SlideShare una empresa de Scribd logo

Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrategia acorde a los nuevos tiempos?

Descargar como PPTX, PDF
Cristian Garcia G.
Cristian Garcia G.

Los incidentes acontecidos en el último tiempo, en empresas y organizaciones de distintos rubros y tamaños. Han dejado en evidencia la necesidad de replantear las estrategias de ciberseguridad, re-enfocando la atención y recursos nuevamente hacia los dispositivos de cómputo, pero en un entorno dinámico y bajo continua expansión. Tenable, empresa líder en detección y gestión de vulnerabilidades, ofrece la mayor cobertura y efectividad para identificar la brecha de ciber exposición de nuestros clientes, permitiéndoles administrar, consistentemente, los esfuerzos tendientes a reducir la probabilidad de ser afectados por ciber ataques.

Tecnología
1 de 24
Ciber exposición y gestión avanzada de vulnerabilidades. ¿Considera su estrategia acorde a los nuevos tiempos? Mauricio Fuentes M Channel SE #ProtectionPeru2019
Quien es Tenable Empresa lider en gestión de vulnerabilidades con 17 años en el mercado. Creadores de Nessus, el scanner de vulnerabilidades mas conocido en el mundo, utilizado por millones de profesionales de seguridad Proveedor de SecurityCenter, utilizado en 100 de los Fortune 500, compañías de tamaño medio y agencias gubernamentales 100% Top 10 US Tech Companies 53% Fortune 500 80% Top 10 US Financial Institutions 1500+ Empleados 1.6M Usuarios Globales 27,000+ Clientes Honrados con numerosos premios globales Clientes:
Algunos análisis de interés #ProtectionPeru2019
16500VULNERABILIDADES REVELADAS EN 2018 10%Aumento de vulnerabilidades detectadas desde 2017 a 2018 63%De las vulnerabilidades reveladas tienen CVSS ≥7 7%De las vulnerabilidades reveladas, tiene exploit disponible
23%De todas la CVE existentes se encontraron activas 12%De las vulnerabilidades tiene CVSS 9-10 107703 Vulnerabilidades (CVE) publicadas a Octubre de 2018
Atacante Defensor Revelación de vulnerabilidad 1er movimiento 2do movimiento 3er movimiento Obtener Exploit Identificar Objetivos Ataque Evaluar vulnerabilidad Priorizar Remediación 7,3 días En promedio transcurren entre que el atacante obtiene capacidades para explotar una vulnerabilidad hasta que el defensor se entera que es vulnerable La ventaja del atacante ante una nueva vulnerabilidad #ProtectionPeru2019
¿De qué manera se priorizan las amenazas? #ProtectionPeru2019
¿Percepción de la gestión de vulnerabilidades?
¿Procesos Manuales? 9 Hola jefe, estoy terminando de realizar el análisis del escaneo de vulnerabilidades, del semestre pasado, para iniciar la remediación Haciendo los cálculos... Number of Hosts Lines in .CSV File Pages in Nessus Report Problem Manageable? 6 344 21 Si 60 3,440 210 Podría 600 34,440 2,100 No 6000 344,440 21,000 No Posible para pequeñas redes, pero llega a ser inmanejable para redes mas de 100 host. #ProtectionPeru2019
• Las empresas deben actualizar sus políticas de Vulnerability Assessment, incorporando mecanismos de detección continua de vulnerabilidades. • Las empresas deben mejorar sus niveles de madurez en en VA(frecuencia, cobertura, autenticación, especificación y rigurosidad por tipo de activo) para la detección de en menor tiempo y con mayor profundidad. • Es relevante incorporar inteligencia de amenazas, para priorizar la gran cantidad de vulnerabilidades de alto impacto a remediar. • Es clave de incorporar mecanismos de mitigación en demanda, para anticiparse a los atacantes. ¿Qué se puede concluir de los estudios?
Las cuatro preguntas a responder cuando hablamos de vulnerabilidades 11 ? ¿Dónde estamos expuestos? ¿Dónde deberíamos priorizar basados en el riesgo? ? ¿Cómo estamos reduciendo nuestra exposición en el tiempo? ? ¿Cómo nos comparamos? ? #ProtectionPeru2019
12 A así lo definen los principales frameworks de seguridad
16500VULNERABILIDADES REVELADAS EN 2018 45Nuevas vulnerabilidades reveladas por día 28De las vulnerabilidades reveladas en un día tiene CVSS ≥7 2De las vulnerabilidades reveladas en un día, tiene exploit disponible
tenable Priorización Predictiva #ProtectionPeru2019
• Proceso de re-calcular la criticidad de las vulnerabilidades, basado en sus CVSS y la probabilidad de que sean explotadas en el corto plazo. • VPR es el parámetro que indica la prioriadad de la remediación (0 al 10, siendo 10 la severidad mas alta) para una determinada vulnerabilidad individual. ¿Qué es y cómo se mide? #ProtectionPeru2019
La clave para la priorización  Ajustar el alcance 16 Puntaje Basado en Riesgo CVSS Critical High Medium Low Puntaje de Ciber Exposición (basado en riesgo) Critical High Medium Low
Enfocarse en lo que importa 17Inteligencia de Amenazas Identificar las vulnerabilidades que están siendo activamente explotadas. Clasificación de Vulnerabilidad La criticidad, la facilidad de explotación y los vectores de ataques asociados a esta. Investigación Análisis basados en Data Science de más de 100.000 vulnerabilidades para diferenciar los riesgos reales y teóricos de las vulnerabilidades. 95%Es la reducción de las vulnerabilidad a ser remediadas Predictiva Priorización #ProtectionPeru2019
18
Gestión de Vulnerabilidades – SLA VPR Crítico y Alto
tenable Desde la Identificación hacia a la completa Gestión de Vulnerabilidades #ProtectionPeru2019
Flexible y poderoso para una visibilidad completa IoT EmpresarialIoT Industrial ICS/SCADA Container Nube Apps Web Infraestructura de red Máquina Virtual MóvilLaptop Servidor Escritorio De confianza para más de 1.6 millones de usuarios en el mundo
Portafolio integral de gestión para cada organización 22 Provee visibilidad de cualquier activo en cualquier plataforma de cómputo desde el tradicional, a la nube, al IoT Gestión de vulnerabilidades con reportes y dashboards de cumplimiento regulatorios extensivos Gestión de Vulnerabilidades para activos IT / OT #ProtectionPeru2019
23 “Hasta 2021, la actividad empresarial más impactante para mejorar la seguridad, será mitigar las vulnerabilidades.” – Gartner #ProtectionPeru2019
24

Recomendados

SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and CertificationControlCase
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Roadmap to security operations excellence
Roadmap to security operations excellenceRoadmap to security operations excellence
Roadmap to security operations excellenceErik Taavila
 
GRC Fundamentals
GRC FundamentalsGRC Fundamentals
GRC Fundamentals3Sixty Insights
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness TrainingDr Madhu Aman Sharma
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Building a Security Architecture
Building a Security ArchitectureBuilding a Security Architecture
Building a Security ArchitectureCisco Canada
 

Recomendados

SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and CertificationControlCase
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Roadmap to security operations excellence
Roadmap to security operations excellenceRoadmap to security operations excellence
Roadmap to security operations excellenceErik Taavila
 
GRC Fundamentals
GRC FundamentalsGRC Fundamentals
GRC Fundamentals3Sixty Insights
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness TrainingDr Madhu Aman Sharma
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Building a Security Architecture
Building a Security ArchitectureBuilding a Security Architecture
Building a Security ArchitectureCisco Canada
 
Soc 2 vs iso 27001 certification withh links converted-converted
Soc 2 vs iso 27001 certification withh links converted-convertedSoc 2 vs iso 27001 certification withh links converted-converted
Soc 2 vs iso 27001 certification withh links converted-convertedVISTA InfoSec
 
Navigating Zero Trust Presentation Slides
Navigating Zero Trust Presentation SlidesNavigating Zero Trust Presentation Slides
Navigating Zero Trust Presentation SlidesIvanti
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and YouSchellman & Company
 
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleEnterpriseGRC Solutions, Inc.
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overviewJulia Urbina-Pineda
 
Introduction to ITIL 4 and IT service management
Introduction to ITIL 4 and IT service managementIntroduction to ITIL 4 and IT service management
Introduction to ITIL 4 and IT service managementChristian F. Nissen
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemMuhammad Faisal Naqvi, CISSP, CISA, AMBCI, ITIL, ISMS LA n Master
 
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Denim Group
 
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...Ivanti
 
Cis controls v8_guide (1)
Cis controls v8_guide (1)Cis controls v8_guide (1)
Cis controls v8_guide (1)MHumaamAl
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic ManagementMarcelo Martins
 
New Paradigms for the Next Era of Security
New Paradigms for the Next Era of SecurityNew Paradigms for the Next Era of Security
New Paradigms for the Next Era of SecuritySounil Yu
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
Strategy considerations for building a security operations center
Strategy considerations for building a security operations centerStrategy considerations for building a security operations center
Strategy considerations for building a security operations centerCMR WORLD TECH
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligencePrachi Mishra
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmPriyanka Aash
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas AvanzadasIBM Digital Sales Colombia
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 

Más contenido relacionado

La actualidad más candente

Soc 2 vs iso 27001 certification withh links converted-converted
Soc 2 vs iso 27001 certification withh links converted-convertedSoc 2 vs iso 27001 certification withh links converted-converted
Soc 2 vs iso 27001 certification withh links converted-convertedVISTA InfoSec
 
Navigating Zero Trust Presentation Slides
Navigating Zero Trust Presentation SlidesNavigating Zero Trust Presentation Slides
Navigating Zero Trust Presentation SlidesIvanti
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleEnterpriseGRC Solutions, Inc.
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overviewJulia Urbina-Pineda
 
Introduction to ITIL 4 and IT service management
Introduction to ITIL 4 and IT service managementIntroduction to ITIL 4 and IT service management
Introduction to ITIL 4 and IT service managementChristian F. Nissen
 
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Denim Group
 
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...Ivanti
 
Cis controls v8_guide (1)
Cis controls v8_guide (1)Cis controls v8_guide (1)
Cis controls v8_guide (1)MHumaamAl
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic ManagementMarcelo Martins
 
New Paradigms for the Next Era of Security
New Paradigms for the Next Era of SecurityNew Paradigms for the Next Era of Security
New Paradigms for the Next Era of SecuritySounil Yu
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
Strategy considerations for building a security operations center
Strategy considerations for building a security operations centerStrategy considerations for building a security operations center
Strategy considerations for building a security operations centerCMR WORLD TECH
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligencePrachi Mishra
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmPriyanka Aash
 

La actualidad más candente (20)

Soc 2 vs iso 27001 certification withh links converted-converted
Soc 2 vs iso 27001 certification withh links converted-convertedSoc 2 vs iso 27001 certification withh links converted-converted
Soc 2 vs iso 27001 certification withh links converted-converted
 
Navigating Zero Trust Presentation Slides
Navigating Zero Trust Presentation SlidesNavigating Zero Trust Presentation Slides
Navigating Zero Trust Presentation Slides
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
 
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overview
 
Introduction to ITIL 4 and IT service management
Introduction to ITIL 4 and IT service managementIntroduction to ITIL 4 and IT service management
Introduction to ITIL 4 and IT service management
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
 
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
 
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
Cybersecurity Insiders Webinar - Zero Trust: Best Practices for Securing the...
 
Cis controls v8_guide (1)
Cis controls v8_guide (1)Cis controls v8_guide (1)
Cis controls v8_guide (1)
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic Management
 
New Paradigms for the Next Era of Security
New Paradigms for the Next Era of SecurityNew Paradigms for the Next Era of Security
New Paradigms for the Next Era of Security
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
 
Strategy considerations for building a security operations center
Strategy considerations for building a security operations centerStrategy considerations for building a security operations center
Strategy considerations for building a security operations center
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity Chasm
 

Similar a Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrategia acorde a los nuevos tiempos?

Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCristian Garcia G.
 
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridadWhitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridadArsys
 
Ciberseguridad Una industria en pleno desarrollo
Ciberseguridad Una industria en pleno desarrolloCiberseguridad Una industria en pleno desarrollo
Ciberseguridad Una industria en pleno desarrolloHaydenDanielMicchiar
 
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion Nelson Astorga
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...Cristian Garcia G.
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoCristian Garcia G.
 
0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdfcalamilla
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Those beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedThose beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedMateo Martinez
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaYolanda Corral
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioSantiago Toribio Ayuga
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Panda Security
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Similar a Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrategia acorde a los nuevos tiempos? (20)

Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas Avanzadas
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadar
 
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridadIngenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de Gestión
 
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridadWhitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
 
Ciberseguridad Una industria en pleno desarrollo
Ciberseguridad Una industria en pleno desarrolloCiberseguridad Una industria en pleno desarrollo
Ciberseguridad Una industria en pleno desarrollo
 
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
 
0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicos
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti Ciberseguridad
 
Those beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploitedThose beauty medium-risk vulns to be exploited
Those beauty medium-risk vulns to be exploited
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informática
 
VicariusCustomer-Presentation.pdf
VicariusCustomer-Presentation.pdfVicariusCustomer-Presentation.pdf
VicariusCustomer-Presentation.pdf
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribio
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)
 
Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Más de Cristian Garcia G.

Making App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously EasyMaking App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously EasyCristian Garcia G.
 
Ciberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCiberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCristian Garcia G.
 
Reducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridadReducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridadCristian Garcia G.
 
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Cristian Garcia G.
 
Ciberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IACiberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IACristian Garcia G.
 
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Cristian Garcia G.
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterCristian Garcia G.
 
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Cristian Garcia G.
 
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cristian Garcia G.
 
Un enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbridoUn enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbridoCristian Garcia G.
 
La crisis de identidad que se avecina
La crisis de identidad que se avecinaLa crisis de identidad que se avecina
La crisis de identidad que se avecinaCristian Garcia G.
 
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoSimplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoCristian Garcia G.
 
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Cristian Garcia G.
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.
 
La evolución de IBM Qradar Suite
La evolución de IBM Qradar SuiteLa evolución de IBM Qradar Suite
La evolución de IBM Qradar SuiteCristian Garcia G.
 
Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD Cristian Garcia G.
 
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Cristian Garcia G.
 

Más de Cristian Garcia G. (20)

Making App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously EasyMaking App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously Easy
 
Ciberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCiberseguridad Alineada al Negocio
Ciberseguridad Alineada al Negocio
 
Reducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridadReducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridad
 
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
 
Ciberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IACiberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IA
 
Symantec Enterprise Cloud
Symantec Enterprise CloudSymantec Enterprise Cloud
Symantec Enterprise Cloud
 
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-Datacenter
 
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
 
Gestión de la Exposición
Gestión de la ExposiciónGestión de la Exposición
Gestión de la Exposición
 
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
 
Un enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbridoUn enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbrido
 
La crisis de identidad que se avecina
La crisis de identidad que se avecinaLa crisis de identidad que se avecina
La crisis de identidad que se avecina
 
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoSimplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
 
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
La evolución de IBM Qradar Suite
La evolución de IBM Qradar SuiteLa evolución de IBM Qradar Suite
La evolución de IBM Qradar Suite
 
Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD
 
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
 
ESTAFAS EN LA RED
ESTAFAS EN LA REDESTAFAS EN LA RED
ESTAFAS EN LA RED
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Último (10)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrategia acorde a los nuevos tiempos?

  • 1. Ciber exposición y gestión avanzada de vulnerabilidades. ¿Considera su estrategia acorde a los nuevos tiempos? Mauricio Fuentes M Channel SE #ProtectionPeru2019
  • 2. Quien es Tenable Empresa lider en gestión de vulnerabilidades con 17 años en el mercado. Creadores de Nessus, el scanner de vulnerabilidades mas conocido en el mundo, utilizado por millones de profesionales de seguridad Proveedor de SecurityCenter, utilizado en 100 de los Fortune 500, compañías de tamaño medio y agencias gubernamentales 100% Top 10 US Tech Companies 53% Fortune 500 80% Top 10 US Financial Institutions 1500+ Empleados 1.6M Usuarios Globales 27,000+ Clientes Honrados con numerosos premios globales Clientes:
  • 3. Algunos análisis de interés #ProtectionPeru2019
  • 4. 16500VULNERABILIDADES REVELADAS EN 2018 10%Aumento de vulnerabilidades detectadas desde 2017 a 2018 63%De las vulnerabilidades reveladas tienen CVSS ≥7 7%De las vulnerabilidades reveladas, tiene exploit disponible
  • 5. 23%De todas la CVE existentes se encontraron activas 12%De las vulnerabilidades tiene CVSS 9-10 107703 Vulnerabilidades (CVE) publicadas a Octubre de 2018
  • 6. Atacante Defensor Revelación de vulnerabilidad 1er movimiento 2do movimiento 3er movimiento Obtener Exploit Identificar Objetivos Ataque Evaluar vulnerabilidad Priorizar Remediación 7,3 días En promedio transcurren entre que el atacante obtiene capacidades para explotar una vulnerabilidad hasta que el defensor se entera que es vulnerable La ventaja del atacante ante una nueva vulnerabilidad #ProtectionPeru2019
  • 7. ¿De qué manera se priorizan las amenazas? #ProtectionPeru2019
  • 8. ¿Percepción de la gestión de vulnerabilidades?
  • 9. ¿Procesos Manuales? 9 Hola jefe, estoy terminando de realizar el análisis del escaneo de vulnerabilidades, del semestre pasado, para iniciar la remediación Haciendo los cálculos... Number of Hosts Lines in .CSV File Pages in Nessus Report Problem Manageable? 6 344 21 Si 60 3,440 210 Podría 600 34,440 2,100 No 6000 344,440 21,000 No Posible para pequeñas redes, pero llega a ser inmanejable para redes mas de 100 host. #ProtectionPeru2019
  • 10. • Las empresas deben actualizar sus políticas de Vulnerability Assessment, incorporando mecanismos de detección continua de vulnerabilidades. • Las empresas deben mejorar sus niveles de madurez en en VA(frecuencia, cobertura, autenticación, especificación y rigurosidad por tipo de activo) para la detección de en menor tiempo y con mayor profundidad. • Es relevante incorporar inteligencia de amenazas, para priorizar la gran cantidad de vulnerabilidades de alto impacto a remediar. • Es clave de incorporar mecanismos de mitigación en demanda, para anticiparse a los atacantes. ¿Qué se puede concluir de los estudios?
  • 11. Las cuatro preguntas a responder cuando hablamos de vulnerabilidades 11 ? ¿Dónde estamos expuestos? ¿Dónde deberíamos priorizar basados en el riesgo? ? ¿Cómo estamos reduciendo nuestra exposición en el tiempo? ? ¿Cómo nos comparamos? ? #ProtectionPeru2019
  • 12. 12 A así lo definen los principales frameworks de seguridad
  • 13. 16500VULNERABILIDADES REVELADAS EN 2018 45Nuevas vulnerabilidades reveladas por día 28De las vulnerabilidades reveladas en un día tiene CVSS ≥7 2De las vulnerabilidades reveladas en un día, tiene exploit disponible
  • 15. • Proceso de re-calcular la criticidad de las vulnerabilidades, basado en sus CVSS y la probabilidad de que sean explotadas en el corto plazo. • VPR es el parámetro que indica la prioriadad de la remediación (0 al 10, siendo 10 la severidad mas alta) para una determinada vulnerabilidad individual. ¿Qué es y cómo se mide? #ProtectionPeru2019
  • 16. La clave para la priorización  Ajustar el alcance 16 Puntaje Basado en Riesgo CVSS Critical High Medium Low Puntaje de Ciber Exposición (basado en riesgo) Critical High Medium Low
  • 17. Enfocarse en lo que importa 17Inteligencia de Amenazas Identificar las vulnerabilidades que están siendo activamente explotadas. Clasificación de Vulnerabilidad La criticidad, la facilidad de explotación y los vectores de ataques asociados a esta. Investigación Análisis basados en Data Science de más de 100.000 vulnerabilidades para diferenciar los riesgos reales y teóricos de las vulnerabilidades. 95%Es la reducción de las vulnerabilidad a ser remediadas Predictiva Priorización #ProtectionPeru2019
  • 18. 18
  • 19. Gestión de Vulnerabilidades – SLA VPR Crítico y Alto
  • 20. tenable Desde la Identificación hacia a la completa Gestión de Vulnerabilidades #ProtectionPeru2019
  • 21. Flexible y poderoso para una visibilidad completa IoT EmpresarialIoT Industrial ICS/SCADA Container Nube Apps Web Infraestructura de red Máquina Virtual MóvilLaptop Servidor Escritorio De confianza para más de 1.6 millones de usuarios en el mundo
  • 22. Portafolio integral de gestión para cada organización 22 Provee visibilidad de cualquier activo en cualquier plataforma de cómputo desde el tradicional, a la nube, al IoT Gestión de vulnerabilidades con reportes y dashboards de cumplimiento regulatorios extensivos Gestión de Vulnerabilidades para activos IT / OT #ProtectionPeru2019
  • 23. 23 “Hasta 2021, la actividad empresarial más impactante para mejorar la seguridad, será mitigar las vulnerabilidades.” – Gartner #ProtectionPeru2019
  • 24. 24

Notas del editor

  1. Answering those questions involves prioritizing your efforts. CVSS scores alone are not adequate. A risk driven approach is required that prioritizes critical assets and vulnerabilities that are known to be targeted by attackers.
  2. Predictive Prioritization re-prioritizes vulnerabilities based on the probability that it will be leveraged in an attack. Predictive Prioritization combines over 150 data sources, including Tenable vulnerability data and third-party vulnerability and threat data, leveraging a proprietary machine learning algorithm to identify the vulnerabilities with the highest likelihood of exploitability in the near future. With Predictive Prioritization, organizations can dramatically improve their remediation efficiency and effectiveness by focusing on the 3% of vulnerabilities that have been or will likely be exploited. A 97% reduction in the number of vulnerabilities needed to be remediated.
  3. These are the four key questions that need to be answered. Predictive Prioritization provides the answer to the second one.
  4. I mentioned that only Tenable.io provides support for the full range of assets – from servers and network infrastructure to cloud, containers, web apps, and IoT. The way it does this is through our unique combination of Nessus vulnerability scanners and data sensors. Only Tenable offers: Nessus active scanners – the #1 vulnerability assessment technology in the world – most comprehensive, accurate, and high performing scanner Agents – for devices that are not always on your networks Passive network monitoring – for continuous visibility into all assets, and assessment of safety-critical assets that can’t be scanned Web application scanner – automated application security testing Container image registry – so you can bring security into the software development lifecycle (SDLC) and support the developer’s workflow With this breadth of asset coverage, you can finally see any asset on any platform – from IT to Cloud to IoT. Without them, you’re flying blind. And only Tenable offers this flexibility and power.
  5. In addition to Tenable.io, we offer Nessus which provides single-point-in-time vulnerability scanning, and SecurityCenter which provides vulnerability management for traditional IT assets.