Transcript Slide 1
Seguridad en dispositivos móviles
y tendencia en BYOD/CYOD
Milthon J. Chavez
www.isaca.org.uy
Seguridad en dispositivos
móviles y tendencia en
BYOD/CYOD
“Cuando surgió el correo electrónico todos
predijeron el fin del transporte de documentos
y envíos. Pero al contrario, hubo un
incremento porque las personas hizo mas
intercambios y pedidos de productos por
email. “
Daniel Mcgrath,DHL
www.isaca.org.uy
agenda
RIESGO
DISPOSITIVOS
MOVILES
www.isaca.org.uy
SEGURIDAD
BYOD
www.isaca.org.uy
Investigadores taiwaneses han creado una red inalámbrica óptica basada en tecnología de bajo costo.
Dos punteros láser totalmente corrientes, de luz roja y verde, es todo lo que se requiere para crear una red
inalámbrica con velocidad de hasta 1 Gbps. Científicos de la Universidad nacional tecnológica de Taipei, Taiwán,
han demostrado que es posible crear una red inalámbrica de alta velocidad, con una inversión modesta.
El científico Hai-Han Lu explica que "incluso podemos hablar de un producto de fabricación casera".
Los punteros láser tienen la capacidad de enviar datos a través del aire, a una velocidad que dobla la mayoría de
los cables USB o routers inalámbricos.
Los científicos han sustituido las baterías estándar de los punteros láser con una fuente de corriente eléctrica
que actúa como interruptor, que enciende y apaga la luz láser 500 millones de veces por segundo. Luego,
dirigieron ambos punteros hacia un foto sensor situado a 10 m de distancia. Al combinar ambas señales láser se
alcanza un ancho de banda de 1 Gbps.
El mayor inconveniente es la distancia. El sistema tiene un alcance relativamente reducido, y tampoco funciona
óptimamente en situaciones de interferencia del haz de luz, provocada por humo, neblina, lluvia o nieve. La gran
ventaja es que se trata de una tecnología que no requiere de licencia alguna.
La tecnología puede además ser utilizada en hospitales, aviones y otros lugares que aplican restricciones a las
interferencias de radio.
La transferencia de datos funciona incluso en distancias de hasta 25 m, pero se requiere, como es natural, que
los haces de luz láser apunten directamente hacia el receptor. Según los científicos creadores del sistema, la
tecnología podría ser utilizada principalmente para intercambiar datos entre smartphones.
www.isaca.org.uy
Dispositivos moviles
RFID: Radio Frequency Identification
Microchip Autónomo,
Entrega información a pocos metros
• Control de inventarios, seguimiento.
• Etiquetas de peajes, valijas y lecturas
NFC: Near Field Comunnication
Microchip Autónomo,
Entrega información a pocos centimetros
• Tarjetas de identificacion, credito.
• Boletos de transporte, promociones, URL
www.isaca.org.uy
www.isaca.org.uy
Versiones sobre penetración
2012: 6 mil millones de líneas móviles.
“Esta explosión no tiene precedentes….
Adicionalmente, como los consumidores usan
mas de una suscripción, esta cifra puede
sobrepasar la población mundial pronto”.
Mas de 30.000 millones de aplicaciones fueron
descargadas durante el 2011.
Banco Mundial
www.isaca.org.uy
Tendencias y Experiencias banca-m
• 2011: 18 millones
• 2012: 50 millones
• 2015: 140 millones
Pyramid Research
• Argentina 2012: billetera-m
• El Salvador 2012: banca-m
Pyramid Research
• LatAm: los pagos móviles se duplican cada 24
meses (Estudio de E-comerce de Americaeconomia 2012
www.isaca.org.uy
Casos emblematicos
2013:
100%
Auto o
móvil
checkout
www.isaca.org.uy
2012
Marketing
Movil
Beneficios
1.
2.
3.
4.
5.
Conveniencia
Proceso de Compra: expedito
Opciones de facturación: variedad
Aumenta las opciones de ingresos
Seguridad
www.isaca.org.uy
Marcos referenciales
SGC
BUENAS
PRACTIC
AS
ANALISI
S
DE
RIESGO
S
REQUISI
TOS
LEGALE
S
ISO
27001
ISO
27002
SGS
I
GTI
SGI
SGR
www.isaca.org.uy
Lecciones aprendidas y
pendientes
•
•
•
•
•
•
•
•
•
Definición del mercado
Los efectos sociales y culturales.
Efectos del entorno comercial.
Efectos de los avances tecnológicos.
Efectos legales y de normalización.
Las expectativas del consumidor de soluciones.
Importancia de la participación de comerciantes
El efecto de la competencia.
Riesgo y Seguridad
www.isaca.org.uy
Estrategias de Seguridad:
Un caso
• Consumer Financial Protection Bureau de la
Federal Trade Commission.
• The National Telecommunications and
Information Administration (NTIA), agencia del
Department of Commerce
• Interés en la Privacidad de la información del consumidor en
línea
• Primera reunión : 12 Julio del 2012
• Avances hacia un “Código de Conducta”.
www.isaca.org.uy
MARCO NORMATIVO
SEGURIDAD
This is an
example
text.
ISO 27001
Go ahead and
replace it with
your own text.
www.isaca.org.uy
RIESGOS
This
is an
example text.
ISO 31000
Go ahead and
replace it with
your own text.
CONTINUIDAD
This is an
example text. Go
ISOand
22301
ahead
replace it with
your own text.
Riesgo y Seguridad
• Las perdidas y los fraudes van en aumento
• El Riesgo esta en “análisis”.
• El control del dispositivo de acceso es del
cliente (BYOD)
• B RING
(…CYOD)
• Y OUR
• O WN
• D EVICE
www.isaca.org.uy
Riesgo y Seguridad
• La amenaza clave , dispositivo >> receptor
• Actualizar las métricas de seguridad para
generar respuestas mas oportunas,
• Encriptación de datos
• Contraseña robusta y protegida
• Control de acceso a la data.
www.isaca.org.uy
VISULIZE ACTIVITIES WITH TIMELINES!
CONVERGENCIA TECNOLOGICA
PASADO
Era PC
1980
MCH
1990
www.isaca.org.uy
CONSULTORIA INTEGRAL
FUTURO
AHORA
Convergencia
Era Post-PC
2000
2010
2011
2012
?
2013
2014 2015
2016
BYOD. Adicionales a construir
• Política de Acuerdo de Cumplimiento de Blog.
• Política y Acuerdo de Uso de Acceso BYOD.
• Política de Acceso y Uso de dispositivos
móviles.
• Política de uso de Redes Sociales.
www.isaca.org.uy
BYOD. Adicionales para
actualizar
• Politica de copiado y retencion de copia
de seguridad.
• Politica de comunicación de incidentes.
• Politica de administracion de parches.
• Politica de gestion, retencion y destrucion
de registros.
• Actualizacion de la infraestructura de
formularios electronicos
www.isaca.org.uy
Adicionales para implementar
• Reducir la demanda de operaciones de
red a través del autoservicio
– Portal intuitivo de autoservicio para los usuarios o
invitados a registrarse bajo BYOD
– Soporte para flujo de trabajo y delegación de tareas
de apoyo al entorno BYOD
– Localización automática y auditoria de dispositivos.
• Actualizar alcance de la Seguridad y la
Auditoria.
• Seguimiento a nivel de usuario,
dispositivo y direccion IP
www.isaca.org.uy
Planificar (estrategia) considerando:
•
•
•
•
BYOD Imparable, nuevo estandar.
Iniciar el autoregistro de dispositivos.
Estamos al comienzo de BYOD
Integracion con nuevos modelos de
negocio como pago movil
• Es una estrategia de empoderamiento.
www.isaca.org.uy
Planificar (táctico) considerando:
1. Implementar políticas realísticas
2. Obtener información: “quien y que”
3. Asegure lo básico: autentificación,
encriptación y borrado remoto.
4. Proceso de registro sencillo
5. Responsabilidad del gestor del dispositivo.
6. Comience a planificar control centralizado
7. Administra restricciones sobre aplicaciones
8. Proporciona servicios de respaldo y
recuperación
www.isaca.org.uy
Construyendo Seguridad BYOD
Las politicas y herramientas deben ser flexibles
para controlar :
1.
2.
3.
4.
Aplicaciones
Archivos
Espacios de trabajo
Locacion variada del usuario
www.isaca.org.uy
Construyendo Seguridad BYOD
Visibilidad
Integridad
INTERACCIO BYOD
N
Disponibilidad Confidencialidad
ORGANIZAC
BYOD
Interaccion
Your footer
www.isaca.org.uy
Your logo
www.isaca.org.uy
www.isaca.org.uy
Preguntas?
Muchas Gracias
Milthon J. Chavez
[email protected] - [email protected]
www.isaca.org.uy