1 / 23

Cambio de enfoque. La seguridad en un verdadero contexto multicapa

Cambio de enfoque. La seguridad en un verdadero contexto multicapa. PROCOM 2009 Zaragoza, 18 de Mayo de 2009. Riesgos TIC. Costes TIC. Complejidad TIC. El Advanced Solutions Center de E&Y Innovación en la Prestación de Servicios. EVALUACIÓN DE SEGURIDAD

vidal
Télécharger la présentation

Cambio de enfoque. La seguridad en un verdadero contexto multicapa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Cambio de enfoque. La seguridad en un verdadero contexto multicapa PROCOM 2009 Zaragoza, 18 de Mayo de 2009

  2. Riesgos TIC Costes TIC Complejidad TIC El Advanced Solutions Center de E&YInnovación en la Prestación de Servicios • EVALUACIÓN DE SEGURIDAD • Revisar la seguridad en todas las capas de la infraestructura tecnológica de una Organización. • SECURITY ARCHITECTURE CENTER • Proporcionar soluciones de seguridad efectivas y ajustadas a las necesidades reales de CADA cliente. • OPERACIÓN DE PROCESOS • Aportar a las empresas personal altamente cualificado para desarrollar labores relacionadas con la seguridad. • Ofrecer servicios de operación remota de procesos de seguridad. • FORMACIÓN • Transmitir el conocimiento y experiencia de nuestros consultores en un modelo de UTILIDAD. E&Y ADVANCED SOLUTIONS CENTER Evaluar Construir Gestionar

  3. El Advanced Security Center forma parte de la Red Internacional de Centros de Seguridad Avanzada de Ernst&Young. El Advanced Security Center cuenta en nuestro país con 3 sedes principales: Madrid, Barcelona y Bilbao. Desde dichas ubicaciones trabajan 15 profesionales de Ernst&Young con dedicación exclusiva. El Advanced Solutions Center de E&Y

  4. Contenido Introducción 1 Cambio de Enfoque 2 Arquitectura Necesaria 3 Nuevas Tendencias 4

  5. Contenido Introducción 1 Cambio de Enfoque 2 Arquitectura Necesaria 3 Nuevas Tendencias 4

  6. IntroducciónSeguridad seguro (Del lat. secūrus). 1. adj. Libre y exento de todo peligro, daño o riesgo. Real Academia de la Lengua seguridad (Del lat. securĭtas, -ātis). 1. f. Cualidad de seguro. Real Academia de la Lengua • 34. information security Preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, no-repudiation and reliability can also be involved Evitar peligros a los datos y procesos de negocio

  7. Anti-Virus IM Security Exploits (1996) Worms (2005) Spyware (2006) IDS Anti-Spyware DLP/ILP Denial of Service (2000) Eavesdropping (1994) Viruses (1997) Content Access (1998) IPSEC VPN Content Filtering Worm Mitigation IPS DoS Protection WebApp Security XML/W.S. Attacks (2004) IM Attacks (2002) Web App Attacks (2002) XML Security Info Leakage (2005) IntroducciónHistoria y Evolución WAN Activos Corporativos Perimetro de Seguridad Resource Access (1992) Internet

  8. NAC NAP Monitorización y registro de actividad Identificación de flujos Control de amenazas Control de acceso basado en identidad IntroducciónHistoria y Evolución • Bastion host • Port/packet filtering • Stateful inspection • IPS/signatures • NAC Internet

  9. IntroducciónProblemas no resueltos • Excesivo número de reglas • Degradación del servicio • Porosidad en los flujos de comunicaciones • Dilatado control de cambios • Duplicidad de reglas • Obsolescencia • Desconocimiento del negocio • Desconocimiento del riesgo asociado a la conectividad • Desconocimiento de cambios topológicos • Excesivos costes • Complejidad en la gestión

  10. Contenido Introducción 1 Cambio de Enfoque 2 Arquitectura Necesaria 3 Nuevas Tendencias 4

  11. Cambio de EnfoqueSeguridad a través del conocimiento del negocio • Para la optimización del uso de los recursos es necesario un cambio de enfoque • Dos ópticas • Comprensión del negocio y sus flujos de comunicaciones • Mediante la identificación de los activos involucrados • Mediante el análisis del negocio ( excede el alcance ) • Comprensión de la lógica de negocio y el riesgo asociado • Mediante la identificación de los activos • Estimación de seguridad de • Sistema Operativo • Aplicaciones • Valores referenciales de dominio público • Estimación del impacto de amenazas en los activos y su repercusión en el negocio

  12. Cambio de EnfoqueAlgunas Sugerencias • Identificar los procesos de negocio asociados a los activos (sistemas) de explotación que intervienen en las comunicaciones • Cuantificar el estado de la seguridad en base al estado de los sistemas • Cuantificar el impacto de una amenaza en el activo y en la línea de negocio • Redefinir las reglas en base los niveles de riesgo y convergencia • Control de cambios topológicos • Control de cambios en el cortafuegos Se entiende como tal aquel valor que se debe cumplir, como mínimo, para que la transformación de una regla de una determinada cardinalidad por otra menor sea aceptable dentro de los márgenes de calidad de servicio y/o nivel de riesgo. SV ≤ Umbral de Convergencia ≤ CV

  13. Objetivos ITIL V3 en el diseño del Servicio focaliza sus prácticas en la Mejora continua del mismo. Establece 4 elementos claves para poder cuantificar y medir el grado de madurez del servicio • Progreso • Cumplimiento • Efectividad • Eficiencia

  14. Contenido Introducción 1 Cambio de Enfoque 2 Arquitectura Necesaria 3 Nuevas Tendencias 4

  15. Arquitectura necesariaParte I. Flujo de Comunicaciones Petición de Reglas Flujo de comunicaciones de servicios de negocio Área solicitante Responsable Proyecto Protocolos Sistemas

  16. V [ A ] = I INVENTARIO DE ACTIVOS Arquitectura necesariaParte II. Estimación del Nivel de Seguridad Política de Seguridad Auditoría Caja Negra Estimación de la seguridad Guias de bastionado Auditoría Caja Blanca • “You con’t control what you can’t measure” • Tom DeMarco

  17. Contenido Introducción 1 Cambio de Enfoque 2 Arquitectura Necesaria 3 Nuevas Tendencias 4

  18. Nuevas tendenciasCortafuegos que manejan niveles de Riesgo

  19. Nuevas amenazas En el estado actual de la tecnología el modelo de interconexión basado en el mundo web, hace que los sistemas clásicos tengan nuevos problemas PERO … las aplicaciones han cambiado Puertos ≠ Aplicaciones Direcciones IP ≠ Usuarios Paquetes ≠ Contenido

  20. Nuevas necesidades User-ID • SP3 Architecture

  21. Internet Cambio de concepto Internet

  22. Web 2.0 Incidentes y tendencias 2009 Q1 • La realidad actual de las comunicaciones se encuentra encapsulada dentro de protocolos como HTTP/HTTPS. • Las consideraciones sobre ellos deben modificarse. Objetivos Vulnerabilidades Resultado

  23. Muchas GraciasMiguelAngel.CanoGomez@es.ey.comTfn.: +34 915727524Móvil: +34 639774617

More Related