Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real
-
Upload
gabriel-marcos -
Category
Technology
-
view
379 -
download
2
description
Transcript of Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real
![Page 1: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/1.jpg)
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real
Gabriel Marcos – Product Manager
![Page 2: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/2.jpg)
Seguridad de la información
es la gestión del riesgo
La información es el activo más valioso de una organización
![Page 3: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/3.jpg)
QUE TAN SEGURA ESTA LA INFORMACION HOY
2012 Bit9 Cyber Security Research Report
![Page 4: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/4.jpg)
Ciber-delito
![Page 5: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/5.jpg)
Valor de la acción al
momento del ataque
http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
By Zacks Equity Research | Zacks Mon, Apr 2, 2012 5:07 PM EDT
MARZO, 2012: ataque compromete información de 1.5 MM de tarjetas
El caso Global Payments
![Page 6: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/6.jpg)
IBM X-Force Mid-year Trend and Risk Report – September 2011
“Hacker attack to cost Sony $172 million, almost as much as
initial Japanese earthquake damage”
http://latimesblogs.latimes.com/entertainmentnewsbuzz/2011/05/
hacker-attack-cost-sony-172-million.html
El caso Sony
![Page 7: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/7.jpg)
IBM X-Force Mid-year Trend and Risk Report – September 2011
Hacker attack to cost Sony $172 million, almost as much as
initial Japanese earthquake damage
http://latimesblogs.latimes.com/entertainmentnewsbuzz/2011/05/hacker-attack-cost-sony-172-million.htmlhttp://www.mykonossoftware.com/cost-of-an-attack.php
COSTO REAL DE UN ATAQUE
![Page 8: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/8.jpg)
OBJETIVOS DE ATAQUE
PCI Compliance For Dummies
Objetivos de ataque
Objetivos de ataque
Objetivos de ataque
Objetivos de ataque
![Page 9: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/9.jpg)
MERCADO NEGRO DE LA INFORMACION
Fortinet 2013 Cybercrime ReportCybercriminals Today MirrorLegitimate Business Processes
![Page 10: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/10.jpg)
Denial of Service (DoS)
![Page 11: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/11.jpg)
Distributed Denial of Service (DDoS)
![Page 12: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/12.jpg)
ADVANCED PERSISTENT THREATS (APT)
Investigación
Distribución
Control
Propagación
Infección
Objetivo
Búsqueda
1
2
3
4
5
6
7
![Page 13: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/13.jpg)
Compromiso (ataque exitoso)
Extracción de datos
Descubrimiento
Contención o restauración
Rapidez para
producir resultados
Difícil de detectar y
reparar
MINUTOS
SEMANAS
MESES
ADVANCED PERSISTENT THREATS (APT)
![Page 14: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/14.jpg)
REDES BOTNET
http://www.csoonline.com/article/348317/what-a-botnet-looks-like
Redes compuestas, cada una, de miles de computadores controlados desde un punto central disponibles para:
• ejecutar ataques de denegación de servicio (DDOS)
• distribución de amenazas
• robo de información• otros
![Page 15: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/15.jpg)
REDES BOTNET
![Page 16: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/16.jpg)
HERRAMIENTAS GRATUITAS…
![Page 17: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/17.jpg)
MOVILIDAD
![Page 18: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/18.jpg)
Es cada vez más difícil decirle “NO” al usuario
Mi única esperanza para ser productivo es ingresar con mi
laptop personal
Ahora entregue el celular no standard que esconde en su
ropa interior.
CONSUMERIZACION
![Page 19: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/19.jpg)
NUEVAS TENDENCIAS: CONSUMERIZACION
![Page 20: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/20.jpg)
NUEVAS TENDENCIAS
![Page 21: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/21.jpg)
La vieja escuela
INVERTIRESPERARARRIESGAR
![Page 22: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/22.jpg)
Para el CIO… Para el CEO…
Cuantos proyectos pospuso porque:- Falta presupuesto- Falta gente- Falta infraestructura
Qué tan actualizado está el software? Y los sistemas de protección?
Cómo provee soporte y gestión 7x24?
Cuánto se demora en reaccionar ante un ataque? Puede detectarlo o prevenirlo?
Cuántos eventos de seguridad analiza por día para detectar ataques?
Cuánto se demoran los reportes de compliance/seguridad?
Tiene un indicador/reporte del estado actual de la seguridad? En tiempo
real?
Sabe qué están haciendo las inversiones en seguridad aprobadas?
Cómo está su situación respecto a normas internacionales?
Qué información posee que puede ser blanco de ataques y cómo está
protegida?
PREGUNTAS INCOMODAS
![Page 23: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/23.jpg)
METODOLOGIA DE AUTO-EVALUACION
Somos capaces de controlar?...
• Cambios de configuración• Reportes holísticos• Trazabilidad (a nivel de usuario)• Tiempo de reacción ante incidentes• Riesgos (a nivel de aplicación)• Continuidad de negocio• Más allá del perímetro
![Page 24: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/24.jpg)
PRIVATE CLOUD COMPUTINGCONFIDENCIALIDADMADUREZSIN INVERSIONES IMPLEMENTACION INMEDIATA ALTA DISPONIBILIDADEXPERTOS 7x24SIN OBSOLESCENCIA
![Page 25: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/25.jpg)
PRIVATE CLOUD COMPUTING
CSC Cloud Usage Index – Interviews in October and November 2011
![Page 26: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/26.jpg)
PRIVATE CLOUD COMPUTING
![Page 27: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/27.jpg)
Perímetro, un concepto del pasado
Perimeter Security FundamentalsBy Lenny Zeltser, Karen Kent, Stephen Northcutt, Ronald W. Ritchey, Scott WintersApr 8, 2005
El concepto de seguridad perimetral requiere:
1) Que exista un perímetro claro y bien delimitado
2) Enfocar todos los esfuerzos en proteger el perímetro
3) El perímetro sería el único punto a través del cual pueden ingresar amenazas a la red.
![Page 28: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/28.jpg)
ESTRATEGIAS Y RECOMENDACIONES
Public Servers (WEB / MAIL)
INTERNET Private Network
Remote Branches
(VPN)
Remote Users
Local Users
Remote Branches
(WAN)
Third-parties (Clients / Vendors)
Critical Servers (CRM / ERP)
• Web Application Firewall ( WAF)
• Email Security
• Database Security
• Firewall• IPS• Antivirus• Antispam• Content filter• Site to site VPN• Client to site
VPN• SSL VPN
• Firewall• IPS
• Firewall• IPS• Site to site VPN
• Endpoint Security• Autenticación fuerte
Web Applications Penetration Test
Server Penetration Test
Vulnerability Assessments
ECOSISTEMA DE SEGURIDAD
![Page 29: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/29.jpg)
Información en tiempo real para gestionar riesgo
![Page 30: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/30.jpg)
Proactividad y prioridades del negocio
![Page 31: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/31.jpg)
Reportes pre-configurados
![Page 32: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/32.jpg)
Reportes de compliance: PCI
![Page 33: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/33.jpg)
• Sin falsos positivos• Análisis de riesgo en tiempo real• Almacenamiento y consulta de logs• Implementación inmediata• Sin licencias, sin inversiones• Prevención + detección• Reportes en tiempo real, ejecutivos y
técnicos• ISO 27001, PCI, FISMA, HIPAA
Columbus Full-Guard SIEM
![Page 34: Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real](https://reader033.fdocuments.mx/reader033/viewer/2022052903/5575c64ad8b42a312a8b4e26/html5/thumbnails/34.jpg)
Muchas gracias!
Gabriel MarcosProduct Manager - Columbus Business [email protected] @jarvel
Quién tiene la primera pregunta?