La necesidad de otorgar acceso a datos críticos de forma rápida y segura es un conflicto permanente entre los responsables de Seguridad y los usuarios. Sin embargo, proteger eficazmente la información y a la vez garantizar que esté disponible, es posible. En esta presentación dictada por HelpSystems en iSMS Forum 2018, explicamos qué tecnologías y estrategias pueden ayudarle a lograrlo.
Conozca más sobre la oferta de Seguridad de HelpSystems en www.helpsystems.com/seguridad
2. Eduard Seseras
Consultor Senior Preventa
Ponente
10 años de experiencia internacional en proyectos IT de
automatización, monitorización y soluciones de
seguridad en más de 100 empresas de todos los sectores
Previamente Consultor de Proyectos en Tango/04 y en
Abertis Telecom
Ingeniero de Telecomunicaciones por la Universitat
Politècnica de Catalunya y por Illinois Institute of
Technologyeduard.seseras@helpsystems.com
3. HelpSystems Corporate Overview.All rights reserved.
Agenda
1. Quiénes somos
2. Seguridad de los datos en la empresa extendida
3. Riesgos en el intercambio de archivos
4. GDPR como impulso
5. Consejos y recomendaciones
5. Amplio portfolio de soluciones, en mercados en crecimiento
Proteja
• Evaluación de riesgo
• Anti-virus
• Monitorización de
eventos de Seguridad
• Gestión de
Identificación y
Acceso
• Generación de
reportes de
cumplimiento
• Servicios de
Seguridad
Gestionados
• Servicios de
Seguridad
Profesionales
• Transferencia
gestionada de
archivos
• Encriptación
Automatice
• Automatización de
flujos de trabajo
• Automatización de
Procesos de Negocio
• Monitorización de
Redes
• Monitorización de
Eventos y Mensajes
• Monitorización de
Performance
• Gestión de Backups
de Datos
• Gestión y
Monitorización
Remotas
• Capacidad de
Planificación
• Gestión de
Documentos
Informe
• Acceso a Datos
Empresariales
• Acceso a Datos Móviles
• Análisis de Operaciones
• Dashboards Ejecutivos y
Generación de Reportes
• Almacenamiento de Datos
6. El dilema
Es un derecho
Disponibilidad
Es una
responsabilidad
Seguridad
Es el camino
Pragmatismo
7. En reposo vs. en movimiento
Información en reposo
Almacenamiento en red privada (NAS, SAN)
Almacenamiento en la nube
Sistema de ficheros
Base de datos
Backups
Información en movimiento
• Actores internos: empleados, colaboradores externos
• Actores externos: clientes, socios, proovedores, etc.
8. Información en movimiento
Servidor a Servidor
Soportadas por scripts FTP/HTTP
Herramientas no actualizadas o mal configuradas
Uso de algoritmos y cifradores vulnerables
Heterogeneidad de herramientas y soluciones
Gestión de claves, perfiles y usuarios compleja
Falta de registros de auditoría global y centralizada
Falta de alertas
9. Información en movimiento
Correo Electrónico
Conveniente e instantáneo
Información sensible:
en archivos adjuntos
en servidores de correo
No están encriptados!
Límite de tamaño del fichero adjunto
SilverSky Email Security Habits Survey Report 2013
• “53% de los empleados ha recibido datos
corporativos sensibles sin encriptación, vía
correo o archivo adjunto”
• “21% de los empleados admite haber enviado
información sensible en claro”
• “22% de las compañías sufre pérdida de datos
vía email año tras año”
10. Información en movimiento
Plataformas colaborativas
Habitualmente contratado
como SaaS
Descontrol en los permisos:
¿con quién lo comparte?,
¿quién se lo descarga?
Medidas de seguridad de los proveedores difícil de
controlar
El uso de soluciones “Shadow IT” es una realidad
Skyhigh Cloud Adoption & Risk Report 2017
• “41% de las empresas tienen 1,000+ archivos
sensibles compartidos con toda la empresa”
• “28,3% de los docs compartidos lo están con
entidades externas”
• “18,1% de los docs contienen información
sensible”
11. Requerimientos relativos a la Seguridad:
• Artículos 5.1(e) y 5.2:
• Debe procesar los datos personales de manera que se garantice la seguridad apropiada.
• Artículo 25:
• Las organizaciones deben ser capaces de proporcionar un nivel razonable de protección de los datos y
privacidad.
Cumplimiento de GDPR
Artículos acerca del intercambio de datos
12. Requerimientos relativos a los Derechos Individuales:
• Artículos 7 y 8:
• Los individuos deben dar su consentimiento para que se recolecten/usen sus datos personales. El
consentimiento debe ser por separado de otros acuerdos escritos.
• Artículos 15 y 20:
• Los ciudadanos de la Unión Europea pueden solicitar una copia de los datos para transferir datos de una
empresa a otra.
• Los ciudadanos de la Unión Europea tienen derecho a la rectificación/eliminación de sus datos en cualquier
momento, y de forma fácil
Cumplimiento de GDPR
Artículos acerca del intercambio de datos
13. Requerimientos relativos a la Auditoría y Control:
• Artículo 30:
• Mantenga un registro de las actividades de procesamiento, incluyendo el tipo de datos procesados
y los propósitos de uso.
• Artículo 32:
• Los controladores/procesadores deben implementar las medidas técnicas/organizacionales
necesarias para garantizar el nivel de seguridad apropiado al riesgo.
• Artículos 39.1(b) y 39.2:
• Un Oficial de Protección de Datos debe ser capaz de monitorizar el cumplimiento de GDPR.
Cumplimiento de GDPR
Artículos acerca del intercambio de datos
14. Deshabilitar el protocolo estándar FTP:
No privacidad — Transmisión de datos no encriptada (datos,
comandos, credenciales en texto claro)
No integridad — Los datos se pueden modificar en tránsito
Autenticación pobre — Sólo 1 factor de autenticación
Apueste por una de las siguientes alternativas:
FTPS: FTP sobre SSL/TLS
Uso de certificados X.509 para cifrado, 2FA y firma digital
SFTP: FTP sobre SSH
Uso de claves SSH para cifrado, 2FA
Los cifradores se usan para proteger los datos
TIP #1
• Deshabilite cifradores desfasados: Blowfish o DES
• Use cifradores robustos: AES o TDES
CONSEJO #1 Olvidarse del FTP
Algoritmos Hash (MAC) se usan para verificar su integridad
• Deshabilite algoritmos hash/MAC: MD5 o SHA-1
• Use algoritmos robustos de la familia SHA-2
15. Segregación de roles de Administrador
Autenticación de los usuarios con administradores contra un AD o LDAP
Requiera al menos doble-factor de autenticación
No utilice los perfiles por defecto “root” o “admin”
Implemente de segregación de roles para restringir el acceso
Control de acceso a los servicios
No cree cuentas de usuario a nivel de SO para los usuarios evitar posibles
ataques a nivel de servidor
Las credenciales de acceso de los usuarios deberían estar almacenadas fuera de
la aplicación/servicio FTP
Deshabilite accesos anónimos Un estudio de la University of Michigan encontró
más de 1 millión de servidores FTP
configurados con acceso anónimo.
CONSEJO #2 Gestión del acceso
16. La red DMZ es más vulnerable y los archivos podrían ser accedidos por hackers
Las credenciales están contenidas fuera de la seguridad de la red privada
La disponibilidad del propio servicio FTP puede estar comprometida
Hay que crear scripts para que “muevan” los archivos a la red interna
Arquitectura: Servicios en DMZ
Internet
DMZ
Servidor FTP
CredencialesArchivos
con Datos
Red Privada
Copia de los
Archivos
Scripts
17. Archivos y credenciales seguras en la red privada
Hay que abrir los puertos de entrada
Riesgos de intrusión a la red privada
No cumplimiento de regulaciones como PCI DSS o auditorías de seguridad
Internet
DMZ Red Privada
Servidor FTP
CredencialesArchivos
con Datos
Arquitectura: Servicios en la red privada
18. Internet
DMZ Red Privada
Servidor FTP
CredencialesArchivos
con Datos
Servicios detrás de un Gateway
Gateway
(Proxy Inverso)
CONSEJO #3
Requerimiento PCI DSS 1.3.7:
“Instale los componentes que almacenen
datos de los tarjetas de crédito en una
zona de la red interna, segregada de la
DMZ y otras redes de no-confianza.”
Un Gateway en la DMZ que actúa como un Proxy Inverso
Un canal de control de la red privada a la DMZ
Sin abrir puertos en la red privada
Archivos y credenciales seguras en la red privada
19. Reemplazo de adjuntos por enlaces HTTPS
Sin copias en servidores de correo
Accesos auditados
Caducidad
Solicitud de información segura
Correos con enlaces de descargaCONSEJO #4
20. Robotizar para remplazar tareas manuales
Evita accesos no autorizados al dato
Encriptación/Desencriptación vía PGP
Escaneos de Antivirus/Malware y DLP vía ICAP
Transformación de los datos
Integración de los datos
Dedicar los recursos a tareas de valor
Más eficiencia, mejor fiabilidad
La automatización como aliadaCONSEJO #5
21. Registro de quién accede a los datos
Registro de los documentos recuperados (¿Por quién / ¿Cuándo?)
Generar alertas en caso de una anomalía (¿errores de transmisión? ¿actividades
sospechosas? ¿ataque DDoS?)
Generar informes periódicos para el DPO y garantizar el cumplimiento sostenido de GDPR
Trazabilidad y ControlCONSEJO #6
22. Educación continuada de los usuarios
Amenazas siempre evolucionando
No queremos ser los primeros en aparecer en las noticias
Permanentemente priorizar la seguridad de los datos
Establecer procesos de gestión de los cambios de regulaciones y medidas de seguridad
Asignar recursos para garantizar esas políticas, y un DPO
Revisión de políticas de seguridad
Revisión de los procedimientos
Proporcionar herramientas que permitan implementación ágil y sostenida de las
medidas
GDPR: la tecnología no suficiente para cumplirCONSEJO #6REFLEXIÓN
23. HelpSystems Corporate Overview.All rights reserved.
¿Qué es Managed File Transfer?
TRAZABILIDAD Y CONTROL TOTAL
ADMINISTRACIÓN CENTRALIZADA
GESTIÓN SEGURA DEL INTERCAMBIO DE ARCHIVOS
AUTOMATIZACIÓN
24. Una solución de MFT puede ayudarle a alcanzar el cumplimiento de GDPR:
• Tecnologías de encriptación y firma digital como PGP, SSH/SSL y AES 256-bit le ayudan a mantener el control de
los datos.
• Gestión de claves de cifrado, entre otras tecnologías de encriptación, le ayuda a implementar una sólida
estrategia de seguridad.
• Cree formularios seguros para obtener de consentimiento del usuario, así como peticiones de
copia/eliminación de los datos. El historial del tratamiento de los datos se registra para la auditoría y reporting
exigidos.
• Completos registros de auditoría rastrean toda la actividad de transferencia de archivos y del administrador.
Puede planificar reportes periódicos sobre ellos para cualquier petición del DPO.
• Los Roles de Usuario permiten fácilmente al administrador limitar quién puede ver o procesar información en
su empresa.
• Use los Roles de Administración para dar a un Oficial de Protección de Datos acceso a lo que necesite para
poder monitorizar o revisar.
Los beneficios de utilizar MFT
26. Complete el formulario y le enviaremos:
Esta presentación
Guía: “¿Qué es Managed File Transfer?”
Información sobre GoAnywhere MFT
>> O conozca más en
www.helpsystems.com/es/goanywhere
Reciba más información sobre MFT