Upload
dinhkiet
View
215
Download
0
Embed Size (px)
Citation preview
Seguridad inteligente para la empresa
moderna y productiva
#MicrosoftSecure
Héctor Sanchez Montenegro – Director de Tecnología de Microsoft Ibérica
César Tascón Álvarez – Director de Ciberseguridad de PWC
Seguridad en un
Mundo móvil
“Businesses and users are going to embrace technology only if they can trust it.”
Satya Nadella
Chief Executive OfficerMicrosoft Corporation
Nuestro Objetivo es ayudar a nuestros clients a entender los nuevosretos relativos a la Ciberseguridad y como adaptarse y responder adecuadamente a ellos segun su propio ecosistema de negocio.
Dave BurgCybersecurity Services Leader for PwCc
Líderes en consultoría
Desde la estrategia a la ejecución
Entendemos que juntos podemos ofrecer un enfoque global, desde la concepción hasta las herramientas necesarias para hacer frente
a muchos de los retos de Seguridad.
Sistemas
Inteligentes
TRANSFORMACIÓN DIGITAL
Conecta con tus clietes
Potencia a tusempleados
Optimiza tusoperaciones
Transforma tusproductos
La complejidad creciente del mundo en el que vivimos
“THERE ARE TWO KINDS OF BIG COMPANIES, THOSE WHO’VE BEEN HACKED, AND THOSE
WHO DON’T KNOW THEY’VE BEEN HACKED.”
J A M E S C O M E Y , D I R E C T O R F B I
Median number of days attackers are present on a
victims network before detection
200+Days after detection to
full recovery
80Impact of lost productivity
and growth
$3TRILLION
Average cost of a data breach (15% YoY increase)
$3.5MILLION
COMO OCURREN LOS INCIDENTES?
No solo hay que preocuparse del Malware y de las Vulnerabilidades
99.9%de las Vulnerabilidades fueronexplotadas un año despues de la publicación de su CVE
46%de los Sistemas comprometidos no tenían ningún tipo de Malware
50%De los que abrieron y clickearon el adjnto, lo hicieron en la primerahora
23%de los destinatarios abrieron el mensaje de phising (el 11% hizoclick en los adjuntos)
Los ataquesrápidos y
efectivos de phising te dejanpoco tiempo de
respuesta
Nos enfrentamos a un problema global que ha venido para quedarse
• Clarify roles and responsibilities
• Develop Crisis Leadership Characteristics
• Leverage expertise
• Create a culture of integrated risk and
multistakeholder partnerships
“Implications of sweeping digitization
(also termed the “Fourth Industrial
Revolution”), ranging from
transformations that are the result of
rising cyber connectivity to the
potential effects of innovations on
socio-economic equality and global
security, remain far from fully
understood.”
PwC’s Digital Services
Confidential information for the sole benefit and use of PwC’s client.
21PwC’s Digital ServicesPwC’s Cyber Services – Digital Transformation
“Everyone has a plan 'till they get punched” Mike Tyson
Hay que estar bien preparado y entrenadopara hacer frente a los problemas en
situaciones de crisis.
Algunos de los beneficios que aporta una estrategia que incorpora la
Ciberseguridad son:
Mejora la capacidad de identificar y priorizar riesgos de seguridadz
Mejora la capacidad de detección temprana y mitigación de riesgos
La información sensible está más segura
Comprensión de los gaps de seguridad y como mejorarlos
Mejora de las comunicaciones y colaboraciones
49%
47%
45%
37%
32%
Fuente: Encuesta Mundial de Ciberseguridad PwC 2017
La mayoría de las organizaciones están incorporando
iniciativas estratégicas para identificar amenazas,
mejorar la seguridad y minimizar riesgos.El 45% de la Alta Dirección
indica que participa en la
estrategia global de
Ciberseguridad de su
organización
Y que cambia el paradigma del negocio. La amenaza vs el riesgo
Amenaza¿Qué?
¿Quien?
¿Cómo?
¿Cuándo?
¿Dónde?
Radiografía de un
ciberataque
Y la tecnología contempla todo el perímetro
“By 2020, a corporate
‘no-cloud’ policy will be
as rare as a ‘no-internet’
policy is today.”1
“The question is no longer:
‘How do I move to the
cloud?’ Instead, it’s ‘Now
that I’m in the cloud, how
do I make sure I’ve
optimized my
investment and risk
exposure?”2
“By 2020 clouds will stop
being referred to as
‘public’ and ‘private’. It
will simply be the way
business is done and IT
is provisioned.”3
1Gartner: Smarter with Gartner, Why a No-Cloud Policy Will Become Extinct, February 2, 2016
2KPMG: 2014 Cloud Survey Report, Elevating business in the cloud, December 10, 2014
3IDC: IDC Market Spotlight, Cloud Definitions and Opportunity, April 2015
“By 2020, a corporate
‘no-cloud’ policy will be
as rare as a ‘no-internet’
policy is today.”1
If you’re resisting the cloud
because of security
concerns, you’re running
out of excuses.”
“By 2020 clouds will stop
being referred to as
‘public’ and ‘private’. It
will simply be the way
business is done and IT
is provisioned.”3
SEGURIDAD CUMPLIMIENTO TRANSPARENCIA &PRIVACIDAD
Plataforma PartnersInteligencia
• Unified view of security across your Azure resources• Central management of security policies• Integrated security event logging and SIEM integration
• Security policies tailored to meet your needs• Recommendations help address vulnerabilities• Rapidly deploy controls from Microsoft and partners
• Continuous analysis of security events• Microsoft threat intelligence informs analysis• Prioritized alerts provide attack insights and
recommendations for remediation
Apps and Data
SaaS
Microsoft te protege
Malware Protection Center Cyber Hunting Teams Security Response Center
DeviceInfrastructure
CERTs
Identity
INTELLIGENT SECURITY GRAPH
Cyber Defense
Operations Center
Digital Crimes Unit
Antivirus NetworkIndustry Partners
PaaS IaaS
APROXIMACIÓN HOLÍSTICA A LA
SEGURIDAD
LIDERAZGO EN CUMPLIMIENTO
COMPROMISO CON TRANSPARENCIA &
PRIVACIDAD
En Europa la mayor novedad viene con la aplicación del Nuevo Reglamento de Protecciónde Datos
1 Entrada en vigor del Nuevo
Reglamento a partir del 25 de Mayo de 2018
2 Tiene un importante impacto para las organizaciones en
cuanto a sus procesos, la forma de analizar los riesgos y porsupuesto las medidas técnicas
Procesos Proactivos de Seguridad
Implantaciones Tecnologicas
Anonimización
Trazabilidad
Portabilidad
Notificación de Incidentes
Inversiones enInfraestructura
En sectoresaltamente regulados
Requisitos globalesRequisitos decumplimiento
local y regional
Requisitosfuturos
• Resolución Agencia Española de Protección de Datos (Julio 2014)
• Certificación Real Decreto medidas Técnicas LOPD (Julio 2016)
Privacidad
Personal
Principales cambios con GDPR
Controles y
notificaciones
Políticas
transparentes
IT, formación y
contratos
Necesidad de invertir en:
• Formación a empleados
sobre privacidad
• Políticas de datos
• Data Protection Officer
(DPO) (si + de 250
empleados)
• Seguridad
• Contratos
Processor/Vendor
• Estrictos requisitos de
Seguridad
• Obligación de reportar
brechas de seguridad
• Consentimiento
apropiado para el
proceso de datos
• Confidencialidad
• Mantenimiento de
registros
Individuos con derechos a:
• Acceso a sus datos
personales
• Corrección de errores en sus
datos personales
• Borrar sus datos personales
• Oponerse al procesamiento
de sus datos personales
• Exportar sus datos
personales
Políticas transpàrentes y de
facil acceso sobre:
• Notificación sobre
recogida de datos
• Notificación sobre
procesamiento
• Detalles del
procesamiento
• Retención y borrado de
datos
Como comienzo?
Identificar que datospersonales tiene y
donde residen.
Administrar el uso y el acceso a los datos
personales
Establecer controles de seguridad para prevenir , detectar y responder a las
vulnerabilidades e incidentes de seguridad de
los datos
Tramitar las solicitudes de
acceso a los datospor parte de los
interesados y conserver la
documentaciónnecesaria
Analizar los datos y Sistemas para asegurar
el cumplimiento y reducer riesgos
1 2 3 4 5
Detección Control Protección Notificación Revisión
Delivery & Support
Os podemos ayudarWorkshops. Piloto. Delivery & Soporte.
Protección de dispositivos con cifrado líder en
la industria, tecnologías anti-malware y
soluciones de identidad y acceso
1 2 3
Detección Control Protección
Notificación Revisión
4 5
Protección de datos de clientes en la nube,
incluidos datos personales, con medidas de
seguridad avanzadas y políticas de privacidad.
1 2 3
Detección Control Protección
Notificación Revisión
4 5
Azure InformationProtection
Azure Information Protection
DOCUMENT
TRACKING
DOCUMENT
REVOCATION
Monitorización
& respuesta
LABELINGCLASSIFICATION
Clasificación &
etiquetado
ENCRYPTION
Protección
ACCESS
CONTROLPOLICY
ENFORCEMENT
Full Data
Lifecycle
Protección de datos de clientes tanto en la
nube como on premise con capacidades de
seguridad avanzadas
1 2 3
Detección Control Protección
Notificación Revisión
4 5
Proteger datos de clientes en la nube,
incluyendo datos personales, con medidas de
seguridad avanzadas y políticas de privacidad.
1 2 3
Detección Control Protección
Notificación Revisión
4 5
Protección de datos en bases de datos con
controles para la gestión, el acceso y la
autorización en varios niveles
1 2 3
Detección Control Protección
Notificación Revisión
4 5
Microsoft is meeting customer security needs with the industry's largest compliance portfolio
ISO
27001PCI DSS Level 1 * SOC 2 Type 2
ISO
27018
Cloud Controls
Matrix
Content Delivery and
Security Association *
Shared
AssessmentsSOC 1 Type 2W
orld
wid
e
Mayor portfolio de cumplimiento de la IndustriaG
ove
rnm
ent
FIPS 140-2 DISA Level 2FERPAFedRAMP
JAB P-ATO
FISMACJIS21 CFR
Part 11
IRS 1075Section 508
VPAT
United Kingdom
G-Cloud
NIST 800-
171
Natio
nal
European Union
Model Clauses
Singapore
MTCS Level 3
New Zealand
GCIO
Australian Signals
Directorate
Japan
Financial
Services
Spain ENSENISA
IAFHIPAA /
HITECH
EU-U.S.
Privacy Shield
China MLPS*,
TRUCS*, GB
18030*
https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings
Última Hora sobre GDPR !!
Amendment M434. “Microsoft is the
first major cloud provider to offer
GDPR terms to its customers”
• Microsoft.com/GDPR
#MicrosoftSecure
Seguridad en un
Mundo móvil