Presentacion De Servicios Y Soluciones De Mageni

Consultoría de Seguridad de Sistemas

Jonathan Jaquez

Chief Technical Officer

Mageni | “Seguridad para Innovación”

(809) 846 6724

[email protected]

09.23.09

TRANSFORMANDO LA SEGURIDAD EN UN ACELERADOR DEL NEGOCIO

© 2009 Mageni Networks, Todos los derechos reservados.

mailto:[email protected]

Visión de la Seguridad

Un ambiente seguro es esencial para las organizaciones entregar a sus clientes productos y servicios diferenciados, y tomar ventaja de las oportunidades de crecimiento. Un ambiente de tecnología seguro influye positivamente en la confianza de los inversionistas y clientes, agregándole valor a la empresa. Esto se traduce en grandes beneficios para el negocio.


Retos de la Seguridad de las TI

Administración eficiente y efectiva del riesgo en la información Validación de la seguridad y testeo Garantizar la auditabilidad de las operaciones Mantener y probar el plan de respuesta a incidentes Identificación y administración efectiva de los riesgos de las TI Mejorar la seguridad con presupuesto limitado Satisfacer los requerimientos de las regulaciones y marcos de

seguridad que apliquen. Los riesgos crecen mas rápido que la inversión de seguridad Presión para demostrar el riesgo El programa de seguridad debe agregar valor al negocio


Innovación de las Amenazas

• Los ataques son dirigidos y metódicamente elaborados

• Bandas de criminales trabajan arduamente para captar nuevos “mercados” (victimas)

• Las victimas en su mayoría son bancos y medianas empresas

• La tasa de los ataques esta acelerándose

• El crimen cibernético es una industria vertical


Instituciones Financieras Atacadas por Mes

Abr '08 May '08 Jun '08

Jul' 08 Ago' 08 Sep '08 Oct '08 Nov '08 Dec '08 Jan '09 Feb '09 Mar '09 Abr '09 Jun '090

50

100

150

200

250

215

200209

194 198

183

167

207

178

214

190 191 189 186

Fuente: RSA Fraud Report Jun’09


Países mas Atacados por Marcas

Fuente: RSA Fraud Report Jun’09

República Dominicana3%

Africa del Sur3%

India3%

Canada3%

Italia5%

Australia7%

España7%

Inglaterra15%

Irlanda2%

Estados Unidos52%


Costo Estimado por Incidentes

Fuente: UK Dept. of Trade and Industry

PyMES Corporaciones

Interrupción del negocio USD 10,000 – USD 20,0001-2 días

USD 100,000 – USD 300,0001-3 días

Tiempo de respuesta al incidente

USD 1,000 – USD 2,0002-4 días de trabajo hombre

USD 6,000 – USD 12,00010-20 días de trabajo

hombre

Gasto directo por la respuesta al incidente USD 2,000-USD 4,000 USD 10,000- USD 20,000

Perdidas financieras directas USD 400 – USD 1,000 USD 4,000-USD 8,000

Daños a la reputación USD 200 – USD 600 USD 10,000 – USD 40,000


Factores que Incrementan el Riesgo

• Marketing• Nuevas tecnologías • Nuevas aplicaciones y productos • Éxito• Poca seguridad• Desconocimiento de la sensibilidad situacional • Requerimientos de estándares (PCI DSS, CobiT, ITIL, ISO, etc)• Tecnologías y aplicaciones con ciclo de vida agotado• Aplicaciones sin S-SDLC (Secure Software Development Life

Cycle)

Cada uno de estos factores se convierte en un indicador clave de la necesidad de pruebas de penetración.


• La constante evolución de las amenazas– De buscar fama a buscar dinero

• Crecimiento de los negocios– El riesgo es proporcional al crecimiento

• Crecimiento acelerado de servicios y redes IP– Acelera exponencialmente el riesgo

• Rápido crecimiento de la data– La data es la nueva moneda

• Los costos de seguridad crecen 3x en relación al presupuesto– Impedimento para ejecutar los planes completamente

• Regulaciones y estándares como PCI DSS y CobiT– Dirigen las inversiones de seguridad

La Tormenta Perfecta


Tendencias en la Explotación de Riesgos

Aplicaciones

Librerías de Transporte

Sistema

Operativo

Red

© 2009 Mageni Networks, Todos los derechos reservados.N

umer

o de

Vul

nera

bilid

ades

Impacto del Cross Site Scripting (XSS)


Hacker

Web Confiable

WWW DNS

Windows con ClienteSin Parcho de

Seguridad

Windows con Parchos de Seguridad

Controlador de Dominio

Servidor con Secretos

El atacante pone malware en un sitio de

confianza

1

Un empleado es infectado por el malware

y recibe un troyano

2

El hacker obtiene el password de

administrador de la PC

3

Usando el password de administrador gana

acceso a una PC segura

4

El hacker usa otra cuenta con privilegios de administrador para

ganar acceso al controlador del dominio

5

A traves de un canal encriptado (HTTPS)

para mitigar ser detectado el intruso extrae la data de la

empresa,

6

Anatomía de la Inyección de Comandos SQL


Hacker

WWW

WWW BDA

BDB

Un hacker inyecta comandos SQL a la BD a través de un E-Banking

1Extrae la base de datos

e instala malware (troyanos y sniffers)

2Gana privilegios de SA e

Instala malware (troyanos y sniffers)

3Escala privilegios a

traves de la red local con los permisos de SA

4

Caballo de troya activado al momento de la victima

visitar el banco.

Una vez las credenciales son robadas, la ventana del troyano desaparece, entregando al hacker las

credenciales validas.

La ventana maliciosa es puesta sobre la ventana

legitima sin interaccion del usuario.

13

Ventana de Troyano sobre un E-Banking


Nuestros Servicios de Consultoría

– Administración de Riesgos• Evaluación de Riesgos • Sensibilidad Situacional (SA)• Análisis del Impacto al Negocio (BIA)• Análisis Riesgo versus Recompensa• Análisis SWOT• Asesoría de Riesgos de TI• Prevención del Fraude Electrónico• Alineación del ERM con ISO 31000

– Evaluación de la Seguridad• Pruebas de Penetración• Evaluación de Vulnerabilidades• Auditoria de la Seguridad

– Respuesta a Incidentes• Respuesta a Incidentes• Auditoria Forense

– Diseño de Planes Estratégicos • Políticas de Seguridad• Mapa Estratégico de la Seguridad• Prevención de Perdida de Datos• BCP (BS 25999)• Respuesta a Incidentes (IRP)• Administración de Riesgos• Administración de Vulnerabilidades

– IT GRC (Gobierno, Riesgo y Cumplimiento)

• Evaluación de la Preparación para GRC• Alineación de los objetivos, metas y

requerimientos del negocio con seguridad, riesgos y cumplimiento

• Evaluación de la Madurez de los Procesos y Efectividad del GRC

– Seguridad de las Aplicaciones Web• Modelado de Riesgos• Prueba de Penetración • Análisis de Vulnerabilidades• Evaluación de Productos• Integración de Seguridad al SDLC

– Educación• Concientización de Seguridad• Hackeo Ético • Anti-Fraude Electrónico• Administración de Riesgos• Modelado de Riesgos

– Estándares • Basilea II• ISO 27001• ISO 31000• CobiT• PCI DSS


Evaluación de la SeguridadRequisito de PCI DSS 2.2, 6.2, 11.2, 11.1, 11.3 y DS5.5 de CobiT


Servicios de Auditoria de la Infraestructura

Pruebas de Penetración •Ejecución de ataques del mundo real,

para comprometer los recursos y datos de una empresa como un grupo de hackers lo haría.

Análisis de Vulnerabilidades•Es el estudio de las vulnerabilidades que

posee un sistema y las acciones correctivas de las mismas

Auditoria de Seguridad•Compara las practicas y el estado de los

sistemas auditados contra un grupo de estándares y las mejores practicas de la industria.


Metodología SPEARStrategic Penetration Analysis and Research


SPEAR

Una metodología de penetración que permite probar un sistema contra cualquier potencial vulnerabilidad, emulando un ataque real de atacantes expertos, bien motivados y equipados, que involucra la explotación activa de las vulnerabilidades técnicas y lógicas de un sistema, usando sofisticadas técnicas de penetración y ethical hacking permitiendo convertir cada ataque en una poderosa lanza dirigida para penetrar el sistema, proveyendo útiles reportes con sentido para el negocio y la alta administración.


Historia de SPEAR

Se ha demostrado que las pruebas de penetración de hoy son en su mayoría un análisis de vulnerabilidades, y no pueden cubrir todos los ángulos y vectores que un atacante experto cubre cuando busca comprometer una empresa.

SPEAR nació de la necesidad de proveer a las organizaciones publicas y privadas de pruebas de penetración pro-activas que detecten todos los vectores de ataques que usarían atacantes habilidosos, llenos de motivación, tiempo, recursos económicos y con las herramientas correctas para comprometer los recursos y activos de la empresa.


Pen-Test - VA - Auditoria

Prueba Penetración

SPEAR

Análisis de Vulnerabilidades

Auditoria de Seguridad

Información Requerida Limitada Limitada Plena

ObjetivoComprometer la

Data y Recursos de TI a todo Costo

Obtener Listado de Vulnerabilidades

Técnicas

Validar el Cumplimiento con

los Estándares

SalidaInforme Técnico y Ejecutivo con los

Hallazgos

Informe con Listado de Vulnerabilidades

de los Recursos

Informe de Auditoria Validando el

Cumplimiento

Perfil

Un grupo de hackers bien

motivados económicamente

Un analista de seguridad

Un auditor de seguridad

Localidad Interna y Externa Interna y Externa Interna y Externa

Tiempo Medio Corto Largo


Desarrollo de Metodología SPEAR

RECONOCIMIENTOEVALUACION DE

VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

VALIDACIÓN Y CLASIFICACIÓN DE

LAS VULNERABILIDADE

S

EXPLOTACIÓN DE VULNERABILIDADES Y EXPANSIÓN DE

LA INFLUENCIA

SOLUCIONES

ADMINISTRACIÓN DE RIESGOSENTREGABLES


Beneficios de Auditar la Infraestructura

Una ventaja competitiva – Eficiencia, Ahorro y Resultados• Previene las interrupciones de servicios, perdidas económicas; robo

de propiedad intelectual, información crediticia y daños a la imagen corporativa

• Encuentra donde su organización y sistemas son vulnerables antes que los hackers lo hagan

• Identifica los riesgos que afectan a su organización y las soluciones para reducir, transferir, mitigar o aceptar el riesgo

• Mejora las habilidades de su Staff para prevenir, detectar, y responder a amenazas futuras

• Añade valor a las operaciones de la empresa• Satisface los requisitos de PCI DSS 2.2, 6.2 11.1, 11.2 y 11.3• Cumple con el objetivo de control DS5.5 de CobiT• Eleva el nivel de confianza de los interesados


Seguridad de las Aplicaciones WebRequisito de PCI DSS 6.3.1, 6.5, 11.1, 11.3, y DS5.5 de CobiT


Seguridad de las Aplicaciones Web

Pruebas de Penetración • Ejecución de

ataques del mundo real, para identificar el grado de que un sistema sea comprometido y antes de que el ataque sea identificado.

Análisis de Vulnerabilidades• Es el

estudio de las vulnerabilidades que posee un sistema y las acciones correctivas de las mismas

Evaluación de Productos• Es el análisis

de vulnerabilidades y riesgo antes de poner en producción un producto como Internet Banking, Tiendas Virtuales, etc; mediante pruebas de penetración

Modelación de Riesgos• Ayuda a las

organizaciones a detectar las vulnerabilidades que podrían afectar sus aplicaciones antes de que se comience a escribir código,.

Integración al SDLC• Es la

implementación de seguridad durante el ciclo de vida de desarrollo y QA de cualquier producto


Metodología Seguridad de las Aplicaciones

SPIDERING (MAPEO WEB)

EVALUACIÓN DE LA

CONFIGURACIÓN

PRUEBAS DE AUTENTICACIÓ

N

EVALUACIÓN DE LA

GESTIÓN DE SESIONES

ANÁLISIS DEL PROCESO DE

AUTORIZACIÓN

PRUEBAS DE LÓGICA DE NEGOCIO

VALIDACIÓN DE LA

ENTRADA Y SALIDA DE

DATOS

DENEGACION DE SERVICIOS

EVALUACIÓN SERVICIOS

WEB

PRUEBAS DE AJAX

ANÁLISIS DE RIESGOS INFORMES


Beneficios de Asegurar las Aplicaciones

Una ventaja competitiva – Eficiencia, Ahorro y Resultados• Hereda los beneficios de SPEAR• Encuentra donde sus aplicaciones son vulnerables antes que los

hackers lo hagan. • Satisface los requisitos de PCI DSS 6.3.1 y 6.5• La modelación de riesgos ayuda a ahorrar CAPEX en los proyectos de

desarrollo• Integra la seguridad desde la concepción de las aplicaciones ayudando a

solucionar vulnerabilidades que podrían ser muy costosas o imposibles de corregir una vez puestas en producción

• Mitiga los riesgos que están en Internet que podrían afectar su imagen corporativa

• Protege la información de sus clientes• Integra la seguridad al proceso de QA de una aplicación, mejorando la

calidad y confiabilidad de la misma


Diseño de Planes Estratégicos de Seguridad Requisito de PCI DSS 10 y DS5.2 de CobiT


Diseño de Planes Estratégicos de Seguridad

Políticas y Programa de Seguridad• Desarrollar las

políticas, estándares y guías que mitiguen los riesgos y vulnerabilidades y permitan la administración eficiente y efectiva de seguridad basado en las mejores practicas.

Prevención de Perdidas de Datos• Es el proceso y

metodologías para detectar y prevenir la transmisión no autorizada o divulgación de información sensible y propiedad intelectual.

Administración de Riesgos• Desarrollar las

políticas, estándares y guías que mitiguen, transfieran o acepten los riesgos y vulnerabilidades que afectan la infraestructura tecnológica de la organización.

Manejo y Respuesta de Incidentes• Es el proceso

y metodologías para detectar, manejar y responder a los incidentes de seguridad.


Beneficios de los Planes Estratégicos

• Previene de forma eficiente y costo-efectiva los riesgos y amenazas de seguridad

• Eleva el nivel de cumplimiento con los regulaciones y normativas como ISO 27001, PCI DSS y CobiT 4.1

• Agrega valor a la seguridad y tecnología• La administración de riesgos es una excelente herramienta para

justificar CAPEX• Ayuda a proteger la propiedad intelectual• Eleva el desempeño y efectividad de las tecnologías y la

seguridad de la información• Ayuda a mejorar el desempeño de la inversión


Educación de Seguridad“An ounce of prevention is worth a pound of cure.“ Benjamin Franklin


Educación de Seguridad

Concientización de Seguridad• Es el programa

de educación creado para elevar la conciencia de seguridad de los colaboradores de la empresa, capacitándoles para ser parte activa en el proceso de seguridad.

Hackeo Ético• Es un curso

dirigido para técnicos que les ayudara a detectar por si mismos las vulnerabilidades como lo harían los hackers.

Análisis y Evaluación de Riesgos• Es un curso

orientado a la gerencia con el fin de capacitarlos para la creación de un plan de administración de riesgos y conducirlo efectiva y eficientemente..

Modelación de Riesgos• Desarrollar las

políticas, estándares y guías que mitiguen, transfieran o acepten los riesgos y vulnerabilidades que afectan la infraestructura tecnológica de la organización.

Anti-Fraude Electrónico • Ayuda a

reducir la tasa de éxito de los ataques de Phishing contra las instituciones financieras por medio de campanas de concientización y prevención dirigidas a los clientes.


Beneficios de la Educación en Seguridad

• Dele a su empresa una ventaja competitiva mostrando a sus clientes cuan importante es para usted la seguridad de ellos. Un plan de educación anti-fraude electrónico para los clientes es una necesidad que debería estar en sus planes de retención de clientes ya que incrementa la confianza de los mismos en su empresa

• Creando una cultura de seguridad se mejora el desempeño de los usuarios internos y se mitigan los riesgos

• La modelación de riesgos ayudara a los desarrolladores a crear aplicaciones seguras desde antes de comenzar a escribir código, a reducir costos de manejo de los proyectos y evitar errores de programación que podrían ser sumamente costosos

• Provee una mejor protección, el principal componente de seguridad de un sistema es el ser humano


Respuesta a Incidentes

Preparación para Responder y Minimizar los Incidentes


Respuesta a Incidentes

Respuesta a Incidentes• Es el conjunto de metodologías y

procesos para responder, contener y minimizar el impacto de un incidente de seguridad en la empresa.

Auditoria Forense • Es un proceso de análisis y

recolección de evidencias post-incidente de un sistema que ha sido comprometido con el fin de proceder a acciones legales contra los hackers.


Beneficios de la Respuesta a Incidentes

• Minimiza el impacto de un incidente de seguridad• Facilita la aplicación de medidas legales contra los hackers• Provee confianza a los interesados• Reduce costos• Reduce las perdidas que podría ocasionar un incidente de

seguridad


Gestión de TI, Administración de Riesgo y Cumplimiento

Requisito de CobiT ME3.3, 3.4, ME2.7, ME1.4 y ME4


Gestión, Riesgo y Cumplimiento

• Gestión: Afinar las estrategias y objetivos del negocio, determinar el apetito de riesgo, establecer la cultura y valores, desarrollo de las políticas internas y monitoreo del desempeño y madurez.

• Administración de Riesgos: Identificar y evaluar los riesgos que podrían afectar la habilidad de la empresa para lograr sus objetivos y llevar a cabo sus estrategias, y aplicar la administración de riesgos para ganar ventaja competitiva y determinar las estrategias para responder a los riesgos y las actividades de control.

• Cumplimiento: Operar de acuerdo a los objetivos de control, adheridos a las regulaciones, políticas internas, procedimientos y compromiso de la administración.


Gestión, Riesgo y Cumplimiento

GRC provee un marco y metodología para habilitar a los responsables de manejar el negocio dar confianza a los interesados y reguladores que las regulaciones y objetivos corporativos son satisfechos.


Crece la Conciencia de los Interesados

Inversionistas Empleados

Comité de Ética Clientes

Socios/Compras“Todo se esta conduciendo con ética?”

“Estamos protegiendo las personas, clientes y sus ambientes?”

“Están ellos cumpliendo con DSS y CobiT?

“Son sus productos en línea seguros?”

“Estas calificado para ser parte de nuestra cadena de suplidores?”

“Están manejando responsablemente los riesgos corporativos?”

Industria


¿Por qué las Empresas Necesitan un ERM?


Procesos y Actividades del NegocioObjetivos y Metas del Negocio

ENTERPRISE RISK MANAGEMENT

Identifica, analiza, responde y monitorea los obstáculos que pueden impedir a los procesos y actividades del negocio el lograr los objetivos y metas del negocio.

Las Empresas Riesgo-Inteligentes

• Riesgo y recompensa se basa en el análisis de la gestión y el proceso de toma de decisiones para la creación de valor y la protección

• Existe un proceso sistemático para identificar, evaluar y dar prioridad a todos los riesgos empresariales de misión crítica

• Hay gente, procesos y sistemas para desarrollar apropiadas y rentables soluciones de reducción del riesgo

• Hay una capacidad de administración sostenible de gestión riesgo/recompensa para sostener una ventaja competitiva

• La información correcta está disponible en el momento adecuado y en el lugar correcto

• Esta establecido un comité de riesgo que monitorea los riesgos y el desempeño de los controles


La Fragmentación Incrementa el Riesgo

Cadena de Suplidores Clientes y Canales

FinanzasNecesita confiabilidad e integridad de la data

Compliance y Riesgo Análisis de Riesgos

?ComprasNecesita

adquirir la mejor tecnología

Operaciones de TIProtección de la

Información y seguridad

SALARIES

Comité de Auditoria Monitorear y Evaluar

Ejecutivos y DirectoresEstrategia corporativa y desempeño


GRC Unificado

GobiernoDesarrolla la Estrategia y

Gobierno de TI

CumplimientoEjecución de la

Responsabilidad Operacional

Administración de

RiesgosRetos y

Oportunidades


Mejor Alineación = Ventaja Estratégica

Monitoree los Riesgos

Responda a los Riesgos

Defina Indicadores Riesgo / KRI’s

Identifique los Riesgos

Defina el Perfil deRiesgo

Monitoree las Estrategias

Controle las Iniciativas

Establezca Criterios de éxito / KPI’s

Define los Objetivos

Define Categoria Estrategicas

Proceso de Planeación Estratégica

Proceso de Administracion de Riesgos

Desarrollar una Estrategia de Riesgos-Inteligente

¿Cuales son sus metas estratégicas?

¿Que riesgos existen que puedan impactar las metas?

Desarrollar el Plan para Ejecutar la Estrategia ¿Que iniciativas controlaran

la ejecución de la estrategia y mitigaran el riesgo?

¿Que KPIs y categorías de riesgos deben ser monitoreados?

Analizar el desempeño y curso correcto

¿Haremos proyecciones? ¿Hay aberraciones en los

pronósticos? ¿Cual es la causa principal

de la disparidad?

1 2 3


Resultados: GRC Unificado

Suplidores Clientes y Canales

Comité de AuditoriaEvidencia para decisiones y

directivos

Oficina de RiesgoAnálisis de Riesgo Integral

Ejecutivos

Confianza en las decisiones del negocio

Operaciones de TIInfraestructura de TI

Segura

ComprasAdquisición Asertiva de Tecnológica

FinanzasData integra y confiable

ServicioAccesible Confiable y Seguro

SALARIES


Beneficios del GRC Unificado

• Reduce costos y simplifica las operaciones de TI unificando su gestión de TI, riesgos y cumplimiento

• Simplifica el cumplimiento de los OC de CobiT ME3.3, 3.4, ME2.7, ME1.4 y el proceso ME4

• Incrementa el desempeño de los procesos • Eleva el nivel de madurez de la organización • Mejora la seguridad y el cumplimiento• Optimiza el desempeño de los objetivos de control• Administra el riesgo de forma integral • Ayuda a identificar y beneficiarse de las fortalezas, oportunidades,

debilidades y amenazas de las TI• Incrementa la visibilidad en el desempeño y efectividad de la Gestión de

TI, administración de riesgos y cumplimiento• Incrementa la protección de los datos identificando oportunidades de

mejora de los procesos


¿Quién es Mageni?

• Elegido por el MIT (Instituto de Tecnología de Massachusetts) y la Universidad de Harvard en el 2007 para ser parte del MIT E-Lab bajo el nombre “Cassandra Networks”

• Mas de 8 años de experiencia en seguridad y pruebas de penetración

• 5 años de análisis, investigación y desarrollo de productos y servicios de seguridad

• Experiencia en la implementación de CobiT 4.1, PCI DSS e ISO 27001

• Excelente balance entre conocimiento técnico y administrativo

• Mageni es una palabra Hebrea que significa: Mi Escudo, Mi Defensor y Mi Protector.


¿Por qué los Servicios de Mageni?


• Costos efectivos y facturación flexible, crédito de hasta 90 días para pagar sin penalidad ni sobrecargos.

• Satisfacen el cumplimiento regulatorio y gobierno de TI• Eficiente y efectiva identificación y administración del riesgo• Proveen seguridad integral de los recursos y activos de tecnología • Elevan el nivel de madurez de las TI y Seguridad• Garantizan una ventaja estratégica• Provee soluciones rentables para la efectiva reducción del riesgo• Mejor protección contra ataques sofisticados• Previenen la perdida económica de datos y propiedad intelectual• Ayudan a una eficiente y efectiva gestión de TI• Añaden valor al negocio• Elevan el nivel de confianza de los interesados • Previenen daños a la imagen corporativa

Jonathan Jaquez

Chief Technical Officer

Mageni Networks

http://www.mageni.net

Email: [email protected]

Móvil: 809.846.6724

Presentacion De Servicios Y Soluciones De Mageni

Technology

Transcript of Presentacion De Servicios Y Soluciones De Mageni