Seguridad de la informaci³n en entornos de movilidad y teletrabajo

1

infrastructure

Jesús GraciaFebrero de 2007

Seguridad de la información en entornos de movilidad y teletrabajo

Estrategia de seguridad centrada en la información

Secure

information

2

Contenido

Estrategia de Seguridad centrada en la InformaciónLas aproximaciones clásicas al problema de la seguridadLa seguridad como parte de la gestión del ciclo de vida de la

informaciónLa seguridad centrada en la informaciónSoluciones tecnológicas para la protección de la información

Los entornos de movilidad y teletrabajoEjemplo de aplicación

3

Estrategia de Seguridad centrada en la información

Electronic signatures

Digital shredding

Singlesign-on

Authentication

AuditingEncryption

Information rights

“Information Centric Security”

4

La información digital no está segura

Source: Enterprise Strategy Group March 2006

18%

82%

Confidencialidad, integridad y disponibilidad son las preocupacionesmás fuertes

Implicaciones de compromiso del servicio

… muy pocosorganismos percibenque toda su informaciónestá protegidaadecuadamente

A pesar de la inversiónmasiva en tecnologías y servicios para la seguridad…

Protección de los datos frente a accesos y usos no autorizados

Protección de los datos frente a accesos y usos no autorizados

Riesgo de pérdida de privacidade integridad

Riesgo de pérdida de privacidade integridad

Implicaciones legales

Conformidad con regulacionesinternas y externas

Conformidad con regulacionesinternas y externas

Riesgo de no satisfacción de auditorías y regulaciones

Riesgo de no satisfacción de auditorías y regulaciones

5

Aproximacióna laSolución

El perfil de las amenazas ha cambiado…

“ Dejar al atacantefuera “

“ Asumir queestá dentro “

• Centrado en Accesos y disponibilidad• Firewall, IPS/IDS, anti-virus

AmenazasDenegaciDenegacióónn de de servicioservicioIntrusiIntrusióónn en Reden RedAtaquesAtaques externosexternos

Construir y protegerperímetros

AtaquesAtaques a la a la privacidadprivacidadRoboRobo de de informaciinformacióónn confidencialconfidencial

AtaquesAtaques internosinternos

Gestionar y proteger la información

• Centrado en Autorización y auditoría• Gestión de identidad, encriptación/cifrado, gestión de derechos de acceso

6

La estrategia de seguridad de EMC se centra en la protección del a información

La seguridad es un elemento inseparable de ILM

Las organizaciones deben gestionar adecuadamentesu información para poder securizarla

Capture

Create

Collaborate

Version

Manage

Publish

Archive Retire

Re-archive

Query

El Ciclo de Vida del Contenido de la Información

7

LAN SAN

WAN

Infrastructura

DatosPersonas

Gestión mediante Políticas, procesos y tecnologías

Entender los riesgos del servicio y establecer políticas y prioridades

Auditoría completa del entorno para asegurar la Conformidad

1

2 3 4

5

La esencia de la seguridad Centrada en la Información

¿Qué es lo que realmente se quiere proteger?¿Qué es lo que realmente se quiere proteger?

INFORMACIÓNDisponibilidad ConfidencialidadIntegridad

8

LAN SAN

WAN

Infraestructura


DatosPersonas


Entender los riesgos de servicio y establecer políticas y prioridades


1

2 3 4

5

9

LAN SAN

WAN

Infrastructura

DatosPersonas




1

2 3 4

5


Entender los riesgos de servicio y establecer políticas y prioridades1

Servicios de:Clasificación de la InformaciónAnálisis de RiesgosDiseño de Soluciones de Encriptación/Cifrado

Servicios de:Clasificación de la InformaciónAnálisis de RiesgosDiseño de Soluciones de Encriptación/Cifrado

10

LAN SAN

WAN

Infrastructura

DatosPersonas




1

2 3 4

5



Personas

2 AutenticaciónSingle Sign-OnGestión de IdentidadGestión de Accesos

AutenticaciónSingle Sign-OnGestión de IdentidadGestión de Accesos

11

LAN SAN

WAN

Infrastructura

DatosPersonas




1

2 3 4

5



Personas

2

LAN SAN

WAN

Infraestructura3

Políticas de seguridad de productosPrograma de respuesta ante vulnerabilidadesFormación de los equipos de desarrollo

Políticas de seguridad de productosPrograma de respuesta ante vulnerabilidadesFormación de los equipos de desarrollo

12

LAN SAN

WAN

Infrastructura

DatosPersonas




1

2 3 4

5



Personas

2

LAN SAN

WAN

Infrastructura3

Datos

4

Encriptación de datos “en vuelo” y “en reposo”Sistemas de Seguridad FísicaServicios de diseño de soluciones de encriptaciónSistemas de control de derechos de acceso

Encriptación de datos “en vuelo” y “en reposo”Sistemas de Seguridad FísicaServicios de diseño de soluciones de encriptaciónSistemas de control de derechos de acceso

13

LAN SAN

WAN

Infrastructura

DatosPersonas




1

2 3 4

5



Personas

2

LAN SAN

WAN

Infrastructura3

Datos

4


14

LAN SAN

WAN

Infrastructura

DatosPersonas




1

2 3 4

5



Personas

2

LAN SAN

WAN

Infrastructura3

Datos

4


Auditoría completa del entorno para asegurar la Conformidad5

Sistemas de gestión de eventos de informaciónSistemas de descubrimiento de interrelaciones entre aplicaciones

Sistemas de gestión de eventos de informaciónSistemas de descubrimiento de interrelaciones entre aplicaciones

15

Implementación de la Seguridad centrada en la Información

AsegurarConformidad con Normativa

SecurizarDatos

SecurizarInfraestructura

SecurizarPersonas

EstudiarRiesgo

Servicios profesionales de EMC y Partners seleccionadosHerramientas de análisis de InfrastructuraEstudiar la Seguridad de la Información para establecer Riesgos y Prioridades

Soluciones integradas de IAM de EMC-Administración Pública y Partners seleccionadosAsegurar y gestionar la identidad y el control de los accesos a la información

Infraestructura de la Información de EMCProporcionar una infraestructura de la información que esté protegidainherentemente con una plataforma de seguridad común e integrada

Soluciones de protección de datos de EMC y Partners seleccionadosDescubrimiento, clasificación y protección directa de información sensiblePrevención online de robo de identidades y fraude

Soluciones de SIEM de EMC y Partners seleccionadosRecolectar, correlar y analizar la información de seguridad en tiempo real y durante periodos de tiempo extensivos

1

2

3

4

5

16

Portfolio de Productos de EMC

AsegurarCumplimiento

Normativa

SecurizarDatos

SecurizarInfraestructura

SecurizarPersonas

EstudiarRiesgo

1

2

3

4

5

RSA Garantía de identidad y control de accesoRSA Protección del consumidor

RSA Encriptación y gestión de claves

“Common Security Platform”Políticas de securización de productosPrograma de Respuesta a vulnerabilidadesDiseño de políticas de seguridad

Práctica de Seguridad de TSEMC

SIM

Solución de descubrimientoEMC Infoscape

Herramientas de Backup & DocumentumSoluciones de Video VigilanciaServicio de diseño de solución de Cifrado

Documentum Content Auth. Svcs, EMC Infoscape, Discovery Solutions

RSA Gestor de Reportes y normativas

EMCPartners

de Servicios

17

Autenticación, control de fraude, y desarrollo

Front EndAutenticación fuerteControles de Acceso internoIngeniería social

Back EndDetección holística de fraude

– Robos– Detección de comportamiento

Multi-canalInfraestructura de Internet

– Detener el robo de información– Listas negras

Source: Gartner

DatosControles de CIFRADO

TrustTrust

Productos de RSA

18

Productos de RSA

Front EndRSA SecurIDRSA Adaptive AuthenticationRSA Access Manager

Back EndRSA FraudActionRSA Transaction MonitoringRSA eFraud Network

Source: Gartner

DataRSA BSAFE

TrustTrust

Autenticación, control de fraude, y desarrollo

19

Securización de datos

Controla activamente, securiza y audita la informaciónsensible, independientemente de su ubicaciónAsegura que sólo usuarios autorizados pueden ver, reenviar, copiar, imprimir o editar determinada informaciónPermite al propietario de un contenido revocar el accesodespués de distribución externaFácil de usarTotalmente integrado con sistemas de gestión de contenido, pasarelas de mail, tecnología de portales

– Microsoft Office (Word, Excel)– Email (Microsoft Exchange, Lotus Notes)– Acrobat PDF– RIM Blackberry– Documentum eRoom

EMC Information Rights Management

20

¿Qué es “Information Rights Management”?La Gestión de Derechos Digitales apareció en la década de los 90 para la protección de media tipo Audio y Video

La gestión de derechos en los Organismos aplica esteconcepto en un enfoque diferente, centrándose en la protecciónde datos no estructurados, como documentos office, pdf y correo.

Funcionalidades:– Cifrado/Encriptación Segura y Persistente, para proveer

confidencialidad e integridad de los datos sensibles– La Seguridad está embebida en el documento, aunque se maneja

en un circuito independiente del contenido. – Los controles se implementan en fase previa y posterior a la

producción de la información, de forma Dinámica (visualización, impresión, copy/paste, edición, watermarks)

– Capacidades de auditoría revolucionarias

21

NetworkVPN Corporativa

Red de compartición

Conexión a Internet

Almacenamiento Consolidado

Autor

Revisor

Partner A: Lector

Hacker

Graba y asigna derechosdigitalesCrea un documento

EMC Information Rights Management

Policy ManagerPolicy Manager

Compartición de datos segura

22

Asegurar el complimiento de la normativa: Network Intelligence

Auditar y monitorizar acceso a datossensiblesAsegurar la efectividad de las medidas de seguridadProbar el cumplimiento de la normativaGestionar la seguridad de la informacióncon un coste eficiente durante su ciclo de vida

Gestión de eventos de seguridad

23

Router logs

IDS/IDP logs

VPN logs

Firewall logs

Switch logs

Windows logs

Client & file server logs

Wireless access logs

Windows domain logins

Oracle Financial Logs

San File Access Logs

VLAN Access & Control

logs

DHCP logs

Linux, Unix, Windows OS logs

Mainframe logs

Database Logs

Web server activity logs

Content management logs

Web cache & proxy logs

VA Scan logs

UnauthorizedService Detection

IP Leakage

Configuration ControlLockdown enforcement

False Positive Reduction

Access Control EnforcementPrivileged User Management

Malicious Code DetectionSpyware detection

Real-Time MonitoringTroubleshooting

User Monitoring SLA Monitoring

Assure Policy Compliance: RSA/Network Intelligence

24

“Seguridad centrada en la información” aplicada a los entornos de movilidad y teletrabajo

25

MovilidadUno de los aspectos de la gestión de la Seguridad de la Información

26

El entorno tecnológico del teletrabajo

VPN

Net

wor

k Se

curit

y

√Autenticación√Encriptación de los datos “en

vuelo”

“$·WERQDSF)=(!”·$Q!”·E

27


VPN

Internet

Net

wor

k Se

curit

y

28


VPN

Net

wor

k Se

curit

y

Estrategia de seguridad centrada en la información

√Cifrado y gestión de derechos de acceso

√Autenticación Fuerte

√Gestión y correlación de eventos de seguridad√Gestión eficaz de claves

30

Pilares de la oferta de EMC

almacenarSAN: Symmetrix, CLARiiON, ConnectrixNAS: CelerraCAS: Centera

protegerreplicación de array de disco: SRDF, MirrorView, etc.Backup en disco: Legato NetWokbrereliminación de la duplicación de datos: AvamarProtección de datos continua: Kashyaseguridad RSA, Authentica, Network Intelligence

optimizarvirtualización: VMware, Rainfinity, Invistaadm de información: Legato, Documentum, Infoscapeadm de recursos: ControlCenter, Smarts, nLayers

aprovecharadm de contenido empresarial: Documentumadquisición de información: Captiva, AcartusBPM, colaboración: ProActivity, eRoombúsqueda para empresas: AskOnce

Aplic.Aplic.Aplic.Aplic.

infraestructura

información

31

RICH SET OF CONTENT SERVICES

Content Capture

BasicContentServices

Information Rights

Management

Unified Desktop & Ent.

Search

AutomaticInformation

Classification

Document Image

Management

Business Process

Management

Web Publishing

Email Ingestion

CompoundDocument

ManagementSAP Archiving

Security &Rights

Management

Life-cycleManagement

Web site Management

Enterprise Reports

Archiving

Business Process

Optimization

MULTIPLE CLIENT ACCESS POINTS

ALL CONTENT TYPES

ImagesFlashSoundVideo

Rich MediaRich Media

DiscussionsIM

NotesProjects

CollaborativeCollaborative

PaperFax Images

ReportsScanned Images

FixedFixed

Email MessagesIM Messages

Chats

MessagingMessaging

DocumentsSpreadsheetsPresentations

Notes

DocumentsDocuments

HTMLSGMLWMLXML

WebWeb

COMPLIANCE INFRASTRUCTURE

ALL CONTENT TYPES



Play 2: Mitigate Security and Compliance Risks for Managed Content

32

Comprehensive Compliance Infrastructure

COMPLIANCE INFRASTRUCTURE

ALL CONTENT TYPES



Security AccessibilityIntegrity

Regulatory Compliance

Have to do it, and someone checks up on you. Applies to all organizations.

Information Protection and

SecurityGood business practice –critical for organizations with private, proprietary, and sensitive information

Discovery and Litigation

PreparednessMitigate risk and expense through

proactive and voluntary measures.

Play 2: Mitigate Security and Compliance Risks for Managed Content