Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter. Ernesto Pérez, CISSP, CISM, ITIL

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter. Ernesto Pérez, CISSP, CISM, ITIL"

Juan Carlos Rafael Muñoz Lozano
hace 8 años
Vistas:

1 Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter Ernesto Pérez, CISSP, CISM, ITIL

2 Qué están haciendo los Usuarios privilegiados con la infraestructura y la información de su organización? 2

3 Cómo aseguras lo que no puedes ver? 3

4 En un mundo sin fronteras, el perímetro se disuelve Populismo Tecnológico Empleos temporales Redes Sociales Cloud Compu;ng 4

5 Qué requerimientos existen cuando contrato servicios administrados o en la Nube? Transparencia en el servicio Consumerización de la TI & Movilidad Virtualización Almacenamientos en la Nube de información sensilva 5

6 La seguridad administrada es una responsabilidad en conjunto entre el proveedor del servicio administrado y el consumidor de ese servicio 6

7 7 Dónde están mis datos?

8 8 Control de datos basado en una localidad ya está pasado de moda

9 Los riesgos en ambientes virutales son mayores que en los ambientes Usicos Riesgos de seguridad en ambientes :sicos Riesgos de seguridad en ambientes virtuales Comprometer al hypervisor a descargar una imagen e introducir una VM falsa es equivalente a invadir un site y robarse un servirdor o introducir un servidor falso en el Datacenter 9

Comprometer al hypervisor a descargar una imagen e introducir una VM falsa es

10 Qué dicen los analistas respecto a la seguridad de los ambientes virtuales? A compromise of the virtualizalon plaxorm is a worst- case security scenario that places all the VMs hosted on the virtualizalon plaxorm at risk. Hypervisor security proteclon should be treated as a defense- in- depth problem, using mullple strategies to ensure the overall integrity of this crilcal layer. - Gartner* * Gartner, Inc. Hype Cycle for VirtualizaLon, 2012, Phil Dawson, Nathan Hill, July 24, 2012

11 Hay 3 Lpos de amenazas internas y 2 principios primarios a aplicar para milgar riesgos? Usuarios Maliciosos Usuarios seducidos Usuarios descuidados Proveer Accountability Implementar Accesos bajo el Mínimo de los Privilegios Detener a usuarios maliciosos Trazar acciones a nivel a nivel individual Limitar los daños circunstanciales o intencionales Stop Stupid! 11

Implementar Accesos bajo el Mínimo de los Privilegios Detener a usuarios maliciosos Trazar

12 Administrando el privilegio Estándares, normas y mejores prácticas COBIT ITIL ISO Code of practice for information security management Payment Card Industry (PCI DSS) SOX Ley Federal de Protección de Datos en Posesión de Particulares (LFPDPD) 12

information security management Payment Card Industry (PCI

13 ISO Control de Accesos Administración o Gestión de Privilegios Control: La asignación de privilegios de uso debe ser restringido y controlado. Guía de Implementación: Los privilegios debe ser asignados a los usuarios bajo el concepto need- to- use El proceso de autorización y registro de privilegios debe ser operado y mantenido en todo momento El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar privilegios a los usuarios debe ser promovido Los privilegios deben ser asignados a un userid dislnto al usado para necesidades normales de operación 13

privilegios debe ser operado y mantenido en todo momento El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar

14 Ley Federal de Protección de Datos Personales en Posesión de los ParLculares eslpula: Arfculo 19 Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administralvas, técnicas y Usicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. 14

mantener medidas de seguridad administralvas, técnicas y Usicas que permitan proteger los datos

15 15 Porqué las idenldades son clave? Es el pegamento de seguridad para la Nube!

16 Las idenldades privilegiadas poseen una amenaza significalva y parlcular para la seguridad de los datos y los sistemas Acceso irrestricto Sin Accountability Riesgo Acceso irrestricto a cuentas root o Administrator Sin segregación de funciones Uso de cuentas compraldas Pobre integridad de las bitácoras La Virtualización amplifica el reto! 16

Acceso irrestricto a cuentas root o Administrator Sin segregación de funciones Uso de

17 La Administración de idenldades privilegiadas ayuda a atender 5 retos primarios MiLgar amenazas internas Cumplimiento regulatorio Migrar a la Nube de manera segura Privileged ID Mgmt. Detener ataques dirigidos 17 Asegurar ambientes Virtuales

Cumplimiento regulatorio Migrar a la Nube de manera segura

18 Los administradores individuales pueden acceder a cuentas comparldas por medio de password checkouts o mediante logins automálcos Administración de cuentas privilegiadas Ges/ón vía una bóveda de passwords Secure Passwords Iden/dad privilegiada compar/da Administradores individuales Password Check- In & Check- Out Mul/ples /pos de disposi/vos Windows/ UNIX/Linux Disposi/vos de red Manual Logins Virtual Servers Aplica/vos Logins Automá/cos 18 Bases de datos

Iden/dad privilegiada compar/da Administradores individuales Password Check- In & Check- Out Mul/ples /pos de

19 Individuos accesando una cuenta comparlda no Lenen que tener los mismos privilegios- asignenlos de manera parlcular a las especiﬁcaciones de sus puestos!! Fuera de la organización Socios, Aliados o Clientes Recursos Iden/dad privilegiada compar/da (sa, root, administrator...) AplicaLvos Dentro de la organización Password Admin Archivos Auditor Datos Systems Admin 19 Acceso del Mínimo del Privilegio (con controles granulares!)

! Fuera de la organización Socios, Aliados o Clientes Recursos Iden/dad privilegiada compar/da (sa, root,

20 Asegurar ambientes virtuales requiere de un aseguramiento nalvo pero tambien de protecciones adicionales dinámicas Acceso del Mínimo del Privilegio Reporteo de ac/vidad de los usuarios Administración de cuentas compar/das Hardening de la infraestructura Automa/zación de controles de seguridad para contextos de ambientes virtuales 20

ac/vidad de los usuarios Administración de cuentas compar/das Hardening de la

21 Cuando hay una mulltud detras de una idenldad privilegiada, cómo dislnguir de quien hizo que? Reporteo de la ac/vidad del usuaurio Las bitácoras deben capturar todas las acciones basadas en la iden/dad original e individual del usuario que la solicito! Cuenta compar/da 21

22 Una completa solución de administración de usuarios privilegiados, control de accesos y protección de información Monitoreo, trazabilidad y reporteo de ac/vidad privilegiada Auten/cación de acceso privilegiado Admin de cuentas con password compar/do Solución de Admin de Usuarios Privilegiados Admin de usuarios privilegiados en ambientes virtuales Admin de passwords de aplica/vos Controles de acceso granulares 22

23 Security Management Control idenlty access informalon Gracias Ernesto Pérez, CISSP, CISM Sr SoluLon Strategist Ca Technologies

Documentos relacionados

Security Management. Control identity access information

Security Management. Control identity access information Security Management Control identity access information El poder de los usuarios privilegiados, como gestionar, controlar su actividad y cumplir con las exigencias regulatorias Qué representan estos números