sistema de gestiÓn de aseguramiento€¦ · seguridad de los sistemas de información auditoría /...
TRANSCRIPT
SISTEMA DE GESTIÓN DE ASEGURAMIENTO
SGA de dispositivos y aplicaciones
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Temario
• SGA
• Presentación Giotto
• Objetivo
• Alcance
• Metodología
• Recursos
• Resultado esperado
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Sistema de Gestión de Aseguramiento(Problemática)
Necesidad Regulación
Seguridad de los sistemas de información
Auditoría / Entes de control
Aseguramiento de servidores
Definición de proyectos de aseguramiento
Procesos manuales y demorados
Riesgo en los procesos
Costos elevados (Contratación de expertos, generación de plantillas, etc.)
Entendimiento
Gestión de aseguramiento
Se realiza el aseguramiento solo una vez, sin importar que cambie la configuración
Realidad vs Documentado
Actualización de los controles
Auditoría
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Sistema de Gestión de Aseguramiento
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto: Hardening Process Tool
Soporte al SGA: Acoplándose a una metodología estándar para la realización de procesos de aseguramiento, su gestión, seguimiento y control, giotto permite:
• Gestionar de Procesos de Aseguramiento
• Facilitar los Procesos de Aseguramiento
• Acoplamiento de los procesos de Aseguramiento en el Sistema de Gestión de Seguridad de la Información (SGSI)
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto - Módulos
• Giotto Client Interface
• Giotto Core
• Giotto Agent
• Giotto Web Management
• Giotto Web Core
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto - Plantillas
Representa a nivel de la aplicación la lista de verificación que se realizaen el momento del aseguramiento de un activo, con la diferencia queen su mayoría se va a aplicar de manera automatizada.
Plantillas existentes: Windows Server 2003, 2008 R2, 2012
SQL Server 2005, 2008
Internet Information Server 7 (IIS7)
Oracle 10g, 11g
Mysql
Otras – En demanda
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Indicadores de gestión
El componente de gestión requiere el manejo de variables e indicadores de gestión teniendo en cuenta los siguientes aspectos
Variables de gestión:
• Estado de seguridad de un Activo de TI
𝑓 𝑥 = 𝑖=1𝑛 𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝐴𝑝𝑙𝑖𝑐𝑎𝑑𝑜 𝑖 ∗ 𝑃𝑒𝑠𝑜 𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝐴𝑝𝑙𝑖𝑐𝑎𝑑𝑜 𝑖(𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝑎 𝐴𝑝𝑙𝑖𝑐𝑎𝑟 𝑖 ∗ 𝑃𝑒𝑠𝑜 𝑑𝑒 𝐶𝑜𝑛𝑡𝑟𝑜𝑙 𝑎 𝐴𝑝𝑙𝑖𝑐𝑎𝑟 𝑖)
• Riesgo Residual de un Activo de TI
• Estado General de Seguridad
• Riesgo Residual General
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Interfaz ClienteInterfaz por medio de la cual el personal cualificado de la compañíaconfigura la serie de controles que va a evaluar o aplicar en el aseguramiento de los activos de la compañía.
Abrir plantillas instaladas
Importar Plantillas
Evaluar el estado de un activo por plantilla.
Aplicar una plantilla por activo.
Rollback de plantillas.
Modificación de plantillas.
Registros de aplicación de plantillas.
Autenticación por SSL
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Interfaz Cliente
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Interfaz Cliente
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Interfaz Cliente
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Interfaz Cliente
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Interfaz Cliente
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Web Management
Interfaz de administración web por medio de la cual el administradorpuede realizar la gestión de los aseguramientos.
Multiples formas de autenticación (AD).
Creación de usuarios.
Creación de proyectos de aseguramientos.
Creación de activos de TI.
Configuración de proyectos.
Asignación de responsables.
Multiples reportes graficos de gestión.
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Web Management
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Web Management
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Web Management
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Web Management
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Web Management
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Requerimientos funcionales
Giotto Client Interface
Sistema operativos: Windows Vista o superior.
Microsoft .NET Framework 2.0+ (Incluido en el SO)
Giotto Core
Sistema operativos: Windows Server 2003 o superior.
Microsoft .NET Framework 2.0+ (Incluido en el SO)
Base de datos: SQL Server 2008+.
Giotto Agent
Sistema operativos: Windows Vista o superior.
Microsoft .NET Framework 2.0+ (Incluido en el SO)
Giotto Web Core, Giotto Web Management
Sistema operativos: Windows Server 2008 o superior.
Microsoft .NET Framework 2.0+ (Incluido en el SO)
Internet Information Server 7 (IIS7)
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Requerimientos de activos
• Configuración mínima
1 Servidor de Base de datos. Opcional 1: Giotto Web Management, Giotto Web Core
1 Servidor para Giotto Core. Opcional 2: Giotto Web Management, Giotto BD
1 Workstation de administración (estación de trabajo OSI)
Servidores a asegurar
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Giotto – Requerimientos de activos
• Configuración recomendada
1 Servidor de Base de datos.
1 Servidor para Giotto Core.
1 Servidor para Giotto Web Management y Giotto Web Core
Estaciones de trabajo para el manejo de la herramienta
Servidores a asegurar
Cra 11ª # 144 – 36 Oficina 301 E - TEL: 2581081www.2secure.org [email protected]
Metodología
SGA •Definición del SGA - Procesos
Alcance e instalación
•Definición de proyecto
•Definición de activos
• Instalación de la herramienta
Ejecución•Aseguramiento de
servidores
•Rollback
•Validación y control