Cabecera aquí

La importancia de la

ciberseguridad en la

empresa

Elisa Vivancoselisa.vivancos@incibe.es

Vivimos en una sociedad digital

hiperconectada

…caracterizada por la ubicuidad y la flexibilidad

e inmediatez de los servicios.

…pero, no está exenta de amenazas,

algunas intencionadas…

… fallos técnicos, errores humanos…

… vulnerabilidades…

…situaciones azarosas, fortuitas, involuntarias…

…que dan lugar a incidentes con pérdidas de

datos, equipos, reputación o daño para las

personas.

En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos.

Los nuevos modelos, paradigmas y disciplinas hacen que aumente la dependencia de la

tecnología

1970… al ordenador.

Personas

Ordenadores

Instalaciones

Información

1980… a la información.

Personas

Ordenadores

Instalaciones

Tecnologías

.

Información

1990… a internet.

Personas

Ordenadores

Instalaciones

Tecnologías

Información

Internet

Terceros

2000… a la red

corporativa.

Personas

Ordenadores

Instalaciones

Tecnologías

Información

.

Internet

Dispositivos

móviles.

Redes sociales

Terceros

2010

…a los móviles.

Personas

Ordenadores

Instalaciones

Tecnologías

Información

Internet

Dispositivos

móviles

Redes sociales

Nube

Terceros

2020…a los IoT!!!

Personas

Ordenadores

Instalaciones

Tecnologías

Información

Internet

Dispositivos

móviles

Redes sociales

Nube

Internet de las

Cosas

Terceros

Evolución de los sistemas de información

La protección de nuestros ACTIVOSfrente a AMENAZAS

¿Qué es ciberseguridad?

Buscar el equilibrio: preocuparse y ocuparse

Para proteger nuestros activos tenemos que conocer…

… la fórmula del riesgo (%)

AmenazaVulnera-bilidad

Impacto Riesgo

RIESGOS ACTUALES

RIESGOS EMERGENTES (dentro de 1 año)

RIESGOS FUTUROS (dentro de 5 años)

… en un entorno que cambia muy rápido

ENFOQUE INCREMENTAL

MEJORA CONTINUA

La ciberseguridad es un proceso de ciclo continuo

Identificar activos

Prevenir

Detectar incidentes

Responder

Recuperar

¿Cuáles son vuestros activos?

Tangibles IntangiblesA

C T

I V

O S

¿Tienes un inventario de los activos?

¿Qué los amenaza?

¿Qué te costaría reponerlos?

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

Modelo para inventariar tus activos en el apartado descargas en:https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

¿Qué amenazas pueden dañar nuestros activos?

¡Nos han secuestrado la información!

¡Se han filtrado todos nuestros datos de clientes!

¡Nos ha llegado un phishing!

¡Formamos parte de una Botnet!

https://etl.

… amenazas …

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

Ya conoces tus activos y sus amenazas

Analiza tus vulnerabilidades

Diseño

Fabricante o Desarrollador

Despliegue y configuración

Software

Hardware

Comunicaciones

Políticas de uso y procedimientos

Usuario

Administrador

… vulnerabilidades en los sistemas de información …

https://www.incibe-cert.es/alerta-temprana/vulnerabilidades

https://www.incibe.es/protege-tu-empresa/avisos-seguridad

Conozcamos un poco más al ciberdelincuente

ATACANTE

Cracker

Hacker

Script Kiddie

Terrorista

Criminal

Espía

Insider

Vándalo

HERRAMIENTA

Sniffer

Scanner

Ataque físico

Kit de exploits

Comandos

Kit de malware

Scripts

Herramientas distribuidas

Agentes autónomos

VULNERABILIDAD

Diseño

Configuración y despliegue

Políticas de uso y

procedimientos

ACCIÓN

Prueba

Espiar

Escanear

Interrumpir

Modificar, borrar

Inundar

Suplantar

Secuestrar

Inyectar

Lectura, copia, robo

ACTIVO

Cuentas de usuario

Datos

Procesos

Sistemas

Redes

Servicios

Aplicaciones

RESULTADO

Brecha de datos

Denegación de servicio

Escalada de privilegios

Destrucción de datos o

sistemas

Corrupción de información

Robo de recursos

FINALIDAD

Reto, aprendizaje o

renombre

Beneficio político

Beneficio económico

Daño a la reputación

Incidente

… los que buscan publicidad, notoriedad, dañar

nuestra imagen, influir en la opinión, …

… los que persiguen beneficio económico.

El cibercrimen

representa el 1% del

PIB mundial

Con nuestra “colaboración” si nos dejamos

manipular con técnicas de ingeniería social…

https://www.youtube.com/watch?v=dp6bF3DPvN4

…o nos faltan conocimientos o somos

descuidados.

… o el enemigo está

dentro…

La importancia del factor humano

34

¿Cómo minimizar el «factor humano» de los incidentes?: políticas

https://www.incibe.es/protege-tu-empresa/herramientas/politicas

¿Dónde estoy?

¿Cómo estoy?

PLAN

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

1. Establece objetivos.

2. Evalúa el riesgo.

3. Selecciona y prioriza contramedidas.

Encuentra tu punto de partida

Modelo para evaluar los riesgos en el apartado descargas en:https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

¿Conoce tus riesgos?

https://adl.incibe.es/

Control de accesos

Antimalware

Cortafuegos, IDS/IPS

Configuración de la red

cableada y la wifi

Configuración la Web

Dispositivos móviles seguros

Backup

Prioriza las medidas técnicas, legales y organizativas necesarias

https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario

MERCADO ÚNICO DIGITALLSSI-CE

RGPD

Directiva ePrivacy

PCI-DSS, eIDas,…

…cumpliendo la ley

https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes

Poner en marcha un plan de seguridad: medidas técnicas …

https://www.incibe.es/protege-tu-empresa/bloghttps://www.incibe.es/protege-tu-empresa/guias

Y otras como: Puesto de trabajo, Correo electrónico,

Wifis y redes externas, Contraseñas o Uso de dispositivos móviles no corporativos

….y organizativas, como políticas de uso

https://www.incibe.es/protege-tu-empresa/herramientas/políticas

Facilidad de uso

Coste

Plan Director de Seguridad

Funcionalidad

Con criterios de seguridad…

pero buscando el equilibrio…

Mínimos privilegios

Mínima superficie

de exposición

Defensa en profundidad

INVENTARIAR LOS ACTIVOS

IDENTIFICAR LAS

AMENAZAS

ANALIZAR LAS VULNERABILIDADES

EVALUAR EL RIESGO

PRIORIZAR LAS CONTRAMEDIDAS

GESTIONAR EL RIESGO

Opciones para gestionar los riesgos

Póliz

as d

e ci

ber

ries

gos

Hasta ahora…

1. Activos, amenazas y vulnerabilidades2. ¿Cómo actúan los ciberdelincuentes?3. Evaluación y Gestión del riesgo, Plan Director de

Seguridad4. Subcontratando con seguridad 5. Reforzando el factor humano6. Respuesta a incidentes y contingencia

¿Necesitamos subcontratar Servicios TIC?

https://www.incibe.es/protege-tu-empresa/que-te-interesa/contratacion-servicios

CONTROL DE ACCESO

NO REPUDIO

Propiedades que tenemos que garantizar para que un entorno sea seguro

También cuando subcontratamos servicios

Guía Cloud: https://www.incibe.es/protege-tu-empresa/guias/cloud-computing-guia-aproximacion-el-empresario

https://www.incibe.es/protege-tu-empresa/blog/filtro/contratacion

Todos los acuerdos deben quedar reflejados en:

contratos,

acuerdos de nivel de servicio (SLA)

y acuerdos de confidencialidad (NDA)

Antes, durante y … al finalizar

…con el apoyo de proveedores de seguridad y confianza

https://www.incibe.es/protege-tu-empresa/sellos-confianza

https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad

Y seguimos…

1. Activos, amenazas y vulnerabilidades2. ¿Cómo actúan los ciberdelincuentes?3. Evaluación y Gestión del riesgo, Plan Director de

Seguridad4. Subcontratando con seguridad 5. Reforzando el factor humano en el puesto de

trabajo6. Respuesta a incidentes y contingencia

Identificar activos

Prevenir

Detectar incidentes

Responder

Recuperar

Tenemos que prevenir incidentes y aprender a reconocerlos

https://www.incibe.es/protege-tu-empresa/que-te-interesa/desarrollar-cultura-en-seguridad

Correo electrónico

Internet / navegadores

Detección de ataques de ingeniería social

Dispositivos de almacenamiento

Servicios en la nube

Teléfonos móviles y tabletas, BYOD

Dispositivos IoT

Wifis públicas y otras redes inalámbricas

Redes sociales

Administrando la web

…

54

¿Cómo reforzamos el factor humano?

FIREWALL HUMANO

Formación

Concienciación Simulación

https://www.incibe.es/protege-tu-empresa/herramientas/politicas

Protección del puesto de trabajo

https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-puesto-trabajo

Las contraseñas

Mejor si…

1. Utilizar gestores de contraseñas.2. Aplicar doble factor de autenticación.3. Utilizar más de una cuenta (principal, secundaria…).4. Bloquear los terminales (huella dactilar).5. Contraseñas fuertes / Consultar HaveIBeenPawned.

https://lowe.github.io/tryzxcvbn/ https://haveibeenpwned.com/Passwords

Aplicaciones seguras

Con las aplicaciones no se juega….

1. No instalar aplicaciones sin autorización y mucho menos aplicaciones ilegales.

2. Verificar de la legitimidad del sitio de descargas.3. Implementar una política de actualizaciones.4. Actualizar también las aplicaciones en dispositivos

móviles.5. Hacer backup con frecuencia y comprobarlo.

Información portátil: USB, discos y smartphones

Estos pequeños dispositivos…

1. Se pueden perder o los pueden robar con facilidad.2. Sirven para perpetrar fugas de información a pequeña

escala.3. Si llevan información confidencial debe estar cifrada

con una contraseña robusta.4. Si se comparten o se usan en ordenadores no fiables,

pueden ser un foco de infección. Utiliza antivirus.

Trabajando desde casa

Con la mismas seguridad...

1. Usar ordenadores corporativos protegidos igual que en la oficina (antimalware,…).

2. Tener precaución con agentes externos: niños,…3. Verificar y proteger las claves de acceso remoto

(VPN).4. Si usas servicios de almacenamiento en la nube,

cifra la información.

Móvil pero seguro...

1. Configura de forma correcta la wifi. Evita el uso de wifis públicas.

2. Ten en cuenta la LOPDGDD si tratas datos personales.3. Si permites el uso de móviles para acceder a

información corporativa instala aplicaciones de gestión remota (para si los pierdes puedas borrar su información).

4. Borra la información de forma segura.

Y seguimos…

1. Activos, amenazas y vulnerabilidades2. ¿Cómo actúan los ciberdelincuentes?3. Evaluación y Gestión del riesgo, Plan Director de

Seguridad4. Subcontratando con seguridad 5. Reforzando el factor humano en el puesto de

trabajo6. Respuesta a incidentes y contingencia

!A veces pasa…!

Identificar activos

Prevenir

Detectar incidentes

Responder

Recuperar ¿Qué hacemos si ocurre un incidente o un desastre?

Respuesta a incidentes

¿Qué ha pasado?

¿A quién afecta?

Usuarios / clientes / colaboradores

¿Qué decirles y cómo? Estrategia de comunicación

Sólo internamente

¿Tiene repercusiones legales o

contractuales?

Consultar con soporte legal

Pérdida de datos personales

¿Es un delito que podamos denunciar?

Honor, Propiedad intelectual, intrusión,

extorsión, etc.

¿Tendremos que guardar evidencias

para hacer la denuncia?

¿Sabemos dónde se denuncia?

Análisis forense -contactar con un perito

forense

Los servicios y sistemas afectados

Están bajo nuestro control

¿Sabemos a quién pedir ayuda y soporte?

¿Tenemos recursos para contener el

incidente?

Sí, nuestro responsable de IT se hace cargo

No, contactamos al soporte externo

Los tenemos externalizados

Contactamos con el proveedor

Respuesta a incidentes

https://www.incibe.es/protege-tu-empresa/juego-rol-pyme-seguridad

¿Tienes un plan B?

Objetivos

https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-contingencia-continuidad-negocio

• Detección y evaluación de la contingencia.

• Notificación, escalado y toma de decisiones.

• Activación de la crisis.

• Comienzo y fin de las tareas de recuperación.

• Restablecimiento del servicio a un estado aceptable.

¿Cómo nos puede ayudar INCIBE?

https://www.incibe.es/formulario-contacto-empresas

¿Cómo actúan los

ciberdelicuentes?¿Qué es INCIBE?

Subcontratando ciberseguridad:

acuerdos de confidencialidadAmenazas: contexto y evolución

¿Conoces tus riesgos? ¿Tienes un

plan?Riesgos y amenazas: ¿cómo

afectan a las empresas?

Primera parte

¿Dónde puedo encontrar más información?

«Protege tu empresa» en www.incibe.es

Servicios de Ciberseguridad para Empresas

Herramienta de

autodiagnóstico

Catálogo

de empresas de

ciberseguridad

Sellos de

confianza

Respuesta

y soporte

Canal de

contacto web

Blog

¿Qué

te interesa? Políticas de

seguridad para la

PYME

TalleresAvisos de

seguridad

Gaming

empresas

Formación

sectorial

Curso online para

micropymes y

autónomos

www.incibe.es/protege-tu-empresa@ProtegeEmpresa

Kit de

concienciación

Blog, Avisos

Herramienta de autodiagnóstico

Políticas, Guías

¿Qué te interesa?

Concienciación y sensibilización

Videos de concienciación sectorial para empresas

https://itinerarios.incibe.es/

80

Kit de concienciación

https://www.incibe.es/protege-tu-empresa/kit-concienciacion

HackendJuego online

https://hackend.incibe.es/

MOOC: online, gratuito …

https://www.incibe.es/formacion/ciberseguridad-para-micropymes-y-autonomos

Concienciación y sensibilización

4 bloques temáticos,

videos, documentos y

recursos

Talleres presenciales

https://www.incibe.es/protege-tu-empresa/talleres-ciberseguridad-pymes

Concienciación y sensibilización

¿Qué hacer ante un incidente de seguridad?

https://www.incibe.es/protege-tu-empresa/juego-rol-pyme-seguridad

85

Cortafuegos humano: ¡activado!...

Tú tienes la llave…

…para proteger los dispositivos tecnológicos, la

información y la privacidad de tus clientes y

colaboradores.

¿Alguna pregunta?

Síguenos en:

www.incibe.es/protege-tu-empresa

@ProtegeEmpresa

www.incibe.es

@INCIBE

www.is4k.es

@is4k

www.osi.es

@Osiseguridad

www.incibe-cert.es

@incibe-cert

info@incibe.es

Línea de ayuda en ciberseguridad de INCIBE 900 116 117