Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist

Slides:

Advertisements

Presentaciones similares

Spokesperson will be Jay Schaudies, Vice President, Global eCommerce.

Advertisements

Delegación de Promoción Económica y Empleo: Servicio de Creación y Consolidación de Empresas CIE Diputación COMPANIES CREATION AND CONSOLIDATION EMMA June.

Software Expo 2005 INTRODUCCION A ITIL Mayo 2005 Title slide.

RM EXPORT CORPORATION. Director Dirección General Mexican Management Gerencia México Purchases Compras Design Diseño Local Sales Ventas Nacionales IT.

Last Updated: 3/27/2008 DEV-2 Making OpenEdge Architect work for you

IBM Rational Software Comes to You México

SECRETARÍA DE ESTADO DE CAMBIO CLIMÁTICO DIRECCION GENERAL DE CALIDAD Y EVALUACION AMBIENTAL PRESENTATION BY SPAIN TO THE EXECUTIVE BODY FOR THE CLRTAP:

Authority or Power Autoridad o Poder

Metodología de programación paralela

Investment climate for climate investments: mobilizing private resources through public commitments. September 27,28,29 Costa Rica Daniel Magallon Basel.

El Marco de Modos de Vida Sostenible Es UNA MANERA de organizar los temas complejos que rodeo POBREZA No es la UNICA MANERA Tiene que ser : o Modificado.

RENAISSANCE es un proyecto del programa CONCERTO co-financiado por la Comisión Europea dentro del Sexto Programa Marco RENAISSANCE - ZARAGOZA - SPAIN 1.

RENAISSANCE es un proyecto del programa CONCERTO co-financiado por la Comisión Europea dentro del Sexto Programa Marco RENAISSANCE - ZARAGOZA - SPAIN 1.

8 Noviembre, 2006 Semana de la Ciencia en Extremadura 2006 Miguel Cárdenas Montes, CETA-CIEMAT Aplicaciones Grid Séptimo Tutorial.

E-science and technology infrastructure for biodiversity research Wouter Los, Marian Ramos & Enrique Alonso.

Action Plan Template Intel ISEF 2009 Educator Academy May 2009

Acelere el Ciclo de Vida de sus Aplicaciones

EMEA. 2 Bienvenidos a la conferencia EMEA Architect Forum 2004 Aurelio Porras Architect Advisor División.NET - Developer & Platform Evangelism Microsoft.

Productividad personal Estar al día Colaboración Limitada.

Grupos de Trabajo # 7 - Informe Working Group # 7 – Report General Business and Operational Risks.

BIENVENIDOS AL WORKSHOP DE ACSDA SOBRE LOS PRINCIPIOS DE INFRAESTRUCTURAS FINANCIERAS DE MERCADO WELCOME TO ACSDAS FINANCIAL MARKET INFRASTRUCTURES PRINCIPLES.

Prof. Carlos Rodríguez Sánchez Texto: Networking A Beginners Guide Bruce Hallberg Introducción a la Seguridad en las Redes.

TechBA: Modelo de Aceleración en Silicon Valley Jorge Zavala CEO TechBA Silicon Valley TechBA: Mexicos Premier Source for Innovative.

About Services News Publications EventsContactHome SPOTLIGHT - NEWS Ipso greek ipso greek IMPORTANT LINKS PROJECTS DATABASE Ipso greek ipso greek Registre.

Description Digital school is an educational movement that use technology to learn and transform the educational practice to promote the students integral.

Java WebServices Security Ing. Lennon Shimokawa Miyashiro

Implementing DDI in the National Institute of Statistics and Geography of Mexico Eric Rodriguez.

3rd Interagency Meeting on Strategic Communication for Avian/ Pandemic Influenza Dra. Maria Del Pilar Gaspar Regional Planning Officer PIC – UNSIC ROLAC.

Iberoamerican National Institutes Network of Engineering and Hydraulic Research Roundtable Manuel Echeverria CEDEX Spain Millenium Development Goals on.

PRESENTACIÓN REUNIÓN PREPARATORIA IX REUNIÓN DE MINISTROS DE JUSTICIA O DE MINISTROS O PROCURADORES GENERALES DE LAS AMÉRICAS, REMJA. PRESENTATION WORKING.

Departamento Administrativo de Ciencia, Tecnología e innovación Colciencias República de Colombia VII Ordinary Meeting of the COMCYT Working Group Technological.

EL RIS COMO INSTRUMENTO DE LA POLITICA DE INNOVACION REGIONAL Santiago, 19 de Marzo de 2013 ERI - RIS (Estrategia Regional de Innovación)

Dirección Estratégica y Calidad Total

ESTRATEGIA PARA EL DESARROLLO DE LA ECONOMÍA DIGITAL Mtro. Víctor Hugo Estrada de la O Director de Economía Digital Subsecretaría de Industria y Comercio.

Construir una red internacional de innovación tecnológica a través de una estrategia de proximidad Andreia Moreira de Jesus |

Lean Sigma por CGP Héctor Hernández.

Rol de la Enfermera en la Construcción de la calidad

Taller de Difusión PROCESO DE CONSTRUCCIÓN DEL MODELO TÉCNICO FINANCIERO Veracruz, 23 de febrero - Mérida, 25 de febrero - León, 2 de marzo – Monterrey,

EFICIENCIA EN EL USO DE RECURSOS Y PRODUCCIÓN MÁS LIMPIA

U NIVERSIDAD M ARIANO G ÁLVEZ F ACULTAD DE H UMANIDADES L ICENCIATURA EN LA E NSEÑANZA DEL I DIOMA I NGLES CON ESPECIALIZACIÓN EN T ECNOLOGÍA E DUCATIVA.

INTRODUCCION MECN 4610 – Automatic Control System Required Pre-requisite(s): MECN 4600 Mechanical Measurements and Instrumentation PROFESOR: AMILCAR RINCON-CHARRIS.

Gestión de la Informacion– Siguiente paso? Ken Reid Head of International Technical Relations EUROCONTROL.

Fundada en 1998 y adquirida por EMC en 2004, VMware fue pionero de la tecnología de virtualización En 2009 tuvo ventas por $2 billones de USD, más.

Universidad Autónoma de Nuevo León Research capabilities in Aeronautics.

ExpoForo 2008 "Políticas Públicas em la era digital" Camillo Speroni VP & GM Novell Latin America

está aquí para quedarse no es una moda no es sólo una tendencia.

MSF: Microsoft Solutions Framework

IT Governance. What is IT Governance? 2 Information Technology Governance (Gobierno de TI) es una disciplina subconjunto de Gobierno Corporativo centrada.

ESTRATEGIAS DE PRECIO Impartida por: M. en C. Ernesto Villanueva Barrera Enero 2014

Introducción al Framework FWK 2.0- FWK Partner & Practices Marcelo Oviedo [razon social] Córdoba Argentina.

Su Negocio Conectado. VisibilidadVisibilidad ColaboraciónColaboración PlanificaciónPlanificación EjecuciónEjecución Build Connections.

Bienvenido a Technet Summit Forefront Client Security.

LA SOCIEDAD CONECTADA EL lugar de trabajo del futuro.

LAC MIC++ Program Working with Middle-Income Countries: New Approaches. World Bank Latin American and Caribbean Institute for Economic and Social Planning.

SISTEMA DE INFORMACIÓN RETO DE NEGOCIOS SOLUCIONES DE NEGOCIOS ADMINISTRACIÓN TECNOLOGÍA DE LA INFORMACIÓN ORGANIZACIÓN SOSTENER LA VENTAJA COMPETITIVA.

1 USMP PhD in Information Systems Engineering INFRASTRUCTURE MANAGEMENT - IM The Information and Communications Technology Infrastructure Management (ICT-IM)

1 USMP PhD in Information Systems Engineering INFRASTRUCTURE MANAGEMENT - IM The Information and Communications Technology Infrastructure Management (ICT-IM)

KNOWLEDGE MANAGEMENT Modelos y Estrategias de Implementación en la Gestión del Conocimiento Ph.D. Augusto Bernuy Alva

Patricia Muñoz Palma Director Scientific Information Program National Commission for Scientific and Technological Research CHILE Access to Research Data.

Iniciativa en Compras Públicas Sustentables (SPPI) Construída en base a los resultados del grupo de trabajo de Marrakech en compras públicas sustentables.

BUENOS DÍAS Saquen los apuntes, por favor. COMPARACIONES Más rápido que… Menos importante que… Tan bonita como… Mejor que, peor que, menor que, mayor.

Porque nos importa la seguridad

© ESI st NAME Workshop, Valencia, NAME Workshop European Software Institute Parque Tecnológico Zamudio (Bilbao) Tel:

“Environmental education and science popularization: fundamental means for public awareness, participation and self management in marine and coastal protection.

THOMSON SCIENTIFIC Updates for April Copyright 2006 Thomson Corporation 2 2 Actualizaciones Actualizaciones a las herramientas Refine y Analyze.

Social Networks and Parent Teacher Meetings: A Question that can´t Wait Molina, M.D., Rodríguez, J., Collado, J.A. y Pérez, E. University of Jaén (SPAIN)

F-25 CHECK LIST DE DOCUMENTOS PARA CONSULTA (BIBLIOTECA) PROYECTO 446 Brief Description:Breve Descripción del Proyecto: Project Name and Location : Wastewater.

INNOVACION Y DISEÑO EL CASO FINLANDIA

Santiago de Chile January 2012 Roundtable 6: Lobby regulation János Bertók Head of Public Sector Integrity Division Organización para la cooperación.

Integrated Management System

Transcripción de la presentación:

Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist

Observaciones preliminares >Que estamos discutiendo los profesionales de seguridad de la información?. Seguridad informática VS Seguridad de la Información >Por que es tan difícil explicar el problema. Ciencias exactas vs ciencias sociales La desventaja del modelo >La evolución vertiginosa. Brechas de conocimiento – conflicto entre paradigmas de comunicación y acceso. >La demanda del negocio, por tipo de negocio (mercados verticales, demandas especificas) Rápido y furioso. >Riesgos, damnificados, responsables Directos e indirectos.

Agenda >Definición simplificada del problema >Modelos de Madures >Estándares y Regulaciones y Mejores Practicas >Recomendaciones generales

Definición simplificada del problema

>El problema se sintetiza en alcanzar niveles aceptables de Confidencialidad, disponibilidad e integridad de la información que sostienen los objetivos del negocio >Las claves son: Alcanzar – (modelo iterativo) Confidencialidad. Disponibilidad. Integridad. Niveles aceptables – (gestión de riesgos) Objetivos del negocio – (Mandatorio y Rector)

Algunos Problemas subyacentes >Definición de activos de información Valor de la información, percepción del valor de la información, rentabilidad, dependencia. Impacto sobre incidentes de perdida de confidencialidad, integridad o disponibilidad de la información. >Cultura de la organización Composición humana de la organización Supuestos, expectativas, idealización de la seguridad. Relacionamiento entre los actores y entre los actores y la organización, sus procesos y sistemas. Adaptabilidad al cambio, al control o a la limitación de privilegios –Modelo de seguridad aceptados o aceptables

Estado del arte: parte 1 >Sistemas distribuidos. >Entornos heterogéneos. >Interacciones multidireccionales y multisistemas. >Aumento explosivo de los activos de información. >Aumento explosivo de la dependencia a los sistemas. >Relación entre vulnerabilidades y atacantes por definición, desventajosa >Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente. >Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.

Estado del arte: parte 2 Attack Sophistication propagation of malicious code stealth/advanced scanning techniques widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks automated probes/scans widespread denial-of-service attacks techniques to analyze code for vulnerabilities without source code DDoS attacks increase in worms sophisticated command & control anti-forensic techniques home users targeted distributed attack tools increase in wide- scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Intruder Knowledge packet spoofing

Modelos de Madures

Modelos de Madurez. >Basados en la Capacidad. (CMM) >Basados en la Completitud. (ISO ) ActPlan DoCheck Maturity Level Time Scale Effective Quality Improvement Consolidate the Level Reached

Level 0 ITIL Maturity Model (information from Pink Elephant) Awareness Process driven by tools Roles and responsibilities poorly defined Initiation Some policies statements Words no Docs No dedicated resources Absence No evidence of activities supporting the process Control Measurable Targets Mgmt Reports produced Formal Planning Tasks, responsibilities, well defined Integration Significant quality improvements Interdepartmental communications Quality & Per. Metrics transferred between processes Absence Level 1 Level 2 Level 3 Level 4 Level 5 Initiation Awareness Control Integration Optimization Optimization Links between IT & Corporate Policy Innovation QA & Continuous improvement World Class Perf. Measurements

Maturity Model: Cobit Version 4.0

Modelo de madurez de Seguridad (basado en la capacidad)

Modelo de madurez de Seguridad (basado en la completitud)

Administración de TI: Modelo de madurez CA Conduciendo el negocio Activo Eficiente Receptivo Responde a problemas y fallas Procesos manuales ad- hoc Procesos estandarizados Respuestas automatizadas Recursos de TI consolidados Servicios de TI relevantes al negocio Administración por nivel de servicio Administración financiera de TI TI se optimiza en tiempo real dinámicamente para apoyar al negocio Proyectos transparentes Agilidad Flexibilidad

Maturity Capability Blueprint – Active to Efficient

Estándares y Regulaciones y Mejores Practicas

COBIT IT OPERATIONS IT Governance Quality Systems & Frameworks Service Mgmt. App. Dev. Project Mgmt. IT Planning IT Security Quality System Modelo de Gobierno IT COSO ITIL BS 7799 PMI ISO Six Sigma TSO IS Strategy ASL CMM Sarbanes Oxley US Securities & Exchange Commission

ISO – Anexo Objetivos de control y controles. >A5 Security Policy (3) >A6 Organization of Information security (4) >A7 Assesst Management (5) >A8 Human Resourses Security (6) >A9 Phisical And Environmental security (7) >A10 Comunication And Operations Management (8) >A11 Access Control (9) >A12 Information System Acquisition, dev and maintenance (10) >A13 Information Security incident Management (nuevo) >A14 Business Continuity Management (11) >A15 Compliance. (12)

>American Society for Industrial Security (ASIS) >Australian Computer Emergency Response Team >Armed Forces Electronics and Communication Association (AFCEA) >Association of anti Virus Asia Researchers (AVAR) >CLUSIF (Infosec Association of France) >CLUSIT (Infosec Association of Italy) >Cyber Security Industry Alliance (CSIA) >Distributed Management Task Force (DMTF) >Government Electronics and Information Technology Association (GEIA) >ICSA Labs >IEEE-ISTO Open Security Exchange (OSE) >Information Security & Privacy Advisory Board (ISPAB) >Information Sharing & Analysis Center Council (ISAC Council) >Information Systems Control & Audit Association (ISACA) >Information Technology Association of America (ITAA) >Information Technology-Information Sharing and Analysis Center (IT-ISAC) >InfraGard >InterNational Committee for Information Technology Standards (INCITS) >International Information Systems Security Certification Consortium (ISC) 2 >International Security Trust & Privacy Alliance (ISTPA) >Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX) >Israel Security Forum >IT Service Management Forum (itSMF) >John Jay College of Criminal Justice >Korea Institute of Information Security & Cryptology >Liberty Alliance >Mitre CVE Editorial Board >National Cyber Security Summit Task Forces >New York Electronic Crimes Task Force >Object Management Group (OMG) >Open Mobile Alliance >Open Source Development Lab (OSDL) >Organization for the Advancement of Structured Information Standards (OASIS) >Security Industry Association (SIA) >SHARE >The Open Group >Virus Bulletin >Wild List Organization (ITW) >World Wide Web Consortium (W3C) CA Security Affiliations

Recomendaciones generales

Tarea para el hogar >Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación? >Hemos realizado un analisis de riesgo integral? >Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos? >Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible? >Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?

Muchas gracias