Cabecera La importancia de la ciberseguridad en la ... Cracker Hacker Script Kiddie Terrorista...
date post
20-Jan-2020Category
Documents
view
2download
0
Embed Size (px)
Transcript of Cabecera La importancia de la ciberseguridad en la ... Cracker Hacker Script Kiddie Terrorista...
Cabecera aquí
La importancia de la
ciberseguridad en la
empresa
Elisa Vivancos [email protected]
Vivimos en una sociedad digital
hiperconectada
…caracterizada por la ubicuidad y la flexibilidad
e inmediatez de los servicios.
…pero, no está exenta de amenazas,
algunas intencionadas…
… fallos técnicos, errores humanos…
… vulnerabilidades…
…situaciones azarosas, fortuitas, involuntarias…
…que dan lugar a incidentes con pérdidas de datos, equipos, reputación o daño para las
personas.
En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos.
Los nuevos modelos, paradigmas y disciplinas hacen que aumente la dependencia de la
tecnología
1970 … al ordenador.
Personas
Ordenadores
Instalaciones
Información
1980 … a la información.
Personas
Ordenadores
Instalaciones
Tecnologías
.
Información
1990 … a internet.
Personas
Ordenadores
Instalaciones
Tecnologías
Información
Internet
Terceros
2000 … a la red
corporativa.
Personas
Ordenadores
Instalaciones
Tecnologías
Información
.
Internet
Dispositivos
móviles.
Redes sociales
Terceros
2010
…a los móviles.
Personas
Ordenadores
Instalaciones
Tecnologías
Información
Internet
Dispositivos
móviles
Redes sociales
Nube
Terceros
2020 …a los IoT!!!
Personas
Ordenadores
Instalaciones
Tecnologías
Información
Internet
Dispositivos
móviles
Redes sociales
Nube
Internet de las
Cosas
Terceros
Evolución de los sistemas de información
La protección de nuestros ACTIVOS frente a AMENAZAS
¿Qué es ciberseguridad?
Buscar el equilibrio: preocuparse y ocuparse
Para proteger nuestros activos tenemos que conocer…
… la fórmula del riesgo (%)
Amenaza Vulnera- bilidad
Impacto Riesgo
RIESGOS ACTUALES
RIESGOS EMERGENTES (dentro de 1 año)
RIESGOS FUTUROS (dentro de 5 años)
… en un entorno que cambia muy rápido
ENFOQUE INCREMENTAL
MEJORA CONTINUA
La ciberseguridad es un proceso de ciclo continuo
Identificar activos
Prevenir
Detectar incidentes
Responder
Recuperar
¿Cuáles son vuestros activos?
Tangibles Intangibles A
C T
I V
O S
¿Tienes un inventario de los activos?
¿Qué los amenaza?
¿Qué te costaría reponerlos?
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
Modelo para inventariar tus activos en el apartado descargas en: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad
¿Qué amenazas pueden dañar nuestros activos?
¡Nos han secuestrado la información!
¡Se han filtrado todos nuestros datos de clientes!
¡Nos ha llegado un phishing!
¡Formamos parte de una Botnet!
http s:// etl.
… amenazas …
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
Ya conoces tus activos y sus amenazas
Analiza tus vulnerabilidades
Diseño
Fabricante o Desarrollador
Despliegue y configuración
Software
Hardware
Comunicaciones
Políticas de uso y procedimientos
Usuario
Administrador
… vulnerabilidades en los sistemas de información …
https://www.incibe-cert.es/alerta-temprana/vulnerabilidades
https://www.incibe.es/protege-tu-empresa/avisos-seguridad
Conozcamos un poco más al ciberdelincuente
ATACANTE
Cracker
Hacker
Script Kiddie
Terrorista
Criminal
Espía
Insider
Vándalo
HERRAMIENTA
Sniffer
Scanner
Ataque físico
Kit de exploits
Comandos
Kit de malware
Scripts
Herramientas distribuidas
Agentes autónomos
VULNERABILIDAD
Diseño
Configuración y despliegue
Políticas de uso y
procedimientos
ACCIÓN
Prueba
Espiar
Escanear
Interrumpir
Modificar, borrar
Inundar
Suplantar
Secuestrar
Inyectar
Lectura, copia, robo
ACTIVO
Cuentas de usuario
Datos
Procesos
Sistemas
Redes
Servicios
Aplicaciones
RESULTADO
Brecha de datos
Denegación de servicio
Escalada de privilegios
Destrucción de datos o
sistemas
Corrupción de información
Robo de recursos
FINALIDAD
Reto, aprendizaje o
renombre
Beneficio político
Beneficio económico
Daño a la reputación
Incidente
… los que buscan publicidad, notoriedad, dañar
nuestra imagen, influir en la opinión, …
… los que persiguen beneficio económico.
El cibercrimen
representa el 1% del
PIB mundial
Con nuestra “colaboración” si nos dejamos
manipular con técnicas de ingeniería social…
https://www.youtube.com/watch?v=dp6bF3DPvN4
…o nos faltan conocimientos o somos
descuidados.
… o el enemigo está
dentro…
La importancia del factor humano
34
¿Cómo minimizar el «factor humano» de los incidentes?: políticas
https://www.incibe.es/protege-tu-empresa/herramientas/politicas
¿Dónde estoy?
¿Cómo estoy?
PLAN
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
1. Establece objetivos.
2. Evalúa el riesgo.
3. Selecciona y prioriza contramedidas.
Encuentra tu punto de partida
Modelo para evaluar los riesgos en el apartado descargas en: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad
¿Conoce tus riesgos?
https://adl.incibe.es/
https://www.incibe.es/empresas/Herramienta_de_autodiagnostico
Control de accesos
Antimalware
Cortafuegos, IDS/IPS
Configuración de la red
cableada y la wifi
Configuración la Web
Dispositivos móviles seguros
Backup
Prioriza las medidas técnicas, legales y organizativas necesarias
https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario
MERCADO ÚNICO DIGITAL LSSI-CE
RGPD
Directiva ePrivacy
PCI-DSS, eIDas,…
…cumpliendo la ley
https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes
Poner en marcha un plan de seguridad: medidas técnicas …
https://www.incibe.es/protege-tu-empresa/blog https://www.incibe.es/protege-tu-empresa/guias
https://www.incibe.es/protege-tu-empresa/blog https://www.incibe.es/protege-tu-empresa/guias
Y otras como: Puesto de trabajo, Correo electrónico,
Wifis y redes externas, Contraseñas o Uso de dispositivos móviles no corporativos
….y organizativas, como políticas de uso
https://www.incibe.es/protege-tu-empresa/herramientas/políticas
https://www.incibe.es/empresas/Herramienta_de_autodiagnostico
Facilidad de uso
Coste
Plan Director de Seguridad
Funcionalidad
Con criterios de seguridad…
pero buscando el equilibrio…
Mínimos privilegios
Mínima superficie
de exposición
Defensa en profundidad
INVENTARIAR LOS ACTIVOS
IDENTIFICAR LAS
AMENAZAS
ANALIZAR LAS VULNERABILIDADES
EVALUAR EL RIESGO
PRIORIZAR LAS CONTRAMEDIDAS
GESTIONAR EL RIESGO
Opciones para gestionar los riesgos
Pó liz
as d
e ci
b er
ri es
go s
Hasta ahora…
1. Activos, amenazas y vulnerabilidades 2. ¿Cómo actúan los ciberdelincuentes? 3. Evaluación y Gesti