Soluciones de seguridad Febrero 2014 Juan Ramón Fontán Sales Director Security Accenture España.

Slides:

Advertisements

Presentaciones similares

ÍNDICE Mission Statement Breve historia Posicionamiento

Advertisements

Juan Antonio Pérez-Campanero Atanasio

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

UNIVERSIDAD "ALONSO DE OJEDA"

SEGURIDAD EN REDES DE DATOS

Control Interno Informático. Concepto

Auditoria de Sistemas de Gestión

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.

INSTITUTO TECNOLÓGICO de Chihuahua II ESPECIALIDADES Reunión de Trabajo Viernes 20 de Abril de 2012.

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

ESCUELA POLITÉCNICA DEL EJÉRCITO

La Convergencia entre la Seguridad Lógica y la Seguridad Física

Auditoria Informática Unidad II

¿Cómo conectamos nuestra red a Internet?

Estrategia TI Entendimiento estratégico

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

AUDITORIA DE SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LAS TRANSACCIONES FINANCIERAS Experiencia del Servicio de Reclamaciones del Banco de España Mª Luisa García Jefa del Servicio de Reclamaciones.

Aplicaciones educativas en los sistemas federados.

PRESENTADO POR: JENNIFFER E. CAÑI YAJA. SUBTEMA : SEGURIDAD DE LA RED.

SISTEMA DOBLE INTEGRADO

Estrategia de seguridad ante Amenazas Persistentes Avanzadas

Auditoría de Sistemas y Software

© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.

UNA HERRAMIENTA PARA AGREGAR VALOR

Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.

SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)

1 Reglamentación, Políticas e Impacto de la Ley LEY 8454 LEY DE CERTIFICADOS, FIRMAS DIGITALES Y DOCUMENTOS ELECTRÓNICOS Lic. Oscar Julio Solís Solís.

Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.

Operación del Servicio Equipo 4. La Operación del Servicio es la 4ª Fase del ciclo de vida del Servicio y la debemos asociar con: Ofrecer un Servicio.

Gestión de la Continuidad del negocio BS BCI

Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.

AUDITORIA DE LA OFIMATICA

Organización del Departamento de Auditoria Informática

Universidad Central de Venezuela Facultad de Ciencias Postgrado en Ciencias de la Computación Sistemas Distribuidos Albany Márquez.

©Copyright 2013 ISACA. Todos los derechos reservados. La gestión de riesgos consiste por lo general en los siguientes procesos: Definición del alcance.

FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):

Campus de Jerez - Universidad de Cádiz 22 de febrero de 2006 El impulso del e-gobierno a partir del desarrollo de la identificación digital.

COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.

1.17 Implementación del gobierno de la seguridad—Ejemplo

El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.

Políticas de defensa en profundidad: - Defensa perimetral

Seguridad de la Información Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una.

Proveedores de servicios externos

Metodologías Lsi. Katia Tapia A., Mae.

Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto

Procesos itil Equipo 8.

Seguridad informática

UNIVERSIDAD MANUELA BELTRAN Facultad de Ingeniería

Convenio 1272 de Telesalud. Aunar esfuerzos técnicos, administrativos y financieros para el fortalecimiento de la especialización de las Empresas.

SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.

Universidad Latina CONTROL INTERNO.

Retos de la industria aseguradora

1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.

XXV ASAMBLEA GENERAL OLACEFS SANTIAGO DE QUERÉTARO, MÉXICO Noviembre 23 al 27 de 2015 Adaptado de: Ramírez-Alujas y Dassen, 2012.

Ingeniería de Sistemas y Computación Andrea Herrera, MsC Septiembre de 2009

El análisis de las políticas publicas y las practicas de los países de alto desempeño revela que hay algunos postulados básicos que pueden orientar a los.

LA CONVERGENCIA ENTRE SEGURIDAD FISICA Y SEGURIDAD INFORMATICA Alfonso Bilbao Director de Cuevavaliente Ingenieros Presidente Comisión Delegada Técnica.

Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.

Copyright ©2016 WatchGuard Technologies, Inc. All Rights Reserved WatchGuard Technologies Enrique Sánchez – Security Sales Specialist 1.

Copyright © 2010 SAS Institute Inc. All rights reserved. ¿Cómo optimizar la efectividad de las acciones de marketing mediante una plataforma integrada.

Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación

Avda. de la Industria, 37, 28760, Tres Cantos, Madrid, España - T: , F: , Avenida 15, Nº 125.

Zaragoza, 2 de junio de 2014 PLAN DE GESTIÓN LISTAS DE ESPERA 2014.

GARANTIAS EXPLICITAS EN SALUD Dra.Elo í sa Pizarro Carre ñ o. Subdepartamento Gesti ó n y Redes Asistenciales.

Transcripción de la presentación:

Soluciones de seguridad Febrero 2014 Juan Ramón Fontán Sales Director Security Accenture España

Datos de estudio colaborativo 2011: Accenture & Ponemon Institute ¿Ha sufrido tu departamento alguna fuga de datos que haya implicado la pérdida o robo de datos de paciente? Introducción: estadísticas de fugas de datos Copyright © 2013 Accenture All rights reserved.2 Si tu organización ha sufrido una fuga de datos, ¿ha supuesto robo de identidad?

El aumento de las necesidades de intercambio de información clínica desde dentro y fuera de la organización supone un incremento en el riesgo de filtraciones de datos. Como ejemplo, se proporcionan datos del mercado estadounidense. Impacto económico Total de la industria: 6 billones de dólares por año Media por organización de salud: 2 millones de dólares por año Falta de capacidades o prioridad en la securización de los datos de paciente 58% de las organizaciones tenía pocos o ningún control funcionando. 70% dicen que no es una prioridad Pobre política de auditoría o revisión de accesos internos y fraude 40% de las organizaciones reportan incidentes de uso inadecuado interno de datos de salud de pacientes 35% de profesionales había accedido a los datos a los que tenía acceso un colega Introducción: problemas comunes en sanidad Copyright © 2013 Accenture All rights reserved.3

Las filtraciones de datos están aumentando, por lo que hay que aumentar la monitorización proactiva Introducción: 3 puntos clave en la estrategia de seguridad Es necesario gestionar de manera eficiente el control de accesos La incorporación de las tecnologías móviles supone una oportunidad pero incrementa el riesgo de accesos no autorizados

5 Monitorización proactiva: un enfoque de implementación La solución debe centrarse en un grupo pequeño de casos de uso de alto impacto para detectar incidentes clave de seguridad y evolucionar con el tiempo. Copyright © 2013 Accenture All rights reserved. Monitorización de aplicación Monitorizar eventos de seguridad de los sistemas especializados de gestión clínica, incluyendo ataques de cross site scripting y otros. Scripts maliciosos y virus Ataques Cross Site Scripting Monitorización de actividad de usuarios Monitorizar actividades de usuario para identificar comportamientos no autorizados, patrones de fraude o accesos extraños a cuentas. Robo de cuentas de colegas Accesos a historias clínicas de VIPs Monitorización de datos sensibles Monitorizar los repositorios de datos para detectar eventos de accesos no autorizados a información. Alto número de accesos o patrones extraños Accesos fuera de horas o en días de vacaciones Monitorización de aplicación de legislación Retención de logs, auditoría automatizada, monitorización y reporting de métricas de seguimiento, e informática forense para datos clínicos. El objetivo es cumplir las normas de la regulación. Automated Audit Response Patient Record Access Reporting Identidad de paciente / profesional Alertas de Red / usuarios Autorización Transacciones de aplicación Eventos de seguridad

6 Gestión de accesos: escalabilidad y eficiencia En un ecosistema de sistemas de información como el de los sistemas sanitarios, la gestión de accesos se convierte en un problema complejo. Copyright © 2013 Accenture All rights reserved. Privacidad de paciente Regulación Pacientes Profesionales sanitarios Personal administrativo Administración Información personal Información clínica Prescripciones Resultados de pruebas Gasto sanitarioEntidades privadas Control de accesos Acceso permitido Acceso denegado Acceso limitado Ilustrativo Un sistema de gestión de accesos centralizado que externalice la lógica de autorización permite: Centralizar la administración de autorizaciones y separarla de las lógicas de aplicación Resolver las queries de control de acceso basadas en atributos de contexto y reglas definidas en políticas comunes. Adaptarse a entornos distribuidos y con diferentes dominios de seguridad. Usar modelos de autorización estándar para todas las aplicaciones. Simplificar la monitorización, la auditoría y el informado de accesos.

Tecnología móvil: estrategia de gestión integral Framework de Seguridad Móvil Gestión de políticas y estrategia Certificación y acreditación Concienciación y formación Seguridad de dispositivo Implementación de políticas MDM Antivirus y Malware Encriptación local Host IPS y Firewall Control de aplicaciones Prevención de pérdida de datos Medios extraíbles Seguridad de apps Secure SDLC Revisión de código Análisis de malware Control de acceso Aseguramiento de la calidad Evaluación y test Seguridad en Internet / Partner Social Media Cloud Supply Chain Reporting de certificaciones Auditoría Seguridad de la red empresarial Operaciones Infraestructura wireless Enterprise AAA Seguridad de mensajes Compartición de archivos Monitorización de eventos y logging Respuesta a incidentes Seguridad de App Backend BBDD Servidor app Cloud Global Load Balancing Logging and Auditing Identidad y acceso Autenticación BCDR Respuesta a incidentes

Tecnología móvil: el problema de la autenticación en el lado ciudadano Los sistemas diseñados para uso por parte de los ciudadanos y pacientes desde sus propios dispositivos deben implementar medidas de seguridad para garantizar la identidad de los usuarios, pero también deben ser muy sencillos de usar, o supondrán una barrera de entrada excesiva. Técnicamente seguro y acorde con la legislación Medio de identificación segura Usabilidad alta Uso por parte de los ciudadanos Sencillo de utilizar por la mayoría de la población, teniendo en cuenta que en muchos casos los usuarios potenciales son personas ancianas Algunas claves: Registro previo de usuarios. Primera identificación presencial. Certificado digital actual es demasiado complejo. Existen tecnologías biométricas esperanzadoras.