ecurity ervices · •tips para la creación de contraseñas •asesoramiento de concientización...
TRANSCRIPT
ecurity
ervices
Introducción
Visión
Security Services
Nuestro equipo
Índice
Antecedentes
Metodología
Necesi
dad
es
Security ServicesIntroducción
+ C
on
fian
za
Necesi
dad
es
Security ServicesIntroducción
La información, el activo más importante de las
Compañías, se encuentra cada día más integrado a
la Tecnología. Es por ello que, la Tecnología de la
Información, se esta convirtiendo en un pilar
estratégico en toda Organización.
Baufest ayuda activamente a las organizaciones a
proteger su información contra amenazas internas
o externas minimizando los riesgos sobre la
operación del negocio.
Nuestro equipo de expertos certificados y de
amplia experiencia en servicios de seguridad se
complementa con el resto de los especialistas de
Baufest, brindando de esta manera servicios de
amplio alcance alineados al negocio.
Security ServicesIntroducción
La información, el activo más importante de las
Compañías, se encuentra cada día más integrado a
la Tecnología. Es por ello que, la Tecnología de la
Información, se esta convirtiendo en un pilar
estratégico en toda Organización.
Baufest ayuda activamente a las organizaciones a
proteger su información contra amenazas internas
o externas minimizando los riesgos sobre la
operación del negocio.
Nuestro equipo de expertos certificados y de
amplia experiencia en servicios de seguridad se
complementa con el resto de los especialistas de
Baufest, brindando de esta manera servicios de
amplio alcance alineados al negocio.
Security ServicesIntroducción
Security Services
Send
Introducción
Security Services
Usuario
Nuestro producto se hace de esta
forma ……… Mi cuenta es:
xxxxxxxxxxxx
2 hours ago
Send
Introducción
Security Services
Ob
jetiv
os
Solución
Consultoría
Necesidades
Security ServicesIntroducción
Security ServicesIntroducción
Baufest ayuda activamente a las organizaciones a proteger su información contra amenazas
internas o externas minimizando los riesgos sobre la operación del
negocio.
Somos una unidad especializada en apoyar a empresas que están en proceso de aseguramiento de su
negocio. Acompañaremos a nuestros clientes en las diversas etapas de un
proyecto de esta clase.
Security ServicesIntroducción
¿Dónde
estoy?¿Dónde quiero
estar?
Security ServicesVisión
Inicial
•Ausencia de política
•Roles y responsabilidades
no definidos
•Procesos y tareas
Manuales
•Sin gestión de incidente
•Ausencia de métricas e
informes
Repetible
•Políticas limitadas
•Roles parcialmente
definidos
•Procesos y tarea
semiautomatizados
•Visibilidad limitada de
incidentes
•Métricas e informes
limitados
Definido
•Política integral definida
y publicada
•Roles y responsabilidades
bien determinados y
definidos
•Procesos y tarea
automatizados
•Seguimiento de los
incidentes críticos
•Métricas e informes
definidos
Administrado
•Políticas publicadas e
implementadas de forma
uniforme
•Roles y responsabilidades
definidos y ejecutados
•Procesos y tarea
automatizados y
operativos
•Seguimiento y cierre de
todos los incidentes
•Métricas e informes
enviados y revisado por
el alta dirección
Optimizado
•Revisión y mejora
continuas de las políticas
•Roles y responsabilidades
revisados de manera
continua
•Actualización
permanente de la
automatizaciones
•RCA aplicado a todos los
incidentes y
solucionados.
•Métricas y
requerimientos de
informes revisados
periódicamente y
actualizados
¿Dónde
estoy?¿Dónde quiero
estar?
Security ServicesVisión
Procesos
Herr
am
ien
tas
Pers
on
as
Security ServicesVisión
Security ServicesVisión
La infraestructura tecnológica que la soporta
el negocio no esta diseñada para soportar
riesgos naturales o accidentes como
incendios, inundaciones, terremotos, etc.
Necesito mejorar la accesibilidad a la
información a través de diferentes
tecnologías, pero esto me genera nuevos
riesgos de accesos no autorizados que antes
no tenia.
Mi infraestructura tecnológica es muy
compleja para administrar las identidades y
permisos de mis usuarios generando una alta
posibilidad de errores y altos costos de
operación innecesarios.
Tenemos muchos empleados y nos es difícil
controlar la información que sale de la
compañía, pudiendo haber casos de perdida
de información
Tenemos muchos empleados, algunos de
ellos seguramente no contentos con la
compañía, que pueden querer afectar el
negocio atacando de alguna manera los
sistemas informáticos
Mis competidores están queriendo
obtener información sobre nuestros
productos u operaciones.
Mis competidores u otras organizaciones
externas están interesados en afectar la
operación de nuestro negocio.
Trabajamos en un contexto geográfico
inseguro. Ha habido muchos robos de
elementos de trabajo como Notebooks o
Pcs,
Los tiempos de respuesta en la creación de
usuarios y otorgamiento de permisos
necesarios para operar son muy largos,
afectando la disponibilidad
Otra necesidad complementaria: Debo
cumplir con un marco regulatorio
especifico como…
Security ServicesVisión
Security Services
Brindamos servicios y
soluciones completas
relacionadas a la
Seguridad de la
información, con el
objetivo de satisfacer
las necesidades de
nuestros clientes.
Con una postura ética y
atención personalizada,
siempre nos destacamos
por la calidad de las
soluciones brindadas,
alineadas con las
necesidades expresadas
por nuestros clientes.
Security Services
Security Services
Security Services
Secure Software
Development Cloud Security
Technical Security
Advisory
Security
GovernanceSecurity
Compliance
Security Training
and Awareness
Security Services
Los servicios de seguridad en la nube abarcan desde la evaluación de riesgos y cumplimiento regulatorio, hasta los aspectos técnicos de hardening y despliegue de controles específicos, tanto en el contexto de proyectos puntuales, o como parte de la estrategia corporativa del salto a la nube, con el objetivo de garantizar una transición segura.
Nos especializamos en la definición de arquitecturas de nube que escalan de tamaño sin comprometer la seguridad y podemos ayudarlo a diseñar mecanismos y controles desde el principio, siguiendo las recomendaciones de las mejores prácticas del mercado.
• Poner en marcha herramientas de gestión de vulnerabilidades y colectores de eventos de seguridad (SIEM) en la nube.
• Implementar controles que hagan cumplir las políticas de protección de integridad de datos, confidencialidad y prevención de fuga de información.
• Automatizar tareas de seguridad a fin de reducir los costos de administración
• Combinar la evaluación de riesgos y hardening para proporcionar una mayor seguridad integrada
• Implementar mecanismos que hagan cumplir la autenticación fuerte para el acceso remoto a máquinas virtuales, consolas de administración y APIs
Cloud Security
Security Services
Evaluación de, y asistencia para, el diseño y la implementación de los procesos, controles, y hasta el mismo plan estratégico de gobernanza de seguridad de la información corporativos, de acuerdo con modelos de gestión de riesgos, normativas y estándares específicos, como MAGERIT, OCTAVE, ISO/IEC 27005, ISM3, o CObIT
Desde el diseño del programa de seguridad de información, y hasta su completa implementación, o para asistirlo en la integración de nuevos requisitos técnicos o reglamentarios en un programa existente.
Los Expertos de Baufest pueden asistirlo a impulsar las iniciativas de seguridad para que pueda cumplir con sus responsabilidades fundamentales, lo que le permitirá ejecutar de manera más eficiente y eficaz el plan de gobernanza.
Sin importar el tipo o el tamaño de su proyecto de gobernanza, el objetivo final de nuestros servicios es siempre el mismo: Habilitarlo para que tenga visibilidad y control sobre los activos de información de su organización, y que los controles que decida implementar estén a la medida de sus necesidades.
Security
Governance
Security Services
El Servicio cubre evaluaciones, asesoramiento y gestión técnica de herramientas de seguridad en sus entornos tecnológicos con el objetivos de identificar el estado real de las aplicaciones, las plataformas que las soportan, las redes y los controles de seguridad que se han implementado
La tecnología es el marco que nos permite desarrollar barreras y salvaguardas necesarias para prevenir de las amenazas a las cuales se está expuesto a nivel organizacional cómo así también minimizar los riesgos inevitables.
Nuestros expertos se encuentran al tanto de las últimas vulnerabilidades y las nuevas amenazas son simuladas remotamente a fin de determinar el impacto potencial en sus sistemas.
En base al análisis de los resultados de estas pruebas, el servicio ofrece rápidas soluciones basadas en mejores prácticas que protegen sus sistemas y detienen las amenazas antes que éstas puedan afectarle
Technical Security
Advisory
Security Services
Los servicios de cumplimiento regulatorio contemplan el diagnóstico, análisis de brecha (GAP Analysis), implementación de sistemas de gestión o controles, así como la simulación de auditoria (pre-auditoría) en preparación de una auditoría de certificación, con el objetivo de cumplimentar Normativas y Regulaciones Internacionales, Leyes y comunicaciones bancarias locales de cada país.
Nuestros servicios de implementación relacionados con estándares de adopción voluntaria (e.g. ISO) permiten preparar un camino de adecuación paulatino y con una visión de riesgo ajustada a sus posibilidades de presupuesto y capacidad de trabajo, mientras que lo preparamos para gestionar y desarrollar las tareas con niveles de riesgo aceptable y recomendable para la Seguridad de la Información.
• ISO/IEC 27001 Sistema de gestión de seguridad de la información
• PCI DSS (v2.0 y v3.0) – Payment Card Industry
• SOx (Ley Sarbanes-Oxley)
• Comunicaciones del Banco Central de cada país
• Leyes de Protección de los Datos Personales
Security
Compliance
Security ServicesSi su modelo de ciclo de vida de desarrollo de aplicaciones confía en la práctica de penetración y parche, es muy probable que esté pagando el doble por su software.
Trabajamos realizando análisis, y brindando asesoramiento para el diseño de seguridad en arquitectura de software. Si su necesidad es la adquisición de herramientas de análisis de código estático o dinámico, o de protección de aplicaciones (e.g. WAF), podemos asesorarlo, proveerle las herramientas, la capacitación para su uso, y la perspectiva para maximizar su inversión
Si su organización ya está pensando en los siguientes pasos o aún no sabe como comenzar, podemos ayudarlo a establecer seguridad en el desarrollo mediante modelos de madurez estándares, para que todos sus proyectos contemplen los controles necesarios de acuerdo al riesgo y las capacidades de su equipo de desarrollo.
Nuestros servicios cubren el espectro completo de seguridad en el desarrollo, durante todo el ciclo de vida con el objetivo de que su software sea seguro desde el diseño y para que pague solo una vez por su software.
Secure Software
Development
Security Services
Asistencia en la elaboración de la estrategia y los contenidos de un programade concientización y educación de seguridad de la información.
• Generación de la estrategia de concientización en seguridad
• Concepción de materiales de concientización creativos (mailing, posters, juegos, campañas de branding)
• Armado de un equipo interno que lleve a cabo la estrategia
• Tips para la creación de contraseñas
• Asesoramiento de concientización alineado a las políticas de seguridad
• Tips ante hackers
• Disciplina de backup ante posible pérdida de información
• Métricas del servicio
• Encuestas de actitud
• Talleres de ejemplificación (phishing en vivo, hacking de ingeniería social en vivo)
Security Training
and Awareness
Gestionar una implementación efectiva
Acelerar la curva de aprendizaje
Enfocarse en los asuntos críticos
Ser consciente que las amenazas están
evolucionando
Asegurar capacidades de respuesta efectiva
a incidentes
Crear Estrategia de Seguridad para el
futuro
Comprender en dónde se ubica la empresa
actualmente
Decisiones en seguridad sistemática. Ex:
Optimización de Control
Incrementar el equipo de seguridad
empresarial
Poner en práctica un programa de
seguridad
Revisar amenazas de seguridad, que
impliquen lo físico y cibernético
Proceso y práctica operacional para evaluar
e implementar IR
Establecer y priorizar un plan de seguridad
Evaluaciones, Identificación de Vacíos de
Control, Pruebas de penetración
Assessments
(Evaluaciones)
Estrategia de Seguridad
Cuantificación y manejo
del Riesgo
Soporte CISO (Jefe de
Seguridad)
Remediación de
hallazgos
Cibernético – Físico
Respuesta a Incidentes
Security ServicesMetodología
directivas,
procedimientos y concienciación
Red / Internet
host
Aplicación
Datos
Plan (Planificar)
• Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar.
Security Services
• Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala.
Do (Hacer)
• Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento.
Check (Verificar)
• Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla.
Act (Actuar)
Metodología
Nuestro equipoSecurity Services
Nuestro responsable de la Práctica
Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías
informáticas y comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones
de Auditor Líder ISO 27001, MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure
Cloud Services, Cloud Computing Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD
UNIVERSITY. Participó y lideró proyectos complejos en grandes empresas.
Especialidades:
Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un
sistemas de gestión de la calidad y de seguridad de la información.
Conocimientos:
ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA.
LUCIANO MOREIRA DA CRUZ
Algunos de nuestros Technical leaders
• ISC2 CISSP
• ISACA CISA
• IRCA Certified Lead Auditor
ISO/IEC 27001
• MCSA Office 365
• Microsoft Specialist: Server
Virtualization 2012
• MCSA Windows Server 2008
• MCITP Virtualization
Administrator 2008R2
• MCITP Enterprise
Administrator 2008
• MCSE + Security 2003
LEONARDO ROSSO
• Certified Information System
Auditor (CISA)
• Lead Auditor ISO 25999-2
• Fundation ITIL v.3
• ISO 20000
• Curso Seguridad Informática
– Aplicación de LOPD
• La Seguridad en los Sistemas
de Información e Internet
(LOPD)
MARCELA MEYORÍN
• IRCA Certified Lead Auditor
ISO/IEC 27001
• VMware vSphere 5: Optimize
& Scale
• VMware Certified
Professional 5 - Data Center
Virtualization (VCP5-DCV)
• Microsoft Windows Server
2012
• MCTS Windows server 2008
• Red Hat Certified System
Administrator (RHCSA)
• CCNA
HECTOR MARTINOTI
• MCSE Communication
• MCSE Private Cloud
• MCSE Server Infrastructure
• MCSA Office 365
• MCTS Administering Office
365 for Small Business
• MCTS Implementing
Microsoft Azure
Infrastructure
• MCTS Server Virtualization
with Windows Server
CHRISTIAN IBIRI
Antecedentes
Security Services
• Assessment y Gestión de Ambientes
• Definición del Modelo de Gobierno y Gestión de
Ambientes
• Definición de Procesos de Gobierno y Gestión de
Ambientes
• Definición de Estrategias de Implementación del
Modelo presentado
• Asistimos al área de Infraestructura Tecnológica en la
elaboración, implementación y documentación de los
procesos del área Gobierno y Gestión de Ambientes.
• Este trabajo se valido en conjunto con los
responsables Infraestructura Tecnológica, Seguridad
informática, áreas prestadoras y técnicas del banco.
Banco Hipotecario
• Compañía líder en emisión, procesamiento y comercialización de Gift Cards en Argentina. Actualmente procesamos las Gift Cards de las principales tiendas del país, y posee canales comerciales propios para la venta a grandes empresas como a particulares.
• Luego de algunos incidentes de seguridad en su actual aplicación core, Giftcard a contactado a Baufest solicitando un Assessment de seguridad para evaluar los procesos del sistema actual y con eso lograr mitigar los riegos del sistema nuevo a ser desplegado
Gift Card
Desafío
• Para lograr el objetivo Baufest recomiendo realizar una evaluación de la infraestructura de seguridad que incluye los procesos, la tecnología y las personas.
• El objetivo de la evaluación fue evaluar los procesos que hacen al sistema actual y, de esta manera, prevenir falencias en el nuevo sistema a ser desplegado. Donde se encontraron varios puntos ya corregidos y se tomaron consideración para una segunda etapa llamada hardering de la plataforma para el nuevo despliegle.
La Solución
Assesment de seguridad sobre infraestructura
Cloud:
Tuvo como objetivo la evaluación de los niveles
de seguridad asociados a los servicios y
aplicativos publicados y montados en Cloud
con el objetivo de identificar posibles
vulnerabilidades que pudieran afectar tanto a
su operativa normal como también aquellas
vulnerabilidades que pudieran revelar
información sensible o provocar accesos no
autorizados.
DON MARIO
• Compañía líder en emisión, procesamiento y comercialización de Gift Cards en Argentina. Actualmente procesamos las Gift Cards de las principales tiendas del país, y posee canales comerciales propios para la venta a grandes empresas como a particulares.
• Luego de un assessment de seguridad se realizaron correcciones inmediatas pero quedando algunos aspectos de seguridad pendientes a corregir con la migración a la nueva plataforma.
• Contemplando todos los puntos de aseguramiento a realizar en el corto y mediano plazo.
Gift CardDesafío
• Contemplado el informe y los apectos de seguridad se llevo acabo un proyecto de Hardering de la plataforma.
• El objetivo del proyecto fue Lograr una arquitectura robusta para soportar las demandas del negocio y al mismo tiempo mitigar al máximo cualquier tipo de fraude tecnológico o de otra índole. Evitando ataques conocido y no conocidos en la actualidad. Brindando una arquitectura segura y respaldada.
Asegura que los recursos críticos tengan los “parches” actualizados y sean capaces de defenderse contra vulnerabilidades conocidas.
Facilita el despliegue rápido de una configuración de referencia base segura y fácil de auditoría de un servidor frente a cambios inesperados.
Mejora la seguridad de los sistemas frente a amenazas internas y externas.
Reducir los riesgos asociados con fraude y error humano.
La Solución
Diseño e implementación de estándares
y políticas de Seguridad para toda la
organización.
Asistimos al área de arquitectura IT en
la elaboración, implementación y
documentación de las políticas y
estándares del área para el grupo NII
en Latinoamérica.
Este trabajo se hizo en conjunto con los
responsables de arquitectura, seguridad
informática, bases de datos,
virtualización, datacenter y
telecomunicaciones.
Nextel
• Tenaris es una empresa metalúrgica multinacional subsidiaria del Grupo Argentino Techint,líder mundial en la producción de tubos de
acero sin costura para la industria del petróleo.
• Desafío:
• Desde el área de seguridad corporativa de Tenaris, necesitaban contar con un equipo capacitado en distintas tecnologías,
metodologías y procesos de seguridad para la participación activa en distintos proyectos en un periodo acordado.
• Solución
• Desde Baufest se brindo un equipo de trabajo especializado en seguridad para suplir esa necesidad y hacer frente a nuevos
requerimientos y proyectos de seguridad
Tenaris
• Implementación de Framework de Seguridad para el Desarrollo Seguro.
• Brindado de capacitación y concientización sobre seguridad en Tenaris University
• Definición, desarrollo y implementación del modelo y estrategia de seguridad para nueva aplicación Comercial del grupo.
• Modelado y definición de roles (RBAC) para Aplicación de gestión de la producción.
• Aseguramiento de plataforma para Aplicación gestión de la producción.
• Security Project Management en la Implementación de solución de IDM identity management.
• Implementación de Matriz RASCI para el área de seguridad corporativa.
• Modelado de roles estándares SAP (RBAC).
• Gestión de la seguridad en plataforma documental.
Actividades de Security Advisor
• Implementación de aspectos de seguridad en
el desarrollo en metodología y ciclo de vida
de las aplicaciones.
• Elaboración de políticas y estándares de
seguridad en SOA.
• Elaboración de estándares de controles de
seguridad en diferentes aspectos.
• Elaboración de guide-lines de desarrollo
seguro para diferentes plataformas y
proyectos
• Elaboración de material de curso y
concientización de seguridad internos.
• Provisión de capacitaciones de seguridad en
el ciclo de vida de las aplicaciones.
Tenaris
Desde 1991, brindamos servicios de Software & IT para grandes empresas
Oficinas en Argentina, Chile, México, España y USA
+1.000 proyectos en 50 países de América, Europa, Asia y África
+350 personas, +310 dedicadas a servicios e IT
Antigüedad top customers: entre 18 y 5 años
+95% índice de satisfacción de clientes
Desde 2008, entre las mejores empresas para trabajar en la Argentina
ISO 9001 en Gestión de Servicios de Software
Calificación Investment Grade otorgada por Standard & Poor’s
+23 años de innovación
Argentina
Buenos AiresTel.: +54 (11) 4118-8080Fax: +54 (11) 4118-8080Roosevelt 1655C1428BNC, Buenos AiresArgentina
Santa FeTel.: +54 (342) 412-0368San Jerónimo 1838S3000FPP, Santa FeArgentina
Spain
Tel.: +34 91 745-2763Fax: +34 91 561-5626c/ Francisco Giralte, 228002, MadridSpain
Mexico
Tel.: +52 (55) 5531-8878Fax: +52 (55) 5531-8878Avda. Ejército Nacional 678,Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F.
USA
Tel +1 (617) 275-24201 Broadway 14th floorCambridge, MA 02142USA
¡Muchas Gracias!
Luciano MoreiraIT & Security [email protected]
ChileTel.: +56 (2) 2840-9977General del Canto 526,7500652, Providencia, Santiago de Chile