Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
infrastructure
Jesús GraciaFebrero de 2007
Seguridad de la información en entornos de movilidad y teletrabajo
Estrategia de seguridad centrada en la información
Secure
information
2
Contenido
Estrategia de Seguridad centrada en la InformaciónLas aproximaciones clásicas al problema de la seguridadLa seguridad como parte de la gestión del ciclo de vida de la
informaciónLa seguridad centrada en la informaciónSoluciones tecnológicas para la protección de la información
Los entornos de movilidad y teletrabajoEjemplo de aplicación
3
Estrategia de Seguridad centrada en la información
Electronic signatures
Digital shredding
Singlesign-on
Authentication
AuditingEncryption
Information rights
“Information Centric Security”
4
La información digital no está segura
Source: Enterprise Strategy Group March 2006
18%
82%
Confidencialidad, integridad y disponibilidad son las preocupacionesmás fuertes
Implicaciones de compromiso del servicio
… muy pocosorganismos percibenque toda su informaciónestá protegidaadecuadamente
A pesar de la inversiónmasiva en tecnologías y servicios para la seguridad…
Protección de los datos frente a accesos y usos no autorizados
Protección de los datos frente a accesos y usos no autorizados
Riesgo de pérdida de privacidade integridad
Riesgo de pérdida de privacidade integridad
Implicaciones legales
Conformidad con regulacionesinternas y externas
Conformidad con regulacionesinternas y externas
Riesgo de no satisfacción de auditorías y regulaciones
Riesgo de no satisfacción de auditorías y regulaciones
5
Aproximacióna laSolución
El perfil de las amenazas ha cambiado…
“ Dejar al atacantefuera “
“ Asumir queestá dentro “
• Centrado en Accesos y disponibilidad• Firewall, IPS/IDS, anti-virus
AmenazasDenegaciDenegacióónn de de servicioservicioIntrusiIntrusióónn en Reden RedAtaquesAtaques externosexternos
Construir y protegerperímetros
AtaquesAtaques a la a la privacidadprivacidadRoboRobo de de informaciinformacióónn confidencialconfidencial
AtaquesAtaques internosinternos
Gestionar y proteger la información
• Centrado en Autorización y auditoría• Gestión de identidad, encriptación/cifrado, gestión de derechos de acceso
6
La estrategia de seguridad de EMC se centra en la protección del a información
La seguridad es un elemento inseparable de ILM
Las organizaciones deben gestionar adecuadamentesu información para poder securizarla
Capture
Create
Collaborate
Version
Manage
Publish
Archive Retire
Re-archive
Query
El Ciclo de Vida del Contenido de la Información
7
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos del servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
¿Qué es lo que realmente se quiere proteger?¿Qué es lo que realmente se quiere proteger?
INFORMACIÓNDisponibilidad ConfidencialidadIntegridad
8
LAN SAN
WAN
Infraestructura
La esencia de la seguridad Centrada en la Información
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
9
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
Entender los riesgos de servicio y establecer políticas y prioridades1
Servicios de:Clasificación de la InformaciónAnálisis de RiesgosDiseño de Soluciones de Encriptación/Cifrado
Servicios de:Clasificación de la InformaciónAnálisis de RiesgosDiseño de Soluciones de Encriptación/Cifrado
10
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
Entender los riesgos de servicio y establecer políticas y prioridades1
Personas
2 AutenticaciónSingle Sign-OnGestión de IdentidadGestión de Accesos
AutenticaciónSingle Sign-OnGestión de IdentidadGestión de Accesos
11
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
Entender los riesgos de servicio y establecer políticas y prioridades1
Personas
2
LAN SAN
WAN
Infraestructura3
Políticas de seguridad de productosPrograma de respuesta ante vulnerabilidadesFormación de los equipos de desarrollo
Políticas de seguridad de productosPrograma de respuesta ante vulnerabilidadesFormación de los equipos de desarrollo
12
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
Entender los riesgos de servicio y establecer políticas y prioridades1
Personas
2
LAN SAN
WAN
Infrastructura3
Datos
4
Encriptación de datos “en vuelo” y “en reposo”Sistemas de Seguridad FísicaServicios de diseño de soluciones de encriptaciónSistemas de control de derechos de acceso
Encriptación de datos “en vuelo” y “en reposo”Sistemas de Seguridad FísicaServicios de diseño de soluciones de encriptaciónSistemas de control de derechos de acceso
13
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
Entender los riesgos de servicio y establecer políticas y prioridades1
Personas
2
LAN SAN
WAN
Infrastructura3
Datos
4
Gestión mediante Políticas, procesos y tecnologías
14
LAN SAN
WAN
Infrastructura
DatosPersonas
Gestión mediante Políticas, procesos y tecnologías
Entender los riesgos de servicio y establecer políticas y prioridades
Auditoría completa del entorno para asegurar la Conformidad
1
2 3 4
5
La esencia de la seguridad Centrada en la Información
Entender los riesgos de servicio y establecer políticas y prioridades1
Personas
2
LAN SAN
WAN
Infrastructura3
Datos
4
Gestión mediante Políticas, procesos y tecnologías
Auditoría completa del entorno para asegurar la Conformidad5
Sistemas de gestión de eventos de informaciónSistemas de descubrimiento de interrelaciones entre aplicaciones
Sistemas de gestión de eventos de informaciónSistemas de descubrimiento de interrelaciones entre aplicaciones
15
Implementación de la Seguridad centrada en la Información
AsegurarConformidad con Normativa
SecurizarDatos
SecurizarInfraestructura
SecurizarPersonas
EstudiarRiesgo
Servicios profesionales de EMC y Partners seleccionadosHerramientas de análisis de InfrastructuraEstudiar la Seguridad de la Información para establecer Riesgos y Prioridades
Soluciones integradas de IAM de EMC-Administración Pública y Partners seleccionadosAsegurar y gestionar la identidad y el control de los accesos a la información
Infraestructura de la Información de EMCProporcionar una infraestructura de la información que esté protegidainherentemente con una plataforma de seguridad común e integrada
Soluciones de protección de datos de EMC y Partners seleccionadosDescubrimiento, clasificación y protección directa de información sensiblePrevención online de robo de identidades y fraude
Soluciones de SIEM de EMC y Partners seleccionadosRecolectar, correlar y analizar la información de seguridad en tiempo real y durante periodos de tiempo extensivos
1
2
3
4
5
16
Portfolio de Productos de EMC
AsegurarCumplimiento
Normativa
SecurizarDatos
SecurizarInfraestructura
SecurizarPersonas
EstudiarRiesgo
1
2
3
4
5
RSA Garantía de identidad y control de accesoRSA Protección del consumidor
RSA Encriptación y gestión de claves
“Common Security Platform”Políticas de securización de productosPrograma de Respuesta a vulnerabilidadesDiseño de políticas de seguridad
Práctica de Seguridad de TSEMC
SIM
Solución de descubrimientoEMC Infoscape
Herramientas de Backup & DocumentumSoluciones de Video VigilanciaServicio de diseño de solución de Cifrado
Documentum Content Auth. Svcs, EMC Infoscape, Discovery Solutions
RSA Gestor de Reportes y normativas
EMCPartners
de Servicios
17
Autenticación, control de fraude, y desarrollo
Front EndAutenticación fuerteControles de Acceso internoIngeniería social
Back EndDetección holística de fraude
– Robos– Detección de comportamiento
Multi-canalInfraestructura de Internet
– Detener el robo de información– Listas negras
Source: Gartner
DatosControles de CIFRADO
TrustTrust
Productos de RSA
18
Productos de RSA
Front EndRSA SecurIDRSA Adaptive AuthenticationRSA Access Manager
Back EndRSA FraudActionRSA Transaction MonitoringRSA eFraud Network
Source: Gartner
DataRSA BSAFE
TrustTrust
Autenticación, control de fraude, y desarrollo
19
Securización de datos
Controla activamente, securiza y audita la informaciónsensible, independientemente de su ubicaciónAsegura que sólo usuarios autorizados pueden ver, reenviar, copiar, imprimir o editar determinada informaciónPermite al propietario de un contenido revocar el accesodespués de distribución externaFácil de usarTotalmente integrado con sistemas de gestión de contenido, pasarelas de mail, tecnología de portales
– Microsoft Office (Word, Excel)– Email (Microsoft Exchange, Lotus Notes)– Acrobat PDF– RIM Blackberry– Documentum eRoom
EMC Information Rights Management
20
¿Qué es “Information Rights Management”?La Gestión de Derechos Digitales apareció en la década de los 90 para la protección de media tipo Audio y Video
La gestión de derechos en los Organismos aplica esteconcepto en un enfoque diferente, centrándose en la protecciónde datos no estructurados, como documentos office, pdf y correo.
Funcionalidades:– Cifrado/Encriptación Segura y Persistente, para proveer
confidencialidad e integridad de los datos sensibles– La Seguridad está embebida en el documento, aunque se maneja
en un circuito independiente del contenido. – Los controles se implementan en fase previa y posterior a la
producción de la información, de forma Dinámica (visualización, impresión, copy/paste, edición, watermarks)
– Capacidades de auditoría revolucionarias
21
NetworkVPN Corporativa
Red de compartición
Conexión a Internet
Almacenamiento Consolidado
Autor
Revisor
Partner A: Lector
Hacker
Graba y asigna derechosdigitalesCrea un documento
EMC Information Rights Management
Policy ManagerPolicy Manager
Compartición de datos segura
22
Asegurar el complimiento de la normativa: Network Intelligence
Auditar y monitorizar acceso a datossensiblesAsegurar la efectividad de las medidas de seguridadProbar el cumplimiento de la normativaGestionar la seguridad de la informacióncon un coste eficiente durante su ciclo de vida
Gestión de eventos de seguridad
23
Router logs
IDS/IDP logs
VPN logs
Firewall logs
Switch logs
Windows logs
Client & file server logs
Wireless access logs
Windows domain logins
Oracle Financial Logs
San File Access Logs
VLAN Access & Control
logs
DHCP logs
Linux, Unix, Windows OS logs
Mainframe logs
Database Logs
Web server activity logs
Content management logs
Web cache & proxy logs
VA Scan logs
UnauthorizedService Detection
IP Leakage
Configuration ControlLockdown enforcement
False Positive Reduction
Access Control EnforcementPrivileged User Management
Malicious Code DetectionSpyware detection
Real-Time MonitoringTroubleshooting
User Monitoring SLA Monitoring
Assure Policy Compliance: RSA/Network Intelligence
26
El entorno tecnológico del teletrabajo
VPN
Net
wor
k Se
curit
y
√Autenticación√Encriptación de los datos “en
vuelo”
“$·WERQDSF)=(!”·$Q!”·E
28
El entorno tecnológico del teletrabajo
VPN
Net
wor
k Se
curit
y
Estrategia de seguridad centrada en la información
√Cifrado y gestión de derechos de acceso
√Autenticación Fuerte
√Gestión y correlación de eventos de seguridad√Gestión eficaz de claves
30
Pilares de la oferta de EMC
almacenarSAN: Symmetrix, CLARiiON, ConnectrixNAS: CelerraCAS: Centera
protegerreplicación de array de disco: SRDF, MirrorView, etc.Backup en disco: Legato NetWokbrereliminación de la duplicación de datos: AvamarProtección de datos continua: Kashyaseguridad RSA, Authentica, Network Intelligence
optimizarvirtualización: VMware, Rainfinity, Invistaadm de información: Legato, Documentum, Infoscapeadm de recursos: ControlCenter, Smarts, nLayers
aprovecharadm de contenido empresarial: Documentumadquisición de información: Captiva, AcartusBPM, colaboración: ProActivity, eRoombúsqueda para empresas: AskOnce
Aplic.Aplic.Aplic.Aplic.
infraestructura
información
31
RICH SET OF CONTENT SERVICES
Content Capture
BasicContentServices
Information Rights
Management
Unified Desktop & Ent.
Search
AutomaticInformation
Classification
Document Image
Management
Business Process
Management
Web Publishing
Email Ingestion
CompoundDocument
ManagementSAP Archiving
Security &Rights
Management
Life-cycleManagement
Web site Management
Enterprise Reports
Archiving
Business Process
Optimization
MULTIPLE CLIENT ACCESS POINTS
ALL CONTENT TYPES
ImagesFlashSoundVideo
Rich MediaRich Media
DiscussionsIM
NotesProjects
CollaborativeCollaborative
PaperFax Images
ReportsScanned Images
FixedFixed
Email MessagesIM Messages
Chats
MessagingMessaging
DocumentsSpreadsheetsPresentations
Notes
DocumentsDocuments
HTMLSGMLWMLXML
WebWeb
COMPLIANCE INFRASTRUCTURE
ALL CONTENT TYPES
RICH SET OF CONTENT SERVICES
MULTIPLE CLIENT ACCESS POINTS
Play 2: Mitigate Security and Compliance Risks for Managed Content
32
Comprehensive Compliance Infrastructure
COMPLIANCE INFRASTRUCTURE
ALL CONTENT TYPES
RICH SET OF CONTENT SERVICES
MULTIPLE CLIENT ACCESS POINTS
Security AccessibilityIntegrity
Regulatory Compliance
Have to do it, and someone checks up on you. Applies to all organizations.
Information Protection and
SecurityGood business practice –critical for organizations with private, proprietary, and sensitive information
Discovery and Litigation
PreparednessMitigate risk and expense through
proactive and voluntary measures.
Play 2: Mitigate Security and Compliance Risks for Managed Content