VisiVisióónn TTéécnica:cnica:

Soluciones TecnolSoluciones Tecnolóógicas gicas para la Seguridad para la Seguridad

Lucia CarriLucia Carrióón Gordn GordóónnNEXSYS DEL ECUADORNEXSYS DEL ECUADOR

1ra GeneraciónPuertas, Armas,

Guardias

Evolución de la SeguridadA

dmin

istr

ació

nde

la C

ompl

ejid

ad

Tiempo

Seguridad Actual

2da GeneraciónSeguridadReactiva

3ra GeneraciónSeguridad permite

hacer negocios

4ta GeneraciónSeguridadProactiva y

Responsabilidad

1997 1998 1999 2000 2001 2002 2003 2004 2005

NecesidadesInversión

Security & Continuity

Investments Not Matching Real Need

9/11 “Wake Up Call”

New Investment After Re-Think

Time of user confusion and

vendor missteps

Escenario después del 11 de Septiembre...Escenario después del 11 de Septiembre...

Fuente: IDC, 2002

37%

19%

17%

12%

6%

6%

2%

2%

0 5 10 15 20 25 30 35 40

Falta de recursos

Monitoreo de seguridad

Falta de políticas y procedimientos

Falta de integración entre las soluciones de seguridad

Falsas alarmas/falsos positivos

Conciencia/refuerzo de seguridad entre usuarios

Ninguna

Otros

(% de respondientes)

La falta de recursos es el principal reto para la administración de la seguridad

Pregunta: ¿Cuál es el principal reto para la administración de la infraestructura de seguridad?

Fuente: IDC’s Enterprise Security Survey, 2003

31%

29%

13%

12%

7%

8%

0 5 10 15 20 25 30 35

Infraestructura

Datos

Clases deusuarios

Aplicaciones

Ubicación

No sabe/No hadefinido/Otros

(% de respondientes)

¿Cuál es la primera prioridad en el planeamiento de seguridad de TI?

Pregunta: Cuando está evaluando la seguridad en su ambiente de TI, ¿cuál categoria de las siguientes tiene la primera prioridad?

Fuente: IDC’s Enterprise Security Survey, 2003

Incremento de la inversión en TI

Pregunta: Para el año 2004, ¿los gastos en tecnología de su organización fueron mayores, menores o iguales que los del año 2003?

En promedio, las empresas incrementaron en 8.7% el gasto en TI durante el 2004

Mayores que los del

200349%

Iguales que los del 200334%

Menores que los del

200317%

Fuente: IDC Peru IT Services Spending Trends 2004n = 153

0% 10% 20% 30%

Otros proyectos tienen mayor prioridad

Utilidades muy bajas para financiar proyectos

Incertidumbre del ambiente comercial

Cambio de necesidades de negocio

Clima político nacional

Intento de expandir ciclo de vida de productos

Personal interno calificado

No sabe

Dificultad para justificar los proyectos tecnológicos retrasan la inversión en TI...

Pregunta: ¿Cuál sería el factor principal que más probablemente retrasaría los gastos externos en tecnología de su organización?

Fuente: IDC Peru IT Services Spending Trends 2004n = 153

0% 10% 20% 30% 40%

Nuevas necesidades comerciales

Actualización de base tecnológica instalada

Hay buenas utilidades

No sabe

Clima político nacional

Alianzas con proveedores externos

Presión de la competencia

Falta de personal con habilidades adecuadas

...Pero se debe actualizar la base instalada y atender las nuevas necesidades comerciales

Pregunta: ¿Cuál sería el factor principal que más probablemente aceleraría los gastos externos en tecnología de su organización?

Fuente: IDC Peru IT Services Spending Trends 2004n = 153

Seguridad y administración tienen la primera prioridad de inversión en SW de infraestructuraSeguridad y administración tienen la primera prioridad de inversión en SW de infraestructura

Pregunta: ¿Cuál de los siguientes tipos de software de infraestructura representa la primera prioridad en términos de la inversión de su organización?

Fuente: IDC Peru Software Spending Trends 2004n = 97

Herramientas de desarrollo

32%

Infraestructura27%

Aplicaciones empresariales

41%

Seguridad26%

Almacenam.23%

Sistemas Operativos

13%

Middleware4%

Otros1%Administ.de

Redes7%

Administ.deSistemas

26%

¿Es la misma prioridad para todos?

Seguridad#1 Para los profesionales de Negocios

Almacenamiento

Sistemas Operativos

Administración de Sistemas#1 Para los profesionales de TI

2005

Pregunta: ¿Cuál de los siguientes tipos de software de infraestructura representa la primera prioridad en términos de la inversión de su organización?

Fuente: IDC Peru Software Spending Trends 2004n = 97

Ejm: Una Aplicación Web

Webserver

Web app

Web app

Web app

Web app

transport

DB

DB

Appserver

(optional)

•Web client: IE, Mozilla,

•HTTP reply (HTML, JavaScript, VBScript, etc.)

•HTTP request

•Clear-text or SSL

• Apache• IIS• Netscape

•J2EE server• ColdFusion• Oracle 9iAS

• Perl• C++• CGI• Java• ASP• PHP

• ADO• ODBC• JDBC • Oracle

• SQL Server

Internet DMZ Red Protegida

RedInterna• AJP

• IIOP• T9

Redefinición de Seguridad 3A

Fuente: IDC Peru Software Spending Trends 2004n = 97

• Los fabricantes de Seguridad 3A (accesos, administración y autentificación), rápidamente se han reposicionado en dos nuevas áreas:

• Identity and Access Management (IAM)

• Vulnerability Managemnet (SVM)

• La seguridad 3A a migrado de ser un colector de utilidades y middleware hacia una mas completa solución de IAM.

Redefinición de Seguridad 3A

Fuente: IDC Peru Software Spending Trends 2004n = 97

• Existe una creciente conexión entre el hardware de autentificación y AIM en los clientes corporativos y clientes de gobierno. Esta tendencia esta dirigida por las regulaciones regulaciones standaresstandares del mercadodel mercado (gobierno u otras) y el costo creciente de administrar los passwords.

•Identity and Access Management es un grupo de soluciones usadas para identificar usuarios en el sistema (empleados, clientes, proveedores, etc.) controlando sus accesos a los recursoscontrolando sus accesos a los recursos dentro del sistema, asociando sus derechos de usuario y restricciones con las establecidas con su identificación de usuarios.

Redefinición de Seguridad 3A

Fuente: IDC Peru Software Spending Trends 2004n = 97

3 P’s de la seguridadPolíticas

Establecer políticas de privacidad, seguridad y continuidad del negocio

PersonasEducar y crear conciencia de la importancia de la seguridad de la información

Solo el 17% de las políticas de seguridad son lideradas por los gerentes de negocio

ProcesosUnificar la seguridad física con la seguridad virtualEstablecer procesos que permitan identificar y prevenir tempranamente los riesgos potenciales

Criterios de selección de proveedores

¿La solución de seguridad propuesta...

... se integra con la infraestructura existente?

... reduce el tiempo requerido del personal de TI?

... reduce los falsos positivos?

... archiva la información referente a seguridad?

... permite establecer políticas de seguridad a la medida?

Estado de la seguridad en el Ecuador

Que tan evolucionado está el tema de la SI?Cuando hablamos de SI, en que piensa la gente?Cual es el problema mas grande que se tiene?Que significa esto?

Dinámica del Medio

Riesgo es más alto que nuncauno de cada tres usuarios pierde informaciónel robo (5.8%), fallas del disco (22.9%), problemas del software (13.2%) y de hardware (18.6%), asícomo virus y desastres naturales (6.7%).

Hacer más con menos “como siempre”La responsabilidad es claveMercado de seguridad fragmentadoCarencia de integración

¿Qué nos dice la gerencia técnica?

Los Virus y la Vulnerabilidad están fuera de control

Administración de ParchesEl SPAM está impactando nuestra efectividad

Administración de cuentas de usuarios costosa

Muchos datos, insuficiente información

¿Qué es la seguridad?

No es un tema de SW ni de HWEs un tema crítico de continuidad de negociosMáximo acceso / Máxima SeguridadPolíticas y prioridades

EN ECUADOR: estamos en un proceso de generación de conciencia

OPORTUNIDAD

Política de Seguridad

A menudo no existeFrecuentemente desactualizadasFrecuentemente desconocido por el staffNo reforzadasImposible administrarlas

Política de Seguridad Informática

¿De qué hablamos cuando hablamos de SI?

1) Organización de la seguridad ¿Existe una política de SI?

¿Hay políticas individuales?

¿Se revisan las políticas de SI?

¿Hay algún organismo de SI?

¿Existe un programa de concientización a nivel organización?

¿Hay algún gerente de SI?

¿Hay un comité de SI de la Dirección?

¿Hay discriminación de funciones?

1) Organización de la seguridad

¿Se auditan externamente los procesos?

¿Hay normas para contratación en áreas sensitivas?

¿Firman acuerdos de confidencialidad habitualmente?

2) Control de la SI

¿Hay un programa de control de la SI?¿Tienen un proceso de medición del programa de SI?¿Hay boletín de SI, entrenamientos, accesorios, etc.?¿La Seguridad (si esta implementada), está basada en procesos o procesos de riesgo asociados?¿Saben los usuarios que la compañía monitorea?

3) Administración de Usuarios ¿Borran a los usuarios cuando salen/abandonan la organización ?

¿Está la descripción de tareas actualizada?

¿Hay política para cambio de roles?

¿Tienen herramientas de management de usuarios?

¿Hay política de autenticación de passwords?

¿Existen cuentas “invitado” y “acceso público”?

¿Hay estándares para la creación de ID?

¿Están definidos los roles ó grupos de roles?

Claves de acceso: ¿Hay procedimientos escritos?

4) Control de Acceso a Sistemas

¿Hay sistemas de registros de historia de cuentas?

¿Hay sistemas de autenticación?

¿Hay control de intentos fallidos?

¿Hay documentación de restricciones de acceso a la red?

¿Hay políticas escritas de acceso a Servidores, WEB, telefonía, Bases de datos, Internet, etc.?

5) Seguridad Física & Ambiental

¿Hay política de: Suministro de Energía, UPSs, para los sistemas críticos?

¿Hay seguridad física y de medio ambiente?

¿Hay política de seguridad del personal?

¿Hay política de destrucción segura de medios magnéticos, y datos sensibles?

¿Hay políticas de seguridad física de hardware?

6) Valuación de activos

¿Existen procedimientos de inventario de los activos de TI?

¿Hay clasificaciones de seguridad en cada sitio para la información?

¿Hay un responsable por cada activo?

¿Hay una lista de activos críticos?

¿Hay estudio de dependencia de activos?

7) Valuación de Activo informático

¿Se ha documentado formalmente el manual de procedimientos para prevenir “Riesgos de Activos” de TI?

¿Existe una metodología formal de RA?

¿El RA identifica amenazas, vulnerabilidades y grado de impacto?

¿Hay una estrategia de RA ?

8) Continuidad del Negocio

¿Hay un Business Continuity Plan, BCP? (plan de contingencia de negocios)

¿Hay procesos para cubrir activos más valiosos?

¿Se documentan las interrupciones de servicio?

¿Hay procedimientos de respuesta ante incidentes?

¿Tienen canales de comunicación replicados?

¿Hay control de Back up y recuperación?

9) Auditoría

¿Se archiva la información de acuerdo a la legislación vigente?

¿Se pueden seguir las transacciones desde su inicio hasta su ejecución?

¿Se auditan los eventos de seguridad?

¿Se monitorean las alertas en la consola central?

¿Están los “clocks” sincronizados?

10) Programas de Aplicación

¿Hay política de desarrollo de aplicaciones?

¿Existen procedimientos de control de cambios?

¿Están los ambientes de aplicación y desarrollo adecuadamente separados?

¿Procesos de seguridad para instalación de software?

¿Hay ambiente de testeo?

Visión CA en Administración de Seguridad

Proveer soluciones on-demand de administración de seguridad

Permitir la administración proactiva de un ambiente completo de seguridadPermitir al cliente enfocarse en su negocio.

Ser su consejero confiable en administración de seguridad

Sociedad para lograr eficiencias comercialesAsegurar operaciones comerciales continuasCumplir con políticas y regulaciones de seguridadReducir los riesgos totales de seguridad

Estrategias…

Conocer los estándares de las compañías.

Ver con qué regulaciones deben cumplir.

Tener información para entregar referida a la regulación en cuestión.

CA eTrust™ Security Management

¿Preguntas?

Gracias