Sistemas de Seguridad TECNOLOGÍAS EMERGENTES PARA LA … › web › Eventos › CongresosEspana › ... · 6 TECNOLOGÍAS EMERGENTES PARA LA SEGURIDAD Infraestructuras NAC – Control

TECNOLOGÍAS EMERGENTES PARA LA SEGURIDAD

MARTA OLIVÁN ORDÁSNoviembre de 2009

Sistemas de Seguridad

XI CONGRESO DE PROFESIONALES IT

TECNOLOGÍAS EMERGENTES PARA LA SEGURIDAD | índice

Infraestructura de Servicios Integrales de Firma

Portafirmas electrónico

Asegurar las aplicaciones

Infraestructuras NAC

Data Loss Prevention

Comunicaciones Seguras

Detección de Webs Maliciosas

Suplantación de identidad

3

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Firmante 1

Autoridades deValidación

(internas y/o externas)

Ciudadano 1 Ciudadano 2

PortafirmasElectrónico

SOA

–ser

vicio

s web

Plataforma de Servicios de Firma Electrónica

App 1

Organización / AAPP

Sistema de Custodia de Documentos Firmados

AppInterna

SOA – servicios web

SOA – servicios web

Gestor Documental

Gestor Documental

AppInterna

Infraestructura de Servicios Integrales de Firma

Firmante 2

App 2 App n

Autoridades deSellado de Tiempos

(internas y/o externas)


4

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Principales necesidades cubiertasResolver la operativa de firma de documentos de una organización a través del despliegue de la firma electrónica.

Una única interfaz para la Firma de diferentes documentos/datos (herramienta centralizada).

Muy intuitivo y fácil de utilizar, similar a otras aplicaciones/sistemas electrónicos conocidos.

Capacidad de adaptarse a las necesidades y flujos de firma específicos para cada documento / proceso.

Modelo de no injerencia (sólo gestión del proceso de firma).

Funcionamiento pasivo (las aplicaciones controlan el proceso completo).

Portafirmas electrónicoPermite la firma

en bloque de los usuarios (ciudadanos/clientes)


Portafirmas electrónico

5

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Problema: Según analistas como NIST el 92% de las vulnerabilidades se encuentran en el software.

Solución: Herramientas SCA

Asegurar las aplicaciones

Hay una tendencia en el mercado para que los departamentos de seguridad de las empresas verifiquen los desarrollos antes de su paso a producción con el enfoque“Software Security as a Gate”: Homologación de una aplicación estable, tras pruebas de aceptación funcional.


Las herramientas SCA (SourceCode Analisys) examinan los ficheros de código fuente y buscan coincidencias con una serie de reglas que pueden indicar posibles vulnerabilidades de seguridad, dentro de una serie de categorías o rulesets.

6

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Infraestructuras NAC – Control de Acceso a la Red

Problema: Controlar qué dispositivos acceden a la red y en qué localizaciones.Solución: Un sistema NAC (Network Access Control – Control de Acceso a la

Red) independiente del dispositivo conectado.

Hay soluciones que nos permiten conocer el dispositivo conectado antes de permitirle el acceso, sin agentes (que pueden ser “engañados”), y proporciona una monitorización completa y en tiempo real del punto más débil en el acceso a la red, el switch físico, controlando quién, cómo y cuándo accede a la red.

Incluso verificar si a un puerto se conecta más de un dispositivo.

Soluciones que permiten detectar los dispositivos por su comportamiento y asignar puertos para usos específicos (p.ej. Impresión, VoIP, guest, etc).


7

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

El nivel de riesgo de pérdida de información en empresas es muy elevado:


Por eso, por el aumento del descontento entre los empleados, y por la necesidad de cumplimiento de las nuevas directivas, normas y regulaciones (SOX, MiFID, LAESCP, LISI, PCI…) se está haciendo gran hincapié en sus soluciones de DLP

Todas estas pérdidas de información pueden o no suponer pérdidas económicas, pero siempre suponen una pérdida de confianza y de imagen de la institución o empresa.

Data Loss/Leak Prevention

8

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Problema: Clasificar la información

Solución: Implantar medidas para descubrir.

Data Loss/Leak Prevention: TECNOLOGÍAS EMERGENTES PARA LA SEGURIDAD

Definir la política de clasificación

de la información

Clasificar la información

según la política

Refuerzo de la seguridad con

controles: técnicos, personales,

administrativos

Solventar los incidentes

Informes de riesgo y

cumplimiento periódicos

1 2 3 4 5

CONSULTORÍA IMPLANTACIÓN SOC

ClasificaciónContinua

Implantar Medidas Técnicas

Formación

Implantar Medidas

Organizativas

DLP

DRM

Modelo de Clasificación

9

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Sistemas de Comunicaciones Seguras

Comunicaciones móviles con PDA enmodo Push-To-Talk (PTT).

Terminales Móvilesde comunicaciones seguras.


SupervisoresAgente-PC VoIP cifrada en Sistema Full-Duplexy Push-To-Talk..

LocalizaciónGPS y por celda GSM.

Integración con Terminales fijosespeciales MiniPBX.

Problema: Comunicaciones expuestas.Solución: Solución integral de comunicaciones seguras extremo a extremo,

incluyendo los terminales seguros, el cifrado de comunicaciones y el centro de gestión-PKI.

10

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Problema: Ya no existen webs confiables.

Solución: Motores de inspección de comportamiento proactivo

Detección de Webs Maliciosas

El acceso a Internet para conseguir información, contactar con proveedores y/o clientes, realizar operaciones comerciales, etc. se ha convertido en una necesidad para la mayoría de las empresas y organismos públicos.

Pero para proteger la navegación por Internet, ya no vale sólo con las medidas tradicionales (antivirus, filtraje de contenido y de Web), para defender a las empresas de las amenazas existentes (código inyectado, código ofuscado, virus antiguos…).


11

TEC

NO

LOG

ÍAS

EM

ER

GEN

TES

PAR

A L

A S

EG

UR

IDAD

Verificación de identidad

De cara a que las empresas e instituciones puedan ser proactivos a la hora de detectar posibles suplantadores, tenemos productos encaminados a detectar posibles fraudes de suplantación de identidad.

Verificación de Documentos

Indra ha desarrollado un Verificador de Documentos que mejora el control de autenticidad de documentos de identidad y de viaje y permite tomar una decisión segura sobre la validez del documento, convirtiéndose en una herramienta básica de gestión policial, de control de accesos (fronterizos o en infraestructuras) y prevención del fraude.

OBJETIVOS

SencillezInterfaz intuitivo y fácil de usar. Envío de incidencia en tiempo real

ConfianzaFiabilidad en el resultado y asistencia en la toma de decisión del agente.

Gestión Remota

PortabilidadEquipos portátiles y robustos, preparados para el día a día policial.

Detecta los documentos más comunes en los controles.Eficacia Actualizable

Aplicación independiente del hardware de captura de documentos.Autónomo

Falsificación de documentos de

identidad y tarjetas de residencia

portuguesa para obtener tarjetas de

crédito.

Perjuicio a una Entidad Financiera

de 50.000€La Razón. Septiembre, 2009

Cae una red de estafa con tarjetas


Problema: Suplantación de identidad. Solución: Verificador de documentos.

12

Marta Oliván OrdásGerente Desarrollo de Negocio HLS

Parque Empresarial La Finca, Edificio 4P1º del Club Deportivo, 1 28223 Pozuelo de AlarcónMadrid España

[email protected]

Documents

Sistemas de Seguridad TECNOLOGÍAS EMERGENTES PARA LA … › web › Eventos › CongresosEspana › ... · 6 TECNOLOGÍAS EMERGENTES PARA LA SEGURIDAD Infraestructuras NAC – Control