Seguridad física - Mantenimiento - Sistemas informáticos -

7 Partes interesadas (stakeholders) Órganos de gobierno Consejo Órganos legislativos Asociaciones profesionales Clientes Comités de dirección Seguridad información Dirección TIC Consultores especializados Auditoría interna Riesgos TIC Equipos de proyecto Riesgo Operacional Proveedores Jurídico Auditoría De sistemas Recursos Humanos Seguridad física Proveedores De seguridad Sectores afines Partners de negocio

especializados Auditoría interna Riesgos TIC Equipos de proyecto Riesgo Operacional Proveedores

8 Bien, Propuestas? Para una empresa que quiere abordar CE es complicado implantar los niveles de seguridad necesarios para aportar la confianza que sus clientes demandan En general será más rentable subcontratarle a un ISP estos servicios, que desarrollar las infraestructuras necesarias En casa se tiene un botiquín y algunas medicinas, pero cuando hace falta atención especializada, se acude a un hospital

para aportar la confianza que sus clientes demandan En general será más rentable subcontratarle a un

9 Hay que montar todo esto? Clientes Usuarios de internet La competencia Hackers, etc. Servicios externos Oficina Principal Router Servidores Web Balanceador de carga Firewall PCs de empleados Servidor transaccional Firewall CA Interna Servidores corporativos Consola antivirus Switch Servidor de autorización y autenticación Monitorización Actualización de antivirus Mantenimiento de firewalls Análisis de vulnerabilidades Confianza y PKI, Etc. Túnel VPN IDS Gateway VPN Servidor de correo Túnel VPN IDS Firewall Consolas de gestión Servicios críticos: Financieros, ERPs, CRMs, etc. PCs de empleados Switch Firewall VPN Router Delegación Servidores Conexiones remotas

corporativos Consola antivirus Switch Servidor de autorización y autenticación Monitorización Actualización de antivirus Mantenimiento de firewalls Análisis de

10 Componentes de la seguridad Construcción Infraestructuras Cimentación, fachadas, cubiertas, entorno, paneles, cerramientos, etc. Electricidad, clima, ventilación, protección contra incendios, Intrusión física, etc. Sistemas informáticos Gestión / Administración Mantenimiento Servidores, telecomunicaciones, seguridad de red, etc. Plan contingencia, personal, terceras partes, control central, control de acceso, legal, etc. Auditoría, desarrollo de sistemas, inspección de infraestructuras, pruebas, ensayos, calibraciones, plan de mantenimiento, etc.

Sistemas informáticos Gestión / Administración Mantenimiento Servidores, telecomunicaciones, seguridad de red, etc.

11 - El ISP - Desarrolla las infraestructuras necesarias - Desarrolla e implanta los sistemas - Los mantiene - Dispone de personal cualificado 24 horas al día, 7 días a la semana

12 Gestión de las infraestructuras Sistemas y servicios cubiertos por el CPD Análisis de riegos Plan de continuidad de negocio, contingencia y recuperación de desastres Relación de controles o medidas de salvaguarda implantadas Política de seguridad Procedimientos de soporte a la gestión de las infraestructuras de seguridad Procedimientos de seguridad Plan de mantenimiento

controles o medidas de salvaguarda implantadas Política de seguridad Procedimientos de

13 Instalaciones Estructura del Edificio Protección contra incendios Climatización Instalación eléctrica Energía autónoma Instalaciones de fluidos Aparatos elevadores Seguridad de perimetral (física)

eléctrica Energía autónoma Instalaciones de

14 Gestión de la seguridad de la información

15 Comunicaciones y operaciones

16 Control de accesos

17 Compras, desarrollo y mantenimiento

18 Gestión de incidentes

19 Continuidad, contingencias y desastres

20 Auditorías y revisiones Por último se verifica regularmente que todo va según lo previsto, pasando auditorías de Calidad Protección contra incendios Instalaciones eléctrica Vulnerabilidades tecnológicas Intrusión Sistemas Etc.

auditorías de Calidad Protección contra incendios

21 Auditorías y revisiones Todo este trabajo genera confianza A la empresa le permite dedicarse sólo a aquello de lo que entiende: su negocio Al cliente le aporta tranquilidad

22 Caso de éxito Algunas cifras de Más de clientes Más de servicios activos Más de servidores en producción y creciendo

23 Conclusiones 1. Para que el CE prospere, los clientes tienen que percibir un entorno que les aporte confianza 2. Lograr ese entorno no es sencillo y para muchas empresas la inversión necesaria no se justifica 3. Los ISP invierten mucho dinero, esfuerzo, conocimiento e ilusión para proporcionar ese entorno 4. Es necesario tener competencias en muchas áreas y estar continuamente revisando la suficiencia de las medidas 5. arsys.es lleva 10 años proporcionando estos servicios, siendo actualmente líder en el mercado nacional de registro de dominios

24 Ruegos y preguntas La seguridad es un proceso, no un producto Olof Sandström Director de Seguridad arsys.es osandstrom@arsys.es

Documentos relacionados

GAT - Servicios Gestionados. de Data Center. Con plenas garantías de disponibilidad gracias a su diseño TIER IV y a un uso racional y responsable de

GAT - Servicios Gestionados. de Data Center. Con plenas garantías de disponibilidad gracias a su diseño TIER IV y a un uso racional y responsable de GAT - Servicios Gestionados de Data Center Con plenas garantías de disponibilidad gracias a su diseño TIER IV y a un uso racional y responsable de la energía CATÁLOGO DE SERVICIOS Introducción Los Data