Seguridad y Seguridad y computación confiable computación confiable desde Microsoftdesde Microsoft

German MarrugoGerman Marrugo

IT Regional ManagerIT Regional Manager

Microsoft CorporationMicrosoft Corporation

Misión de IT y PrioridadesMisión de IT y Prioridades

PrioridadesPrioridades Ser el Primero y el Mejor Ser el Primero y el Mejor

ClienteCliente Proveer LiderazgoProveer Liderazgo Fijar una estrategia de IT Fijar una estrategia de IT

coordinadacoordinada Operar una infraestructura de Operar una infraestructura de

Clase MundialClase Mundial

““Proveer proactivamente infraestructura de Proveer proactivamente infraestructura de IT y aplicaciones que excedan las IT y aplicaciones que excedan las expectativas de nuestros clientes internos, expectativas de nuestros clientes internos, externos y socios – haciendo fácil el externos y socios – haciendo fácil el trabajar en cualquier lugar y en cualquier trabajar en cualquier lugar y en cualquier momento.”momento.”

Microsoft EnvironmentMicrosoft Environment

CharlotteCharlotte

~ 400 Sites ~ 400 Sites SupportedSupported

~70K “Users of IT”~70K “Users of IT” Global HelpdeskGlobal Helpdesk Global SAPGlobal SAP Regional ClarifyRegional Clarify Regional SiebelRegional Siebel

SydneySydney

Chofu & OtemachiChofu & Otemachi

Les UlisLes UlisTVPTVP

DublinDublin BeneluxBenelux

MadridMadrid

DubaiDubai

SingaporeSingapore

JohannesburgJohannesburg

Sao PauloSao Paulo

Canyon ParkCanyon ParkRedmondRedmond

Los ColinasLos Colinas

ChicagoChicagoMilanMilan

StockholmStockholm

MunichMunich

Silicon ValleySilicon Valley

3 Enterprise DC’s3 Enterprise DC’s 19 Regional DC’s19 Regional DC’s Standard OfficeStandard Office Internet Connected Internet Connected

Office (ICO1 / Office (ICO1 / ICO2)ICO2)

~6 million emails per day~6 million emails per day ~95m SPAM filtered since ~95m SPAM filtered since

OctOct 19K concurrent IM sessions19K concurrent IM sessions Regional Exchange 2003 Regional Exchange 2003

SAN’s SAN’s 1m UM calls processed in 1m UM calls processed in

AugAug 200MB Personal Mailbox200MB Personal Mailbox ~300K Remote Connections ~300K Remote Connections

made each weekmade each week

~190,000+ PCs~190,000+ PCs ~10,000+ servers~10,000+ servers ~200+ Domain Controllers~200+ Domain Controllers ~1800 Cisco Routers~1800 Cisco Routers ~3K Wireless AP’s~3K Wireless AP’s ~24K Wireless devices~24K Wireless devices

MOM 2000 SP1MOM 2000 SP1 SMS 2003SMS 2003 Windows Server 2003 Windows Server 2003

SP1SP1 Exchange Server Exchange Server

20032003

MS Office System MS Office System 20032003

Windows XP SP1Windows XP SP1 ETrust AV (CA)ETrust AV (CA)

Ambiente de Seguridad en Ambiente de Seguridad en MicrosoftMicrosoft AmbienteAmbiente

100k+ intentos/pruebas/exploración maliciosos 100k+ intentos/pruebas/exploración maliciosos por mespor mes

225k dispositivos de red (routers, hubs, etc.)225k dispositivos de red (routers, hubs, etc.)

Retos Retos CulturaCultura Requerimientos únicos de desarrolloRequerimientos únicos de desarrollo Pruebas internas de aplicacionesPruebas internas de aplicaciones Liderazgo tecnológicoLiderazgo tecnológico

Visión de Seguridad de Visión de Seguridad de InformaciónInformaciónContar con un ambiente de IT consistente de Contar con un ambiente de IT consistente de servicios, aplicaciones e infraestructura que servicios, aplicaciones e infraestructura que implícitamente provee de disponibilidad, implícitamente provee de disponibilidad, privacidad y seguridad a cualquier cliente.privacidad y seguridad a cualquier cliente.

FundamentosFundamentos Identidad no es comprometidaIdentidad no es comprometida Recursos necesitados están seguros y disponiblesRecursos necesitados están seguros y disponibles Información y comunicaciones son privadasInformación y comunicaciones son privadas Clara definición de actividades y responsabilidadesClara definición de actividades y responsabilidades Respuesta en tiempo a riesgos y amenazasRespuesta en tiempo a riesgos y amenazas

Aspectos críticos de la seguridadAspectos críticos de la seguridad

Arquitectura Segura de IT

Tecnología

Windows 2000

Active Directory

Service PacksHot F

ixes

IPSEC

Kerberos

PKI

Distrib

uted

File S

ystem

Encrypting

File System

SSL/TLS

Clustering

GenteEnterpriseAdministrator

Domain

Admin

. User

Admin.

SystemManager

Service/Support

Developer

USER

ArchiveAccessPolicy

Inst

all

Repair

Even

t

Man

agem

ent

Performance

Management

Configuration

Management Proc

esos

Backup

Restore

Intru

sion

Detectio

n

Metodología de seguridad Metodología de seguridad en ITen IT

PersonasPersonas

ProcesosProcesos

TecnologíaTecnología

RH DedicadosRH Dedicados EntrenamientoEntrenamiento Seguridad—Actitud y prioridadSeguridad—Actitud y prioridad Educación de empleadosEducación de empleados

Planeación de seguridadPlaneación de seguridad PrevenciónPrevención DetecciónDetección ReacciónReacción

Tecnología de puntaTecnología de punta Estándar, encripción, protecciónEstándar, encripción, protección Funcionalidades de productoFuncionalidades de producto Herramientas de Seguridad y Herramientas de Seguridad y

productosproductos

Misión del grupo de Misión del grupo de seguridadseguridad

Monitoreo y Monitoreo y OperaciónOperación““Preveer el uso no autorizado o Preveer el uso no autorizado o

malicioso que pueda causar malicioso que pueda causar

daño o perdidas de propiedad daño o perdidas de propiedad

intelectual de Microsoft o intelectual de Microsoft o

productividad por medio de productividad por medio de

evaluación, comunicación y evaluación, comunicación y

reducción de riesgo a las reducción de riesgo a las

propiedades digitales.”propiedades digitales.”Analizar Analizar

Amenazas y Amenazas y RiesgosRiesgos

Definir Definir PolíticaPolítica

Implementacion Implementacion y Cumplimiento y Cumplimiento

de Auditoríade Auditoría

Grupo de seguridad en Grupo de seguridad en MicrosoftMicrosoft

Grupo de Seguridad de InformaciónGrupo de Seguridad de Información

Análisis de Análisis de amenazas y riesgos. amenazas y riesgos. Definición de Definición de políticaspolíticas

Cumplimiento de Cumplimiento de evaluaciónevaluación

Monitoreo, Monitoreo, Detección de Detección de intrusos, intrusos, Respuesta a Respuesta a incidentesincidentes

Operación de Operación de Servicios Servicios CompartidosCompartidos

Análisis de Análisis de amenazas y riesgosamenazas y riesgos

Desarrollo de Desarrollo de políticaspolíticas

Evaluación de Evaluación de productosproductos

Revisión de Revisión de diseñosdiseños

Estándares de Estándares de infraestructurainfraestructura

Administración de Administración de seguridadseguridad

Servicios de Servicios de cumplimientocumplimiento

Cumplimiento y Cumplimiento y correccióncorrección

Monitoreo y Monitoreo y detección de detección de intrusosintrusos

Rápida resolución Rápida resolución y respuestay respuesta

ForenseForense

ITITInvestigacionesInvestigaciones

Acceso remoto y Acceso remoto y FísicoFísico

Administración de Administración de CertificadosCertificados

Herramientas de Herramientas de SeguridadSeguridad

Administración de Administración de IniciativasIniciativas

Estrategias de seguridadEstrategias de seguridad

Asegurar el Asegurar el Perímetro de Perímetro de

la redla red

Asegurar el Asegurar el Interior de la Interior de la

RedRed

Asegurar las Asegurar las propiedades propiedades

principalesprincipalesExpandir el Expandir el

Monitoreo y la Monitoreo y la AuditoriaAuditoria

Mitigar el riesgo de la infraestructura vía la Mitigar el riesgo de la infraestructura vía la implementación de 4 estrategias.implementación de 4 estrategias.

Mitigar el riesgo de la infraestructura vía la Mitigar el riesgo de la infraestructura vía la implementación de 4 estrategias.implementación de 4 estrategias.

Identificar Amenazas y PropiedadesIdentificar Amenazas y PropiedadesIdentificar Amenazas y PropiedadesIdentificar Amenazas y Propiedades

Asegurar Wireless Asegurar Wireless

Uso de Smart CardsUso de Smart Cards

Asegurar usuario remoto Asegurar usuario remoto

Firewall MensajeríaFirewall Mensajería

Asegurar Extranet y conexión Asegurar Extranet y conexión a sociosa socios

Eliminar Passwords débilesEliminar Passwords débiles Segregación de cuentasSegregación de cuentas Administración ParchesAdministración Parches Segmentación de redSegmentación de red Uso de Smart Cards para Uso de Smart Cards para

AdministradoresAdministradores

Exploración Automática de Exploración Automática de VulnerabilidadVulnerabilidad

Administración Código Administración Código FuenteFuente

Detección Intrusos en la RedDetección Intrusos en la Red

Análisis de Eventos de Análisis de Eventos de Seguridad AutomáticaSeguridad Automática

Asegurar RemediaciónAsegurar Remediación

Ejemplo: Asegurando el Ejemplo: Asegurando el perímetro con estrategia de perímetro con estrategia de acceso remoto RASacceso remoto RAS

Usuario Usuario MaliciosoMalicioso

SoftwareSoftwareMaliciosoMalicioso

AmenazaAmenaza

2 Factores de2 Factores deAutenticaciónAutenticación

Forzar ConfiguraciónForzar Configuraciónde Sistema dede Sistema deSeguridad RemotoSeguridad Remoto

RequerimientoRequerimiento

““Smart Cards”Smart Cards”para para Acceso RemotoAcceso Remoto

Connection ManagerConnection Manager y y Limitación de RAS Limitación de RAS

SoluciónSolución

Cont. Ejemplo: Asegurando el Cont. Ejemplo: Asegurando el perímetro con estrategia de acceso perímetro con estrategia de acceso remoto RAS implementaciónremoto RAS implementación

Smartcard chip adicionado a las tarjetas Smartcard chip adicionado a las tarjetas existentesexistentes

Política de Acceso Remoto (RAP) Política de Acceso Remoto (RAP) implementadas en infraestructura VPNimplementadas en infraestructura VPN

Aprovechando PKI infraestructuraAprovechando PKI infraestructura Administración Centralizada de las Administración Centralizada de las

tarjetastarjetas

Cont. Ejemplo: Asegurando el Cont. Ejemplo: Asegurando el perímetro “Connection Managerperímetro “Connection Manager””

Requerimiento Requerimiento para usuarios con para usuarios con conexión remota conexión remota

Permite validar sistemas de Permite validar sistemas de configuración:configuración: Anti-Virus software y actualizacionesAnti-Virus software y actualizaciones Internet Connection Firewall (encendido)Internet Connection Firewall (encendido) Internet Connection Sharing (apagado)Internet Connection Sharing (apagado)

Validación personalizada con base a Validación personalizada con base a amenazas relevantesamenazas relevantes

Auto-actualización obliga versiones de Auto-actualización obliga versiones de actualización y nuevos “Scripts” en los actualización y nuevos “Scripts” en los usuariosusuarios

Ejemplo 2: Asegurando el perímetro interior de la Ejemplo 2: Asegurando el perímetro interior de la red con estrategia de “Administración de parches” red con estrategia de “Administración de parches”

1. 1. EvaluacionEvaluacion

2. 2. IdentidadIdentidad

4. 4. ImplementacióImplementaciónn

3. Evaluar 3. Evaluar & Planear& Planear

Descubrir una nueva actualización Descubrir una nueva actualización de softwarede software Determinar la relevanciaDeterminar la relevancia Obtener y verificar las fuentes de Obtener y verificar las fuentes de los archivoslos archivos Enviar RFCEnviar RFC

Determinar la respuesta apropiadaDeterminar la respuesta apropiada Plan de la nueva versiónPlan de la nueva versión Construir la nueva versiónConstruir la nueva versión Realizar pruebasRealizar pruebas

Preparación de la implementaciónPreparación de la implementación Implementación en los Implementación en los computadores elegidoscomputadores elegidosRevisión post implementaciónRevisión post implementación

Descubrir inventario de activos existentesDescubrir inventario de activos existentes Evaluación de vulnerabilidadesEvaluación de vulnerabilidades Determinar la mejor fuente de informaciónDeterminar la mejor fuente de información Evaluar infraestructura para distribución de SoftwareEvaluar infraestructura para distribución de Software Evaluar efectividad operacionalEvaluar efectividad operacional

#1#1Cambio de EstándaresCambio de Estándares

Nuevos ParchesNuevos ParchesConfiguración de aplicaciónConfiguración de aplicación

Software RequeridoSoftware Requerido

Cont. Ejemplo 2: Proceso de Cont. Ejemplo 2: Proceso de administración de parchesadministración de parches

ProcesosProcesos HerramientasHerramientas

UsuarioUsuario#2#2Determinar severidad Determinar severidad Para cada Ambiente y Para cada Ambiente y Fijar Fechas LímitesFijar Fechas Límites

#3#3Probar Nuevo EstándarProbar Nuevo Estándar

Software de ClienteSoftware de ClienteUnidad de Negocio ITUnidad de Negocio IT

Centro de DatosCentro de Datos

#4 Implementación#4 ImplementaciónSMSSMS

E-Mail NotificacionesE-Mail NotificacionesWindows updateWindows update

Logon ScriptsLogon ScriptsConstruccionesConstrucciones

#5#5Evaluar Cumplimiento Evaluar Cumplimiento

Por ExploraciónPor Exploración “ “Scanning”Scanning”

#6 Obligar#6 Obligar•E-MailE-Mail

•EscalaciónEscalación•Forzar el ParcheForzar el Parche•Cierre de PuertosCierre de Puertos

Modelo empresarial de Modelo empresarial de riesgo riesgo AltoAlto

BajoBajo AltoAlto

Rie

sgo

Rie

sgo

ValorValorInformaciónInformación

(Terceros, Empleados, (Terceros, Empleados, Ejecutivos)Ejecutivos)

(Tangible/ Reemplazable)(Tangible/ Reemplazable)(Clientes, Servidores de datos, (Clientes, Servidores de datos, Servidores de Infraestructura, Servidores de Infraestructura,

Red Corp)Red Corp)

PersonasPersonasPropiedadPropiedad

BajoBajo

R R – Suma/Total – Suma/Total

Riesgo Riesgo

Las Compañías asumen algún riesgo

Entregables de iniciativas, estrategias, servicios o procesos arriba del nivel de tolerancia

Modelo empresarial de Modelo empresarial de riesgo riesgo

Marco de riesgoMarco de riesgo

Clasificación de exposiciónClasificación de exposición

Referencia de ImpactoReferencia de Impactoen Propiedadesen Propiedades

Determinar posibilidad de explotarDeterminar posibilidad de explotar

Calcular impacto en control actualCalcular impacto en control actual

ResultadoResultadoMétodo de CálculoMétodo de Cálculo

Factores de AmbienteFactores de Ambiente

Valor de exposición Valor de exposición (Er)(Er)

Valor de propiedad (AR)Valor de propiedad (AR)

Vulnerabilidad (VL)Vulnerabilidad (VL)

Controles existentes y Controles existentes y cumplimientocumplimiento Eficiencia del Control (Ce)Eficiencia del Control (Ce)

Riesgo (R)Riesgo (R)(Er x AR x VL) – Ce(Er x AR x VL) – Ce

Clasificación de DatosClasificación de Datos

Habilidad de Habilidad de comprometer sistemas comprometer sistemas en la reden la red

Determinar Riesgo TotalDeterminar Riesgo Total

Desarrollo, prioridad e Desarrollo, prioridad e implementación de mitigación implementación de mitigación

de estos riesgosde estos riesgos

Plan de respuesta a Plan de respuesta a incidentesincidentes

Fase de InicioFase de Inicio

SeguridadSeguridadScan/AuditoriaScan/Auditoria

Fase de RespuestaFase de Respuesta

Ev

alu

ac

ión

co

ntin

ua

E

va

lua

ció

n c

on

tinu

a

y re

vis

ión

de

res

pu

es

tay

rev

isió

n d

e re

sp

ue

sta

Grupo de Grupo de Respuesta Respuesta

CreadoCreado

OperacionesOperaciones

Web SiteWeb SiteExternoExterno

Web SiteWeb SiteInternoInterno

UsuariosUsuarios

SoporteSoporte

Información Información del del

incidenteincidente

Decisión de Decisión de iniciar el plan iniciar el plan de respuestade respuesta

Evaluación Evaluación de de

SituaciónSituación

Establecer Establecer Curso de Curso de AcciónAcción

Aislamiento Aislamiento y Contenery Contener

Analizar y Analizar y ResponderResponder

Alertar a Alertar a otros como otros como se requierase requiera

Iniciar Iniciar SoluciónSolución

Remover Remover escalación:escalación:Regreso a Regreso a

Operaciones Operaciones NormalesNormales

Revisión Post-Revisión Post-IncidenteIncidente

Revisar/Mejorar Revisar/Mejorar Proceso de Proceso de RespuestaRespuesta

Guía rápida de Guía rápida de determinación de significado determinación de significado de incidentesde incidentes

Severidad del eventoSeveridad del evento

Impacto en el negocioImpacto en el negocio

Severidad de vulnerabilidades en Severidad de vulnerabilidades en propiedades atacadaspropiedades atacadas

Disponibilidad pública de informaciónDisponibilidad pública de información

Alcance de exposiciónAlcance de exposición

Impacto en relaciones públicasImpacto en relaciones públicas

Uso extenso en grupos fuera del Uso extenso en grupos fuera del grupo de seguridadgrupo de seguridad

ConclusionesConclusiones Cual es el riesgo aceptable y cual noCual es el riesgo aceptable y cual no Seguridad = Personas + Procesos + Seguridad = Personas + Procesos +

TecnologíaTecnología Analizar -> Definir -> Evaluar -> Analizar -> Definir -> Evaluar ->

MonitorearMonitorear EstandarizaciónEstandarización Inversión en seguridad bajo impacto Inversión en seguridad bajo impacto

en presupuesto Global de ITen presupuesto Global de IT EficienciasEficiencias CentralizaciónCentralización

© 2003 Microsoft Corporation.© 2003 Microsoft Corporation. Todos los derechos reservados.Todos los derechos reservados.Este documento es sólo para fines informativos.Este documento es sólo para fines informativos. MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA O IMPLÍCITA, EN ESTE RESUMEN.MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA O IMPLÍCITA, EN ESTE RESUMEN.

© 2001 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.