Casandra in Practice: the development of a Security Master Plan / Casandra en la Práctica: la elaboración de un Plan Director de Seguridad

CASANDRA en la práctica:

La elaboración de un

Plan Director de Seguridad

2

CONTENIDO

1 2

4

1. Introducción

2. Análisis de Riesgos

3. Plan Director de Seguridad de la Información

1. Práctica: Casandra

4. Seguridad en el Ciclo de Vida de Desarrollo

1. Práctica: Seguridad en Proyectos

5 6

3

2

3

1.

Introducción

3

4

Introducción

5

Introducción

La seguridad no es un valor absoluto |a|a si a>=0

- a si a < 0

6

Introducción

La seguridad no es un valor absoluto

No se puede hablar de un sistema informático que sea seguro si no más bien que

no se conocen tipos de ataque que puedan vulnerarlo

|a|a si a>=0

- a si a < 0

7

Introducción




El último eslabón de la seguridad descansa en la confianza en alguna persona

El personal usuario de los sistemas de información constituye el eslabón más débil

en la cadena de la seguridad, puesto que sus actuaciones no alineadas con las

buenas prácticas en seguridad, pueden acarrear importantes impactos en la misma

|a|a si a>=0

- a si a < 0

8

Introducción




El último eslabón de la seguridad descansa en la confianza en alguna persona

El personal usuario de los sistemas de información constituye el eslabón más débil

en la cadena de la seguridad, puesto que sus actuaciones no alineadas con las

buenas prácticas en seguridad, pueden acarrear importantes impactos en la misma

Es muy sencillo tener un sistema seguro. Simplemente tiene que desconectar todas

las conexiones remotas y permitir únicamente los terminales directamente

conectados, colocar la máquina y sus terminales en una sala protegida, y un

guardia en la puerta

|a|a si a>=0

- a si a < 0

9

Sencillo…

10

Ley conservativa de la energía

11


Robo deInformación

ExploitsVulnerabilidades

Web

Incidencia

Medidas de

Protección

DoS

12

Medidas de Protección

12

13


Robo deInformación


Web

Incidencia

Incidente

Escalado deEventos

Gestión del Riesgo

Medidas de

Protección Medidas de Detección

DoS

14

Medidas de Detección

14

15


Robo deInformación


Web

Incidencia

Incidente

Escalado deEventos

Tiempo en volver a la normalidad > R

Gestión del Riesgo Resiliencia

Medidas de

Protección Medidas de Detección Respuesta

DoS

16

Respuesta

16

17

Resiliencia

17

� En Teroría de Materiales� Este concepto se refiere a la capacidad que los materiales tienen de acumular energía elástica

antes de volverse viscosos o entrar en régimen de fluencia� Se llama resiliencia de un material a la energía de deformación (por unidad de volumen) que

puede ser recuperada de un cuerpo deformado cuando cesa el esfuerzo que causa la deformación. La resiliencia es igual al trabajo externo realizado para deformar un material hasta su límite elástico

� En la RAE� 1. f. Psicol. Capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a

ellas.� 2. f. Mec. Capacidad de un material elástico para absorber y almacenar energía de deformación

� En IT� Capacidad para recuperarse después de una crisis y recuperar el estado inicial

� En Seguridad IT� La habilidad para reducir la magnitud y/o duración de eventos disruptivos. La efectividad de

resiliencia de una infraestructura u organización depende de su habilidad de anticiparse, absorver, adaptarse y/o recuperarse rápidamente de un evento potencialmente disruptivo

18

Antropología

18

“Las únicas especies que sobrevivieron

fueron las que compartieron

información”

19

Modelo de Servicio

Gobierno de la Seguridad

Readiness & Awareness Resiliencia Mejora permanente

Calidad y Eficiencia

19

Función

Servicios

Proceso

La seguridad es un servicio soportado por un conjunto de actividades que se organizan en procesos

20

Modelo de Servicio


20

21

Modelo de Servicio


21

Gobierno de la SeguridadFunción focalizada en la sincronización de la Seguridad-TI-Negocio desde el punto de

vista de ser un facilitador y no un inhibidorFunción

22

Modelo de Servicio


22



Readiness & AwarenessServicio destinado a la

preparación y cultura de

seguridad en la organización

Servicios

23

Modelo de Servicio


23



Readiness & AwarenessServicio destinado a la



ResilienciaServicio orientado a

garantizar la continuidad

de las actividades de la

organización

Servicios

24

Modelo de Servicio


24



ServiciosReadiness & AwarenessServicio destinado a la






organización

Mejora permanenteDestinado a medir y tomar

acciones frente a todas las

actividades realizadas en

aspectos de seguridad

25

Modelo de Servicio


25



ServiciosReadiness & AwarenessServicio destinado a la






organización

Mejora permanenteDestinado a medir y tomar

acciones frente a todas las

actividades realizadas en

aspectos de seguridad

Calidad y EficienciaProceso encaminado a optimizar los recursos de seguridad (optimización de costes,

integración de la seguridad en la infraestructura TI, certificaciones ISO)

Proceso

26

Proceso

Un proceso es un conjunto de actividades que se realizan o suceden bajo

ciertas circunstancias con un fin determinado.

26

Nombre delProceso

Entrada Salida

Tareas

Actividades

Responsable

Dueño

Suceso

Jurídico

FraudeRRHH

Análisis de Riesgos…

En cualquier

ámbito

27

Proceso de Análisis de Riesgos

28

2. Análisis de

Riesgos

28

29

Metodologías Clásicas

ACTIVO VULNERABILIDADES CONTROLES

TIPO DE ACTIVO

CATALOGO DE AMENAZAS

FRECUENCIA DE OCURRENCIA

AMENAZAS

PREVENTIVO

PROBABILIDAD

REACTIVO

IMPACTO

RIESGOS

EXPOSICION AL RIESGO

VALORACIÓN

EXPUESTOEXPLOTADAS GESTIONADAS

POSEE

DETERMINA

POSEE

SON

DISMINUYE

DISMINUYE

LISTA DE VULNERABILID

ADES

FORMAN FORMAN

PUEDEN DEGRADAR

QUEDANDORIESGORESIDUAL

30

Metodologías Clásicas & Modelo

Casandra

ACTIVO VULNERABILIDADES CONTROLESAMENAZASElementos

Generalistas

ELEMENTOS A

PROTEGERINCIDENTES

PATRONESDE

ATAQUE

PATRONESDE

DEFENSA

ElementosCasandra

31

Formalización Modelo Casandra

ISO 31000

32


ISO 31000

� Establecer el Contexto

� Reuniones

� Recogida de información

� Comunicados

33


ISO 31000


� Reuniones


� Comunicados

� Apreciación del Riesgo

� Algebra de Conjuntos (AVI)

� Cadena de Valor del Incidente

� Patrones de Ataque (Diábolo)

34


ISO 31000


� Reuniones


� Comunicados

� Apreciación del Riesgo

� Algebra de Conjuntos (AVI)

� Cadena de Valor del Incidente

� Patrones de Ataque (Diábolo)

� Tratamiento del Riesgo

� Patrones de Defensa (Enterprise

Security Patterns)

35

3. Plan Director

de Seguridad

de la

Información

35

36

Evolución del Plan

[ ] [ ] [ ] [2002 2006 2007 2008 2011 2011

PDSL PDS PDSI 2.0 PDSI 3.0

Actualidad

37

Plan Director de Seguridad & Plan Estrategico de Seguridad

ASPECTO Plan Director de Seguridad Plan Estratégico de Seguridad

Objetivos

Diferencias

Ventajas

37

� Definir un Modelo de Seguridad Corporativo

(Referencias: ISO/IEC 17799:2005,

ISO/IEC 27001:2005, ITIL)

� Identificar el nivel de seguridad existente

� Definir y planificar el conjunto de acciones

� Conocer y cuantificar las inversiones y costes

� Definición de un Plan Estratégico de seguridad

(metodología Balanced ScoreCard y Mapas

Estratégicos)

� La formulación estratégica y posicionamiento estratégico

� La definición del Mapa Estratégico de seguridad

� La definición y priorización de iniciativas estratégicas

� Establecer los niveles y objetivos de seguridad.

� Definir la Política de Seguridad aprobada por la

Dirección de la compañía.

� Definir la Arquitectura funcional de seguridad.

� Definir la estructura organizacional de seguridad.

� Definir los procesos de seguridad.

� Desarrollar los proyectos asumibles por la entidad.

� Plan Director + Cuadro de Mando de seguimiento.

� Define la cadena de Valor del área de seguridad.

� Análisis DAFO del área de seguridad

� Define el posicionamiento estratégico y líneas de

actuación.

� Define objetivos de seguridad estratégicos.

� Define Mapa estratégico de Seguridad alineado con el

negocio

� Modelo organizativo de seguridad definido.

� Plan Director

� Integrar dentro de todo el proceso de seguridad de la

entidad mediante métricas

� Definir la estructura de seguridad.

� Definir la organización de seguridad.

� Cuantificar los gastos e inversiones para lograr metas

en seguridad.

� Concienciar al personal de la entidad en seguridad.

� Avanzar en seguridad

� Herramienta de Benchmarking

� Resultados de la Encuesta Global

� Análisis DAFO (situación actual)

� Mapa Estratégico

� Objetivos de seguridad

� Definición de la organización de seguridad

38

3.1 Práctica:

Casandra

38

39

Objetivo

Plan Director V.1

Operativa/proceso Verticales

Operativa/procesos horizontales

Actividad de Negocio

Organización

Análisis de Riesgos

Casandra

Nivel de Aversion

Escenarios Análisis GAPControles

Plan de Proyectos PDSI v 2.0

40

Enfoque Metodológico

EJECUCIÓN PROCESOS DE

NEGOCIO

ESTRATEGÍA DE SEGURIDAD

DISEÑO PDSI CASANDRA

PILOTO PROCESO DE NEGOCIO

PILOTO PROCESO DE SISTEMAS


SISTEMAS

PLAN DIRECTOR CONSOLIDADO

41



NEGOCIO






SISTEMAS


42



NEGOCIO






SISTEMAS


AARR CASANDRA PLAN DIRECTORCONOCIMIENTO DEL

ENTORNOSITUACIÓN ACTUAL

43

� Identificación de interlocutores

� Realización de entrevistas: Entendimiento del funcionamiento de las operativas en alcance

� Planificación de Entrevistas

Áreas Transversales

Seguridad Informática (12)

Telecomunicaciones (2)

Arquitectura de Hardware (2)

Arquitectura de Software (2)

BBDD (2)Operaciones (5)

Áreas Funcionales

Logística y Comercial (19)

Económico Financiero (2)

Recursos Humanos (7)

Expansión (2)

Tiendas (2)

E-Commerce (2)

Número de

reuniones mantenidas

AARR CASANDRA

PLAN DIRECTORSITUACIÓN

ACTUALCONOCIMIENTO DEL ENTORNO

44

� Identificación de medidas de seguridad implantadas en la operativa (cruce con controles ISO)

0

1

2

3

4

5Política de Seguridad

AspectosOrganizativos

Gestión de Activos

Seguridad ligada alos RRHH

Seguridad Física ydel Entorno

Gestión deComunicaciones y

OperacionesControl de Acceso

Adquisición,Desarrollo y

Mantenimiento de SI

Gestión de Incidentesen la SI

Gestión deContinuidad de

Negocio

Cumplimiento

AARR CASANDRA



45

IDElementos

habilitadores del incidente

Métodos de ejecución

EH 1 Credenciales de

administración

ME 1– Captura masiva de datos en

BBDD en entorno de Producción

IDMétodo de ejecución

Incidentes tipo

RAR

Riesgo para la organización

ME 1 Captura masiva

de datos en

entornos

productivos

IIS1 – Divulgación de la

información

confidencial •

ID

Incidentes

Intencionados

de Seguridad

tipo

Descripción

IIS1 Uso o

divulgación de

la información confidencialcon ánimo de

lucro o crear

daño

reputacional

Acceso y divulgación de información

confidencial (información de clientes,

información de cuentas personales e

información de medios de pago) con el

objetivo de obtener algún tipo de beneficio,

especialmente económico. La divulgación

puede realizarse por diversos medios y/o de

forma masiva al tratarse de datos

estructurados

El beneficio puede ser potencialmente alto.

IDMétodo de

preparaciónEH

Histórico

Riesgo para la

organización

- +

MP 1 Uso de troyanos EH1 – Credenciales de

administrador

EH2 – Credenciales de

desarrollador

EH3 – Credenciales de

usuario

•

AARR CASANDRA



46

ID Métodos de preparación Histórico

MP1 Troyanos •

MP2 Uso indebido de la capacidad funcional •

MP3 Compromiso de credenciales •

MP7 Exploits del sistema operativo •

MP9 Exploits vulnerabilidades web •

ID Métodos de ejecución Histórico

ME1 Acceso a BBDD Producción •

ME4 Acceso a recuperación de Backups •

ME6 Acceso a logs •

ME14 Manipulación de parámetros •

� Credenciales de Administrador

AARR CASANDRA



47

ID Métodos de preparación Histórico

MP1 Troyanos •

MP9 Exploits de Vulnerabilidades Web •

MP10 Denegación de Servicio •

ID Métodos de ejecución Histórico

ME1 Acceso a BBDD Producción •

ME2 Acceso a BBDD no productivas •

� Entorno Web

AARR CASANDRA



48

ID NombreANÁLISIS (R:

Riesgo Mitigado; C:Coste; €: Euros)

C2 Definición de Controles de Seguridad Automáticos e inicio de su implantación en el Ciclo de Vida de Desarrollo Seguro (SCVD)

C5 Estudio de ampliación e implantación en servicios críticos de la monitorización de Base de Datos a través del DAM XXXXX

L6Implantación de una metodología de gestión de incidentes de seguridad

C €

R

C €

R

48

AARR CASANDRA



� Identificación y selección de acciones para alcanzar los objetivos establecidos

C €

R

4949

1 AÑO 2 AÑOS

C5- Estudio de Ampliacióne Implantación enservicios críticos de laMonitorización de BBDDa través de Imperva

C1- FinalizaciónCuerpo Normativo

L6- Desarrollo e

Implantación de una

metodología de gestión

de Incidentes de Seguridad

L1- Implantación del

Sistema de Gestión de la

Seguridad de la

Información (SGSI) y

del estándar ISO 27001.

M1- Procedimientos

para la

securización

del entorno

de usuario

C14- Implantacióndel proceso degestión de riesgos

12 MESES 24 MESES 36 MESES

CORTO PLAZO MEDIO PLAZO LARGO PLAZO

C9- Estudio e implantación de solución de repudio

M3- Implantación de un cuadro demando de la Seguridad de Información

M4- Formalización

del proceso de

revisiones de

seguridad

L4- Plan de Continuidad

para Filiales

C13- Divulgación y Concienciación en materia de Seguridad

M6- Formalizacr

el proceso de

supervisión

de la legislación

aplicable en Filiales

M5- Implantación

de la solución de

Fuga de

Información

C8- Securizaciónde red interna,Perimetral, redesWifi

QUICKWINS

Q1- Desarrollo de políticas parael intercambio de informaciónentre sistemas de negocio

Q2- Desarrollo del proceso degestión de Certificados.

Q3- Definición, segregación yasignación de Roles en laDirección de Sistemas.

Q4- Procedimiento de bienveniday salida del personal desde el

punto de vista de Seguridad.

Q5- Optimización de procesos debackup.

Q6- Ampliación delrobustecimiento de losSistemas de autenticación paraUsuarios remotos especiales.

.

M9- Plan de

Continuidad de

Negocio y SGCN

para Servicios

Centrales

L3- Certificación

Continuidad

de Negocio

BSS 25999

(ISO 22301)

L2- Securización

del entorno de

Usuario. Fase II

L5- Implantación del proceso de gestión

de vulnerabilidades y gestión de parches

C2- SDLC(Fase 1)

AARR CASANDRA



� Materialización de las iniciativas en proyectos

50

C2- SDLC(Fase 1)

AARR CASANDRA



� Agrupación de los proyectos en los dominios de seguridad

Programa Proyecto

P7 – Control Legal

C4 Revisión de legislación aplicable y cumplimiento legal

M6 Formalización del Proceso de Supervisión de la legislación aplicable en Filiales

P8 – Centro de Operaciones

Q5 Optimización de procesos de backup

C9 Estudio e implantación de solución de repudio de operaciones y trazabilidad

P9 – Gestión y Respuesta a Incidentes

C11 Plan de Contingencias para Sedes y Filiales

M9 Plan de Continuidad de Negocio y SGCN para Servicios Centrales.

M10 Estudio de una solución para la Gestión de Crisis.

L3 Certificación Continuidad del Negocio BS 25999 para Sede Central

L4 Plan de Continuidad para Filiales

L6 Implantación de una metodología de gestión de incidentes de seguridad

51

C2- SDLC(Fase 1)

AARR CASANDRA



� Agrupación de los proyectos en los dominios de seguridad

Programa Proyecto

P7 – Control Legal

C4 Revisión de legislación aplicable y cumplimiento legal

M6 Formalización del Proceso de Supervisión de la legislación aplicable en Filiales

P8 – Centro de Operaciones

Q5 Optimización de procesos de backup

C9 Estudio e implantación de solución de repudio de operaciones y trazabilidad

P9 – Gestión y Respuesta a Incidentes

C11 Plan de Contingencias para Sedes y Filiales

M9 Plan de Continuidad de Negocio y SGCN para Servicios Centrales.

M10 Estudio de una solución para la Gestión de Crisis.

L3 Certificación Continuidad del Negocio BS 25999 para Sede Central

L4 Plan de Continuidad para Filiales

L6 Implantación de una metodología de gestión de incidentes de seguridad

52

INTRODUCCIÓN Y ANTECEDENTES AREAS IMPLICADAS TIPO DE PROYECTOEn la actualidad se realiza de forma periódica revisiones de seguridad, pero no se cuenta con una metodología para la gestión de los incidentes ocurridos dentro de la organización y posterior aprendizaje de los mismos para evitar su recurrencia en la medida de lo posible.

El registro y posterior evaluación de dichos incidentes, junto con la revisión de los mismos con la finalidad de conocer las resoluciones anteriores a incidentes ya ocurridos, proporcionan una madurez y control de seguridad que permitan reducir los incidentes en cuanto a su número e impacto.

Seguridad Informática Interno / Externo

DEPENDENCIAS CON OTROS PROYECTOS

N/A

OBJETIVOS Y ESTRATEGIA DE EJECUCIÓN PRESUPUESTODesarrollo de una metodología de gestión de incidentes que contemple:• Establecer la definición y clasificación de un incidente de seguridad.• Habilitar mecanismos para reportar/escalar los incidentes de seguridad.• Definir las acciones a realizar para tratar las incidencias de seguridad.• Implantar la metodología en la Organización a través de la concienciación de usuarios.• Establecer revisiones periódicas del sistema de gestión de incidentes• Definir los mecanismos de interactuación con las iniciativas existentes en cuanto a

continuidad de negocio y contingencias tecnológicas.• Definir los procedimientos para asignar las responsabilidades a las personas necesarias

para que la metodología se ponga en práctica en la Organización.

ALCANCE – ÁMBITO DE APLICACIÓN

El ámbito de aplicación del proyecto es global al Grupo ya que los incidentes de seguridadpueden afectar a la totalidad de los sistemas del Grupo.

ANÁLISIS CUALITATIVO PLANIFICACIÓN

Implantación de una Metodología de Gestión de Incidentes de Seguridad

AARR CASANDRA



Plazos (Laborables) 50 días

Gasto Total Servicios 16.000,00 €

Inversión (Hardware + Software) N/A

Mantenimiento N/A

Presupuesto Total del Proyecto 16.000,00 €

Q1 Q2 Q3 Q4T2C €

R

53

C2- SDLC(Fase 1)

AARR CASANDRA



� Cuadro de Mando

Provisionado

Ejecución

54

C2- SDLC(Fase 1)

AARR CASANDRA



� Skyline: Representación gráfica del nivel de riesgo cubierto por los controles implantados

Gestión Continuidad de Negocio

Políticade

Seguridad

AspectosOrganizati-

vos

Riesgo 0

Gestiónde

Activos

SeguridadRRHH

SeguridadFísica

Gestiónde

Comunicación

Controlde

Acceso

AdquisiciónDesarrollo

GestiónDe

Incidentes

Cumplimien-to

55

4. SCVD

55

56

Antecedentes

MarcoDesarrollosProcesos

Organizativosy Funcionales

Aplicaciones

Arquitectura deSeguridad

SW Base

Sistema Operativo

Hardware

Redes

� Principios Básicos de Seguridad

� Confidencialidad

� Integridad

� Disponibilidad

Fabricado(Necesidad dehacerlo seguro)

Adquirido(Necesidad derobustecerlo)

� Para la securización del desarrollo de un nuevo producto o servicio, no es suficiente con tener en cuenta la

construcción del código y los resultados esperados, ya que este desarrollo está enmarcado en un entorno tecnológico concreto, y su comportamiento depende del mismo

57

SCVD

� La gestión de la seguridad durante el Ciclo de Vida de Desarrollo (SCVD) permite la inclusión de medidas de

control que mitiguen los riesgos tecnológicos asociados al diseño, desarrollo y/o despliegue de cualquier

aplicativo, producto y/o servicio:

� Proceso de Definición del Servicio: conjunto de actividades y tareas orientadas a la obtención de

los requisitos de seguridad del servicio, derivados de los requisitos funcionales iniciales de los

usuarios. También permite obtener el nivel de riesgo y el nivel de impacto asociado a la nueva

aplicación, producto y/o servicio.

� Proceso de Ejecución del Servicio: conjunto de actividades y tareas correspondientes a la revisión y

validación de los requisitos de seguridad detallados, que se definieron previamente en el proceso de

“Definición del servicio”, así como de las medidas de control que permiten satisfacer dichos requisitos

1. Definición del Servicio2. Despliegue del

Servicio

1.1 Análisis

Preliminar

1.1 Informe

de Seguridad

2.1 Diseño e

Implantación

de Seguridad

2.2 Valoración

de

Seguridad

57

58

SCVD. Definición del Servicio

58

59

SCVD. Despliegue del Servicio

59

60

4.1 Práctica:

Seguridad en

Proyectos

60

61

Seguridad en el Ciclo de Vida del

Producto

61

F1

CISO + Diseño Func. RF&S• Informe de

Riesgo

Tecnológico y

Fraude


Riesgo

Tecnológico y

Fraude

Iniciativas

F2

Diseño Func. RF&S+ CISO

• Documento de

entendimiento

• Modelos /

Arquitecturas de

Seguridad

• Dictamen de

Riesgo

Tecnológico


• Documento de

entendimiento

• Modelos /

Arquitecturas de

Seguridad

• Dictamen de

Riesgo

Tecnológico

Análisis y Diseño

F4

Informes de

adecuación de IT

RF&S.

Diseño Func. RF&S• Cumplimiento

dictamen RT.

Gestión del Fraude

• Revisión de

código

• Hacking ético

Informes de

adecuación de IT

RF&S.


dictamen RT.

Gestión del Fraude

• Revisión de

código

• Hacking ético

F4 HW

F4 SW

Implantación

F5

Informes de

control técnico de

RF & S.

VTS• Cumplimiento

dictamen RT.

Gestión del Fraude

• Hacking ético

Informes de

control técnico de

RF & S.

VTS• Cumplimiento

dictamen RT.

Gestión del Fraude

• Hacking ético

F5 HW

F5 SW

Producción

F3

Gestión del Fraude

Certificaciones

específicas de

seguridad

Ingeniería• Homologaciones

HW de seguridad

(DyD Seguridad)• Desarrollo de

piezas de

seguridad

Gestión del Fraude

Certificaciones

específicas de

seguridad


HW de seguridad


piezas de

seguridad

F3 HW

F3 SW

Construcción yPruebas

62

Seguridad en Proyectos

62

F1


Riesgo

Tecnológico y

Fraude


Riesgo

Tecnológico y

Fraude

Iniciativas

F2


• Documento de

entendimiento

• Modelos /

Arquitecturas de

Seguridad

• Dictamen de

Riesgo

Tecnológico


• Documento de

entendimiento

• Modelos /

Arquitecturas de

Seguridad

• Dictamen de

Riesgo

Tecnológico

Análisis y Diseño

F3

Gestión del Fraude

Certificaciones

específicas de

seguridad


HW de seguridad


piezas de

seguridad

Gestión del Fraude

Certificaciones

específicas de

seguridad


HW de seguridad


piezas de

seguridad

F3 HW

F3 SW

Construcción yPruebas

F4

Informes de

adecuación de IT

RF&S.


dictamen RT.

Gestión del Fraude

• Revisión de

código

• Hacking ético

Informes de

adecuación de IT

RF&S.


dictamen RT.

Gestión del Fraude

• Revisión de

código

• Hacking ético

F4 HW

F4 SW

Implantación

F5

Informes de

control técnico de

RF & S.

VTS• Cumplimiento

dictamen RT.

Gestión del Fraude

• Hacking ético

Informes de

control técnico de

RF & S.

VTS• Cumplimiento

dictamen RT.

Gestión del Fraude

• Hacking ético

F5 HW

F5 SW

Producción

63

Seguridad en Proyectos

63

Fase II

Análisis y Diseño

Fase I

Iniciativas

Patrones de

Defensa

(Enterprise Security

Patterns)

Patrones de

Ataque

Cadena de Valor

del Incidente

Fa

se

s S

eg

uri

da

d e

n P

roye

cto

s

64

Patrones de defensa

64

NETNET

� Para representar los Patrones de defensa se muestra por dónde y cómo circula la

información, indicando: los usuarios, los dispositivos, los canales y los programas según

una simbología definida

� Técnica utilizada: MODEL DRIVEN ARQUITECTURE (MDA)

65

Puntos clave

65

66

Puntos clave

66

IncidentesReales

Compartir Información

Necesidad debasarnos en lo real

67

Puntos clave

67

Ataque Cómo nos atacan

Defensa Cómo nos defendemos

Necesidad dedisponer de patrones

IncidentesReales



68

Puntos clave

68

Estado del arte de las tecnologías de seguridad y controles implantados

Ataque Cómo nos atacan

Defensa Cómo nos defendemos

Necesidad dedisponer de patrones

IncidentesReales



69

Ante un panorama oscuro…

69

MUCHAS GRACIAS

CASANDRA en la práctica:

La elaboración de un

Plan Director de Seguridad

Technology

Casandra in Practice: the development of a Security Master Plan / Casandra en la Práctica: la elaboración de un Plan Director de Seguridad