Cambio de enfoque. La seguridad en un verdadero contexto multicapa PROCOM 2009 Zaragoza, 18 de Mayo de 2009.

Slides:

Advertisements

Presentaciones similares

Presentación Corporativa

Advertisements

ESTUDIOS DE LINEA DE BASE Metodologías Participativas II Reunión Anual de la Red Latinpapa Cochabamba-Bolivia, 25 al 28 Febrero del 2009 Grupo de impacto.

ÍNDICE Mission Statement Breve historia Posicionamiento

“Planificación de Aplicaciones Web”

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Internet y tecnologías web

ASAMBLEA EXTRAORDINARIA 22 DE ENERO 2007 OBJETIVOS OPERATIVOS 2007 II PLAN ESTRATÉGICO LÍNEA Nº 3.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

Elaborado por: Ing Edson Rodriguez Legislacion en la Construccion

Unidad III Sistemas de gestión de la calidad ISO 9000

Gestión del conocimiento en intranets corporativas:

Noveno Semestre UNIDEC

1 Condiciones y elementos esenciales para la puesta en práctica de la APS: gestión Bogotá, 27 de mayo 2005 Carme Nebot, Unidad de OS/OPS.

1 Seguridad (4/4) redes y seguridad Protección de datos en una red.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

Manufactura de Clase Mundial.

1 Modulo de Administradores Licencia Nacional de la Web of Knowledge Año 2013.

Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Prestación de servicios para trabajadores a distancia Acceso a.

Centro de Respuesta a Incidentes de Seguridad Informática y de

1 comunicaciones IP al servicio de su empresa. 2 Contenido Quiénes somos Factores para implementar Factura Electrónica Fases en la facturación de acens.

Universidad Nacional Autónoma de Honduras

INSTITUTO TECNOLÓGICO de Chihuahua II ESPECIALIDADES Reunión de Trabajo Viernes 20 de Abril de 2012.

Creación del prototipo de la red del campus

PROTOCOLOS Y ESTANDARES DE RED

Servicios en una WAN convergente

EL ESCENARIO MACROECONÓMICO DEL PRESUPUESTO 2007

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

MARKETPLACE DE LOS ALPES

III Encuesta Nacional de Seguridad Informática ACIS 2003

La Convergencia entre la Seguridad Lógica y la Seguridad Física

Aplicación elementos del MECI 1000:2005

Networking en la empresa

Exploración de la infraestructura de red empresarial

Auditoria Informática Unidad II

Noviembre de 2005 Área de Coordinación Institucional Dirección General de Deportes Área de Coordinación Institucional Dirección General de Deportes 1 La.

Reunión de los requerimientos de la red

¿Cómo conectamos nuestra red a Internet?

Organización y gestión de la PyME. Tablero de comando. Lic

Telefonia Sobre IP VoIP Zulema Sierra Carlos Garcia.

ENSEÑANZA Y APLICACIÓN DE MÉTODOS ÁGILES PARA EL DESARROLLO DE UNA APLICACIÓN COMPUTACIONAL Jorge Cornejo Elgueta ENSEÑANZA Y APLICACIÓN DE MÉTODOS ÁGILES.

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Gestión de Activos/Infraestructura y su Mantenimiento en el Sector Público

1 Seminarios y Formación II Jornadas Universitarias de Calidad y Bibliotecas La implantación de un sistema de calidad en el Consorcio Madroño Ianko López.

Administración de redes

Análisis y Diseño de Sistemas

GESTION NIVELES DE SERVICIO.

SEMANA Introducción.

Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.

Empresa internacional de Consultoría e Ingeniería especializada en Seguridad.

Desarrollo de aplicaciones para ambientes distribuidos

Ejercicios Auditoría de Redes Carmen R. Cintrón Ferrer, 2007, Derechos Reservados.

En este capitulo se analizo la relación entre cliente y servidor de red habituales, como: HTTP FTP DNS DHCP Correo Electrónico INTRODUCCIÓN.

EL APORTE DE LA INGENIERIA DE SOFTWARE A LAS ORGANIZACIONES

Diseño del servicio ITIL..

Seguridad en Sistemas: Seguridad en Redes 2 Seguridad en Redes “The network is the security problem” -- parafraseando a Sun :-)

TECNIFICON Tecnología Y Finanzas Contables Unidas Sas _________________________________________ Tecnología Y Finanzas Contables Unidas Sas _________________________________________.

 El Grupo El Grupo  Socios Tecnológicos Socios Tecnológicos  Soluciones Soluciones  Servicios Servicios  Cobertura Cobertura  Clientes Clientes.

©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.

Organización para la calidad.

AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT

Procesos itil Equipo 8.

FIREWALLS, Los cortafuegos

ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.

SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.

Transcripción de la presentación:

Cambio de enfoque. La seguridad en un verdadero contexto multicapa PROCOM 2009 Zaragoza, 18 de Mayo de 2009

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 2 El Advanced Solutions Center de E&Y Innovación en la Prestación de Servicios Riesgos TIC Costes TIC Complejidad TIC E&Y ADVANCED SOLUTIONS CENTER ConstruirEvaluar Gestionar EVALUACIÓN DE SEGURIDAD Revisar la seguridad en todas las capas de la infraestructura tecnológica de una Organización. SECURITY ARCHITECTURE CENTER Proporcionar soluciones de seguridad efectivas y ajustadas a las necesidades reales de CADA cliente. OPERACIÓN DE PROCESOS Aportar a las empresas personal altamente cualificado para desarrollar labores relacionadas con la seguridad. Ofrecer servicios de operación remota de procesos de seguridad. FORMACIÓN Transmitir el conocimiento y experiencia de nuestros consultores en un modelo de UTILIDAD.

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 3 El Advanced Solutions Center de E&Y El Advanced Security Center forma parte de la Red Internacional de Centros de Seguridad Avanzada de Ernst&Young. El Advanced Security Center cuenta en nuestro país con 3 sedes principales: Madrid, Barcelona y Bilbao. Desde dichas ubicaciones trabajan 15 profesionales de Ernst&Young con dedicación exclusiva.

Contenido Introducción Cambio de Enfoque Arquitectura Necesaria Nuevas Tendencias

Contenido Introducción Cambio de Enfoque Arquitectura Necesaria Nuevas Tendencias

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 6 Introducción Seguridad 34. information security seguridad (Del lat. securĭtas, -ātis). 1. f. Cualidad de seguro. Real Academia de la Lengua seguro (Del lat. secūrus). 1. adj. Libre y exento de todo peligro, daño o riesgo. Real Academia de la Lengua Preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, no-repudiation and reliability can also be involved Evitar peligros a los datos y procesos de negocio

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 7 Introducción Historia y Evolución IPSEC VPN IPS Anti-Virus Content Filtering DoS Protection Anti-Spyware Worm Mitigation DLP/ILP WebApp Security IM Security IDS XML Security Spyware (2006)Eavesdropping (1994) Resource Access (1992) Info Leakage (2005)Viruses (1997)Worms (2005)IM Attacks (2002)Denial of Service (2000)Content Access (1998)Exploits (1996)XML/W.S. Attacks (2004) Web App Attacks (2002) Activos Corporativos WAN Internet Perimetro de Seguridad

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 8 Introducción Historia y Evolución Bastion host Port/packet filtering Stateful inspection IPS/signatures NAC Internet

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 9 Introducción Problemas no resueltos Excesivo número de reglas Degradación del servicio Porosidad en los flujos de comunicaciones Dilatado control de cambios Duplicidad de reglas Obsolescencia Desconocimiento del negocio Desconocimiento del riesgo asociado a la conectividad Desconocimiento de cambios topológicos Excesivos costes Complejidad en la gestión

Contenido Introducción Cambio de Enfoque Arquitectura Necesaria Nuevas Tendencias

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 11 Cambio de Enfoque Seguridad a través del conocimiento del negocio Para la optimización del uso de los recursos es necesario un cambio de enfoque Dos ópticas Comprensión del negocio y sus flujos de comunicaciones Mediante la identificación de los activos involucrados Mediante el análisis del negocio ( excede el alcance ) Comprensión de la lógica de negocio y el riesgo asociado Mediante la identificación de los activos Estimación de seguridad de Sistema Operativo Aplicaciones Valores referenciales de dominio público Estimación del impacto de amenazas en los activos y su repercusión en el negocio

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 12 Cambio de Enfoque Algunas Sugerencias Identificar los procesos de negocio asociados a los activos (sistemas) de explotación que intervienen en las comunicaciones Cuantificar el estado de la seguridad en base al estado de los sistemas Cuantificar el impacto de una amenaza en el activo y en la línea de negocio Redefinir las reglas en base los niveles de riesgo y convergencia Control de cambios topológicos Control de cambios en el cortafuegos SV Umbral de Convergencia CV Se entiende como tal aquel valor que se debe cumplir, como mínimo, para que la transformación de una regla de una determinada cardinalidad por otra menor sea aceptable dentro de los márgenes de calidad de servicio y/o nivel de riesgo.

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 13 Objetivos ITIL V3 en el diseño del Servicio focaliza sus prácticas en la Mejora continua del mismo. Establece 4 elementos claves para poder cuantificar y medir el grado de madurez del servicio Progreso Cumplimiento Efectividad Eficiencia

Contenido Introducción Cambio de Enfoque Arquitectura Necesaria Nuevas Tendencias

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 15 Flujo de comunicaciones de servicios de negocio Arquitectura necesaria Parte I. Flujo de Comunicaciones Área solicitante Responsable Proyecto Protocolos Sistemas Petición de Reglas

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 16 Arquitectura necesaria Parte II. Estimación del Nivel de Seguridad You cont control what you cant measure Tom DeMarco INVENTARIO DE ACTIVOS Política de Seguridad Guias de bastionado V [ A ] = I Auditoría Caja Negra Auditoría Caja Blanca Estimación de la seguridad

Contenido Introducción Cambio de Enfoque Arquitectura Necesaria Nuevas Tendencias

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 18 Nuevas tendencias Cortafuegos que manejan niveles de Riesgo

Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 19 PROCOM2009 Nuevas amenazas En el estado actual de la tecnología el modelo de interconexión basado en el mundo web, hace que los sistemas clásicos tengan nuevos problemas PERO … las aplicaciones han cambiado Puertos Aplicaciones Direcciones IP Usuarios Paquetes Contenido

Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 20 PROCOM2009 Nuevas necesidades SP3 Architecture User-ID

Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 21 PROCOM2009 Cambio de concepto Internet

PROCOM2009 Cambio de enfoque: la seguridad en un verdadero contexto multicapa Pág. 22 Web 2.0 Incidentes y tendencias 2009 Q1 La realidad actual de las comunicaciones se encuentra encapsulada dentro de protocolos como HTTP/HTTPS. Las consideraciones sobre ellos deben modificarse. Vulnerabilidades Objetivos Resultado

Muchas Gracias Tfn.: Móvil: