Este webinar tiene como objetivo principal dar a conocer como puedes aprovechar los mecanismos en seguridad base en cuanto a los requerimientos en PCI-DSS, así mismo aprenderás a asegurar recursos sensibles apegados a Normas como PCI-DSS, de esta forma conocerás todo lo que puede ganar tu organización, solo por cumplir normas como PCI. Contestaremos las preguntas más recurrentes al hablar de BYOD y Cloud Computing.
El temario que se engloba es el siguiente:
Conocer el escenario en cuanto Normatividad o Compliance.
Como la Normatividad contribuye en las organizaciones.
Identificar los retos y cambios en el entorno BYOD y Cloud Computing.
Requerimientos PCi-DSS y como llevarlo a cabo con los controles de seguridad.
Webinar impartido por Víctor Pacheco y Miguel Chávez, el 24 de Enero del 2013 a las 12 hrs.
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?
1. N UEVOS RETOS EN PCI ¿C UÁL
ES SU APLICACIÓN EN BYOD Y
C LOUD C OMPUTING ?
Webinars 2013
2. I NFORMACION G ENERAL
Miguel Ángel Chávez Cervantes
Ingeniero en Electrónica y Comunicaciones
• 10 años de experiencia en el área de Networking y Diplomado en Seguridad en
tecnologías de la Información
• Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks
PaloAlto Networks
Trend Micro
Barracuda
Infoblox
• Consultor en el área de Seguridad en redes
• Premio al mejor Ingeniero Juniper Networks 2010 en la región Latinoamérica
• Experiencia en Pent testing y análisis de riesgos.
Víctor Antonio Pacheco Cué
Ingeniero en Sistemas Computacionales
7 años de experiencia en Tecnologías Orientadas a entornos Windows, 3
años de experiencia en el campo de seguridad informática.
Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks
PaloAlto Networks
Trend Micro
VMWare
Consultor IT en proyectos de Seguridad en Software, entornos físicos y
virtuales, desarrollando proyectos con centros de datos integrales
Impulsando proyectos de virtualización tanto de los centros de datos como
de escritorios.
3. N UEVOS RETOS ENPCI ¿C UÁL ES SU
APLICACIÓN EN BYOD Y C LOUD
C OMPUTING ?
OBJETIVO
Conocer de manera general los retos en cuanto Normatividad
en transacciones electrónicas con tarjetas de crédito PCI-DSS
con el nuevo entorno de BYOD y Cloud Computing, así como
integrar los 12 requerimientos de esta norma con los
mecanismos de seguridad con los cuales cuentan la mayoría
de las empresas en la actualidad.
4. A GENDA
• Conocer el escenario en cuanto Normatividad o
Compliance.
• Como este tipo de normatividad contribuye en
las organizaciones.
• Identificar los retos y cambios en el entorno
BYOD y Cloud Computing.
• Requerimientos PCI-DSS y como llevarlo a cabo
con los controles de seguridad.
6. E SCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD .
Compliance?
Regulación?
Framework?
Políticas?
7. E SCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD .
Sector Financiero: GLBA, Basilea II, PCI-DSS, NASD 3010/3110,
ITIL SEC 17 a-4
Asistencia Sanitaria: HIPAA
Control Interno
Sector Público: MAAGTIC, NIST 800-53, FISMA
Planes con Directrices
Industria: Nerc CIP 1300
Análisis de Riesgos
Regulaciones Multisectoriales: SOX, PIPEDA, CA SB-1386
8. ¿Para que llevar a un marco
normativo ?
8 CLASSIFICATION 1/25/2013
9. E SCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD .
¿Porqué hacerlo? –Estrategia-
• Obligaciones Legales
• Driver de negocio sectorial
¿Cómo hacerlo en TI? - Operación -
• Identificar los controles
• Due care – Due Diligence
10. E SCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD .
11. E SCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD .
• Regulaciones
• Frameworks
Definir • Estándares
• Políticas
Controlar Corporativas
• Controles TI
• Medir
• Remediar
Mantener • Informar
• Almacenar
12. R ESUMIENDO …
Normativas
PCI
Estrategia
en
seguridad
IT
Valor al negocio
13. Como este tipo de
normatividad
contribuye en las
organizaciones.
14. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
El ejemplo de la tienda de conveniencia
• Oportunidad de Negocio
• Riesgo para los consumidores
• Desafíos para implementar
herramientas
• Mecanismos de control limitados
• Como se va a invertir para cumplir
con la regulación
15. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
16. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
Alinear su tolerancia a los riesgos con los objetivos estratégicos del negocio
• Medir el riesgo
• Crear mayor flexibilidad
• Identificar y correlacionar
• Desarrollar la capacidad de gestionar riesgos y regulaciones
• Responder a las oportunidades de negocio
• Realizar mejores inversiones de capital
17. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
El estándar PCI fue diseñado para englobar las cuatro áreas críticas del marco
de trabajo de COSO, a saber:
• La identificación de eventos
• La evaluación de riesgos
• La respuesta a los riesgos
• Las actividades de control
18. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
Realizar una Realizar los escaneos
Ejecutar una Valoración de de vulnerabilidad
auditoria Inicial Brechas requeridos y
exámenes de
penetración
Realizar auditorías Proveer un soporte
fuera de sitio de remediación
Crear un plan de
remediación
Proveer un reporte
Realizar auditorías preliminar de
cumplimiento Proveer un reporte
dentro del sitio
final de
cumplimiento
Proveer un monitoreo en marcha y asistencia a
los esfuerzos de cumplimiento
19. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
¿Qué voy a obtener por mi inversión?
¿Recibiré solamente el resultado de una exploración
o me voy a beneficiar de la experiencia en seguridad
del proveedor?
¿En qué medida se ajusta a mis necesidades
particulares la evaluación que me ofrece este
proveedor?
20. C OMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES .
¿Está mi proveedor perfectamente
homologado para llevar a cabo todas las fases
de validación de la conformidad PCI?
¿Ha explicado con todo detalle este proveedor
el plazo de tiempo que se requiere para llevar a
cabo el proceso?
¿Estoy preparado para esto?
21. R ESUMIENDO …
Debemos ser muy consientes de todos los beneficios que nos
puede brindar cumplir con esta regulación, cuestionarnos a nos
otros porque queremos certificarnos, que beneficios vamos a
obtener y sobre todo como lo vamos a orientar para brindar un
beneficio de negocio a nuestra empresa.
Usted quiere un asesor de seguridad de confianza que pueda ser
su abogado defensor ante las empresas proveedoras de tarjetas
de pago y sus bancos adquirientes.
23. I DENTIFICAR LOS RETOS Y CAMBIOS EN
EL ENTORNO BYOD Y CLOUD
COMPUTING .
Enterprise Mobile
Prohiben apps
Permiten solo
correo
permiten otras
apps del trabajo
Permiten todas las
apps
Prohiben apps 18%
Permiten solo correo 37%
Permiten otras apps del trabajo 17.7%
Permiten todas las apps 27.3%
Gartner predice que en 2015, el 39% serán dispositivos móviles frente a 61% en
laptop o PC.
Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update
24. A LGUNOS A SPECTOS DE LA
C ONSUMERIZACIÓN .
Robo o perdida del dispositivo
Vulnerabilidades en dispositivos Móviles
Amenazas para banca en Móviles
Amenazas embebidas en aplicaciones Móviles
Amenazas web para dispositivos Móviles
El uso de datos: el tráfico de datos móviles se situó en 597 petabytes en 2011. En comparación,
el tráfico de Internet en todo el mundo en 2000 fue de 75 petabytes.
Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update
25. I DENTIFICAR LOS RETOS Y CAMBIOS EN
EL ENTORNO BYOD Y CLOUD
COMPUTING .
Seguridad a • Seguridad en
configuración
nivel de • Endurecer
dispositivo contraseñas
Seguridad a nivel • Data Center
de datos • Escritorios Virtuales
• Actualizaciones de
Seguridad en dispositivos
redes • Antivirus, FW,
antispam
26. R ETOS EN C LOUD
Physical Virtual Private Cloud
Public Cloud
“En algunas compañías desde 2008 inicia el proyecto de virtualización”
— IDC
“En muchas compañías crece 10 veces el número de servidores virtuales en 2012 ”
— Gartner
Costos, Continuidad de Negocio que otros beneficios ven los líderes de las empresas.
27. R ETOS EN C LOUD
Viejo modelo Seguridad en la Nuevo modelo Servidores y
infraestructura que protege aplicaciones virtuales que se mueven,
aplicaciones y servidores. . . cambian… Reconfiguración del IPS, del
firewall…
VM1 VM2 VM3
App1 App2 App3 App4
App1 App2 App3
OS OS OS OS OS1 OS2 OS3
VM4
HW HW HW HW
Hypervisor
App4
OS4
28. R ETOS EN C LOUD
Private Cloud Hybrid Cloud Public Cloud
IT Gestiona
IT
IT Gestiona y ambos en
Es un
controla el DC distintos niveles el
Servicio
DC
29. R ESUMIENDO …
Cloud
Controles
Hypervisor
Control de
Acceso
Aplicaciones
Movilidad
30. F UNDAMENTOS
¿Qué es PCI-DSS?
¿Quién debe cumplir con el Estándar de Seguridad de Datos PCI?
¿De que se encuentra compuesto principalmente esta regulación?
33. C ONCLUSIONES G LOBALES
“Pensar en la consumerización y cloud desde una perspectiva
centrada solo en los dispositivos y en máquinas virtuales no
prepara adecuadamente a las organizaciones para todos los
riesgos de seguridad potenciales que representa este modelo.
Hoy en día se termino el perímetro como tal, pues éste es
elástico desde en la nube donde están los dispositivos móviles”