Jose Carlos Cerezo Luna. Especialista de seguridad

Transcripción

1 Jose Carlos Cerezo Luna Especialista de seguridad 1

2 Objetivo del ENS Programa integral de seguridad Crear condiciones necesariasdeconfianza confianza en el uso de los medios electrónicos, a través de medidaspara garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y cumplimiento de deberes a través de estos métodos. Tecnología Procesos Personas 2

3 Retos a los que enfrentarse 1. Tengo definida una estrategia y una táctica para implantar el Esquema Nacional de Seguridad? 2. Cuál es mi estado actual y cual es el estado deseado? 3. Tengo definido los roles y responsabilidades? 4. Dispongo de la tecnología necesaria, cual es su uso y esta alineada con los riesgos? 5. Estoy controlando y evolucionando la actividad? 3

4 Definición del programa Procesos Gestión operativa Gestión del riesgo de la de la seguridad seguridad y continuidad Gestión ame.. y vulne.. Detección y monitorizac ión Gestión del riesgo Continuidad de negocio Gestión de incidente de seguridad Análisis forense Adecuación de servicios ii Gestión de herramientas Auditoria y cumplimien to Informe y cuadro de mando Proceso mejora y evolución Gestión de la seguridad Proceso financiero 4

5 Asignación y cualificación de los recursos Personas Responsable Responsable Responsable información Seguridad servicio Responsable deprograma de seguridad Responsable de procesos de seguridad Conocimientoy i experiencia i en seguridad CISM, CISSP, ITIL Foundation Conocimiento y experiencia en seguridad CISM, CISSP, ITIL Expert o Service Manager Ingenieros de seguridad Conocimiento y experiencia en seguridad CISSP, GIAC, COMPTIA Planes de formación individual / colectivo Planes de concienciación colectivos 5

6 SYMANTEC es la empresa tecnológica de seguridad mas importante del mundo 6

7 Modelo de implantación ENS Planifica Actúa Ejecuta Evalúa 7

8 Symantec Modelo de gestión Medir Evoluci onar Contra lar Gestio nar 8

9 Symantec Control Compliance Suite Medir Controlar Gestionar Evolucionar Medidas de seguridad organizativas Procesos de seguridad Riesgo Procesos Medidas de seguridad Riesgo Cumplimiento Personas operacionales Medidas de seguridad protección Personal y profesionalidad Estado de la seguridad Tecnologías... 9

10 Symantec Control Compliance Suite Implementación Involucrados Responsable seguridad Responsable Servicio i Responsable Información PLAN Definir objetivos de seguridad y riesgo Definir políticas y normativas asociadas ENS Mapeo de controles técnicos y procedimentales EVIDENCIA REPORT Demostrar el cumplimiento ENS a los diferentes involucrados Evaluar y correlar el riesgo a través de los diferentes servicios, procesos y activos. DashBoard alto nivel (Drill / Down) ACTIVOS CONTROLS \EVALUAR Identificar desviaciones sobre las líneas base Descubrir vulnerabilidades críticas Evaluar controles procedimentales Combinar datos de 3º partes EJECUTAR Priorizado por el riesgo Integrado con sistemas de ticketing Gestión de excepciones Entorno 10

11 Visión Global Riesgo y cumplimiento del ENS Estado Seguridad Cumplimiento ENS Riesgo Marco ENS Personas Auditoria Proced. Concienciaci ón Activos Controles Evidencias Auditoria técnica CCS EDI Información clasificación activos Información vulnerabilida des Activos

12 Symantec Modelo de protección Disponibilidad Confidencialidad Integridad Autenticidad Trazabilidad fraestruc ctura In Asegurar la constante ejecución de los sistemas y servicios. Habilitar los niveles de confidencialidad requeridos a los sistemas y comunicaciones. requerimientos Los sistemas y servicios están actualizados, no son vulnerables y exentos de código malicioso El acceso de a los sistemas o servicios se realiza de forma autenticada, acorde a los requerimientos establecidos El acceso a los sistema y servicios es monitorizado y registrado de una forma segura e integra. Inform mación Garantizar la disponibilidad de la información. Garantizar la confidencialidad de la información en ejecución, reposo y transito. Información almacenada custodiada o en transito es integra. El acceso a la información es controlado y autenticado El acceso a la información es monitorizada y registrada de una forma segura e integra 12

13 Symantec Modelo de protección Disponibilidad Confidencialidad Integridad Autenticidad Trazabilidad fraestruc ctura In Veritas Storage Foundation, Application HA Symantec MPKI, Symantec PGP Symantec CCS Vulnerability Manager, Symantec Critical System Protection, Symantec Altiris, Symantec MSS, SEP, DeepSight Symantec VIP, Symantec O3, Symantec MPKI Symantec SIM, Symantec MSS Inform mación Symantec NetBackup, Symantec Backup Exec Symantec PGP Symantec MPKI, Symantec PGP Symantec VIP, Symantec O3, Symantec MPKI Symantec CSP, Symantec SIM, Symantec MSS 13

14 Resumen 1. Symantec líder en tecnología de seguridad, gracias a sus soluciones (detección, protección y monitorización) y su inteligencia global ayudará a la aplicación del Esquema Nacional de Seguridad. 2. Gracias a la solución de auditoría, cumplimiento y gestión del riesgo ( ), Symantec ayudará en la validación del Esquema Nacional de Seguridad; de forma eficaz, eficiente y automatizada. 14

15 Thank you! Jose Carlos Cerezo Copyright 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document tis provided d for informational purposes only and is not intended d as advertising. i All warranties relating lti to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 15