ANTES Y DESPUÉS DE LA CRISIS · parece buena idea 2. continuidad de negocio no solo afecta a nuestro sector. continuidad de negocio muchas empresas no lo hacen

CONTINUIDAD DE NEGOCIO

ANTES Y DESPUÉS DE LA CRISIS

SUMARIO

1. ¿Qué es lo que queremos proteger?

2. ¿De qué lo queremos proteger?

3.Gestión de la crisis: por qué gritar "¡vamos a morir todos!” dentro de un avión no parece buena idea

4. El tamaño no importa (en este caso)

5. Auditoría


¿CUÁNTO VALE UN CABLE DE RED?

CONTINUIDAD DE NEGOCIO:ANTES Y DESPUÉS DE LA CRISIS

¿Qué es lo que queremos proteger?

1.


¿QUÉ ES LO QUE QUEREMOS PROTEGER?


¿QUÉ ES UN DATO?

Esto es lo que ocurre en internet en un solo minuto:



ACTIVO AMENAZA VULNERABILIDAD



No se puede mostrar la imagen.


¿De qué lo queremos proteger?

2.


¿DE QUÉ LO QUEREMOS PROTEGER?





Manipulation of information

AS manipulationAS hijacking

Falsification of configurations

DNS manipulationsDNS spoofingDNS poisoning

Routing table manipulationsAddress space hijacking BIP prefixesG

Falsification of records

Manipulation of hardware and software

Generation and use of rogue certificatesImproperly issued SSL certificatesNational Informatics Center BIndiaG

SSL CA infiltrationDigiNotar

Compromising confidential information Bdata breachesG

Abuse of information leakages

Potentially unwanted softwareGreyware

Adware

Malware and viruses

Rogueware

Scareware

Spyware

Botnets

Rootkits

Trojans

Worms

Viruses

Unsolicited e-mail

Identity theft Bidentity fraud)account or service-session hijackingG

Unintentional damages BaccidentalG

Inadequate designs and planning or lack of adaptions

Policy)procedure flaws

Insecure interfaces BAPIsG

Inadequate usability

Inadequate specifications

Unintentional changes of data in an information systems

Using information from unreliable sources

Erroneous use or administration of devices and systems

Information leakage)sharing

Failures)Malfunctions

Configuration errors Misconfigurations

Software bugs

Malfunctions of devices or systems

Data centers

Servers

Network devices

Malfunctions of parts of devicesConnectors

Linecards

Failures or disruptions of the power supply

Failures of disruptions of service providers Bsupply chainG

Failures or disruptions of main supply

Water

Cooling

Power

Failures or disruptions of communication links Bcommunication networksGCable cuts

Cable breaks

Failures of devices or systems

Data centers

Servers

Network devices

Failures of parts of devicesConnectors

Linecards

Outages

Network outages

Cooling outages

Loss of support services

Strikes

Absence of personnel

Power surges

Loss of powerPower cut

Fuel exhaustions

Lack of resources

Lack of physical resources

Cooling

Water

Power

Lack of storage capabilities

Lack of network capacities

Lack of processing power

Lack of human resources

Disasters

Environmental disasters

Explosions

Major events in the environment

Unfavourable climatic conditions

Corrosions

Dusts

Pollutions

Dangerours radiation leaks

Fires

Natural disasters

Electromagnetic storm

Wildfire

Heavy winds

Heavy snowfalls

Heavy rains

Lightning strike

Landslides

Tsunamis

Floods

Earthquakes

Physical attacks

Briberies)corruptions

CoercionsD extortions or corruptions

Unauthorised physical access)unauthorised entry to premises

Information leakages)sharing

Thefts

Documents

Cables

Storage media

Devices

Vandalisms

SabotageDivers manipulated sea cable in Egypt

Frauds

Bomb attacks)threats

Threats

Threat Landscape and Good Practice Guide for Internet Infrastructure

Threat Mind Map

Legal

Failure to meet contractual requirements

Judiciary decisions)court orders No-IP Microsoft domains seizure

Violation of laws or regulations)breach of legislation

Eavesdropping)Interception)Hijacking

Repudiation of actions

Man in the middle)session hijacking

Network injection

BGP sessions

Route leaks

Replay of messages

Interfering radiations

Interception of information

Software interceptions

Rogue hardware

EspionageCorporate espionage

Nation state espionage

Interception compromising emissions

Damage)Loss BIT assetsG

Wildlife

Mice

Sharks

Rats

Power surges

Destruction of recordsD devices or storage media

Loss

Documents

Cables

Storage media

Devices

Loss of reputation

Value imbalance exploitations

Re-entries

Reputation lag exploitations

Proliferation

Collusions

Discriminations

Playbooks

Unfair ratings

Sybil attacks

Loss of Bintegrity ofG sensitive information

Loss of information

Damages resulting from penetration testing

Damage caused by a third partyExternal cases Ship collides with cable

Internal cases

Nefarious activity)Abuse

Brute force

Exploitation of software bugs

Validation

AuthenticationCross site request forgery

InputCross site scripting BXSSG

SQL injections

Race conditions

Buffer overflows

Design flaws

Kernel flaws

Remote activities BexecutionG

Intended similarity of identifiersTyposquatting

Domain name collision

Social engineeringPhishing

Baiting

Whaling

Spear phishing

Pretexting)hoax

TimescalesTargeted attacks)advanced persistent threats

Large scale scans)probes

Denial of service attacks BDoS)DDoSG

Malformed packet attacksIP address options

Protocol exploitationsPushCAck

TCP-SYN

Applications

WinNuke

XDoS

Ping of Death

Volume

Flooding

Slowloris

ICMP BPingG

UDP

Spoofing

Amplification)reflection

ZAvx

Quake Network Protocol

Steam

Kad

BitTorrent

QOTD

CharGen

SSDP

NetBios

SNMP

DNS

NTP

Unauthorised activities

Unauthorised use of software

Unauthorised installation of software

Unauthorised changes of records

Unauthorised access to information systems)networksDNS Registrar Hijacking

IMPI Protocol

Unauthorised use of administration of devices and systems

Abuse of personal data

Abuse of authorizations

Misuse of information)information systems

AS manipulationAS hijacking

Design errors

Policy)procedure flaws


LAS AMENAZAS VAN CAMBIANDO


GESTIÓN DEL RIESGO


RIESGOS EN CONTINUA EVOLUCIÓN


CONTROLES EN CONTINUA EVOLUCIÓN


LA SEGURIDAD COMO PRINCIPAL PREOCUPACIÓN

1. Confidencialidad

2. Integridad

3. Disponibilidad

4. Trazabilidad


¿QUÉ ES LA RESILIENCIA? CAPITÁN GINYU

La resiliencia se define como la capacidad

para adaptarse positivamente a situaciones

adversas.

Fuente: https://es.wikipedia.org/wiki/Resiliencia


DUDAS CON LOS SERVICIOS EN NUBE

• Falta de claridad en el

servicio

• Falta de roles y

responsabilidades

• Desarrollar una gestión del

riesgo apropiada

• SLA’s y monitores de

rendimiento


DEPENDENCIA DE UN TERCERO


MALICIOUS INSIDERS

• ¿Disponen los empleados de nuestro

proveedor de Cloud de acceso a los

sistemas físicos o virtuales?

• ¿Se monitorizan las acciones de dichos

técnicos?

• ¿Podemos monitorizar si los empleados

cumplen con la política de Seguridad

Interna?


¿Y SI ALGUIEN ATACA A NUESTRO PROVEEDOR?

DENEGACIÓN DE SERVICIO DENEGACIÓN DE SERVICIO DISTRIBUIDA

DoS DDoS


¿NECESITAMOS AYUDA?

La evaluación de riesgos requiere que se incluya un oficial o

Director de Seguridad de la Información (CISO) que se

encuentre alineado con la Dirección.

En algunas ocasiones, suele ser más práctico un socio

tecnológico.


¿QUÉ METODOLOGÍA UTILIZAR?

Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información de las administraciones

públicas.

MAGERIT

Desarrollado por la Agencia Central de Comunicación y

Telecomunicación del gobierno británico.

CRAMM

Operationally Critical Threat, Asset and Vulnerability

Evaluation.

OCTAVE


¿Y SI ALGUIEN ATACA A NUESTRO PROVEEDOR?

• Mejorar de forma proactiva la eficacia operativa y la

gobernanza

• Generar confianza entre las partes interesadas con el

uso de técnicas de riesgos

• Aplicar controles de sistemas de gestión para analizar

riesgos y minimizar posibles pérdidas

• Mejorar el desempeño y resiliencia de los sistemas de

gestión

• Responder a los cambios de forma eficaz y proteger su

empresa mientras crece


Gestión de la crisis: por qué gritar “¡vamos

a morir todos!” dentro de un avión no

parece buena idea

2.


NO SOLO AFECTA A NUESTRO SECTOR


MUCHAS EMPRESAS NO LO HACEN

• No aporta valor

• Si pensamos solo en lo malo,

no hacemos nada.

• Hay suficientes controles

• Pensamos en metas, no en

riesgos

• No hay tiempo para evaluar

riesgos, ¡necesitamos vender!

• Si ocurre algo, ya lo

arreglaremos


¿POR DÓNDE EMPEZAMOS?


NO SOLO AFECTA A NUESTRO SECTOR


¿DÓNDE QUEREMOS LLEGAR?

REVISIÓNY mejora continua

ANÁLISISY comprensión

de la organización

ESTRATEGIADe continuidad

de la organizaciónDESARROLLOY ejecución del

plan de continuidad

SGCN

El Ciclo de Vida de la Continuidad de su Negocio


¿DÓNDE QUEREMOS LLEGAR?


MEJORA CONTINUA


MEJORA CONTINUA


MEJORA CONTINUA


¿DÓNDE VAMOS A LLEGAR REALMENTE?


GESTIÓN DE LA CONTINUIDAD DE NEGOCIO

La continuidad del negocio (Business Continuity)

describe los procesos y procedimientos que una

organización pone en marcha para garantizar que

las funciones esenciales puedan continuar

durante y después de un desastre.

La Planificación de la Continuidad del Negocio

(BCP) trata de evitar la interrupción de los servicios

de misión crítica y restablecer el pleno

funcionamiento de la forma más rápida y fácil que

sea posible.

El BCP de la organización debe incluir los planes necesarios para mantener el negocio.


LAS PRIORIDADES DEBERIAN ESTAR CLARAS


El tamaño no importa (en este caso)

2.


ELEMENTO DIFERENCIADOR

Cualquier empresa de cualquier tamaño puede

mejorar las posibilidades de superar un incidente

de interrupción de la actividad y quedar en una

pieza (con la marca intacta y sin merma en los

ingresos) si sigue ciertas estrategias probadas y de

confianza, más allá de que desee obtener la

certificación ISO 22301 o no.


LA CASILLA DE SALIDA

• ¿Qué tienen en común todas estos Sistemas de Gestión?

• Políticas, procedimientos, simulacros, normativas,...

• ISO 27001: Sistema de Gestión de la Seguridad de la

Información

• ISO 9001: Sistema de Gestión de la Calidad

• ISO 14001: Sistema de Gestión Ambiental

• ISO 45001 (actualmente OHSAS 18001): Sistemas de

Gestión de Seguridad y Salud en el Trabajo.

• GMP EU: Fabricación de medicamentos estériles.

• ISO 14644: Clasificación de salas limpias.

• …


ELEMENTO DIFERENCIADOR


Auditoría

2.


PLAN DIRECTOR

Tener criterio informado sobre:

• Identificar los procesos

críticos de negocio

• Conformidad

• Efectividad del sistema

• Distribuir recursos

¡ GRACIAS !

Carlos Sahuquillo Pascual

IT Manager

[email protected]

www.qualipharma.es

@csahuqui