administrativo
en canales electrónicos
Ing. Jorge O’Higgins, CISSP
Contenido
1.
2.
3.
4.
Objetivos de seguridad en el ambiente financiero
Definición de requerimientos deseguridad
Seguridad como proceso
Conclusiones
Objetivos de seguridad
en el ambiente financiero
Objetivos
• Cumplir con regulaciones, estándares y mejores prácticas
• Leyes (Habeas Data, FirmaDigital)
• Normas del ente regulador (BCRA “A” 4609)
• Estándares internacionales (ISO27001 / PCI DSS)
• Auditorías internas y externas (SAS70)
• Desarrollar características de seguridadinnovadoras en
pos de la protección de los clientes
• Minimizar el impacto en la usabilidad de los clientes
• Gestionar las restricciones económicas y tecnológicas
Definición de requerimientos
deseguridad
• Conceptos básicos a tener en cuenta:
Confidencialidad
Disponibilidad
Mantener la
información
disponible y
accesible
Mantener
protegida
información
sensible
IntegridadMantener
intacta y
válida la
información
Infraestructura de IT
• Conceptos básicos a tener en cuenta:
• Seguridad por oscuridad
• Seguridad en profundidad
• Segregación de funciones
• Mínimoprivilegio y “necesidad de saber”
• Control cruzado
•“¿Qué pasa si falla?”
• Tecnología, personas y procesos
• Pensando la seguridad de una canal electrónico:
• Infraestructura de IT
•Desarrollo seguro
Definición de requerimiento
de seguridad:
Infraestructura de IT
Infraestructura de IT
Hasta el primer lustro de los ´90: niveles básicos de segregación (NAT o filtrado depaquetes)
Infraestructura de IT
En el segundo lustro se expande el concepto de segregación:
• Filtrado de paquetes(router/IPChains)
• Stateful – Circuit Level- (PIX/FW-1/IPTables)
• Aplicación(Gauntlet)
Infraestructura de IT
Fines de los ’90: Interconexión de redes a través de VPN y aparición de IDS
Infraestructura de IT
Aparición de ataques más sofisticados:
• Ataques Web (Owasp...
Regístrate para leer el documento completo.