presentación rubén vergara
TRANSCRIPT
RUBÉN VERGARA CRUZ.JEFE DE SEGURIDAD Y CONTINUIDAD OPERACIONAL
“Tips and Tricks” en Seguridad TI
¿Quién soy?
Sugerencias para ingresar al mundo de la seguridad TI
Algunos postulados esenciales en Seguridad TI
Seguridad en el ámbito de las Aplicaciones
¿Qué considerar al momento de adquirir un control?
Agenda
¿Quién soy?
Ingeniero Civil Electrónico de la Universidad Técnica Federico Santa María
Con 17 años de experiencia en seguridad de la información y continuidad de negocios, en el sector civil y militar.
Miembro de ISACA, (ISC)², ISSA, DRII, BCI y EC-Council.
Diplomado en Seguridad Informática de la Universidad de Chile.
CISSP, CISM, CHFI, ABCP, AMBCI, Cobit Foundation.
Sugerencias para ingresar al mundo de la seguridad TI
Participar en charlas, seminarios, webinars, etc.
Ser miembro de instituciones profesionales en Seguridad de la Información (ISC2, ISACA, ISSA, OWASP, DRII, etc).
Obtener conocimiento por medio de: Magister, Diplomados, Cursos. Certificaciones Internacionales (CISSP, CISM, CEH, CISA, CHFI, etc.)
Establecer redes de contacto.
“Aprender haciendo”,… pero siempre en ambientes controlados ( Hacking Dojo, Damn Vulnerable Web Application (DVWA), etc.) y personales.
La Seguridad TI es parte de la Seguridad de la Información,y tienen por objetivo la Confidencialidad, Integridad y Disponibilidad de la Información (CIA en inglés).
Algunos postulados esenciales en Seguridad TI
La seguridad es un proceso no un proyecto.
La seguridad 100% no existe.
No existen las balas de plata.
Principio del 80/20 en seguridad.
Algunos postulados esenciales en Seguridad TI
El nivel de protección depende del valor de lo que se quiere proteger.
Toda evaluación de seguridad debe contemplar la Triada CIA.
Los riesgos se Aceptan, Mitigan, Transfieren o Eliminan.
No a la seguridad por obscuridad. No es lo mismo que la confidencialidad.
Algunos postulados esenciales en Seguridad TI
El mundo cambia y los ataques también.
Cada organización es un mundo diferente, y no todos los controles calzan perfectos.
Seguridad en el ámbito de las Aplicaciones
¿Qué ámbito de seguridad revisaremos?
Disponer de un ciclo de vida de desarrollo de software formalizado.
Seguridad en el ámbito de las Aplicaciones.
Capacitación formal y específica en desarrollo seguro. OWASP: XSS e Inyección de Código (SQL Injection).
Establecer librerías de seguridad.
Establecer un estándar de desarrollo seguro.
QA y un checklist de seguridad, considerando el estándar. Manual y Automático (ZAP, Acunetix, etc.).
Seguridad en el ámbito de las Aplicaciones.
Ethical Hacking periódicos, con y sin credenciales, etc.
Control de cambios y versiones.
Ambientes iguales, separados y controlados(Desarrollo, Pruebas y Producción).
Seguridad en el ámbito de las Aplicaciones.
Arquitectura de alta disponibilidad en toda la cadena.
Monitorear continuidad de servicios (in/out).
Plan de Recuperación de Desastres (DRP).
Seguridad en el ámbito de las Aplicaciones.
RTO / RPO Seguridad en redes (segmentación, calidad de servicio, etc.)
Auditar los controles de seguridad TI (interna/externa).
Firewall de Aplicaciones Web (WAF), algunas consideraciones:
Seguridad en el ámbito de las Aplicaciones.
Constante ajuste (“Tunning”) de los bloqueos y alarmas.
Minimizar la cantidad de excepciones. El WAF compra tiempo.
Control de Configuración.
Implementar reglas en todos los ambientes.
Bloqueo de herramientas de scan, etc.
Cumplimiento con la funcionalidad requerida
¿Qué considerar al momento de adquirir un control?
Valor (proporción calidad/precio)
Escalabilidad
Costos extra (hardware, software, horas-hombre)
Facilidad de uso
Nivel de soporte
¿Qué considerar al momento de adquirir un control?
Nivel de entrenamiento
Donde está, en Chile
Permanencia de la empresa
Integración con otras soluciones
Dificultad de implementación
¿Qué considerar al momento de adquirir un control?
Proyección de mejoras y productos futuros
Qué dicen las evaluaciones externas (Gartner)
“El conocimiento es la mejor inversión que se puede hacer”
Abraham Lincoln
¡¡ MUCHAS GRACIAS !!!