“
“ El papel del ISP en la seguridad del Comercio Electrónico ””
Olof Sandström
I Jornadas de Comercio Electrónico
El papel del ISP en la seguridad del Comercio Electrónico (CE)
Olof Sandström
Director de Seguridad [email protected]
-
El cliente de CE demanda confianza
1. El proveedor es fiable 2. El proceso es seguro
-
Para que el proceso sea seguro hay que
garantizar tres aspectos
1. Confidencialidad 2. Integridad
3. Disponibilidad
El papel del ISP en la Seguridad del CE
- Se hacen inversiones fabulosas para garantizar
la Confidencialidad, Integridad y Disponibilidad de los sistemas de información, llegando a
constituir auténticos búnkeres
- Este gasto no es viable para muchas
organizaciones
- La organización debe dedicarse a su negocio y
dejar que un tercero le proporcione los niveles de seguridad que necesita
El papel del ISP en la Seguridad del CE
Entonces me dices que puedo estar tranquilo, que guardaras
mis datos de forma segura
Cuenta con ello, mi compañía tiene el sistema perfecto y seguro
para tus datos
El papel del ISP en la Seguridad del CE
Si queremos saber la
situación real hay que tener en cuenta... - Servicios generales - Seguridad física - Mantenimiento - Sistemas informáticos - Redes y telecomunicaciones - Etc.
Cada área aportará su visión, carencias,
necesidades, etc.,
generalmente sin tener en cuenta las influencias que cada uno puede
tener en el resto El papel del ISP en la Seguridad del CE
Dirección TIC Consejo
Equipos de
proyecto OperacionalRiesgo Seguridad física Recursos Humanos Jurídico Comités de dirección Auditoría interna Auditoría De sistemas Seguridad información Riesgos TIC Sectores afines Asociaciones profesionales Consultores especializados Proveedores De seguridad Partners de negocio Proveedores Clientes Órganos de gobierno Órganos legislativos
El papel del ISP en la Seguridad del CE
Para una empresa que quiere abordar CE es complicado implantar los niveles de
seguridad necesarios para aportar la confianza que sus clientes demandan
En general será más rentable subcontratarle a un ISP estos servicios, que desarrollar las infraestructuras necesarias
En casa se tiene un botiquín y algunas medicinas, pero cuando hace falta atención especializada, se acude a un hospital
El papel del ISP en la Seguridad del CE
Router Balanceador de carga Servidores Web IDS Firewall Servidor transaccional Servidor de correo Firewall IDS Switch PCs de empleados CA Interna Servidores corporativos Consola antivirus Servidor de autorización y autenticación Firewall Servicios críticos: Financieros, ERPs, CRMs, etc. Consolas de gestión Oficina Principal Gateway VPN Túnel VPN Router Firewall VPN Switch Servidores PCs de empleados Delegación Servicios externos Monitorización Actualización de antivirus Mantenimiento de firewalls Análisis de vulnerabilidades
Confianza y PKI, Etc. Túnel VPN
Conexiones remotas Clientes
Usuarios de internet La competencia Hackers, etc.
El papel del ISP en la Seguridad del CE
Construcción Infraestructuras Sistemas informáticos Gestión / Administración Mantenimiento Cimentación, fachadas, cubiertas, entorno, paneles, cerramientos, etc. Electricidad, clima, ventilación,
protección contra incendios, Intrusión física, etc.
Servidores, telecomunicaciones, seguridad de red, etc.
Plan contingencia, personal, terceras partes, control central,
control de acceso, legal, etc. Auditoría, desarrollo de sistemas,
inspección de infraestructuras, pruebas, ensayos, calibraciones,
plan de mantenimiento, etc.
El papel del ISP en la Seguridad del CE
-
El ISP …
- Desarrolla las infraestructuras necesarias - Desarrolla e implanta los sistemas
- Los mantiene
- Dispone de personal cualificado 24 horas al
día, 7 días a la semana
Sistemas y servicios cubiertos por el CPD Análisis de riegos
Plan de continuidad de negocio, contingencia y
recuperación de desastres
Relación de controles o medidas de salvaguarda
implantadas
Política de seguridad
Procedimientos de soporte a la gestión de las
infraestructuras de seguridad
Procedimientos de seguridad Plan de mantenimiento
El papel del ISP en la Seguridad del CE
Estructura del Edificio
Protección contra incendios Climatización
Instalación eléctrica Energía autónoma
Instalaciones de fluidos Aparatos elevadores
Seguridad de perimetral (física)
El papel del ISP en la Seguridad del CE
El papel del ISP en la Seguridad del CE
El papel del ISP en la Seguridad del CE
El papel del ISP en la Seguridad del CE
El papel del ISP en la Seguridad del CE
El papel del ISP en la Seguridad del CE
El papel del ISP en la Seguridad del CE
Por último se verifica regularmente que todo
va según lo previsto, pasando auditorías de
…
Calidad
Protección contra incendios Instalaciones eléctrica
Vulnerabilidades tecnológicas Intrusión
Sistemas Etc.
El papel del ISP en la Seguridad del CE
Todo este trabajo genera confianza
A la empresa le permite dedicarse sólo a
aquello de lo que entiende: su negocio
Al cliente le aporta tranquilidad
El papel del ISP en la Seguridad del CE
Algunas cifras de
Más de 110.000 clientes
Más de 500.000 servicios activos
Más de 1.200 servidores en producción … y creciendo
El papel del ISP en la Seguridad del CE
1. Para que el CE prospere, los clientes tienen que percibir un entorno que les aporte confianza
2. Lograr ese entorno no es sencillo y para muchas empresas la inversión necesaria no se justifica
3. Los ISP invierten mucho dinero, esfuerzo, conocimiento e ilusión para proporcionar ese entorno
4. Es necesario tener competencias en muchas áreas y estar continuamente revisando la suficiencia de las medidas
5. arsys.es lleva 10 años proporcionando estos servicios, siendo actualmente líder en el mercado nacional de
registro de dominios
El papel del ISP en la Seguridad del CE
Olof Sandström
Director de Seguridad arsys.es [email protected]
El papel del ISP en la Seguridad del CE
Ruegos y preguntas
