Demandas y costos de Seguridad en TI en las Empresas Max Rodríguez Ejecutivo de Ventas de Seguridad de IBM Tivoli Marzo 2009
Demandas en Seguridad de TI Responder mejor a las necesidades Integración más fuerte con terceros Acceso dinámico a los datos Aumento de externalizar el desarrollo Arquitectura Orientada al Servicio (SOA) Reducción de presupuesto y costos de empleo Cloud Computing Ciclos de desarrollo más cortos Software como un servicio Nuevas exigencias reguladoras Mejor visibilidad en cumplimientos Mejor protección de datos Aumento de fraude interno 2
Entendiendo lo que es Seguridad en Sistemas Qué es Seguridad? Todos queremos estar seguros, verdad? Confidencialidad, Integridad, Disponibilidad (CID) Definición simple: La seguridad es acerca de la gestión del riesgos 3
Las empresas buscan una solución sobre la base de políticas que extienda un puente a las necesidades del negocio sobre las preocupaciones de Seguridad de Aplicaciones y Datos Acceso de datos, revelación y conformidad de privacidad Cumplir con revelación de datos y regulaciones de privacidad, incluyendo PCI DSS, GLBA, directiva de privacidad de datos de la EU Reducir el costo de cumplimiento e auditoría Seguridad y agilidad en aplicativos Asegurar la colaboración/externalización de datos Simplificar la gerencia y rápidamente poner en práctica cambios en las políticas para proteger datos en aplicaciones críticas Manejo de riesgo comercial protegiendo la información, acceso y propiedad intelectual Proteger el acceso a datos en uso dentro de portales y datos en reposo, incluso datos confidenciales de empleados, clientes, datos financieros, propiedad intelectual Almacenaje seguro Proteger datos en reposo en disco y cinta 4
Con nuevas oportunidades existen nuevos riesgos Tecnología emergente Virtualización y cloud computing incrementa la complejidad de la infraestructura Los aplicativos son puntos vulnerables de brechas y ataques Explosión de datos e información Los volúmenes de datos se incrementan al doble cada 18 meses Almacenamiento, seguridad, y contexto de descubrimiento entorno a la información es cada vez más importante Mundo inalámbrico Las plataformas móviles demandan un nuevo significado a la identificación La seguridad tecnológica está muchos años más retrasada que la seguridad que sido utilizada en proteger a las PCs Cadena de suministro La cadena es tan fuerte como el eslabón más débil... los socios deben asumir su parte justa de la carga para el cumplimiento y la responsabilidad del fracaso Expectativas de privacidad Una suposición o expectativa existe ahora para integrar la seguridad en la infraestructura, los procesos y aplicaciones Fatiga de cumplimientos Las organizaciones están tratando de mantener un equilibrio entre la inversión en la seguridad y el cumplimiento de procesos 5
No todos los riesgos son creados igual Frecuencia de ocurrencias por año frecuente poco frecuente 1,000 100 10 1 1/10 1/100 1/1,000 1/10,000 Virus Gusanos Fallas de Disponibilidad Corrupción de Datos Fallas de disco Problemas de Red Impulsador de datos Cortes de Energía Incumplimiento de regulaciones Inaccesibilidad de trabajo Impulsador de Empresas Falta de Gobernabilidad Fallas de estándares de la industria Fallas regionales Terrorismo / manifestaciones civiles Desastres Naturales Pandemia Edificio en fuego Impulsador de Eventos 1/100,000 $1 $10 $100 $1,000 $10k $100k $1M $10M $100M Consecuencias (pérdidas por ocurrencia) en dólares por ocurrencia baja alta 6
Tampoco todas las soluciones de seguridad Encontrar un equilibrio entre la seguridad efectiva y el costo El axioma nunca gastar BsF. 1000 en una reja para proteger a un caballo de BsF. 100 Estudios demuestran que el Principio de Pareto (la regla 80-20), se aplica a la seguridad de TI * 87% de las brechas fueron consideradas evitables a través de controles razonables* Un pequeño conjunto de altos controles de seguridad proporcionan una cantidad desproporcionadamente alta de cobertura Altos controles mantienen el riesgo en cada nivel de la empresa Organizaciones que utilizan altos controles de seguridad, mantienen significativamente mayor rendimiento. * Presión Costos Complejidad Efectividad *Sources: W.H. Baker, C.D. Hylender, J.A. Valentine, 2008 Data Breach Investigations Report, Verizon Business, June 2008 ITPI: IT Process Institute, EMA December 2008 Agilidad Tiempo 7
Costo de reseteo de contraseñas Cuántas llamadas por semana recibe la mesa de apoyo para reseteo de contraseñas? Cuál es el costo estimado de cada reseteo? Cuánto tiempo toma llevar a cabo esta labor? Cuál es el costo promedio por hora de trabajo de empleados? Ejemplo 1: 100 reseteos de contraseñas por semana $20 por c/u = $2000 por semana o $104,000 por año Ejemplo 2: 100 reseteos de contraseñas toman 30 minutos 100 * 30 minutes = 3000 minutos / 60 = 50 horas de productividad perdida Promedio de costo por empleado por hora de $10 = 50 * 10 = $500 por semana en pérdidas de productividad o $26,000 por año 8
El valor de la información Cuál es el valor de los datos de la empresa? Qué valor han asignado al riesgo de pérdida o fuga de los datos/información? Cuál es el costo de recuperar la información o sistema después de que un PUMA inadvertidamente destruya un backup? Cuál es el costo de demostrar el comportamiento de los usuarios a un auditor? Cuántos y actuales ataques maliciosos han ocurrido en los últimos 12 meses y cuánto han costado a la empresa? 9
Seguridad: Definiendo el campo Quiénes son los usuarios y cuáles son sus roles? Aprovisionamiento de usuarios Quién es el usuario para esta transacción? Acceso web Acceso federado web Acceso a los servicios y la propagación de identidad Qué es lo que el usuario puede hacer dentro de esta transacción? Granular grueso (Nivel operacional, basado en roles) Granular fino (Nivel de datos, basado en función/atributos/reglas/políticas) Qué es lo que hizo el usuario? Granular fino (Nivel de datos, basado en función/atributos/reglas/políticas) 10
Conclusiones Las empresas necesitan hoy en día controles de TI que ayuden en: Gestión de identidades Gestión de control de acceso Gestión de control de cambios Gestión de configuraciones Gestión de nuevas versiones Gestión de almacenaje de datos Gestión de incidentes y problemas SU MISIÓN: Automatizar, monitorear, medir y hacer cumplir los controles de TI 11