presentación rubén vergara
TRANSCRIPT
![Page 1: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/1.jpg)
RUBÉN VERGARA CRUZ.JEFE DE SEGURIDAD Y CONTINUIDAD OPERACIONAL
“Tips and Tricks” en Seguridad TI
![Page 2: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/2.jpg)
¿Quién soy?
Sugerencias para ingresar al mundo de la seguridad TI
Algunos postulados esenciales en Seguridad TI
Seguridad en el ámbito de las Aplicaciones
¿Qué considerar al momento de adquirir un control?
Agenda
![Page 3: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/3.jpg)
¿Quién soy?
Ingeniero Civil Electrónico de la Universidad Técnica Federico Santa María
Con 17 años de experiencia en seguridad de la información y continuidad de negocios, en el sector civil y militar.
Miembro de ISACA, (ISC)², ISSA, DRII, BCI y EC-Council.
Diplomado en Seguridad Informática de la Universidad de Chile.
CISSP, CISM, CHFI, ABCP, AMBCI, Cobit Foundation.
![Page 4: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/4.jpg)
Sugerencias para ingresar al mundo de la seguridad TI
Participar en charlas, seminarios, webinars, etc.
Ser miembro de instituciones profesionales en Seguridad de la Información (ISC2, ISACA, ISSA, OWASP, DRII, etc).
Obtener conocimiento por medio de: Magister, Diplomados, Cursos. Certificaciones Internacionales (CISSP, CISM, CEH, CISA, CHFI, etc.)
Establecer redes de contacto.
“Aprender haciendo”,… pero siempre en ambientes controlados ( Hacking Dojo, Damn Vulnerable Web Application (DVWA), etc.) y personales.
![Page 5: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/5.jpg)
La Seguridad TI es parte de la Seguridad de la Información,y tienen por objetivo la Confidencialidad, Integridad y Disponibilidad de la Información (CIA en inglés).
Algunos postulados esenciales en Seguridad TI
La seguridad es un proceso no un proyecto.
La seguridad 100% no existe.
No existen las balas de plata.
![Page 6: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/6.jpg)
Principio del 80/20 en seguridad.
Algunos postulados esenciales en Seguridad TI
El nivel de protección depende del valor de lo que se quiere proteger.
Toda evaluación de seguridad debe contemplar la Triada CIA.
Los riesgos se Aceptan, Mitigan, Transfieren o Eliminan.
![Page 7: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/7.jpg)
No a la seguridad por obscuridad. No es lo mismo que la confidencialidad.
Algunos postulados esenciales en Seguridad TI
El mundo cambia y los ataques también.
Cada organización es un mundo diferente, y no todos los controles calzan perfectos.
![Page 8: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/8.jpg)
Seguridad en el ámbito de las Aplicaciones
¿Qué ámbito de seguridad revisaremos?
![Page 9: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/9.jpg)
Disponer de un ciclo de vida de desarrollo de software formalizado.
Seguridad en el ámbito de las Aplicaciones.
Capacitación formal y específica en desarrollo seguro. OWASP: XSS e Inyección de Código (SQL Injection).
Establecer librerías de seguridad.
Establecer un estándar de desarrollo seguro.
![Page 10: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/10.jpg)
QA y un checklist de seguridad, considerando el estándar. Manual y Automático (ZAP, Acunetix, etc.).
Seguridad en el ámbito de las Aplicaciones.
Ethical Hacking periódicos, con y sin credenciales, etc.
Control de cambios y versiones.
![Page 11: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/11.jpg)
Ambientes iguales, separados y controlados(Desarrollo, Pruebas y Producción).
Seguridad en el ámbito de las Aplicaciones.
Arquitectura de alta disponibilidad en toda la cadena.
Monitorear continuidad de servicios (in/out).
![Page 12: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/12.jpg)
Plan de Recuperación de Desastres (DRP).
Seguridad en el ámbito de las Aplicaciones.
RTO / RPO Seguridad en redes (segmentación, calidad de servicio, etc.)
Auditar los controles de seguridad TI (interna/externa).
![Page 13: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/13.jpg)
Firewall de Aplicaciones Web (WAF), algunas consideraciones:
Seguridad en el ámbito de las Aplicaciones.
Constante ajuste (“Tunning”) de los bloqueos y alarmas.
Minimizar la cantidad de excepciones. El WAF compra tiempo.
Control de Configuración.
Implementar reglas en todos los ambientes.
Bloqueo de herramientas de scan, etc.
![Page 14: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/14.jpg)
Cumplimiento con la funcionalidad requerida
¿Qué considerar al momento de adquirir un control?
Valor (proporción calidad/precio)
Escalabilidad
Costos extra (hardware, software, horas-hombre)
Facilidad de uso
![Page 15: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/15.jpg)
Nivel de soporte
¿Qué considerar al momento de adquirir un control?
Nivel de entrenamiento
Donde está, en Chile
Permanencia de la empresa
Integración con otras soluciones
![Page 16: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/16.jpg)
Dificultad de implementación
¿Qué considerar al momento de adquirir un control?
Proyección de mejoras y productos futuros
Qué dicen las evaluaciones externas (Gartner)
![Page 17: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/17.jpg)
“El conocimiento es la mejor inversión que se puede hacer”
Abraham Lincoln
![Page 18: Presentación Rubén Vergara](https://reader031.vdocuments.site/reader031/viewer/2022021502/58e99b9b1a28ab287d8b61a7/html5/thumbnails/18.jpg)
¡¡ MUCHAS GRACIAS !!!