Webinars 2013

NUEVOS RETOS EN PCI ¿CUÁL

ES SU APLICACIÓN EN BYOD Y

CLOUD COMPUTING?

INFORMACION GENERAL

Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en Seguridad en

tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías

Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox

• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región Latinoamérica • Experiencia en Pent testing y análisis de riesgos.

Víctor Antonio Pacheco Cué Ingeniero en Sistemas Computacionales

7 años de experiencia en Tecnologías Orientadas a entornos Windows, 3 años de experiencia en el campo de seguridad informática.

Ingeniero certificado en diferentes marcas y tecnologías Juniper Networks PaloAlto Networks Trend Micro VMWare Consultor IT en proyectos de Seguridad en Software, entornos físicos y

virtuales, desarrollando proyectos con centros de datos integrales Impulsando proyectos de virtualización tanto de los centros de datos como

de escritorios.

NUEVOS RETOS EN PCI ¿CUÁL ES SU

APLICACIÓN EN BYOD Y CLOUD

COMPUTING?

OBJETIVO

Conocer de manera general los retos en cuanto Normatividad en transacciones electrónicas con tarjetas de crédito PCI-DSS con el nuevo entorno de BYOD y Cloud Computing, así como integrar los 12 requerimientos de esta norma con los mecanismos de seguridad con los cuales cuentan la mayoría de las empresas en la actualidad.

AGENDA

• Conocer el escenario en cuanto Normatividad o Compliance.

• Como este tipo de normatividad contribuye en las organizaciones.

• Identificar los retos y cambios en el entorno BYOD y Cloud Computing.

• Requerimientos PCI-DSS y como llevarlo a cabo con los controles de seguridad.

Escenarios en la actualidad en cuanto compliance y normatividad.

ESCENARIOS EN LA ACTUALIDAD EN

CUANTO COMPLIANCE Y NORMATIVIDAD.

Compliance?

Regulación?

Framework?

Políticas?

ITIL

Control Interno

Planes con Directrices

Análisis de Riesgos

ESCENARIOS EN LA ACTUALIDAD EN

CUANTO COMPLIANCE Y NORMATIVIDAD.

Sector Financiero: GLBA, Basilea II, PCI-DSS, NASD 3010/3110, SEC 17 a-4

Asistencia Sanitaria: HIPAA

Sector Público: MAAGTIC, NIST 800-53, FISMA

Industria: Nerc CIP 1300

Regulaciones Multisectoriales: SOX, PIPEDA, CA SB-1386

CLASSIFICATION 1/25/2013 8

¿Para que llevar a un marco

normativo?

ESCENARIOS EN LA ACTUALIDAD EN

CUANTO COMPLIANCE Y NORMATIVIDAD.

¿Porqué hacerlo? –Estrategia-

• Obligaciones Legales

• Driver de negocio sectorial

¿Cómo hacerlo en TI? - Operación -

• Identificar los controles

• Due care – Due Diligence

ESCENARIOS EN LA ACTUALIDAD EN

CUANTO COMPLIANCE Y NORMATIVIDAD.

Definir

• Regulaciones

• Frameworks

• Estándares

Controlar • Políticas

Corporativas

• Controles TI

Mantener

• Medir

• Remediar

• Informar

• Almacenar

ESCENARIOS EN LA ACTUALIDAD EN

CUANTO COMPLIANCE Y NORMATIVIDAD.

RESUMIENDO…

Valor al negocio

Estrategia en

seguridad IT

Normativas

PCI

Como este tipo de normatividad contribuye en las organizaciones.

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

• Oportunidad de Negocio • Riesgo para los consumidores • Desafíos para implementar

herramientas • Mecanismos de control limitados • Como se va a invertir para cumplir

con la regulación

El ejemplo de la tienda de conveniencia

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

Alinear su tolerancia a los riesgos con los objetivos estratégicos del negocio • Medir el riesgo • Crear mayor flexibilidad • Identificar y correlacionar • Desarrollar la capacidad de gestionar riesgos y regulaciones • Responder a las oportunidades de negocio • Realizar mejores inversiones de capital

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

El estándar PCI fue diseñado para englobar las cuatro áreas críticas del marco de trabajo de COSO, a saber: • La identificación de eventos • La evaluación de riesgos • La respuesta a los riesgos • Las actividades de control

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

Ejecutar una auditoria Inicial

Realizar una Valoración de

Brechas

Realizar los escaneos de vulnerabilidad

requeridos y exámenes de penetración

Crear un plan de remediación

Proveer un soporte de remediación

Realizar auditorías fuera de sitio

Realizar auditorías dentro del sitio

Proveer un reporte preliminar de cumplimiento Proveer un reporte

final de cumplimiento

Proveer un monitoreo en marcha y asistencia a los esfuerzos de cumplimiento

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

¿Qué voy a obtener por mi inversión? ¿Recibiré solamente el resultado de una exploración o me voy a beneficiar de la experiencia en seguridad del proveedor? ¿En qué medida se ajusta a mis necesidades particulares la evaluación que me ofrece este proveedor?

COMO ESTE TIPO DE NORMATIVIDAD

CONTRIBUYE EN LAS ORGANIZACIONES.

¿Está mi proveedor perfectamente homologado para llevar a cabo todas las fases de validación de la conformidad PCI? ¿Ha explicado con todo detalle este proveedor el plazo de tiempo que se requiere para llevar a cabo el proceso? ¿Estoy preparado para esto?

RESUMIENDO…

Debemos ser muy consientes de todos los beneficios que nos puede brindar cumplir con esta regulación, cuestionarnos a nos otros porque queremos certificarnos, que beneficios vamos a obtener y sobre todo como lo vamos a orientar para brindar un beneficio de negocio a nuestra empresa. Usted quiere un asesor de seguridad de confianza que pueda ser su abogado defensor ante las empresas proveedoras de tarjetas de pago y sus bancos adquirientes.

Identificar los retos y cambios en el entorno BYOD y Cloud Computing.

IDENTIFICAR LOS RETOS Y CAMBIOS EN

EL ENTORNO BYOD Y CLOUD

COMPUTING.

Enterprise Mobile

Prohiben apps

Permiten solocorreo

permiten otrasapps del trabajo

Permiten todas lasapps

Prohiben apps 18%

Permiten solo correo 37% Permiten otras apps del trabajo 17.7% Permiten todas las apps 27.3%

Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update

Gartner predice que en 2015, el 39% serán dispositivos móviles frente a 61% en laptop o PC.

ALGUNOS ASPECTOS DE LA

CONSUMERIZACIÓN.

El uso de datos: el tráfico de datos móviles se situó en 597 petabytes en 2011. En comparación,

el tráfico de Internet en todo el mundo en 2000 fue de 75 petabytes.

Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update

Robo o perdida del dispositivo

Vulnerabilidades en dispositivos Móviles

Amenazas para banca en Móviles

Amenazas embebidas en aplicaciones Móviles

Amenazas web para dispositivos Móviles

IDENTIFICAR LOS RETOS Y CAMBIOS EN

EL ENTORNO BYOD Y CLOUD

COMPUTING.

Seguridad a nivel de

dispositivo

Seguridad a nivel de datos

Seguridad en redes

• Seguridad en configuración

• Endurecer contraseñas

• Data Center

• Escritorios Virtuales

• Actualizaciones de dispositivos

• Antivirus, FW, antispam

RETOS EN CLOUD

Physical Virtual Private Cloud Public Cloud

“En algunas compañías desde 2008 inicia el proyecto de virtualización”

— IDC

“En muchas compañías crece 10 veces el número de servidores virtuales en 2012 ”

— Gartner

Costos, Continuidad de Negocio que otros beneficios ven los líderes de las empresas.

RETOS EN CLOUD

Viejo modelo Seguridad en la

infraestructura que protege

aplicaciones y servidores. . .

App4

OS

HW

App3

OS

HW

App2

OS

HW

App1

OS

HW

Nuevo modelo Servidores y

aplicaciones virtuales que se mueven,

cambian… Reconfiguración del IPS, del

firewall…

VM1

App1

OS1

VM2

App2

OS2

VM3

App3

OS3

Hypervisor App4

OS4

VM4

RETOS EN CLOUD

Private Cloud

Hybrid Cloud

Public Cloud

IT Es un

Servicio

IT Gestiona ambos en

distintos niveles el DC

IT Gestiona y controla el DC

RESUMIENDO…

Hypervisor Controles

Cloud

Movilidad

Aplicaciones

Control de Acceso

FUNDAMENTOS

¿Qué es PCI-DSS? ¿Quién debe cumplir con el Estándar de Seguridad de Datos PCI? ¿De que se encuentra compuesto principalmente esta regulación?

Requerimientos PCI-DSS

CONCLUSIONES GLOBALES

“Pensar en la consumerización y cloud desde una perspectiva centrada solo en los dispositivos y en máquinas virtuales no prepara adecuadamente a las organizaciones para todos los riesgos de seguridad potenciales que representa este modelo. Hoy en día se termino el perímetro como tal, pues éste es elástico desde en la nube donde están los dispositivos móviles”