Seguridad de la Información

Transcripción

1

2 Seguridad de la Información v8

3 Las 10 Prioridades en Seguridad de la Información

4 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS

7 Sensibilización y Entrenamiento Problemáticas Nivel estratégico debe asumir responsabilidades; y no esperar a que ocurra un incidente grave. Usuarios finales no reconocen su rol. Malas prácticas vulneran otros controles implementados. Se designan responsables de seguridad, sin las competencias suficientes. 4

8 Sensibilización y Entrenamiento Soluciones ADEXUS Formulación/Evaluación de Competencias Campaña de Difusión y Concientización Charlas de Sensibilización / Brainstorming "Curso de Preparación a la Certificación Internacional CISSP, para Oficiales de Seguridad de la Información Con múltiples relatores certificados, para los 10 dominios temáticos. Curso y certificación internacional Auditor Líder ISO

11 Riesgo en Servicios de Terceros Problemática Identificar y controlar los riesgos de terceros en proporcionar una efectiva, segura, continua y eficiente entrega de servicios; sin incrementar los riesgos de la empresa.

12 Riesgo en Servicios de Terceros Soluciones ADEXUS Asesorar a la empresa y terceros relacionados, en el proceso de adopción ISO 27001/ Establecer contractualmente los requerimientos de seguridad en el trato con terceros. Auditar cumplimiento de niveles de servicios de terceros BOC: Business Operation Center Monitoreo de procesos de negocio, integrando los SLAs de los prestadores de servicios y socios. Servicios TI con el respaldo del Data Center CGSI de ADEXUS, Certificado ISO/IEC 27001:

15 Seguridad en registros sensibles de Salud Problemáticas Falta de protección en registros sensibles del área salud han ocasionado eventos de seguridad de conocimiento público. Problemas de Integridad y Disponibilidad pueden poner en riesgo la vida de las personas. Establecer modelos de seguridad de la información en el área de la salud, adheridos a estándares internacionales. 3

16 Seguridad en registros sensibles de Salud Soluciones ADEXUS Auditoría de Seguridad y Análisis GAP contra ISO 27799:2008: Health informatics Information security management in health using ISO/IEC Asesoría y herramienta de apoyo para la implementación de controles de seguridad focalizada en la protección de registros sensibles. Plataforma de Monitoreo en el uso interno de registros médicos. 3

19 Cumplimiento: PMG SSI Problemáticas Organismos Públicos deben cumplir PMG SSI (Programa de Mejoramiento de la Gestión / Sistema de Seguridad de la Información): Apoyo estratégico y lineamientos de alto nivel. Integrar la seguridad a los procesos de negocio. Comprender las herramientas PMG SSI. Herramientas no facilitan el trabajo colaborativo. Disponibilidad de expertos. HHs para relevar/generar la información solicitada. Integrar con necesidades de cumplimiento similares como Decreto 83.

20 Cumplimiento: PMG SSI Soluciones ADEXUS Asesoría por consultores expertos para el cumplimiento del PMG SSI. Servicio en Contrato Marco. Herramienta de apoyo a la gestión del SGSI Capacitación a responsables de la seguridad de las instituciones del Estado. Charlas de Sensibilización. 4

23 Seguridad en la Nube Problemáticas Principales problemas de Seguridad en la Nube: El uso de servicios en la nube por organizaciones criminales Interfaces y APIs de integración inseguras Usuarios internos maliciosos, con altos privilegios Aspectos compartidos de la Tecnología Pérdida o Fuga de datos Secuestro de Cuentas de servicio Conflictos entre Gestión de seguridad y gestión de virtualización. Requerimientos: Seguridad para los servicios en la nube. Servicios de Seguridad entregada desde la nube. 2

24 Seguridad en la Nube Soluciones ADEXUS Servicios TIC ADEXUS en la nube Cloud SAP Exchange Multi tenancy / Office 365 e Dot (Factura electrónica) AVIS (Servicios de Salud Primaria) Hosted PBX Servicios de seguridad provistos desde la nube Para protección contra MitB (Troyanos en el browser) Gestión Antivirus Gestión de Vulnerabilidades : tecnológicas, código fuente, portales web. Infraestructura (IaaS ) de Seguridad en demanda 2

27 Seguridad en EndPoint Problemáticas Sofisticación de las amenazas a dispositivos de usuarios finales, tanto de escritorio como móviles. Múltiples riesgos como fraude monetario, robo o daño de la información. Se requiere: Llevar la seguridad corporativa al dispositivo que posea el usuario, manteniendo la gestión centralizada. Trojan ZitMo Smishing Botnet Whaling Zeus MitB: Man in the Browser 3

28 Seguridad en EndPoint Soluciones ADEXUS Establecimiento de Controles de Protección EndPoint Roadmap de implementación de Suites de Seguridad: AntiVirus; AntiSpam; AntiSpyware Filtro de Contenido; Firewall; H-IPS; Cifrado; VPN (Fijas y móviles) DLP; Control de Periféricos. Integración de la gestión de seguridad en endpoints de escritorios y móviles. Desarrollo aplicaciones seguras para dispositivos móviles. 4

31 Fuga y Pérdida de Información Problemáticas Información sensible es extraída, divulgada o dañada Por usuarios internos con permisos normales Por Hackers utilizando accesos no autorizados Se requieren soluciones que permitan identificar, monitorear y proteger: El uso de los datos (como acciones en el endpoint), Los datos en movimiento (acciones en la red), Datos en reposo (data almacenada). 2

32 Fuga y Pérdida de Información Soluciones ADEXUS Consultoría en clasificación de la Información. Asesoría consultiva y servicios para implementación de proyectos DLP (Prevención de Fuga de Información). Implementación de plataformas de monitoreo de comportamiento riesgoso de usuarios internos. 3

35 Seguridad en redes sociales y Web 2.0 Problemáticas Malware como Troyanos, botnets y otros, ingresan a la red corporativa por las redes sociales Se requiere de sistemas de protección de red capaces de identificar amenazas en aplicaciones incrustadas en las redes sociales. 2

36 Seguridad en redes sociales y Web 2.0 Soluciones ADEXUS Implantación y monitoreo desde el CGSI de plataformas de protección perimetral de nueva generación, como Firewalls, IPS o Filtros de contenido, capaces de controlar granularmente la seguridad en redes sociales.

39 Continuidad del Negocio Problemáticas La no disponibilidad del personal necesario, infraestructuras físicas o servicios TI, pueden paralizar el negocio. El no estar preparado eleva en cuatro o cinco veces el costo y duración de un evento de indisponibilidad. Se requiere abordar la Gestión de la Continuidad con miradas de nivel estratégico y del negocio. 3

40 Continuidad del Negocio Soluciones ADEXUS Monitoreo permanente de SLAs Incidente de impacto acotado Contingencia parcial de un proceso DESASTRE con interrupción de procesos críticos Grado de IMPACTO Alto Medio Bajo RA: Risk Assessment BIA: Business Impact Analysis Evento de seguridad Antes Durante Después Sistema de Monitoreo de Continuidad

43 Seguridad en Medios de Pago y Fraude Interno Problemáticas Maximizar la seguridad de las transacciones financieras. Interceptación de data sensible en transacciones financieras para realizar fraude. Los tradicionales mecanismos de anti malware no garantizan protección. Detectar comportamientos de alto riesgo de usuarios internos. Se pueden coludir para realizar fraude con la información que procesan habitualmente. 2

44 Seguridad en Medios de Pago y Fraude Interno Soluciones ADEXUS Habilitación de plataformas y servicios de protección a medios de pago: Autenticación Robusta Protección contra Man inthe Browser (MitB). Habilitación de Plataformas de monitoreo de Amenazas y Fraude Interno. 2

45 Las 10 Prioridades en Seguridad de la Información 1. Seguridad en Medios de Pago y Fraude Interno 2. Continuidad del Negocio 3. Seguridad en redes sociales y Web Fuga y Pérdida de Información 5. Seguridad en EndPoint 6. Seguridad en la Nube 7. Cumplimiento: PGM-SSI 8. Seguridad en registros sensibles de Salud 9. Riesgo en Servicios de Terceros 10. Sensibilización y Entrenamiento

46 Las 10 Prioridades en Seguridad de la Información Consultas: