PDF de programación - Consideraciones clave en seguridad de información: Cloud, Virtualización, Móvil y Big Data

Consideraciones
 clave
 en
 seguridad
 de
 
información:
 
 Cloud,
 Virtualización,
 
 

Móvil
 y
 Big
 Data.
 

Leonel
 Navarro,
 PMP,
 CISSP
 

@SofttekMX/@SofttekSecurity

Agenda
 

›  Panorama
 actual
 de
 las
 TI
 
›  Retos
 organizacionales
 para
 un
 CISO
 
›  Retos
 técnicos
 para
 un
 CISO
 

›  Cómputo
 en
 la
 nube
 

›  IaaS,
 PaaS,
 SaaS
 

›  Movilidad
 

›  Desarrollo
 de
 aplicaciones
 móviles
 
›  BYOD
 
›  Big
 Data
 

›  Conclusiones
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 

›  Aplicaciones
 están
 en
 todas
 partes
 y
 son
 

factor
 clave
 de
 éxito
 del
 negocio
 

Aplicaciones
 Web
 

Cientos
 de
 miles
 

nuevas
 aplicaciones
 

Aplicaciones
 en
 

nuevas
 plataformas
 

Aplicaciones
 
incorporadas
 

DisposiEvos
 habilitados
 para
 

aplicaciones
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 

›  Toda
 empresa
 es
 una
 empresa
 de
 SoGware
 

“La
 información
 alrededor
 del
 

paquete
 es
 tan
 importante
 
como
 el
 paquete
 mismo”
 

“El
 Internet
 industrial
 está
 

emergiendo”
 

las
 bibliotecas
 del
 mundo
 y
 

quioscos
 en
 la
 palma
 de
 las
 mano
 

“El
 cambio
 a
 digital
 está
 poniendo
 

de
 cada
 persona”
 

“Contamos
 con
 21
 líneas
 de
 
negocio
 en
 esquema
 SaaS”
 


 
 “El
 auto
 es
 la
 plataforma”
 

“El
 banco
 ya
 no
 es
 más
 Jsico,
 

es
 cosa
 virtual”
 
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 

›  Retos
 dentro
 del
 negocio
 
›  Innovación
 y
 diferenciación
 
 
›  Segmentación
 de
 cadena
 de
 valor
 
›  Integraciones
 y
 adquisiciones
 
›  Requerimientos
 regulatorios
 
›  Globalización
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 

›  Retos
 asociados
 a
 la
 evolución
 tecnológica
 

›  Nube
 
›  IaaS
 
›  PaaS
 
›  SaaS
 
›  Móvil
 
 

›  Desarrollo
 aplicaciones
 móviles
 
›  BYOD
 
›  Big
 Data
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 
›  Retos
 en
 el
 desarrollo
 de
 soGware
 

›  Ágil
 
 
›  SOA
 
›  MulU-­‐plataformas
 
 
›  MulU-­‐canal
 
›  Redes
 social
 
›  Información
 inteligencia
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 

›  Retos
 en
 cumplimiento
 de
 regulaciones
 y
 

marcos
 de
 referencia
 
›  Sarbanes
 Oxley
 
 
›  Payment
 Card
 Industry
 
›  LFPDPPP
 
›  CNBV
 
›  MAAGTIC
 
›  COBIT
 
›  BSI
 
›  ISO
 27000
 
 

@SofttekMX/@SofttekSecurity

Panorama
 actual
 de
 las
 TI
 

›  La
 seguridad
 de
 información
 es
 críUca
 

Admon.
 de
 

Riesgo
 

Gobierno
 de
 

TI
 

Admon.
 de
 
Proyectos
 

Control
 
Acceso
 

Sistema
 de
 
 

Administración
 
 
de
 Seguridad
 
 
de
 Información
 

Sistemas
 de
 
Información
 

Redes
 y
 End
 

Points
 

Entrenamiento
 

Auditorías
 

de
 TI
 

@SofttekMX/@SofttekSecurity

Retos
 organizacionales
 para
 CISO
 

›  Demasiadas
 variables
 a
 controlar
 para
 un
 

CISO
 
›  Panorama
 de
 amenazas
 y
 ataques
 
›  Recursos
 entrenados
 
›  Procesos
 
›  Entrega
 de
 Servicios
 
›  Costos
 
›  Métricas
 
›  Herramientas
 
›  PolíUca
 Interna
 

@SofttekMX/@SofttekSecurity

Retos
 técnicos
 -­‐
 Cómputo
 en
 la
 Nube
 

›  Obtén
 ventaja
 compeUUva
 con
 un
 foco
 más
 

allá
 de
 la
 reducción
 de
 costos.
 

Infrastructure
 

(as
 a
 Service)
 

ApplicaEons
 

Data
 

RunEme
 

Middleware
 

O/S
 

VirtualizaEon
 

Servers
 

Storage
 

Networking
 

PlaNorm
 
(as
 a
 Service)
 

ApplicaEons
 

Data
 

RunEme
 

Middleware
 

O/S
 

VirtualizaEon
 

Servers
 

Storage
 

Networking
 

SoTware
 
(as
 a
 Service)
 

ApplicaEons
 

Data
 

RunEme
 

Middleware
 

O/S
 

VirtualizaEon
 

Servers
 

Storage
 

Networking
 

@SofttekMX/@SofttekSecurity

TU

ADMINISTRAS

PROVEEDOR
 
 
ADMINISTRA
 

Retos
 técnicos
 -­‐
 Cómputo
 en
 la
 Nube
 

›  IaaS
 –
 Infrastructure
 as
 a
 Service
 

›  Migra
 a
 IaaS
 

›  Máquinas
 Virtuales
 
›  Migración
 de
 Servidores
 
 
›  Servicios
 de
 almacenamiento
 

Infrastructure
 

(as
 a
 Service)
 

ApplicaEons
 

Data
 

RunEme
 

Middleware
 

O/S
 

VirtualizaEon
 

Servers
 

Storage
 

Networking
 

@SofttekMX/@SofttekSecurity

Retos
 técnicos
 -­‐
 Cómputo
 en
 la
 Nube
 

›  PaaS
 –
 Pla_orm
 as
 a
 Service
 

›  Construye
 sobre
 PaaS
 

›  Base
 de
 Datos
 
›  Servidores
 Web
 
›  Plataformas
 de
 Desarrollo
 
›  Arquitecturas
 orientadas
 a
 Seguridad
 

Contenedor
 
de
 Aplicaciones
 

Aplicaciones
 

 (n-­‐capas)
 

Distribución
 
 
de
 Contenido
 

@SofttekMX/@SofttekSecurity

PlaNorm
 
(as
 a
 Service)
 

ApplicaEons
 

Data
 

RunEme
 

Middleware
 

O/S
 

VirtualizaEon
 

Servers
 

Storage
 

Networking
 

Retos
 técnicos
 -­‐
 Cómputo
 en
 la
 Nube
 

›  SaaS
 -­‐
 SoGware
 as
 a
 Service
 

›  Consume
 SaaS
 

›  Colaboración,
 CRM,
 Administración
 de
 
Contenido
 
›  Administración
 de
 Vulnerabilidades
 
›  TaaS
 
›  IDaaS
 
›  DLPaaS
 

SoTware
 
(as
 a
 Service)
 

ApplicaEons
 

Data
 

RunEme
 

Middleware
 

O/S
 

VirtualizaEon
 

Servers
 

Storage
 

Networking
 

@SofttekMX/@SofttekSecurity

Retos
 técnicos
 -­‐
 Cómputo
 en
 la
 Nube
 

›  Consideraciones
 para
 la
 Nube
 

›  Conoce
 TU
 negocio
 
›  Mapea
 metas
 y
 objeUvos
 de
 negocio
 a
 iniciaUvas
 y
 

proyectos
 

›  IdenUfica
 situación
 actual
 (acUvos,
 data
 center,
 

aplicaciones,
 flujo
 de
 datos,
 requerimientos
 
regulatorios)
 

›  InvesUga
 y
 enUende
 los
 modelos
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

de
 nube
 y
 detalles
 parUculares
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
de
 proveedores
 

›  Arma
 el
 caso
 de
 negocio
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

y
 ejecuta
 

@SofttekMX/@SofttekSecurity

Retos
 técnicos
 -­‐
 Movilidad
 
›  Desarrollo
 aplicaciones
 móviles
 
›  MulUcanal,
 mulUmodal,
 mulUplataforma
 
›  HTML
 5,
 middleware,
 la
 nube
 
›  Periféricos
 y
 objetos
 inteligentes
 
›  Nuevas
 tecnologías,
 contexto,
 geolocalización,
 

sensores,
 gestos,
 instrumentación,
 métricas
 

›  Aplicaciones
 híbridas
 
›  Desarrollo
 ágil
 
›  Integración
 de
 diferentes
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

fuentes
 (SOA)
 

@SofttekMX/@SofttekSecurity

Restos
 Técnicos
 -­‐
 Movilidad
 

›  Bring
 Your
 Own
 X
 –
 Device/ApplicaUons
 

›  ProducUvidad,
 saUsfacción
 y
 movilidad
 
›  Ahorros
 por
 costos
 de
 hardware
 
›  DisposiUvo
 empresa
 vs
 disposiUvo
 personal
 
›  Separación
 de
 datos
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
›  MDM
 Administración
 de
 DisposiUvos
 
›  MAM
 Administración
 de
 Aplicaciones
 
›  Manejo
 de
 archivos
 

@SofttekMX/@SofttekSecurity

Retos
 técnicos
 -­‐
 Big
 Data
 

›  AnalíUcos
 predicUvos
 

›  Incremento
 en
 canUdades
 de
 datos
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
›  Amenazas
 incrementan
 en
 complejidad
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

y
 basadas
 en
 conductas
 

›  Integración
 de
 análisis
 de
 datos
 

indexados
 embebidos
 en
 herramientas
 

›  Patrones
 son
 usados
 para
 hacer
 

predicciones
 

›  Privacidad,
 seguridad,
 propiedad
 

intelectual,
 responsabilidad
 


 

@SofttekMX/@SofttekSecurity

Conclusiones
 

›  Rol
 del
 líder
 de
 Seguridad
 de
 Información
 
›  Hacer
 el
 caso
 sobre
 la
 importancia
 de
 la
 Seguridad
 
›  Balance
 de
 conocimiento
 técnico
 y
 de
 negocio
 
›  Líder
 evangelista
 orientado
 al
 servicio
 
›  Estratega
 

›  ConcienUzar,
 Conceptualizar,
 Visionario
 

›  Comunicador
 
 

›  Constructor
 

›  Escuchar,
 EmpaUzar,
 Sanar,
 Persuadir
 

›  Administrar,
 Crecer,
 Formar
 

@SofttekMX/@SofttekSecurity

Conclusiones
 

›  Consideraciones
 tecnológicas
 clave
 de
 

seguridad
 
›  Panorama
 regulatorio
 y
 políUcas
 de
 seguridad
 
›  Programas
 de
 concienUzación
 y
 entrenamiento
 
›  Control
 de