Presentación Rubén Vergara

RUBÉN VERGARA CRUZ.
JEFE DE SEGURIDAD Y CONTINUIDAD OPERACIONAL
“Tips and Tricks” en Seguridad TI

 ¿Quién soy?
 Sugerencias para ingresar al mundo de la seguridad TI
 Algunos postulados esenciales en Seguridad TI
 Seguridad en el ámbito de las Aplicaciones
 ¿Qué considerar al momento de adquirir un control?
Agenda

¿Quién soy?
 Ingeniero Civil Electrónico de la Universidad Técnica Federico Santa María
 Con 17 años de experiencia en seguridad de la información y continuidad
de negocios, en el sector civil y militar.
 Miembro de ISACA, (ISC)², ISSA, DRII, BCI y EC-Council.
 Diplomado en Seguridad Informática de la Universidad de Chile.
 CISSP, CISM, CHFI, ABCP, AMBCI, Cobit Foundation.

Sugerencias para ingresar al mundo de la seguridad TI
 Participar en charlas, seminarios, webinars, etc.
 Ser miembro de instituciones profesionales
en Seguridad de la Información (ISC2, ISACA, ISSA, OWASP, DRII, etc).
 Obtener conocimiento por medio de:
 Magister, Diplomados, Cursos.
 Certificaciones Internacionales (CISSP, CISM, CEH, CISA, CHFI, etc.)
 Establecer redes de contacto.
 “Aprender haciendo”,… pero siempre en ambientes controlados ( Hacking
Dojo, Damn Vulnerable Web Application (DVWA), etc.) y personales.

 La Seguridad TI es parte de la Seguridad de la Información,
y tienen por objetivo la Confidencialidad, Integridad y
Disponibilidad de la Información (CIA en inglés).
Algunos postulados esenciales en Seguridad TI
 La seguridad es un proceso no un proyecto.
 La seguridad 100% no existe.
 No existen las balas de plata.

 Principio del 80/20 en seguridad.
 El nivel de protección depende del valor de lo que se quiere proteger.
 Toda evaluación de seguridad debe contemplar la Triada CIA.
 Los riesgos se Aceptan, Mitigan, Transfieren o Eliminan.

 No a la seguridad por obscuridad. No es lo mismo que
la confidencialidad.
 El mundo cambia y los ataques también.
 Cada organización es un mundo diferente, y no todos los
controles calzan perfectos.

Seguridad en el ámbito de las Aplicaciones
¿Qué ámbito de seguridad revisaremos?

 Disponer de un ciclo de vida de desarrollo de software formalizado.
Seguridad en el ámbito de las Aplicaciones.
 Capacitación formal y específica en desarrollo seguro.
 OWASP: XSS e Inyección de Código (SQL Injection).
 Establecer librerías de seguridad.
 Establecer un estándar de desarrollo seguro.

 QA y un checklist de seguridad, considerando el estándar.
Manual y Automático (ZAP, Acunetix, etc.).
 Ethical Hacking periódicos, con y sin credenciales, etc.
 Control de cambios y versiones.

 Ambientes iguales, separados y controlados
(Desarrollo, Pruebas y Producción).
 Arquitectura de alta disponibilidad en toda la cadena.
 Monitorear continuidad de servicios (in/out).

 Plan de Recuperación de Desastres (DRP).
 Seguridad en redes (segmentación, calidad de servicio, etc.)
 Auditar los controles de seguridad TI (interna/externa).

 Firewall de Aplicaciones Web (WAF), algunas consideraciones:
 Constante ajuste (“Tunning”) de los bloqueos y alarmas.
 Minimizar la cantidad de excepciones. El WAF compra tiempo.
 Control de Configuración.
 Implementar reglas en todos los ambientes.
 Bloqueo de herramientas de scan, etc.

 Cumplimiento con la funcionalidad requerida
¿Qué considerar al momento de adquirir un control?
 Valor (proporción calidad/precio)
 Escalabilidad
 Costos extra (hardware, software, horas-hombre)
 Facilidad de uso

 Nivel de soporte
 Nivel de entrenamiento
 Donde está, en Chile
 Permanencia de la empresa
 Integración con otras soluciones

 Dificultad de implementación
 Proyección de mejoras y productos futuros
 Qué dicen las evaluaciones externas (Gartner)

“El conocimiento es la mejor inversión que se puede hacer”
Abraham Lincoln

Presentación Rubén Vergara

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Presentación Rubén Vergara

Más de INACAP

Último

Presentación Rubén Vergara