UNIMOOC Curso de Fundamentos de Seguridad

8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad

http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 1/6

16/2/2016 UNIMOOC-Ud6-Mod1

https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 1/6

UNIMOOC-Ud6-Mod1

Página

Trabajar con seguridad en la economíadigital

Módulo 5.01.:

La seguridad en la empresa

Lección 1. Contenido





Lecc ión 1.La seguridad y las implicaciones del entorno digital 3

Lecc ión 2.La importancia del fraude en Internet 4

Lecc ión 3.El papel de la Administración pública 7

Lección 2. La seguridad y las implicaciones del entorno digital

Todas las personas tenemos la necesidad de sentirnos seguros, seguros en nuestra vida personal o familiar,

en nuestro ocio, en nuestro entorno de trabajo. Es decir, la inseguridad, la incertidumbre sobre si nos

puede ocurrir ahora mismo algún tipo de incidente imprevisto puede llegar a bloquear y a trastornar.

Por tanto, es muy importante el garantizar entornos seguros en el trabajo y que las empresas se preocupen

para que las personas que trabajan en ellas, los empleados, trabajen cómodamente y se sientan seguros. Al

mismo tiempo, los proveedores y los clientes tengan una relación de confianza y una seguridad de que lainformación personal sobre ellos esté bien custodiada y bien tratada respetando la privacidad. Y al mismo

tiempo que si hay un incidente que se produjera en la empresa, la empresa no se va a ir al garete, sino que

superará los problemas y seguirá avanzando para adelante.

Por tanto, es muy importante garantizar la seguridad. La pirámide de Maslow famosa establece a la

seguridad como una necesidad humana de segundo nivel después de las fisiológicas. Ahora bien, la

seguridad cien por cien no existe, es decir, la seguridad es algo de percepción, en algunos lugares uno se

siente más seguro y otra persona, la misma persona…, y otra persona en el mismo sitio se encuentra más

inseguro. Hay algo de componente subjetivo y, a la hora de fijar unos niveles de seguridad, esos

componentes de percepción son muy importantes.

¿Qué sucede hoy? Bueno, pues así como antiguamente, y digo antiguamente hasta hace muy poco, la

seguridad en una empresa consistía en proteger que nadie entrara dentro de unas vallas, dentro de unas

puertas, unas ventanas, nadie las atravesará si no tenía la adecuada autorización y que la información

confidencial se guardará en un cajón o se guardará en una caja fuerte, lo mismo que el dinero. Hoy día, eso

ha cambiado completamente, es decir, el mundo digital nos hace que nos relacionemos a través de

Internet con personas que “nos dicen” como se llaman, pero que tenemos que saber si efectivamente son

quienes dicen ser. De la misma manera, el tener la información ya no se archiva en cajones con llave sino

que está en sistemas informáticos y no sólo dentro de la empresa, sino pues a lo mejor en portátiles va

circulando por ahí, en tablets, en móvi les.

Por lo tanto, ha cambiado la naturaleza del problema de la seguridad en las empresas hoy y, de hecho, la

seguridad de la información se ha convertido en un problema de primera magnitud. Cualquier persona que

siga estos temas, pues puede recordar que no hace muchos años, en 2007, Estonia, un país estuvo

prácticamente paralizado 24 horas por un ataque informático. De la misma manera que ha habido ataques a

bancos importantes, a empresas petroleras, a distintos tipos de compañías, o que haces unos meses en

España en el marco de una operación policial y judicial conocida como “Operación Pitiusa” detuvieron a una

red de personas, de delincuentes, que lo que estaban haciendo era que robaban datos para luego

venderlos y estaban montados como red. Por lo tanto, este tema cada vez está siendo más importante.

¿Qué está pasando hoy? Bueno, pues que es necesario proteger la seguridad de la información de las

empresas porque cada vez hay más virus, hay distintas formas de malware. Es curioso ver la evolución de

los virus, es decir, todo este problema surge con los virus. Los virus, los virus informáticos, nacieron como

un reto tecnológico, es decir, el primer virus, allá por el año 71 o 72, se hizo en un ordenador, se hizo un

programita, se metió en un ordenador y ese programita aparecía con un mensaje diciendo “Cógeme si

puedes, soy una enredadera”, se llamaba “Creeper”, “Atrápame si puedes”. Entonces, hicieron un

antivirus, una segadora (“Reaper”) y entonces conseguían controlarlo. Fue un tema puramente de interés

tecnológico.





Posteriormente, cuando se generaliza el uso de Internet y de la informática, entonces empiezan a surgir

virus. Hay el famoso virus “Brain”, unos paquistaníes que fabricaban software hicieron un antivirus y

pusieron su f irma, su número, su dirección telefónica para que cualquiera lo utilizara. Entonces es curioso

que eso que sigue funcionando, sigue estando todavía en Internet, era el origen. Hasta que llegó un

momento en que la delincuencia se dio cuenta que era un filón de negocio, de negocio ilegal y desde el

anonimato, el introducir virus especiales, introducir determinados programas informáticos para robar

información, suplantar identidades, etc.

Y eso ha ido generando una delincuencia organizada en el mundo de la información que hace que lasempresas tengan que tener medidas. Según el estudio de INTECO, el 26% de las empresas españolas en el

año 2011 tuvo algún ataque, que ellas sepan. Probablemente fuera mayor el porcentaje. Bueno, ante eso

es evidente que hay que ser consciente del problema, hay que tomar medidas adecuadas y el objetivo de

este curso es tocar todos esos temas y analizar con qué medidas debemos de protegernos.

Y vamos a contar con la colaboración de cinco expertos que nos irán contando también ideas. Cuatro de

ellos son directivos de empresas que han sido start-ups hace unos años y que hoy ocupan posiciones de

liderazgo en seguridad en sus nichos de mercado en todo el mundo. Y otro, la quinta persona es Director

General del órgano de la Administración Española dedicado a garantizar la seguridad en Internet y dar

información. Vamos a contar con ellos y a lo largo de este curso iremos viendo todos estos temas con el

objeto de mejorar la seguridad y la confianza.

Lección 3. La importancia del fraud e en In ternet

Sí, yo creo que aquí también hemos evolucionado, es decir, desde nuestra experiencia, nos especializamos

en el fraude realmente en el año 2003/2004 con las entidades financieras, los primeros años que eran sobre

todo donde digamos que el phising pues era el actor fundamental en lo que es el modelo de engaño pues

el impacto de abajo, el “a Debe”.

Hay que tener en cuenta que para las entidades financieras desde el punto de vista legal ellos tenían que

cubrir directamente lo que era el modelo del fraude, es decir, el usuario pues en este caso estaba exento.

Pero esto ha cambiado, es decir, a cambiado el phising, han cambiado los modelos, hoy ya hablamos de

troyanos.

En 2007/2008 se hacía un análisis de troyanos cada 2/3 horas, hoy analizamos unos 50.000 aldía, de modo automatizado para ver el mod elo de ataque y poder preven ir.

Y yo tengo pues la experiencia personal que en el año 2007/2008 hacíamos un análisis de troyanos cada dos

horas, tres horas; hoy estamos haciendo pues un análisis de troyanos de más de 50.000 al día con

elementos automáticos. Yo creo que aquí la clave está en entender muy bien lo que es el modelo deataque, en intentar automatizar todos los procesos de análisis, en detectar directamente el fraude y en que

no tenga impacto.

Esto está creciendo, si bien cada año ha ido más o menos duplicándose lo que es el modelo del fraude, yo

diría que en los dos últimos años, sobre todo este último año se ha multiplicado por cuatro. Esto está

automatizado, es decir, ya no es un mercado directo de alguien que ataca, sino que existen herramientas

que se pueden comprar que pueden ser pues un elemento de ataque que llega directamente al usuario

final.

Hemos pasado de evaluar el fraude en cifras bajas con todas las dificultades que tiene que las empresas

directamente cuenten lo que realmente está pasando y lo que es el impacto económico, pues hemos

pasado de cifras bajas a las que tenemos hoy. En el año 2012, diferentes estudios por parte de Symantec,

por parte de otras compañías hablan de que hasta 2 trillones de dólares han sido las pérdidas reales que ha

tenido el sector durante estos años.

Se es tima que en 2012 el fraude ascendió a 2 tri l lone s de dólares





Y ya se empieza a hablar de que esto es un problema económico global, ya no es un problema de fraude

solo sino que se está dejando de crear empleo, estas pérdidas hace que haya empresas que estén cerrando

directamente por este tipo de filosofías. El año pasado, por ejemplo, en India, sólo India, tuvo unas

pérdidas reconocidas de 8 billones de dólares, 8 billones, que son una cifra espectacular, Estados Unidos

más de 250, Reino Unido 30 millones de libras, 30 billones de libras también.

Y al final tenemos que tener en cuenta que esto es algo que está creciendo, es decir, o sea, el granproblema que tenemos en este momento es cómo podemos parar esto. Si tú vas a un modelo de

prevención estás, vamos a decir, generando un conjunto de…, un conjunto de barreras diría yo, pues a

quien quiero tener, un objetivo final que elimina muchas veces por lo que sea el riesgo que tienes dentro

de tu organización.

En 2012 la UE estableció l a Estrategia de Ciberse guridad

Pero cuando empezamos a hablar de estas cifras creo que estamos ya en un entorno en el que los

gobiernos empiezan a tomar el timón, a asumir el timón. El año pasado, pues, Europa creó la Estrategia

Europea de Ciberseguridad.

España ha lanzado también su Estrategia Nacional de Cibe rseguridad

Hace poco España ya ha lanzado la Estrategia, digamos, Nacional pues en el ámbito de Seguridad y

Ciberseguridad. Se empieza a ver esto como un elemento disruptivo, es decir, ya no es un elemento de

fraude sólo, sino que es un elemento, vamos a decir, de guerra fría pues entre los diferentes países.

Se ataca al l í donde existe algo que t iene un valor

Los objetivos no son exclusivamente los económicos, ya no se ataca sólo al sector financiero sino que se

ataca directamente allá donde existe algo que tiene un valor: ciberespionaje, entrar directamente pues en

la propiedad intelectual de los clientes, saber que va a hacer la competencia antes de que vayas

directamente a esos proyectos.

Es un negocio desde el anonimato

Entonces cuando estás evaluando directamente lo que es el impacto, unos hablan de trillones, otros hablan

de muchos billones. Lo que está claro es que esto es un negocio, está claro que es un elemento que desde

lo que es el anonimato genera muchísimo beneficio. Las organizaciones ya son empresas, las

organizaciones que son empresas en el lado malo innovan también, y los que estamos digamos pues en el

lado del trabajo conjunto con los clientes debemos de seguir innovando de forma permanente.

Yo creo que es el sector donde más innovación se da, porque lo que es seguro en un momento

determinado, un minuto después ya ha dejado de serlo. O sea que es importante información, inteligencia,

la correlación, la colaboración. Este es un problema transnacional, no es un problema de un país, no esproblema de una empresa, es un problema que se da en la red con todo lo que tiene pues de los aspectos

alegales en este momento a la hora de poder resolver directamente los conflictos.

Es decir, los números son altos. A nivel de España no hay cifras, es decir, otra de las cosas que ocurren, en

general, los países sajones, diría yo, son más abiertos en esto y dan en un concepto público lo que es el

concepto de las pérdidas para concienciar directamente a los ciudadanos y las empresas. Y aquí todavía nos

da un poco de miedo dar pues ese pasito y decir pues vamos a contar también nuestras vergüenzas, vamos

a contar que tenemos problemas que los tenemos, vamos a colaborar directamente y sobre todo vamos a

concienciar porque la clave de intentar prevenir el fraude es la concienciación y el…

Yo lo que diría es el buen uso de todos los entornos de información: los PCs, los móviles, los laptops, las

tablets, es decir, las tecnologías evolucionan, las tecnologías cambian, los modelos de negocio están todos

en Internet. Lo que debemos de hacer es usar de una forma correcta toda esa tecnología con el objetivo

fundamental de que el fraude no se produzca.





Lección 4. El papel d e la Adm inistración pú blica

¿QUÉ PAPEL JUEGA EL INTECO?

A estas alturas, no creo que sea necesario hablar de la importancia que tienen las tecnologías de la

información y las comunicaciones como generador de competitividad y de productividad en el sector

privado. Es imprescindible que seamos capaces de generar un clima de confianza que permita a las

empresas utilizar hasta sus últimas consecuencias los beneficios que suponen las tecnologías de la

información y las comunicaciones para su actividad diaria, para su actividad tradicional, pero también en lo

que pueden suponer el desarrollo de lo que se llama la economía digital o el negocio en Internet.

Las empresas privadas de seguridad ofre cen sus productos y servicios

Para todo ello es necesario que existan unas condiciones, unas garantías de confianza y de seguridad para

que puedan desarrollar adecuadamente su actividad. En este ámbito es muy importante que exista un

sector privado que preste servicios de seguridad garantistas para todas estas empresas.

La Administración Pública a través de INTECO: forma e informa sobre la importancia de laprotección

Pero además de esto la Administración tiene que hacer su papel, su papel concienciando a las empresas de

la importancia que tiene su información, de la importancia que tiene protegerla, la suya, la información de

sus clientes, proteger su propiedad intelectual.

La Administración Pública a través de INTECO: ofrece servicios a empresas pequeñas que noacuden a la empresa privada.

Y por otro lado, ofrecer servicios a todas esas empresas que por su tamaño, su dimensión, no acceden a

esos servicios del sector privado.

La Administración Pública a través de INTECO: mantiene relaciones con otros Gobiernos yFuerzas de Seguridad

Adicionalmente a eso, la Administración tiene un papel que desempeñar que no pueden desempeñar las

empresas privadas, que es lo que tiene que ver con las relaciones internacionales con organismos

homólogos, con la Agencia Europea de Seguridad de la que INTECO es miembro representando a España

dentro de esa Agencia Europea de Seguridad. E INTECO tiene que, y de hecho lo hace permanentemente,

pues ofrece esos servicios de conexión con organismos internacionales y con las fuerzas y cuerpos de

seguridad.

El objetivo e s reforzar la confianza en e l ámbito digital

En esta línea, el Gobierno tiene una apuesta importante en el marco de la Agenda Digital para España que

se aprobó en Febrero de 2013, hace tan sólo unos meses, en el que recoge entre sus nueve objetivos

principales, un objetivo que es el objetivo cuatro que es el de reforzar la confianza en el ámbito digital. Y

en ese objetivo de refuerzo de la confianza en el ámbito digital se sitúa toda esta estrategia y todos estos

servicios que presta INTECO al sector privado, principalmente.

Publicado por Google Drive – Informar de uso inadecuado – Actualizado automáticamente

https://docs.google.com/a/cibernos.com/abuse?id=13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY

https://docs.google.com/a/cibernos.com/





cada 5 minutos

Documents

UNIMOOC Curso de Fundamentos de Seguridad