Gestion integral del riesgo
description
Transcript of Gestion integral del riesgo
Gestión Integral de Riesgo
Juan Paulo CabezasArquitecto de Soluciones de SeguridadRegión SSA, IBM [email protected]
Santiago, 10 de Marzo del 2011
Agenda
• Introducción y gestión de riesgos en un planeta inteligente
• 2010 IBM Global IT Risk• Estrategia de IBM• Caso de éxito• Nuevas soluciones• Visión Integral
Smart water management
Smart energy grids
Smart healthcare
Smart food systems
Intelligent oil field technologies Smart regions
Smart weather
Smart citiesSmart traffic systems
Smart retailSmart countriesSmart supply chains
¿Hacia donde va la seguridad en un planeta más inteligente ?
El planeta es cada vez más
INSTRUMENTADO, INTERCONNECTADO e INTELIGENTE.
Nuevas posibilidades.Nuevas complejidades.Nuevos Riesgos.
3
El soldado Manning dijo: “Incluso en un ambiente que posee seguridad de la mejor en el planeta, servidores débiles, auditoria débil, seguridad física débil, contrainteligencia débil, perfect storm” (23 años)
Las firmas chilenas están llenas de errores en cuanto a planificación de seguridad de TI, pero están avanzando en la preparación ante desastres, señaló a Business News Americas, un socio del área de asesoría en riesgo y gestión de Ernst & Young
4
5
80%Firmas de servicios financieros, dicen que sus procesos de gobierno, gestión del riesgo y cumplimiento, no se encuentran integrados a través de la empresa.
de los 285 millones de ataques el 2008, estaban enfocados al sector finanzas, más de la mitad fue detectado por terceros.
el número estimado de regulaciones bancarias en USA, más de 4.000 se encuentran en desarrollo
10.00093% 25.000 Mde mensajes de datos son manejados por el mercado cada día, ubicando a la infraestructura global de TI, bajo estrés continuo.
La necesidad de progreso es clara
• El mundo cambió y cambiará la manera en que las empresas gestionan el riego
• Suficiente capital, no es suficiente.• Medir el riesgo No es gestionarlo• La percepción tiene valor y la evaluación de riesgo puede ser
influida de gran forma por la confianza y reputación• La gestión del riesgo es una responsabilidad colectiva• El riesgo debe ser gestionado a través de la organización …
definitivamenteSe hace necesario una forma más inteligente de
gestión de riesgo
La crisis de la industria financiera reveló seis puntos clave
6
Los retos de hoy en día en el manejo dela Gobernabilidad, Riesgo & Cumplimiento
Manejar la complejidaddel cumplimiento de normativas
Adopción de Virtualizacióny Cloud
Nuevos modelos de negocioOutsourcing y trabajo desde el hogar
Integridad y disponibilidad de información para tomar decisiones
al instante
Adopción Segura deNuevas tecnologías
Protección de identidadesdigitales y privacidad
7
Algunos resultados del estudio “2010 IBM Global IT Risk”
posee una estrategia de continuidad de negocio bien desarrollada
Aéreas de Fortalezas Aéreas para mejorar
califican a la forma en que su compañía mitiga los riesgos como “pobre o “promedio”
de los encuestados se calificaron su forma de gestionar el riesgo de manera general como:“buenos” o “expertos”
66%
53% ha aumentado el gasto en gestión de riesgo para TI, durante el último año
34%
47%
46%
83%
54%
Dice que el planeamiento del riesgo se realiza en silos
poseen un departamento encargado oficialmente de gestión de riesgos
cree que ellos deben tener un rol mas importante en las estrategias de gestión del riesgo
8
Mayores retos para mejorar la gestión de riesgo
“Tenemos que madurar la imagen corporativa del área de Riesgos TI, identificarla como agragador de valor y facilitador del negocio, a través de todas las unidades de negocio”
Aerospace and defense, North America
Implementar procesos necesarios para mitigar riesgos
38%
Asegurar el presupuesto de gestión de riesgo 36%
Trabajar en un departamento que posea una visión integral del
riesgo a nivel empresa33%
Comunicar políticas y procedimientos a los empleados 30%
Lograr que la alta gerencia posea una visión holística de la gestión
de riego25%
Convencer al superior de dejarme participar activamente en la
gestión de riego11%
Aunque más del 50% de los presupuestos se han mantenido igual o crecido, el 36% todavía lucha con la obtención de una financiamiento adecuado.
Los encuestados no identificó un fuerte proceso de comunicación de las políticas de gestión de riesgos.
A pesar de los beneficios empresariales asociados a la gestión de riesgos TI, asegurar el apoyo de alta dirección sigue siendo un desafío
9
De las 5 tecnologías evaluadas las redes sociales, plataformas móviles y cloud presentan
la evaluación de mayor riesgo
64%21%
15%
Herramientas de Redes sociales
Plataformas móviles
. 54%27%
19%
Cloud computing42%
35%24%
Virtualización26%
31%43%
Architectura Orientada a
Servicios
25%42%
34%
Extradamente Riesgoso/Riesgoso
Algo riesgoso Moderadamente / nada de riesgoso
“Estamos preocupados por la posibilidad de controlar con seguridad el flujo de datos hacia y desde dispositivos móviles de los empleados y como almacenarlo”
Manufacturing, North America
“Nos encontramos revisando las soluciones de Cloud, sin embargo aún no hemos perfeccionado la seguridad de nuestras propias redes”
Healthcare, North America
10
• Una forma de definir las capacidades de seguridad independiente de productos y soluciones.• Principios de arquitectura que son válidos en todos los ámbitos y entornos de implementación• Basados en investigación y muchos escenarios relacionados con el clientes• Una hoja de ruta para ayudar en el diseño e implementación de soluciones de seguridad
Visión de Architectura
Platform Component Configuration
Capacidades y ofertas IBM
Technologies and Practices
Catálogo integrado de productos, servicios y soluciones
Visión de Negocio
Dominios Seguridad
IBM Security Framework
Problemas e incentivos
Describe los problemas de seguridad desde el punto de vista del negocio
AMPLIO DETALLADO
Foundational Security Mgmt Services
Common Security Infrastructure features
Visión Técnica
IBM Security Blueprint
Standards & principles
Describe los productos de manera agnóstica, basado en la experiencia del cliente, estándares y principios comunes
La estrategia de IBM Security
11
¿Por Qué Funciona Nuestra Estrategia?Visión Completa
Servicios Profesionales
Productos
Servicios Gestionados
En La Nube
Security Governance, Risk and Compliance
Security Information and Event Management (SIEM) & Log Management
Identity & Access Management Identity Management Access
Management
GRCGRC
Data Security
Database Monitoring & Protection
Encryption & Key Lifecycle Management
Data Loss Prevention
Data Entitlement Management
Data Masking
Messaging SecurityE-mail Security
Application Security
Web / URL Filtering
Application Vulnerability Scanning
Access & Entitlement Management
Web Application Firewall
SOA Security
Infrastructure Security
Threat AnalysisFirewall, IDS/IPS MFS Management
Physical Security
Mainframe Security Audit, Admin & Compliance
Security Event Management
Security Configuration
& Patch Management
Intrusion Prevention System
Endpoint ProtectionVirtual System Security
Vulnerability Assessment
Managed Mobility Svcs
12
Banco Internacional en Chile, con requerimientos normativos. Posee controles y procesos de maduros de gestión de permisos en sistemas y aplicaciones. Necesita disminuir el esfuerzo en dichas tareas.
Automatización y mejora en el control de usuariosGeneración automatizada de información para auditoríaCambio de foco: Operativo -> NormativoMejores SLAs y mejor apreciación por parte del negocio
Implementa su proceso de gestión de identidades sobre una herramienta de Software Realizar dicho proceso utilizando modelo de roles y permisos Extiende la solución construyendo módulos ad-hoc para satisfacer sus necesidades
Beneficios
Solución
Gestión de IdentidadesDashboard y visibilidad del cumplimiento de políticas al instante y manejo de
excepcionesIntegración con plataformas estándares, legacy y aplicaciones propietarias
Capacidades del Framework
Ejemplo de proyecto de gestión de Riesgo Operacional de TI
Necesidad del cliente
13
Servicio integrado de gestión de ciclo de vida.
Expone los recursos como “un servicio”
Infraestructura de la seguridad Integrada
Aprovisionamiento veloz de recursos de TI, ampliable en gran escala
Gestión de servicios dinámica
Ahorro de energía vía redistribución de cargas de trabajo.
Despliegue rápido de infraestructura y aplicaciones
Gestión de servicios basado en requerimientos
Catalogo de Servicios
VirtualizaciónMejor utilización de HWMejora la agilidad de TI
Consolidación de servidoresAgilizar la operación–gestión de
sistemas físicos y virtualesDisminución consumo energético
Cloud Computing
Virtualización, un primer paso en el camino de Cloud
14
Convergencia de Redes y Servidores: Pérdida de Visibilidad
“La falta de Visibilidad y controles en las redes virtuales internas generadas por la comunicación VM-a-VM, ciega los actuales controles de seguridad”
Fuente: Neil MacDonald, Gartner
15
Nuevos riesgos de la Virtualización
Amenazas tradicionales
Nuevas amenazas
Pérdida de visibilidad——————————Intercambio de recursos——————————Puntos comunes de falla
Proliferación de VM——————————Reasignación dinámica——————————Estado dinámico——————————Robo de VM
Stealth rootkits en hardware——————————Objetivos:Virtual NICs & Virtual Hardware
Vulnerabilidades Administrativas——————————Asegurar el almacenamiento de las VMs y los datos de administración—————————Requieres expertise adicional
Amenazas tradicionales aplican a los ambientes virtuales
Virtual Devices
Admin clientsVuln
Privileged Access
vCenter servers
Vuln
Service Console
Vuln
Vuln
Vuln
Vuln
MÁS COMPONENTES = MÁS EXPUESTOS16
IBM Virtual Server Protection for VMware
Ofrece la más amplia, integrada y profunda protección para ambientes virtualizados con un solo producto
• Firewall• Integración con VMsafe• Detección de Rootkit• Intrusion Detection & Prevention• Análisis de tráfico entre VMs• Gestión segregada de VMs• Aplicación de política de red• Protección integrada con
VMotion• Auto descubrimiento de VMs• Auditoría de Infraestructura
Virtual (Monitoreo de usuarios privilegiados)
• Protección de segmentos virtuales
• Virtual NAC• Gestión Centralizada• Protección de Web Application• Virtual Patch
17
17
Se c u re = M a n a g e d
ENDPOINT TRADICIONALES
ENDPOINT MÓVILES ENDPOINT ESPECIFICOS
Tivoli Endpoint Manager
GESTIÓN DE SISTEMAS
GESTIÓN DE SEGURIDAD
Agente común de administración
Consola administrativa
unificada
Infraestructura común
18
Operación de TI y Seguridad debe ser eficiente y eficaz
Tivoli Endpoint Manager permite a los clientes consolidar sus operaciones de TI y TI funciones de seguridad en una sola vista, el modelo de entrega y oferta de software
Ayuda a proveer• Visibilidad total• Control de calidad• Rapidez en remediación• Gran escalabilidad• Framework versátil• Reducción de costos
Mediante• Gestión de configuración de
seguridad y vulnerabilidades• Gestión del ciclo de vida de los
sistemas• Protección de Endpoint• Gestión de consumo energético
Aplicar políticas, demostrar cumplimiento y mitigar amenazas
La visión integral de IBM Security Solutions
19
19
IBM Security, la voz coordinada de Seguridad
IBM ha establecido el servicio más eficiente y dinámico, cros-compañía
para su portafolio de Seguridad TI, enlazando las áreas de investigación,
diseño, desarrollo, comercialización, servicios y soporte para soluciones de
seguridad en todo el mundo.
una voz coordinada de seguridad
IBM es el asociado de confianza entregando productos y servicios reconocidos por su liderazgo en Seguridad de TI
La filosofía de IBM, Seguro por Diseño; en donde el factor Seguridad y Privacidad se utilizan en el diseño inicial y no luego que la solución ya es un hecho
Las soluciones de IBM Security Solutions permites a los clientes ocuparse de las 3 C: Complejidad, Cumplimiento y Costo
20
21
Anexos