View
24
Download
3
Category
Preview:
Citation preview
Cabecera aquí
La importancia de la
ciberseguridad en la
empresa
Elisa Vivancoselisa.vivancos@incibe.es
En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos.
1970… al ordenador.
Personas
Ordenadores
Instalaciones
Información
1980… a la información.
Personas
Ordenadores
Instalaciones
Tecnologías
.
Información
1990… a internet.
Personas
Ordenadores
Instalaciones
Tecnologías
Información
Internet
Terceros
2000… a la red
corporativa.
Personas
Ordenadores
Instalaciones
Tecnologías
Información
.
Internet
Dispositivos
móviles.
Redes sociales
Terceros
2010
…a los móviles.
Personas
Ordenadores
Instalaciones
Tecnologías
Información
Internet
Dispositivos
móviles
Redes sociales
Nube
Terceros
2020…a los IoT!!!
Personas
Ordenadores
Instalaciones
Tecnologías
Información
Internet
Dispositivos
móviles
Redes sociales
Nube
Internet de las
Cosas
Terceros
Evolución de los sistemas de información
Para proteger nuestros activos tenemos que conocer…
… la fórmula del riesgo (%)
AmenazaVulnera-bilidad
Impacto Riesgo
RIESGOS ACTUALES
RIESGOS EMERGENTES (dentro de 1 año)
RIESGOS FUTUROS (dentro de 5 años)
… en un entorno que cambia muy rápido
ENFOQUE INCREMENTAL
MEJORA CONTINUA
La ciberseguridad es un proceso de ciclo continuo
Identificar activos
Prevenir
Detectar incidentes
Responder
Recuperar
¿Tienes un inventario de los activos?
¿Qué los amenaza?
¿Qué te costaría reponerlos?
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
Modelo para inventariar tus activos en el apartado descargas en:https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad
¡Nos han secuestrado la información!
¡Se han filtrado todos nuestros datos de clientes!
¡Nos ha llegado un phishing!
¡Formamos parte de una Botnet!
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
Ya conoces tus activos y sus amenazas
Analiza tus vulnerabilidades
Diseño
Fabricante o Desarrollador
Despliegue y configuración
Software
Hardware
Comunicaciones
Políticas de uso y procedimientos
Usuario
Administrador
… vulnerabilidades en los sistemas de información …
https://www.incibe-cert.es/alerta-temprana/vulnerabilidades
https://www.incibe.es/protege-tu-empresa/avisos-seguridad
ATACANTE
Cracker
Hacker
Script Kiddie
Terrorista
Criminal
Espía
Insider
Vándalo
HERRAMIENTA
Sniffer
Scanner
Ataque físico
Kit de exploits
Comandos
Kit de malware
Scripts
Herramientas distribuidas
Agentes autónomos
VULNERABILIDAD
Diseño
Configuración y despliegue
Políticas de uso y
procedimientos
ACCIÓN
Prueba
Espiar
Escanear
Interrumpir
Modificar, borrar
Inundar
Suplantar
Secuestrar
Inyectar
Lectura, copia, robo
ACTIVO
Cuentas de usuario
Datos
Procesos
Sistemas
Redes
Servicios
Aplicaciones
RESULTADO
Brecha de datos
Denegación de servicio
Escalada de privilegios
Destrucción de datos o
sistemas
Corrupción de información
Robo de recursos
FINALIDAD
Reto, aprendizaje o
renombre
Beneficio político
Beneficio económico
Daño a la reputación
Incidente
Con nuestra “colaboración” si nos dejamos
manipular con técnicas de ingeniería social…
https://www.youtube.com/watch?v=dp6bF3DPvN4
34
¿Cómo minimizar el «factor humano» de los incidentes?: políticas
https://www.incibe.es/protege-tu-empresa/herramientas/politicas
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
1. Establece objetivos.
2. Evalúa el riesgo.
3. Selecciona y prioriza contramedidas.
Encuentra tu punto de partida
Modelo para evaluar los riesgos en el apartado descargas en:https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad
¿Conoce tus riesgos?
https://adl.incibe.es/
Control de accesos
Antimalware
Cortafuegos, IDS/IPS
Configuración de la red
cableada y la wifi
Configuración la Web
Dispositivos móviles seguros
Backup
Prioriza las medidas técnicas, legales y organizativas necesarias
https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario
MERCADO ÚNICO DIGITALLSSI-CE
RGPD
Directiva ePrivacy
PCI-DSS, eIDas,…
…cumpliendo la ley
https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes
Poner en marcha un plan de seguridad: medidas técnicas …
https://www.incibe.es/protege-tu-empresa/bloghttps://www.incibe.es/protege-tu-empresa/guias
Y otras como: Puesto de trabajo, Correo electrónico,
Wifis y redes externas, Contraseñas o Uso de dispositivos móviles no corporativos
….y organizativas, como políticas de uso
https://www.incibe.es/protege-tu-empresa/herramientas/políticas
Facilidad de uso
Coste
Plan Director de Seguridad
Funcionalidad
Con criterios de seguridad…
pero buscando el equilibrio…
Mínimos privilegios
Mínima superficie
de exposición
Defensa en profundidad
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
Opciones para gestionar los riesgos
Hasta ahora…
1. Activos, amenazas y vulnerabilidades2. ¿Cómo actúan los ciberdelincuentes?3. Evaluación y Gestión del riesgo, Plan Director de
Seguridad4. Subcontratando con seguridad 5. Reforzando el factor humano6. Respuesta a incidentes y contingencia
¿Necesitamos subcontratar Servicios TIC?
https://www.incibe.es/protege-tu-empresa/que-te-interesa/contratacion-servicios
CONTROL DE ACCESO
NO REPUDIO
Propiedades que tenemos que garantizar para que un entorno sea seguro
También cuando subcontratamos servicios
Guía Cloud: https://www.incibe.es/protege-tu-empresa/guias/cloud-computing-guia-aproximacion-el-empresario
https://www.incibe.es/protege-tu-empresa/blog/filtro/contratacion
Todos los acuerdos deben quedar reflejados en:
contratos,
acuerdos de nivel de servicio (SLA)
y acuerdos de confidencialidad (NDA)
…con el apoyo de proveedores de seguridad y confianza
https://www.incibe.es/protege-tu-empresa/sellos-confianza
https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad
Y seguimos…
1. Activos, amenazas y vulnerabilidades2. ¿Cómo actúan los ciberdelincuentes?3. Evaluación y Gestión del riesgo, Plan Director de
Seguridad4. Subcontratando con seguridad 5. Reforzando el factor humano en el puesto de
trabajo6. Respuesta a incidentes y contingencia
Identificar activos
Prevenir
Detectar incidentes
Responder
Recuperar
Tenemos que prevenir incidentes y aprender a reconocerlos
https://www.incibe.es/protege-tu-empresa/que-te-interesa/desarrollar-cultura-en-seguridad
Correo electrónico
Internet / navegadores
Detección de ataques de ingeniería social
Dispositivos de almacenamiento
Servicios en la nube
Teléfonos móviles y tabletas, BYOD
Dispositivos IoT
Wifis públicas y otras redes inalámbricas
Redes sociales
Administrando la web
…
54
¿Cómo reforzamos el factor humano?
FIREWALL HUMANO
Formación
Concienciación Simulación
https://www.incibe.es/protege-tu-empresa/herramientas/politicas
Protección del puesto de trabajo
https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-puesto-trabajo
Mejor si…
1. Utilizar gestores de contraseñas.2. Aplicar doble factor de autenticación.3. Utilizar más de una cuenta (principal, secundaria…).4. Bloquear los terminales (huella dactilar).5. Contraseñas fuertes / Consultar HaveIBeenPawned.
https://lowe.github.io/tryzxcvbn/ https://haveibeenpwned.com/Passwords
Con las aplicaciones no se juega….
1. No instalar aplicaciones sin autorización y mucho menos aplicaciones ilegales.
2. Verificar de la legitimidad del sitio de descargas.3. Implementar una política de actualizaciones.4. Actualizar también las aplicaciones en dispositivos
móviles.5. Hacer backup con frecuencia y comprobarlo.
Estos pequeños dispositivos…
1. Se pueden perder o los pueden robar con facilidad.2. Sirven para perpetrar fugas de información a pequeña
escala.3. Si llevan información confidencial debe estar cifrada
con una contraseña robusta.4. Si se comparten o se usan en ordenadores no fiables,
pueden ser un foco de infección. Utiliza antivirus.
Con la mismas seguridad...
1. Usar ordenadores corporativos protegidos igual que en la oficina (antimalware,…).
2. Tener precaución con agentes externos: niños,…3. Verificar y proteger las claves de acceso remoto
(VPN).4. Si usas servicios de almacenamiento en la nube,
cifra la información.
Móvil pero seguro...
1. Configura de forma correcta la wifi. Evita el uso de wifis públicas.
2. Ten en cuenta la LOPDGDD si tratas datos personales.3. Si permites el uso de móviles para acceder a
información corporativa instala aplicaciones de gestión remota (para si los pierdes puedas borrar su información).
4. Borra la información de forma segura.
Y seguimos…
1. Activos, amenazas y vulnerabilidades2. ¿Cómo actúan los ciberdelincuentes?3. Evaluación y Gestión del riesgo, Plan Director de
Seguridad4. Subcontratando con seguridad 5. Reforzando el factor humano en el puesto de
trabajo6. Respuesta a incidentes y contingencia
Identificar activos
Prevenir
Detectar incidentes
Responder
Recuperar ¿Qué hacemos si ocurre un incidente o un desastre?
¿Qué ha pasado?
¿A quién afecta?
Usuarios / clientes / colaboradores
¿Qué decirles y cómo? Estrategia de comunicación
Sólo internamente
¿Tiene repercusiones legales o
contractuales?
Consultar con soporte legal
Pérdida de datos personales
¿Es un delito que podamos denunciar?
Honor, Propiedad intelectual, intrusión,
extorsión, etc.
¿Tendremos que guardar evidencias
para hacer la denuncia?
¿Sabemos dónde se denuncia?
Análisis forense -contactar con un perito
forense
Los servicios y sistemas afectados
Están bajo nuestro control
¿Sabemos a quién pedir ayuda y soporte?
¿Tenemos recursos para contener el
incidente?
Sí, nuestro responsable de IT se hace cargo
No, contactamos al soporte externo
Los tenemos externalizados
Contactamos con el proveedor
Respuesta a incidentes
https://www.incibe.es/protege-tu-empresa/juego-rol-pyme-seguridad
Objetivos
https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-contingencia-continuidad-negocio
• Detección y evaluación de la contingencia.
• Notificación, escalado y toma de decisiones.
• Activación de la crisis.
• Comienzo y fin de las tareas de recuperación.
• Restablecimiento del servicio a un estado aceptable.
¿Cómo actúan los
ciberdelicuentes?¿Qué es INCIBE?
Subcontratando ciberseguridad:
acuerdos de confidencialidadAmenazas: contexto y evolución
¿Conoces tus riesgos? ¿Tienes un
plan?Riesgos y amenazas: ¿cómo
afectan a las empresas?
Primera parte
¿Dónde puedo encontrar más información?
«Protege tu empresa» en www.incibe.es
Servicios de Ciberseguridad para Empresas
Herramienta de
autodiagnóstico
Catálogo
de empresas de
ciberseguridad
Sellos de
confianza
Respuesta
y soporte
Canal de
contacto web
Blog
¿Qué
te interesa? Políticas de
seguridad para la
PYME
TalleresAvisos de
seguridad
Gaming
empresas
Formación
sectorial
Curso online para
micropymes y
autónomos
www.incibe.es/protege-tu-empresa@ProtegeEmpresa
Kit de
concienciación
Videos de concienciación sectorial para empresas
https://itinerarios.incibe.es/
MOOC: online, gratuito …
https://www.incibe.es/formacion/ciberseguridad-para-micropymes-y-autonomos
Concienciación y sensibilización
4 bloques temáticos,
videos, documentos y
recursos
Talleres presenciales
https://www.incibe.es/protege-tu-empresa/talleres-ciberseguridad-pymes
Concienciación y sensibilización
¿Qué hacer ante un incidente de seguridad?
https://www.incibe.es/protege-tu-empresa/juego-rol-pyme-seguridad
…para proteger los dispositivos tecnológicos, la
información y la privacidad de tus clientes y
colaboradores.
Recommended