1. Gestión Integral de
Riesgo
Juan Paulo Cabezas
Arquitecto de Soluciones de Seguridad
Región SSA, IBM Software
jcabezas@cl.ibm.com
Santiago, 10 de Marzo del 2011
2. Agenda
• Introducción y gestión de riesgos en un
planeta inteligente
• 2010 IBM Global IT Risk
• Estrategia de IBM
• Caso de éxito
• Nuevas soluciones
• Visión Integral
3. ¿Hacia donde va la seguridad en un planeta más
inteligente ?
Smart supply
Smart countries Smart retail
chains
El planeta es cada vez más
INSTRUMENTADO,
INTERCONNECTADO e Smart water
management
Smart weather
Smart energy
grids
INTELIGENTE.
Intelligent oil Smart
Nuevas posibilidades. field technologies
Smart regions
healthcare
Nuevas complejidades.
Nuevos Riesgos.
Smart traffic Smart food
Smart cities
systems systems
3
4. El soldadochilenas están llenas de errores en cuanto a
Las firmas
Manning dijo: “Incluso en un ambiente
que posee seguridad de laTI, pero están avanzando en la
planificación de seguridad de mejor en el planeta,
servidores débiles, auditoria débil, seguridad Americas,
preparación ante desastres, señaló a Business News física
débil, contrainteligencia débil, perfect storm”Ernst &
un socio del área de asesoría en riesgo y gestión de (23
Young
años)
4
5. La necesidad de progreso es clara
80% 93% 25.000 M 10.000
Firmas de de los 285 millones de mensajes de el número
servicios de ataques el 2008, datos son estimado de
financieros, dicen estaban enfocados manejados por el regulaciones
que sus procesos al sector finanzas, mercado cada día, bancarias en
de gobierno, más de la mitad fue ubicando a la USA, más de
gestión del riesgo detectado por infraestructura 4.000 se
y cumplimiento, terceros. global de TI, bajo encuentran en
no se encuentran estrés continuo. desarrollo
integrados a
través de la
empresa.
5
6. La crisis de la industria financiera reveló seis
puntos clave
• El mundo cambió y cambiará la manera en que las empresas
gestionan el riego
• Suficiente capital, no es suficiente.
• Medir el riesgo No es gestionarlo
• La percepción tiene valor y la evaluación de riesgo puede ser
influida de gran forma por la confianza y reputación
• La gestión del riesgo es una responsabilidad colectiva
• El riesgo debe ser gestionado a través de la organización …
definitivamente
Se hace necesario una forma más inteligente de
gestión de riesgo
6
7. Los retos de hoy en día en el manejo de
la Gobernabilidad, Riesgo & Cumplimiento
Adopción Segura de Protección de identidades Nuevos modelos de negocio
Nuevas tecnologías digitales y privacidad Outsourcing y trabajo desde el hogar
Integridad y disponibilidad de
Adopción de Virtualización Manejar la complejidad
información para tomar decisiones
y Cloud del cumplimiento de normativas
al instante
7
8. Algunos resultados del estudio
“2010 IBM Global IT Risk”
Aéreas de Fortalezas Aéreas para mejorar
de los encuestados se califican a la forma en que su
66 % calificaron su forma de
gestionar el riesgo de manera
34 % compañía mitiga los riesgos
como “pobre o “promedio”
general como:“buenos” o
“expertos”
ha aumentado el gasto en
53 % gestión de riesgo para TI,
durante el último año
47 % Dice que el planeamiento del
riesgo se realiza en silos
54 % posee una estrategia de
continuidad de negocio bien
desarrollada
46 % poseen un departamento
encargado oficialmente de
gestión de riesgos
83 % cree que ellos deben tener un
rol mas importante en las
estrategias de gestión del
riesgo
8
9. Mayores retos para mejorar la gestión de riesgo
Aunque más del 50% de los presupuestos se
han mantenido igual o crecido, el 36% todavía
Implementar procesos necesarios 38% lucha con la obtención de una financiamiento
para mitigar riesgos adecuado.
Asegurar el presupuesto de 36% Los encuestados no identificó un fuerte proceso
gestión de riesgo de comunicación de las políticas de gestión de
riesgos.
Trabajar en un departamento que
posea una visión integral del 33%
riesgo a nivel empresa A pesar de los beneficios empresariales
asociados a la gestión de riesgos TI, asegurar el
Comunicar políticas y apoyo de alta dirección sigue siendo un desafío
30%
procedimientos a los empleados
Lograr que la alta gerencia posea “Tenemos que madurar la imagen
una visión holística de la gestión 25%
de riego corporativa del área de Riesgos TI,
identificarla como agragador de valor
Convencer al superior de dejarme
participar activamente en la 11% y facilitador del negocio, a través de
gestión de riego todas las unidades de negocio”
Aerospace and defense, North America
9
10. De las 5 tecnologías evaluadas las redes
sociales, plataformas móviles y cloud presentan
la evaluación de mayor riesgo
64%
Herramientas de 21%
Redes sociales “Estamos preocupados por la
15%
posibilidad de controlar con
54% seguridad el flujo de datos
Plataformas
. 27% hacia y desde dispositivos
móviles 19% móviles de los empleados y
como almacenarlo”
42% Manufacturing, North America
Cloud computing 35%
24%
26% “Nos encontramos revisando
Virtualización 31% las soluciones de Cloud, sin
43% embargo aún no hemos
25%
perfeccionado la seguridad
Architectura 42% de nuestras propias redes”
Orientada a Healthcare, North America
34%
Servicios
Extradamente Algo riesgoso Moderadamente / nada de
Riesgoso/Riesgoso riesgoso
10
11. La estrategia de IBM Security
• Una forma de definir las capacidades de seguridad independiente de productos y soluciones.
• Principios de arquitectura que son válidos en todos los ámbitos y entornos de implementación
• Basados en investigación y muchos escenarios relacionados con el clientes
• Una hoja de ruta para ayudar en el diseño e implementación de soluciones de seguridad
Capacidades y
IBM Security ofertas IBM
Blueprint
IBM Security Visión de Architectura
Framework Visión Técnica
Platform Component Configuration
Foundational Common Security
Visión de Negocio Security Mgmt Infrastructure
Services features Technologies and Practices
Standards & principles
Dominios Seguridad
Catálogo integrado de productos,
Problemas e incentivos Describe los productos de servicios y soluciones
manera agnóstica, basado
Describe los problemas de en la experiencia del
seguridad desde el punto cliente, estándares y
de vista del negocio principios comunes
AMPLIO DETALLADO
11
12. ¿Por Qué Funciona Nuestra Estrategia?
Visión Completa
Servicios Profesionales Security Information and Event
Security Governance, Risk and
GRC Management (SIEM) & Log
Compliance
Servicios Gestionados Management
Productos Identity & Access Access
Identity Management
Management Management
En La Nube
Data Loss Data Entitlement
Data Security Prevention Management
Encryption & Key
Lifecycle Messaging Security
Management
E-mail
Database Monitoring
Security Data Masking
& Protection
Application
Web Application
Application Security Vulnerability
Firewall
Scanning
Access & Entitlement
Web / URL Filtering SOA Security
Management
Infrastructure Vulnerability Virtual System
Endpoint Protection
Security Assessment Security
Threat Security Event Managed Intrusion Prevention
Analysis Management Mobility Svcs System
Firewall, IDS/IPS Mainframe Security Security Configuration
MFS Audit, Admin &
Management Compliance & Patch Management
Physical Security
12
13. Ejemplo de proyecto de gestión de Riesgo
Operacional de TI
Necesidad del Banco Internacional en Chile, con requerimientos normativos. Posee controles y procesos de maduros
cliente de gestión de permisos en sistemas y aplicaciones. Necesita disminuir el esfuerzo en dichas tareas.
Implementa su proceso de gestión de identidades sobre una herramienta de Software
Solución Realizar dicho proceso utilizando modelo de roles y permisos
Extiende la solución construyendo módulos ad-hoc para satisfacer sus necesidades
Gestión de Identidades
Capacidades
Dashboard y visibilidad del cumplimiento de políticas al instante y manejo de
del Framework excepciones
Integración con plataformas estándares, legacy y aplicaciones propietarias
Automatización y mejora en el control de usuarios
Beneficios Generación automatizada de información para auditoría
Cambio de foco: Operativo -> Normativo
Mejores SLAs y mejor apreciación por parte del negocio
13
14. Virtualización, un primer paso en el camino de
Cloud
Despliegue rápido de
infraestructura y
aplicaciones Cloud
Gestión de servicios Computing
basado en
requerimientos
Catalogo de Servicios
Virtualización
Mejor utilización de HW Servicio integrado de gestión
Mejora la agilidad de TI de ciclo de vida.
Expone los recursos como
“un servicio”
Infraestructura de la
seguridad Integrada
Aprovisionamiento veloz de
recursos de TI, ampliable
en gran escala
Consolidación de servidores Gestión de servicios
Agilizar la operación–gestión de dinámica
sistemas físicos y virtuales Ahorro de energía vía
Disminución consumo energético redistribución de cargas de
trabajo.
14
15. Convergencia de Redes y Servidores: Pérdida
de Visibilidad
“La falta de Visibilidad y controles en las redes virtuales internas
generadas por la comunicación VM-a-VM, ciega los actuales
controles de seguridad”
Fuente: Neil MacDonald, Gartner
15
16. Nuevos riesgos de la Virtualización
Amenazas tradicionales
Nuevas amenazas Amenazas tradicionales aplican
a los ambientes virtuales
Proliferación de VM
Vuln ——————————
Admin clients Reasignación dinámica
——————————
Vuln vCenter Estado dinámico
servers Vuln
——————————
Vulnerabilidades Vuln Service Robo de VM
Administrativas Console
——————————
Asegurar el Vuln Virtual
almacenamiento de las Devices Pérdida de visibilidad
VMs y los datos de Privilege ——————————
administración d Access
Intercambio de recursos
————————— ——————————
Requieres expertise Vuln Puntos comunes de falla
adicional
Stealth rootkits
en hardware
——————————
Objetivos:Virtual NICs &
Virtual Hardware
MÁS COMPONENTES = MÁS EXPUESTOS
16
17. IBM Virtual Server Protection for VMware
Ofrece la más amplia, integrada y profunda protección para ambientes virtualizados con un
solo producto
• Firewall
• Integración con VMsafe
• Detección de Rootkit
• Intrusion Detection & Prevention
• Análisis de tráfico entre VMs
• Gestión segregada de VMs
• Aplicación de política de red
• Protección integrada con
VMotion
• Auto descubrimiento de VMs
• Auditoría de Infraestructura
Virtual (Monitoreo de usuarios
privilegiados)
• Protección de segmentos
virtuales
• Virtual NAC
• Gestión Centralizada
• Protección de Web Application
• Virtual Patch
17
17
18. Operación de TI y Seguridad debe ser eficiente
y eficaz
Tivoli Endpoint Manager permite a los clientes consolidar sus operaciones de TI y TI
S e c u re = M a n a g e d
funciones de seguridad en una sola vista, el modelo de entrega y oferta de software
Ayuda a proveer
• Visibilidad total
• Control de calidad
• Rapidez en remediación
• Gran escalabilidad
• Framework versátil Agente común de
• Reducción de costos administración
GESTIÓN DE GESTIÓN DE
Mediante Consola
SISTEMAS administrativa SEGURIDAD
• Gestión de configuración de
seguridad y vulnerabilidades unificada
• Gestión del ciclo de vida de los
Infraestructura
sistemas
común
• Protección de Endpoint
• Gestión de consumo energético Tivoli Endpoint Manager
ENDPOINT ENDPOINT MÓVILES ENDPOINT ESPECIFICOS
TRADICIONALES
18
19. La visión integral de IBM Security Solutions
Aplicar políticas, demostrar cumplimiento y mitigar amenazas
19
19
20. IBM Security, la voz coordinada de Seguridad
IBM ha establecido el servicio más
eficiente y dinámico, cros-compañía
para su portafolio de Seguridad TI, IBM es el asociado de confianza
enlazando las áreas de investigación, entregando productos y servicios
diseño, desarrollo, comercialización, reconocidos por su liderazgo en
servicios y soporte para soluciones de Seguridad de TI
seguridad en todo el mundo.
La filosofía de IBM, Seguro por
Diseño; en donde el factor Seguridad y
Privacidad se utilizan en el diseño inicial y
no luego que la solución ya es un hecho
Las soluciones de IBM Security
Solutions permites a los clientes
ocuparse de las 3 C: Complejidad,
Cumplimiento y Costo
una voz coordinada
de seguridad
20