SlideShare una empresa de Scribd logo

Segurinfo 2010 - Defensa en profundidad

Descargar como PPTX, PDF
Gabriel Marcos
Gabriel Marcos
Viajes
1 de 28
VII Congreso Internacional de Seguridad de la Información “LA SEGURIDAD AGREGA VALOR” 10 y 11 de marzo de 2010 – Sheraton Hotel - Buenos Aires - Argentina Estrategias de defensa en profundidad para ISPs y Datacenters organizado por: 1
2 VII Congreso Internacional de Seguridad de la Información “LA SEGURIDAD AGREGA VALOR” 10 y 11 de marzo de 2010 – Sheraton Hotel – Buenos Aires - Argentina Presentada por: Gabriel Marcos Datacenter, Security & Outsourcing Product Manager Global Crossing LATAM LOGO de la EMPRESA
Aclaración: ©Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda El punto de vista del ISP / Datacenter Modelo general del ISP/Datacenter Complejidad, Riesgos, Desafíos Qué es “defensa en profundidad”? Ventajas / Implementación Mitos falsos y verdaderos Recomendaciones 4
Punto de vista del ISP/Datacenter Tantos los ISP como los Datacenters son casos particulares: En general, los modelos están orientados a una organización “stand-alone” Prestar servicios implica complejidad adicional Algunos fabricantes de tecnología tampoco consideran estos requerimientos Hay mucho know-how en el mercado pero está orientado a las empresas 5
Punto de vista del ISP/Datacenter Ejemplos (mediciones propias): 300.000 eventos críticos por día (IDS/IPS) 80 Tbytesde logs por año (¡sólo FWs!) SPAM: 100% CAGR (2006 – 2009) Base: 4.000.000 por mes Virus: 200% CAGR (2006 – 2009) Base: 2.500.000 por mes POPs: 600 (¡sólo los propios!) 6
Modelo general de ISP/Datacenter(solamente redes, sin seguridad) 7 Backbone Empleado Internet ISP Perímetro Externo Red Interna Desconocido Sucursales Usuarios Servidores internos Intranet Cliente A Cliente B ISP (Red Interna) Datacenter Datacenter (Red Interna) Servidores en Datacenter Publicación de servicios Disasterrecovery Sistemas críticos
Punto de vista del ISP/Datacenter Complejidad: Múltiples perímetros Simultaneidad de políticas y regulaciones Protección “todos contra todos” Gestión centralizada Distribución de la arquitectura Integración con terceros 8
Punto de vista del ISP/Datacenter Riesgos: Gran ancho de banda + interconexión: alcance de los ataques Economía de escala para el atacante Compliancepor cliente Sin estandarización en las topologías Falta de visibilidad y control 9
Punto de vista del ISP/Datacenter Desafíos: Plataforma de base no intrusiva Servicios escalables Flexibilidad en compliance Granularidad por cliente Concientización Múltiples tecnologías ServiceLevelAgreements 10
Qué es “defensa en profundidad”? Defensa en profundidad: Es un modelo conceptual para diseñar un sistema de seguridad. La infraestructura está formada por capas interconectadas. Cada capa o “layer” utiliza controles y medidas de seguridad específicas. 11
Qué es “defensa en profundidad”? 12 Detalle técnico Complejidad Datos Aplicaciones Hosts Redes Perímetro Seguridad física Políticas y procedimientos
Qué es “defensa en profundidad”? Ventajas: Múltiples barreras: disuasión Reducción del alcance del ataque Medidas y controles específicos Implementación a partir de políticas Análisis de riesgo por capa Certificación 13
Políticas y procedimientos Referencia normativa: ISO 27001 Referencia metodológica: ITIL Definición de objetivos medibles ROSI (Returnon Security Investments) Tablero de control Compromiso de la Dirección Análisis de riesgos 14
Políticas y procedimientos Ejemplos: Política Corporativa Políticas del Datacenter Políticas de Uso Aceptable Leyes y regulaciones nacionales Leyes aplicables a Clientes Corporativos Normativas aplicables al Gobierno 15
Mitos falsos Implementar ITIL requiere contratar más de 40 personas (FALSO) Los roles no representan personas, sino responsabilidades. La mejor forma de controlar, es filtrar (FALSO) Seguridad es Disponibilidad! Hay que guardar todos los logs (FALSO) El análisis es más importante que la conservación. 16
Mitos falsos La seguridad requiere muchísima inversión (FALSO) La inversión está en función del riesgo. ¿Quién nos va a querer atacar, si no somos un banco? (FALSO) La marca tiene un valor económico, y es lo más importante! Hasta ahora no sufrimos ningún ataque… (FALSO) Los ataques modernos están pensados para no ser detectados y perdurar en el tiempo. Ya dimos una capacitación a los técnicos (FALSO) La concientización incluye la capacitación, dentro de un proceso continuo, para toda la organización. 17
Seguridad física Definición de perímetros Controles de acceso biométricos Manejo de inventarios: Software Hardware Licencias Personas Información 18
Perímetro Filtrado por etapas: Mayor volumen -> menor precisión “del Router al UTM” Balance de tecnologías: Más servicios -> menos detalle Más especialización -> menor ROI 19
Redes SIEM (Security InformationEventMgmt): Almacenamiento Correlación Análisis Decisión Acción Seguridad para redes Wi-fi 20
Hosts Protección de accesos remotos: SSL VPN Client-to-site Endpointprotection: Remotos Red interna PDAs Terceros 21
Aplicaciones Seguridad desde el desarrollo! QualityAssurance Análisis técnicos: Vulnerability assessment: Por tecnología Por aplicación Penetration test Hardening 22
Datos Asignación de responsabilidades por la información: Confidencialidad Integridad Disponibilidad Registros (¡no logs!) Auditorias 23
Mitos verdaderos Para implementar seguridad es imprescindible el apoyo de la dirección (VERDADERO) La mejor forma de controlar, es conseguir compromiso del usuario (VERDADERO) La seguridad es una ventaja competitiva (VERDADERO) Se habla de seguridad, pero se trabaja sobre el riesgo (VERDADERO) 24
RecomendacionesISO 27001 25 A6 / A8 / A13 A12 Cláusulas: 4, 5, 6, 7, 8 (Information Security Management System) A10 A10 A11 A7 / A9 A5 / A14 / A16
Recomendaciones Pensar en seguridad desde el inicio de cualquier proyecto (CIO + CISO) Agregar componentes solamente si se los puede monitorear Primero medir el riesgo, para después invertir, y verificar la efectividad Aplicar las normas y metodologías disponibles 26
Gracias por asistir a esta sesión… 27 Preguntas y Respuestas…
Para mayor información: Gabriel Marcos gabriel.marcos@globalcrossing.com http://blogs.globalcrossing.com Para descargar esta presentación visite www.segurinfo.org 28 Los invitamos a sumarse al grupo “Segurinfo” en

Recomendados

Modelos De Datos (Segunda Parte)
Modelos De Datos (Segunda Parte)Modelos De Datos (Segunda Parte)
Modelos De Datos (Segunda Parte)esacre
 
Conceptos basicos
Conceptos basicosConceptos basicos
Conceptos basicosMaría Luisa Velasco
 
Presentación Arquitectura del Sistema SAP.pptx
Presentación Arquitectura del Sistema SAP.pptxPresentación Arquitectura del Sistema SAP.pptx
Presentación Arquitectura del Sistema SAP.pptxOscarRamiroRojasRodr
 
Reglas Negocio
Reglas NegocioReglas Negocio
Reglas Negocioconejopulgoso
 
Tm03 modelo de casos de uso
Tm03 modelo de casos de usoTm03 modelo de casos de uso
Tm03 modelo de casos de usoJulio Pari
 
259730295 unidad-1-contexto-de-la-programacion-cliente-servidor
259730295 unidad-1-contexto-de-la-programacion-cliente-servidor259730295 unidad-1-contexto-de-la-programacion-cliente-servidor
259730295 unidad-1-contexto-de-la-programacion-cliente-servidornoysielm098
 
03 requerimientos
03 requerimientos03 requerimientos
03 requerimientosOmar Beltran Celis Mendoza
 
Diagramas de clases
Diagramas de clasesDiagramas de clases
Diagramas de clasesJuan Pablo Bustos Thames
 

Recomendados

Modelos De Datos (Segunda Parte)
Modelos De Datos (Segunda Parte)Modelos De Datos (Segunda Parte)
Modelos De Datos (Segunda Parte)esacre
 
Conceptos basicos
Conceptos basicosConceptos basicos
Conceptos basicosMaría Luisa Velasco
 
Presentación Arquitectura del Sistema SAP.pptx
Presentación Arquitectura del Sistema SAP.pptxPresentación Arquitectura del Sistema SAP.pptx
Presentación Arquitectura del Sistema SAP.pptxOscarRamiroRojasRodr
 
Reglas Negocio
Reglas NegocioReglas Negocio
Reglas Negocioconejopulgoso
 
Tm03 modelo de casos de uso
Tm03 modelo de casos de usoTm03 modelo de casos de uso
Tm03 modelo de casos de usoJulio Pari
 
259730295 unidad-1-contexto-de-la-programacion-cliente-servidor
259730295 unidad-1-contexto-de-la-programacion-cliente-servidor259730295 unidad-1-contexto-de-la-programacion-cliente-servidor
259730295 unidad-1-contexto-de-la-programacion-cliente-servidornoysielm098
 
03 requerimientos
03 requerimientos03 requerimientos
03 requerimientosOmar Beltran Celis Mendoza
 
Diagramas de clases
Diagramas de clasesDiagramas de clases
Diagramas de clasesJuan Pablo Bustos Thames
 
Modelo Del Negocio con RUP y UML Parte 2
Modelo Del Negocio con RUP y UML Parte 2Modelo Del Negocio con RUP y UML Parte 2
Modelo Del Negocio con RUP y UML Parte 2David Motta Baldarrago
 
Administracion y manejo de memoria
Administracion y manejo de memoriaAdministracion y manejo de memoria
Administracion y manejo de memoriagiovatovar
 
Diagrama de actividades uml
Diagrama de actividades umlDiagrama de actividades uml
Diagrama de actividades umlcamiloan40
 
Base de Datos para la Farmacia Chimú
Base de Datos para la Farmacia ChimúBase de Datos para la Farmacia Chimú
Base de Datos para la Farmacia ChimúLuis Tafur Trujillo
 
Bloqueos En Sistemas Distribuidos
Bloqueos En Sistemas DistribuidosBloqueos En Sistemas Distribuidos
Bloqueos En Sistemas Distribuidosyramirez
 
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...JOSE AHIAS LOPEZ PORTILLO
 
Tienda virtual
Tienda virtual Tienda virtual
Tienda virtual Marvin Zumbado
 
Normalizacion
NormalizacionNormalizacion
NormalizacionGloria Oñate
 
Una base de datos relacional
Una base de datos relacionalUna base de datos relacional
Una base de datos relacionalAlex Javier
 
Expo Simscript
Expo SimscriptExpo Simscript
Expo SimscriptAdaluisa
 
Bases de datos orientadas a objetos
Bases de datos orientadas a objetosBases de datos orientadas a objetos
Bases de datos orientadas a objetosLuis Andres Angarita Machado
 
02 modelo delnegocio
02 modelo delnegocio02 modelo delnegocio
02 modelo delnegocioOmar Beltran Celis Mendoza
 
Reglamentación Ley 1978 de 2019
Reglamentación Ley 1978 de 2019Reglamentación Ley 1978 de 2019
Reglamentación Ley 1978 de 2019Ministerio TIC Colombia
 
Simuladores mas Importantes de la Historia.
Simuladores mas Importantes de la Historia.Simuladores mas Importantes de la Historia.
Simuladores mas Importantes de la Historia.Roberto Dominguez
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP Henry Raúl González Brito
 
Ejemplo
EjemploEjemplo
EjemploJerry Harry Pascual Mariño
 
Modelo entidad relación
Modelo entidad relaciónModelo entidad relación
Modelo entidad relaciónJorge Eduardo Aranda Terán
 
Guia normalización
Guia normalizaciónGuia normalización
Guia normalizaciónVerónica Carreño
 
Tutorial Teorico-Practico Sql server 2000 (233 paginas)
Tutorial Teorico-Practico Sql server 2000 (233 paginas)Tutorial Teorico-Practico Sql server 2000 (233 paginas)
Tutorial Teorico-Practico Sql server 2000 (233 paginas)Martin Murciego
 
Economia y diversidad económica
Economia y diversidad económicaEconomia y diversidad económica
Economia y diversidad económicaErik Orozco Valles
 
Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundidaJhon Jairo Hernandez
 
CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
 

Más contenido relacionado

La actualidad más candente

Modelo Del Negocio con RUP y UML Parte 2
Modelo Del Negocio con RUP y UML Parte 2Modelo Del Negocio con RUP y UML Parte 2
Modelo Del Negocio con RUP y UML Parte 2David Motta Baldarrago
 
Administracion y manejo de memoria
Administracion y manejo de memoriaAdministracion y manejo de memoria
Administracion y manejo de memoriagiovatovar
 
Diagrama de actividades uml
Diagrama de actividades umlDiagrama de actividades uml
Diagrama de actividades umlcamiloan40
 
Base de Datos para la Farmacia Chimú
Base de Datos para la Farmacia ChimúBase de Datos para la Farmacia Chimú
Base de Datos para la Farmacia ChimúLuis Tafur Trujillo
 
Bloqueos En Sistemas Distribuidos
Bloqueos En Sistemas DistribuidosBloqueos En Sistemas Distribuidos
Bloqueos En Sistemas Distribuidosyramirez
 
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...JOSE AHIAS LOPEZ PORTILLO
 
Una base de datos relacional
Una base de datos relacionalUna base de datos relacional
Una base de datos relacionalAlex Javier
 
Expo Simscript
Expo SimscriptExpo Simscript
Expo SimscriptAdaluisa
 
Simuladores mas Importantes de la Historia.
Simuladores mas Importantes de la Historia.Simuladores mas Importantes de la Historia.
Simuladores mas Importantes de la Historia.Roberto Dominguez
 
Tutorial Teorico-Practico Sql server 2000 (233 paginas)
Tutorial Teorico-Practico Sql server 2000 (233 paginas)Tutorial Teorico-Practico Sql server 2000 (233 paginas)
Tutorial Teorico-Practico Sql server 2000 (233 paginas)Martin Murciego
 
Economia y diversidad económica
Economia y diversidad económicaEconomia y diversidad económica
Economia y diversidad económicaErik Orozco Valles
 

La actualidad más candente (20)

Modelo Del Negocio con RUP y UML Parte 2
Modelo Del Negocio con RUP y UML Parte 2Modelo Del Negocio con RUP y UML Parte 2
Modelo Del Negocio con RUP y UML Parte 2
 
Administracion y manejo de memoria
Administracion y manejo de memoriaAdministracion y manejo de memoria
Administracion y manejo de memoria
 
Diagrama de actividades uml
Diagrama de actividades umlDiagrama de actividades uml
Diagrama de actividades uml
 
Base de Datos para la Farmacia Chimú
Base de Datos para la Farmacia ChimúBase de Datos para la Farmacia Chimú
Base de Datos para la Farmacia Chimú
 
Bloqueos En Sistemas Distribuidos
Bloqueos En Sistemas DistribuidosBloqueos En Sistemas Distribuidos
Bloqueos En Sistemas Distribuidos
 
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
Fundamentos microsoft sql server (T-Sql) (Parte I) – conceptos básicos sql e...
 
Tienda virtual
Tienda virtual Tienda virtual
Tienda virtual
 
Normalizacion
NormalizacionNormalizacion
Normalizacion
 
Una base de datos relacional
Una base de datos relacionalUna base de datos relacional
Una base de datos relacional
 
Expo Simscript
Expo SimscriptExpo Simscript
Expo Simscript
 
Bases de datos orientadas a objetos
Bases de datos orientadas a objetosBases de datos orientadas a objetos
Bases de datos orientadas a objetos
 
02 modelo delnegocio
02 modelo delnegocio02 modelo delnegocio
02 modelo delnegocio
 
Reglamentación Ley 1978 de 2019
Reglamentación Ley 1978 de 2019Reglamentación Ley 1978 de 2019
Reglamentación Ley 1978 de 2019
 
Simuladores mas Importantes de la Historia.
Simuladores mas Importantes de la Historia.Simuladores mas Importantes de la Historia.
Simuladores mas Importantes de la Historia.
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
 
Ejemplo
EjemploEjemplo
Ejemplo
 
Modelo entidad relación
Modelo entidad relaciónModelo entidad relación
Modelo entidad relación
 
Guia normalización
Guia normalizaciónGuia normalización
Guia normalización
 
Tutorial Teorico-Practico Sql server 2000 (233 paginas)
Tutorial Teorico-Practico Sql server 2000 (233 paginas)Tutorial Teorico-Practico Sql server 2000 (233 paginas)
Tutorial Teorico-Practico Sql server 2000 (233 paginas)
 
Economia y diversidad económica
Economia y diversidad económicaEconomia y diversidad económica
Economia y diversidad económica
 

Destacado

CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
 
Seguridad informática, María García Gil
Seguridad informática, María García GilSeguridad informática, María García Gil
Seguridad informática, María García Gilcarmelacaballero
 
Salud en Internet: Aspectos de Calidad
Salud en Internet: Aspectos de CalidadSalud en Internet: Aspectos de Calidad
Salud en Internet: Aspectos de CalidadVillarreal C.F.
 
Administracion global
Administracion globalAdministracion global
Administracion globalda7niel
 
Inteligencia Artificial.
Inteligencia Artificial.Inteligencia Artificial.
Inteligencia Artificial.dianumis
 
La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...
La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...
La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...Maria Teresa Pérez Jiménez
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticossm2099
 
Administracion De Redes
Administracion De RedesAdministracion De Redes
Administracion De RedesITSON
 
El contexto externo y entorno del empresa y la responsabilidad social
El contexto externo y entorno del empresa y la responsabilidad socialEl contexto externo y entorno del empresa y la responsabilidad social
El contexto externo y entorno del empresa y la responsabilidad socialoscar10lade
 

Destacado (11)

Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundida
 
CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones Web
 
Seguridad informática, María García Gil
Seguridad informática, María García GilSeguridad informática, María García Gil
Seguridad informática, María García Gil
 
Salud en Internet: Aspectos de Calidad
Salud en Internet: Aspectos de CalidadSalud en Internet: Aspectos de Calidad
Salud en Internet: Aspectos de Calidad
 
Delitos informaticos diapositivas
Delitos informaticos diapositivasDelitos informaticos diapositivas
Delitos informaticos diapositivas
 
Administracion global
Administracion globalAdministracion global
Administracion global
 
Inteligencia Artificial.
Inteligencia Artificial.Inteligencia Artificial.
Inteligencia Artificial.
 
La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...
La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...
La salud en internet, ¿todas las fuentes son fiables? Blogs de salud: cómo cr...
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticos
 
Administracion De Redes
Administracion De RedesAdministracion De Redes
Administracion De Redes
 
El contexto externo y entorno del empresa y la responsabilidad social
El contexto externo y entorno del empresa y la responsabilidad socialEl contexto externo y entorno del empresa y la responsabilidad social
El contexto externo y entorno del empresa y la responsabilidad social
 

Similar a Segurinfo 2010 - Defensa en profundidad

Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redMonica Acevedo
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
Cyberoam UTM - aTICser
Cyberoam UTM - aTICserCyberoam UTM - aTICser
Cyberoam UTM - aTICserATICSER STI
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Cisco Service Provider Mobility
 
Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCSA Argentina
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Nordstern Techonologies
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Christian C
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Tu Instituto Online
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochureschangan1
 

Similar a Segurinfo 2010 - Defensa en profundidad (20)

Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la red
 
Informe de solución XG Firewall v18
Informe de solución XG Firewall v18Informe de solución XG Firewall v18
Informe de solución XG Firewall v18
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
 
Palo alto networks
Palo alto networksPalo alto networks
Palo alto networks
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
Cyberoam UTM - aTICser
Cyberoam UTM - aTICserCyberoam UTM - aTICser
Cyberoam UTM - aTICser
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercado
 
Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares Ley de Protección de Datos Personales en Posesión de Particulares
Ley de Protección de Datos Personales en Posesión de Particulares
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retail
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacion
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la Información
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure
 

Más de Gabriel Marcos

Wi-Fi as core business platform for Business
Wi-Fi as core business platform for BusinessWi-Fi as core business platform for Business
Wi-Fi as core business platform for BusinessGabriel Marcos
 
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gabriel Marcos
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGabriel Marcos
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasGabriel Marcos
 
Estrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasEstrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasGabriel Marcos
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)Gabriel Marcos
 
Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadGabriel Marcos
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarGabriel Marcos
 
Soluciones en la nube, decisiones aterrizadas
Soluciones en la nube, decisiones aterrizadasSoluciones en la nube, decisiones aterrizadas
Soluciones en la nube, decisiones aterrizadasGabriel Marcos
 
Advanced Persistent Threats: sirve ISO 27001 para protegernos?
Advanced Persistent Threats: sirve ISO 27001 para protegernos?Advanced Persistent Threats: sirve ISO 27001 para protegernos?
Advanced Persistent Threats: sirve ISO 27001 para protegernos?Gabriel Marcos
 
Identity Management para Cloud Computing
Identity Management para Cloud ComputingIdentity Management para Cloud Computing
Identity Management para Cloud ComputingGabriel Marcos
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Riesgos en Entornos Corporativos (2009)
Riesgos en Entornos Corporativos (2009)Riesgos en Entornos Corporativos (2009)
Riesgos en Entornos Corporativos (2009)Gabriel Marcos
 
ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)Gabriel Marcos
 
Outsourcing de Seguridad (2009)
Outsourcing de Seguridad (2009)Outsourcing de Seguridad (2009)
Outsourcing de Seguridad (2009)Gabriel Marcos
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Gabriel Marcos
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 

Más de Gabriel Marcos (20)

Wi-Fi as core business platform for Business
Wi-Fi as core business platform for BusinessWi-Fi as core business platform for Business
Wi-Fi as core business platform for Business
 
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadas
 
Estrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasEstrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadas
 
Seguridad en IPv6
Seguridad en IPv6Seguridad en IPv6
Seguridad en IPv6
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
 
Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)
 
Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridad
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerar
 
Soluciones en la nube, decisiones aterrizadas
Soluciones en la nube, decisiones aterrizadasSoluciones en la nube, decisiones aterrizadas
Soluciones en la nube, decisiones aterrizadas
 
Advanced Persistent Threats: sirve ISO 27001 para protegernos?
Advanced Persistent Threats: sirve ISO 27001 para protegernos?Advanced Persistent Threats: sirve ISO 27001 para protegernos?
Advanced Persistent Threats: sirve ISO 27001 para protegernos?
 
Identity Management para Cloud Computing
Identity Management para Cloud ComputingIdentity Management para Cloud Computing
Identity Management para Cloud Computing
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
Riesgos en Entornos Corporativos (2009)
Riesgos en Entornos Corporativos (2009)Riesgos en Entornos Corporativos (2009)
Riesgos en Entornos Corporativos (2009)
 
ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)
 
Outsourcing de Seguridad (2009)
Outsourcing de Seguridad (2009)Outsourcing de Seguridad (2009)
Outsourcing de Seguridad (2009)
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 

Segurinfo 2010 - Defensa en profundidad

  • 1. VII Congreso Internacional de Seguridad de la Información “LA SEGURIDAD AGREGA VALOR” 10 y 11 de marzo de 2010 – Sheraton Hotel - Buenos Aires - Argentina Estrategias de defensa en profundidad para ISPs y Datacenters organizado por: 1
  • 2. 2 VII Congreso Internacional de Seguridad de la Información “LA SEGURIDAD AGREGA VALOR” 10 y 11 de marzo de 2010 – Sheraton Hotel – Buenos Aires - Argentina Presentada por: Gabriel Marcos Datacenter, Security & Outsourcing Product Manager Global Crossing LATAM LOGO de la EMPRESA
  • 3. Aclaración: ©Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
  • 4. Agenda El punto de vista del ISP / Datacenter Modelo general del ISP/Datacenter Complejidad, Riesgos, Desafíos Qué es “defensa en profundidad”? Ventajas / Implementación Mitos falsos y verdaderos Recomendaciones 4
  • 5. Punto de vista del ISP/Datacenter Tantos los ISP como los Datacenters son casos particulares: En general, los modelos están orientados a una organización “stand-alone” Prestar servicios implica complejidad adicional Algunos fabricantes de tecnología tampoco consideran estos requerimientos Hay mucho know-how en el mercado pero está orientado a las empresas 5
  • 6. Punto de vista del ISP/Datacenter Ejemplos (mediciones propias): 300.000 eventos críticos por día (IDS/IPS) 80 Tbytesde logs por año (¡sólo FWs!) SPAM: 100% CAGR (2006 – 2009) Base: 4.000.000 por mes Virus: 200% CAGR (2006 – 2009) Base: 2.500.000 por mes POPs: 600 (¡sólo los propios!) 6
  • 7. Modelo general de ISP/Datacenter(solamente redes, sin seguridad) 7 Backbone Empleado Internet ISP Perímetro Externo Red Interna Desconocido Sucursales Usuarios Servidores internos Intranet Cliente A Cliente B ISP (Red Interna) Datacenter Datacenter (Red Interna) Servidores en Datacenter Publicación de servicios Disasterrecovery Sistemas críticos
  • 8. Punto de vista del ISP/Datacenter Complejidad: Múltiples perímetros Simultaneidad de políticas y regulaciones Protección “todos contra todos” Gestión centralizada Distribución de la arquitectura Integración con terceros 8
  • 9. Punto de vista del ISP/Datacenter Riesgos: Gran ancho de banda + interconexión: alcance de los ataques Economía de escala para el atacante Compliancepor cliente Sin estandarización en las topologías Falta de visibilidad y control 9
  • 10. Punto de vista del ISP/Datacenter Desafíos: Plataforma de base no intrusiva Servicios escalables Flexibilidad en compliance Granularidad por cliente Concientización Múltiples tecnologías ServiceLevelAgreements 10
  • 11. Qué es “defensa en profundidad”? Defensa en profundidad: Es un modelo conceptual para diseñar un sistema de seguridad. La infraestructura está formada por capas interconectadas. Cada capa o “layer” utiliza controles y medidas de seguridad específicas. 11
  • 12. Qué es “defensa en profundidad”? 12 Detalle técnico Complejidad Datos Aplicaciones Hosts Redes Perímetro Seguridad física Políticas y procedimientos
  • 13. Qué es “defensa en profundidad”? Ventajas: Múltiples barreras: disuasión Reducción del alcance del ataque Medidas y controles específicos Implementación a partir de políticas Análisis de riesgo por capa Certificación 13
  • 14. Políticas y procedimientos Referencia normativa: ISO 27001 Referencia metodológica: ITIL Definición de objetivos medibles ROSI (Returnon Security Investments) Tablero de control Compromiso de la Dirección Análisis de riesgos 14
  • 15. Políticas y procedimientos Ejemplos: Política Corporativa Políticas del Datacenter Políticas de Uso Aceptable Leyes y regulaciones nacionales Leyes aplicables a Clientes Corporativos Normativas aplicables al Gobierno 15
  • 16. Mitos falsos Implementar ITIL requiere contratar más de 40 personas (FALSO) Los roles no representan personas, sino responsabilidades. La mejor forma de controlar, es filtrar (FALSO) Seguridad es Disponibilidad! Hay que guardar todos los logs (FALSO) El análisis es más importante que la conservación. 16
  • 17. Mitos falsos La seguridad requiere muchísima inversión (FALSO) La inversión está en función del riesgo. ¿Quién nos va a querer atacar, si no somos un banco? (FALSO) La marca tiene un valor económico, y es lo más importante! Hasta ahora no sufrimos ningún ataque… (FALSO) Los ataques modernos están pensados para no ser detectados y perdurar en el tiempo. Ya dimos una capacitación a los técnicos (FALSO) La concientización incluye la capacitación, dentro de un proceso continuo, para toda la organización. 17
  • 18. Seguridad física Definición de perímetros Controles de acceso biométricos Manejo de inventarios: Software Hardware Licencias Personas Información 18
  • 19. Perímetro Filtrado por etapas: Mayor volumen -> menor precisión “del Router al UTM” Balance de tecnologías: Más servicios -> menos detalle Más especialización -> menor ROI 19
  • 20. Redes SIEM (Security InformationEventMgmt): Almacenamiento Correlación Análisis Decisión Acción Seguridad para redes Wi-fi 20
  • 21. Hosts Protección de accesos remotos: SSL VPN Client-to-site Endpointprotection: Remotos Red interna PDAs Terceros 21
  • 22. Aplicaciones Seguridad desde el desarrollo! QualityAssurance Análisis técnicos: Vulnerability assessment: Por tecnología Por aplicación Penetration test Hardening 22
  • 23. Datos Asignación de responsabilidades por la información: Confidencialidad Integridad Disponibilidad Registros (¡no logs!) Auditorias 23
  • 24. Mitos verdaderos Para implementar seguridad es imprescindible el apoyo de la dirección (VERDADERO) La mejor forma de controlar, es conseguir compromiso del usuario (VERDADERO) La seguridad es una ventaja competitiva (VERDADERO) Se habla de seguridad, pero se trabaja sobre el riesgo (VERDADERO) 24
  • 25. RecomendacionesISO 27001 25 A6 / A8 / A13 A12 Cláusulas: 4, 5, 6, 7, 8 (Information Security Management System) A10 A10 A11 A7 / A9 A5 / A14 / A16
  • 26. Recomendaciones Pensar en seguridad desde el inicio de cualquier proyecto (CIO + CISO) Agregar componentes solamente si se los puede monitorear Primero medir el riesgo, para después invertir, y verificar la efectividad Aplicar las normas y metodologías disponibles 26
  • 27. Gracias por asistir a esta sesión… 27 Preguntas y Respuestas…
  • 28. Para mayor información: Gabriel Marcos gabriel.marcos@globalcrossing.com http://blogs.globalcrossing.com Para descargar esta presentación visite www.segurinfo.org 28 Los invitamos a sumarse al grupo “Segurinfo” en