Seguridad de la Información

Transcripción

1 Seguridad de la Información 2013

2 Retos actuales de la seguridad Nintendo Ibérica está siendo chantajeada por el robo de datos de usuarios Nintendo Ibérica ha informado de que se ha producido una sustracción de datos de carácter personal de una base de datos asociada a su actividad de Marketing mediante la utilización de técnicas de 'hacking'. El ladrón está chantajeando a la compañía con los datos de miles de usuarios. Hay 18 detenidos que habrían estafado de euros La Policía Nacional desarticula un grupo internacional dedicado al carding Agentes de la Policía Nacional han detenido a 18 personas dedicadas al uso ilegítimo de tarjetas de crédito ajenas. Este grupo, integrado por hombres y mujeres de siete países, se asentaba en España y habría estafado mediante carding unos euros.. El proceso completo, desde el pago por las numeraciones de tarjetas, hasta que su volcado en otras falsas, no se dilataba más de seis

3 Retos actuales de la seguridad Cumplimiento de Normativas (LOPD, ENS, ISO 27000, PCI, ) Gestión de la Seguridad Presupuesto, personal, concienciación Responsables de Seguridad Privacidad Cloud, ataques, fraude, acceso Movilidad Portátiles, smartphones, tablets,

4 Servicios de Seguridad de la Información Consultoría Oesía ofrece servicios avanzados de consultoría de Seguridad para ayudar a sus clientes a proteger sus activos de la forma más adecuada. Oficina de Seguridad Normativa LOPD Selección Tecnología Seguridad de BBDD Fugas de información Identidad y acceso Cifrado y firma Arquitectura Diseño, implantación y soporte de infraestructura de seguridad en los entornos tecnológicos de la organización. Estándares Cuadro de Mando Soporte 24x7 Firewall, IPS, VPN Auditoría Redes Un conjunto de servicios y productos de auditoría de seguridad que abarcan desde el hacking ético hasta la auditoría continua, basados en estándares internacionales. Código Aplic. web Hacking ético Auditoría continua Pen testing Normativa Informes Gestión de incidencias Monitoriza ción Online SLAs Auditoría Continua Cuadro Mando Correlación de eventos Desde su Centro de Operaciones de Seguridad, Oesía ofrece servicios de Seguridad Gestionada 24x7 que permiten al cliente gestionar y conocer el estado de su seguridad en tiempo real. 4

5 Seguridad de la Información - Portfolio Oesía cubre todas las necesidades en materia de Seguridad de la Información Consultoría Arquitectura Auditoría Seguridad Gestionada Plan Director de Seguridad Análisis y Gestión de Riesgos Cumplimiento de Normativa: ISO, LOPD, ENS Plan de Continuidad de Negocio Sistemas de Gestión de la Seguridad - SGSI Cuadro de Mando Oficina de Seguridad Definición e integración de soluciones de seguridad perimetral Gestión de identidades Prevención de fugas de información (DLP) Seguridad de BBDD Cifrado, certificación y firma digital Gestión de permisos de información (IRM) Detección de fraude Auditoría de sistemas, redes y código (OSSTMM, OWASP) Penetration tests Hacking ético Servicios de Auditoría Continua Servicios PCI DSS Servicios de SOC Análisis de seguridad Gestión de eventos y alarmas Gestión de incidencias Monitorización del nivel de riesgo Prevención y detección de intrusiones y vulnerabilidades Gestión de infraestructuras de seguridad Cuadro de mando y reporting 5

6 Consultoría Los servicios de Consultoría de Seguridad de Oesía abarcan las disciplinas necesarias para definir una estrategia de seguridad de los sistemas de información de una organización y para cumplir con las normativas y estándares que regulan el entorno. Gestión de Riesgos SGSI Plan Director de Seguridad Plan de Continuidad Estándares y Normativa 6

7 Plan de Concienciación y Formación Consultoría Plan Director de Seguridad 1. Análisis de Situación Actual 2. Análisis de Vulnerabilidades Técnicas 3.Organización de la Seguridad de la Información 4. Análisis y Gestión de Riesgos O F I C I N A QUICK WINS FUNCIONES TRATAMIENTO DE RIESGOS 5. Conformidad con Normativa 6. Política de Seguridad y Cuerpo Normativo 7. Plan de Continuidad del Negocio 8. Plan de Acción T É C N I C A POLITICAS NORMAS PROCEDIMIENTOS CORTO, MEDIO Y LARGO PLAZO 7

8 Consultoría - Oficina de Seguridad Cumplimiento normativo Gestión de implantación de medidas de seguridad. Gestión del riesgo SGSI y Certificación ISO Gestión de cumplimiento de política y procedimientos Cuadro de Mando de Seguridad Oficina Seguridad Gestión de continuidad de negocio Consultoría tecnológica Auditoría de sistemas y código Gestión de incidentes Gestión de formación y concienciación 8

9 Consultoría - Diagnóstico de seguridad servicios cloud Dónde están mis datos? Hay garantía de continuidad? Cómo audito mis sistemas en la nube? Analizamos las ofertas de sus proveedores de soluciones en Cloud desde el punto de vista de Seguridad y Privacidad Identificamos las amenazas, las vulnerabilidades y los riesgos potenciales para su servicio Comparamos los requisitos de seguridad y privacidad de su negocio vs. la oferta del proveedor de servicios cloud Le apoyamos en la decisión de qué proveedor de Cloud escoger, qué medidas debe exigir, y cómo mitigar sus riesgos 9

10 Consultoría: Adecuación Normativa: LOPD, ISO 27000, ENS (AAPP) Diagnóstico de situación actual y GAP respecto a la normativa. Plan de acción a varios años. Oficina de seguridad flexible para el control, seguimiento, reporting y ejecución de medidas correctoras. Herramientas para facilitar y comprobar el cumplimiento Formación y concienciación continua OFICINA DE SEGURIDAD Difundir el apoyo de la Dirección Determinar Alcance y Objetivos Tareas a realizar Análisis GAP respecto R.D. Establecer Organización de la Seguridad Mantenimiento de la Mejora Continua Kick Off del Proyecto Compromiso de la Dirección Planificación Fechas Responsables Establecer un plan de Acción y tratamiento de riesgos Implementar las mejoras Realizar Análisis de Riesgos Medir la efectividad Determinar la categoría de los Sistemas de Información Documentar los Procesos de Servicios Electrónicos Planificar Actuar Hacer Revisar Plan de Formación y Concienciación de Seguridad de la Información Apoyo y Supervisión de la Dirección 10

11 Arquitectura de Seguridad Seguridad en todos los ámbitos MOVILIDAD Dispositivos móviles Cifrado de voz y datos Control de acceso Gestión remota de PDAs PERIMETRO IDENTIDAD Puesto de Trabajo Perimetral Firewall, VPN, UTM, IDS/IPS Filtrado web, y mensajería instantánea DLP Identidad Digital Gestión Identidades y SSO IRM Biometría Servidores y PCs Protección Endpoint Cifrado 11

12 Arquitectura de Seguridad Servicios Consultoría Técnica Asistencia Técnica SOPORTE Resolución de incidencias ADMINISTRACIÓN Implantación Mantenimiento Reportes de estado Atención 24x7 Monitorización 12

13 Arquitectura: Information Rights Management (IRM) La protección viaja con el documento, tanto dentro como fuera de la red...en reposo...en tránsito...en uso Información Leer Imprimir Copiar/Pegar Protección de s, adjuntos, documentos, carpetas, Sharepoint, BlackBerry, ios Los documentos permanecen cifrados Asignación de permisos por usuario: imprimir, copiar/pegar, guardar, imprimir pantalla, reenviar,... Posibilidad de caducidad de permisos y de revocación inmediata Políticas y reglas de aplicación automática. Informes de acceso a documentos protegidos 13

14 Arquitectura: Next Generation Firewalls Los firewalls tradicionales sólo usan el número de puerto y dirección IP para clasificar aplicaciones e identificar a los usuarios SaaS Collaboration / Media Personal Nuevos Requisitos para el FW 1. Identificar las aplicaciones 2. Identificar usuarios de forma independiente de la dirección IP 3. Proteger en tiempo real frente a amenazas embebidas en las aplicaciones 4. Control de Políticas para el acceso a las aplicaciones 5. Despliegue sin degradación en rendimiento 14

15 Arquitectura: Detección de fraude interno Detección de fraude siguiendo patrones de comportamiento del usuario a nivel de aplicación Investigación de los acontecimientos sospechosos usando un detallado registro de auditoría Facilita el cumplimiento con Basilea II, LOPD, MiFID, regulaciones, anti-blanqueo de dinero, etc. Grabación de la interacción del usuario con el host, cliente servidor o aplicaciones Web. Reproducción de las sesiones de usuario Análsis de contenido de pantallas y mensajes Alertas ante eventos sospechosos Posibilidad de reglas forenses 15

16 Auditoría Servicios de Auditoría de Seguridad Red y Servicios Aplicaciones Web Código PCI DSS getparentlayoutid: function() { return "0"; }, getlanguageid: function() { Auditoría Continua 16

17 Auditoría Servicio de Auditoría Continua El equipo de especialistas de Ethics, apoyados por herramientas avanzadas, están permanentemente en busca de nuevas vulnerabilidades y potenciales fallos de seguridad Monitorización proactiva de seguridad 24x7 Acceso on-line actualizado a los resultados del análisis Seguimiento mensual de la evolución mediante informe técnico y ejecutivo Complementa otras soluciones basadas en monitorización pasiva como IDS o IPS Uso de metodologías estándar de auditoría reconocidas internacionalmente Capacidad de respuesta ante incidencias 17

18 Auditoría Oesía ofrece una serie de servicios orientados a ayudar a las organizaciones a cumplir con los requerimientos establecidos por el estándar PCI- DSS: Evaluación y consultoría de cumplimiento PCI-DSS Apoyo para la implantación de controles Proceso de certificación Escaneos remotos de red trimestrales según lo exigido para mantener el cumplimiento Soporte al cumplimiento continuo del estándar Análisis de ámbito de aplicación Análisis de Gap Proceso de regularización Preparación de auditoría in-situ Proceso de certificación Mapa de ámbito de aplicación de normativa Caracterización de Amenazas y Salvaguardas Plan de acción Mapa controles Requerimientos a tener listos para la auditoría Reporte de Cumplimiento Qualified Security Assessor Oesía ha sido certificada por el PCI Security Standards Council como QSA: empresa autorizada a prestar servicios de adecuación al estándar PCI-DSS Además, los especialistas de Oesía cuentan con las mas reconocidas certificaciones en consultoría de Seguridad 18

19 SEGURIDAD GESTIONADA Seguridad Gestionada integrated Security Operations Center Desde su Centro de Operaciones de Seguridad, Oesía ofrece servicios de Seguridad Gestionada 24x7, permitiendo a sus clientes conocer en todo momento el estado de su seguridad. Monitorización on-line del nivel de riesgo Correlación de millones de eventos Control de métricas e indicadores Cuadro de mando y gestión de incidencias Servicios de Auditoría continuada Búsqueda pro-activa de amenazas Análisis continuo (sistemas, red, código) Cuadros de mando Gestión de infraestructuras de seguridad Soporte y asistencia Administración de plataformas Monitorización 19

20 Seguridad Gestionada ATAQUES IDENTIFICACIÓN ANÁLISIS RESPUESTA CONTROL Intrusiones Malware, Virus, Eventos Alarmas Tráfico no permitido: p2p, Accesos no autorizados isoc Oesía Portal de Control (métricas e informes) Cliente Salto de Políticas Anomalías de red Excesos de tráfico Políticas de seguridad Directivas Valoración del riesgo Priorización de alarmas LABORATORIO INCIDENCIAS Escalado Toma de decisiones Acciones de respuesta Resolución Cliente 20

21 Formación Planes de concienciación Portales de seguridad Masters Master in Security Governance Master/Expert in Information Security Formación según necesidades del cliente: IT Security Management Análisis de riesgos Auditoría y hacking ético Cifrado y firma electrónica Internet Security Management Administración de Firewalls Programas de Formación avalados y certificados por la Universidad de Deusto Nuestros profesionales están directamente implicados en los Programas de Formación, ya sea gestionando, impartiendo cursos o reclutando personas para nuestro equipo Ofrecemos Programas de formación adaptados a las necesidades, entornos y herramientas de nuestros clientes, cubriendo todas las áreas de Seguridad 21

22 Referencias Destacadas 22

23 Beneficios Obtenidos Securización de la red corporativa Implantación de sistemas de cortafuegos de última generación para la prevención de amenazas e implantación de políticas de seguridad en la red corporativa Soporte y mantenimiento 24x7 sobre la solución implantada Aumentar el nivel y control de las seguridad en la red corporativa Incrementar el rendimiento y redundancia de los sistemas de seguridad perimetral Escalar y adaptar la seguridad a las necesidades del negocio. Disponer de un panel de expertos en seguridad de la información Descripción Características Análisis de ámbito, estudio y diseño de la infraestructura de seguridad perimetral Despliegue y actualización de los sistemas de cortafuegos Implantación de nuevos mecanismos de seguridad Diseño de nuevas políticas de seguridad en la red corporativa. Soporte y atención técnica sobre seguridad de la información y la solución implantada Formación específica en la solución implantada. Referencias Nuevos mecanismos de seguridad: Control a nivel de aplicaciones y usuarios. Sistema de detección de intrusos en la red (IPS) Protección de los diferentes entornos de la compañía: Servicios de Internet Oficinas Remotas Centro de Proceso de Datos Redes Internas Administración centralizada y análisis en tiempo real de los eventos de seguridad Apoyo de profesionales de la seguridad de la información.

24 Centro de Operaciones de Seguridad Integrado Servicios de seguridad gestionada desde el Centro de Operaciones de Seguridad Integrado (isoc). Descripción Beneficios Obtenidos Sistemas de seguridad 24x7 Monitorización de la seguridad de la infraestructura tecnológica. Análisis de seguridad. Prevención y anticipación de amenazas. Gestión de eventos, alarmas e incidencias. Monitorización del nivel de riesgo. Respuesta de incidentes. Prevención y detección de intrusiones y vulnerabilidades. Gestión de infraestructuras de seguridad. Cuadros de mando y reporting. Investigación de reputación corporativa en Internet. Investigación de ataques organizados. Vigilancia tecnológica Conexión directa con grupos de colaboración en el ámbito de la seguridad. Incremento del nivel de seguridad. Disponibilidad inmediata de un equipo con conocimiento avanzado y amplia experiencia en seguridad. Permite a BME centrar sus esfuerzos en sus procesos de negocio. Simplificación de la gestión de T.I. Mayor flexibilidad y capacidad de adaptación ante cambios en el entorno del negocio. Servicio imprescindible en el cumplimiento normativo. Página 24

25 Auditoría de seguridad Auditoría continua de seguridad ETHICS Auditoría de código fuente de aplicativos web Test de intrusión y auditoría OSSTM Descripción ETHICS es la herramienta desarrollada por OESIA, para la realización de auditorías de seguridad de forma continuada, sobre los entornos de redes y servicios de nuestros clientes. Revisión diaria de la seguridad de la presencia en Internet y de redes internas mediante la herramienta de auditoría continua ETHICS. Acceso al portal de seguridad que contiene los resultados actualizados de las pruebas realizadas. Gestión de alertas, mediante el equipo 24x7 del isoc de OESIA. Identificación y seguimiento completo de las vulnerabilidades hasta su resolución. Auditoría de seguridad de código fuente mediante metodología OWASP. Creación y mantenimiento de recomendaciones de seguridad, integradas en el manual de seguridad de programación. Auditoría y test de intrusión a los entornos Internos y externos mediante OSSTM, complementando e integrando los resultados con ETHICS. Beneficios Obtenidos Reducción del tiempo a la exposición a vulnerabilidades. Reducción de costes y recursos internos necesarios para la auditoría de seguridad. Optimización constante del proceso de auditoría. Optimización del proceso de mejora. continua en el desarrollo orientado a seguridad. Adopción de metodología de desarrollo orientada a seguridad. Características del servicio Página 25

26 Centro de Operaciones de Seguridad Integrado Servicios de seguridad gestionada. Modelo mixto: equipo de seguridad desplegado en Iberdrola con apoyo del isoc. Personal desplegado in-situ en IBERDROLA con alto conocimiento local de la infraestructura del cliente, lo que permite hacer una gestión de la seguridad más eficiente. Gestión de la seguridad totalmente adaptada a IBERDROLA. Seguridad 24x7 Monitorización de la seguridad de la infraestructura tecnológica. Análisis de seguridad. Gestión de eventos, alarmas e incidencias. Respuesta de incidentes. Prevención y detección de intrusiones y vulnerabilidades. Gestión de infraestructuras de seguridad. Cuadros de mando y reporting. Investigación de reputación corporativa en Internet. Investigación de ataques organizados. Análisis de malware Vigilancia tecnológica. Descripción Beneficios Obtenidos Conexión directa de IBERDROLA al Centro de Operaciones de Seguridad que aporta un equipo con conocimiento avanzado y amplia experiencia en seguridad. Permite a IBERDROLA centrar sus esfuerzos en sus procesos de negocio. Simplificación de la gestión de T.I. Mayor flexibilidad y capacidad de adaptación ante cambios en el entorno del negocio. Servicio imprescindible imprescindible a IBERDROLA Características para el cumplimiento normativo. Características Página 26

27 Centro de Operaciones de Seguridad Integrado Servicios de seguridad gestionada desde el Centro de Operaciones de Seguridad Integrado (isoc). Descripción Beneficios Obtenidos Gestión de la seguridad de la infraestructura tecnológica de las oficinas centrales y provinciales del ICEX así como más de 100 de las Oficinas Económicas y Comerciales en el Exterior. Seguridad en infraestructura tecnológica tanto física como la virtualizada. Monitorización de la seguridad, análisis de incidentes. Escalado y resolución de incidentes a través del plan de resolución. Ejecución del plan de resolución de incidentes Actualización y ajuste de los sistemas de seguridad implantados Actualización de inteligencia de seguridad (Vigilancia tecnológica) Documentación y reporting. Servicios de auditorías de los portales ICEX. Anticipación de amenazas. Conexión directa con grupos de colaboraciónen el ámbito de la seguridad. Seguridad adaptada al entorno del Disponibilidad inmediata de un equipo con conocimiento avanzado y amplia experiencia en seguridad. Permite a ICEX centrar sus esfuerzos en sus procesos de negocio. Simplificación de la gestión de T.I. Mayor flexibilidad y capacidad de adaptación ante cambios en el entorno del negocio. Servicio imprescindible en el cumplimiento normativo. Página 27

28 Auditoría de seguridad y test de intrusión Auditoría de seguridad OSSTM a red y sistemas Auditoría de aplicativos web con test de intrusión Auditoría y revisión de código fuente Descripción Beneficios Obtenidos Test de intrusión a las principales webs de Iberia. Revisión del código fuente de las webs de Iberia, tanto públicas como orientadas a entornos de intranet y B2B. Auditoría de los procesos de compra de billetes y gestión de reservas. Creación de un cuadro de mando para facilitar el seguimiento de la corrección de vulnerabilidades. Integración de valoraciones de riesgo, con el estándar CVSS y propios de la empresa. Creación de un manual de programación segura ad-hoc, basado en los resultados y en OWASP. Seguimiento mediante una Oficina de Seguridad de las correcciones y comprobación posterior de las medidas adoptadas. Integración de los sistemas de seguimiento con un cuadro de control de vulnerabilidades. Mejora de la seguridad de los aplicativos web. Incremento de la capacidad resolutiva del equipo de desarrollo. Optimización del proceso de mejora. continua en el desarrollo orientado a seguridad. Adopción de metodología de desarrollo orientada a seguridad. Mantenimiento de un nivel óptimo de la seguridad de los aplicativos web. Página 28

29 Auditoría anual PCI DSS Servicios de Consultoría y auditoría PCI DSS Certificación como PCI DSS Compliance Nivel 1 Descripción Beneficios Obtenidos Análisis de nivel de cumplimiento previo. Diseño de plan de acción. Elaboración de tareas con el objetivo de alcanzar la certificación. Planificación de mejoras para facilitar la recertificación. Adecuación con PCI DSS de procedimientos y normativa interna. Alineación con ISO Integración de medidas con LOPD y otros requisitos legales bancarios. Creación de la documentación necesaria. Gestión de las auditorías trimestrales ASV obligatorias. Ejecución de las auditorías internas y externas de seguridad anuales. Entrega de reportes y documentación a PCI DSS y marcas de tarjetas. Certificación final. Evitar posibles sanciones por incumplimiento. Mejoras en el cuadro de mandos para hacerlo compatible con otras normativas exigidas, facilitando el mantenimiento de las mismas. Incremento del control en el cumplimiento, dada la integración con el sistema de gestión centralizado. Disminución del coste de futuras recertificaciones. Página 29

30 Centro de Operaciones de Seguridad Integrado Servicios de seguridad gestionada desde el Centro de Operaciones de Seguridad Integrado (isoc). Monitorización de la seguridad. Detección y análisis de incidentes. Escalado y resolución de incidentes a través del plan de resolución. Supervisión de incidencias Documentación y reporting. Descripción Monitorización de la seguridad en los portales web de YELL. Ajuste de los sistemas SIM implantado Actualización de inteligencia de seguridad (Vigilancia tecnológica). Soporte técnico del sistema SIM implantado Actualización software del sistema SIM Actualización hardware del sistema SIM Alto conocimiento local de la infraestructura de YELL, lo que permite hacer una gestión de la seguridad más eficiente. Prevención y anticipación de amenazas. Conexión directa con grupos de colaboración en el ámbito de la seguridad Beneficios Obtenidos Mayor seguridad en los portales de páginas amarillas y páginas blancas de YELL. Disponibilidad inmediata de un equipo con conocimiento avanzado y amplia experiencia en seguridad Permite a YELL centrar sus esfuerzos en sus procesos de negocio Simplificación de la gestión de T.I. Mayor flexibilidad y capacidad de adaptación ante cambios en el entorno del negocio. Características Página 30

31 Auditoría Continua ETHICS Auditoría continua de seguridad Portal de seguridad ETHICS Descripción ETHICS es la herramienta desarrollada por OESIA, para la realización de auditorías de seguridad de forma continuada, sobre los entornos de redes y servicios de nuestros clientes. Revisión diaria de la seguridad de la presencia en Internet y de redes internas mediante la herramienta de auditoría continua ETHICS. Acceso al portal de seguridad que contiene los resultados actualizados de las pruebas realizadas. Gestión de alertas, mediante el equipo 24x7 del isoc de OESIA. Identificación y seguimiento completo de las vulnerabilidades hasta su resolución. Integración con otros sistemas de seguridad como NIDS o Firewalls Beneficios Obtenidos Reducción del tiempo a la exposición a vulnerabilidades. Mantenimiento del nivel óptimo de seguridad. Reducción de costes y recursos internos necesarios para la auditoría de seguridad. Optimización constante del proceso de auditoría. Página 31

32 Oficina de Seguridad TI Servicio integral de Oficina de Seguridad TI Servicio de consultoría LOPD Descripción Beneficios Obtenidos Dotar del nivel de Seguridad necesario a Infraestructuras, Comunicaciones y Software. Asegurar el Cumplimiento Normativo y Regulatorio aplicable en Yell. Apoyo en la implantación del Plan de Contingencias y Plan de Continuidad de Negocio. Colaborar en el Análisis y Gestión de Riesgos de Seguridad. Implantar Normas, Metodologías, Estándares, Procedimientos y Guías de Seguridad. Realizar labores de auditoría para búsqueda proactiva de amenazas y vulnerabilidades. Realizar labores de tutelaje, formación, divulgación y concienciación de seguridad. Despliegue del Plan de Seguridad de Yell. Mejora de la seguridad Cumplimiento de Normativa Concienciación global Página 32

33 Adecuación LOPD y Esquema Nacional de Seguridad Asistencia jurídico/técnica especializada en protección de datos de carácter personal y Esquema Nacional de Seguridad para AA.PP. Ayuntamiento de Fuengirola Descripción Beneficios Obtenidos Gestión y supervisión de la adecuación a la LOPD así como de la implantación de medidas del Reglamento de la Ley Orgánica de protección de Datos LOPD y del Esquema Nacional de Seguridad (ENS). En LOPD adecuación a los principios de la ley, el cumplimiento de los derechos de los individuos, la declaración de los ficheros, el mantenimiento del Documento de Seguridad, la ayuda a la implantación de medidas de seguridad, y la atención a las auditorias bienales. En ENS adecuación a los principios básicos y requisitos mínimos requeridos para la protección de la información, aseguramiento del acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen las AA.PP. en el ejercicio de sus competencias. Principio de sinergia en las actuaciones que afectan a ambas normativas. Conformidad con la normativa vigente Mejora la gestión de los riesgos Garantiza la disponibilidad de los datos Incremento de credibilidad y confianza Página 33

34 Auditoría de seguridad y test de intrusión Auditoría de seguridad OSSTMM a red y sistemas Auditoría de aplicativos web con test de intrusión Descripción Test de intrusión al entorno externo de Pikolin, basado en metodología OSSTMM Auditoría de las áreas de webs corporativas y B2B. Creación de un cuadro de mando para facilitar el seguimiento de la corrección de vulnerabilidades. Creación de un manual de programación segura ad-hoc, basado en los resultados y en OWASP. Seguimiento mediante una Oficina de Seguridad de las correcciones y comprobación posterior de las medidas adoptadas. Integración de los sistemas de seguimiento con un cuadro de control de vulnerabilidades. Beneficios Obtenidos Mejora de la seguridad de los aplicativos web. Optimización del proceso de mejora continua en el desarrollo orientado a seguridad. Adopción de metodología de desarrollo orientada a seguridad. Página 34

35 Auditoría de seguridad y test de intrusión Auditoría de seguridad OSSTMM a red y sistemas Auditoría de aplicativos web con test de intrusión Descripción Auditoría de los sistemas internos y externos, basada en el estándar OSSTMM. Auditoría de los entornos web de servidores públicos y de intranet, además de las áreas P2B y B2B, basada en OWASP. Revisión de los procedimientos de gestión y administración, con el objetivo de mejorar la seguridad de los mismos. Integración de la información obtenida sobre las vulnerabilidades y las acciones correctivas, con el cuadro de control y gestión de sistemas. Valoración de las vulnerabilidades con respecto a ISO27001, LOPD y PCI DSS. Supervisión de la implementación de medidas correctoras con posteriores revisiones de las mismas. Seguimiento mediante Oficina Técnica de seguridad. Beneficios Obtenidos Mejora de la seguridad de redes y entornos web. Disminución de los costes de implementación de ISO27001 y PCI DSS. Optimización del proceso de mejora continua en el desarrollo orientado a seguridad. Adopción de metodología de desarrollo orientada a seguridad. Características del servicio Página 35

36 Portal de Seguridad y Protección de Datos Portal web para ofrecer información de seguridad TIC y protección de datos de carácter personal a una organización o colectivo específico. Descripción Beneficios Obtenidos Portal web para proporcionar información en materia de seguridad de las tecnologías de información y la protección de datos de carácter personal (LOPD) a los miembros de una organización o de un colectivo en particular. El portal está apoyado por un servicio de consulta vía correo electrónico y teléfono, a través del que los usuarios pueden plantear sus dudas específicas a especialistas de seguridad de la información. La información del portal se organiza según distintos perfiles de usuario, para adaptar los contenidos a las necesidades propias de cada uno. Entre los contenidos que se incluyen hay documentos, plantillas, FAQs, glosarios, herramientas y enlaces. La solución puede incluir herramientas especializadas para cumplimiento de normativas. Ej: software para gestionar y asegurar el cumplimiento de la LOPD. Mejora de la seguridad (gracias a la concienciación) Cumplimiento de normativa Mejora de la imagen de la organización Página 36

37 Solución de Information Rights Management Implantación de una solución de IRM para proteger los documentos confidenciales de altos ejecutivos. Extensión de la solución a un entorno móvil con iphone y ipad. Descripción Implantación de una solución de seguridad que permite a los usuarios de una organización, establecer una serie de permisos sobre documentos y correos electrónicos. La solución se integra con el Directorio Activo de Microsoft y el Servidor de correo MS Exchange, ampliando la capacidad de protección de documentos mediante a otros formatos como PDF y al acceso mediante OWA. Además, la solución incluye un módulo que extiende la protección de los documentos a iphone e ipad. También se que protegen automáticamente los documentos simplemente guardándolos en una carpeta de red protegida. Beneficios Obtenidos Protección activa de los documentos confidenciales donde quiera que estos estén. Ampliación de la seguridad a dispositivos como iphone e ipad. Transparencia en el proceso de protección de documentos almacenados en el servidor de ficheros. Facilitación del seguimiento del ciclo de vida de documentación confidencial. Características del servicio Página 37

38 Servicios de Adecuación a la LOPD del Servicio Regional de Empleo de Madrid Análisis de cumplimiento de la legislación vigente en materia de protección de datos Servicios de adecuación a la LOPD Descripción Beneficios Obtenidos Prestación de servicios de consultoría y asistencia técnica al Servicio Regional de Empleo (SRE) Análisis de cumplimiento de la legislación vigente en materia de protección de datos Realización de un inventario actualizado de Ficheros LOPD Análisis de riesgos en los Sistemas de Información Plan de Adecuación para corregir las posibles deficiencias encontradas en materia de protección de datos Diseño de un modelo de Documento de Seguridad propio adaptado al SRE. Realización de los Documentos de Seguridad de todos los ficheros Formación y concienciación a las distintas áreas del Organismo Implementación de los Documentos y la gestión de la seguridad en el Sistema de Información del Responsable de Protección de Datos de la Comunidad de Madrid (SRPD). Inventario servicios de administración electrónica de SRE. Estudio preliminar situación actual respecto a Esquema Nacional de Seguridad SRE adaptó su marco normativo interno, sus sistemas informáticos e instalaciones a los requisitos legalmente establecidos para la protección de datos de carácter personal. Inventario de Ficheros actualizado Personal concienciado y formado en la materia Características del servicio Página 38

39 Gestión integral en Protección de Datos Grupo de trabajo jurídico técnico especializado en protección de datos de carácter personal dentro de una organización. Descripción Beneficios Obtenidos Gestión y supervisión de la adecuación a la LOPD así como de la implantación de medidas del Reglamento de la Ley Orgánica de protección de Datos LOPD. El apartado de adecuación a la ley implica tareas tales como la revisión de documentos, la elaboración de cláusulas y anexos referidos a los principios de la ley así como al cumplimiento de los derechos de los individuos. En cuanto al reglamento de desarrollo se atiende a sus diferentes apartados destacando entre ellos la declaración de ficheros, el mantenimiento del Documento de Seguridad, los procedimientos de carácter corporativo, La ayuda a la implantación de medidas de seguridad, la atención a las auditorias bienales o las acciones divulgativas, formativas y de difusión. En el ámbito legal se presta apoyo y consultoría en dudas y consultas y en la atención al ejercicio de derechos ARCO. Cumplimiento de normativa Prevención de sanciones Imagen de la organización Concienciación, mejora de la seguridad 39

40 Otras referencias Página 40