[webinar] nuevos retos en pci ¿cuál es su aplicación en byod y cloud computing?
DESCRIPTION
Este webinar tiene como objetivo principal dar a conocer como puedes aprovechar los mecanismos en seguridad base en cuanto a los requerimientos en PCI-DSS, así mismo aprenderás a asegurar recursos sensibles apegados a Normas como PCI-DSS, de esta forma conocerás todo lo que puede ganar tu organización, solo por cumplir normas como PCI. Contestaremos las preguntas más recurrentes al hablar de BYOD y Cloud Computing. El temario que se engloba es el siguiente: Conocer el escenario en cuanto Normatividad o Compliance. Como la Normatividad contribuye en las organizaciones. Identificar los retos y cambios en el entorno BYOD y Cloud Computing. Requerimientos PCi-DSS y como llevarlo a cabo con los controles de seguridad. Webinar impartido por Víctor Pacheco y Miguel Chávez, el 24 de Enero del 2013 a las 12 hrs.TRANSCRIPT
![Page 1: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/1.jpg)
Webinars 2013
NUEVOS RETOS EN PCI ¿CUÁL
ES SU APLICACIÓN EN BYOD Y
CLOUD COMPUTING?
![Page 2: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/2.jpg)
INFORMACION GENERAL
Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en Seguridad en
tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox
• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región Latinoamérica • Experiencia en Pent testing y análisis de riesgos.
Víctor Antonio Pacheco Cué Ingeniero en Sistemas Computacionales
7 años de experiencia en Tecnologías Orientadas a entornos Windows, 3 años de experiencia en el campo de seguridad informática.
Ingeniero certificado en diferentes marcas y tecnologías Juniper Networks PaloAlto Networks Trend Micro VMWare Consultor IT en proyectos de Seguridad en Software, entornos físicos y
virtuales, desarrollando proyectos con centros de datos integrales Impulsando proyectos de virtualización tanto de los centros de datos como
de escritorios.
![Page 3: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/3.jpg)
NUEVOS RETOS EN PCI ¿CUÁL ES SU
APLICACIÓN EN BYOD Y CLOUD
COMPUTING?
OBJETIVO
Conocer de manera general los retos en cuanto Normatividad en transacciones electrónicas con tarjetas de crédito PCI-DSS con el nuevo entorno de BYOD y Cloud Computing, así como integrar los 12 requerimientos de esta norma con los mecanismos de seguridad con los cuales cuentan la mayoría de las empresas en la actualidad.
![Page 4: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/4.jpg)
AGENDA
• Conocer el escenario en cuanto Normatividad o Compliance.
• Como este tipo de normatividad contribuye en las organizaciones.
• Identificar los retos y cambios en el entorno BYOD y Cloud Computing.
• Requerimientos PCI-DSS y como llevarlo a cabo con los controles de seguridad.
![Page 5: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/5.jpg)
Escenarios en la actualidad en cuanto compliance y normatividad.
![Page 6: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/6.jpg)
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
Compliance?
Regulación?
Framework?
Políticas?
![Page 7: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/7.jpg)
ITIL
Control Interno
Planes con Directrices
Análisis de Riesgos
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
Sector Financiero: GLBA, Basilea II, PCI-DSS, NASD 3010/3110, SEC 17 a-4
Asistencia Sanitaria: HIPAA
Sector Público: MAAGTIC, NIST 800-53, FISMA
Industria: Nerc CIP 1300
Regulaciones Multisectoriales: SOX, PIPEDA, CA SB-1386
![Page 8: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/8.jpg)
CLASSIFICATION 1/25/2013 8
¿Para que llevar a un marco
normativo?
![Page 9: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/9.jpg)
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
¿Porqué hacerlo? –Estrategia-
• Obligaciones Legales
• Driver de negocio sectorial
¿Cómo hacerlo en TI? - Operación -
• Identificar los controles
• Due care – Due Diligence
![Page 10: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/10.jpg)
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
![Page 11: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/11.jpg)
Definir
• Regulaciones
• Frameworks
• Estándares
Controlar • Políticas
Corporativas
• Controles TI
Mantener
• Medir
• Remediar
• Informar
• Almacenar
ESCENARIOS EN LA ACTUALIDAD EN
CUANTO COMPLIANCE Y NORMATIVIDAD.
![Page 12: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/12.jpg)
RESUMIENDO…
Valor al negocio
Estrategia en
seguridad IT
Normativas
PCI
![Page 13: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/13.jpg)
Como este tipo de normatividad contribuye en las organizaciones.
![Page 14: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/14.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
• Oportunidad de Negocio • Riesgo para los consumidores • Desafíos para implementar
herramientas • Mecanismos de control limitados • Como se va a invertir para cumplir
con la regulación
El ejemplo de la tienda de conveniencia
![Page 15: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/15.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
![Page 16: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/16.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
Alinear su tolerancia a los riesgos con los objetivos estratégicos del negocio • Medir el riesgo • Crear mayor flexibilidad • Identificar y correlacionar • Desarrollar la capacidad de gestionar riesgos y regulaciones • Responder a las oportunidades de negocio • Realizar mejores inversiones de capital
![Page 17: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/17.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
El estándar PCI fue diseñado para englobar las cuatro áreas críticas del marco de trabajo de COSO, a saber: • La identificación de eventos • La evaluación de riesgos • La respuesta a los riesgos • Las actividades de control
![Page 18: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/18.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
Ejecutar una auditoria Inicial
Realizar una Valoración de
Brechas
Realizar los escaneos de vulnerabilidad
requeridos y exámenes de penetración
Crear un plan de remediación
Proveer un soporte de remediación
Realizar auditorías fuera de sitio
Realizar auditorías dentro del sitio
Proveer un reporte preliminar de cumplimiento Proveer un reporte
final de cumplimiento
Proveer un monitoreo en marcha y asistencia a los esfuerzos de cumplimiento
![Page 19: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/19.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
¿Qué voy a obtener por mi inversión? ¿Recibiré solamente el resultado de una exploración o me voy a beneficiar de la experiencia en seguridad del proveedor? ¿En qué medida se ajusta a mis necesidades particulares la evaluación que me ofrece este proveedor?
![Page 20: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/20.jpg)
COMO ESTE TIPO DE NORMATIVIDAD
CONTRIBUYE EN LAS ORGANIZACIONES.
¿Está mi proveedor perfectamente homologado para llevar a cabo todas las fases de validación de la conformidad PCI? ¿Ha explicado con todo detalle este proveedor el plazo de tiempo que se requiere para llevar a cabo el proceso? ¿Estoy preparado para esto?
![Page 21: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/21.jpg)
RESUMIENDO…
Debemos ser muy consientes de todos los beneficios que nos puede brindar cumplir con esta regulación, cuestionarnos a nos otros porque queremos certificarnos, que beneficios vamos a obtener y sobre todo como lo vamos a orientar para brindar un beneficio de negocio a nuestra empresa. Usted quiere un asesor de seguridad de confianza que pueda ser su abogado defensor ante las empresas proveedoras de tarjetas de pago y sus bancos adquirientes.
![Page 22: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/22.jpg)
Identificar los retos y cambios en el entorno BYOD y Cloud Computing.
![Page 23: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/23.jpg)
IDENTIFICAR LOS RETOS Y CAMBIOS EN
EL ENTORNO BYOD Y CLOUD
COMPUTING.
Enterprise Mobile
Prohiben apps
Permiten solocorreo
permiten otrasapps del trabajo
Permiten todas lasapps
Prohiben apps 18%
Permiten solo correo 37% Permiten otras apps del trabajo 17.7% Permiten todas las apps 27.3%
Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update
Gartner predice que en 2015, el 39% serán dispositivos móviles frente a 61% en laptop o PC.
![Page 24: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/24.jpg)
ALGUNOS ASPECTOS DE LA
CONSUMERIZACIÓN.
El uso de datos: el tráfico de datos móviles se situó en 597 petabytes en 2011. En comparación,
el tráfico de Internet en todo el mundo en 2000 fue de 75 petabytes.
Fuentes : 451 Research Enterprise Mobility Survey y Visual Networking Index Global Mobile Data Traffic Forecast Update
Robo o perdida del dispositivo
Vulnerabilidades en dispositivos Móviles
Amenazas para banca en Móviles
Amenazas embebidas en aplicaciones Móviles
Amenazas web para dispositivos Móviles
![Page 25: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/25.jpg)
IDENTIFICAR LOS RETOS Y CAMBIOS EN
EL ENTORNO BYOD Y CLOUD
COMPUTING.
Seguridad a nivel de
dispositivo
Seguridad a nivel de datos
Seguridad en redes
• Seguridad en configuración
• Endurecer contraseñas
• Data Center
• Escritorios Virtuales
• Actualizaciones de dispositivos
• Antivirus, FW, antispam
![Page 26: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/26.jpg)
RETOS EN CLOUD
Physical Virtual Private Cloud Public Cloud
“En algunas compañías desde 2008 inicia el proyecto de virtualización”
— IDC
“En muchas compañías crece 10 veces el número de servidores virtuales en 2012 ”
— Gartner
Costos, Continuidad de Negocio que otros beneficios ven los líderes de las empresas.
![Page 27: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/27.jpg)
RETOS EN CLOUD
Viejo modelo Seguridad en la
infraestructura que protege
aplicaciones y servidores. . .
App4
OS
HW
App3
OS
HW
App2
OS
HW
App1
OS
HW
Nuevo modelo Servidores y
aplicaciones virtuales que se mueven,
cambian… Reconfiguración del IPS, del
firewall…
VM1
App1
OS1
VM2
App2
OS2
VM3
App3
OS3
Hypervisor App4
OS4
VM4
![Page 28: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/28.jpg)
RETOS EN CLOUD
Private Cloud
Hybrid Cloud
Public Cloud
IT Es un
Servicio
IT Gestiona ambos en
distintos niveles el DC
IT Gestiona y controla el DC
![Page 29: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/29.jpg)
RESUMIENDO…
Hypervisor Controles
Cloud
Movilidad
Aplicaciones
Control de Acceso
![Page 30: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/30.jpg)
FUNDAMENTOS
¿Qué es PCI-DSS? ¿Quién debe cumplir con el Estándar de Seguridad de Datos PCI? ¿De que se encuentra compuesto principalmente esta regulación?
![Page 31: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/31.jpg)
Requerimientos PCI-DSS
![Page 32: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/32.jpg)
![Page 33: [WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?](https://reader034.vdocumento.com/reader034/viewer/2022051513/546d7cd0af79596c298b5384/html5/thumbnails/33.jpg)
CONCLUSIONES GLOBALES
“Pensar en la consumerización y cloud desde una perspectiva centrada solo en los dispositivos y en máquinas virtuales no prepara adecuadamente a las organizaciones para todos los riesgos de seguridad potenciales que representa este modelo. Hoy en día se termino el perímetro como tal, pues éste es elástico desde en la nube donde están los dispositivos móviles”