VisiVisióónn TTéécnica:cnica:
Soluciones TecnolSoluciones Tecnolóógicas gicas para la Seguridad para la Seguridad
Lucia CarriLucia Carrióón Gordn GordóónnNEXSYS DEL ECUADORNEXSYS DEL ECUADOR
1ra GeneraciónPuertas, Armas,
Guardias
Evolución de la SeguridadA
dmin
istr
ació
nde
la C
ompl
ejid
ad
Tiempo
Seguridad Actual
2da GeneraciónSeguridadReactiva
3ra GeneraciónSeguridad permite
hacer negocios
4ta GeneraciónSeguridadProactiva y
Responsabilidad
1997 1998 1999 2000 2001 2002 2003 2004 2005
NecesidadesInversión
Security & Continuity
Investments Not Matching Real Need
9/11 “Wake Up Call”
New Investment After Re-Think
Time of user confusion and
vendor missteps
Escenario después del 11 de Septiembre...Escenario después del 11 de Septiembre...
Fuente: IDC, 2002
37%
19%
17%
12%
6%
6%
2%
2%
0 5 10 15 20 25 30 35 40
Falta de recursos
Monitoreo de seguridad
Falta de políticas y procedimientos
Falta de integración entre las soluciones de seguridad
Falsas alarmas/falsos positivos
Conciencia/refuerzo de seguridad entre usuarios
Ninguna
Otros
(% de respondientes)
La falta de recursos es el principal reto para la administración de la seguridad
Pregunta: ¿Cuál es el principal reto para la administración de la infraestructura de seguridad?
Fuente: IDC’s Enterprise Security Survey, 2003
31%
29%
13%
12%
7%
8%
0 5 10 15 20 25 30 35
Infraestructura
Datos
Clases deusuarios
Aplicaciones
Ubicación
No sabe/No hadefinido/Otros
(% de respondientes)
¿Cuál es la primera prioridad en el planeamiento de seguridad de TI?
Pregunta: Cuando está evaluando la seguridad en su ambiente de TI, ¿cuál categoria de las siguientes tiene la primera prioridad?
Fuente: IDC’s Enterprise Security Survey, 2003
Incremento de la inversión en TI
Pregunta: Para el año 2004, ¿los gastos en tecnología de su organización fueron mayores, menores o iguales que los del año 2003?
En promedio, las empresas incrementaron en 8.7% el gasto en TI durante el 2004
Mayores que los del
200349%
Iguales que los del 200334%
Menores que los del
200317%
Fuente: IDC Peru IT Services Spending Trends 2004n = 153
0% 10% 20% 30%
Otros proyectos tienen mayor prioridad
Utilidades muy bajas para financiar proyectos
Incertidumbre del ambiente comercial
Cambio de necesidades de negocio
Clima político nacional
Intento de expandir ciclo de vida de productos
Personal interno calificado
No sabe
Dificultad para justificar los proyectos tecnológicos retrasan la inversión en TI...
Pregunta: ¿Cuál sería el factor principal que más probablemente retrasaría los gastos externos en tecnología de su organización?
Fuente: IDC Peru IT Services Spending Trends 2004n = 153
0% 10% 20% 30% 40%
Nuevas necesidades comerciales
Actualización de base tecnológica instalada
Hay buenas utilidades
No sabe
Clima político nacional
Alianzas con proveedores externos
Presión de la competencia
Falta de personal con habilidades adecuadas
...Pero se debe actualizar la base instalada y atender las nuevas necesidades comerciales
Pregunta: ¿Cuál sería el factor principal que más probablemente aceleraría los gastos externos en tecnología de su organización?
Fuente: IDC Peru IT Services Spending Trends 2004n = 153
Seguridad y administración tienen la primera prioridad de inversión en SW de infraestructuraSeguridad y administración tienen la primera prioridad de inversión en SW de infraestructura
Pregunta: ¿Cuál de los siguientes tipos de software de infraestructura representa la primera prioridad en términos de la inversión de su organización?
Fuente: IDC Peru Software Spending Trends 2004n = 97
Herramientas de desarrollo
32%
Infraestructura27%
Aplicaciones empresariales
41%
Seguridad26%
Almacenam.23%
Sistemas Operativos
13%
Middleware4%
Otros1%Administ.de
Redes7%
Administ.deSistemas
26%
¿Es la misma prioridad para todos?
Seguridad#1 Para los profesionales de Negocios
Almacenamiento
Sistemas Operativos
Administración de Sistemas#1 Para los profesionales de TI
2005
Pregunta: ¿Cuál de los siguientes tipos de software de infraestructura representa la primera prioridad en términos de la inversión de su organización?
Fuente: IDC Peru Software Spending Trends 2004n = 97
Ejm: Una Aplicación Web
Webserver
Web app
Web app
Web app
Web app
transport
DB
DB
Appserver
(optional)
•Web client: IE, Mozilla,
•HTTP reply (HTML, JavaScript, VBScript, etc.)
•HTTP request
•Clear-text or SSL
• Apache• IIS• Netscape
•J2EE server• ColdFusion• Oracle 9iAS
• Perl• C++• CGI• Java• ASP• PHP
• ADO• ODBC• JDBC • Oracle
• SQL Server
Internet DMZ Red Protegida
RedInterna• AJP
• IIOP• T9
Redefinición de Seguridad 3A
Fuente: IDC Peru Software Spending Trends 2004n = 97
• Los fabricantes de Seguridad 3A (accesos, administración y autentificación), rápidamente se han reposicionado en dos nuevas áreas:
• Identity and Access Management (IAM)
• Vulnerability Managemnet (SVM)
• La seguridad 3A a migrado de ser un colector de utilidades y middleware hacia una mas completa solución de IAM.
Redefinición de Seguridad 3A
Fuente: IDC Peru Software Spending Trends 2004n = 97
• Existe una creciente conexión entre el hardware de autentificación y AIM en los clientes corporativos y clientes de gobierno. Esta tendencia esta dirigida por las regulaciones regulaciones standaresstandares del mercadodel mercado (gobierno u otras) y el costo creciente de administrar los passwords.
•Identity and Access Management es un grupo de soluciones usadas para identificar usuarios en el sistema (empleados, clientes, proveedores, etc.) controlando sus accesos a los recursoscontrolando sus accesos a los recursos dentro del sistema, asociando sus derechos de usuario y restricciones con las establecidas con su identificación de usuarios.
3 P’s de la seguridadPolíticas
Establecer políticas de privacidad, seguridad y continuidad del negocio
PersonasEducar y crear conciencia de la importancia de la seguridad de la información
Solo el 17% de las políticas de seguridad son lideradas por los gerentes de negocio
ProcesosUnificar la seguridad física con la seguridad virtualEstablecer procesos que permitan identificar y prevenir tempranamente los riesgos potenciales
Criterios de selección de proveedores
¿La solución de seguridad propuesta...
... se integra con la infraestructura existente?
... reduce el tiempo requerido del personal de TI?
... reduce los falsos positivos?
... archiva la información referente a seguridad?
... permite establecer políticas de seguridad a la medida?
Estado de la seguridad en el Ecuador
Que tan evolucionado está el tema de la SI?Cuando hablamos de SI, en que piensa la gente?Cual es el problema mas grande que se tiene?Que significa esto?
Dinámica del Medio
Riesgo es más alto que nuncauno de cada tres usuarios pierde informaciónel robo (5.8%), fallas del disco (22.9%), problemas del software (13.2%) y de hardware (18.6%), asícomo virus y desastres naturales (6.7%).
Hacer más con menos “como siempre”La responsabilidad es claveMercado de seguridad fragmentadoCarencia de integración
¿Qué nos dice la gerencia técnica?
Los Virus y la Vulnerabilidad están fuera de control
Administración de ParchesEl SPAM está impactando nuestra efectividad
Administración de cuentas de usuarios costosa
Muchos datos, insuficiente información
¿Qué es la seguridad?
No es un tema de SW ni de HWEs un tema crítico de continuidad de negociosMáximo acceso / Máxima SeguridadPolíticas y prioridades
EN ECUADOR: estamos en un proceso de generación de conciencia
OPORTUNIDAD
Política de Seguridad
A menudo no existeFrecuentemente desactualizadasFrecuentemente desconocido por el staffNo reforzadasImposible administrarlas
1) Organización de la seguridad ¿Existe una política de SI?
¿Hay políticas individuales?
¿Se revisan las políticas de SI?
¿Hay algún organismo de SI?
¿Existe un programa de concientización a nivel organización?
¿Hay algún gerente de SI?
¿Hay un comité de SI de la Dirección?
¿Hay discriminación de funciones?
1) Organización de la seguridad
¿Se auditan externamente los procesos?
¿Hay normas para contratación en áreas sensitivas?
¿Firman acuerdos de confidencialidad habitualmente?
2) Control de la SI
¿Hay un programa de control de la SI?¿Tienen un proceso de medición del programa de SI?¿Hay boletín de SI, entrenamientos, accesorios, etc.?¿La Seguridad (si esta implementada), está basada en procesos o procesos de riesgo asociados?¿Saben los usuarios que la compañía monitorea?
3) Administración de Usuarios ¿Borran a los usuarios cuando salen/abandonan la organización ?
¿Está la descripción de tareas actualizada?
¿Hay política para cambio de roles?
¿Tienen herramientas de management de usuarios?
¿Hay política de autenticación de passwords?
¿Existen cuentas “invitado” y “acceso público”?
¿Hay estándares para la creación de ID?
¿Están definidos los roles ó grupos de roles?
Claves de acceso: ¿Hay procedimientos escritos?
4) Control de Acceso a Sistemas
¿Hay sistemas de registros de historia de cuentas?
¿Hay sistemas de autenticación?
¿Hay control de intentos fallidos?
¿Hay documentación de restricciones de acceso a la red?
¿Hay políticas escritas de acceso a Servidores, WEB, telefonía, Bases de datos, Internet, etc.?
5) Seguridad Física & Ambiental
¿Hay política de: Suministro de Energía, UPSs, para los sistemas críticos?
¿Hay seguridad física y de medio ambiente?
¿Hay política de seguridad del personal?
¿Hay política de destrucción segura de medios magnéticos, y datos sensibles?
¿Hay políticas de seguridad física de hardware?
6) Valuación de activos
¿Existen procedimientos de inventario de los activos de TI?
¿Hay clasificaciones de seguridad en cada sitio para la información?
¿Hay un responsable por cada activo?
¿Hay una lista de activos críticos?
¿Hay estudio de dependencia de activos?
7) Valuación de Activo informático
¿Se ha documentado formalmente el manual de procedimientos para prevenir “Riesgos de Activos” de TI?
¿Existe una metodología formal de RA?
¿El RA identifica amenazas, vulnerabilidades y grado de impacto?
¿Hay una estrategia de RA ?
8) Continuidad del Negocio
¿Hay un Business Continuity Plan, BCP? (plan de contingencia de negocios)
¿Hay procesos para cubrir activos más valiosos?
¿Se documentan las interrupciones de servicio?
¿Hay procedimientos de respuesta ante incidentes?
¿Tienen canales de comunicación replicados?
¿Hay control de Back up y recuperación?
9) Auditoría
¿Se archiva la información de acuerdo a la legislación vigente?
¿Se pueden seguir las transacciones desde su inicio hasta su ejecución?
¿Se auditan los eventos de seguridad?
¿Se monitorean las alertas en la consola central?
¿Están los “clocks” sincronizados?
10) Programas de Aplicación
¿Hay política de desarrollo de aplicaciones?
¿Existen procedimientos de control de cambios?
¿Están los ambientes de aplicación y desarrollo adecuadamente separados?
¿Procesos de seguridad para instalación de software?
¿Hay ambiente de testeo?
Visión CA en Administración de Seguridad
Proveer soluciones on-demand de administración de seguridad
Permitir la administración proactiva de un ambiente completo de seguridadPermitir al cliente enfocarse en su negocio.
Ser su consejero confiable en administración de seguridad
Sociedad para lograr eficiencias comercialesAsegurar operaciones comerciales continuasCumplir con políticas y regulaciones de seguridadReducir los riesgos totales de seguridad
Estrategias…
Conocer los estándares de las compañías.
Ver con qué regulaciones deben cumplir.
Tener información para entregar referida a la regulación en cuestión.