Presentación Rubén Vergara

transcript

RUBÉN VERGARA CRUZ.JEFE DE SEGURIDAD Y CONTINUIDAD OPERACIONAL

“Tips and Tricks” en Seguridad TI

¿Quién soy?

Sugerencias para ingresar al mundo de la seguridad TI

Algunos postulados esenciales en Seguridad TI

Seguridad en el ámbito de las Aplicaciones

¿Qué considerar al momento de adquirir un control?

Agenda

¿Quién soy?

Ingeniero Civil Electrónico de la Universidad Técnica Federico Santa María

Con 17 años de experiencia en seguridad de la información y continuidad de negocios, en el sector civil y militar.

Miembro de ISACA, (ISC)², ISSA, DRII, BCI y EC-Council.

Diplomado en Seguridad Informática de la Universidad de Chile.

CISSP, CISM, CHFI, ABCP, AMBCI, Cobit Foundation.

Sugerencias para ingresar al mundo de la seguridad TI

Participar en charlas, seminarios, webinars, etc.

Ser miembro de instituciones profesionales en Seguridad de la Información (ISC2, ISACA, ISSA, OWASP, DRII, etc).

Obtener conocimiento por medio de: Magister, Diplomados, Cursos. Certificaciones Internacionales (CISSP, CISM, CEH, CISA, CHFI, etc.)

Establecer redes de contacto.

“Aprender haciendo”,… pero siempre en ambientes controlados ( Hacking Dojo, Damn Vulnerable Web Application (DVWA), etc.) y personales.

La Seguridad TI es parte de la Seguridad de la Información,y tienen por objetivo la Confidencialidad, Integridad y Disponibilidad de la Información (CIA en inglés).

La seguridad es un proceso no un proyecto.

La seguridad 100% no existe.

No existen las balas de plata.

Principio del 80/20 en seguridad.

El nivel de protección depende del valor de lo que se quiere proteger.

Toda evaluación de seguridad debe contemplar la Triada CIA.

Los riesgos se Aceptan, Mitigan, Transfieren o Eliminan.

No a la seguridad por obscuridad. No es lo mismo que la confidencialidad.

El mundo cambia y los ataques también.

Cada organización es un mundo diferente, y no todos los controles calzan perfectos.

Seguridad en el ámbito de las Aplicaciones

¿Qué ámbito de seguridad revisaremos?

Disponer de un ciclo de vida de desarrollo de software formalizado.

Seguridad en el ámbito de las Aplicaciones.

Capacitación formal y específica en desarrollo seguro. OWASP: XSS e Inyección de Código (SQL Injection).

Establecer librerías de seguridad.

Establecer un estándar de desarrollo seguro.

QA y un checklist de seguridad, considerando el estándar. Manual y Automático (ZAP, Acunetix, etc.).

Ethical Hacking periódicos, con y sin credenciales, etc.

Control de cambios y versiones.

Ambientes iguales, separados y controlados(Desarrollo, Pruebas y Producción).

Arquitectura de alta disponibilidad en toda la cadena.

Monitorear continuidad de servicios (in/out).

Plan de Recuperación de Desastres (DRP).

RTO / RPO Seguridad en redes (segmentación, calidad de servicio, etc.)

Auditar los controles de seguridad TI (interna/externa).

Firewall de Aplicaciones Web (WAF), algunas consideraciones:

Constante ajuste (“Tunning”) de los bloqueos y alarmas.

Minimizar la cantidad de excepciones. El WAF compra tiempo.

Control de Configuración.

Implementar reglas en todos los ambientes.

Bloqueo de herramientas de scan, etc.

Cumplimiento con la funcionalidad requerida

Valor (proporción calidad/precio)

Escalabilidad

Costos extra (hardware, software, horas-hombre)

Facilidad de uso

Nivel de soporte

Nivel de entrenamiento

Donde está, en Chile

Permanencia de la empresa

Integración con otras soluciones

Dificultad de implementación

Proyección de mejoras y productos futuros

Qué dicen las evaluaciones externas (Gartner)

“El conocimiento es la mejor inversión que se puede hacer”

Abraham Lincoln

¡¡ MUCHAS GRACIAS !!!

Presentación Rubén Vergara

Education