Gestión Integral de Riesgo

Juan Paulo CabezasArquitecto de Soluciones de SeguridadRegión SSA, IBM Softwarejcabezas@cl.ibm.com

Santiago, 10 de Marzo del 2011

Agenda

• Introducción y gestión de riesgos en un planeta inteligente

• 2010 IBM Global IT Risk• Estrategia de IBM• Caso de éxito• Nuevas soluciones• Visión Integral

Smart water management

Smart energy grids

Smart healthcare

Smart food systems

Intelligent oil field technologies Smart regions

Smart weather

Smart citiesSmart traffic systems

Smart retailSmart countriesSmart supply chains

¿Hacia donde va la seguridad en un planeta más inteligente ?

El planeta es cada vez más

INSTRUMENTADO, INTERCONNECTADO e INTELIGENTE.

Nuevas posibilidades.Nuevas complejidades.Nuevos Riesgos.

3

El soldado Manning dijo: “Incluso en un ambiente que posee seguridad de la mejor en el planeta, servidores débiles, auditoria débil, seguridad física débil, contrainteligencia débil, perfect storm” (23 años)

Las firmas chilenas están llenas de errores en cuanto a planificación de seguridad de TI, pero están avanzando en la preparación ante desastres, señaló a Business News Americas, un socio del área de asesoría en riesgo y gestión de Ernst & Young

4

5

80%Firmas de servicios financieros, dicen que sus procesos de gobierno, gestión del riesgo y cumplimiento, no se encuentran integrados a través de la empresa.

de los 285 millones de ataques el 2008, estaban enfocados al sector finanzas, más de la mitad fue detectado por terceros.

el número estimado de regulaciones bancarias en USA, más de 4.000 se encuentran en desarrollo

10.00093% 25.000 Mde mensajes de datos son manejados por el mercado cada día, ubicando a la infraestructura global de TI, bajo estrés continuo.

La necesidad de progreso es clara

• El mundo cambió y cambiará la manera en que las empresas gestionan el riego

• Suficiente capital, no es suficiente.• Medir el riesgo No es gestionarlo• La percepción tiene valor y la evaluación de riesgo puede ser

influida de gran forma por la confianza y reputación• La gestión del riesgo es una responsabilidad colectiva• El riesgo debe ser gestionado a través de la organización …

definitivamenteSe hace necesario una forma más inteligente de

gestión de riesgo

La crisis de la industria financiera reveló seis puntos clave

6

Los retos de hoy en día en el manejo dela Gobernabilidad, Riesgo & Cumplimiento

Manejar la complejidaddel cumplimiento de normativas

Adopción de Virtualizacióny Cloud

Nuevos modelos de negocioOutsourcing y trabajo desde el hogar

Integridad y disponibilidad de información para tomar decisiones

al instante

Adopción Segura deNuevas tecnologías

Protección de identidadesdigitales y privacidad

7

Algunos resultados del estudio “2010 IBM Global IT Risk”

posee una estrategia de continuidad de negocio bien desarrollada

Aéreas de Fortalezas Aéreas para mejorar

califican a la forma en que su compañía mitiga los riesgos como “pobre o “promedio”

de los encuestados se calificaron su forma de gestionar el riesgo de manera general como:“buenos” o “expertos”

66%

53% ha aumentado el gasto en gestión de riesgo para TI, durante el último año

34%

47%

46%

83%

54%

Dice que el planeamiento del riesgo se realiza en silos

poseen un departamento encargado oficialmente de gestión de riesgos

cree que ellos deben tener un rol mas importante en las estrategias de gestión del riesgo

8

Mayores retos para mejorar la gestión de riesgo

“Tenemos que madurar la imagen corporativa del área de Riesgos TI, identificarla como agragador de valor y facilitador del negocio, a través de todas las unidades de negocio”

Aerospace and defense, North America

Implementar procesos necesarios para mitigar riesgos

38%

Asegurar el presupuesto de gestión de riesgo 36%

Trabajar en un departamento que posea una visión integral del

riesgo a nivel empresa33%

Comunicar políticas y procedimientos a los empleados 30%

Lograr que la alta gerencia posea una visión holística de la gestión

de riego25%

Convencer al superior de dejarme participar activamente en la

gestión de riego11%

Aunque más del 50% de los presupuestos se han mantenido igual o crecido, el 36% todavía lucha con la obtención de una financiamiento adecuado.

Los encuestados no identificó un fuerte proceso de comunicación de las políticas de gestión de riesgos.

A pesar de los beneficios empresariales asociados a la gestión de riesgos TI, asegurar el apoyo de alta dirección sigue siendo un desafío

9

De las 5 tecnologías evaluadas las redes sociales, plataformas móviles y cloud presentan

la evaluación de mayor riesgo

64%21%

15%

Herramientas de Redes sociales

Plataformas móviles

. 54%27%

19%

Cloud computing42%

35%24%

Virtualización26%

31%43%

Architectura Orientada a

Servicios

25%42%

34%

Extradamente Riesgoso/Riesgoso

Algo riesgoso Moderadamente / nada de riesgoso

“Estamos preocupados por la posibilidad de controlar con seguridad el flujo de datos hacia y desde dispositivos móviles de los empleados y como almacenarlo”

Manufacturing, North America

“Nos encontramos revisando las soluciones de Cloud, sin embargo aún no hemos perfeccionado la seguridad de nuestras propias redes”

Healthcare, North America

10

• Una forma de definir las capacidades de seguridad independiente de productos y soluciones.• Principios de arquitectura que son válidos en todos los ámbitos y entornos de implementación• Basados en investigación y muchos escenarios relacionados con el clientes• Una hoja de ruta para ayudar en el diseño e implementación de soluciones de seguridad

Visión de Architectura

Platform Component Configuration

Capacidades y ofertas IBM

Technologies and Practices

Catálogo integrado de productos, servicios y soluciones

Visión de Negocio

Dominios Seguridad

IBM Security Framework

Problemas e incentivos

Describe los problemas de seguridad desde el punto de vista del negocio

AMPLIO DETALLADO

Foundational Security Mgmt Services

Common Security Infrastructure features

Visión Técnica

IBM Security Blueprint

Standards & principles

Describe los productos de manera agnóstica, basado en la experiencia del cliente, estándares y principios comunes

La estrategia de IBM Security

11

¿Por Qué Funciona Nuestra Estrategia?Visión Completa

Servicios Profesionales

Productos

Servicios Gestionados

En La Nube

Security Governance, Risk and Compliance

Security Information and Event Management (SIEM) & Log Management

Identity & Access Management Identity Management Access

Management

GRCGRC

Data Security

Database Monitoring & Protection

Encryption & Key Lifecycle Management

Data Loss Prevention

Data Entitlement Management

Data Masking

Messaging SecurityE-mail Security

Application Security

Web / URL Filtering

Application Vulnerability Scanning

Access & Entitlement Management

Web Application Firewall

SOA Security

Infrastructure Security

Threat AnalysisFirewall, IDS/IPS MFS Management

Physical Security

Mainframe Security Audit, Admin & Compliance

Security Event Management

Security Configuration

& Patch Management

Intrusion Prevention System

Endpoint ProtectionVirtual System Security

Vulnerability Assessment

Managed Mobility Svcs

12

Banco Internacional en Chile, con requerimientos normativos. Posee controles y procesos de maduros de gestión de permisos en sistemas y aplicaciones. Necesita disminuir el esfuerzo en dichas tareas.

Automatización y mejora en el control de usuariosGeneración automatizada de información para auditoríaCambio de foco: Operativo -> NormativoMejores SLAs y mejor apreciación por parte del negocio

Implementa su proceso de gestión de identidades sobre una herramienta de Software Realizar dicho proceso utilizando modelo de roles y permisos Extiende la solución construyendo módulos ad-hoc para satisfacer sus necesidades

Beneficios

Solución

Gestión de IdentidadesDashboard y visibilidad del cumplimiento de políticas al instante y manejo de

excepcionesIntegración con plataformas estándares, legacy y aplicaciones propietarias

Capacidades del Framework

Ejemplo de proyecto de gestión de Riesgo Operacional de TI

Necesidad del cliente

13

Servicio integrado de gestión de ciclo de vida.

Expone los recursos como “un servicio”

Infraestructura de la seguridad Integrada

Aprovisionamiento veloz de recursos de TI, ampliable en gran escala

Gestión de servicios dinámica

Ahorro de energía vía redistribución de cargas de trabajo.

Despliegue rápido de infraestructura y aplicaciones

Gestión de servicios basado en requerimientos

Catalogo de Servicios

VirtualizaciónMejor utilización de HWMejora la agilidad de TI

Consolidación de servidoresAgilizar la operación–gestión de

sistemas físicos y virtualesDisminución consumo energético

Cloud Computing

Virtualización, un primer paso en el camino de Cloud

14

Convergencia de Redes y Servidores: Pérdida de Visibilidad

“La falta de Visibilidad y controles en las redes virtuales internas generadas por la comunicación VM-a-VM, ciega los actuales controles de seguridad”

Fuente: Neil MacDonald, Gartner

15

Nuevos riesgos de la Virtualización

Amenazas tradicionales

Nuevas amenazas

Pérdida de visibilidad——————————Intercambio de recursos——————————Puntos comunes de falla

Proliferación de VM——————————Reasignación dinámica——————————Estado dinámico——————————Robo de VM

Stealth rootkits en hardware——————————Objetivos:Virtual NICs & Virtual Hardware

Vulnerabilidades Administrativas——————————Asegurar el almacenamiento de las VMs y los datos de administración—————————Requieres expertise adicional

Amenazas tradicionales aplican a los ambientes virtuales

Virtual Devices

Admin clientsVuln

Privileged Access

vCenter servers

Vuln

Service Console

Vuln

Vuln

Vuln

Vuln

MÁS COMPONENTES = MÁS EXPUESTOS16

IBM Virtual Server Protection for VMware

Ofrece la más amplia, integrada y profunda protección para ambientes virtualizados con un solo producto

• Firewall• Integración con VMsafe• Detección de Rootkit• Intrusion Detection & Prevention• Análisis de tráfico entre VMs• Gestión segregada de VMs• Aplicación de política de red• Protección integrada con

VMotion• Auto descubrimiento de VMs• Auditoría de Infraestructura

Virtual (Monitoreo de usuarios privilegiados)

• Protección de segmentos virtuales

• Virtual NAC• Gestión Centralizada• Protección de Web Application• Virtual Patch

17

17

Se c u re = M a n a g e d

ENDPOINT TRADICIONALES

ENDPOINT MÓVILES ENDPOINT ESPECIFICOS

Tivoli Endpoint Manager

GESTIÓN DE SISTEMAS

GESTIÓN DE SEGURIDAD

Agente común de administración

Consola administrativa

unificada

Infraestructura común

18

Operación de TI y Seguridad debe ser eficiente y eficaz

Tivoli Endpoint Manager permite a los clientes consolidar sus operaciones de TI y TI funciones de seguridad en una sola vista, el modelo de entrega y oferta de software

Ayuda a proveer• Visibilidad total• Control de calidad• Rapidez en remediación• Gran escalabilidad• Framework versátil• Reducción de costos

Mediante• Gestión de configuración de

seguridad y vulnerabilidades• Gestión del ciclo de vida de los

sistemas• Protección de Endpoint• Gestión de consumo energético

Aplicar políticas, demostrar cumplimiento y mitigar amenazas

La visión integral de IBM Security Solutions

19

19

IBM Security, la voz coordinada de Seguridad

IBM ha establecido el servicio más eficiente y dinámico, cros-compañía

para su portafolio de Seguridad TI, enlazando las áreas de investigación,

diseño, desarrollo, comercialización, servicios y soporte para soluciones de

seguridad en todo el mundo.

una voz coordinada de seguridad

IBM es el asociado de confianza entregando productos y servicios reconocidos por su liderazgo en Seguridad de TI

La filosofía de IBM, Seguro por Diseño; en donde el factor Seguridad y Privacidad se utilizan en el diseño inicial y no luego que la solución ya es un hecho

Las soluciones de IBM Security Solutions permites a los clientes ocuparse de las 3 C: Complejidad, Cumplimiento y Costo

20

21

Anexos