IBM Security

Prácticas esenciales para lograr una

Seguridad Inteligente

Mauricio Miranda
GBM – IT Security Consultant
 Los CEO deben entregar valor al negocio
Aumento del riesgo Limitaciones presupuestarios

40%
de Fortune 500 y los sitios
71%
del presupuesto de TI
web populares contienen promedio se dedica a las
Móvil en la vulnerabilidades 2 operaciones en curso 4
empresa
Economía social

90%
de las organizaciones
74%
apoyarán aplicaciones de las empresas utilizan las redes
corporativas en dispositivos sociales hoy en día para
personales 2014 6 comunicarse con los clientes 7

Explotación de
Innovación crecimiento de datos
en la nube

60% Infraestructura vieja 2.7ZB

71%
de los contenidos
CIO’s ven la nube digitales en 2012, un
como parte aumento del 50%
fundamental para desde 2011 3
sus planes 5 de los centros
de datos tienen
más de 7 años 1
Fuentes: 1 The Essential CIO: Insights from the Global Chief Information Officer Study, May 2011, 2 IBM X-Force® Mid-year 2011 Trend and Risk Report, September 2011, 3 IDC, “IDC
Predictions 2012: Competing for 2020” by Frank Gens December 2011, IDC #231720, Volume:1, 4 Based on IBM Research, 5 McKinsey How IT is managing new demands 2011, 6 Gartner
predicts that by 2014, “90% of organizations will support corporate applications on a personal devices.”, 7 Forrsights Business Decision-Makers Survey, Q4 2011
 Los líderes de seguridad
comparten su punto de vista

Casi dos tercios dicen que

los altos ejecutivos Dos tercios esperan
están prestando más gastar más en seguridad
atención a las cuestiones en los próximos dos años.
de seguridad.

Las amenazas externas

Más de la mitad dice que
se han valorado como un
la seguridad móvil
desafío más grande que
será su mayor reto de
las amenazas internas, las
nuevas tecnologías o el tecnológico en los
cumplimiento de normativa. próximos dos años.

Fuente: IBM 2012 CISO Assessment http://www.ibm.com/smarterplanet/us/en/business_resilience_management/article/security_essentials.html

 Tres tipos de líderes de seguridad
¿En qué se diferencian?
tienen un CISO dedicado
Influenciadores
• Confiado / preparado
• Enfoque estratégica tienen un comité de riesgo /
seguridad
Protectores
• Menos seguros tienen la seguridad de la
información como parte
• Algo estratégico de los tópicos por abordar
• Carece de elementos
cuentan con un conjunto
estructurales necesarios estándar y métricas de
seguridad
Respondedores
se enfocan en la mejora
• Menos seguros
empresarial de la
• Enfocados en gran comunicación/colaboración
medida en la protección
y cumplimiento proporcionan educación
y sensibilización
 Desafíos de seguridad son complejos…

Empleados
Employees Hackers Subcontratistas
Outsourcers Proveedores
Personas
Consultores Terroristas Customers
Clientes

Datos Estructurados
Structured Desestructurados
Unstructured En reposo EnIn
movimiento
motion

Aplicaciones
Systems Aplicaciones Web Web 2.0 Aplicaciones
Mobile
Aplicaciones de los
Applications Applications
móviles
sistemas

Infraestructura
Datacenters PCs Laptops Mobile Cloud Non-traditional

… requiere un nuevo enfoque

 Diez prácticas esenciales

1. Construir una cultura

6. Controle el acceso a la red
consciente de los riesgos

2. Gestione incidentes de
7. Seguridad en la nube y
seguridad con mayor
virtualización
inteligencia

3. Defender el lugar de trabajo 8. Gestione el cumplimiento

(móvil y social) de seguridad de terceros

4. Seguridad enriquecida 9. Mejore la segura de los

desde su diseño datos y proteja la privacidad

5. Automatice la “higiene” en la 9. Gestione el ciclo de vida de

seguridad las identidades
 Práctica esencial 1:
Construir una cultura consciente del riesgos
Acciones para lograrlo:
¿Hace cumplir su • Ampliar la misión de seguridad.
empresa una • Apoyarse en una empresa líder con
cultura que amplia competencia estratégica.

refuerce y dé • Diseñar un modelo permita ser

proactivo en la gestión de riesgos.
seguimiento a los
• Comunicar y educar.
comportamiento
• Construir políticas medibles e
adversos? instrumentos adecuados.
 Práctica esencial 2:
Gestione incidentes y respuestas

Acciones para lograrlo:

¿Analiza cada • Construir una gestión de incidentes

calificada.
evento con
• Cree un único proceso de admisión
inteligencia de
• Desarrollar políticas y procesos
seguridad para unificados
beneficiar al • Aproveche las herramientas de
negocio? inteligencia de seguridad
 Práctica esencial 3:
Defender el lugar de trabajo

Acciones para lograrlo:

• Permitir a los empleados traer sus
dispositivos.
¿Tiene control de
• Adaptar un perfil de riesgo basado
todos los en roles de trabajo.
dispositivos y la
• Automatizar la configuración de los
información que puntos finales.

manejan? • Proteger los datos de cliente y del

personales.
 Práctica esencial 4:
Seguridad enriquecida desde su diseño

Acciones para lograrlo:

• Evaluar dónde están sus puntos
óptimos de control de calidad.
¿Se invierte para • Prevenir la pérdida de datos.
incluir "seguridad • Use herramientas para el
por diseño" en su seguimiento de cumplimiento.

negocio? • Descubrir vulnerabilidades y

debilidades a través de hackeo ético
y pruebas de penetración.
 Práctica esencial 5:
Automatice la “higiene” en la seguridad

Acciones para lograrlo:

• Registrar todos los componentes.
¿Se realizan
• Retirar los componentes heredados.
actualizaciones
• Automatizar la administración de
periódicas y se parches.
administra el • Identificar oportunidades de
cambio? subcontratar las funciones de
monitoreo de rutina.
 Práctica esencial 6:
Controle el acceso a la red

Acciones para lograrlo:

• Optimizar las nuevas tecnologías
para vigilar y protegerse contra las
amenazas.
¿Tiene visibilidad • Detectar y bloquear la actividad de
y control del red malicioso.

acceso a la red? • Dar prioridad a lo que hay que

controlar y lo que no es necesario.

• Optimizar la infraestructura de la
red.
 Práctica esencial 7:
Seguridad en la nube y virtualización
Acciones para lograrlo:
• Desarrollar una estrategia para
asegurarlos.
¿Cómo se puede
• Evaluar los controles de seguridad
adoptar la de otros proveedores de la nube.
tecnología de la • Comprender las fortalezas y
nube y a la vez vulnerabilidades de la nube.

reducir del riesgo? • Construir servicios en la nube que

emplean un mayor nivel de control y
confianza.
 Práctica esencial 8:
Gestione la seguridad con terceros

Acciones para lograrlo:

• Integrar la seguridad como parte de
las fusiones y adquisiciones.
¿Son sus políticas
de seguridad y las • Educar sobre el cumplimiento.

contratos • Evaluar la conformidad con los

requisitos como PCI1, GLBA2,
cumplidos hoy en HIPAA3, SOX4, NERC-CIP5,
ISO27001, ITIL6, COBIT7, SUGEF
día por terceros? 1409, CGR
• Gestionar el ciclo de vida de riesgo
del proveedor.

1 Payment card industry (PCI), 2 Gramm-Leach-Bliley Act (GLBA), 3 Health Insurance Portability and Accountability Act (HIPAA),
4 Sarbanes-Oxley (SOX), 5 North American Electric Reliability Corporation-Critical Infrastructure Protection (NERC-CIP),
6 Information Technology Infrastructure Library, 7 Control Objectives Control Objectives for Information and related Technology (COBIT)
 Práctica esencial 9:
Mejore la seguridad de los datos
Acciones para lograrlo:
• Identificar el valor de sus datos
confidenciales y su impacto en el
negocio en cas de pérdida.
¿Conoce el valor
• Definir una estrategia de protección
de sus datos y la de datos.
protección que • Diseñar una arquitectura que
requieren? proteja la información sensible o
confidencial.

• Implementar tecnologías líderes en

protección de datos.
 Práctica esencial 10:
Gestione el ciclo de vida de las identidades

Acciones para lograrlo:

• Desarrollar una estrategia
optimizada de gestión de acceso e
identidad.
¿Qué pasa con los
• Implementar mecanismos de control
accesos cuando basados ​en políticas y monitoreo.
un usuario pasa a • Centralizar y automatizar la
otra área? segregación de funciones.

• Adoptar un solución de
autenticación en el escritorio y en la
web (SSO).
 IBM Security: inteligencia, integración y
experiencia en un esquema integral

 Único proveedor en el mercado con

cobertura total de la base de seguridad
 Más de 6.000 ingenieros y consultores
de seguridad
 Investigación premiada X-Force®
 Mayor base de datos de vulnerabilidad
en la industria

Inteligencia ● Integración ● Experiencia

Inteligencia: Productos y servicios líderes
en cada segmento
Integración: Aumentar la seguridad,
romper silos y reducir la complejidad
 Experiencia: Cobertura global y alerta de
seguridad incomparable

Centros de operaciones de seguridad

Centros de investigación de seguridad

Centros de desarrollo de soluciones de seguridad

Instituto de sucursales de seguridad avanzada

Investigación de IBM
 En el 2013 continuamos enfocados en la
resolución de grandes problemas.
Amenazas avanzadas Computación en la Nube
Sofisticados ataques dirigidos diseñados La seguridad en la Nube es una
para tener acceso continuo a la información preocupación clave que hace repensar
crítica está aumentando en severidad y cómo se diseñan, implementan y
ocurrencia. consumen los recursos de TI.

Advanced Persistent Threats

Stealth Bots Targeted Attacks
Designer Malware Zero-days

Computación Móvil Clientes Regulación y Cumplimiento

Empresariales
La seguridad de los dispositivos de los
empleados y la conectividad a las
aplicaciones corporativas es lo que mente
como CIOs .
Presiones regulatorias y de cumplimiento
están aumentando al tener más datos y
ser susceptible a errores de auditoría.
GLBA
Gracias por su atención
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response
to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated
or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure
and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to
be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems,
products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE
MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposes only, and is
provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related
to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or
its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these
materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or
capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not
intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of
the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks
or service marks of others.