Privacidad y Protección de la
Información, Mito o Realidad
Eduardo Cocina, CISA, CGEIT, CRISC
Socio Deloitte
Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL
Gerente Senior Deloitte
Problemática Actual
¿Mito o Realidad?
2
Cibercrimen¿Nos puede pasar a nosotros?
Los principales objetivos del CiberCrimen:
- Robo de identidades - Robo de datos
- Fraude - Afectación a la imagen / reputación 3
Preguntas Clave
¿Qué información está dejando nuestra red y a dónde se está
dirigiendo?
¿Quién realmente se está firmando a nuestra red y desde dónde?
¿Sabe cuánto valen los datos en su negocio?
¿Conoces cuánto cuesta una fuga de información para tu empresa?
Cibercrimen¿Nos puede pasar a nosotros?
4
Incid
en
tes r
ep
ort
ad
os
Fuente: Open Security Foundation
5
NAA: Names
SSN: Social Security Numbers
MISC: Miscellaneous
DOB: Date of Birth
MED: Medical
ADD: Addresses
BIZ: Business
GOV: Government
MED: Medical
EDU: Educational
Fuente: Open Security Foundation
6
Procesos de Negocio
Sistemas de Monitoreo que permiten acceder a datos transaccionales
Archivo y Eliminación no controlada de información sensitiva
Inadecuados perfiles de acceso permiten que usuarios puedan acceder a información que no deberían ver
Tercerización de Procesos sin adecuados controles
Publicación de información de la
empresa en Internet (redes sociales) o almacenados en la
“nube”
Desarrolladores que acceden a datos en
Producción
Información
Información Sensible no
encriptada en las Bases
Problemática Actual
7
8
Ataques dirigidos
Ataques no
dirigidos
Fuga de
información
Factor
Humano
Falta de conciencia
Falta de ética La información tiene valor en el
mercado
Pérdida de mercado
Penalizaciones
Daño de imagen
Posición desfavorable
en negociaciones
Información
Crear
Procesar
Almacenar
Transferir
Respaldar
Eliminar
Riesgos
Soluciones conjuntas
9
Autorizar y autenticar Roles y perfiles apropiados
Control de accesos a
clientes y usuarios
Evitar
fugas de información sin inhibir al negocio
Identificar quién es quién en el acceso a
los recursos de la empresa
Proteger información sensitiva
Visión de los procesos de administración de accesos e Identidades, y protección de fugas de información
La seguridad de información es un proceso de transformación del negocio que
involucra procesos, gente y tecnología.
11
Protección de Fugas de
Información
12
13
Información
• Descubrimiento de
información
• Identificación de
información crítica
• Identificación de flujo
que siguen los datos
críticos
• Identificación de
accesos
• Clasificación de
información
• Identificación de
acciones
Lectura
Modificación
Transmisión
Impresión
Copiado
Almacenado
Eliminación
• Análisis de riesgos
• Alertar
• Notificar
• Avisar
• Prevenir
• Bloquear
• Cifrar
• Enmascarar Redes
Dispositivos
Aplicaciones
¿A dónde se van
nuestros datos?
Controlar Diseñar
¿Qué hace el usuario
con estos datos?
¿Dónde se encuentran los
datos sensibles?
¿Qué Políticas y acciones de
Protección debo implementar?
Registros de Auditoría
Analizar
Modelo de implementación por capas
14
Administración de accesos
e identidades.
15
Los retos en el control de las identidades digitales
Las organizaciones almacenan y procesan cada vez más información
sensitiva y crítica para su operación, al mismo tiempo, el rápido crecimiento
en el número de usuarios, internos y externos que requieren acceso a
múltiples fuentes de datos y con distintos niveles de privilegios, representa
todo un reto en cuanto a:
• Otorgar acceso a múltiples
recursos en tiempos razonables
• Otorgar los accesos con
privilegios adecuados
• Evitar conflictos de segregación
de funciones
• Administrar el ciclo de vida de la
identidad
• Habilitar la operación, proteger la
información y evitar riesgos.
• Auditar y certificar el acceso de
usuarios
• Dar cumplimiento a leyes y
regulaciones
16
Visión del Proceso de Administración de Accesos e Identidades.
La administración de acceso e identidades es un proceso más de negocio que
cubre todo el ciclo de vida de un usuario, desde el comienzo hasta el fin de la
relación:
17
Beneficios de la implementación de un proceso de control de acceso y administración de identidades
Riesgos / Cumplimiento
• Eliminación de riesgos por
cuentas “fantasma”
• Control de usuarios privilegiados
• Eliminación de cuentas
compartidas
• Segregación de funciones
• Alineación a leyes y regulaciones
• Transparencia / Visibilidad /
Trazabilidad
Costos:
• Procesos de incorporación de
usuarios eficientes
• Disminución de costos por
atención de usuarios
• Automatización y optimización
de los procesos del negocio
• Procesos eficientes de auditoría
Negocio / Usuario
• Eliminación de múltiples cuentas
• Autoservicio
• Incremento en la satisfacción de usuarios / clientes 18
Conclusiones
19
CAPACIDADES
Soluciones multi-plataforma
CAPACIDADES
Foco en integración de soluciones corporativas
Metodologías probadas
Personal capacitado
Posicionamiento como trusted advisor
Servicios profesionales de implementación
Ambientes físicos, virtuales y en la Nube
Soluciones probadas en el mercado
Propuesta de valor
• Apoyar al cumplimiento de normas y regulaciones ofreciendo herramientas de manejo de evidencias
• Control y gestión de identidades, accesos y uso de información sensitiva basado en el contexto del usuario (“Content-Aware IAM”)
• Integración completa de proyectos de control de riesgo (arquitecturas, metodologías, implementación y soporte)
• Fortalecer el ofrecimiento consultivo y de auditoria con soluciones que automaticen los controles de seguridad que las mejores prácticas proponen
IAM punto a punto
Orientado a temas regulatorios
Controles tecnológicos
Control de riesgo total
Ofrecimiento de mercado
Mensajes Clave que tienen que llevarse
22
Por mas tecnología que una organización implemente, siempre hay un Factor Humano
1
El Factor Humano es el eslabón más débil de la cadena 2
Las amenazas son crecientes y reales y ahora están dirigidas, ya que son realizadas por organizaciones
criminales!! 3
El Paradigma de seguridad cambió: ya no es sólo cuestión de protegerse de la amenaza exterior, sino proteger la
información que sale; “No es lo que entra, sino lo que sale!”
4
© 2012 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Por el bien de todos…
… Evitemos la falsa sensación de seguridad o
confianza excesiva.
23
Preguntas
24