SlideShare une entreprise Scribd logo

Entel S&RM

Ramsés Gallego
Ramsés Gallego
BusinessÉconomie & finance
1  sur  26
Entel Security & Risk Management Ramsés Gallego CISSP, CISM, SCPM, ITIL, COBIT Certified Director General - Security & Risk Management rgallego@entel.es
Entel Security & Risk Management Visión y estrategia
Definiciones • ¿Qué es seguridad? • ¿Qué es riesgo? • ¿Cómo valoramos la… CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD …de la información?
La importancia de mitigar el riesgo • La percepción de riesgo es diferente para cada persona • Las 4 posibilidades de acción con el riesgo: • Transferirlo • Obviarlo/Aceptarlo • Terminar la actividad • Tratar el riesgo con contramedidas Todos los proyectos de ENTEL SRM están enfocados a la mitigación del riesgo
Visión y estrategia (IAM) (SM) (TM) Gestión de Gestión de Gestión de la la seguridad amenazas identidad y acceso Securización de la navegación y Auditoría y Autenticación el correo Compliance Autorización Administración Gestión del contenido Secure Secure Platform Secure Access Messaging ENTEL SERVICE MODEL
Visión y estrategia Proyecto Servicio Gestionado Proyecto + S. Gest. Cultura, estructura, estrategia Personas, procesos y tecnología (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
Visión y estrategia (TM) - Gestión de amenazas • Mitigación de riesgos de la navegación corporativa • Securización de los 3 vectores de comunicación • Gestión del spam y malware con garantías contractuales • Protección On-Demand como un servicio gestionado • Compliance del uso de la infraestructura Internet (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
Visión y estrategia (IAM) - Gestión de la identidad y acceso • Aprovisionamiento de usuarios • SSO • Directorio • Auditoría de accesos • Gestión de identidades • Gestión de contraseñas • Federación de identidades • Web Services (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
Visión y estrategia (SM) - Gestión de la seguridad • Auditoría de acceso a la información • Gestión de logs y reducción de ‘sobreinformación’ • Cuadros de mando y consolas de gestión centralizada • Ofrecido como un servicio gestionado On-Demand • Informes periódicos para la dirección (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
Monitorizar vs. Gestionar ÓN I AC N IÓ Z RI T S O GE T Observar, NI analizar y O M clasificar los Actuar con Valor (y coste) datos que conocimiento del negocio, en proporcionan Centralizar el un único lugar los sistemas Aplicar acceso a en base a las relevancia a la datos y necesidades información aplicaciones del mismo que determine las prioridades del negocio DATOS INFORMACIÓN CONOCIMIENTO ACCIÓN Nivel 2 Nivel 1 Nivel 3 Nivel 4 Entel Managed Service
Pilares fundamentales  El poder del CONTROL  El valor de la ALIANZA  La EXCELENCIA en la ejecución (IAM) (TM) (SM) Gestión de Gestión de Gestión de la identidad y acceso amenazas la seguridad Securización de la Auditoría y navegación y el Autenticación Compliance correo Autorización Administración Gestión del contenido Secure Platform Secure Messaging Secure Access
Entel Plan Director Seguridad - SeGRAT  Basada en las mejores prácticas de gestión de seguridad (CRAMM, CoBIT 4.0, MAGERIT, ISO27000 y OCTAVE)  Centrada en cuatro dimensiones: activos, ciclos de negocio, amenazas y controles  SeGRAT está pensada para entender qué infraestructura soporta qué procesos y el impacto en la organización  Aporta a la dirección una inequívoca visualización de cómo mitigar el riesgo
Entel Plan Director Seguridad - SeGRAT
La gestión del riesgo: diversas variables • Permite establecer una política de seguridad, gestionar el riesgo, bloquear y remediar amenazas y comprobar el nivel cumplimiento de la política De n c ió a c te rm ic a c ió n establecida f n ti za ep in d e ta b i a r la I d e rio ri iv o s l lr ie s id a d y p e act • Considera el valor del activo, la go d Gestión severidad de la vulnerabilidad, la Centralizada criticidad de la amenaza y las r ta e n ió n contramedidas existentes, para hacer cu M ed em cc m p ir p l o te a d a lim e l foco en los activos más importantes Im p r cu ie n la a d e to Gestión Centralizada • Política de descarga, testeo y aprobación de actualizaciones y parches
Prevención Global de Amenazas • Minimizar los riesgos a sistemas, Gestión redes y datos, con una protección Centralizada multicapa, a través de un portfolio de soluciones y servicios • Solución DLP (Data Loss Prevention/Data Leak Prevention) • Protección de los sistemas contra spyware, virus, gusanos, spam e intrusiones • Protección WEB y mensajería, contra el uso indebido, phishing, spam, spyware, malware. Gestión • Seguridad de red contra gusanos, Centralizada intrusiones, ataques DOS/DDOS, ataques en VoIP, P2P e IM
Seguridad de Dispositivo y Acceso a Red: HIPS Programa A Programa B Programa C • Ya no es suficiente con los clásicos .EXE .EXE .EXE antivirus y firewalls de desktop, es necesario el control total de sistemas, Modo Usuario procesos, aplicaciones, accesos, etc. • Host IPS valida las llamadas al sistema y las llamadas API • Cada llamada es comparada con una Tabla Base de Datos para la identificación de Llamadas Sistema ataques especificos o genéricos • Si se detecta algún ataque se pueden lanzar acciones preventivas que van desde el registro del evento a la prevención de OS la actividad Kernel • Se analiza toda la información, con independencia de información cifrada y Modo Kernel sin necesidad de basarse en logs del sistema Recurso Red Aplicaciones Disco
Enlazando la Seguridad de Redes y Sistemas Red Corporativa 1 SISTEMA DE GESTIÓN Y CORRELACIÓN NAC t Delegación an pli m Co Trabajadores remotos 4 Gestión 5 Intento ataque de red 2 3 Centralizada Red Cuarentena Non- com plian Quarantine Network Externos t IPS Host 3 Evaluar 4 Cumplir 1 Definir 2 Detectar 5 Remediar Los sistemas en Cumplimiento de las IPSs bloquean el ataque Los IPSs detectan cuarentena no políticas definidas. Definir políticas de evaluando si se trata de tráfico desde hosts con gestionados son Sistemas Gestionados cumplimiento de un sistema gestionado comportamientos redirigidos al portal de vs. No Gestionados sistemas y red por el sistema NAC sospechosos remediación
La importancia de la información y del dato: la disciplina DLP Access Control Data Loss Prevention El acceso legítimo a la información no concede el derecho a sustraerla de la empresa Acercamiento de seguridad clásico: Access Control (Pre-Admisión) Transmisión no autorizada de datos: Data Loss Prevention (Pre y Post–Admisión
Cifrado de Datos Boot Records Highly Sensitive Files User Data Desprotegido MBR PBR Data System Files Operating (PW Swap etc.) Open Information System Secured Information Encriptación Ficheros PBR Data MBR System Files Operating (PW Swap etc.) System Cifrado Whole Disk Encryption Completo Data System Files Operating Master Modified (PW Swap etc.) System Mandatory Boot Partition Access Record Boot Record Control
En múltiples vectores… Impresora Peer- to-Peer USB email Copiar- y-pegar CONFIDENTIAL IM DATA Hello, how are you? HTTPS FTP Wi-Fi
Manipulación Formato Manipulación Datos Manipulación Estructura Datos Ocultos Flujo de datos Copiar-y-Pegar Ficheros ocultos
Solución Integral de Seguridad de Dispositivo y Acceso a Red para la protección del Dato Quién Qué Dónde Cómo Human Resources Source Code Benefits Provider FTP Customer Service Business Plans Spyware Site HTTP Marketing Customer Records Business Partner IM Finance M&A Plans Blog P2P Accounting Patient Information Customer SMTP Sales Financial Statements Financial Chat Board Network Printing Legal Employee Information North Korea Technical Support Technical Documentation Competitor Engineering Competitive Information Analyst Tag, ID, Signature Inline Enforcement Threatseeker Integración LDAP Inventario de Activos Agentes, etc. Web Intelligent BBDD Gestión de Identidades
Visión y estrategia (IAM) (SM) (TM) Gestión de Gestión de Gestión de la la seguridad amenazas identidad y acceso Securización de la navegación y Auditoría y Autenticación el correo Compliance Autorización Administración Gestión del contenido Secure Secure Platform Secure Access Messaging ENTEL SERVICE MODEL
Algunas referencias Entel SRM GESTIÓN DE GESTIÓN DE LA GESTIÓN DE AMENAZAS IDENTIDAD SEGURIDAD
GRACIAS Entel Security & Risk Management Ramsés Gallego CISSP, CISM, SCPM, ITIL, COBIT Certified Director General - Security & Risk Management rgallego@entel.es
Entel S&RM

Recommandé

Novell remote accessweek
Novell remote accessweekNovell remote accessweek
Novell remote accessweekaloscocco
 
Entel SSO
Entel SSOEntel SSO
Entel SSORamsés Gallego
 
Bases para el desarrollo tecnologico - Carlos Olivera
Bases para el desarrollo tecnologico - Carlos OliveraBases para el desarrollo tecnologico - Carlos Olivera
Bases para el desarrollo tecnologico - Carlos Oliveraagendadigitalbo
 
Marca Tigo2
Marca Tigo2Marca Tigo2
Marca Tigo2cj_escobar
 
Analis de foda
Analis de fodaAnalis de foda
Analis de fodamarytiti
 
Puno 2012
Puno 2012Puno 2012
Puno 2012carlosdelocho
 
Presentacion Entel
Presentacion EntelPresentacion Entel
Presentacion EntelHugo Alvaro Miranda Colque
 
Tarea 1.análisis foda
Tarea 1.análisis fodaTarea 1.análisis foda
Tarea 1.análisis fodaCamilo Lüttecke González
 

Recommandé

Novell remote accessweek
Novell remote accessweekNovell remote accessweek
Novell remote accessweekaloscocco
 
Entel SSO
Entel SSOEntel SSO
Entel SSORamsés Gallego
 
Bases para el desarrollo tecnologico - Carlos Olivera
Bases para el desarrollo tecnologico - Carlos OliveraBases para el desarrollo tecnologico - Carlos Olivera
Bases para el desarrollo tecnologico - Carlos Oliveraagendadigitalbo
 
Marca Tigo2
Marca Tigo2Marca Tigo2
Marca Tigo2cj_escobar
 
Analis de foda
Analis de fodaAnalis de foda
Analis de fodamarytiti
 
Puno 2012
Puno 2012Puno 2012
Puno 2012carlosdelocho
 
Presentacion Entel
Presentacion EntelPresentacion Entel
Presentacion EntelHugo Alvaro Miranda Colque
 
Tarea 1.análisis foda
Tarea 1.análisis fodaTarea 1.análisis foda
Tarea 1.análisis fodaCamilo Lüttecke González
 
Esquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceEsquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceAGESTIC - Asociación Gallega Empresas TIC
 
Presentación Workshop AEI Seguridad 2012
Presentación Workshop AEI Seguridad 2012Presentación Workshop AEI Seguridad 2012
Presentación Workshop AEI Seguridad 2012Angel Jesus Varela Vaca
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Dominio adquisicion e implementacion
Dominio adquisicion e implementacionDominio adquisicion e implementacion
Dominio adquisicion e implementacionwaltermancheno66
 
Dominio adquisicion e implementacion
Dominio adquisicion e implementacionDominio adquisicion e implementacion
Dominio adquisicion e implementacionwaltermancheno66
 
Gobierno de identidades con IBM Identity Governance
Gobierno de identidades con IBM Identity GovernanceGobierno de identidades con IBM Identity Governance
Gobierno de identidades con IBM Identity GovernanceXelere Seguridad
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones EstratégicasIntegración de Soluciones Estrategicas
 
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...Foro Global Crossing
 
Itil.
Itil. Itil.
Itil. gugarte
 
Módulo adquisición e implementación
Módulo adquisición e implementaciónMódulo adquisición e implementación
Módulo adquisición e implementaciónMercyPojota
 
Thalia pojota
Thalia pojotaThalia pojota
Thalia pojotaMercyPojota
 
Análisis y Control de Riesgos del Negocio
Análisis y Control de Riesgos del NegocioAnálisis y Control de Riesgos del Negocio
Análisis y Control de Riesgos del NegocioItverx C.A.
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachocielitomamor23
 
RBSM - Risk Based Service Management
RBSM - Risk Based Service ManagementRBSM - Risk Based Service Management
RBSM - Risk Based Service ManagementG2, Gobierno y Gestión de TI, SL
 
ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAelianitapabon
 
Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementaciónEDUARKON
 
Sistemas De InformacióN Gerencial
Sistemas De InformacióN GerencialSistemas De InformacióN Gerencial
Sistemas De InformacióN GerencialJharol Reyes
 
#TFT12: Antonio Valle
#TFT12: Antonio Valle#TFT12: Antonio Valle
#TFT12: Antonio ValleTFT presentations Tomorrow's IT Service Future Today
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoCristian Garcia G.
 
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En TicPropuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Ticraulhp10
 
IT Controls Cloud Webinar - ISACA
IT Controls Cloud Webinar - ISACAIT Controls Cloud Webinar - ISACA
IT Controls Cloud Webinar - ISACARamsés Gallego
 
The Perfect Storm
The Perfect StormThe Perfect Storm
The Perfect StormRamsés Gallego
 

Contenu connexe

Similaire à Entel S&RM

Presentación Workshop AEI Seguridad 2012
Presentación Workshop AEI Seguridad 2012Presentación Workshop AEI Seguridad 2012
Presentación Workshop AEI Seguridad 2012Angel Jesus Varela Vaca
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Dominio adquisicion e implementacion
Dominio adquisicion e implementacionDominio adquisicion e implementacion
Dominio adquisicion e implementacionwaltermancheno66
 
Dominio adquisicion e implementacion
Dominio adquisicion e implementacionDominio adquisicion e implementacion
Dominio adquisicion e implementacionwaltermancheno66
 
Gobierno de identidades con IBM Identity Governance
Gobierno de identidades con IBM Identity GovernanceGobierno de identidades con IBM Identity Governance
Gobierno de identidades con IBM Identity GovernanceXelere Seguridad
 
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...Foro Global Crossing
 
Módulo adquisición e implementación
Módulo adquisición e implementaciónMódulo adquisición e implementación
Módulo adquisición e implementaciónMercyPojota
 
Análisis y Control de Riesgos del Negocio
Análisis y Control de Riesgos del NegocioAnálisis y Control de Riesgos del Negocio
Análisis y Control de Riesgos del NegocioItverx C.A.
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachocielitomamor23
 
ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAelianitapabon
 
Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementaciónEDUARKON
 
Sistemas De InformacióN Gerencial
Sistemas De InformacióN GerencialSistemas De InformacióN Gerencial
Sistemas De InformacióN GerencialJharol Reyes
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoCristian Garcia G.
 
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En TicPropuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Ticraulhp10
 

Similaire à Entel S&RM (20)

Esquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceEsquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and compliance
 
Presentación Workshop AEI Seguridad 2012
Presentación Workshop AEI Seguridad 2012Presentación Workshop AEI Seguridad 2012
Presentación Workshop AEI Seguridad 2012
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01
 
Dominio adquisicion e implementacion
Dominio adquisicion e implementacionDominio adquisicion e implementacion
Dominio adquisicion e implementacion
 
Dominio adquisicion e implementacion
Dominio adquisicion e implementacionDominio adquisicion e implementacion
Dominio adquisicion e implementacion
 
Gobierno de identidades con IBM Identity Governance
Gobierno de identidades con IBM Identity GovernanceGobierno de identidades con IBM Identity Governance
Gobierno de identidades con IBM Identity Governance
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
Tercerizando Tecnologías de Información para Focalizarse en el Negocio, por M...
 
Itil.
Itil. Itil.
Itil.
 
Módulo adquisición e implementación
Módulo adquisición e implementaciónMódulo adquisición e implementación
Módulo adquisición e implementación
 
Thalia pojota
Thalia pojotaThalia pojota
Thalia pojota
 
Análisis y Control de Riesgos del Negocio
Análisis y Control de Riesgos del NegocioAnálisis y Control de Riesgos del Negocio
Análisis y Control de Riesgos del Negocio
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camacho
 
RBSM - Risk Based Service Management
RBSM - Risk Based Service ManagementRBSM - Risk Based Service Management
RBSM - Risk Based Service Management
 
ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICA
 
Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementación
 
Sistemas De InformacióN Gerencial
Sistemas De InformacióN GerencialSistemas De InformacióN Gerencial
Sistemas De InformacióN Gerencial
 
#TFT12: Antonio Valle
#TFT12: Antonio Valle#TFT12: Antonio Valle
#TFT12: Antonio Valle
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
 
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En TicPropuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
Propuesta Partner DiáLogo Cso2 GestióN De Riesgos Y Seguridad En Tic
 

Plus de Ramsés Gallego

IT Controls Cloud Webinar - ISACA
IT Controls Cloud Webinar - ISACAIT Controls Cloud Webinar - ISACA
IT Controls Cloud Webinar - ISACARamsés Gallego
 
ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011Ramsés Gallego
 
Culture structure strategy_for_a_grc_program
Culture structure strategy_for_a_grc_programCulture structure strategy_for_a_grc_program
Culture structure strategy_for_a_grc_programRamsés Gallego
 
Strategic governance performance_management_systems
Strategic governance performance_management_systemsStrategic governance performance_management_systems
Strategic governance performance_management_systemsRamsés Gallego
 
Modern cyber threats_and_how_to_combat_them_panel
Modern cyber threats_and_how_to_combat_them_panelModern cyber threats_and_how_to_combat_them_panel
Modern cyber threats_and_how_to_combat_them_panelRamsés Gallego
 
From technology risk_to_enterprise_risk_the_new_frontier
From technology risk_to_enterprise_risk_the_new_frontierFrom technology risk_to_enterprise_risk_the_new_frontier
From technology risk_to_enterprise_risk_the_new_frontierRamsés Gallego
 
Entel Service Management
Entel Service ManagementEntel Service Management
Entel Service ManagementRamsés Gallego
 
Metrics, measures & Myths
Metrics, measures & MythsMetrics, measures & Myths
Metrics, measures & MythsRamsés Gallego
 
DLP - Network Security Conference_ Ramsés Gallego
DLP - Network Security Conference_ Ramsés GallegoDLP - Network Security Conference_ Ramsés Gallego
DLP - Network Security Conference_ Ramsés GallegoRamsés Gallego
 
e-Symposium_ISACA_Ramsés_Gallego
e-Symposium_ISACA_Ramsés_Gallegoe-Symposium_ISACA_Ramsés_Gallego
e-Symposium_ISACA_Ramsés_GallegoRamsés Gallego
 

Plus de Ramsés Gallego (13)

IT Controls Cloud Webinar - ISACA
IT Controls Cloud Webinar - ISACAIT Controls Cloud Webinar - ISACA
IT Controls Cloud Webinar - ISACA
 
The Perfect Storm
The Perfect StormThe Perfect Storm
The Perfect Storm
 
ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011
 
Culture structure strategy_for_a_grc_program
Culture structure strategy_for_a_grc_programCulture structure strategy_for_a_grc_program
Culture structure strategy_for_a_grc_program
 
Strategic governance performance_management_systems
Strategic governance performance_management_systemsStrategic governance performance_management_systems
Strategic governance performance_management_systems
 
Modern cyber threats_and_how_to_combat_them_panel
Modern cyber threats_and_how_to_combat_them_panelModern cyber threats_and_how_to_combat_them_panel
Modern cyber threats_and_how_to_combat_them_panel
 
From technology risk_to_enterprise_risk_the_new_frontier
From technology risk_to_enterprise_risk_the_new_frontierFrom technology risk_to_enterprise_risk_the_new_frontier
From technology risk_to_enterprise_risk_the_new_frontier
 
Entel Service Management
Entel Service ManagementEntel Service Management
Entel Service Management
 
Metrics, measures & Myths
Metrics, measures & MythsMetrics, measures & Myths
Metrics, measures & Myths
 
Malware mitigation
Malware mitigationMalware mitigation
Malware mitigation
 
DLP - Network Security Conference_ Ramsés Gallego
DLP - Network Security Conference_ Ramsés GallegoDLP - Network Security Conference_ Ramsés Gallego
DLP - Network Security Conference_ Ramsés Gallego
 
e-Symposium_ISACA_Ramsés_Gallego
e-Symposium_ISACA_Ramsés_Gallegoe-Symposium_ISACA_Ramsés_Gallego
e-Symposium_ISACA_Ramsés_Gallego
 
Entel DLP
Entel DLPEntel DLP
Entel DLP
 

Dernier

PPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfPPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfihmorales
 
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...antonellamujica
 
SISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privadaSISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privadaBetlellyArteagaAvila
 
La electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfLa electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfDiegomauricioMedinam
 
PROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracionPROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracionDayraCastaedababilon
 
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdfRamon Costa i Pujol
 
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?Michael Rada
 
Proyecto TRIBUTACION APLICADA-1.pdf impuestos nacionales
Proyecto TRIBUTACION APLICADA-1.pdf impuestos nacionalesProyecto TRIBUTACION APLICADA-1.pdf impuestos nacionales
Proyecto TRIBUTACION APLICADA-1.pdf impuestos nacionalesjimmyrocha6
 
Rendicion de cuentas del Administrador de Condominios
Rendicion de cuentas del Administrador de CondominiosRendicion de cuentas del Administrador de Condominios
Rendicion de cuentas del Administrador de CondominiosCondor Tuyuyo
 
PRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdf
PRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdfPRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdf
PRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdfCarolinaMaguio
 
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfT.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfLizCarolAmasifuenIba
 
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAPRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAgisellgarcia92
 
Habilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxHabilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxLUISALEJANDROPEREZCA1
 
Tema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdfTema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdfmaryisabelpantojavar
 
DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...
DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...
DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...ssuser2887fd1
 
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxT.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxLizCarolAmasifuenIba
 
estadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.pptestadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.pptMiguelAngel653470
 
estadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicosestadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicosVeritoIlma
 
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASAPLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASAAlexandraSalgado28
 
Coca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptxCoca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptxJesDavidZeta
 

Dernier (20)

PPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfPPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdf
 
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
 
SISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privadaSISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privada
 
La electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfLa electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdf
 
PROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracionPROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracion
 
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
 
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
 
Proyecto TRIBUTACION APLICADA-1.pdf impuestos nacionales
Proyecto TRIBUTACION APLICADA-1.pdf impuestos nacionalesProyecto TRIBUTACION APLICADA-1.pdf impuestos nacionales
Proyecto TRIBUTACION APLICADA-1.pdf impuestos nacionales
 
Rendicion de cuentas del Administrador de Condominios
Rendicion de cuentas del Administrador de CondominiosRendicion de cuentas del Administrador de Condominios
Rendicion de cuentas del Administrador de Condominios
 
PRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdf
PRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdfPRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdf
PRINCIPIOS DE CONDUCCION Y LIDERAZGO SGTO 1.pdf
 
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfT.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
 
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAPRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
 
Habilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxHabilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptx
 
Tema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdfTema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdf
 
DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...
DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...
DO_FCE_310_PO_.pdf. La contabilidad gubernamental SOS de suma importancia fu...
 
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxT.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
 
estadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.pptestadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.ppt
 
estadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicosestadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicos
 
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASAPLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
 
Coca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptxCoca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptx
 

Entel S&RM

  • 1. Entel Security & Risk Management Ramsés Gallego CISSP, CISM, SCPM, ITIL, COBIT Certified Director General - Security & Risk Management rgallego@entel.es
  • 2. Entel Security & Risk Management Visión y estrategia
  • 3. Definiciones • ¿Qué es seguridad? • ¿Qué es riesgo? • ¿Cómo valoramos la… CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD …de la información?
  • 4. La importancia de mitigar el riesgo • La percepción de riesgo es diferente para cada persona • Las 4 posibilidades de acción con el riesgo: • Transferirlo • Obviarlo/Aceptarlo • Terminar la actividad • Tratar el riesgo con contramedidas Todos los proyectos de ENTEL SRM están enfocados a la mitigación del riesgo
  • 5. Visión y estrategia (IAM) (SM) (TM) Gestión de Gestión de Gestión de la la seguridad amenazas identidad y acceso Securización de la navegación y Auditoría y Autenticación el correo Compliance Autorización Administración Gestión del contenido Secure Secure Platform Secure Access Messaging ENTEL SERVICE MODEL
  • 6. Visión y estrategia Proyecto Servicio Gestionado Proyecto + S. Gest. Cultura, estructura, estrategia Personas, procesos y tecnología (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
  • 7. Visión y estrategia (TM) - Gestión de amenazas • Mitigación de riesgos de la navegación corporativa • Securización de los 3 vectores de comunicación • Gestión del spam y malware con garantías contractuales • Protección On-Demand como un servicio gestionado • Compliance del uso de la infraestructura Internet (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
  • 8. Visión y estrategia (IAM) - Gestión de la identidad y acceso • Aprovisionamiento de usuarios • SSO • Directorio • Auditoría de accesos • Gestión de identidades • Gestión de contraseñas • Federación de identidades • Web Services (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
  • 9. Visión y estrategia (SM) - Gestión de la seguridad • Auditoría de acceso a la información • Gestión de logs y reducción de ‘sobreinformación’ • Cuadros de mando y consolas de gestión centralizada • Ofrecido como un servicio gestionado On-Demand • Informes periódicos para la dirección (TM) (SM) (IAM) Gestión de Gestión de Gestión de la amenazas identidad y acceso la seguridad ENTEL SERVICE MODEL
  • 10. Monitorizar vs. Gestionar ÓN I AC N IÓ Z RI T S O GE T Observar, NI analizar y O M clasificar los Actuar con Valor (y coste) datos que conocimiento del negocio, en proporcionan Centralizar el un único lugar los sistemas Aplicar acceso a en base a las relevancia a la datos y necesidades información aplicaciones del mismo que determine las prioridades del negocio DATOS INFORMACIÓN CONOCIMIENTO ACCIÓN Nivel 2 Nivel 1 Nivel 3 Nivel 4 Entel Managed Service
  • 11. Pilares fundamentales  El poder del CONTROL  El valor de la ALIANZA  La EXCELENCIA en la ejecución (IAM) (TM) (SM) Gestión de Gestión de Gestión de la identidad y acceso amenazas la seguridad Securización de la Auditoría y navegación y el Autenticación Compliance correo Autorización Administración Gestión del contenido Secure Platform Secure Messaging Secure Access
  • 12. Entel Plan Director Seguridad - SeGRAT  Basada en las mejores prácticas de gestión de seguridad (CRAMM, CoBIT 4.0, MAGERIT, ISO27000 y OCTAVE)  Centrada en cuatro dimensiones: activos, ciclos de negocio, amenazas y controles  SeGRAT está pensada para entender qué infraestructura soporta qué procesos y el impacto en la organización  Aporta a la dirección una inequívoca visualización de cómo mitigar el riesgo
  • 14. La gestión del riesgo: diversas variables • Permite establecer una política de seguridad, gestionar el riesgo, bloquear y remediar amenazas y comprobar el nivel cumplimiento de la política De n c ió a c te rm ic a c ió n establecida f n ti za ep in d e ta b i a r la I d e rio ri iv o s l lr ie s id a d y p e act • Considera el valor del activo, la go d Gestión severidad de la vulnerabilidad, la Centralizada criticidad de la amenaza y las r ta e n ió n contramedidas existentes, para hacer cu M ed em cc m p ir p l o te a d a lim e l foco en los activos más importantes Im p r cu ie n la a d e to Gestión Centralizada • Política de descarga, testeo y aprobación de actualizaciones y parches
  • 15. Prevención Global de Amenazas • Minimizar los riesgos a sistemas, Gestión redes y datos, con una protección Centralizada multicapa, a través de un portfolio de soluciones y servicios • Solución DLP (Data Loss Prevention/Data Leak Prevention) • Protección de los sistemas contra spyware, virus, gusanos, spam e intrusiones • Protección WEB y mensajería, contra el uso indebido, phishing, spam, spyware, malware. Gestión • Seguridad de red contra gusanos, Centralizada intrusiones, ataques DOS/DDOS, ataques en VoIP, P2P e IM
  • 16. Seguridad de Dispositivo y Acceso a Red: HIPS Programa A Programa B Programa C • Ya no es suficiente con los clásicos .EXE .EXE .EXE antivirus y firewalls de desktop, es necesario el control total de sistemas, Modo Usuario procesos, aplicaciones, accesos, etc. • Host IPS valida las llamadas al sistema y las llamadas API • Cada llamada es comparada con una Tabla Base de Datos para la identificación de Llamadas Sistema ataques especificos o genéricos • Si se detecta algún ataque se pueden lanzar acciones preventivas que van desde el registro del evento a la prevención de OS la actividad Kernel • Se analiza toda la información, con independencia de información cifrada y Modo Kernel sin necesidad de basarse en logs del sistema Recurso Red Aplicaciones Disco
  • 17. Enlazando la Seguridad de Redes y Sistemas Red Corporativa 1 SISTEMA DE GESTIÓN Y CORRELACIÓN NAC t Delegación an pli m Co Trabajadores remotos 4 Gestión 5 Intento ataque de red 2 3 Centralizada Red Cuarentena Non- com plian Quarantine Network Externos t IPS Host 3 Evaluar 4 Cumplir 1 Definir 2 Detectar 5 Remediar Los sistemas en Cumplimiento de las IPSs bloquean el ataque Los IPSs detectan cuarentena no políticas definidas. Definir políticas de evaluando si se trata de tráfico desde hosts con gestionados son Sistemas Gestionados cumplimiento de un sistema gestionado comportamientos redirigidos al portal de vs. No Gestionados sistemas y red por el sistema NAC sospechosos remediación
  • 18. La importancia de la información y del dato: la disciplina DLP Access Control Data Loss Prevention El acceso legítimo a la información no concede el derecho a sustraerla de la empresa Acercamiento de seguridad clásico: Access Control (Pre-Admisión) Transmisión no autorizada de datos: Data Loss Prevention (Pre y Post–Admisión
  • 19. Cifrado de Datos Boot Records Highly Sensitive Files User Data Desprotegido MBR PBR Data System Files Operating (PW Swap etc.) Open Information System Secured Information Encriptación Ficheros PBR Data MBR System Files Operating (PW Swap etc.) System Cifrado Whole Disk Encryption Completo Data System Files Operating Master Modified (PW Swap etc.) System Mandatory Boot Partition Access Record Boot Record Control
  • 20. En múltiples vectores… Impresora Peer- to-Peer USB email Copiar- y-pegar CONFIDENTIAL IM DATA Hello, how are you? HTTPS FTP Wi-Fi
  • 21. Manipulación Formato Manipulación Datos Manipulación Estructura Datos Ocultos Flujo de datos Copiar-y-Pegar Ficheros ocultos
  • 22. Solución Integral de Seguridad de Dispositivo y Acceso a Red para la protección del Dato Quién Qué Dónde Cómo Human Resources Source Code Benefits Provider FTP Customer Service Business Plans Spyware Site HTTP Marketing Customer Records Business Partner IM Finance M&A Plans Blog P2P Accounting Patient Information Customer SMTP Sales Financial Statements Financial Chat Board Network Printing Legal Employee Information North Korea Technical Support Technical Documentation Competitor Engineering Competitive Information Analyst Tag, ID, Signature Inline Enforcement Threatseeker Integración LDAP Inventario de Activos Agentes, etc. Web Intelligent BBDD Gestión de Identidades
  • 23. Visión y estrategia (IAM) (SM) (TM) Gestión de Gestión de Gestión de la la seguridad amenazas identidad y acceso Securización de la navegación y Auditoría y Autenticación el correo Compliance Autorización Administración Gestión del contenido Secure Secure Platform Secure Access Messaging ENTEL SERVICE MODEL
  • 24. Algunas referencias Entel SRM GESTIÓN DE GESTIÓN DE LA GESTIÓN DE AMENAZAS IDENTIDAD SEGURIDAD
  • 25. GRACIAS Entel Security & Risk Management Ramsés Gallego CISSP, CISM, SCPM, ITIL, COBIT Certified Director General - Security & Risk Management rgallego@entel.es