Pilares
- Innovacion
- Desarrollo Tecnologico al ritmo de la empresa.
- Difusion
- Organizacion de Congresos.
- Transferencia.
- Creacion y Participacion en grupos de expertos.
- Formacion
- Preparar profesionalmente a los profesionales TIC's en areas con potencial de negocio (Programas de Excelencia).
- Los riesgos my las vulnerabilidades son cada vez mas diversos y menos visibles.
- Preocupaciones:
- 40% Compartir Datos.
- 30% Robo de Identidades.
- 15% Gestion de Riesgos.
- 15% Otros.
- La seguridad en los sistemas falla en muchos casos no por falta de soluciones tecnicas.
- En muchos casos las empresas que no proporcionan seguridad no sufren de manera "directa" el coste del fallo.
- Las consideraciones economicas de la seguridad son mas importantes que las tecnicas.
- ¿Gastamos suficiente o demasiado en mantener a los hackers fuera de nuestros sistemas?
- ¿Gastamos nuestros presupuestos de seguridad en los aspectos correctos?
- El nivel gasto en Seguridad Informatica es en muchos casos el adecuado.
- La seguridad de la informacion es un riesgo del negocio.
- Las tecnologias de red son las mismas para todos los negocios, pero los riesgos son individuales para cada negocio.
- La capacitacion de los recursos humanos es un problema grave.
- Outsourcing si pero ¿como?
- La seguridad de la informacion necesita de soluciones cada vez mas seguras.
- Enfoque proactivo al desarrollo de software seguro - La opcion "patch" es cada dia menos viable.
- La Bolsa de Rusia suspende operaciones por 2 horas (2 Febrero 2006) por un error en la seguridad.
- El Hotel Marriot pierde cintas de back-up con informacionm sobre mas de 200 000 clientes de Marriot Vacation Club International.
- La Comision Europea termina un draft de la "Data-Redention Directive" que obliga a operadores de telecomunicacion a guardar registro de las comunicaciones de voz e Internet en los estados miembro.
- Atlantis Resort "pierde" 55000 datos sobre clientes de su negocio.
- La globalizacion esta multiplicando y fortaleciendo los vinculos europeos con el resto del mundo.
- A traves de Internet y otros medios de difusion es posible difundir de manera rapida y efectiva el "know-how".
- Las infraestructuras de transporte, energia , informacion estan cada vez mas interconectadas, lo que aumenta su vulnerabilidad.
- La tecnologia no puede garantizar la seguridad pero la seguridad sin tecnologia es imposible.
- La seguridad es un prerrequisito para multiples politicas y servicios.
- En temas de seguridad de la informacion:
- Inicialmente el mercado se enfoco hacia la seguridad perimetral, firewall, antivirus...
- Seguidamente pasamos a considerar nuestras redes para proteger las aplicaciones
- Los sistemas de informacion existen por una unica razon ......... los datos.
- La seguridad es por tanto la proteccion y el acceso a los datos.
- Sin embargo VAMOS AL REVES!!! la proteccion no esta cerca de los datos.
- En los ultimos 5 años:
- Gasto en SW de antivirus, firewall/VPN: mas de 19 billones de €.
- Gasto en SW de encriptacion: menos de la decima parte.
- Enfoque hacia la seguridad de los datos:
- Nuevos modelos, analisis.
- Examinar con detenimiento las aplicaciones que acceden, almacenan y gestionan los datos.
- Situacion Europea
- Gasto 2000-2004 en tecnologias de la seguridad: 50 Billones de €.
- Crecimiento en gasto: 18-20% anual.
- CERT: el numero de ataques se doblan anualmente.
- El perfil del hacker y su intencion han cambiado.
- De la fama a la fortuna.
- 40 millones de tarjetas de credito CardSystems.
- £220 Sumitomo Bank.
- Sin informacion sobre el contexto del usuario o su role el robo de identidades y el fraude son riesgos latentes.
- Los riesgos llecvana la desconfianza y en ultimo termino a daños economicos. Ejm: phishing.
- La percepcion dela seguridad varia desde una oportunidad de generacion de negocio hacia un mecanismo para evitar gastos adicionales.
- Soluciones tecnologicas centradas en los datos:
- Integridad de Datos: AAA y Gestion de Derechos.
- Seguridad End-Point: Seguridad Embebida.
- Integridad Infraestructuras: Antispyware, firewalls basadas en XML y arquitecturas Web Services.
- La integridad del usuario final es crucial para asegurar la confianza en el medio.
- Supuestos de base
- Usuario Final (End Point): Dispositivo con capacidad de establecer una transaccion.
- La seguridad empieza con el establecimiento de una politica.
- Identificar las protecciones de seguridad relacionadas con una determinada funcionalidad.
- Definir el proposito de un nodo y sus relaciones.
- El contexto del dispositivo demanda diferentes politicas de seguridad.
- Asegurar el "end-point" no es el final del problema.
- Como fuente de datos, el "end-point" debe asegurarse:
- No se trata de incorporar "otro" nuevo equipo.
- Debemos identificar los riesgos criticos.
- Proponer un sistema de gestion de esos riesgos.
- Los principales activos de la informacion- organizacion.
- Los desarrolladores de SW han de adoptar nuevas practicas de desarrollo
- Pensar como los "chicos malos"
- Uso de tecnicas de modelado de "amenazas"
- Check-Lists vs entendimiento en el desarrollo
- Poner en el enfasis en el que hacer mas que en el porque hacerlo
- Se pierde la perspectiva del sistema
- Un componente se asegura pero el sistema queda desguarnecido.
- Todos los usuarios han de estar protegidos
- El sistema como objetivo en el desarrollo frente al usuario.
- Lo que el software NO debe hacer mas alla de lo que el software debe hacer.
- Los ingenieros QA centrar sus esfuerzos en diseñar programas de testeo que verifican la funcionalidad.
- El software funciona, no es suficiente.
- El software seguro se centra en entender que ocurre para que el software cumpla su funcionalidad.
- Debemos revisar el uso que hacemos de nuestros presupuestos de seguridad.
- El enfoque ha de estar en la seguridad de los datos.
- La proteccion de la identidad aumenta la confiabilidad de nuestros sistemas y mantiene nuestro negocio en linea.
- La seguridad no debe entenderse necesariamente como un aumento del negocio sino como herramienta para mantener nuestra porcion del mercado.
- Analizar los riesgos, definir nuestro capital de informacion y desarrollar un sistema - equipos, software y politicas que respondan a las necesiades "unicas" de nuestro negocio.
- Debemos contextualizar al usuario final (servidor o dispositivo) para gestionar la identidad.
- Los desarrollos y los desarrolladores deben formarse en un entorno de seguridad. Lo que el software no debe hacer.
- La formacion es primordial.
- Algunas lineas de desarrollo
- El contexto como mecanismo de generacion de autoconfianza.
- Integridad de Red y Datos.
- Seguridad Embebida.
- Inspeccion y Testeo de codigo - perspectiva de seguridad
0 comentarios:
Publicar un comentario