-1-

Seguridad en Páginas WebSeguridad en Páginas Web

-2-

Nexica Private & Hybrid CloudFieles a nuestros compromisos de servicio, innovación y,

especialmente, flexibilidad, te ofrecemos diferentes modalidades de gestión, explotación, disponibilidad y facturación para que las combines y encuentres el formato de cloud que más se adapte a tus requisitos.

Alto Rendimiento

Elasticidad

Agilidad en la Provisión

Pago por Uso

Nexica Private & Hybrid Cloud

Ma

na

ge

d

Hybrid Cloud Cloud

Mo

dal

idad

es

de

Ges

tió

n

Modalidades de Servicio

Managed Cloud

Hosting

Base con coste fijo. Capacidad adicional bajo

demanda, con coste variable.

Todo el coste es variable. Capacidad bajo demanda,

no está limitada por la plataforma

Coste fijo a largo plazo (permanencia).

Capacidad fija por servidores

Virtual Infrastructure

Coste fijo, capacidad limitada por la plataforma

Managed Hybrid Cloud

Managed Hosting

As

sis

ted

Assisted Cloud

Assisted Hybrid Cloud

Assisted Hosting

Assisted Pool

Servicio Gestionado

Seguridad

Proximidad

-3-

Nuestros servicios

Cloud Computing – Nexica Private & Hybrid CloudRecursos TIC en la nube, de pago por uso, con servicio y seguridad garantizados.

• Cloud privado / público / híbrido.• RaaS: Servicio de recuperación ante desastres basado en cloud

Hosting GestionadoAlojamiento de aplicaciones a medida, escalable y de alta disponibilidad.

• Alojamiento gestionado de aplicaciones.• Balanceo, aceleración, encriptación, caching, cifrado SSL…• Firewall de aplicaciones.• Monitorización de transacciones web.• Distribución de contenidos (CDN).

CorreoServicios para garantizar el envío y la recepción de tus correos electrónicos y campañas.

• Alojamiento gestionado Exchange.• Pasarelas de correo.• Plataforma de envíos masivos.

Servicios ProfesionalesGarantizamos la disponibilidad de tus servicios.

• Soporte técnico / manos remotas.• Gestión y monitorización de aplicaciones 24x7.• Pruebas de estrés de aplicaciones.• Diseño, instalación, configuración y migración de plataformas.

Servicios Gestionados

-4-

– Profesor UPC– CEO en Security-Guardian.com – Security Guardian

• Consultora en la seguridad de la información– Actualmente colabora con Nexica en el ámbito de la asesoría

para protección y seguridad de infraestructuras• Soluciones SaaS de escaneo de vulnerabilidades para páginas Web

y certificación de seguridad y confianza para Website

– Logró certificaciones CISM & CISA de ISACA– Publicó vulnerabilidades de DB mundial– Ganó premio en conferencia internacional de SOGETI

4

CEO Security Guardianasm@security-guardian.com

Tel: 931769357

-5-

Índice

Introducción Estadísticas Pensando en la Seguridad Conclusiones Preguntas

-6-

Introducción Crecimiento uso de Internet Incremento servicio ofrecidos online Incremento comercio electrónico Incremento ataques online Perfil del comprador online más diversificado Incremento estafas en Internet Incremento importancia de la seguridad Requerimiento de los clientes

Seguridad y Confianza Protección frente a los ataques

Información, imagen corporativa, factor económico

6

-7-

Índice

IntroducciónIntroducción Estadísticas Pensando en la SeguridadPensando en la Seguridad ConclusionesConclusiones PreguntasPreguntas

-8-

Estadísticas B2C 2010

Volumen de negocio B2C (millones €)

8

Fuente: ONTSI 2011

-9-

Gasto medio por comprador online

9

Fuente: ONTSI 2011

Estadísticas B2C 2010

-10-

• Numero de Internautas que compran por Internet (millones)

10

Estadísticas B2C 2010

Fuente: ONTSI 2011

-11-

Fuente: ONTSI 2011

EstadísticasMayores sectores

-12-

Estadísticas

Zone-h: Más de 1,5 Millones de páginas Web desfiguradas en el 2010

El informe anual de Symantec sobre amenazas a la seguridad en Internet indica un incremento del 81% en los ataques maliciosos

Motivaciones Ataques 2011

Fuente: http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database#TopApplicationWeaknessesAllEntries

Vulnerabilidades 2011

-13-

Estadísticas

Fuente: White Hat Security

Vulnerabilidades 2010

-14-

Estadísticas

Industry Num. Vulns Remediation Rate Window of Exposure (Days)

Overall 230 53% 233

Banking 30 71% 74

Education 80 40% 164

Financial Services 266 41% 184

Heathcare 33 48% 133

Insurance 80 46% 236

IT 111 50% 221

Manufacturing 35 47% 123

Retail 404 66% 328

Social Networking 71 47% 159

Telecommunications 215 63% 260

Fuente: White Hat Security

Vulnerabilidades 2010

-15-

Índice

IntroducciónIntroducción EstadísticasEstadísticas Pensando en la Seguridad ConclusionesConclusiones PreguntasPreguntas

-16-

Pensando en SeguridadGestión de Riesgos

Metodologías: MAGERIT, OCTAVE, CRAMM Inventario de activos

Definición del valor del activo Listado de amenazas y vulnerabilidades Evaluación de la probabilidad e impacto Definición del nivel de riesgo aceptable Calculo Riesgo

-17-

Pensando en Seguridad

ServicioServicio ArquitecturaArquitectura

Aplicación Web Propia

Aplicación Web Externa

Red

Sistema Operativo

Servidor Web

Base de Datos

Aplicaciones

Proceso del Negocio

Desarrollo del Servicio

Mejora

Entrega del Servicio

Soporte

Monitorización

Información

Vulnerabilidades 2010

-18-

Pensando en Seguridad

Integridad Confidencialidad

Disponibilidad

Seguridad de la información

-19-

Confidencialidad Asegurar que solo las partes interesadas puedan entender el mensaje Ej.: VPN en redes públicas

Integridad Evitar que el mensaje sea alterado. Ej.: CRC

Disponibilidad Que el mensajes/servicio sea disponible Ej.: redundancia

Pensando en SeguridadSeguridad de la información

-20-

Identificación Autenticación Autorización Sesiones Validación de datos Gestión de Errores Confidencialidad Integridad Logs

Pensando en SeguridadDesarrollo

-21-

Pensando en Seguridad

Seguridad física Red

DMZ IDS/IPS

Sistemas Configuración Patches upgrades

Servicios, Infraestructura e Información Redundancia Monitorización Auditoría

Arquitectura

-22-

Índice

IntroducciónIntroducción EstadísticasEstadísticas Pensando en la SeguridadPensando en la Seguridad ConclusionesConclusiones PreguntasPreguntas

-23-

¿Que se entiende porhackear? Esquivar las limitaciones

10 Formas de hackear una bombilla Apagarla, mojarla, quemarla, desenroscarla, proporcionar mayor

voltaje, quemar el edificio, cortar la corriente, etc….

-24-

Conclusiones La nueva era tecnológica hace de la seguridad un

pilar fundamental La seguridad es un aspecto complejo y laborioso. Hay que estudiar en profundidad todos los actores

presentes para desplegar un servicio “seguro”. El mantenimiento es tan importante como el

despliegue. Los daños producidos por un incidente pueden llevar

al cierre de una empresa Imagen, perdidas económicas, denegaciones de servicio,

perdidas de información

-25-

¡Gracias por su atención!¡Gracias por su atención!