Seguridad Informtica como Oportunidad de NegocioGabriel GordonGerente de Iniciativa de Seguridad InformticaMicrosoft Cono SurMayo 2005

Objetivo de la SeguridadMantener la confidencialidad, integridad y disponibilidad de la informacin de los usuarios y la disponibilidad de los recursosConfidencialidad: permitir que la informacin sea vista por los que deben tener acceso.Integridad: asegurar que la informacin almacenada no sea modificada de una manera que no sea apropiada.Disponibilidad: asegurar que los datos almacenados pueden ser accedidos por las personas que deben accederlas.

Descripcin de los ElementosPersonasPersonal dedicadoEntrenamientoCultura de Seguridad InformticaRelacin con clientes y proveedoresTecnologaEstndares, encripcin y proteccinCaractersticas de seguridad en los productosProductos y herramientas de seguridadProcesosPlanificacin de la seguridadPrevencinDeteccinReaccin y recuperacin

Empresa habilitada con SeguridadBlueprint (Security Enabled Enterprise)Objetivos deseguridadRolesAnlisis de RiesgoSoporte a la DecisinOperacin/SoporteLiderazgo ySeguridadAnlisis de RiesgoSoluciones de SeguridadObjetivos del NegocioPrincipios de SeguridadControles no TcnicosControles TcnicosDiseo/ConstruccinAmbientes

Uso de e-mail sin SeguridadDescarte incorrectode informacinUso incorrecto de contraseasUso inadecuado de equiposFUGA DE INFORMACINControl deacceso deficienteConversaciones de negocio en pblicoDnde tambin est el peligro?

Las 4 etapas evolutivas de la Seguridadseguridadseguridad.seguridadseguridad

Diagnstico de RiesgosRiesgo InaceptableRiesgo AceptableInformation security define la probabilidadProbabilidad de explotacinImpacto al NegocioBajaAltaAltoEl negocio define el impactoRisk management lleva el riesgo a un nivel aceptableDiagnstico de Riesgos

Evaluacin de Riesgos de Seguridadhttp://www.securityguidance.com (en Espaol)

Gua de Administracin de Riesgos de Seguridadhttp://www.microsoft.com/technet/security/topics/policiesandprocedures/secriskhttp://www.microsoft.com/spain/technet/recursos/articulos/srsgch00.mspx

Percepcin Hechos !!

Preocupaciones de las CompaasCOSTOSPersonal de seguridad LIMITADO y sin expertisePresupuestos acotados

Cumplimiento de REGULACIONESInternacionales: ej .ISO17799, Basilea II, Sarbanes-OxleyGubernamentalesDe Industria: ej. Ent. Financieras

Creciente COMPLEJIDAD de los problemas Ataques, Sofisticacin de los hackersComplejidad de ambientes

Qu hemos hecho hasta ahora?Implementacin de procesos de emergenciaEntrenamiento obligatorio para mas de 18.000 desarrolladores internosModificacin del proceso de desarrollo de productosCampaa de toma de conciencia en los mediosMs de 10.000 profesionales y desarrolladores entrenados en el 2004Ms de 26.000 registrados al newsletter gratuito de seguridadInversin en desarrollo de herramientas de seguridadNuevos estndares de seguridad en los productos

Impacto en el mercadoMayor Conciencia con relacin a la necesidad de INVERSIONES EN SEGURIDADMayores Requerimientosde HERRAMIENTAS de seguridad de

Aumento en la demandade PROYECTOS de Seguridad

Seguridad: 3 hechosLas necesidades cambian constantementeOportunidad: venta recurrente de servicios y productos. Los clientes requieren mucha informacin, en tiempoOportunidad: Llevar informacin sobre soluciones y tambin sobre amenazas y riesgosLas soluciones son especficas y parte de una implementacin completa de HW y SWOportunidad: proveer guas y consultora para la integracin de soluciones de seguridad en la infraestructura completa de TI.

Qu hacer?Posicionar SEGURIDAD como parte de una solucin globalAyudar a tomar conciencia a los ejecutivos sobre los riesgos y la importancia de la SeguridadAsegurarse que las actualizaciones de HW y SW son parte de los SERVICIOS regulares

Cmo administra las actualizaciones de seguridad?Oportunidad de ServiciosProceso de Implementacin de actualizaciones de seguridadHerramientas gratuitas disponibles: MBSA SUS / WSUSMigracin a WS2003, Win XP SP2Implementacin de Active DirectorySMS 2003, ISA Server 2004Diseos de Planes de SeguridadAdministracin de RiesgosProcesos para Pequeas y Medianas EmpresasConsultora en regulaciones locales e internacionales

Las actualizaciones mejoran las Seguridad6427

CONVIERTASE en elIr con una solucin de seguridad permite:Conocer el negocio del clienteIndagar en nuevas solucionesNuevo revenue en HW y SWSi tiene implementado, ofrecerle testear la solucion. Ver si existen otras oportunidades de mejora. (MBSA)Sea el punto de contacto de confianzaVenta de servicios Post-ImplementacinSquele provecho al programa de partners de Microsoft (MSPP)

MSPP Competencia de SeguridadActividades realizadas Jul-Dic 2004Jul-Sep 04 Entrenamiento de Seguridad Taller interactivo ISA Server 2004 Chief Security Advisor de MS LATAM Presentacin de Iniciativa de Seguridad Management and Security Summit - ClientesOct-Dic 04 Materiales de la Iniciativa de Seguridad en Portal Capacitacin de Servicios (Quick Starts / Quick Plans) 2do Foro Latinoamericano de Seguridad Informtica - Clientes Kit de Herramientas de Seguridad Mediana empresa

MSPP Competencia de SeguridadyActividades Ene-Jun 2005Ene-Mar 05 Kit de Herramientas de Seguridad: Seguimiento y Oportunidades Windows Server 2003 + ISA Server 2004 PROMO Ambiente Seguro Capacitacin continua (mensual) Administracin de Actualizaciones de Seguridad Windows Server 2003 SP1 Seguridad PerimetralAbr-Jun 05 Capacitacin continua (mensual) Securizacin del Desktop Seguridad de Correo Electrnico Windows Server 2003 Capacitacin de Servicios de Seguridad en Brasil

Resumen: Oportunidades de Negocios Windows Server 2003 (SP1) ISA Server 2004 SE y EE Firewall, VPN, Web Cache Windows XP SP2 Right Management Services System Center (MOM + SMS 2003) Consultora / Consultor de Confianza Implementacin de Active Directory Soluciones de Seguridad Implementacin ISA Server 2004 Migracin del Desktop a Win XP SP2 Configuraciones y polticas Migracin de Servidores

Vnculos de Seguridad (gratuitos)Portal de Socios de Negocioshttp://www.microsoft.com/chile/socios

Ahora abra la bolsa

Cambia constantemente. Oportunidad: venta recurrente de servicios y productos.

Las soluciones son especificas. Son soluciones puntuales, parte de una implementacin completa de hardware y software y existen oportunidades para proveer guas y consultora para la integracin de soluciones de seguridad en la infraestructura completa de TI.

Los clientes requieren mucha informacin, en tiempo. Oportunidad: Llevar informacin sobre soluciones y tambin sobre amenazas y riesgosPosicionar seguridad como parte de una solucin global, incluyendo configuracin de redes, hardware y software. Permite agregar hardware y software adicional como parte de la venta inicial o posterior. El enfoque al cliente debe ser de un paquete de seguridad que incluye SERVICIOS, software y hardware

Servicios de capacitacin: sin un conocimiento adecuado de operaciones, configuracin de software y aplicaciones, no es posible entender e implementar soluciones de seguridad. Haga un bundle con capacitacin sobre seguridad.

Asegrese que las actualizaciones de hardware/software son parte de los SERVICIOS regulares. Cada upgrade requiere no slo actualizaciones de seguridad de software, si no que tambin llevan a actualizaciones potenciales de sistema operativo (migracin a Windows Server 2003 y a Windows XP SP2)

Llegar al cliente con una solucin de seguridad, permite entender su negocio, sus necesidades de seguridad y otras necesidades que pueden estar relacionadas, nuevas oportunidades de revenue en hardware y aplicaciones adicionales. PKI que requiere otros componentes para implementarRMS (AD, SQL Server)

El cliente puede tener algo implementado de seguridad. An as, ofrecerle testear la seguridad y ver que otras oportunidades pueden existir. Esto debe repetirse en forma regular, lo que hace que el cliente sea fiel. MBSA

Posicionese como el recurso que el cliente necesita: un punto de contacto para llamar en todos los casos

Squele provecho a los recursos que el programa de partners de Microsoft (MSPP) provee para ayudar a posicionar y promocionar las ofertas de seguridad a sus clientes

Venta de Servicios Post-implementacin: si la implementacin se hace correctamente, no slo traer una relacin a largo plazo, sino tambin una fuente consistente de revenue en el futuro