eulen seguridad - departamento de consultoria - febrero 2011
Post on 05-Jul-2015
112 Views
Preview:
DESCRIPTION
TRANSCRIPT
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
24 de febrero de 2.011
DEPARTAMENTO DE
CONSULTORÍA
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
24 de febero de 2.011
DEPARTAMENTO DE CONSULTORÍA
EVOLUCIÓN
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
3
2.008
ENISEConvergencia de la Seguridad
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
4
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
5
2.009
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
6
2.009
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
7
2.009
ENISELa empresa de Seguridad del Futuro
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
8
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
9
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
10
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
11
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
12
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
13
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
14
2.010
• Acuerdo Marco TIC de la Generalitat de Cataluña– Sublot D.1. Servei d’atenció a usuaris i de
suport On-Site
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
Servicios
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
16
SERVICIOS
• Planes de Autoprotección (RD 393/2007)
• Seguridad de la Información
• Convergencia de la seguridad
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
17
Seguridad de la Información
• Cumplimiento normativo• Sistemas de Gestión• Consultoría• Servicios tecnológicos• ……
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
18
Cumplimiento Normativo
• LOPD• Ley 11/2007• LSSI• Basilea II• SOX• PCI/DSS• ENS• …..
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
19
LOPD
• Descripción– Análisis del cumplimiento con la ley y el
reglamento que regula tanto las medidas de seguridad de los ficheros automatizados como los no automatizados de datos de carácter personal, y asesoramiento y colaboración en la implantación de las medidas exigidas.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
20
LOPD
• Generación de Valor– Permite obtener un diagnóstico de la situación de
cumplimiento de Ley y de su reglamento de desarrollo.
– Posibilita el cumplimiento con la legislación vigente a través de la implantación de las medidas de seguridad identificadas en la revisión
– Supone la mejora de los niveles de seguridad de los sistemas de información que tratan ficheros distintos a los de datos de carácter personal, pero que pueden ser igual o más sensibles para la empresa
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
21
LOPD
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
22
Implantación de Sistemas de Gestión
• ISO 27001– Seguridad de la Información
• ISO 20000– Servicios de TI
• ISO 28000– Seguridad de la cadena de suministro
• BS 25999– Continuidad del Negocio
• BS 25777– Continuidad de TI
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
23
Integración de Sistemas de Gestión
• PAS 99:2006, Especificación de los requisitos comunes del sistema de gestión como marco para la integración
• Guía ISO 72:2001 Directrices para la justificación y desarrollo de normas de sistemas de gestión
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
24
Gestión de Riesgos
• Descripción– Identifica, evalúa y gestiona los Riesgos a los que
están expuestas las organizaciones.
• Generación de Valor– Establece prioridades para el desarrollo de la
seguridad corporativa.– Identifica situaciones de gravedad o urgentes– Ahorra costes al no dedicar recursos a aspectos de
menor importancia.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
25
Gestión de Riesgos
Imag
en, Com
petit
ivo
Econ
ómico
Norm
ativa
y LegislaciónGrupos de interés
CONFIDENCIALIDAD
DIS
PON
IBIL
IDAD
Nor
mat
ivas
y
Proc
edim
ient
os
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
26
Auditoría
• Descripción– Enfocada a la evolución del grado de cumplimiento de las
medidas establecidas y de la eficacia de los controles implantados
• Generación de Valor– Asegura que las medidas implantadas funcionan correctamente– Identifica nuevas áreas de riesgo que habrán de tratarse
posteriormente– Aporta tranquilidad a la Dirección y da confianza a los usuarios– Cumplimiento con la normativa y las expectativas de las
entidades de regulación
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
27
Auditoría
• Auditorías de seguridad• Auditorías Reglamento LOPD• Auditorías del desarrollo• Auditorías de Bases de Datos• Auditorías de páginas web• Auditorías Grandes Sistemas (Z/OS…)• Auditorías SOX
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
28
Tecnología
• Test de intrusión• Securización de redes • Securización del puesto de trabajo• Configuración segura de servidores• ……..
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
29
Test de Intrusión
• Evalúa la seguridad de:– Los sistemas de protección perimetral.– Los sistemas que están accesibles desde
Internet (routers exteriores, firewall exterior, servidores web, de correo, de noticias, etc).
• Como:– Localizando vulnerabilidades– Explotando vulnerabilidades para intentar
penetrar en la red interna o la DMZ.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
30
Test de Intrusión
• Ejecución– Se lleva a cabo de forma remota desde nuestras
instalaciones– El cliente no facilita información sobre el objetivo.– La información necesaria es recopilada por la Unidad,
por medio de labores de recopilación de información pública, inteligencia e ingeniería social.
– Se utilizan las mismas técnicas que los hackers – Se utilizan herramientas de software libre.– Se siguen la metodología OpenSource OSSTMM.
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
31
Test de Intrusión
• Elementos– Recopilación de información – Sondeo de la Red– Escaneo de puertos, identificación de servicios y sistemas
operativos– Escaneo automático de vulnerabilidades– Password cracking– Prueba del sistema antivirus – Prueba de las relaciones de confianza– Pruebas de las medidas de contención– Pruebas y verificación manual de vulnerabilidades– Pruebas del sistema de detección de intrusos (IDS)– Pruebas de aplicaciones– Pruebas de capacidad
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
32
Configuraciones Seguras
• Servidores• Estaciones de Trabajo• Redes• WIFI• Dispositivos móviles• …….
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
33
Configuraciones Seguras
• Como– Series CCN-STIC– INTECO– NSA– Fabricantes
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
34
Convergencia de la Seguridad
• Planes directores• Consultoría de seguridad• Seguridad en la logística y el transporte• Sistema de Gestión de la Seguridad• Modelo de Madurez de la Seguridad• Sistema de Mando y Control de Seguridad
Corporativa • ….
GRU
PO E
ULE
N
GRU
PO E
ULE
N
GRU
PO E
ULE
N
35
más de 35 años innovando para proteger su patrimonio
top related