REGULARIZACIÓN DE VULNERABILIDADES



Documentos relacionados
Evolución del Área de Seguridad Informática

ing Solution La forma más efectiva de llegar a sus clientes.

ALIADO IT FIDELITY NETWORKS

Acceso a la Información n y Transparencia en la CNDH Unidad de Enlace : Febrero

Visión General GXplorer. Última actualización: 2009

Visión General GXflow. Última actualización: 2009

Presentación Corporativa. Thinking how to optimize your business. Soluciones. Servicios. Compromiso.

Nosotros. Somos una empresa mexicana dedicada a promover servicios de Consultoría SAP BASIS:

PRESENTACION CORPORATIVA Y PORTAFOLIO DE SERVICIOS. Copyright Y5KM5. Todos los derechos reservados.

Security Health Check

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

1.1. Sistema de Gestión de la Calidad

SMART FLEXIBILITY CONSENSUS. Group.

Manejo y Análisis de Incidentes de Seguridad Informática

Gestión de la Seguridad Informática

Seguridad en Windows 7

MARITZA FERNANDEZ RINCON Tarjeta Profesional No Celular Teléfono: (571) Correo:

asired middleware XML Así-Red Servicios Telemáticos, S.L.L. w w w. a s i r e d. e s

DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN

Marco Normativo de IT

La garantía del experto en seguridad adaptada

Presentación EZO Soluciones Interactivas. Versión 1.4

Descripción. Este Software cumple los siguientes hitos:

La importancia de las pruebas de penetración (Parte I)

Penetration Test Metodologías & Usos

Diseño e Implementación

Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática

Windows Server 2008 R2 Caso de éxito

Protegiendo la inversión de nuestros clientes. QuÉ ES AGP? Protegiendo la inversión de nuestros clientes

4 en 1: 1. BPMS (Gestión por Procesos). 2. Intranet. 3. Gestión Documental (SPS). 4. Portales B2B y B2C.

PROCEDIMIENTO VERSION: 01 ADMINISTRACIÓN DE HARDWARE, SOFTWARE Y COMUNICACIONES INFORMÁTICAS PROCESO GESTION DE LA EDUCACIÓN

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Presentación. Porqué formarte con nosotros?

Cómo organizar el Departamento de Seguridad

SMART FLEXIBILITY. Aportamos Soluciones y Servicios Tecnológicos innovadores basados en modelos de negocio flexibles

Queremos ser su aliado tecnológico

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

MS_10974 Deploying Windows Server

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

7(50,126'(5()(5(1&,$ &2168/7251$&,21$/(1,1)250$7,&$

Claridad en la gestión de proyectos

SAP BusinessObjects Edge BI Standard Package La solución de BI preferida para. Empresas en Crecimiento

Ganar competitividad en el mercado con los sistemas adecuados: SAP ERP y SAP CRM

QUIENES SOMOS MISION VISION ROOT DE COLOMBIA E.U. SERVICIOS - CONSULTORIA

NOS ASEGURAMOS DE ENTREGAR SERVICIOS DE CALIDAD ACORDE A SUS NECESIDADES

Tiendas y espacios comerciales. Proyectos de imagen corporativa. Proyectos de trade marketing. Stands para ferias

Antecedentes de GT Consultores

3-ANÁLISIS DE VULNERABILIDADES

Mantenimiento de usuarios y grupos Gestión de políticas y estándares Administración de aplicaciones Gestión de servidores Soporte técnico

Seidor: su socio de confianza Experiencia. Flexibilidad. Compromiso

CARACTERISTICAS DEL SISTEMA

ADJUDICACION NIVEL II N AGROBANCO ADQUISICION DE PLATAFORMA SUITE DE SEGURIDAD ACTA DE ABSOLUCIÓN DE CONSULTAS Y OBSERVACIONES

REQUERIMIENTOS DE HARDWARE Y SOFTWARE INTRODUCCIÓN PLATAFORMA

UFS. MetPoint / MetHome

DIRECCIÓN DE SERVICIO PROFESIONAL ELECTORAL ING. JOSE LUIS IXTLAPALE FLORES

RESPUESTAS A OBSERVACIONES PRESENTADAS AL PROYECTO DE PLIEGO DE CONDICIONES:

PARSEC SYS S.L. Oferta de Servicios

Desarrollo de una Plataforma de Gestión de Conocimiento para la Innovación en Tecnología Educativa

Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP

SAP Historia de Éxito Construcción Líder Grupo Constructor. Líder Grupo Constructor SAP garantiza bases sólidas para la expansión del grupo

ADENDA No DE JUNIO DE 2014

Servicios Administrados de Infraestructura

Quienes somos? Misión. Visión

GARANTÍA. Garantía. Mantenimiento. Asistencia técnica. Sistemas de identificación. Servicios adicionales

La Pirámide de Solución de TriActive TRICENTER

PROGRAMA DE GESTIÓN DOCUMENTAL

Guía de usuario CUBO TI

Herrajes Técnicos de México tiene control total de su operación con SAP Business One y Corponet

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N /UIE-PATPAL - FBB

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

BROCHURE CORPORATIVO Web: Mail: Facebook: ITConsultingPeru

PORTAFOLIO DE SERVICIOS DE GESTION IT

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

ventas de tecnologías.

Stratesys - SAP HANA. Escenarios de Valor & Referencias. Octubre,

INFORME N GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Servicios de Outsourcing en TI

Root Technologies es una empresa mexicana con 9 años de experiencia desarrollando proyectos de tecnología dentro y fuera del territorio nacional.

SOLUCIONES AXESOR V.2

Sistema de Gestión de Proyectos Estratégicos.

Tecninorte Programación y Mantenimiento Parque Empresarial Tirso González, 22 - oficina Astillero - Cantabria

Estándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA

Servicios de Consultoría de Sabre Travel Network

asired EIS Descripción de producto. Integración de Sistemas Explotación de Datos y Business Intelligence para la Pequeña y Mediana Empresa.

Consolidación de Centros de Datos Nuestro enfoque desde una perspectiva global

Catálogo de Servicios GPS para Bases de Datos Gestión de Proyectos y Soluciones

Quiénes Somos. Más de 11 años de experiencia desarrollando proyectos de tecnología dentro y fuera del territorio nacional.

ANEXO N 11 PASE A PRODUCCION

QUÉ TAN GRANDE ES TU EMPRESA?

Programa de Capacitación Discovery

DATA WAREHOUSE DATA WAREHOUSE

Perfil de la Empresa Misión Visión

SERVICIOS EN GESTIÓN DE LA INNOVACIÓN

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Las TIC: una apuesta para la mejora de la educación en la Comunidad de Madrid

Anexo Q. Procesos y Procedimientos


Presenta tu postulación hasta el 4 de agosto de 2015.

Transcripción:

REGULARIZACIÓN DE VULNERABILIDADES Seminario: Tendencias de la Tecnología en Buenos Aires, 16 de Septiembre del 2008

Grupo del Retail con presencia en cinco países en Latinoamérica: Múltiples Unidades de Negocio La Compañía Situación Actual Hipermercados / Supermercados / Home Stores / Department Stores / Shoppings / Tarj. Crédito / Seguros / Viajes & Turismo Área TI distribuída y diversa Grupos Locales y Corporativos (mas de 1000 personas) Distintas culturas (de compañías y países) Variedad Tecnológica: OS: Windows, Solaris, Linux, OS400, etc... DB: Oracle, Informix, SQL, DB2, etc... Lang.: Java,.Net, VB, ABAP, RPG, etc... Mas de 350 aplicaciones soportando al negocio (además de distintos ERPs) Mas de 50 proyectos grandes al año ( > 4000 hs.) de todo tipo Canales: B2B, B2C, etc.. Core: Migración & Implementación ERPs (SAP/PeopleSoft/Oracle) / Nueva Plataforma POS Gestión: Datawarehouse / Business Intelligence Una realidad... Dinámica, volátil Driver: TIEMPO!!!!! 2

Objetivo Qué persigue un proyecto de regularización de vulnerabilidades? Elevar el nivel de seguridad global de la plataforma tecnológica de la compañía (equipos, SW de base, aplicaciones, etc...) Alto Medio-Alto Medio Medio-Bajo Bajo Generalmente se parte de un diagnóstico previo (assessment) donde se han documentado todas las vulnerabilidades 3

Periódicamente ejecutamos: Nuestro Ciclo de Control de la Seguridad Etapas Etapa 1: Diagnóstico de Seguridad PenTest Interno PenTest Externo Etapa 2: Proyecto de Etapa 3: Compliance & Actualización de Política 4

Etapa 1 Diagnóstico de Seguridad Básicamente consiste en: PenTest Externo Scanning de sistemas perimetrales Revisión de Aplicaciones Web Relevamiento de infraestructuras wireless Escalamiento de privilegios PenTest Interno Revisión de servidores y networking Relevamiento general de workstations Prueba de fortaleza general de passwords Escalamiento de privilegios Estado general de antivirus / parches 5

Etapa 2 ( I ) Elementos a tener en cuenta Input identificadas claramente Priorización Exposición al riesgo Costo de remediación Facilidad de explotación Alcance Foco en lo mas importante (riesgo) Recordar que... un elefante se come de a pedacitos... Tener en cuenta las complejidades de las distintas plataformas SW de Base <> Aplicaciones Seteo de expectativas Documentar!!!! 6

Elementos a tener en cuenta (cont.): Plan Involucramiento de todas las áreas Operaciones / Tecnología / Comunicaciones / Desarrollo Identificar las ventanas de trabajo Coordinar con los planes de las otras áreas Documentar compromisos Tener en cuenta el volumen Etapa 2 ( II ) Muchas vulnerabilidades concentradas en pocos equipos / aplicaciones Pocas vulnerabilidades repetidas en muchos equipos / aplicaciones Sacar el mejor provecho de la distribución de tareas Remediaciones que requieren análisis mas exhaustivos (aplicación de parches) Remediaciones que se resuelven fácilmente (política de contraseñas) Ejecución Cuidado con el impacto por la aparición de nuevos findings Seguimiento & Control como cualquier proyecto......... 7

Etapa 3 Compliance & Actualización de Política Compliance: Verificar que las vulnerabilidades fueron removidas Mismo equipo vs Otro equipo (Pros & Cons) Clave: Documentación del trabajo realizado (equipos, aplicaciones,...) Verificar que no se introdujeron nuevas vulnerabilidades Documentar y comunicar el estado final Publicar los resultados Actualizar Política: Update de las normas publicadas Comunicación / Difusión / Capacitación 8

Conclusiones Nuestra Experiencia Factores Críticos de Éxito: Partir de un buen diagnóstico Definir claramente el alcance y priorizar Manejar expectativas Involucrar a todas las áreas de TI Comunicar, comunicar & comunicar 9

Consultas 10

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback