Seguridad Integral de la Información.

Transcripción

1 Seguridad Integral de la Información. VP Empresas Fecha: Octubre de 2009 BSI Lead Auditor, GIAC GSNA y GFWA - SANS Local Mentor Program Product Manager de Seguridad TI

2 01 El Mercado de la Seguridad: Fuente: IDC, Latin America IT Spending by Company Size special presentation for Telefonica September 2 nd 2009 VP Empresas 2

3 02 Requerimientos Legales en Latin America: Fuente: IDC, Latin America IT Spending by Company Size special presentation for Telefonica September 2 nd nd 2009 VP Empresas 3

4 03 Estadísticas en Incidencias de Seguridad VP Empresas 4

5 05 Robo de datos y tarjetas de crédito: Caso,Cadena de Tiendas TJX robo de Tarjetas de Créditos ( Mayo 2007): Caso, Manipulación de SCADA System (Sep 2009) Caso,Transbank. Santiago de Chile (Sep 2007). Un ex consultor de TI de una empresa de exploración de petróleo y gas se declaró culpable de la manipulación de los sistemas informáticos de la empresa los sistemas se utilizan para controlar a gran escala de los sistemas industriales en las plantas de fabricación, servicios públicos y la industria química,* * Fuente: VP Empresas 5

6 06 Wireless LAN: a/b/g y i Guide to Securing Legacy IEEE Wireless Networks (SP Rev. 1 Jul 2008) VP Empresas 6

7 07 Recomendaciones del uso de WLAN Guide to Securing Legacy IEEE Wireless Networks (SP Rev. 1 Jul 2008) Fuente: PCI Payment Card Industry Version 1.2 Fuente: spanish_pci_dss_v1-1.pdf Fuente: Department of Defense (DoD) of USA VP Empresas 7

8 08 De quienes nos debemos proteger: Denial of Defacement SQL Web Service Injection Phishing Trafico desde Internet SPAM-Bombing XSS, Cross Site Scripting Malware Virus WLAN, LAN MITM Robo de Info Proveedores XSS- Cross Site Scripting Denial of Service SQL Injection Acceso Desautorizado Inundación Tráfico Información hablada Información impresa Acceso a los Sistemas Robo de Información. Empleados Internos Manejo de Dispositivos Moviles: CDs, USB, HD. Acceso a la red: LAN, WLAN, WAN Acceso directo : -Base de Datos - File Server - Unidad de Backup Amenazas: Tormentas Huracán, Desastres, Terremotos, Vandalismo. VP Empresas 8

9 09 Estrategia de protección: Defense in Depth Es una estrategia práctica utilizada para proteger la información de las empresas basado en la IATF[1]. Seguridad en Profundidad es una estrategia basada en crear capas de protección para un sistema en un entorno [1] IATF : Information Assurance Technical Framework Chapter 2 La estrategia recomienda un balance de los siguientes puntos, para su implementación en el aseguramiento de la infraestructura tecnología de las empresas : Capacidad de Protección Costo Performance Operación [1] IATF : Information Assurance Technical Framework Chapter 2 Fuente: VP Empresas 9

10 10 Defense in Depth: Controles: Physical Security. Authentication/pass security Antivirus software Firewalls (HW or SW) DMZ (Demilitarized zones) IDS (IDS) IPS (IPS) Packet filters Routers and Switches Proxy servers VPN (Virtual Private N.) Logging and Auditing Biometrics Timed access control Software/hardware ESTRATEGIA DE LA SEGURIDAD DE LA INFORMACIÓN: A - Institución identifique los procesos críticos de negocio y operatividad. B - Institución identifique los riesgos TI, que están expuestos. C - Plan de Tratamiento de Riesgos TI. D - Existan Métricas de evolución de un SGSI (Sistemas de Gestión de la Seguridad de la Información). * ISO PROVEEDOR DE SERVICIOS DE TI: Experiencia en Alta Integración. Conocimiento Independiente de las nuevas Vulnerabilidades, Amenazas, Tecnologías. Equipo de trabajo que tenga un alto grado de Especialización. Alto grado de Integración con diferentes productos, fabricantes, proveedores. VP Empresas 10

11 11 Telefónica y la oferta de seguridad : VP Empresas 11

12

13 1 Requerimientos de Cumplimiento: -En el Estado Peruano: - Presidencia Consejos de Ministros (PCM):RESOLUCIÓN MINISTERIAL No PCM Norma Técnica Peruana NTP-ISO/ IEC EDI ( 22Agosto,2007). Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. Adicionalmente Crean el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú ( Pe-Cert)- Resolución Ministerial No PCM (19Ago09). Superintendencia de Banca y Seguros (SBS): CIRCULAR No G (Gestión de la seguridad de la información), las cuales toman como referencia estándares ISO e ISO A continuación alguna de las instituciones de aplicación: Cajas Municipales de Ahorro y Crédito (CMAC), Banco de la Nación, el Banco Agropecuario, Corporación Financiera de Desarrollo (COFIDE), - Policía a Nacional del Perú (PNP): Se crea la División de Investigación de Delitos de Alta Tecnología dependiente de la Dirección de Investigación Criminal y Apoyo a la Justicia mediante Resolución Directorial No DIRGEN/ EMG del 08 Ago2005. VP Empresas 13

14 2 Seguridad de Información en Telefónica Proyectos de Infraestructura de Seguridad VP Empresas 14 14

15 3 Conclusiones: VP Empresas 15 15