1 Seguridad Cloud Eficiente Como no morir en el intentoJuan Miguel Velasco López-Urda CEO Aiuken Solutions Internacional Presidente de la Comisión de Seguridad VP EuroCloud Spain Secretario Comité Asesor iSMS Forum Spain

2 Explosión de Internet 2008 – 2014: Número de usuarios ConectadosNecesidad de Servicios de Seguridad, Factores Clave: Explosión de Internet 2008 – 2014: Número de usuarios Conectados

3 Explosión de Internet 2008 – 2014: Número de dispositivos conectadosNecesidad de Servicios de Seguridad, Factores Clave: Explosión de Internet 2008 – 2014: Número de dispositivos conectados M2M Internet of things Dispositivos Móvilesx5

4 Explosión de Internet 2008 – 2014: Crecimiento de mercado y negocioInternet Commerce B2C Busines to Comsumers B2B Business to Business 2010 a 2014 Incremento del negocio eCommerce >500 % en los últimos 5 años $$$$$$$$$$$$$$$$$$$$$$$

5 Servicios Cloud & Internet:No somos un buen sector para los seguros Explosión de Internet 2008 – 2014 = Explosión de los incidentes

6 Servicios Cloud & Internet:No somos un buen sector, todo son peligros

7 y…. ¿no hay otros sectores de riesgo con seguridad?

8 ¿Por qué existen tantas vulnerabilidades?TCP/IP 1960 Protocolo Militar (US military Deparment DARPA) orientado a la supervivencia (todo vale) Asíncrono!!!!!! No orientado a conexión Sin verificación de origen ni destino. Ni orientado a conexión Sin cifrado y encima estamos en v4 HTML/WEB Diseñado para entono cerrado y confianble (CERN 1980) Sin animaciones ni rich content sólo texto plano con meta data para indexación Stateless No orientación a conexión ni sesión NO CIFRADO por defecto Os Sistemas operativos como Windows o Android son genéricos funcionan sobre cualquier hardware (equipo) no propietario Navegadores muy potentes y con capacidades de Sistema Operativo (sandbox), muy centrados en los gráficos no la seguridad NO SECURITY BY DESIGN

9 ¿por qué existen tantas ciberamenazas?Móvil y apps Sistemas operativos como Windows o Android son genéricos funcionan sobre cualquier hardware (equipo) no propietario Navegadores muy potentes y con capacidades de Sistema Operativo (sandbox), muy centrados en los gráficos no la seguridad No desarrollado con seguridad prima el diseño y la funcionalidad Documentación escasa y de evolución lenta Estandards de facto y el Cloud lo empeora… NO SECURITY BY DESIGN

10 Proveedores de Servicios de Seguridad Gestionada SOCDefinición -Objetivos “HACER LAS COSAS MAL, NO ES NI EL MEJOR, NI EL ÚNICO CAMINO, PERO DEPENDE DE NOSOTROS CAMBIARLO….” Juan Miguel Velasco Feb 2016

11 ¿Cuántas tecnologías conoces y puedes gestionar?ONPREMISE ES MEJOR QUE EN CLOUD SIEMPRE!!!!

12 CARNET DE USUARIO DE INTERNET SEGURANivel 1 Seguridad Certificado Tecnologíco Conocimiento de herramientas : y navegador, redes sociales, aplicaciones propias del banco Conocimiento de amenazas y riesgos Conocimiento de soluciones y herramientas Conocimiento legislativo y operativo (el desconocimiento no exime del riesgo)

13 ¿Qué podemos esperar?

14 Seguridad Gestionada vs Gestión de la SeguridadFases de madurez del modelo de implementación Seguridad Gestión de la Seguridad Seguridad Gestionada Proteger Desplegar Gestionar Mantener Corregir Reaccionar Externalizar Automatizar Mejorar Inmadurez Madurez AXIOMAS No se puede externalizar lo que no se conoce o se controla adecuadamente Un proveedor puede orientar e influir, pero la empresa debe definir los procedimientos que estén alineados con su negocio 1414

15 Proveedores de Servicios de Seguridad Gestionada SOCDefinición -Objetivos Un proveedor de servicios de Seguridad Gestionada (MSSP) es una compañía que provee uno o más servicios de seguridad informática a Clientes Corporativos en 24x7, gestionando los servicios en base a un SLA específico para Servicios de Seguridad. En la mayoría de los casos, estos servicios se prestan de forma remota desde un Centro de Seguridad (SOC) que presta servicios a múltiples clientes. El SOC es gestionado por el proveedor de Servicios en sus instalaciones de alta seguridad Fuente OVUM – “Managed Security Services Providers:Changing to survive”. 2005

16 AUTOREGULACIÓN PASO INICIAL….2.- MARCO DE REFERENCIA PARA MSSP

17 Seguridad Cloud y Cloud para seguridadEl Cloud debe asumir un papel protagonista como el tercer perimetro. Debe ser una extensión de nuestro perimetro exterior, asumiendo nuestra política y reglas. Debe aportar comunicaciones limpias a nivel básico. Debe ser proactive.

18 CLOUD QUE PROTEGE AL CLOUD2.- SERVICIOS PUROS CLOUD CASB

19 Servicios Gestionados de Seguridad (MSS) Actores y Dominios de riesgoFamilias de MSSP: Operadores Integradores Auditoras/Consultoras

20 Servicios Gestionados de Seguridad (MSS) Actores & Dominios de riesgoServicios Gestionados de Seguridad (MSS) Actores & Dominios de riesgo. Proveedores 1.0 Simple gestión reactiva Servicios básicos de configuración y gestión : FW, Antivirus, vulnerabilidades IPS y gestión de firmas Incident Response (básico) No existen elementos avanzados Cuadro de Mando Centralización de eventos Incident Response avanzado Administración multidispositivos Informes Ejecutivos (KPIs) Gestión proactiva

21 RMA < 4 horas RMA < 24 horasServicios Gestionados de CiberSeguridad Elementos tangibles a valorar e indemnizar RMA < 4 horas RMA < 24 horas

22 Servicios Gestionados de CiberSeguridadElementos tangibles a valorar e indemnizar

23 CiberSeguros alternativa proactivaAyuda vs Indemnización

24 Correlation Systems IntegrationeBANKING PROTECTION SERVICES Online Banking Security Services Trap Code Integration and Real Time decision making eBanking website Real Time Actions Service Portal Trap Code Stop Transfers Additional Authentication Request Avoid Access, quarantine If VIP, pone call Scoring System . . . Correlation Systems Integration Alerts delivery

25 MSSP 3.0: CALIDAD , REPORT, SLAs y PENALIZACIONESKPIs : Indicadores claros asociados al contrato y a los elementos claves a proteger SLAs: Indicadores de la prestación del servicio, siempre en línea con los KPIs, SIN KPIs NO HAY SLAs PENALIZACIONES: en línea con los SLAs y los KPIs, hay que alinearlas con los pagos mensuales o anuales, sin penalización económica no hay garantía de servicio REGLA del M.A.R.E.O. M.edible A.lcanzable R.etador E.Specifico (económico) O.Rientado al servicio

26 Servicios Gestionados de Seguridad (MSS) Elementos futuros

27 27 Juan Miguel Velasco López-Urda CEO Aiuken SolutionsVP EuroCloud Spain Presidente de la Comisión de Seguridad Secretario delConsejo Asesor iSMS Forum 27