Upload
chema-alonso
View
1.519
Download
2
Embed Size (px)
DESCRIPTION
Charla de BI sobre recomendaciones de seguridad en la empresa impartida durante la Gira Up To Secure 2009.
Citation preview
El reto de proteger la informacióncomo activo crítico en la empresa
Presencia
- BT Bus ines s Integration Integrador de infraes tructuras IT y Seguridad
Presencia en España con +500 profesionales
2.000 BT Es paña Empleados
150.000 BT Empleados
Foco
Escenariosvoz
videoIM
emailconferencia
buzón
presencia
documentos
wikis
blogs
foros
formularios
aplicaciones
publicar contenidos
Integración
Torre Mapfre
Red Interna
San Cugat
Red Interna
Centro de Respaldo (BT)
Red Interna
Directorio Activo
Dominio
DC ExchangeHUB y CAS
Exchange Maibox
Almacenamiento compartido
`
PC
`
PC
`
PC
`
PC
`
PC
`
PC
Directorio Activo
Dominio
DC ExchangeHUB y CAS
Exchange Maibox
Almacenamiento compartido
10Mbits
10Mbits 10Mbits
INTERNET
PortátilWifi
DMZ
Proxy Inverso
Relay SMTP
HTTP
SMTP
Integración
RECOMENDACIONESRECOMENDACIONES
Emplear Certificados & Dispositivos de Autenticación Fuerte
RECOMENDACIÓN # 1RECOMENDACIÓN # 1
CONTROL DE ACCESOCONTROL DE ACCESOEQUIPOS EQUIPOS
(LOCAL, VPN)(LOCAL, VPN)
CONTROL DE ACCESOCONTROL DE ACCESOAPLICACIONES CLIENTES APLICACIONES CLIENTES
Y COLABORADORESY COLABORADORES
FIRMA DE DOCUMENTOSFIRMA DE DOCUMENTOSX.509.V3X.509.V3
Servidor Triple AAA
RECOMENDACIÓN # 2RECOMENDACIÓN # 2
Arquitectura AAA para el acceso remoto vía VPN ( IPSEC / SSL), integrado con Tokens / Smart Cards con / sin OTP y con / sin Certificados X.509.V3 para el acceso remoto a
los recursos corporativos
UNIFICAR UNIFICAR POLÍTICAS:POLÍTICAS:
(VPN, WIFI, LDAP, ETC)(VPN, WIFI, LDAP, ETC)
INTEGRARSE CONINTEGRARSE CONCON TODOS:CON TODOS:
IMPLEMENTAR NACIMPLEMENTAR NAC(NETWORK ACCESS CONTROL)(NETWORK ACCESS CONTROL)
RECOMENDACIÓN # 3RECOMENDACIÓN # 3
Protección Perimetral con NAPProtección Perimetral con NAP
Solicitando Acceso. Aquí Solicitando Acceso. Aquí esta mi nuevo estado de esta mi nuevo estado de
saludsalud
MS NPSMS NPSClienteCliente
Remote Remote AccessAccess
GatewayGateway
Servidores de Servidores de RemediaciónRemediación
¿Puedo acceder? Aquí ¿Puedo acceder? Aquí esta mi estado de Saludesta mi estado de Salud
¿Debe este cliente ser ¿Debe este cliente ser restringido basándonos restringido basándonos en su estado de salud? en su estado de salud?
Actualización de Actualización de políticas al Network políticas al Network
Policy ServerPolicy Server
Recurso bloqueado Recurso bloqueado hasta que te actualiceshasta que te actualices
¿Puedo obtener ¿Puedo obtener Actualizaciones?Actualizaciones?
Aquí las tienes.Aquí las tienes.
Según las políticas, el cliente Según las políticas, el cliente no esta al día.no esta al día.
Poner en cuarentena y solicitar Poner en cuarentena y solicitar actualización.actualización.
Se permite el acceso Se permite el acceso total a los recursos al total a los recursos al
ClienteCliente
Servidores de Servidores de Chequeo de Chequeo de
SaludSalud
Según las políticas, el cliente Según las políticas, el cliente cumple.cumple.
Permitir Acceso.Permitir Acceso.
Protección del Host con NAPProtección del Host con NAP
Accediendo a la RedX
Servidor de Remediación
Network Policy Server
HRA
¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud
¿Esta el Cliente ok?
No. Necesita Actualizarse
NO obtienes tu certiificado. Actualizate.Necesito Actualizaciones.
Aqui las tienes
Aqui tienes el certificado de Salud
SI. Emite el certificado de
Salud
Cliente
Sin Política
Autenticación Opcional
Autenticación Requerida
Anti-VirusAnti-Virus Software de SeguridadSoftware de Seguridad ActualizacionesActualizaciones
Aplicativos de SeguridadAplicativos de Seguridad
Dispositivos de RedDispositivos de Red
LA CLAVELA CLAVEES INTEGRARSE ES INTEGRARSE
NACNAC
1.- Autenticar máquinas y usuarios con independencia1.- Autenticar máquinas y usuarios con independenciade credenciales de acceso: login, token, biométricode credenciales de acceso: login, token, biométrico2.- Evaluar integridad del entorno (chequeo parches2.- Evaluar integridad del entorno (chequeo parches
versión de AV, Malware, otros…)versión de AV, Malware, otros…) 3.- Comparar resultados de análisis frente a políticas3.- Comparar resultados de análisis frente a políticas
definidas en dispositivo NAC & Backenddefinidas en dispositivo NAC & Backend 4.- Tomar decisión en base a los resultados: 4.- Tomar decisión en base a los resultados:
Permitir / Denegar acceso, cuarentena,Permitir / Denegar acceso, cuarentena,RemediaciónRemediación
5.- Realizar monitorización post-admisión 5.- Realizar monitorización post-admisión contínua contínua
Control de Puertos USB, Wifi, etc
RECOMENDACIÓN # 4RECOMENDACIÓN # 4
Equipo deSeguridad
BluetoothBluetoothUSBUSB
FireWireFireWire
IrDAIrDA
WiFiWiFi
GPRSGPRS
SerialSerial
CONTROL DE PUERTOS CONTROL DE PUERTOS Y DISPOSITIVOSY DISPOSITIVOS
Cifrado de Información y Dispositivos
RECOMENDACIÓN # 5RECOMENDACIÓN # 5
CIFRAR, ACCEDER A LA INFORMACIÓNCIFRAR, ACCEDER A LA INFORMACIÓN& INTEGRARSE CON LO EXISTENTE& INTEGRARSE CON LO EXISTENTE
Soluciones de CifradoSoluciones de Cifrado
InformaciónInformación
AlmacenamientoAlmacenamiento
DispositivosDispositivos
Archivos y Carpetas
Discos Externos, Memorias USB, DVD-RW…
Portátiles, Bluetooth, PDAs, iPhones, SmartPhones
Flexibilidad y OptimizaciónFlexibilidad y Optimización
Principales jugadores:Principales jugadores:
Check Point Full Disk EncryptionCheck Point Full Disk Encryption
SafeBoot Device Encryption SafeBoot Device Encryption
Utimaco SafeGuard Easy Utimaco SafeGuard Easy
PGP Whole Disk Encryption PGP Whole Disk Encryption
Microsoft Windows Vista BitLockerMicrosoft Windows Vista BitLocker
Safend EncryptorSafend Encryptor
Control de Fugas de Información DLP ( Data Loss Prevention) x Correo, IM, P2P, Impresoras, FTP´s, Blogs, etc
RECOMENDACIÓN 5RECOMENDACIÓN 5
RECOMENDACIÓN # 6RECOMENDACIÓN # 6
DLP ( Data Loss Prevention)
Desktop
Laptop
Database
File Server
HTTP
FTP
IM
Custom Channels
Block
Encrypt
Quarantine
Notify
Remediate
RECOMENDACIÓN # 7RECOMENDACIÓN # 7
ImplantarGestión de Derechos Digitales
• Una política de seguridad define:– Quién puede ver el
documento– Qué páginas puede ver– Cuándo pueden verlo– Si está permitido copiarlo o
editarlo– Si está permitido imprimirlo– Si está permitido el acceso
anónimo– Si está permitida su
visualización offline • Se puede forzar la aplicación de
políticas de forma automática
IRM / RMSIRM / RMS
MUCHAS GRACIASMUCHAS GRACIAS
Justo UcetaConsultor Preventa de Seguridad ITConsultor Preventa de Seguridad IT