Taller Online, ¿Qué necesita saber de
ciberseguridad el comercio
minorista?
Programa de Apoyo al comercio minorista 2018
18 de octubre de 2018
Actuaciones Divulgativas sobre Jornadas demostrativas de experiencias
innovadoras
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
D. Juan Miguel Pulpillo Fernández
Socio - Director Área Legal y Compliance & Risk IT en Legal-itc y VP – COO Grupo Agencia EscrowAbogado Auditor en Entornos Tecnológicos del Registro AAULETEC del IcabCertificado Auditor en Buen Gobierno, Gestión de Riesgos y Cumplimiento Normativo de Tüv NordMiembro Consejo Asesor Legal Gobierno itSMF España (Information Technology Service Management Forum Spain). DPO itSMF EspañaCoordinador Andalucia I España del Centro de Ciberseguridad industrial, CCI.DPO Empresa Municipal que opera el servicio de transporte público en la ciudad de Córdoba, AUCORSAAnalista Asociado ITC and Compliance en Grupo PenteoPerito Forense Informático Judicial Miembro de ASPERTIC, Asociación Mediterránea de Peritos de las TIC (Barcelona)
• Qué es la ciberseguridad y
cuáles son los ciberriesgos
• Las medidas de
protección frente a los
ciberriesgos. Prevención
Vs Reacción
• Decálogo para protegerse
frente a los ciberriesgos
• Otras medidas de
protección externas
Resolución 181 Conferencia UIT de 20/09/2019 aprobó una definición de ciberseguridad tal como
se expresa en la Recomendación UIT–T X.1205:
La ciberseguridad es el conjunto de herramientas, políticas,
conceptos de seguridad, salvaguardas de seguridad, directrices,
métodos de gestión de riesgos, acciones, formación, prácticas
idóneas, seguros y tecnologías que pueden utilizarse para proteger
los activos de la organización y los usuarios en el ciberentorno.
TODO ELLO CON ASIGNACIÓN PRESUPUESTARIA Y
GESTIÓN PRESUPUESTARIA EFICIENTE
Programa de Apoyo al comercio minorista 2018
Qué es la ciberseguridad
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Los activos de la organización y los usuarios son los
dispositivos informáticos conectados, los usuarios, los
servicios/aplicaciones, los sistemas de comunicaciones, las
comunicaciones multimedios, y la totalidad de la información
transmitida y/o almacenada en el ciberentorno.
La ciberseguridad garantiza que se alcancen y mantengan las
propiedades de seguridad de los activos de la organización y los
usuarios contra los riesgos de seguridad correspondientes en el
ciberentorno.
Programa de Apoyo al comercio minorista 2018
Qué es la ciberseguridad
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Las propiedades de seguridad incluyen una o más de las
siguientes:
• disponibilidad;
• integridad, que puede incluir la autenticidad y el no repudio;
• confidencialidad
Programa de Apoyo al comercio minorista 2018
Qué es la ciberseguridad
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Un ciberriesgo es cualquier amenaza que puede afectar
a la tecnología, así como al conjunto de datos contenido en
la misma.
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Dichos riesgos pueden tener su origen en:
• cualquier componente de nuestro sistema informático
• como consecuencia de acciones intencionadas de
personas
• por errores y fallos de sistemas no diseñados a priori
para causar un perjuicio
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Las consecuencias más importantes pueden ser:
• la revelación de datos a terceros no autorizados
• la modificación, destrucción o pérdida de información
digital.
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
NO Disponibilidad, NO integridad,
NO confidencialidad
NO activos
NO negocio
Ejemplos:
• Robos de datos que pueden comprometer
nuestro negocio, o datos sensibles de
nuestros clientes.
• Los virus o la manipulación de
información, a través de hackers o de
empleados desleales, con el fin de obtener
un beneficio propio, como la modificación
de movimientos contables o transferencias
a entidades financieras.
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Ejemplos:
• Modificaciones del contenido web que
pueden dañar la reputación de nuestra
empresa, y también la de nuestros clientes
web.
• Robos de identidad de personas físicas
para su uso posterior por delincuentes.
• Pérdidas de información sensible
almacenada en portátiles, ordenadores o
dispositivos de almacenamiento portable
(como USB).
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Ejemplos:
• Robo de propiedad intelectual o comercial
para su posterior uso, venta a la
competencia o extorsión a la empresa
afectada.
• Ataques de denegación de servicio que
impidan el correcto funcionamiento de los
sistemas que prestan un servicio a los
clientes.
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Ejemplos:
• Secuestro de información o de sistemas
informáticos para posteriormente solicitar
una cantidad económica como rescate de
la misma (tipo de virus denominado
ransomware).
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Ejemplos: Tipos de ransomware:• CryptoJocker: primero en ofrecer a sus víctimas la posibilidad de negociar la cuantía del
rescate.
• CryptMix: prometían donar el dinero del rescate a una organización benéfica.
• Jigsaw: este ransomware juega con la presión mental, eliminando cada hora algunos archivos
cifrados.
• Koolova: ofrecía recuperar los archivos de manera gratuita con una condición: leer dos
artículos sobre ciberseguridad.
• nRansom: exigía a la víctima el envío de al menos diez fotos de ellos mismos desnudos.
• PopCorne Time: basado en el sistema piramidal: las víctimas pueden pagar o intentar infectar a
varios de sus conocidos y esperar a que al menos dos de ellos paguen el rescate, para recuperar
sus archivos.
• RensenWare: para desbloquear los archivos, exigía que la víctima alcanzase la máxima
puntuación en un videojuego.
• Spora: como en un mercadillo, hay diferentes servicios y precios: ya sea para desencriptar un
archivo, desinstalar el virus, no re-infectar el sistema o adquirir una restauración completa de
los archivos
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
La exposición al riesgo:
• La ampliación del uso de tecnología, amplía el riesgo
cibernético.
A mayor uso, mayor dependencia y, por lo
tanto, mayor riesgo.
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
Los riesgos a valorar:
¿Os suenan? ¿Cómo lo hacen?
Programa de Apoyo al comercio minorista 2018
Cuáles son los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
• Problemas de
accesibilidad o
disponibilidad
• Accesos NO autorizados
o confidencialidad
• Modificación deliberada
de la información o
integridad
• Ataque de fuerza bruta
• Denegación de servicio
• Phishing
• Suplantación de
identidad
• Ciberextorsión:
Ransomware, Malware,
Qué es la ciberseguridad y cuáles son los ciberriesgos
• En materia de ciberseguridad en las áreas de los servicios
esenciales: Directiva NIS
• En materia de privacidad: GDPR, e-Privacy, LOPD
• En materia de organismos de soporte y coordinación en
materia de ciberseguridad para organismos
gubernamentales y empresas: Instituto Nacional de
Ciberseguridad —INCIBE
Programa de Apoyo al comercio minorista 2018
Regulación al respecto en el comercio minorista
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• Reglamento de la Unión Europea 2016/679, de
tratamiento de datos personales y libre circulación de
estos en el curso de una actividad profesional o
comercial, que establece una serie de obligaciones a las
empresas en este ámbito, así como consecuencias
legales derivadas de su incumplimiento
RGPD
Programa de Apoyo al comercio minorista 2018
Regulación al respecto en el comercio minorista
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• Pérdida de datos
• Desembolso económico
• Cambio en el modelo de negocio
• Pérdida de confianza
Programa de Apoyo al comercio minorista 2018
Consecuencias de un ciberataque
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• Si eres consciente del ataque, tres acciones
inmediatas y concurrentes:• Poner en marcha las medidas para contener la brecha de
seguridad, siempre protegiendo las evidencias legales
necesarias para la toma de acciones legales
• Interponer la denuncia para el inicio de las investigaciones
que permitan esclarecer los hechos
• Proceso de notificación de la brecha
Programa de Apoyo al comercio minorista 2018
¿Qué hago si me atacan?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• Medidas de contención de la brecha
salvaguardando evidencias:• Las acciones específicas dependerán del incidente, el
número y distribución de los sistemas informáticos
afectados y el servicio que preste la empresa.
• En todo caso, aislar los sistemas informáticos afectados y
acudir a especialistas en extracción de información
relevante para esclarecer las causas, la autoría y el alcance
de la brecha de seguridad, siempre tratando de no
modificar las evidencias.
Programa de Apoyo al comercio minorista 2018
¿Qué hago si me atacan?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• Notificación:En el caso RGPD, se identifican dos procesos de
notificación:
• una a la autoridad de control (Agencia de Protección de
Datos)
• otra a las personas afectadas, aunque este último
proceso incluye exenciones en el caso de la existencia de
medidas que contrarresten la vulneración de los datos de
los afectados o la imposibilidad de que sean fácilmente
identificables
Programa de Apoyo al comercio minorista 2018
¿Qué hago si me atacan?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• Daños causados a terceros como consecuencia de la vulneración, robo o
deterioro de la información.
• Costes de la restauración de los sistemas del software dañado.
• Costes de la restauración, así como de la recuperación de los datos robados.
• Pérdidas económicas derivadas de la paralización de la actividad causada
por un ciberataque.
• Extorsión por parte de los delincuentes.
• Costes de actualización de los sistemas de seguridad, como antivirus,
firewalls, etc.
• Multas impuestas por parte de la Agencia Española de Protección de
Datos derivadas de la vulneración de datos de carácter personal.
• Gastos derivados de la obligación de notificación a terceros por violación de
su privacidad en base a lo establecido en el RGPD.
• Daños de imagen.
Programa de Apoyo al comercio minorista 2018
Costes del ataque
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
• El efecto de la HIPERCONECTIVIDAD
Programa de Apoyo al comercio minorista 2018
El riesgo de los proveedores
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Qué es la ciberseguridad y cuáles son los ciberriesgos
… no te engañes... NO ESTÁS AISLADO
• Concienciar a los usuarios
• Definir políticas de seguridad de la empresa y de uso
adecuado de los equipos informáticos
• Diseñar una solución de seguridad a medida
• Construir capacidades preventivas y mitigadoras frente a los
ciberriesgos
• Asegurar una línea base de seguridad que sea sencilla y
suficiente
Programa de Apoyo al comercio minorista 2018
Las medidas de protección frente a los ciberriesgos.
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Las medidas de protección frente a los ciberriesgos.
La seguridad debe ser aplicada desde un punto de vista estratégico
y técnico, que debe abordarse desde diferentes líneas de
acción conjuntas
• Disponer de un inventario de sistemas y aplicaciones
• Aplicar una plantilla de seguridad mínima sobre los equipos
y sistemas informáticos
• Disponer de software antivirus
• Actualización permanente
• Realizar copias de seguridad periódicamente
Programa de Apoyo al comercio minorista 2018
Línea base de seguridad.
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Las medidas de protección frente a los ciberriesgos.
No. Por ejemplo, durante el año 2016 se identificaron 127
millones diferentes de muestras de virus, lo que viene a ser un
virus nuevo cada 4 segundos. Los fabricantes de antivirus
actualizan como mucho entre dos y tres veces al día los ficheros
de detección de virus, por lo que, aunque se diera por hecho que
los antivirus detectaran todos los virus, siempre quedaría una
ventana por la que podrían entrar esos virus y los equipos se
encontrarían desprotegidos
Programa de Apoyo al comercio minorista 2018
¿Es suficiente medidas aisladas?.
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Las medidas de protección frente a los ciberriesgos.
¿Cuáles son sus amenazas? Medidas mitigadoras
Programa de Apoyo al comercio minorista 2018
¿Es seguro el correo electrónico?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
• Información en claro: Toda la información en el
cuerpo, asunto, destinatarios o adjuntos, es accesible
por cada uno de los puntos por los que ese correo
pasa a través de internet.
• Ausencia de mecanismos de control de alteración del
contenido: Un correo electrónico puede ser
manipulado sin conocimiento de ninguna de las
partes en cada uno de los puntos por los que pasa
durante su transmisión.
• Imposibilidad de legitimar la fuente: El campo del
emisor es un texto en claro que puede ser rellenado a
voluntad de la propia persona que envía el correo.
• Envío masivo de correo no deseado o malicioso:
propagación de publicidad no deseada, fraudes e
intentos de estafa, distribución de virus.
• Sistemas de filtrado de
correos
• Sistemas de cifrado de
información
• Sistemas de
comprobación de
identidad del emisor
Las medidas de protección frente a los ciberriesgos.
¿Cuáles son sus amenazas? Medidas mitigadoras
Programa de Apoyo al comercio minorista 2018
¿Protección ante la encriptación de archivos?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
• La mutación constante de los
virus y la dificultad de detección
hacen que el tratamiento de las
amenazas del ransomware sea
difícil en el ámbito empresarial
• Adicionalmente a las
medidas básicas de
seguridad que se han
comentado
anteriormente:
• Concienciación de los
usuarios
• Copias de seguridad
• Sistemas de detección
Las medidas de protección frente a los ciberriesgos.
Se puede reforzar su seguridad siguiendo las siguientes pautas
mínimas:
• Longitud mínima de 8 caracteres.
• Cambio periódico cada 3 meses.
• Bloqueo tras 3 intentos de uso.
• Combinación de uso de mayúsculas, minúsculas y números u
otros signos de puntuación.
Programa de Apoyo al comercio minorista 2018
¿Son necesarias las contraseñas?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Las medidas de protección frente a los ciberriesgos.
Programa de Apoyo al comercio minorista 2018
¿Las webs y conexiones a internet son seguras?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
• Todo sistema conectado a Internet
es susceptible de ser ciberatacado
por las innumerables amenazas
existentes
• Publicar sólo lo
estrictamente necesario
• Hacer pruebas sustantivas
de hacking
• Aplicar plantillas de
seguridad para la limitación
de capacidades o accesos a
un sistema
• Proteger las redes internas
• Disponer de medios de
detección
Las medidas de protección frente a los ciberriesgos.
¿Cuáles son sus amenazas? Medidas mitigadoras
Programa de Apoyo al comercio minorista 2018
y si me extorsionan ¿qué hago?
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
• La interposición de una denuncia
• Tener presente: El pago inmediato ante cualquier amenaza
no garantiza la erradicación de la extorsión
• Poner en marcha los protocolos de gestión de incidentes de
seguridad: Realizar un análisis de lo ocurrido lo antes
posible para intentar volver a la normalidad. Proceder a la
restauración de la información y de los sistemas,
garantizando la inexistencia de software no autorizado.
• Soporte de proveedores de seguridad especializados.
Las medidas de protección frente a los ciberriesgos.
1. Nunca uses la misma contraseña en múltiples sitios web o
servicios en línea.
2. Activa la “autenticación de dos factores”. Esto ayuda a evitar
que han robado tu contraseña accedan a tus dispositivos. Alguien
que haya robado tus passwords pero no tenga acceso a tu
dispositivo no podrá hackearte.
Programa de Apoyo al comercio minorista 2018
Decálogo para protegerse frente a los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
3. Si estas presente en Redes Sociales, además de cambiar tu
contraseña, usa la pantalla de configuración para revisar la lista
de aplicaciones y sitios web con los que compartes tus datos.
Elimina cualquier aplicación o sitio web que no reconozcas y en
el que no confíes.
4. No caigas en las estafas inteligentes de phishing que solicitan
el pago e indican que tienen una contraseña antigua que
reconozcas.
Programa de Apoyo al comercio minorista 2018
Decálogo para protegerse frente a los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
5. Cubre la cámara de tus dispositivos con cinta o usa una
cubierta siempre que no la estés usando. Evita miradas
indiscretas y no sólo por aspectos íntimos.
6. Compra dispositivos IoT sólo de fabricantes y proveedores
acreditados. Cambia la contraseña de administrador tan pronto
como puedas conectarlos. Verifique anualmente las
actualizaciones de seguridad que descargue.
7. Evita dispositivos IoT usados de segunda mano, como routers
o cámaras. Ya podrían tener malware instalado.
Programa de Apoyo al comercio minorista 2018
Decálogo para protegerse frente a los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
8. Verifica con tu proveedor de servicios de Internet la
antigüedad de tu router y solicita su actualización en caso de
tener más de dos años. Pueden estar obsoletos y no tener las
últimas actualizaciones de seguridad. Cambia la contraseña de
WiFi en tu router periódicamente.
9. Realiza copia de seguridad de tus datos: imágenes, contactos y
documentos. Si un equipo está comprometido, puede ser más
fácil simplemente reformatearlo que encontrar el malware.
Nunca perderás información que ha sido respaldada, pero no la
tengas en red.
Programa de Apoyo al comercio minorista 2018
Decálogo para protegerse frente a los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
10. Evalúa la salud de ciberseguridad de tu negocio. Si bien tu
eres relativamente seguro en temas de seguridad tecnológica,
asegúrate de que otros miembros de tu equipo, estén tomando
precauciones similares.
Programa de Apoyo al comercio minorista 2018
Decálogo para protegerse frente a los ciberriesgos
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Complementariamente, puede contratarse un seguro con
la cobertura que mejor se adapte a tus riesgos y
necesidades:
Cobertura de Responsabilidad Civil, por los daños y perjuicios causados
a terceros, e incluso a empleados propios de la empresa asegurada,
como consecuencia del daño, robo, pérdida o revelación de los datos de
carácter personal de dichos terceros, y, en ocasiones, de información de
carácter confidencial, causados por un ataque cibernético.
Programa de Apoyo al comercio minorista 2018
Otras medidas de protección externas
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Cobertura de Daños Propios:
• Daños a los sistemas informáticos del asegurado, que englobaría los
costes de restauración o recuperación de datos dañados o robados, los
costes de descontaminación y limpieza del virus malware y la
restauración de los sistemas de control de acceso al sistema informático
del asegurado, etc
• Pérdidas económicas del asegurado derivadas de la interrupción del
negocio provocada por un ciberincidente.
• Gastos de notificación a terceros por violación de la privacidad de los
mismos.
• Garantía de multas y sanciones impuestas por la autoridad competente
en materia de protección de datos derivado de un incumplimiento legal.
• Gastos derivados de restitución de la imagen por sanciones impuestas
por la agencia de protección de datos.
Programa de Apoyo al comercio minorista 2018
Otras medidas de protección externas
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa
Taller Online, ¿Qué necesita saber de
ciberseguridad el comercio
minorista?
¿Preguntas?
Programa de Apoyo al comercio minorista 2018
18 de octubre de 2018
Actuaciones Divulgativas sobre Jornadas demostrativas de experiencias
innovadoras
Fondo Europeo de Desarrollo Regional
Una manera de hacer Europa