SISTEMA DE GESTIÓN DE ASEGURAMIENTO

SGA de dispositivos y aplicaciones

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Temario

• SGA

• Presentación Giotto

• Objetivo

• Alcance

• Metodología

• Recursos

• Resultado esperado

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Sistema de Gestión de Aseguramiento(Problemática)

Necesidad Regulación

Seguridad de los sistemas de información

Auditoría / Entes de control

Aseguramiento de servidores

Definición de proyectos de aseguramiento

Procesos manuales y demorados

Riesgo en los procesos

Costos elevados (Contratación de expertos, generación de plantillas, etc.)

Entendimiento

Gestión de aseguramiento

Se realiza el aseguramiento solo una vez, sin importar que cambie la configuración

Realidad vs Documentado

Actualización de los controles

Auditoría

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Sistema de Gestión de Aseguramiento

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto: Hardening Process Tool

Soporte al SGA: Acoplándose a una metodología estándar para la realización de procesos de aseguramiento, su gestión, seguimiento y control, giotto permite:

• Gestionar de Procesos de Aseguramiento

• Facilitar los Procesos de Aseguramiento

• Acoplamiento de los procesos de Aseguramiento en el Sistema de Gestión de Seguridad de la Información (SGSI)

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto - Módulos

• Giotto Client Interface

• Giotto Core

• Giotto Agent

• Giotto Web Management

• Giotto Web Core

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto - Plantillas

Representa a nivel de la aplicación la lista de verificación que se realizaen el momento del aseguramiento de un activo, con la diferencia queen su mayoría se va a aplicar de manera automatizada.

Plantillas existentes: Windows Server 2003, 2008 R2, 2012

SQL Server 2005, 2008

Internet Information Server 7 (IIS7)

Oracle 10g, 11g

Mysql

Otras – En demanda

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Indicadores de gestión

El componente de gestión requiere el manejo de variables e indicadores de gestión teniendo en cuenta los siguientes aspectos

Variables de gestión:

• Estado de seguridad de un Activo de TI

𝑓 𝑥 = 𝑖=1𝑛 𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝐴𝑝𝑙𝑖𝑐𝑎𝑑𝑜 𝑖 ∗ 𝑃𝑒𝑠𝑜 𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝐴𝑝𝑙𝑖𝑐𝑎𝑑𝑜 𝑖(𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝑎 𝐴𝑝𝑙𝑖𝑐𝑎𝑟 𝑖 ∗ 𝑃𝑒𝑠𝑜 𝑑𝑒 𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝑎 𝐴𝑝𝑙𝑖𝑐𝑎𝑟 𝑖)

• Riesgo Residual de un Activo de TI

• Estado General de Seguridad

• Riesgo Residual General

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Interfaz ClienteInterfaz por medio de la cual el personal cualificado de la compañíaconfigura la serie de controles que va a evaluar o aplicar en el aseguramiento de los activos de la compañía.

Abrir plantillas instaladas

Importar Plantillas

Evaluar el estado de un activo por plantilla.

Aplicar una plantilla por activo.

Rollback de plantillas.

Modificación de plantillas.

Registros de aplicación de plantillas.

Autenticación por SSL

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Interfaz Cliente

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Interfaz Cliente

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Interfaz Cliente

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Interfaz Cliente

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Interfaz Cliente

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Web Management

Interfaz de administración web por medio de la cual el administradorpuede realizar la gestión de los aseguramientos.

Multiples formas de autenticación (AD).

Creación de usuarios.

Creación de proyectos de aseguramientos.

Creación de activos de TI.

Configuración de proyectos.

Asignación de responsables.

Multiples reportes graficos de gestión.

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Web Management

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Web Management

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Web Management

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Web Management

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Web Management

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Requerimientos funcionales

Giotto Client Interface

Sistema operativos: Windows Vista o superior.

Microsoft .NET Framework 2.0+ (Incluido en el SO)

Giotto Core

Sistema operativos: Windows Server 2003 o superior.

Microsoft .NET Framework 2.0+ (Incluido en el SO)

Base de datos: SQL Server 2008+.

Giotto Agent

Sistema operativos: Windows Vista o superior.

Microsoft .NET Framework 2.0+ (Incluido en el SO)

Giotto Web Core, Giotto Web Management

Sistema operativos: Windows Server 2008 o superior.

Microsoft .NET Framework 2.0+ (Incluido en el SO)

Internet Information Server 7 (IIS7)

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Requerimientos de activos

• Configuración mínima

1 Servidor de Base de datos. Opcional 1: Giotto Web Management, Giotto Web Core

1 Servidor para Giotto Core. Opcional 2: Giotto Web Management, Giotto BD

1 Workstation de administración (estación de trabajo OSI)

Servidores a asegurar

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Giotto – Requerimientos de activos

• Configuración recomendada

1 Servidor de Base de datos.

1 Servidor para Giotto Core.

1 Servidor para Giotto Web Management y Giotto Web Core

Estaciones de trabajo para el manejo de la herramienta

Servidores a asegurar

Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org info@2secure.org

Metodología

SGA •Definición del SGA - Procesos

Alcance e instalación

•Definición de proyecto

•Definición de activos

• Instalación de la herramienta

Ejecución•Aseguramiento de

servidores

•Rollback

•Validación y control