Cabecera La importancia de la ciberseguridad en la ... Cracker Hacker Script Kiddie Terrorista...

Click here to load reader

  • date post

    20-Jan-2020
  • Category

    Documents

  • view

    2
  • download

    0

Embed Size (px)

Transcript of Cabecera La importancia de la ciberseguridad en la ... Cracker Hacker Script Kiddie Terrorista...

  • Cabecera aquí

    La importancia de la

    ciberseguridad en la

    empresa

    Elisa Vivancos [email protected]

  • Vivimos en una sociedad digital

    hiperconectada

  • …caracterizada por la ubicuidad y la flexibilidad

    e inmediatez de los servicios.

  • …pero, no está exenta de amenazas,

    algunas intencionadas…

  • … fallos técnicos, errores humanos…

  • … vulnerabilidades…

  • …situaciones azarosas, fortuitas, involuntarias…

  • …que dan lugar a incidentes con pérdidas de datos, equipos, reputación o daño para las

    personas.

  • En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos.

  • Los nuevos modelos, paradigmas y disciplinas hacen que aumente la dependencia de la

    tecnología

  • 1970 … al ordenador.

    Personas

    Ordenadores

    Instalaciones

    Información

    1980 … a la información.

    Personas

    Ordenadores

    Instalaciones

    Tecnologías

    .

    Información

    1990 … a internet.

    Personas

    Ordenadores

    Instalaciones

    Tecnologías

    Información

    Internet

    Terceros

    2000 … a la red

    corporativa.

    Personas

    Ordenadores

    Instalaciones

    Tecnologías

    Información

    .

    Internet

    Dispositivos

    móviles.

    Redes sociales

    Terceros

    2010

    …a los móviles.

    Personas

    Ordenadores

    Instalaciones

    Tecnologías

    Información

    Internet

    Dispositivos

    móviles

    Redes sociales

    Nube

    Terceros

    2020 …a los IoT!!!

    Personas

    Ordenadores

    Instalaciones

    Tecnologías

    Información

    Internet

    Dispositivos

    móviles

    Redes sociales

    Nube

    Internet de las

    Cosas

    Terceros

    Evolución de los sistemas de información

  • La protección de nuestros ACTIVOS frente a AMENAZAS

    ¿Qué es ciberseguridad?

  • Buscar el equilibrio: preocuparse y ocuparse

  • Para proteger nuestros activos tenemos que conocer…

    … la fórmula del riesgo (%)

    Amenaza Vulnera- bilidad

    Impacto Riesgo

  • RIESGOS ACTUALES

    RIESGOS EMERGENTES (dentro de 1 año)

    RIESGOS FUTUROS (dentro de 5 años)

    … en un entorno que cambia muy rápido

  • ENFOQUE INCREMENTAL

    MEJORA CONTINUA

    La ciberseguridad es un proceso de ciclo continuo

    Identificar activos

    Prevenir

    Detectar incidentes

    Responder

    Recuperar

  • ¿Cuáles son vuestros activos?

  • Tangibles Intangibles A

    C T

    I V

    O S

  • ¿Tienes un inventario de los activos?

    ¿Qué los amenaza?

    ¿Qué te costaría reponerlos?

    INVENTARIAR LOS ACTIVOS

    IDENTIFICAR LAS

    AMENAZAS

    ANALIZAR LAS VULNERABILIDADES

    EVALUAR EL RIESGO

    PRIORIZAR LAS CONTRAMEDIDAS

    GESTIONAR EL RIESGO

    Modelo para inventariar tus activos en el apartado descargas en: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

  • ¿Qué amenazas pueden dañar nuestros activos?

  • ¡Nos han secuestrado la información!

    ¡Se han filtrado todos nuestros datos de clientes!

    ¡Nos ha llegado un phishing!

    ¡Formamos parte de una Botnet!

  • http s:// etl.

    … amenazas …

  • INVENTARIAR LOS ACTIVOS

    IDENTIFICAR LAS

    AMENAZAS

    ANALIZAR LAS VULNERABILIDADES

    EVALUAR EL RIESGO

    PRIORIZAR LAS CONTRAMEDIDAS

    GESTIONAR EL RIESGO

    Ya conoces tus activos y sus amenazas

    Analiza tus vulnerabilidades

  • Diseño

    Fabricante o Desarrollador

    Despliegue y configuración

    Software

    Hardware

    Comunicaciones

    Políticas de uso y procedimientos

    Usuario

    Administrador

    … vulnerabilidades en los sistemas de información …

    https://www.incibe-cert.es/alerta-temprana/vulnerabilidades

    https://www.incibe.es/protege-tu-empresa/avisos-seguridad

  • Conozcamos un poco más al ciberdelincuente

  • ATACANTE

    Cracker

    Hacker

    Script Kiddie

    Terrorista

    Criminal

    Espía

    Insider

    Vándalo

    HERRAMIENTA

    Sniffer

    Scanner

    Ataque físico

    Kit de exploits

    Comandos

    Kit de malware

    Scripts

    Herramientas distribuidas

    Agentes autónomos

    VULNERABILIDAD

    Diseño

    Configuración y despliegue

    Políticas de uso y

    procedimientos

    ACCIÓN

    Prueba

    Espiar

    Escanear

    Interrumpir

    Modificar, borrar

    Inundar

    Suplantar

    Secuestrar

    Inyectar

    Lectura, copia, robo

    ACTIVO

    Cuentas de usuario

    Datos

    Procesos

    Sistemas

    Redes

    Servicios

    Aplicaciones

    RESULTADO

    Brecha de datos

    Denegación de servicio

    Escalada de privilegios

    Destrucción de datos o

    sistemas

    Corrupción de información

    Robo de recursos

    FINALIDAD

    Reto, aprendizaje o

    renombre

    Beneficio político

    Beneficio económico

    Daño a la reputación

    Incidente

  • … los que buscan publicidad, notoriedad, dañar

    nuestra imagen, influir en la opinión, …

  • … los que persiguen beneficio económico.

    El cibercrimen

    representa el 1% del

    PIB mundial

  • Con nuestra “colaboración” si nos dejamos

    manipular con técnicas de ingeniería social…

    https://www.youtube.com/watch?v=dp6bF3DPvN4

  • …o nos faltan conocimientos o somos

    descuidados.

  • … o el enemigo está

    dentro…

  • La importancia del factor humano

  • 34

    ¿Cómo minimizar el «factor humano» de los incidentes?: políticas

    https://www.incibe.es/protege-tu-empresa/herramientas/politicas

  • ¿Dónde estoy?

    ¿Cómo estoy?

    PLAN

  • INVENTARIAR LOS ACTIVOS

    IDENTIFICAR LAS

    AMENAZAS

    ANALIZAR LAS VULNERABILIDADES

    EVALUAR EL RIESGO

    PRIORIZAR LAS CONTRAMEDIDAS

    GESTIONAR EL RIESGO

    1. Establece objetivos.

    2. Evalúa el riesgo.

    3. Selecciona y prioriza contramedidas.

    Encuentra tu punto de partida

    Modelo para evaluar los riesgos en el apartado descargas en: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

  • ¿Conoce tus riesgos?

    https://adl.incibe.es/

    https://www.incibe.es/empresas/Herramienta_de_autodiagnostico

  • Control de accesos

    Antimalware

    Cortafuegos, IDS/IPS

    Configuración de la red

    cableada y la wifi

    Configuración la Web

    Dispositivos móviles seguros

    Backup

    Prioriza las medidas técnicas, legales y organizativas necesarias

    https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario

  • MERCADO ÚNICO DIGITAL LSSI-CE

    RGPD

    Directiva ePrivacy

    PCI-DSS, eIDas,…

    …cumpliendo la ley

    https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes

  • Poner en marcha un plan de seguridad: medidas técnicas …

    https://www.incibe.es/protege-tu-empresa/blog https://www.incibe.es/protege-tu-empresa/guias

    https://www.incibe.es/protege-tu-empresa/blog https://www.incibe.es/protege-tu-empresa/guias

  • Y otras como: Puesto de trabajo, Correo electrónico,

    Wifis y redes externas, Contraseñas o Uso de dispositivos móviles no corporativos

    ….y organizativas, como políticas de uso

    https://www.incibe.es/protege-tu-empresa/herramientas/políticas

    https://www.incibe.es/empresas/Herramienta_de_autodiagnostico

  • Facilidad de uso

    Coste

    Plan Director de Seguridad

    Funcionalidad

    Con criterios de seguridad…

    pero buscando el equilibrio…

    Mínimos privilegios

    Mínima superficie

    de exposición

    Defensa en profundidad

  • INVENTARIAR LOS ACTIVOS

    IDENTIFICAR LAS

    AMENAZAS

    ANALIZAR LAS VULNERABILIDADES

    EVALUAR EL RIESGO

    PRIORIZAR LAS CONTRAMEDIDAS

    GESTIONAR EL RIESGO

    Opciones para gestionar los riesgos

  • Pó liz

    as d

    e ci

    b er

    ri es

    go s

  • Hasta ahora…

    1. Activos, amenazas y vulnerabilidades 2. ¿Cómo actúan los ciberdelincuentes? 3. Evaluación y Gesti