Cookies disclaimer

I agree Our site saves small pieces of text information (cookies) on your device in order to deliver better content and for statistical purposes. You can disable the usage of cookies by changing the settings of your browser. By browsing our website without changing the browser settings you grant us permission to store that information on your device.

En este curso, el asistente aprenderá por qué y cómo asegurar activos de software y datos en el entorno de Mainframe. El curso ayuda a mejorar las prácticas de desarrollo y gestión para fortalecer los sistemas mainframe heredados con mejores prácticas y ejemplos.

Días Restantes

32

cupos ocupados

13%

cupos disponibles

13

Contexto

El principal objetivo del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es la protección de los datos del titular de la tarjeta. PCI DSS proporciona los controles necesarios para los datos del titular de la tarjeta que se almacenan, procesan o transmiten en cualquier plataforma. Desafortunadamente, muchos mainframes actualmente no están siendo evaluados correctamente para el cumplimiento de PCI DSS.

Los Mainframes tienen tres sistemas de gestión de la seguridad externos (ESM) utilizados para protección de datos y acceso: RACF, CA-TopSecret y CA-ACF2 de IBM. Los evaluadores de mainframe no conocen o tienen poca exposición a estas plataformas, el cual solo proporciona opciones globales de seguridad en el nivel SO, pero hacerlo no proporciona una protección completa de datos sensibles (como los datos de tarjeta).

¿Por qué es importante el escrutinio de los controles de seguridad de mainframe? La mayoría de los pagos de hoy en día tocan o se procesan en "mainframes", independientemente de si el comercio o proveedor de servicios es consciente de ello.

Desde los años 80, los ESM para mainframes se han vuelto ricos en funciones, robustos y expansivos. En consecuencia, muchos QSAs se preocupan menos de los datos de tarjeta PCI en estos entornos. Tienen la falsa seguridad de que el mainframe es seguro debido a estos ´ESMs´. El ambiente del servidor ciertamente requiere atención. Sin embargo, las características de seguridad de ESM son seleccionables por la instalación. Esto significa que las instalaciones pueden optar por activarlos o no. Los profesionales de seguridad y auditores de TI que realizan evaluaciones ESM de mainframe encuentran invariablemente estas características desactivadas por razones de rendimiento, costo e inconveniencia. Esto no sólo afecta al cumplimiento de PCI, sino que también puede poner en riesgo a los datos sensibles en estos sistemas.

La ignorancia no es excusa. No comprender completamente la seguridad del ´mainframe´ no es razón para ignorarlas o justificar arriesgar los datos sensibles.

Asimismoasumir que pocas personas saben cómo explotar vulnerabilidades de mainframe es imprudente y presagia resultados negativos. La mayoría de QSAs y pentesters no tienen experiencia con mainframes y por lo tanto no saben cómo explotar incluso la vulnerabilidad más simple. Sin embargo, recuerde que los atacantes sólo necesitan acertar una vez y están buscando explotar sistemas bancarios constantemente.

La protección de los datos sensibles que propone las normativas principales como PCI DSS no debe excluir sistemas solamente porque no se comprenden.
Las instituciones financieras que procesan pagos usan predominantemente mainframes, es importante que no descuiden este riesgo.

Beneficios

A lo largo de dos días, los asistentes aprenderán cómo analizar el uso actual de sistemas Mainframe, y vulnerabilidades de aplicaciones mainframe, así como defender y/o mitigar estos sistemas contra ataques y ´exploits´.

El curso también explora los principales temas técnicos y administrativos necesarios para un enfoque equilibrado para alcanzar la meta de protección de la información, incluyendo el impacto de las directrices, normativas, regulaciones, y buenas prácticas de gestión como PCI-DSS v 3.2, HIPAA "Health Insurance Portability & Accountability Act" , y GDPR "Reglamento General de Protección de Datos".

Comprender los aspectos clave a tener en cuenta al administrar datos y aplicaciones.
Conocimientos prácticos para desarrollar y administrar aplicaciones heredadas seguras.
Nuestro enfoque único no sólo es teórico sino que proporciona una oportunidad verdaderamente única de aprender usando ejemplos prácticos.

Objetivos

Entender como el Mainframe afecta a los negocios hoy en día.
Comprender el riesgo causado por la interacción entre Mainframe y entornos distribuidos.
Comprender la relación entre el software de aplicación y los datos sensibles.
Aprenda los mejores enfoques para asegurar las aplicaciones en el entorno del mainframe.
Cómo identificar los datos que están en el entorno.
Cómo priorizar y segmentar el análisis de aplicaciones.
Cómo identificar los procesos de negocio afectados.
Cómo hacer un análisis de impacto y brecha adecuado
Analizar casos de estudio reales que han implementado el proceso de asegurar sus entornos Mainframe.
Realizar simulaciones en vivo analizando aplicaciones COBOL que gestionan datos sensibles (en el contexto de PCI-DSS o HIPAA o GDPR).

Asistentes

Desarrolladores de Aplicaciones Mainframe y Core Banking
Desarrolladores de Aplicaciones Bancarias
Directores de TI e Infraestructura
Analistas y Directores de Seguridad TI y Auditoría TI
DPO (Oficial de Protección de Datos)
ISA (Oficial de Seguridad Interna)
Profesionales de TI
QSA (Asesor de Seguridad Calificado)
Analistas, DevOps y Líderes de Desarollo, Gestión o Mantenimiento de Software

Testimonios

Los cursos y seminarios de LiquidNexxus se han impartido a miles de professionales alrededor del mundo. Aquí se listan algunos testimonios relacionados con este curso/evento.
 

Ver más testimonios

Agenda

En este curso avanzado de dos días se abarcan los siguientes temas ...

Introducción y Contexto de Mainframes y Entornos Distribuidos

Mainframes
  • Uso actual de sistemas mainframe
  • Interacción entre "mainframes" y entornos distribuidos.
  • La complejidad del entorno de TI.
  • Seguridad del software

Conceptos de seguridad del software. 

¿Son seguros mainframes?
Riesgos en defectos de diseño de desarrollo de software y errores de implementación.
Gestion de aplicaciones críticas en sistemas "legacy" (o antiguos)
  • Clasificación de los principales mitos de seguridad de Cobol.
  • Map Cobol programa malas prácticas para vulnerabilidades comunes.
Repercusiones de los reglamentos y normas de seguridad en las aplicaciones de software
  • HIPAA "Ley de Portabilidad y Responsabilidad del Seguro de Salud" (USA).
  • GDPR "Reglamento General de Protección de Datos" (UE).
  • PCI-DSS v 3.2.

Proceso de cumplimiento PCI DSS 

Evaluar
Informar
Reparar
Metas y requisitos de PCI DSS.
Requisitos PCI DSS que afectan a las aplicaciones software:
  • Proteger los datos almacenados del titular de la tarjeta
  • Desarrollar y mantener aplicaciones seguras
  • Controles Compensatorios
  • Validación Suplementaria de la Entidad.
Por qué es importante asegurar las aplicaciones de software mainframe.
  • Retos más comunes.
  • Cumplimiento vs seguridad.
  • Aplicación de PCI DSS a entornos "mainframe"

Realizar un inventario de aplicaciones de software (Evaluación) 

Cobol
JCL
Bibliotecas
Tablas Declarativas

Definicion del alcance 

Identificar tablas y columnas 
Identificar el Proceso de Negocio
Identificar datos confidenciales en archivos.
Llevar a cabo un análisis de impacto y brecha adecuado.
Priorizar y segmentar el análisis de aplicaciones.
Lograr y mantener el cumplimiento
Analizar aplicaciones para detectar vulnerabilidades.
Enmáscaramiento del PAN en mapas.
Planificar para soportar la Tokenization.

Expositores

Los siguientes expositores han confirmado su participación en la conferencia, a continuación se presentan los perfiles.

JPK, Chief Knowledge Architect

Mas de 20 años de experiencia en el sector de tecnologías de la información con especialidad en Application and Data Analysis, Diseño del motor del analizador, Gestión del Conocimiento, Gestión de contenidos, Semántica web. Graduado en Ingeniería Civil con extensa experiencia en aplicaciones, análisis de datos, análisis de conocimiento y organizativa, Modelización de negocios, reingeniería de procesos y administración con extensa experiencia en los sectores financieros, industriales y utilidades. “Curiosidad y experiencia se traducen en conocimiento”. En mi vida esta frase se convirtió en mi biblia, desde temprana edad siempre e sentido la necesidad de observar, de abrir puertas y experimentar soluciones. Esta vocación y la pasión por la tecnología, son las que han contribuido mayormente a formar mi perfil profesional. Mi experiencia profesional inicia en el 1985 a Boston, donde participe a un proyecto de digitalización de diseños mecánicos sobre soporte diapositivas para una importante industria automotriz europea, donde hice amistad con un respetable matemático del MIT que en extrema síntesis me dice: “De un aparente caos de puntos y geometrías se ha construido un caos ordenado, regla universal para garantizar la gestión y capitalización continuativa de informaciones en general.” Esta experiencia hace que mi atención se focalice sobre la disciplina del “Knowledge Management”, donde madure un gran número de experiencias en diferentes áreas del business, conceptualizando algoritmos y sistemas dirigidos a capturar el conocimiento explicito e tácito de contenidos documentales y archivos en general. Desde el 2004, todo mi esfuerzo se ha concentrado en el la conceptualización y desarrollo di un sistema holístico para el análisis estática y dinámica de programas y datos, basados sobre ambiente mainframe IBM de elevada complejidad, sistema que calados en los procesos IT de la organización, permitan monitorear su evolución y las relaciones entre sus partes constitutivas. Es así que hoy busco de dar una alternativa a la organización en su proceso evolutivo hacia un mercado global fuertemente regulados, donde caos y complejidad no son permitidos, ayudándola a adoptar los mecanismos y procesos necesarios que le permita un control y seguimiento capilar de programas y datos, para responder eficazmente a las diferentes solicitaciones, reduciendo riesgo, costo aprovechando al máximo las oportunidades que se esconden detrás de estos procesos.

Ubicación

Santiago es la capital y centro económico de Chile, es también el centro político y cultural con un crecimiento económico sostenido transformado Santiago en una metrópolis moderna.

Por motivos de seguridad la ubicación exacta del evento solamente se proporciona a asistentes confirmados.

Consultas


Seguridad de Sistemas Mainframe y Core Banking - Santiago de Chile

miércoles 23 - jueves 24 agosto 2017

Siguientes Sesiones

LiquidNexxus celebra regularmente sesiones de entrenamiento a nivel global en distintos idiomas, abajo se listan las sesiones relacionadas con este curso. Si su región no está listada o desea solicitar formación "incompany" o discutir posible colaboración contáctenos.

Ver calendario completa

Keywords

The website keywords. Click on one to see associated contents.