Seguridad
de
la
Información
Las
10 Prioridades
en
Seguridad
de
la
Información
Las 10 Prioridades en Seguridad de la Información
‽
Problemáticas
Problemáticas
Sensibilización
y
Entrenamiento
‽ Nivel estratégico debe asumir
responsabilidades; y no esperar a
que ocurra un incidente grave.
‽ Usuarios finales no reconocen su rol. ‽ Malas prácticas vulneran otros
controles implementados.
‽ Se designan “responsables” de
seguridad, sin las “competencias”
suficientes.
Formulación/Evaluación deCompetencias
Campaña de Difusión y Concientización
Charlas de Sensibilización /Brainstorming
"Curso de Preparación a la CertificaciónInternacional CISSP, para Oficiales de
Seguridad de la Información“
Con múltiples relatores certificados, para los
10 dominios temáticos.
Curso y certificación internacionalAuditor Líder ISO 27001.
Soluciones ADEXUS
5
Problemática
‽ Identificar y controlar los
riesgos de terceros en
proporcionar una efectiva,
segura, continua y eficiente
entrega de servicios; sin
incrementar los riesgos de la
empresa.
Asesorar a la empresa y terceros relacionados, en elproceso de adopción ISO 27001/27002.
Establecer contractualmente los requerimientos deseguridad en el trato con terceros.
Auditar cumplimiento de niveles de servicios de terceros
BOC: Business Operation CenterMonitoreo de procesos de negocio, integrando los SLAs de
los prestadores de servicios y socios.
Servicios TI con el respaldo del Data Center CGSI deADEXUS, Certificado ISO/IEC 27001:2005.
Soluciones ADEXUS
5
Problemáticas
‽ Falta de protección en registros sensibles
del área salud han ocasionado eventos de
seguridad de conocimiento público.
‽ Problemas de Integridad y Disponibilidad
pueden poner en riesgo la vida de las
personas.
‽ Establecer modelos de seguridad de la
información en el área de la salud,
adheridos a estándares internacionales.
Seguridad en registros sensibles de Salud
Auditoría de Seguridad y Análisis GAPcontra ISO 27799:2008:
Health informatics ‐ Information security management in health using ISO/IEC 27002.
Asesoría y herramienta de apoyo parala implementación de controles de
seguridad focalizada en la protección
de registros sensibles.
Plataforma de Monitoreo en el usointerno de registros médicos.
Soluciones ADEXUS
3
Problemáticas
Cumplimiento:
PMG
‐
SSI
‽ Organismos Públicos deben cumplir PMG‐SSI
(Programa de Mejoramiento de la Gestión /
Sistema de Seguridad de la Información):
• Apoyo estratégico y lineamientos de alto nivel.
• Integrar la seguridad a los procesos de negocio.
• Comprender las herramientas PMG‐SSI.
• Herramientas no facilitan el trabajo colaborativo.
• Disponibilidad de expertos.
• HHs para relevar/generar la información solicitada.
• Integrar con necesidades de cumplimiento similares
Asesoría por consultores expertospara el cumplimiento del PMG‐SSI.
Servicio en Contrato Marco.
Soluciones ADEXUS
http://adexustv.cl/PMG_SSI.html
4
Cumplimiento:
PMG
‐
SSI
Herramienta de apoyo a la gestión delSGSI
Capacitación a responsables de laseguridad de las instituciones del
Estado.
Problemáticas
Seguridad
en
la
Nube
‽ Principales problemas de Seguridad en la Nube:
• El uso de servicios en la nube por organizaciones criminales
• Interfaces y APIs de integración inseguras
• Usuarios internos maliciosos, con altos privilegios
• Aspectos compartidos de la Tecnología
• Pérdida o Fuga de datos
• Secuestro de Cuentas de servicio
• Conflictos entre Gestión de seguridad y gestión de virtualización.
‽ Requerimientos:
• Seguridad para los servicios en la nube.
• Servicios de Seguridad entregada desde la nube.
Servicios TIC ADEXUS en la nube• Cloud SAP
• Exchange Multi‐tenancy / Office 365
• e‐Dot (Factura electrónica)
• AVIS (Servicios de Salud Primaria)
• Hosted PBX
Soluciones ADEXUS
2
Seguridad
en
la
Nube
Servicios de seguridad provistos desde la nube• Para protección contra MitB (Troyanos en el browser)
• Gestión Antivirus
• Gestión de Vulnerabilidades :
– tecnológicas, código fuente, portales web.
Problemáticas
Seguridad
en
EndPoint
‽ Sofisticación de las amenazas a dispositivos de usuarios
finales, tanto de escritorio
como móviles.
‽ Múltiples riesgos como fraude monetario, robo o daño de la información.
‽ Se requiere:
• Llevar la seguridad
corporativa al dispositivo que
posea el usuario, manteniendo la gestión centralizada. Whaling Botnet Trojan Trojan Trojan
Smishing MitB: Man in the Browser
Zeus
ZitMo
Establecimiento de Controles de Protección EndPoint
Roadmap de implementación de Suites de Seguridad:Soluciones ADEXUS 4 • AntiVirus; • AntiSpam; • AntiSpyware • Filtro de Contenido; • Firewall; • H-IPS; • Cifrado; • VPN (Fijas y móviles) • DLP; • Control de Periféricos.
Integración de la gestión de seguridad en endpoints de escritorios y móviles.
Desarrollo aplicaciones seguras para dispositivosmóviles.
Problemáticas
Fuga
y
Pérdida
de
Información
‽ Información sensible es extraída, divulgada
o dañada
• Por usuarios internos con permisos normales
• Por Hackers utilizando accesos no autorizados
‽ Se requieren soluciones que permitan
identificar, monitorear y proteger:
• El uso de los datos (como acciones en el
endpoint),
• Los datos en movimiento (acciones en la red),
• Datos en reposo (data almacenada).
Consultoría en clasificación de laInformación.
Asesoría consultiva y servicios paraimplementación de proyectos DLP
(Prevención de Fuga de Información).
Implementación de plataformas demonitoreo de comportamiento riesgoso
de usuarios internos.
Soluciones ADEXUS
3
Problemáticas
Seguridad en redes sociales y Web 2.0
‽ Malware como Troyanos, botnets y otros,
ingresan a la red corporativa por las redes
sociales
‽ Se requiere de sistemas de protección de red
capaces de identificar amenazas en aplicaciones
incrustadas en las redes sociales.
Implantación y monitoreo ‐desdeel CGSI‐ de plataformas de
protección perimetral de nueva
generación, como Firewalls, IPS o
Filtros de contenido, capaces de
controlar granularmente la
seguridad en redes sociales.
Soluciones ADEXUS
Problemáticas
Continuidad
del
Negocio
‽ La no disponibilidad del personal
necesario, infraestructuras físicas o
servicios TI, pueden paralizar el negocio. ‽ El no estar preparado eleva en cuatro o
cinco veces el costo y duración de un
evento de indisponibilidad.
‽ Se requiere abordar la Gestión de la
Continuidad con miradas de nivel
estratégico y del negocio.
Monitoreo permanente de SLAs Incidente de impacto acotado Contingencia parcial de un proceso DESASTRE con interrupción de procesos críticos RA: Risk Assessment RA: Risk
Assessment BIA: Business Impact Analysis
Evento de seguridad
Antes Durante Después
Soluciones ADEXUS
Sistema de Monitoreo de Continuidad
Bajo Medio Alto
Grado de IMPACTO
Problemáticas
Seguridad en Medios de Pago y Fraude Interno
‽ Maximizar la seguridad de las
transacciones financieras.
• Interceptación de data sensible en
transacciones financieras para realizar fraude.
• Los tradicionales mecanismos de anti‐malware
no garantizan protección.
2
‽ Detectar comportamientos de alto riesgo de usuarios internos.
• Se pueden coludir para realizar fraude con la
Habilitación de plataformas y servicios de protección a medios de pago: Soluciones ADEXUS
Habilitación de Plataformas de monitoreo de Amenazas y Fraude Interno. 2Seguridad en Medios de Pago y Fraude Interno
• Autenticación Robusta
• Protección contra Man‐in‐
10. Sensibilización y Entrenamiento
Las 10 Prioridades en Seguridad de la Información
1. Seguridad en Medios de Pago y Fraude Interno
9. Riesgo en Servicios de Terceros
8. Seguridad en registros sensibles de Salud 7. Cumplimiento: PGM-SSI
6. Seguridad en la Nube 5. Seguridad en EndPoint
4. Fuga y Pérdida de Información
3. Seguridad en redes sociales y Web 2.0 2. Continuidad del Negocio
Las 10 Prioridades en
Seguridad de la Información
