jueves, 24 de marzo de 2011

Panorama Actual de la Seguridad de la Informacion: Retos y Oportunidades

Asociacion Innovalia
Pilares

  • Innovacion
    • Desarrollo Tecnologico al ritmo de la empresa.
  • Difusion
    • Organizacion de Congresos.
  • Transferencia.
    • Creacion y Participacion en grupos de expertos.
  • Formacion
    • Preparar profesionalmente a los profesionales TIC's en areas con potencial de negocio (Programas de Excelencia).
Seguridad de la Informacion
  • Los riesgos my las vulnerabilidades son cada vez mas diversos y menos visibles.
  • Preocupaciones:
    • 40% Compartir Datos.
    • 30% Robo de Identidades.
    • 15% Gestion de Riesgos.
    • 15% Otros.
  • La seguridad en los sistemas falla en muchos casos no por falta de soluciones tecnicas.
  • En muchos casos las empresas que no proporcionan seguridad no sufren de manera "directa" el coste del fallo.
  • Las consideraciones economicas de la seguridad son mas importantes que las tecnicas.
  • ¿Gastamos suficiente o demasiado en mantener a los hackers fuera de nuestros sistemas?
  • ¿Gastamos nuestros presupuestos de seguridad en los aspectos correctos?
  • El nivel gasto en Seguridad Informatica es en muchos casos el adecuado.
  • La seguridad de la informacion es un riesgo del negocio.
  • Las tecnologias de red son las mismas para todos los negocios, pero los riesgos son individuales para cada negocio.
  • La capacitacion de los recursos humanos es un  problema grave.
  • Outsourcing si pero ¿como?
  • La seguridad de la informacion necesita de soluciones cada vez mas seguras.
  • Enfoque proactivo al desarrollo de software seguro - La opcion "patch" es cada dia menos viable.
  • La Bolsa de Rusia suspende operaciones por 2 horas (2 Febrero 2006) por un error en la seguridad.
  • El Hotel Marriot pierde cintas de back-up con informacionm sobre mas de 200 000 clientes de Marriot Vacation Club International.
  • La Comision Europea termina un draft de la "Data-Redention Directive" que obliga a operadores de telecomunicacion a guardar registro de las comunicaciones de voz e Internet en los estados miembro.
  • Atlantis Resort "pierde" 55000 datos sobre clientes de su negocio.
Proteccion Nivel de Datos
  • La globalizacion esta multiplicando y fortaleciendo los vinculos europeos con el resto del mundo.
  • A traves de Internet y otros medios de difusion es posible difundir de manera rapida y efectiva el "know-how".
  • Las infraestructuras de transporte, energia , informacion estan cada vez mas interconectadas, lo que aumenta su vulnerabilidad.
  • La tecnologia no puede garantizar la seguridad pero la seguridad sin tecnologia es imposible.
  • La seguridad es un prerrequisito para multiples politicas y servicios.
  • En temas de seguridad de la informacion:
    • Inicialmente el mercado se enfoco hacia la seguridad perimetral, firewall, antivirus...
    • Seguidamente pasamos a considerar nuestras redes para proteger las aplicaciones
    • Los sistemas de informacion existen por una unica razon ......... los datos.
    • La seguridad es por tanto la proteccion y el acceso a los datos.
    • Sin embargo VAMOS AL REVES!!! la proteccion no esta cerca de los datos.
    • En los ultimos 5 años:
      • Gasto en SW de antivirus, firewall/VPN: mas de 19 billones de €.
      • Gasto en SW de encriptacion: menos de la decima parte.
  • Enfoque hacia la seguridad de los datos:
    • Nuevos modelos, analisis.
    • Examinar con detenimiento las aplicaciones que acceden, almacenan y gestionan los datos.
  • Situacion Europea
    • Gasto 2000-2004 en tecnologias de la seguridad: 50 Billones de €.
    • Crecimiento en gasto: 18-20% anual.
    • CERT: el numero de ataques se doblan anualmente.
  • El perfil del hacker y su intencion han cambiado.
    •  De la fama a la fortuna.
      • 40 millones de tarjetas de credito CardSystems.
      • £220 Sumitomo Bank.
  • Sin informacion sobre el contexto del usuario o su role el robo de identidades y el fraude son riesgos latentes.
  • Los riesgos llecvana la desconfianza y en ultimo termino a daños economicos. Ejm: phishing.
  • La percepcion dela seguridad varia desde una oportunidad de generacion de negocio hacia un mecanismo para evitar gastos adicionales.
  • Soluciones tecnologicas centradas en los datos:
  • Integridad de Datos: AAA y Gestion de Derechos.
  • Seguridad End-Point: Seguridad Embebida.
  • Integridad Infraestructuras: Antispyware, firewalls basadas en XML y arquitecturas Web Services.  
  • La integridad del usuario final es crucial para asegurar la confianza en el medio.
  • Supuestos de base
    • Usuario Final (End Point): Dispositivo con capacidad de establecer una transaccion.
    • La seguridad empieza con el establecimiento de una politica.
    • Identificar las protecciones de seguridad relacionadas con una determinada funcionalidad.
    • Definir el proposito de un nodo y sus relaciones.
    • El contexto del dispositivo demanda diferentes politicas de seguridad.

  • Las tecnologias que aplicamos son un prerrequisito para asegurar el cumplimiento de las politicas de seguridad.







  • Asegurar el "end-point" no es el final del problema.
  • Como fuente de datos, el "end-point" debe asegurarse:
    • No se trata de incorporar "otro" nuevo equipo.
    • Debemos identificar los riesgos criticos.
    • Proponer un sistema de gestion de esos riesgos.
    • Los principales activos de la informacion- organizacion.
  • Los desarrolladores de SW han de adoptar nuevas practicas de desarrollo
    • Pensar como los "chicos malos"
    • Uso de tecnicas de modelado de "amenazas"
  • Check-Lists vs entendimiento en el desarrollo
    • Poner en el enfasis en el que hacer mas que en el porque hacerlo
    • Se pierde la perspectiva del sistema
    • Un componente se asegura pero el sistema queda desguarnecido.
  • Todos los usuarios han de estar protegidos
    • El sistema como objetivo en el desarrollo frente al usuario.
  • Lo que el software NO debe hacer mas alla de lo que el software debe hacer.
  • Los ingenieros QA centrar sus esfuerzos en diseñar programas de testeo que verifican la funcionalidad.
  • El software funciona, no es suficiente.
  • El software seguro se centra en entender que ocurre para que el software cumpla su funcionalidad.
  • Debemos revisar el uso que hacemos de nuestros presupuestos de seguridad.
  • El enfoque ha de estar en la seguridad de los datos.
  • La proteccion de la identidad aumenta la confiabilidad de nuestros sistemas y mantiene nuestro negocio en linea.
  • La seguridad no debe entenderse necesariamente como un aumento del negocio sino como herramienta para mantener nuestra porcion del mercado.
  • Analizar los riesgos, definir nuestro capital de informacion y desarrollar un sistema - equipos, software y politicas que respondan a las necesiades "unicas" de nuestro negocio.
  • Debemos contextualizar al usuario final (servidor o dispositivo) para gestionar la identidad.
  • Los desarrollos y los desarrolladores deben formarse en un entorno de seguridad. Lo que el software no debe hacer.
  • La formacion es primordial.
  • Algunas lineas de desarrollo
    • El contexto como mecanismo de generacion de autoconfianza.
    • Integridad de Red y Datos.
    • Seguridad Embebida.
    • Inspeccion y Testeo de codigo - perspectiva de seguridad
Extraido del Dr Oscar Lazaro. Innovalia Association. Junio 2006. Malaga.

0 comentarios:

Publicar un comentario