Post on 18-Nov-2014
description
Webinars 2013
NUEVOS RETOS EN PCI ¿CUÁL
ES SU APLICACIÓN EN BYOD Y
CLOUD COMPUTING?
INFORMACION GENERAL
Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en Seguridad en
tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox
• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región Latinoamérica • Experiencia en Pent testing y análisis de riesgos.
Víctor Antonio Pacheco Cué Ingeniero en Sistemas Computacionales
7 años de experiencia en Tecnologías Orientadas a entornos Windows, 3 años de experiencia en el campo de seguridad informática.
Ingeniero certificado en diferentes marcas y tecnologías Juniper Networks PaloAlto Networks Trend Micro VMWare Consultor IT en proyectos de Seguridad en Software, entornos físicos y
virtuales, desarrollando proyectos con centros de datos integrales Impulsando proyectos de virtualización tanto de los centros de datos como
de escritorios.
NUEVOS RETOS EN PCI ¿CUÁL ES SU
APLICACIÓN EN BYOD Y CLOUD
COMPUTING?
OBJETIVO
Conocer de manera general los retos en cuanto Normatividad en transacciones electrónicas con tarjetas de crédito PCI-DSS con el nuevo entorno de BYOD y Cloud Computing, así como integrar los 12 requerimientos de esta norma con los mecanismos de seguridad con los cuales cuentan la mayoría de las empresas en la actualidad.
AGENDA
• Conocer el escenario en cuanto Normatividad o Compliance.
• Como este tipo de normatividad contribuye en las organizaciones.
• Identificar los retos y cambios en el entorno BYOD y Cloud Computing.
• Requerimientos PCI-DSS y como llevarlo a cabo con los controles de seguridad.
Escenarios en la actualidad en cuanto compliance y normatividad.
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
Compliance?
Regulación?
Framework?
Políticas?
ITIL
Control Interno
Planes con Directrices
Análisis de Riesgos
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
Sector Financiero: GLBA, Basilea II, PCI-DSS, NASD 3010/3110, SEC 17 a-4
Asistencia Sanitaria: HIPAA
Sector Público: MAAGTIC, NIST 800-53, FISMA
Industria: Nerc CIP 1300
Regulaciones Multisectoriales: SOX, PIPEDA, CA SB-1386
CLASSIFICATION 1/25/2013 8
¿Para que llevar a un marco
normativo?
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
¿Porqué hacerlo? –Estrategia-
• Obligaciones Legales
• Driver de negocio sectorial
¿Cómo hacerlo en TI? - Operación -
• Identificar los controles
• Due care – Due Diligence
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
Definir
• Regulaciones
• Frameworks
• Estándares
Controlar • Políticas
Corporativas
• Controles TI
Mantener
• Medir
• Remediar
• Informar
• Almacenar
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
RESUMIENDO…
Valor al negocio
Estrategia en
seguridad IT
Normativas
PCI
Como este tipo de normatividad contribuye en las organizaciones.
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
• Oportunidad de Negocio • Riesgo para los consumidores • Desafíos para implementar
herramientas • Mecanismos de control limitados • Como se va a invertir para cumplir
con la regulación
El ejemplo de la tienda de conveniencia
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
Alinear su tolerancia a los riesgos con los objetivos estratégicos del negocio • Medir el riesgo • Crear mayor flexibilidad • Identificar y correlacionar • Desarrollar la capacidad de gestionar riesgos y regulaciones • Responder a las oportunidades de negocio • Realizar mejores inversiones de capital
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
El estándar PCI fue diseñado para englobar las cuatro áreas críticas del marco de trabajo de COSO, a saber: • La identificación de eventos • La evaluación de riesgos • La respuesta a los riesgos • Las actividades de control
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
Ejecutar una auditoria Inicial
Realizar una Valoración de
Brechas
Realizar los escaneos de vulnerabilidad
requeridos y exámenes de penetración
Crear un plan de remediación
Proveer un soporte de remediación
Realizar auditorías fuera de sitio
Realizar auditorías dentro del sitio
Proveer un reporte preliminar de cumplimiento Proveer un reporte
final de cumplimiento
Proveer un monitoreo en marcha y asistencia a los esfuerzos de cumplimiento
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
¿Qué voy a obtener por mi inversión? ¿Recibiré solamente el resultado de una exploración o me voy a beneficiar de la experiencia en seguridad del proveedor? ¿En qué medida se ajusta a mis necesidades particulares la evaluación que me ofrece este proveedor?
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
¿Está mi proveedor perfectamente homologado para llevar a cabo todas las fases de validación de la conformidad PCI? ¿Ha explicado con todo detalle este proveedor el plazo de tiempo que se requiere para llevar a cabo el proceso? ¿Estoy preparado para esto?
RESUMIENDO…
Debemos ser muy consientes de todos los beneficios que nos puede brindar cumplir con esta regulación, cuestionarnos a nos otros porque queremos certificarnos, que beneficios vamos a obtener y sobre todo como lo vamos a orientar para brindar un beneficio de negocio a nuestra empresa. Usted quiere un asesor de seguridad de confianza que pueda ser su abogado defensor ante las empresas proveedoras de tarjetas de pago y sus bancos adquirientes.
Identificar los retos y cambios en el entorno BYOD y Cloud Computing.
IDENTIFICAR LOS RETOS Y CAMBIOS EN
EL ENTORNO BYOD Y CLOUD
COMPUTING.
Enterprise Mobile
Prohiben apps
Permiten solocorreo
permiten otrasapps del trabajo
Permiten todas lasapps
Prohiben apps 18%
Permiten solo correo 37% Permiten otras apps del trabajo 17.7% Permiten todas las apps 27.3%
Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update
Gartner predice que en 2015, el 39% serán dispositivos móviles frente a 61% en laptop o PC.
ALGUNOS ASPECTOS DE LA
CONSUMERIZACIÓN.
El uso de datos: el tráfico de datos móviles se situó en 597 petabytes en 2011. En comparación,
el tráfico de Internet en todo el mundo en 2000 fue de 75 petabytes.
Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update
Robo o perdida del dispositivo
Vulnerabilidades en dispositivos Móviles
Amenazas para banca en Móviles
Amenazas embebidas en aplicaciones Móviles
Amenazas web para dispositivos Móviles
IDENTIFICAR LOS RETOS Y CAMBIOS EN
EL ENTORNO BYOD Y CLOUD
COMPUTING.
Seguridad a nivel de
dispositivo
Seguridad a nivel de datos
Seguridad en redes
• Seguridad en configuración
• Endurecer contraseñas
• Data Center
• Escritorios Virtuales
• Actualizaciones de dispositivos
• Antivirus, FW, antispam
RETOS EN CLOUD
Physical Virtual Private Cloud Public Cloud
“En algunas compañías desde 2008 inicia el proyecto de virtualización”
— IDC
“En muchas compañías crece 10 veces el número de servidores virtuales en 2012 ”
— Gartner
Costos, Continuidad de Negocio que otros beneficios ven los líderes de las empresas.
RETOS EN CLOUD
Viejo modelo Seguridad en la
infraestructura que protege
aplicaciones y servidores. . .
App4
OS
HW
App3
OS
HW
App2
OS
HW
App1
OS
HW
Nuevo modelo Servidores y
aplicaciones virtuales que se mueven,
cambian… Reconfiguración del IPS, del
firewall…
VM1
App1
OS1
VM2
App2
OS2
VM3
App3
OS3
Hypervisor App4
OS4
VM4
RETOS EN CLOUD
Private Cloud
Hybrid Cloud
Public Cloud
IT Es un
Servicio
IT Gestiona ambos en
distintos niveles el DC
IT Gestiona y controla el DC
RESUMIENDO…
Hypervisor Controles
Cloud
Movilidad
Aplicaciones
Control de Acceso
FUNDAMENTOS
¿Qué es PCI-DSS? ¿Quién debe cumplir con el Estándar de Seguridad de Datos PCI? ¿De que se encuentra compuesto principalmente esta regulación?
Requerimientos PCI-DSS
CONCLUSIONES GLOBALES
“Pensar en la consumerización y cloud desde una perspectiva centrada solo en los dispositivos y en máquinas virtuales no prepara adecuadamente a las organizaciones para todos los riesgos de seguridad potenciales que representa este modelo. Hoy en día se termino el perímetro como tal, pues éste es elástico desde en la nube donde están los dispositivos móviles”