Rafael Ave Souto
GRACIAS POR DARNOS LA OPORTUNIDAD DE CONTARTE NUESTRA VISIÓN DE LACIBERSEGURIDAD
KAIXO ;)
Ciberseguridad
Infraestructuras
EstrategiaDigital
ServiciosProfesionales
ÉXITO TECNOLÓGICO
CÍRCULO VIRTUOSO
¿CUÁL ES EL ESLABÓN MÁS DÉBIL?
El CCN – Centro Criptológico Nacional - espera un incremento del 40% en los ciberataques a la Administración y a empresas de interés estratégico.
2.500 M USUARIOS CONECTADOS
Inteligencia fuentes abiertasOSINT, Google, Archive.org, Deep Web, Maltego
IoT: 25B OBJETOS CONECTADOS EN 2020
Conferencia Black HAT USA 2015
Industria: autómatas y … robots
Conferencia DEF CON 23 en 2015
Charlie Miller y Chris Valasek revelan hackeo Jeep Cherokee
Marc Rogers y Kevin Mahaffey revelan hackeo en Tesla Model S.
HACER BIEN LO BÁSICO
Sistemas operativos y “utilidades” sin parchear.
SQL Injection (descubierta en 1998) en varios servidores internos.
· Ejemplo ·DHS (departamento
de seguridad de EEUU) informe nov.
2015
Linus Torvalds Tecnologia· Defensa en profundidad· Minimizar superficie de ataque· Mínimo privilegio
Personas· Hacer conscientes de los riesgos de la seguridad· Entrenar: atacarlos constantemente para que cuando les ataquen estén preparados
Procesos· Interacción con proveedores u clientes· Procesos de creación de software, instalación aplicaciones…
BUENAS PRÁCTICAS
Valoración de Activos
Preparar y aprobar la política de seguridad
Valorar/Categorizar el
sistema: Información/servicios
Definir roles y asignar personas
Auditar cada dos años (A/M)
Valorar/Categorizar el
sistema: Información/servicios
Implantar, operar y monitorizar el
sistema
Mejorar la seguridadValorar/
Categorizar el sistema:
Información/servicios
CN – STIC 809CN- STIC 815
MageritPilar
µPILAR
CCN – STIC 805 CCN – STIC 801 CCN – STIC 803
CCN – STIC 804 UNE ISO IEC 27001 & 27002
CCN – STIC 806 807, 811, 812, 813, 814…
CCN – STIC 802 CCN – STIC 808
BUENAS PRÁCTICAS
Gestión de Riesgos
Riesgo: “el efecto de la incertidumbre en la consecución de los objetivos”. ISO 31000:2009
Establecer el contexto
Identificar el Riesgo
Analizar el Riesgo
Evaluar el Riesgo
Tratar el Riesgo
Monitorizar y RevisarComunicar y Consultar
BUENAS PRÁCTICAS
Gestión de vulnerabilidades
Identificar Priorizar Evaluar Informar Remediar Verificar
BUENAS PRÁCTICAS: MONITORIZACION e INTELIGENCIA
“Lo que no se puede medir, no se puede gestionar”, Peter Drucker
LINUS BENEDICT TORVALDS
“El tiempo de soluciones sencillas a problemas sencillos hace años que
pasó”
Se refería al Kernel de Linux, y la dificultad de entrar en esta comunidad, pero sería aplicable a la tecnología y sobre todo a la seguridad.
TECNOLOGÍA
ComplejidadVariedadCantidadObsolescencia
PROCESOS
AuditoríaComplianceIncidenciasRiesgos
PERSONAL
ConocimientoCosteRotaciónSensibilización
LEGISLACIÓN
ResponsabilidadCumplimientoAcompañamiento
DESAFÍO
VISIBILIDAD
✔ ✔ ✔
✔ ✔
✔
✖✖✖
✖✖
✖
Monitorización.Línea Base / Detectar anomalías
OPORTUNIDAD
CONTROL GESTIÓN S.G. SOC WCS
Servicio Alerta tempranaApoyo a Resolución.Incidentes de Seguridad.
Correlación de eventos de seguridad (SIEM)
Operación de Infraestructura de Seguridad
EDUCASOCSensibilización empleadosCiber Ejercicios
Incluido en contrataciones 2016
Análisis forense
Gestión de vulnerabilidades.Identificación/ parches/ actualizaciones.
Gestión de riesgos.Identificación y valoración de activos. Análisis de riesgos. Plan de tratamiento de riesgos.
Soporte legal.Formación (técnica, directivos…)Adaptación a normas.Auditoria…
Respuesta a incidentes especializada.Vigilancia Digital, Análisis Aplicaciones, Hacking Ético…
Alerta temprana.
Peticiones de servicio.
Incidencias
Vulnerabilidades
Riesgos
CUADRO DE MANDO (PORTAL WEB CLIENTE)
Pericles (siglo V a.d.C.)
“Quien sabe pensar, pero no sabe comunicar lo que piensa, está en el
mismo nivel del que no sabe pensar.”
En ciberseguridad,
“Quien basa su negocio en procesos tecnológicos y no los protege, está al mismo nivel del que basa su negocio en el papel y lo deja al lado de una
hoguera.”