seminario seguridad web nexica
DESCRIPTION
Resumen seminario seguridad webTRANSCRIPT
-1-
Seguridad en Páginas WebSeguridad en Páginas Web
-2-
Nexica Private & Hybrid CloudFieles a nuestros compromisos de servicio, innovación y,
especialmente, flexibilidad, te ofrecemos diferentes modalidades de gestión, explotación, disponibilidad y facturación para que las combines y encuentres el formato de cloud que más se adapte a tus requisitos.
Alto Rendimiento
Elasticidad
Agilidad en la Provisión
Pago por Uso
Nexica Private & Hybrid Cloud
Ma
na
ge
d
Hybrid Cloud Cloud
Mo
dal
idad
es
de
Ges
tió
n
Modalidades de Servicio
Managed Cloud
Hosting
Base con coste fijo. Capacidad adicional bajo
demanda, con coste variable.
Todo el coste es variable. Capacidad bajo demanda,
no está limitada por la plataforma
Coste fijo a largo plazo (permanencia).
Capacidad fija por servidores
Virtual Infrastructure
Coste fijo, capacidad limitada por la plataforma
Managed Hybrid Cloud
Managed Hosting
As
sis
ted
Assisted Cloud
Assisted Hybrid Cloud
Assisted Hosting
Assisted Pool
Servicio Gestionado
Seguridad
Proximidad
-3-
Nuestros servicios
Cloud Computing – Nexica Private & Hybrid CloudRecursos TIC en la nube, de pago por uso, con servicio y seguridad garantizados.
• Cloud privado / público / híbrido.• RaaS: Servicio de recuperación ante desastres basado en cloud
Hosting GestionadoAlojamiento de aplicaciones a medida, escalable y de alta disponibilidad.
• Alojamiento gestionado de aplicaciones.• Balanceo, aceleración, encriptación, caching, cifrado SSL…• Firewall de aplicaciones.• Monitorización de transacciones web.• Distribución de contenidos (CDN).
CorreoServicios para garantizar el envío y la recepción de tus correos electrónicos y campañas.
• Alojamiento gestionado Exchange.• Pasarelas de correo.• Plataforma de envíos masivos.
Servicios ProfesionalesGarantizamos la disponibilidad de tus servicios.
• Soporte técnico / manos remotas.• Gestión y monitorización de aplicaciones 24x7.• Pruebas de estrés de aplicaciones.• Diseño, instalación, configuración y migración de plataformas.
Servicios Gestionados
-4-
– Profesor UPC– CEO en Security-Guardian.com – Security Guardian
• Consultora en la seguridad de la información– Actualmente colabora con Nexica en el ámbito de la asesoría
para protección y seguridad de infraestructuras• Soluciones SaaS de escaneo de vulnerabilidades para páginas Web
y certificación de seguridad y confianza para Website
– Logró certificaciones CISM & CISA de ISACA– Publicó vulnerabilidades de DB mundial– Ganó premio en conferencia internacional de SOGETI
4
CEO Security [email protected]
Tel: 931769357
-5-
Índice
Introducción Estadísticas Pensando en la Seguridad Conclusiones Preguntas
-6-
Introducción Crecimiento uso de Internet Incremento servicio ofrecidos online Incremento comercio electrónico Incremento ataques online Perfil del comprador online más diversificado Incremento estafas en Internet Incremento importancia de la seguridad Requerimiento de los clientes
Seguridad y Confianza Protección frente a los ataques
Información, imagen corporativa, factor económico
6
-7-
Índice
IntroducciónIntroducción Estadísticas Pensando en la SeguridadPensando en la Seguridad ConclusionesConclusiones PreguntasPreguntas
-8-
Estadísticas B2C 2010
Volumen de negocio B2C (millones €)
8
Fuente: ONTSI 2011
-9-
Gasto medio por comprador online
9
Fuente: ONTSI 2011
Estadísticas B2C 2010
-10-
• Numero de Internautas que compran por Internet (millones)
10
Estadísticas B2C 2010
Fuente: ONTSI 2011
-11-
Fuente: ONTSI 2011
EstadísticasMayores sectores
-12-
Estadísticas
Zone-h: Más de 1,5 Millones de páginas Web desfiguradas en el 2010
El informe anual de Symantec sobre amenazas a la seguridad en Internet indica un incremento del 81% en los ataques maliciosos
Motivaciones Ataques 2011
Fuente: http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database#TopApplicationWeaknessesAllEntries
Vulnerabilidades 2011
-13-
Estadísticas
Fuente: White Hat Security
Vulnerabilidades 2010
-14-
Estadísticas
Industry Num. Vulns Remediation Rate Window of Exposure (Days)
Overall 230 53% 233
Banking 30 71% 74
Education 80 40% 164
Financial Services 266 41% 184
Heathcare 33 48% 133
Insurance 80 46% 236
IT 111 50% 221
Manufacturing 35 47% 123
Retail 404 66% 328
Social Networking 71 47% 159
Telecommunications 215 63% 260
Fuente: White Hat Security
Vulnerabilidades 2010
-15-
Índice
IntroducciónIntroducción EstadísticasEstadísticas Pensando en la Seguridad ConclusionesConclusiones PreguntasPreguntas
-16-
Pensando en SeguridadGestión de Riesgos
Metodologías: MAGERIT, OCTAVE, CRAMM Inventario de activos
Definición del valor del activo Listado de amenazas y vulnerabilidades Evaluación de la probabilidad e impacto Definición del nivel de riesgo aceptable Calculo Riesgo
-17-
Pensando en Seguridad
ServicioServicio ArquitecturaArquitectura
Aplicación Web Propia
Aplicación Web Externa
Red
Sistema Operativo
Servidor Web
Base de Datos
Aplicaciones
Proceso del Negocio
Desarrollo del Servicio
Mejora
Entrega del Servicio
Soporte
Monitorización
Información
Vulnerabilidades 2010
-18-
Pensando en Seguridad
Integridad Confidencialidad
Disponibilidad
Seguridad de la información
-19-
Confidencialidad Asegurar que solo las partes interesadas puedan entender el mensaje Ej.: VPN en redes públicas
Integridad Evitar que el mensaje sea alterado. Ej.: CRC
Disponibilidad Que el mensajes/servicio sea disponible Ej.: redundancia
Pensando en SeguridadSeguridad de la información
-20-
Identificación Autenticación Autorización Sesiones Validación de datos Gestión de Errores Confidencialidad Integridad Logs
Pensando en SeguridadDesarrollo
-21-
Pensando en Seguridad
Seguridad física Red
DMZ IDS/IPS
Sistemas Configuración Patches upgrades
Servicios, Infraestructura e Información Redundancia Monitorización Auditoría
Arquitectura
-22-
Índice
IntroducciónIntroducción EstadísticasEstadísticas Pensando en la SeguridadPensando en la Seguridad ConclusionesConclusiones PreguntasPreguntas
-23-
¿Que se entiende porhackear? Esquivar las limitaciones
10 Formas de hackear una bombilla Apagarla, mojarla, quemarla, desenroscarla, proporcionar mayor
voltaje, quemar el edificio, cortar la corriente, etc….
-24-
Conclusiones La nueva era tecnológica hace de la seguridad un
pilar fundamental La seguridad es un aspecto complejo y laborioso. Hay que estudiar en profundidad todos los actores
presentes para desplegar un servicio “seguro”. El mantenimiento es tan importante como el
despliegue. Los daños producidos por un incidente pueden llevar
al cierre de una empresa Imagen, perdidas económicas, denegaciones de servicio,
perdidas de información
-25-
¡Gracias por su atención!¡Gracias por su atención!