Seguridad Informática como Oportunidad de Negocio Gabriel Gordon Gerente de Iniciativa de Seguridad Informática Microsoft Cono Sur Mayo 2005

Objetivo de la Seguridad Mantener la confidencialidad, integridad y disponibilidad de la información de los usuarios y la disponibilidad de los recursos Confidencialidad: permitir que la información sea vista por los que deben tener acceso. Integridad: asegurar que la información almacenada no sea modificada de una manera que no sea apropiada. Disponibilidad: asegurar que los datos almacenados pueden ser accedidos por las personas que deben accederlas.

Descripción de los Elementos Tecnología Estándares, encripción y protección Características de seguridad en los productos Productos y herramientas de seguridad Procesos Planificación de la seguridad Prevención Detección Reacción y recuperación Personas Personal dedicado Entrenamiento Cultura de Seguridad Informática Relación con clientes y proveedores

Principios de Seguridad Soluciones de Seguridad Empresa habilitada con Seguridad Blueprint (Security Enabled Enterprise) Objetivos de seguridad Objetivos del Negocio Principios de Seguridad Liderazgo y Seguridad Roles Análisis de Riesgo Análisis de Riesgo Soporte a la Decisión Controles Técnicos Controles no Técnicos Soluciones de Seguridad Ambientes Diseño/Construcción Operación/Soporte

Dónde también está el peligro? Uso de e-mail sin Seguridad Uso incorrecto de contraseñas Control de acceso deficiente FUGA DE INFORMACIÓN Uso inadecuado de equipos Descarte incorrecto de información Conversaciones de negocio en público

Las 4 etapas evolutivas de la Seguridad PROACTIVO REACTIVO CULTURAL PROGRAMATICO Etapa 1 Seguridad es un ‘mal necesario’ Etapa 2 Seguridad es como el ‘aire acondicionado’ Etapa 3 Seguridad es como un ‘seguro’ Etapa 4 Seguridad es ‘calidad’ Existe el riesgo. Internet es un factor de riesgo más. Pago por control de seguridad cuando la evalúo la amenaza Seguridad es una necesidad basica como el control del clima: Si hace calor, enciendo el AC, Si entra un virus, lo limpio Reactivo sin hacer mejoras AC no es un habilitador de negocios, la seguridad tampoco. Cuantificar ROI de Seguridad? Nadie cuantifica el ROI del AC La calidad no se compra. Es un proceso continuo. La calidad debe estar presente en cada aspecto del negocio. Cada empleado debe comprometerse con la calidad. Difícil de cuantificar, pero los resultados son medibles. Cuanto cuesta la calidad ? Es más económica cuando cada uno esta comprometido con ella. Pago, porque tengo que pagar. El gobierno impone regulaciones de seguridad. Gasto lo suficiente para cumplir seguridad seguridad seguridad. seguridad

Diagnóstico de Riesgos Alto Diagnóstico de Riesgos Riesgo Inaceptable El negocio define el impacto Risk management lleva el riesgo a un nivel aceptable Impacto al Negocio Riesgo Aceptable Probabilidad de explotación Baja Alta Information security define la probabilidad

Evaluación de Riesgos de Seguridad http://www. securityguidance Evaluación de Riesgos de Seguridad http://www.securityguidance.com (en Español)

Guía de Administración de Riesgos de Seguridad http://www.microsoft.com/technet/security/topics/policiesandprocedures/secrisk http://www.microsoft.com/spain/technet/recursos/articulos/srsgch00.mspx

Percepción ≠ Hechos !!

Preocupaciones de las Compañías COSTOS Personal de seguridad LIMITADO y sin expertise Presupuestos acotados Cumplimiento de REGULACIONES Internacionales: ej .ISO17799, Basilea II, Sarbanes-Oxley Gubernamentales De Industria: ej. Ent. Financieras Creciente COMPLEJIDAD de los problemas Ataques, Sofisticación de los hackers Complejidad de ambientes

Qué hemos hecho hasta ahora? Entrenamiento obligatorio para mas de 18.000 desarrolladores internos Modificación del proceso de desarrollo de productos Inversión en desarrollo de herramientas de seguridad Implementación de procesos de emergencia Nuevos estándares de seguridad en los productos Campaña de toma de conciencia en los medios Más de 10.000 profesionales y desarrolladores entrenados en el 2004 Más de 26.000 registrados al newsletter gratuito de seguridad

Mayores Requerimientos Impacto en el mercado Mayor Conciencia con relación a la necesidad de INVERSIONES EN SEGURIDAD Mayores Requerimientos de HERRAMIENTAS de seguridad de Aumento en la demanda de PROYECTOS de Seguridad

Seguridad: 3 hechos Las necesidades cambian constantemente Oportunidad: venta recurrente de servicios y productos. Las soluciones son específicas y parte de una implementación completa de HW y SW Oportunidad: proveer guías y consultoría para la integración de soluciones de seguridad en la infraestructura completa de TI. Cambia constantemente. Oportunidad: venta recurrente de servicios y productos. Las soluciones son especificas. Son soluciones puntuales, parte de una implementación completa de hardware y software y existen oportunidades para proveer guías y consultoría para la integración de soluciones de seguridad en la infraestructura completa de TI. Los clientes requieren mucha información, en tiempo. Oportunidad: Llevar información sobre soluciones y también sobre amenazas y riesgos Los clientes requieren mucha información, en tiempo Oportunidad: Llevar información sobre soluciones y también sobre amenazas y riesgos

Qué hacer? Posicionar ‘SEGURIDAD’ como parte de una solución global Ayudar a tomar conciencia a los ejecutivos sobre los riesgos y la importancia de la Seguridad Posicionar seguridad como parte de una solución global, incluyendo configuración de redes, hardware y software. Permite agregar hardware y software adicional como parte de la venta inicial o posterior. El enfoque al cliente debe ser de un ‘paquete de seguridad’ que incluye SERVICIOS, software y hardware Servicios de capacitación: sin un conocimiento adecuado de operaciones, configuración de software y aplicaciones, no es posible entender e implementar soluciones de seguridad. Haga un bundle con capacitación sobre seguridad. Asegúrese que las actualizaciones de hardware/software son parte de los SERVICIOS regulares. Cada upgrade requiere no sólo actualizaciones de seguridad de software, si no que también llevan a actualizaciones potenciales de sistema operativo (migración a Windows Server 2003 y a Windows XP SP2) Asegurarse que las actualizaciones de HW y SW son parte de los SERVICIOS regulares

Cómo administra las actualizaciones de seguridad? Oportunidad de Servicios Proceso de Implementación de actualizaciones de seguridad Herramientas gratuitas disponibles: MBSA SUS / WSUS Migración a WS2003, Win XP SP2 Implementación de Active Directory SMS 2003, ISA Server 2004 Diseños de Planes de Seguridad Administración de Riesgos Procesos para Pequeñas y Medianas Empresas Consultoría en regulaciones locales e internacionales

Las actualizaciones mejoran las Seguridad Boletines de Seguridad "Críticos" o "Importantes" 70 60 50 40 30 20 10 64 Número de Boletines 27 0 30 60 90 120 150 180 210 240 270 300 330 365 ... Días desde lanzamiento 628

Consultor de Confianza CONVIERTASE en el Consultor de Confianza Ir con una solución de seguridad permite: Conocer el negocio del cliente Indagar en nuevas soluciones Nuevo revenue en HW y SW Si tiene implementado, ofrecerle testear la solucion. Ver si existen otras oportunidades de mejora. (MBSA) Sea el punto de contacto de confianza Venta de servicios Post-Implementación Sáquele provecho al programa de partners de Microsoft (MSPP) Llegar al cliente con una solución de seguridad, permite entender su negocio, sus necesidades de seguridad y otras necesidades que pueden estar relacionadas, nuevas oportunidades de revenue en hardware y aplicaciones adicionales. PKI que requiere otros componentes para implementar RMS (AD, SQL Server) El cliente puede tener algo implementado de seguridad. Aún así, ofrecerle testear la seguridad y ver que otras oportunidades pueden existir. Esto debe repetirse en forma regular, lo que hace que el cliente sea fiel. MBSA Posicionese como el recurso que el cliente necesita: un punto de contacto para llamar en todos los casos Sáquele provecho a los recursos que el programa de partners de Microsoft (MSPP) provee para ayudar a posicionar y promocionar las ofertas de seguridad a sus clientes Venta de Servicios Post-implementación: si la implementación se hace correctamente, no sólo traerá una relación a largo plazo, sino también una fuente consistente de revenue en el futuro

MSPP Competencia de Seguridad Actividades realizadas Jul-Dic 2004 Jul-Sep 04 Entrenamiento de Seguridad Taller interactivo ISA Server 2004 Chief Security Advisor de MS LATAM Presentación de Iniciativa de Seguridad Management and Security Summit - Clientes Oct-Dic 04 Materiales de la Iniciativa de Seguridad en Portal Capacitación de Servicios (Quick Starts / Quick Plans) 2do Foro Latinoamericano de Seguridad Informática - Clientes Kit de Herramientas de Seguridad – Mediana empresa

MSPP Competencia de Seguridady Actividades Ene-Jun 2005 Ene-Mar 05 Kit de Herramientas de Seguridad: Seguimiento y Oportunidades Windows Server 2003 + ISA Server 2004 PROMO “Ambiente Seguro” Capacitación continua (mensual) Administración de Actualizaciones de Seguridad Windows Server 2003 SP1 Seguridad Perimetral Abr-Jun 05 Capacitación continua (mensual) Securización del Desktop Seguridad de Correo Electrónico Windows Server 2003 Capacitación de Servicios de Seguridad en Brasil

Resumen: Oportunidades de Negocios Windows Server 2003 (SP1) ISA Server 2004 SE y EE Firewall, VPN, Web Cache Windows XP SP2 Right Management Services System Center (MOM + SMS 2003) Productos Consultoría / Consultor de Confianza Implementación de Active Directory Soluciones de Seguridad Implementación ISA Server 2004 Migración del Desktop a Win XP SP2 Configuraciones y políticas Migración de Servidores Servicios

Sólo falta Ud! Súbase a MSPP Vamos adelante! Competencia Seguridad a explorar oportunidades

Vínculos de Seguridad (gratuitos) Portal de Socios de Negocios http://www.microsoft.com/chile/socios

Ahora abra la bolsa… Windows XP SP2

Gracias!