Cabecera aquí

La importancia de la

ciberseguridad en la

empresa

Elisa Vivancos elisa.vivancos@incibe.es

Vivimos en una sociedad digital

hiperconectada

…caracterizada por la ubicuidad y la flexibilidad

e inmediatez de los servicios.

…pero, no está exenta de amenazas,

algunas intencionadas…

… fallos técnicos, errores humanos…

… vulnerabilidades…

…situaciones azarosas, fortuitas, involuntarias…

…que dan lugar a incidentes con pérdidas de datos, equipos, reputación o daño para las

personas.

En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos.

Los nuevos modelos, paradigmas y disciplinas hacen que aumente la dependencia de la

tecnología

1970 … al ordenador.

Personas

Ordenadores

Instalaciones

Información

1980 … a la información.

Personas

Ordenadores

Instalaciones

Tecnologías

.

Información

1990 … a internet.

Personas

Ordenadores

Instalaciones

Tecnologías

Información

Internet

Terceros

2000 … a la red

corporativa.

Personas

Ordenadores

Instalaciones

Tecnologías

Información

.

Internet

Dispositivos

móviles.

Redes sociales

Terceros

2010

…a los móviles.

Personas

Ordenadores

Instalaciones

Tecnologías

Información

Internet

Dispositivos

móviles

Redes sociales

Nube

Terceros

2020 …a los IoT!!!

Personas

Ordenadores

Instalaciones

Tecnologías

Información

Internet

Dispositivos

móviles

Redes sociales

Nube

Internet de las

Cosas

Terceros

Evolución de los sistemas de información

La protección de nuestros ACTIVOS frente a AMENAZAS

¿Qué es ciberseguridad?

Buscar el equilibrio: preocuparse y ocuparse

Para proteger nuestros activos tenemos que conocer…

… la fórmula del riesgo (%)

Amenaza Vulnera- bilidad

Impacto Riesgo

RIESGOS ACTUALES

RIESGOS EMERGENTES (dentro de 1 año)

RIESGOS FUTUROS (dentro de 5 años)

… en un entorno que cambia muy rápido

ENFOQUE INCREMENTAL

MEJORA CONTINUA

La ciberseguridad es un proceso de ciclo continuo

Identificar activos

Prevenir

Detectar incidentes

Responder

Recuperar

¿Cuáles son vuestros activos?

Tangibles Intangibles A

C T

I V

O S

¿Tienes un inventario de los activos?

¿Qué los amenaza?

¿Qué te costaría reponerlos?

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

Modelo para inventariar tus activos en el apartado descargas en: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

¿Qué amenazas pueden dañar nuestros activos?

¡Nos han secuestrado la información!

¡Se han filtrado todos nuestros datos de clientes!

¡Nos ha llegado un phishing!

¡Formamos parte de una Botnet!

http s:// etl.

… amenazas …

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

Ya conoces tus activos y sus amenazas

Analiza tus vulnerabilidades

Diseño

Fabricante o Desarrollador

Despliegue y configuración

Software

Hardware

Comunicaciones

Políticas de uso y procedimientos

Usuario

Administrador

… vulnerabilidades en los sistemas de información …

https://www.incibe-cert.es/alerta-temprana/vulnerabilidades

https://www.incibe.es/protege-tu-empresa/avisos-seguridad

Conozcamos un poco más al ciberdelincuente

ATACANTE

Cracker

Hacker

Script Kiddie

Terrorista

Criminal

Espía

Insider

Vándalo

HERRAMIENTA

Sniffer

Scanner

Ataque físico

Kit de exploits

Comandos

Kit de malware

Scripts

Herramientas distribuidas

Agentes autónomos

VULNERABILIDAD

Diseño

Configuración y despliegue

Políticas de uso y

procedimientos

ACCIÓN

Prueba

Espiar

Escanear

Interrumpir

Modificar, borrar

Inundar

Suplantar

Secuestrar

Inyectar

Lectura, copia, robo

ACTIVO

Cuentas de usuario

Datos

Procesos

Sistemas

Redes

Servicios

Aplicaciones

RESULTADO

Brecha de datos

Denegación de servicio

Escalada de privilegios

Destrucción de datos o

sistemas

Corrupción de información

Robo de recursos

FINALIDAD

Reto, aprendizaje o

renombre

Beneficio político

Beneficio económico

Daño a la reputación

Incidente

… los que buscan publicidad, notoriedad, dañar

nuestra imagen, influir en la opinión, …

… los que persiguen beneficio económico.

El cibercrimen

representa el 1% del

PIB mundial

Con nuestra “colaboración” si nos dejamos

manipular con técnicas de ingeniería social…

https://www.youtube.com/watch?v=dp6bF3DPvN4

…o nos faltan conocimientos o somos

descuidados.

… o el enemigo está

dentro…

La importancia del factor humano

34

¿Cómo minimizar el «factor humano» de los incidentes?: políticas

https://www.incibe.es/protege-tu-empresa/herramientas/politicas

¿Dónde estoy?

¿Cómo estoy?

PLAN

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

1. Establece objetivos.

2. Evalúa el riesgo.

3. Selecciona y prioriza contramedidas.

Encuentra tu punto de partida

Modelo para evaluar los riesgos en el apartado descargas en: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

¿Conoce tus riesgos?

https://adl.incibe.es/

https://www.incibe.es/empresas/Herramienta_de_autodiagnostico

Control de accesos

Antimalware

Cortafuegos, IDS/IPS

Configuración de la red

cableada y la wifi

Configuración la Web

Dispositivos móviles seguros

Backup

Prioriza las medidas técnicas, legales y organizativas necesarias

https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario

MERCADO ÚNICO DIGITAL LSSI-CE

RGPD

Directiva ePrivacy

PCI-DSS, eIDas,…

…cumpliendo la ley

https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes

Poner en marcha un plan de seguridad: medidas técnicas …

https://www.incibe.es/protege-tu-empresa/blog https://www.incibe.es/protege-tu-empresa/guias

https://www.incibe.es/protege-tu-empresa/blog https://www.incibe.es/protege-tu-empresa/guias

Y otras como: Puesto de trabajo, Correo electrónico,

Wifis y redes externas, Contraseñas o Uso de dispositivos móviles no corporativos

….y organizativas, como políticas de uso

https://www.incibe.es/protege-tu-empresa/herramientas/políticas

https://www.incibe.es/empresas/Herramienta_de_autodiagnostico

Facilidad de uso

Coste

Plan Director de Seguridad

Funcionalidad

Con criterios de seguridad…

pero buscando el equilibrio…

Mínimos privilegios

Mínima superficie

de exposición

Defensa en profundidad

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

Opciones para gestionar los riesgos

Pó liz

as d

e ci

b er

ri es

go s

Hasta ahora…

1. Activos, amenazas y vulnerabilidades 2. ¿Cómo actúan los ciberdelincuentes? 3. Evaluación y Gesti