Embed Size (px)
DESCRIPTION
Conoce más acerca de estrategias sobre cómo las grandes empresas protegen y respaldan su información a través de planes de continuidad de negocio, cómputo en la nube y virtualización.
Citation preview
ESTRATÉGIAS DE SEGURIDAD Y
PROTECCIÓN DE INFORMACIÓN
Fernando Thompson de la Rosa
CIO Universidad de las Américas Puebla
@thompsonfer
fernandothompson.com
• Somos la universidad privada de
mayor prestigio en México
• Estamos ubicados en la ciudad de
Cholula
• 98% de nuestros profesores tienen
doctorado
• Ambiente estudiantil, multicultural,
programas académicos de calidad
con la más alta inversión
tecnológica e infraestructura
• Diversidad de plataformas y dispositivos
• 800 MB de ancho de banda disponible
• A diferencia de una empresa, se deben
dar muchas “libertades” a nuestros
estudiantes.
• Más de 8000 estudiantes, 3000 de ellos viviendo dentro del campus
• 300 puntos de acceso a la red inalámbrica
• 2.8 dispositivos por estudiantes
Infraestructura de cómputo
Marco normativo, estándares, gestión
Infraestructura de
seguridad del ambiente
Infraestructura de
seguridad del host
Administración de activos
Administración de accesos
Evaluación de riesgos
Plan de seguridad basado en ISO 27000Combinación entre infraestructura de cómputo, políticas y
procedimientos que ayuden a fomentar y desarrollar la seguridad informática.
Cultura de la seguridad en la organización
BCP/DRP
Estrategia de Seguridad
•Definir la infraestructura necesaria que formará parte de la seguridad del ambiente con base en el plan de seguridad.
• Capa de control de accesos (CheckPoint y Fortinet)
• Capa de control de aplicaciones (Fortinet y Bluecoat)
• Capa de control de calidad de servicio (Bluecoat)
• Capa de filtrado web y de detección de intrusos (HP y Bluecoat)
• Capa de control de denegación de servicio (Fortinet)
Infraestructura de seguridad del
ambiente
• Controlar los riesgos e identificar las áreas de oportunidad
• Clasificar los activos con base en la información consultada o resguardada
• Tener visibilidad de lo que ocurre en el ambiente seguro para poder aplicar controles
• Evaluar la eficacia de los controles implementados
Infraestructura de seguridad del
ambiente
• Uno de los activos más vulnerables es la “persona” (host)
• Específicamente, en México, la vulnerabilidad que más afecta a las personas es el exceso de confianza. “Piensan que en internet, nadie les hará daño y todos tienen buenas
intenciones”
Infraestructura de seguridad
enfocada al host
• Es necesario contar con aplicaciones que sean capaces de controlar el ambiente de trabajo
• Antivirus y antispyware
• Filtros de contenido para host
• Detección de intrusos
• Cultura de la seguridad• Es importante promover y crear una
conciencia acerca de la seguridad informática y enseñar a las personas a ser “más cuidadosas” con su información
Infraestructura de seguridad
enfocada al host
•Activos de información y activos de infraestructura
•Es el primer paso hacia la evaluación de riesgos
•Se debe definir quién será el dueño de cada activo, mismo que será responsable de administrar su ciclo de vida
• Alta del activo• Actualización del activo• Baja del activo cuando llega a la obsolescencia
•En el caso de la información, el dueño será responsable de clasificarla para darle el correcto tratamiento
•Definir el tratamiento de la información en tránsito; por ejemplo, una estrategia de BYOD
Administración de activos
• Es un conjunto de procesos, herramientas y estándares utilizados para la creación, mantenimiento y utilización de identidades digitales por parte de personas, sistemas y servicios
• En nuestro caso el sistema directriz es el Directorio Activo Institucional
• Surgen como un control a los diversos riesgos documentados a través de la evaluación de riesgos
• El proceso de gestión de accesos ayuda a aumentar la visibilidad e identificación de los clientes conectados a la red universitaria, aumentando el grado de trazabilidad en caso de algún incidente
Administración de accesos
•Proceso bajo el cual se documenta, cuantifica y califica el grado de riesgo que tiene asociado un activo de infraestructura o de información
•Aumenta la visibilidad de los procesos asociados a los servicios que TI entrega a la comunidad
•Ayuda a la definición de los servicios críticos para el negocio, candidatos a incluirse en el Plan de Continuidad
Evaluación de riesgos
•Constituye parte del plan de seguridad, ya que como parte de los controles se define la arquitectura de seguridad a implementar en común acuerdo con el Comité de Evaluación de Riesgos
•Es importante tener en cuenta que este proceso ayuda a la justificación de la adquisición de soluciones de seguridad
Evaluación de riesgos
RESPALDO Y RECUPERACIÓN DE DESASTRES
•En este proceso es importante contar con el dueño o responsable de la información, ya que con base en el grado de disponibilidad e integridad de la misma se deberá definir los periodos de respaldo y el tiempo que deberá retenerse la información.
•Para esta etapa del ciclo de vida de la información será importante definir:• Periodos de respaldo
• Periodos de retención
• Pruebas de restauración en ambientes controlados
Manejo de respaldo de información
Plan de Continuidad
Página WEB
institucional
Sistema de Gestión Estudiantil
Sistema de Gestión Financiera
Sistema de
Administración de Sorteo
Sistema de Administración del Recurso
Humano
Con base en el análisis de impacto al negocio se obtuvieron los 5 servicios críticos para la
UDLAP
Sitio alterno en Monterrey, NL
•Los dueños de los servicios críticos son los responsables de la revisión de la funcionalidad de las réplicas
•La seguridad tiene la misma arquitectura por capas que el sitio principal
•Se cuenta con el respaldo del día anterior; por lo cual, en caso de contingencia se tiene la pérdida de a lo más un día de información
Plan de Continuidad
• El equipo de trabajo encargado de la ejecución del plan necesita 8 horas para realizar las revisiones del ambiente y las adecuaciones una vez que el plan se ha activado
• Al ser una réplica del ambiente productivo, se tiene gestión de accesos al sitio remoto usando túneles por VPN para proteger la confidencialidad de la información
• Para facilitar el diseño de la infraestructura del sitio alterno se aprovechó la portabilidad que los sistemas virtualizados brinda
Plan de Continuidad
GESTIÓN DE MÓVILES
•La tarea más importante para la gestión de la seguridad en dispositivos móviles es la visibilidad, para poder ejercer controles y detectar brechas de seguridad
•Brindar canales seguros de comunicación se vuelve indispensable, ya que las redes inalámbricas se están convirtiendo en las redes principales de las organizaciones y es altamente probable que transite información sensible
Seguridad en dispositivos móviles
• La identificación de los usuarios conectados a la red inalámbrica ayudará a las labores de administración de accesos y a la segregación de políticas de seguridad
• Actualmente, la seguridad ha evolucionado para adaptarse al nuevo malware que está orientado al robo de información en dispositivos móviles; por lo cual, el filtrado de contenido y el control de aplicaciones en ambientes móviles tienen alta prioridad
• Una cultura de seguridad es necesaria para el manejo de información en ambientes móviles, ya que las redes sociales se utilizan como vectores de entrada para la segregación de malware
Seguridad en dispositivos móviles
•La estrategia implementada en la UDLAP con respecto a la red inalámbrica es la siguiente:• Autenticación + Encriptación usando WPA2 AES
+ PEAP.• Control de usuarios, aplicaciones y filtrado Web
desde la nube usando la solución de Cisco Meraki
•Soluciones tipo Bring Your Own Device ayudan a los administradores de servicios de TI a habilitar el uso de información corporativa en los dispositivos propios
Seguridad en dispositivos móviles
•Windows Intune es la solución que nos ayuda a tener disponibles aplicaciones y recursos de la organización hospedados en los dispositivos móviles de los usuarios
•Esta solución tiene capacidades incluso de bloqueo remoto o borrado forense de los dispositivos en caso de ser necesario
Seguridad en dispositivos móviles
VIRTUALIZACIÓN Y CLOUD
COMPUTING
Anterior• 137 servidores físicos• Gasto en Enfriamiento• Alta Administración• Deploy de nuevos
recursos: 48 horas (preparación)
• Servidores ociosos por periodos
• ¿Nube privada = data center?
Virtualización como habilitador
nuestro centro de datosActual• 28 servidores tipo
blade
• 4 clusters
• Administración (90 VMs)
• Deploy de nuevos recursos: 4 horas
Gracias a la virtualización se consigue una administración centralizada, un menor consumo eléctrico, elasticidad de nuestros
servicios y un uso eficiente de recursos
•Beneficios de la nube: reducción de costos, automatización flexibilidad, movilidad, recursos compartidos, agilidad y escalabilidad así como más IT por menos precio
•TI se debe volver: administrador de contratos, no todo sirve para todo
• Lo más importante: Manejo de contratos (SLA’s, OLA’s, etc.), manejo de espectativas y comunicación
La nube
MUCHAS GRACIAS
Fernando Thompson de la Rosa
CIO
@thompsonfer
Universidad de las Américas Puebla
