Privacidad y Protección de la

Información, Mito o Realidad

Eduardo Cocina, CISA, CGEIT, CRISC

Socio Deloitte

Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL

Gerente Senior Deloitte

Problemática Actual

¿Mito o Realidad?

2

Cibercrimen¿Nos puede pasar a nosotros?

Los principales objetivos del CiberCrimen:

- Robo de identidades - Robo de datos

- Fraude - Afectación a la imagen / reputación 3

Preguntas Clave

¿Qué información está dejando nuestra red y a dónde se está

dirigiendo?

¿Quién realmente se está firmando a nuestra red y desde dónde?

¿Sabe cuánto valen los datos en su negocio?

¿Conoces cuánto cuesta una fuga de información para tu empresa?

Cibercrimen¿Nos puede pasar a nosotros?

4

Incid

en

tes r

ep

ort

ad

os

Fuente: Open Security Foundation

5

NAA: Names

SSN: Social Security Numbers

MISC: Miscellaneous

DOB: Date of Birth

MED: Medical

ADD: Addresses

BIZ: Business

GOV: Government

MED: Medical

EDU: Educational

Fuente: Open Security Foundation

6

Procesos de Negocio

Sistemas de Monitoreo que permiten acceder a datos transaccionales

Archivo y Eliminación no controlada de información sensitiva

Inadecuados perfiles de acceso permiten que usuarios puedan acceder a información que no deberían ver

Tercerización de Procesos sin adecuados controles

Publicación de información de la

empresa en Internet (redes sociales) o almacenados en la

“nube”

Desarrolladores que acceden a datos en

Producción

Información

Información Sensible no

encriptada en las Bases

Problemática Actual

7

8

Ataques dirigidos

Ataques no

dirigidos

Fuga de

información

Factor

Humano

Falta de conciencia

Falta de ética La información tiene valor en el

mercado

Pérdida de mercado

Penalizaciones

Daño de imagen

Posición desfavorable

en negociaciones

Información

Crear

Procesar

Almacenar

Transferir

Respaldar

Eliminar

Riesgos

Soluciones conjuntas

9

Autorizar y autenticar Roles y perfiles apropiados

Control de accesos a

clientes y usuarios

Evitar

fugas de información sin inhibir al negocio

Identificar quién es quién en el acceso a

los recursos de la empresa

Proteger información sensitiva

Visión de los procesos de administración de accesos e Identidades, y protección de fugas de información

La seguridad de información es un proceso de transformación del negocio que

involucra procesos, gente y tecnología.

11

Protección de Fugas de

Información

12

13

Información

• Descubrimiento de

información

• Identificación de

información crítica

• Identificación de flujo

que siguen los datos

críticos

• Identificación de

accesos

• Clasificación de

información

• Identificación de

acciones

Lectura

Modificación

Transmisión

Impresión

Copiado

Almacenado

Eliminación

• Análisis de riesgos

• Alertar

• Notificar

• Avisar

• Prevenir

• Bloquear

• Cifrar

• Enmascarar Redes

Dispositivos

Aplicaciones

E-mail

¿A dónde se van

nuestros datos?

Controlar Diseñar

¿Qué hace el usuario

con estos datos?

¿Dónde se encuentran los

datos sensibles?

¿Qué Políticas y acciones de

Protección debo implementar?

Registros de Auditoría

Analizar

Modelo de implementación por capas

14

Administración de accesos

e identidades.

15

Los retos en el control de las identidades digitales

Las organizaciones almacenan y procesan cada vez más información

sensitiva y crítica para su operación, al mismo tiempo, el rápido crecimiento

en el número de usuarios, internos y externos que requieren acceso a

múltiples fuentes de datos y con distintos niveles de privilegios, representa

todo un reto en cuanto a:

• Otorgar acceso a múltiples

recursos en tiempos razonables

• Otorgar los accesos con

privilegios adecuados

• Evitar conflictos de segregación

de funciones

• Administrar el ciclo de vida de la

identidad

• Habilitar la operación, proteger la

información y evitar riesgos.

• Auditar y certificar el acceso de

usuarios

• Dar cumplimiento a leyes y

regulaciones

16

Visión del Proceso de Administración de Accesos e Identidades.

La administración de acceso e identidades es un proceso más de negocio que

cubre todo el ciclo de vida de un usuario, desde el comienzo hasta el fin de la

relación:

17

Beneficios de la implementación de un proceso de control de acceso y administración de identidades

Riesgos / Cumplimiento

• Eliminación de riesgos por

cuentas “fantasma”

• Control de usuarios privilegiados

• Eliminación de cuentas

compartidas

• Segregación de funciones

• Alineación a leyes y regulaciones

• Transparencia / Visibilidad /

Trazabilidad

Costos:

• Procesos de incorporación de

usuarios eficientes

• Disminución de costos por

atención de usuarios

• Automatización y optimización

de los procesos del negocio

• Procesos eficientes de auditoría

Negocio / Usuario

• Eliminación de múltiples cuentas

• Autoservicio

• Incremento en la satisfacción de usuarios / clientes 18

Conclusiones

19

CAPACIDADES

Soluciones multi-plataforma

CAPACIDADES

Foco en integración de soluciones corporativas

Metodologías probadas

Personal capacitado

Posicionamiento como trusted advisor

Servicios profesionales de implementación

Ambientes físicos, virtuales y en la Nube

Soluciones probadas en el mercado

Propuesta de valor

• Apoyar al cumplimiento de normas y regulaciones ofreciendo herramientas de manejo de evidencias

• Control y gestión de identidades, accesos y uso de información sensitiva basado en el contexto del usuario (“Content-Aware IAM”)

• Integración completa de proyectos de control de riesgo (arquitecturas, metodologías, implementación y soporte)

• Fortalecer el ofrecimiento consultivo y de auditoria con soluciones que automaticen los controles de seguridad que las mejores prácticas proponen

IAM punto a punto

Orientado a temas regulatorios

Controles tecnológicos

Control de riesgo total

Ofrecimiento de mercado

Mensajes Clave que tienen que llevarse

22

Por mas tecnología que una organización implemente, siempre hay un Factor Humano

1

El Factor Humano es el eslabón más débil de la cadena 2

Las amenazas son crecientes y reales y ahora están dirigidas, ya que son realizadas por organizaciones

criminales!! 3

El Paradigma de seguridad cambió: ya no es sólo cuestión de protegerse de la amenaza exterior, sino proteger la

información que sale; “No es lo que entra, sino lo que sale!”

4

© 2012 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Por el bien de todos…

… Evitemos la falsa sensación de seguridad o

confianza excesiva.

23

Preguntas

24