Alineando su Estrategia de Seguridad, Visibilidad y Cumplimiento
Ivan Anaya Systems Engineer
Copyright © 2014 Symantec Corporation2
Agenda
1 Introducción
2 Gestión de Riesgos
3 Leyes y Regulaciones
4 Symantec Control Compliance Suite
Symantec Enterprise Security | ESTRATEGIA DE SEGURIDAD
3
Protección contra Amenazas
ENDPOINTS DATA CENTER GATEWAYS
• Protección contra amenazas avanzada en todos los puntos de control• Built-In Forense y remediación Dentro de cada punto de control• Protección integrada en servidores: On-Premise, Virtuales y Cloud• Gestión basada en la nube para puntos finales, Datacenter y
Gateways
Plataforma Unificada de Analisis de Seguridad
Recolección de logs y telemetria
Unificar Administración de incidentes
Integración Inlinepara Closed-loopInteligencia Accionable
Regional and Industry Benchmarking
Integración del Analisis de las amenazas y su comportamiento
Protección de los Datos
DATA IDENTITIES
• Datos compuestos y Protección de la identidad
• Seguridad para la nube y aplicaciones móviles• Análisis de usuario y comportamientos• Cifrado basado en la nube y administración
de claves
Users
Data
Apps
Cloud
Endpoints
Gateways
Data Center
Servicios de Ciber-Seguridad - Cyber SecurityMonitoreo, Respuesta a incidentes, Simulación, Adversary Threat Intelligence – Protección contra amenazas avanzadas
Copyright © 2015 Symantec Corporation
4
Panorama de AtaquesAtacantes moviéndose rápidamente Incremento de
extorsiones digitalesMalware mas
inteligente
Ataques del Día-Zero Múltiples sectores atacados
5 de las 6 compañías
mas grandes atacadas
317M nuevo
malware creado
1M nuevos threats
diariamente
60% de los ataques
dirigidos a PyME
113% Incremento de
ransomware
45X móviles rehenes
28% del malware fue
“Virtual Machine Aware”
24 Máximo Histórico
Top 5 unpatched
for 295 days
24
Salud+ 37%
Retail+11%
Educación+10%
Gobierno+8%
Financiero+6%
Source: Symantec Internet Security Threat Report 2015
Tendencias Clave Reajustando el Área de la Seguridad Informática
RESURGIMIENTO DE PUNTO FINAL
Cambio rápido a Móviles y IoT
DESAPARICIÓN DEL PERIMETRO
Cada vez menos relevante "difuso"
ADOPCIÓN RAPIDA DE CLOUD
Datos de la empresa y aplicaciones móviles en nube
SERVICIOS Seguridad como servicio
CYBERSECURITYGobiernos y reguladores juegan un papel cada vez mayor
5Copyright © 2015 Symantec Corporation
6
¿Qué tan ágil es su seguridad?
Que tan rápido puede descubrir y asegurar discover & secure?
Si hay cambios en aplicaciones y plataformas, que tan rapido puede ajustar la seguridad en respuesta a estos cambios?
Cómo esta protegiendo aplicaciones criticas corriendo en ambientes legacy y plataformas no soportadas (EOL)?
¿Cuánto tiempo necesita para provisionar seguridad para nuevos sistemas de información, tareas o ambientes?
Si hay una nueva vulnerabilidad crítica, qué tan rápido puede escanear, evaluar y asegurar sus sistemas contra los exploits?
Si algún área se ve comprometida, Qué tan rápido se puede prevenir la propagación de la infección?
Copyright © 2015 Symantec Corporation
Marco General para Identificar Oportunidades en Auditoría y Control de Riesgos: Mapeo Symantec 7
Fundamentos - GRC: Gobierno, Riesgo y Cumplimiento
Copyright © 2014 Symantec Corporation8
Agenda
1 Introducción
2 Gestión de Riesgos
3 Leyes y Regulaciones
4 Symantec Control Compliance Suite
Gestión de Riesgo y Cumplimiento – Principales Preocupaciones
9
Cumplimiento de Leyes
Estar adelante de las amenazas
Tener foco en las prioridades
Construir un programa de riesgos sostenible
Conectar al negocio
Dificultad para traducir problemas tecnológicos a necesidades del negocio.
Sólo 1 de cada 8 departamentos tecnológicos son influenciadores para el negocio
Retos que limitan la Evolución de la Seguridad
10
• Enfoque manual, menor exactitud• Vistas Incompletas• Incapacidad de actualización en ambientes
dinámicos
Recolección de Datos Manual
Operación en Silos
• Áreas tecnológicas vistas como el “Dr No”• Visibilidad limitada en operaciones tecnológicas• Incapacidad de comunicar en términos del negocio
• Propensos a errores o disputas• Limitado a una captura estática• Falta de métricas para el seguimiento
Evaluaciones Subjetivas
11
Como Enfrentar los Retos
2
• Plantear conclusiones justificadas
• Priorizar problemas basados en riesgos del negocio en lugar de su severidad técnica
• Remediación basada en prioridades
Priorización Basada en Riesgos
1
• Transmitir el impacto de los riesgos tecnológicos en términos relevantes al negocio• Impulsar conciencia,
acciones y responsabilidad basado en métricas
• Eliminación de silos entre áreas de seguridad y operativas
Mejorar la Visibilidad
3
• Evaluaciones automáticas y ciclo de vida de la remediación
• Simplifica el proceso de evaluaciones continuas para tener información exacta y actualizada
• Habilitación de respuesta a incidentes sobre demanda
Automatización
12
Centrado en Cumplimiento
Centrado en Riesgo
• Impulsado por mandatos externos
• Foco en pasar/fallar puntos de control
• Alto número de auditorias
• Necesidades Internas y Contexto Externo
• Foco en mejora continua• Acciones basadas en priorización de
riesgos• Soluciones holísticas para Negocio
Gestión de Riesgo y Cumplimiento – Principales Preocupaciones
Copyright © 2014 Symantec Corporation13
Agenda
1 Introducción
2 Gestión de Riesgos
3 Leyes y Regulaciones
4 Symantec Control Compliance Suite
14
Causas Principales de la Fuga de DatosFuente: Symantec
Hackers
Datos Publicados Accidentalmente
Robo o Pérdida de Equipo o USB
Robo Interno
Desconocido
Fraude
34%29%
27%6%
2%2%
87
72
69
15
6
4
253TOTAL
Cantidadde Incidentes
Combinados, el robo o pérdida de un dispositivo + la fuga accidental representó el 56% de los incidentes de violación de datos.
#ISTR #Symantec
Regulaciones y Leyes Mejores Prácticas y Marcos
Regulaciones, Leyes, Mejores Prácticas
ISO/IEC 27002:2005
COSO Enterprise Risk Management
ISO/IEC 27001:2013
CobiT 3, 4, 4.1NIST SP 800-53 Rev. 3
DISA STIG
ISO 18001
PCI DSS v2.0Basel II
Sarbanes-OxleyFIEL Guidance for J-SOX
UK: Data Protection Act
NIST SP 800-122Gramm Leach Bliley Act
HIPAA
NERC CIP 002-009
ISO 9001:2000
HITECHSYMANTEC CONFIDENTIAL. Copyright © 2012 Symantec Corporation. All Rights Reserved.
16
Seguridad de la Información y Cumplimiento Regulatorio…..
• Sudeban (Venezuela)
• Resol. JB 3066:2014 (Ecuador)
• Circular 042 SF (Colombia)
• Ley 1581 Protección de datos (Colombia
• Ley LFPDPPP (México)
• Ley 19.628 Protección de datos (Chile)
Copyright © 2014 Symantec Corporation17
Agenda
1 Introducción
2 Gestión de Riesgos
3 Leyes y Regulaciones
4 Symantec Control Compliance Suite
EVALUACIÓN CONTROLES
EVIDENCIA
Vision de Symantec para la Gestión de Riesgo y Cumplimiento
Ambiente
PLAN• Definición de Riesgos y Objetivos del
Negocio• Creación de Políticas y Mandatos• Mapeo de Controles
REPORTEO• Demostración de niveles de
cumplimiento• Correlación de riesgos y activos del
negocio• Gráficos de nivel ejecutivo
\EVALUACIÓN• Identificación de desviaciones de
estándares técnicos• Descubrimiento de
vulnerabilidades críticas• Evaluación de controles• Información de terceros
REMEDIACIÓN
• Priorización basada en el riesgo• Seguimiento del proceso de
remediación• Integración con Mesas de Ayuda
StakeholdersSecurity / Audit IT / Operations Business / Mgmt.
ASSETS CONTROLS
EVIDENCE
EVALUACIÓN CONTROLES
EVIDENCIA
Symantec Control Compliance Suite – Overview
Ambiente
PLAN
• Define business risk objectives• Create policies for multiple mandates• Map to controls and de-duplicate
REPORT• Demonstrate compliance to multiple
stakeholders• Correlate risk across business assets• High level dashboards with drill down
\ASSESS• Identify deviations from technical
standards• Discover critical vulnerabilities• Evaluate procedural controls• Combine data from 3rd party sources
REMEDIATE
• Risk-based prioritization• Closed loop tracking of deficiencies• Integration with ticketing systems
PLAN REPORTEO
\EVALUACIÓN REMEDIACIÓN
CCS
Stan
dard
s M
anag
er
CCS
Asse
ssm
ent
Man
ager
Sym
ante
c &
Exte
nded
Dat
a Co
nnec
tors
CCS Reporting & Analytics
CCS Dynamic Dashboards
Symantec ServiceDesk
3rd Party Ticketing
Integration
Symantec Workflow
Integration
CCS Policy Manager
CCS Risk Manager
CCS Content
StakeholdersSecurity / Audit IT / Operations Business / Mgmt.
CCS
Vend
or
Risk
Man
ager
*
20
Enfo
que A
scen
dent
e
Enfoque AscendenteEVALUACIÓN CONTROLES
EVIDENCIA
Base de Datos Relacional
Controles Técnicos Nativos
1 Cuestionarios2 Información de Terceros
3
Reportes y Gráficos
4
Vision Symantec - Gestión de Riesgo y Cumplimiento
Solving IT Risk and Compliance Challenges
Definir, Divulgar y Gestionar PolíticasControl Compliance Suite Policy Manager
• Políticas pre-configuradas (Out-of-box)
• Políticas alineadas a controles
• Actualizaciones automáticas de regulaciones
• Ciclo de vida de políticas de TI automático
Corporate Policy Lifecycle
1. Define 2. Review
5. Track Acceptances/ Exceptions
3. Approve
4. Distribute
21
Automatizar la Valoración de Riesgos de Activos de Información y la carga de ControlesControl Compliance Suite Standards Manager
1. Define Standards
3. Analyze and Fix
2. Managed/Unmanaged Assets
Evaluate (agent and/or agent-less)• Evaluación automática de controles técnicos
• El mejor contenido pre-empacado de su clase
• Administración de excepciones
• Soporte de colección de datos basado en agentes y sin agentes
22Solving IT Risk & Compliance Challenges - Symantec Confidential
Evaluación Automática de Controles y ProcedimientosControl Compliance Suite Assessment Manager• Evaluación automática de controles
procesales
• Remplazo de procesos manuales costosos
• Cuestionarios Web
• Cobertura de 60+ regulaciones/marcos
• Seguimiento de respuestas, aceptaciones, excepciones y requerimientos de clarificaciones
• Entrenamientos de seguridad – Evaluación del riesgo a proveedores
Consolidate responses
Administer Survey
Analyze Results
Distribute via web
Respondents
23Solving IT Risk & Compliance Challenges - Symantec Confidential
Solving IT Risk & Compliance Challenges - Symantec Confidential24
Valoraciones de riesgos en Terceras Partes
• Programa de evaluación de riesgos a proveedores escalable
• Puntuaciones calculadas automáticamente basadas en evidencia
• Niveles de proveedores basados en el riesgo de la información y criticidad del negocio
• Repositorio centralizado basado en Web
Control Compliance Suite Vendor Risk Manager
Assign vendor
tier
Initiate vendor assessment schedule
Collect vendor
evidence
Route and review
submitted evidence
Authorize or remediate
vendor
Continuous vendor risk monitoring
Vendor Risk Manager
Administración y Recolección Centralizados de datos y evidenciasControl Compliance Suite Infrastructure• Combinación de evidencia de
múltiples sistemas
• Formato de evidencias y mapeo de políticas y regulaciones
• Vistas con información del cumplimiento
• Mayor visibilidad en lis riesgos de TI
• Minimizar tareas administrativas
External Evidence System
Evidence Provider
Control Compliance Suite
Control Compliance Suite
Connect to Evidence Provider
1
Collect evidence
Format and store data
Map data to policiesand regulations
Triggerdata evolution
Triggerreporting job
Control Compliance Suite
3
2
5
4
6
25Solving IT Risk & Compliance Challenges - Symantec Confidential
Mitigación Basada en Riesgo Control Compliance Suite Infrastructure• Asignación de puntuación de
riesgos y puntuación de complimiento
• Priorización de tareas de remediación
• Integración con mesas de ayuda de terceros
• Integración con Symantec ServiceDesk
• Guías de remediación detalladas para una respuesta más ágil
26Solving IT Risk & Compliance Challenges - Symantec Confidential
Definición de Objetivos de Seguridad, Riesgo, Cumplimiento y MétricasControl Compliance Suite Risk Manager• Definición de riesgos y
umbrales basados en el negocio
• Mapeo de riesgos a activos, controles y dueños
• Generación de gráficos basados en riesgo para diferentes usuarios
• Reducción del riesgo sobre el tiempo
• Remediación del riesgo basado en prioridades del negocio
Overall Risk Score: 8.8
Overall Risk Score: 6.9
Overall Risk Score: 2.1
Overall Risk Score: 1.3
My Online Web StoreHigh exposure to current malware threatsHigh # of compliance assessment failureNo evidence on successful incident response testing
HR SystemMedium exposure to current malware threatsHigh # of compliance assessment failureNo evidence on successful incident response testing
Inventory SystemLow exposure to current malware threatsNo compliance failures
Finance SystemLow exposure to current malware threatsZero information leakage incidents
27Solving IT Risk & Compliance Challenges - Symantec Confidential
Generación de Reportes de Riesgo y Cumplimiento, Atención automáticade AuditoriasControl Compliance Suite Infrastructure
• Gráficos y reportes dinámicos
• Combinar información de CCS e información de terceros
• Múltiples vistas y filtros
• Gráficos granulares y detallados
• Reportes personalizables a múltiples niveles
Risk dashboard
28Solving IT Risk & Compliance Challenges - Symantec Confidential
Copyright © 2014 Symantec Corporation29
Metodología de consultoría
ASSESS DESIGN TRANSFORM OPERATE
El modelo ADTO utiliza cuatro fases para la entrega de los servicios que son comúnmente utilizadas en la industria de IT. Las fases se describen a continuación:
• Assess (Valorar/Evaluar):Obtener un entendimiento del ambiente del cliente y los requerimientos de la solución.
• Design (Diseño): Entender los requerimientos del cliente al nivel necesario para diseñar una solución y definir su arquitectura.
• Transform (Transformar/Implementar): Implementar o actualizar una solución
acorde con su diseño.
• Operate (Operar): Proveer servicios de operación de la solución o soluciones implementadas.
Copyright © 2014 Symantec Corporation30
Servicios de consultoría
ASSESS DESIGN TRANSFORM OPERATE
Servicios
para soluciones Symantec
HealthCheck Diseño y Arquitectura de solución
StartUp Full implementation QA & QC
Bolsa de horas Servicio de residente Workshops de
entrenamiento
Servicios
de Gestión y Riesgos
PenTest Risk Assessment Compliance/GAP
assessment (regulatory, PCI, security standards)
ISMS (ISO 27001) Awareness Program CSIRT
ISMS (ISO 27001) Awareness Program CSIRT
Servicio de residente: CISO Security Analyst Incident Analyst
Bolsa de horas
PM Project Management
Copyright © 2014 Symantec Corporation 31
&Q A
Thank you!
Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Ivan [email protected]
Recommended