Upload
mostoles
View
216
Download
0
Embed Size (px)
Citation preview
8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad
http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 1/6
16/2/2016 UNIMOOC-Ud6-Mod1
https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 1/6
UNIMOOC-Ud6-Mod1
Página
Trabajar con seguridad en la economíadigital
Módulo 5.01.:
La seguridad en la empresa
Lección 1. Contenido
8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad
http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 2/6
16/2/2016 UNIMOOC-Ud6-Mod1
https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 2/6
Lecc ión 1.La seguridad y las implicaciones del entorno digital 3
Lecc ión 2.La importancia del fraude en Internet 4
Lecc ión 3.El papel de la Administración pública 7
Lección 2. La seguridad y las implicaciones del entorno digital
Todas las personas tenemos la necesidad de sentirnos seguros, seguros en nuestra vida personal o familiar,
en nuestro ocio, en nuestro entorno de trabajo. Es decir, la inseguridad, la incertidumbre sobre si nos
puede ocurrir ahora mismo algún tipo de incidente imprevisto puede llegar a bloquear y a trastornar.
Por tanto, es muy importante el garantizar entornos seguros en el trabajo y que las empresas se preocupen
para que las personas que trabajan en ellas, los empleados, trabajen cómodamente y se sientan seguros. Al
mismo tiempo, los proveedores y los clientes tengan una relación de confianza y una seguridad de que lainformación personal sobre ellos esté bien custodiada y bien tratada respetando la privacidad. Y al mismo
tiempo que si hay un incidente que se produjera en la empresa, la empresa no se va a ir al garete, sino que
superará los problemas y seguirá avanzando para adelante.
Por tanto, es muy importante garantizar la seguridad. La pirámide de Maslow famosa establece a la
seguridad como una necesidad humana de segundo nivel después de las fisiológicas. Ahora bien, la
seguridad cien por cien no existe, es decir, la seguridad es algo de percepción, en algunos lugares uno se
siente más seguro y otra persona, la misma persona…, y otra persona en el mismo sitio se encuentra más
inseguro. Hay algo de componente subjetivo y, a la hora de fijar unos niveles de seguridad, esos
componentes de percepción son muy importantes.
¿Qué sucede hoy? Bueno, pues así como antiguamente, y digo antiguamente hasta hace muy poco, la
seguridad en una empresa consistía en proteger que nadie entrara dentro de unas vallas, dentro de unas
puertas, unas ventanas, nadie las atravesará si no tenía la adecuada autorización y que la información
confidencial se guardará en un cajón o se guardará en una caja fuerte, lo mismo que el dinero. Hoy día, eso
ha cambiado completamente, es decir, el mundo digital nos hace que nos relacionemos a través de
Internet con personas que “nos dicen” como se llaman, pero que tenemos que saber si efectivamente son
quienes dicen ser. De la misma manera, el tener la información ya no se archiva en cajones con llave sino
que está en sistemas informáticos y no sólo dentro de la empresa, sino pues a lo mejor en portátiles va
circulando por ahí, en tablets, en móvi les.
Por lo tanto, ha cambiado la naturaleza del problema de la seguridad en las empresas hoy y, de hecho, la
seguridad de la información se ha convertido en un problema de primera magnitud. Cualquier persona que
siga estos temas, pues puede recordar que no hace muchos años, en 2007, Estonia, un país estuvo
prácticamente paralizado 24 horas por un ataque informático. De la misma manera que ha habido ataques a
bancos importantes, a empresas petroleras, a distintos tipos de compañías, o que haces unos meses en
España en el marco de una operación policial y judicial conocida como “Operación Pitiusa” detuvieron a una
red de personas, de delincuentes, que lo que estaban haciendo era que robaban datos para luego
venderlos y estaban montados como red. Por lo tanto, este tema cada vez está siendo más importante.
¿Qué está pasando hoy? Bueno, pues que es necesario proteger la seguridad de la información de las
empresas porque cada vez hay más virus, hay distintas formas de malware. Es curioso ver la evolución de
los virus, es decir, todo este problema surge con los virus. Los virus, los virus informáticos, nacieron como
un reto tecnológico, es decir, el primer virus, allá por el año 71 o 72, se hizo en un ordenador, se hizo un
programita, se metió en un ordenador y ese programita aparecía con un mensaje diciendo “Cógeme si
puedes, soy una enredadera”, se llamaba “Creeper”, “Atrápame si puedes”. Entonces, hicieron un
antivirus, una segadora (“Reaper”) y entonces conseguían controlarlo. Fue un tema puramente de interés
tecnológico.
8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad
http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 3/6
16/2/2016 UNIMOOC-Ud6-Mod1
https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 3/6
Posteriormente, cuando se generaliza el uso de Internet y de la informática, entonces empiezan a surgir
virus. Hay el famoso virus “Brain”, unos paquistaníes que fabricaban software hicieron un antivirus y
pusieron su f irma, su número, su dirección telefónica para que cualquiera lo utilizara. Entonces es curioso
que eso que sigue funcionando, sigue estando todavía en Internet, era el origen. Hasta que llegó un
momento en que la delincuencia se dio cuenta que era un filón de negocio, de negocio ilegal y desde el
anonimato, el introducir virus especiales, introducir determinados programas informáticos para robar
información, suplantar identidades, etc.
Y eso ha ido generando una delincuencia organizada en el mundo de la información que hace que lasempresas tengan que tener medidas. Según el estudio de INTECO, el 26% de las empresas españolas en el
año 2011 tuvo algún ataque, que ellas sepan. Probablemente fuera mayor el porcentaje. Bueno, ante eso
es evidente que hay que ser consciente del problema, hay que tomar medidas adecuadas y el objetivo de
este curso es tocar todos esos temas y analizar con qué medidas debemos de protegernos.
Y vamos a contar con la colaboración de cinco expertos que nos irán contando también ideas. Cuatro de
ellos son directivos de empresas que han sido start-ups hace unos años y que hoy ocupan posiciones de
liderazgo en seguridad en sus nichos de mercado en todo el mundo. Y otro, la quinta persona es Director
General del órgano de la Administración Española dedicado a garantizar la seguridad en Internet y dar
información. Vamos a contar con ellos y a lo largo de este curso iremos viendo todos estos temas con el
objeto de mejorar la seguridad y la confianza.
Lección 3. La importancia del fraud e en In ternet
Sí, yo creo que aquí también hemos evolucionado, es decir, desde nuestra experiencia, nos especializamos
en el fraude realmente en el año 2003/2004 con las entidades financieras, los primeros años que eran sobre
todo donde digamos que el phising pues era el actor fundamental en lo que es el modelo de engaño pues
el impacto de abajo, el “a Debe”.
Hay que tener en cuenta que para las entidades financieras desde el punto de vista legal ellos tenían que
cubrir directamente lo que era el modelo del fraude, es decir, el usuario pues en este caso estaba exento.
Pero esto ha cambiado, es decir, a cambiado el phising, han cambiado los modelos, hoy ya hablamos de
troyanos.
En 2007/2008 se hacía un análisis de troyanos cada 2/3 horas, hoy analizamos unos 50.000 aldía, de modo automatizado para ver el mod elo de ataque y poder preven ir.
Y yo tengo pues la experiencia personal que en el año 2007/2008 hacíamos un análisis de troyanos cada dos
horas, tres horas; hoy estamos haciendo pues un análisis de troyanos de más de 50.000 al día con
elementos automáticos. Yo creo que aquí la clave está en entender muy bien lo que es el modelo deataque, en intentar automatizar todos los procesos de análisis, en detectar directamente el fraude y en que
no tenga impacto.
Esto está creciendo, si bien cada año ha ido más o menos duplicándose lo que es el modelo del fraude, yo
diría que en los dos últimos años, sobre todo este último año se ha multiplicado por cuatro. Esto está
automatizado, es decir, ya no es un mercado directo de alguien que ataca, sino que existen herramientas
que se pueden comprar que pueden ser pues un elemento de ataque que llega directamente al usuario
final.
Hemos pasado de evaluar el fraude en cifras bajas con todas las dificultades que tiene que las empresas
directamente cuenten lo que realmente está pasando y lo que es el impacto económico, pues hemos
pasado de cifras bajas a las que tenemos hoy. En el año 2012, diferentes estudios por parte de Symantec,
por parte de otras compañías hablan de que hasta 2 trillones de dólares han sido las pérdidas reales que ha
tenido el sector durante estos años.
Se es tima que en 2012 el fraude ascendió a 2 tri l lone s de dólares
8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad
http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 4/6
16/2/2016 UNIMOOC-Ud6-Mod1
https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 4/6
Y ya se empieza a hablar de que esto es un problema económico global, ya no es un problema de fraude
solo sino que se está dejando de crear empleo, estas pérdidas hace que haya empresas que estén cerrando
directamente por este tipo de filosofías. El año pasado, por ejemplo, en India, sólo India, tuvo unas
pérdidas reconocidas de 8 billones de dólares, 8 billones, que son una cifra espectacular, Estados Unidos
más de 250, Reino Unido 30 millones de libras, 30 billones de libras también.
Y al final tenemos que tener en cuenta que esto es algo que está creciendo, es decir, o sea, el granproblema que tenemos en este momento es cómo podemos parar esto. Si tú vas a un modelo de
prevención estás, vamos a decir, generando un conjunto de…, un conjunto de barreras diría yo, pues a
quien quiero tener, un objetivo final que elimina muchas veces por lo que sea el riesgo que tienes dentro
de tu organización.
En 2012 la UE estableció l a Estrategia de Ciberse guridad
Pero cuando empezamos a hablar de estas cifras creo que estamos ya en un entorno en el que los
gobiernos empiezan a tomar el timón, a asumir el timón. El año pasado, pues, Europa creó la Estrategia
Europea de Ciberseguridad.
España ha lanzado también su Estrategia Nacional de Cibe rseguridad
Hace poco España ya ha lanzado la Estrategia, digamos, Nacional pues en el ámbito de Seguridad y
Ciberseguridad. Se empieza a ver esto como un elemento disruptivo, es decir, ya no es un elemento de
fraude sólo, sino que es un elemento, vamos a decir, de guerra fría pues entre los diferentes países.
Se ataca al l í donde existe algo que t iene un valor
Los objetivos no son exclusivamente los económicos, ya no se ataca sólo al sector financiero sino que se
ataca directamente allá donde existe algo que tiene un valor: ciberespionaje, entrar directamente pues en
la propiedad intelectual de los clientes, saber que va a hacer la competencia antes de que vayas
directamente a esos proyectos.
Es un negocio desde el anonimato
Entonces cuando estás evaluando directamente lo que es el impacto, unos hablan de trillones, otros hablan
de muchos billones. Lo que está claro es que esto es un negocio, está claro que es un elemento que desde
lo que es el anonimato genera muchísimo beneficio. Las organizaciones ya son empresas, las
organizaciones que son empresas en el lado malo innovan también, y los que estamos digamos pues en el
lado del trabajo conjunto con los clientes debemos de seguir innovando de forma permanente.
Yo creo que es el sector donde más innovación se da, porque lo que es seguro en un momento
determinado, un minuto después ya ha dejado de serlo. O sea que es importante información, inteligencia,
la correlación, la colaboración. Este es un problema transnacional, no es un problema de un país, no esproblema de una empresa, es un problema que se da en la red con todo lo que tiene pues de los aspectos
alegales en este momento a la hora de poder resolver directamente los conflictos.
Es decir, los números son altos. A nivel de España no hay cifras, es decir, otra de las cosas que ocurren, en
general, los países sajones, diría yo, son más abiertos en esto y dan en un concepto público lo que es el
concepto de las pérdidas para concienciar directamente a los ciudadanos y las empresas. Y aquí todavía nos
da un poco de miedo dar pues ese pasito y decir pues vamos a contar también nuestras vergüenzas, vamos
a contar que tenemos problemas que los tenemos, vamos a colaborar directamente y sobre todo vamos a
concienciar porque la clave de intentar prevenir el fraude es la concienciación y el…
Yo lo que diría es el buen uso de todos los entornos de información: los PCs, los móviles, los laptops, las
tablets, es decir, las tecnologías evolucionan, las tecnologías cambian, los modelos de negocio están todos
en Internet. Lo que debemos de hacer es usar de una forma correcta toda esa tecnología con el objetivo
fundamental de que el fraude no se produzca.
8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad
http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 5/6
16/2/2016 UNIMOOC-Ud6-Mod1
https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 5/6
Lección 4. El papel d e la Adm inistración pú blica
¿QUÉ PAPEL JUEGA EL INTECO?
A estas alturas, no creo que sea necesario hablar de la importancia que tienen las tecnologías de la
información y las comunicaciones como generador de competitividad y de productividad en el sector
privado. Es imprescindible que seamos capaces de generar un clima de confianza que permita a las
empresas utilizar hasta sus últimas consecuencias los beneficios que suponen las tecnologías de la
información y las comunicaciones para su actividad diaria, para su actividad tradicional, pero también en lo
que pueden suponer el desarrollo de lo que se llama la economía digital o el negocio en Internet.
Las empresas privadas de seguridad ofre cen sus productos y servicios
Para todo ello es necesario que existan unas condiciones, unas garantías de confianza y de seguridad para
que puedan desarrollar adecuadamente su actividad. En este ámbito es muy importante que exista un
sector privado que preste servicios de seguridad garantistas para todas estas empresas.
La Administración Pública a través de INTECO: forma e informa sobre la importancia de laprotección
Pero además de esto la Administración tiene que hacer su papel, su papel concienciando a las empresas de
la importancia que tiene su información, de la importancia que tiene protegerla, la suya, la información de
sus clientes, proteger su propiedad intelectual.
La Administración Pública a través de INTECO: ofrece servicios a empresas pequeñas que noacuden a la empresa privada.
Y por otro lado, ofrecer servicios a todas esas empresas que por su tamaño, su dimensión, no acceden a
esos servicios del sector privado.
La Administración Pública a través de INTECO: mantiene relaciones con otros Gobiernos yFuerzas de Seguridad
Adicionalmente a eso, la Administración tiene un papel que desempeñar que no pueden desempeñar las
empresas privadas, que es lo que tiene que ver con las relaciones internacionales con organismos
homólogos, con la Agencia Europea de Seguridad de la que INTECO es miembro representando a España
dentro de esa Agencia Europea de Seguridad. E INTECO tiene que, y de hecho lo hace permanentemente,
pues ofrece esos servicios de conexión con organismos internacionales y con las fuerzas y cuerpos de
seguridad.
El objetivo e s reforzar la confianza en e l ámbito digital
En esta línea, el Gobierno tiene una apuesta importante en el marco de la Agenda Digital para España que
se aprobó en Febrero de 2013, hace tan sólo unos meses, en el que recoge entre sus nueve objetivos
principales, un objetivo que es el objetivo cuatro que es el de reforzar la confianza en el ámbito digital. Y
en ese objetivo de refuerzo de la confianza en el ámbito digital se sitúa toda esta estrategia y todos estos
servicios que presta INTECO al sector privado, principalmente.
Publicado por Google Drive – Informar de uso inadecuado – Actualizado automáticamente
8/20/2019 UNIMOOC Curso de Fundamentos de Seguridad
http://slidepdf.com/reader/full/unimooc-curso-de-fundamentos-de-seguridad 6/6
16/2/2016 UNIMOOC-Ud6-Mod1
https://docs.g oog le.com/document/d/13ZG0M XH J34VTbWk- qzTAFETStPYJPg Z1kAPU lYwM ZkY/pub 6/6
cada 5 minutos