Ciberseguridad
Introducción a la ciberseguridad
Objetivos
▪ Comprender los aspectos fundamentales▪ Entender el marco normativo▪ Analizar y gestionar los ciberriesgos
Documento público - 15/01/18 - 2
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Índice
▪ Introducción a la ciberseguridad▪ Marco normativo▪ Análisis de riesgos▪ Gestión de riesgos
Documento público - 15/01/18 - 3
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Kahoot
Documento público - 15/01/18 - 4
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Introducción a la ciberseguridad
Objetivos▪ Visión global▪ A quién afecta, cómo y por qué▪ Activos, vulnerabilidades y amenazas▪ Riesgos▪ Beneficios
Documento público - 15/01/18 - 6
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Escenario actual▪ Necesidad de las nuevas tecnologías▪ Democracia de las nuevas tecnologías▪ Nivel global e individual▪ Ciberseguridad como un reto▪ Necesidad de confianza▪ No existe el riesgo 0▪ Puede afectar a cualquiera▪ El usuario es el eslabón más importante de la cadena de la
seguridad
Documento público - 15/01/18 - 7
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Escenario actual▪ Deep Web, Darknethttps://www.youtube.com/watch?time_continue=3&v=crkPLzuysKE
Documento público - 15/01/18 - 8
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Escenario actual▪ ¿por qué las redes sociales, los servicios de correo electrónico u
otros servicios ofrecidos a través de Internet, son gratuitos?https://youtu.be/PAvbYdsiNl8
Documento público - 15/01/18 - 9
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Ciberespacio▪ Entorno complejo, resultante de la interacción de múltiples
elementos
Documento público - 15/01/18 - 10
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Ciberseguridad▪ En la información del ciberespacio, preservación de:
▪ Confidencialidad▪ Integridad▪ Disponibilidad
Documento público - 15/01/18 - 11
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Seguridad de la información
Protección infraestructuras críticas
Introducción a la ciberseguridad
Ciberseguridad
Documento público - 15/01/18 - 12
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Seguridad de las aplicaciones
Ciberseguridad
Seguridad de internet
Seguridad de las redes
Introducción a la ciberseguridad
Amenazas▪ Desastres naturales▪ De origen industrial▪ Ataques intencionados (ciberataques)▪ Errores y fallos no intencionados
Documento público - 15/01/18 - 13
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Ciberataques▪ Cryptolockerhttps://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html▪ Phishinghttps://www.incibe.es/protege-tu-empresa/avisos-seguridad/nuevo-phishing-agencia-tributaria-no-piques▪ Avisos del Incibehttps://www.incibe.es/protege-tu-empresa/avisos-seguridad
Documento público - 15/01/18 - 14
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Valor de los sistemas de la información▪ Activos▪ Hay que protegerlos
Documento público - 15/01/18 - 15
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Valor de los sistemas de la información
Documento público - 15/01/18 - 16
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
ClienteCliente
PROCESOS ESTRATÉGICOS
PROCESOS DE APOYO
PROCESOS OPERATIVOS
Instalaciones
Proveedores
Personas
Tecnología
Información
Servicio
PROCESO
ACTIVOS
Introducción a la ciberseguridad
Vulnerabilidades▪ Debilidad de un activo o medida de seguridad▪ Permiten que las amenazas se materialicen
Documento público - 15/01/18 - 17
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Vulnerabilidades
Documento público - 15/01/18 - 18
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Amenazas▪ Elemento que aprovecha una vulnerabilidad para atentar contra la
seguridad de un activo de información▪ Ocasionan incidentes de seguridad
Documento público - 15/01/18 - 19
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Amenazas
Documento público - 15/01/18 - 20
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Riesgos▪ Gravedad e impacto
Documento público - 15/01/18 - 21
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Medidas de seguridad▪ Medios para la gestión de riesgos▪ Políticas, procedimientos, directrices, prácticas o estructuras
organizativas, que pueden ser administrativas, técnicas, gestión o de naturaleza legal
Documento público - 15/01/18 - 22
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Introducción a la ciberseguridad
Relación entre todos los elementos
Documento público - 15/01/18 - 23
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Amenazas Vulnerabilidades
Controles
Requisitos de
seguridad
Activos
Valor de los activos
Riesgos
Imponen
Protegen de
Disminuyen
Aumentan
Aprovechan
Aumentan Exponen
TienenAumentaMarcan Impactansi se
materializan
Introducción a la ciberseguridad
Conclusiones▪ Dependencia de las TIC▪ Identificación de activos, amenazas y vulnerabilidades▪ Impacto▪ Mitigación
Documento público - 15/01/18 - 24
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
Marco normativo
Objetivos▪ Conocer la legislación y normativa▪ Cumplir como vía para lograr confianza y mejorar el nivel de
ciberseguridad
Documento público - 15/01/18 - 26
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
Documento público - 15/01/18 - 27
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Obligatorio▪ Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal (LOPD) y su Reglamento de desarrollo ▪ Ley 34/2002 de servicios de la sociedad de la información y de
comercio electrónico (LSSI)▪ Ley General 9/2014, de 9 mayo, de telecomunicaciones (LGT)▪ Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto
3/2010, de 8 de enero (modificado por el Real Decreto 951/2015, de 23 de octubre)
▪ Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (PIC)
Marco normativoLOPD▪ Datos de carácter personal (personas identificadas o identificables)▪ Ficheros▪ Medidas de seguridad (básico, medio, alto)▪ Documento de seguridad▪ Propietario de los datos▪ Responsable del fichero▪ Encargado de tratamiento▪ Agencia Española de Protección de Datoshttps://www.agpd.es/
Documento público - 15/01/18 - 28
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
LOPD
Documento público - 15/01/18 - 29
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
• Una ley así lo dispone.• Cuando el tratamiento responde a la libre y legítimaaceptación de una rel. jurídica, …• Destinatarios: Defensor del Pueblo, Jueces,Tribunales, …• Datos relativos a la salud (urgencia, estudiosepidemiológicos, …)• Entre AA.PP. mismas competencias, fines históricos,científicos y estadísticos, …
RECOGIDA TRATAMIENTO COMUNICACIÓN/ACCESO A DATOS
Recogida de datospersonales
susceptibles de tratamiento
Calidad de losdatos
Información expresa, precisa e inequívoca
Seguridadde los datos
Deber desecreto
• Consentimiento del interesado• Funciones legítimas del cedente y cesionario• Disociación
Contrato
ENCARGADOTRATAMIENTO
Acceso a losdatos porterceros
CANCELACIÓN
Bloqueo
Tratamiento de los datos
Cancelación
Medidas técnicas y organizativas
Derecho de in-formación
Consentimiento
Consentimientodel afectado
Ejercicio de losDerechos ARCO
Interesado
Respuesta al ejercicio de losderechos ARCO
Cuando una ley así lo dispone.Cuando los datos son recogidos parael ejercicio de las funciones propiasde las Administraciones públicas en elámbito de sus competencias.
Interesado
Marco normativo
LOPD
Documento público - 15/01/18 - 30
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Ficheros automatizadosMedidas de seguridad RDLOPD
Ficheros no automatizados
Básico Medio Alto Básico Medio Alto
Documento de seguridad
Funciones y obligaciones del personal
Registro de incidencias
Control de acceso
Gestión de soportes
Copias de seguridad y restauración
Identificación y autenticación
Responsable de seguridad
Control de acceso físico
Auditoría
Registro de acceso
Telecomunicaciones
Criterios de archivo
Dispositivos de almacenamiento
Custodia de soportes
Almacenamiento de la información
Control de copias de documentación
Acceso a la documentación
Traslado de documentación
Marco normativo
LSSI▪ Servicios de la sociedad de la información y comercio electrónico▪ Actividades económicas por internet u otros medios telemáticos▪ Página Web: información y cookies▪ Correo electrónico: consentimiento, “Publicidad”, baja gratuita y
sencilla▪ Comercio electrónico: protección del consumidor▪ Agencia Española de Protección de Datoshttp://www.lssi.gob.es/
Documento público - 15/01/18 - 31
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
LGT▪ Explotación de las redes y la prestación de los servicios de
comunicaciones electrónicas y los recursos asociados▪ Garantizar un adecuado nivel de seguridad (disponibilidad,
integridad y confidencialidad)▪ Reducir el impacto de los incidentes de seguridad▪ Garantizar la protección de los datos personales▪ Ministro de Industria, Energía y Turismo
Documento público - 15/01/18 - 32
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
ENS▪ Sistemas de información para derechos y deberes públicos▪ Administraciones Públicas y proveedores con impacto▪ Medidas de seguridad▪ Niveles▪ Autodeclaración o certificación▪ Centro Criptológico Nacionalhttps://www.ccn-cert.cni.es/ens.html
Documento público - 15/01/18 - 33
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
PIC▪ Electricidad, gas, petróleo, nuclear, financiero, agua, transporte
marítimo, transporte aéreo, transporte ferroviario, transporte por carretera, industria química e industria del espacio
▪ Planes: estratégico sectorial, de seguridad del operador y de protección específicos
▪ Centro Nacional para la Protección de las Infraestructuras Críticashttp://www.cnpic.es/
Documento público - 15/01/18 - 34
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
Documento público - 15/01/18 - 35
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Voluntario▪ ISO/IEC 27001:2013. Sistemas de Gestión de la Seguridad de la
Información. Requisitos▪ ISO/IEC 27032:2012. Guidelines for cybersecurity▪ ISO/IEC 27035:2016. Information security incident management▪ ISO 22301:2012. Sistema de gestión de la continuidad del negocio.
Especificaciones▪ Payment Card Industry Data Security Standard (PCI DSS)
Marco normativo
Documento público - 15/01/18 - 36
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Voluntario
Marco normativo
Documento público - 15/01/18 - 37
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
ISO/IEC 27001▪ Requisitos ("debe") para establecer, implementar, documentar,
operar, monitorizar, revisar, mantener y mejorar▪ Certificable▪ Independiente del tipo, tamaño o actividad▪ Enfoque por procesos y mejora continua▪ Controles de seguridad (Anexo A)▪ No se pueden excluir requisitos en los capítulos 4 al 10http://www.iso27000.es/
Marco normativo
Documento público - 15/01/18 - 38
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
ISO/IEC 27032▪ Ciberespacio▪ Ciberseguridad▪ Partes interesadas▪ Activos, amenazas, vulnerabilidades y controles
Marco normativo
Documento público - 15/01/18 - 39
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
ISO/IEC 27035▪ Detectar, informar y evaluar los incidentes▪ Responder y gestionar los incidentes▪ Detectar, evaluar y gestionar las vulnerabilidades▪ Mejorar continuamente la seguridad de la información
Marco normativo
Documento público - 15/01/18 - 40
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
ISO 22301▪ Mejorar la continuidad de negocio▪ Gestión de la crisis y de la recuperación▪ Análisis de impacto de negocio▪ Planes de contingencia▪ Pruebas▪ Revisión y mejorahttps://www.youtube.com/watch?v=h7DdkUuqvY8
Marco normativo
Documento público - 15/01/18 - 41
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Número de organizaciones certificadas (2016)▪ ISO 9001 = 1.105.937▪ ISO 14001 = 346.147▪ ISO 27001 = 33.290▪ ISO 20000-1: 4.537▪ ISO 22301: 3.853
Marco normativo
PCI DSS▪ Procesan, almacenan y/o transmiten datos de titulares de tarjeta▪ Asegurar dichos datos, con el fin de evitar fraudes▪ Medidas de seguridadhttps://www.pcisecuritystandards.org/
Documento público - 15/01/18 - 42
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
Europa▪ Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6
de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (NIS)
▪ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
Documento público - 15/01/18 - 43
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
NIS▪ Homogenización▪ Estrategia nacional en la materia▪ Red de Equipos de Respuesta a Incidentes de Seguridad Informática
(CSIRT)▪ Requisitos de seguridad para operadores de servicios esenciales y
proveedores de servicios digitales▪ Obligaciones para las autoridades nacionales competentes de cada
Estado miembro, de los puntos de contacto únicos y los CSIRT
Documento público - 15/01/18 - 44
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
RGPD▪ Registro de actividades de tratamiento▪ Información clara y sencilla▪ Consentimiento expreso▪ Derechos (olvido, portabilidad)▪ Encargados de tratamiento▪ Análisis de riesgos▪ Evaluación de impacto▪ Violaciones de seguridad▪ Delegado de protección de datoshttps://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
Documento público - 15/01/18 - 45
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Marco normativo
Conclusiones▪ Mucha normativa▪ Obligatoria y voluntaria▪ Beneficios▪ Entidades de control
Documento público - 15/01/18 - 46
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
Análisis de riesgos
Objetivos▪ Inventario y valoración de activos▪ Impacto de las amenazas▪ Identificación de las vulnerabilidades▪ Identificación de las medidas de seguridad▪ Procedimiento del análisis de riesgos
Documento público - 15/01/18 - 48
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
Proceso1. Definir el alcance2. Identificar los activos3. Identificar las amenazas4.Identificar las vulnerabilidades5.Identificar las medidas de seguridad6.Evaluación del riesgo
Documento público - 15/01/18 - 49
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
1. Definir el alcance▪ ¿Qué vamos a proteger?
Documento público - 15/01/18 - 50
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
2. Identificar los activos▪ Información y todo lo que la maneja o contiene (hardware, software,
comunicaciones, personas, proveedores, personas y medios auxiliares)
▪ Valoración (impacto directo e indirecto)▪ Inventario
Documento público - 15/01/18 - 51
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
3. Identificar las amenazas▪ Magerit:
▪ Desastres naturales▪ De origen industrial▪ Errores y fallos no intencionados▪ Ataques intencionados
Ver “Amenazas-tipo de activo v.1.xls”. Magerit v.3
Documento público - 15/01/18 - 52
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos3. Identificar las amenazas. En el ciberespacio▪ Malware o código malicioso (virus, gusanos, troyanos, spyware, scareware,
ransomware)▪ Botnets▪ Exploit (0 day)▪ Ataques DDoS▪ Phishing, spear phising▪ Spam▪ Ingeniería social▪ Sexting, grooming, cyberbullying▪ APT▪ RogeAP
Documento público - 15/01/18 - 53
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
3. Identificar las amenazas. Vectores de ataque▪ e-mail▪ Webs▪ Dispositivos infectados▪ Enlaces comprometidos▪ Redes sociales▪ P2P▪ Software▪ Conectividad
Documento público - 15/01/18 - 54
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
3. Identificar las amenazas. Actores▪ Amistosos:
▪ Agentes del orden▪ Hackers éticos▪ Investigadores
▪ Malintencionados:▪ Ciber vándalos (script kiddies), activistas, terroristas, criminales▪ Ciberactivistas▪ Empleados y ex▪ Estados▪ Empresas
Documento público - 15/01/18 - 55
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
3. Identificar las amenazas. Motivaciones▪ Beneficio económico▪ Venganza▪ Reconocimiento
Documento público - 15/01/18 - 56
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
4. Identificar las vulnerabilidades▪ Software no actualizado▪ Falta de concienciación▪ Desorganización▪ Carencia de procedimientos de control de acceso▪ Programación no segura▪ OWASP Top 10https://www.youtube.com/watch?v=6I0bcclJ8-A▪ No configuración adecuada, …
Documento público - 15/01/18 - 57
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
5. Identificar las medidas de seguridad
Documento público - 15/01/18 - 58
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Políticas
Organización
Recursos humanos
Activos
Acceso
Criptografía
Física y del entorno
Operaciones
Comunicaciones
Adquisición, desarrollo y mantenimiento
Proveedores
Incidentes
Continuidad del negocio
Cumplimiento
Análisis de riesgos
5. Identificar las medidas de seguridad. En el ciberespacio▪ Concienciación▪ Organización▪ Políticas, normativas y procedimientos▪ Cláusulas de confidencialidad▪ Antimalware y antifraude▪ Software actualizado y de confianza▪ Control de acceso lógico▪ Copias de seguridad▪ Conectividad de confianza y solo en caso de necesidad▪ Protección de la información▪ Uso diligente de dispositivos portátiles
Documento público - 15/01/18 - 59
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
6. Evaluación de riesgos▪ Riesgo = probabilidad x impacto▪ Riesgo tolerables y no tolerables
Documento público - 15/01/18 - 60
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
6. Evaluación de riesgos
Documento público - 15/01/18 - 61
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
6. Evaluación de riesgos
Documento público - 15/01/18 - 62
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Análisis de riesgos
Conclusiones▪ https://www.youtube.com/watch?v=knxhzpNFWGI▪ Activos de información▪ Amenazas, vulnerabilidades y medidas de seguridad▪ Cadena tan fuerte como el eslabón más débil
Documento público - 15/01/18 - 63
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Gestión de riesgos
Gestión de riesgos
Objetivos▪ Estrategias▪ Medidas de seguridad
Documento público - 15/01/18 - 65
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Gestión de riesgos
Estrategias▪ Asunción▪ Eliminación▪ Mitigación▪ Transferencia
Documento público - 15/01/18 - 66
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Gestión de riesgos
Mitigación. Medidas de seguridad▪ Selección▪ Diseño▪ Planificación▪ Implantación▪ Medición y mejora
Documento público - 15/01/18 - 67
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Gestión de riesgos
Mitigación. Medidas de seguridad
Documento público - 15/01/18 - 68
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Gestión de riesgos
Documento público - 15/01/18 - 69
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad▪ 14 dominios, 35 objetivos de control y 114 controles
Políticas
Organización
Recursos humanos
Activos
Acceso
Criptografía
Física y del entorno
Operaciones
Comunicaciones
Adquisición, desarrollo y mantenimiento
Proveedores
Incidentes
Continuidad del negocio
Cumplimiento
Gestión de riesgos
Documento público - 15/01/18 - 70
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad
5 Políticas de seguridad de la información5.1 Dirección de la gestión de la seguridad de la información5.1.1 Políticas de seguridad de la información5.1.2 Revisión de las políticas de seguridad de la información
Gestión de riesgos
Documento público - 15/01/18 - 71
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad6 Organización de la seguridad de la información6.1 Organización interna6.1.1 Roles y responsabilidades relativas a la seguridad de la información6.1.2 Separación de tareas6.1.3 Contacto con las autoridades6.1.4 Contacto con grupos de especial interés6.1.5 Seguridad de la información en la gestión de proyectos6.2 Dispositivos móviles y teletrabajo6.2.1 Política de dispositivos móviles6.2.2 Teletrabajo
Gestión de riesgos
Documento público - 15/01/18 - 72
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad7 Seguridad ligada a los recursos humanos7.1 Antes del empleo7.1.1 Investigación de antecedentes7.1.2 Términos y condiciones de contratación7.2 Durante el empleo7.2.1 Responsabilidades de la Dirección7.2.2 Concienciación, formación y capacitación en seguridad de la información7.2.3 Proceso disciplinario7.3 Cese del empleo y cambio de puesto de trabajo7.3.1 Terminación o cambio de responsabilidades laborales
Gestión de riesgos
Documento público - 15/01/18 - 73
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad8 Gestión de activos8.1 Responsabilidad sobre los activos8.1.1 Inventario de activos8.1.2 Propiedad de los activos8.1.3 Uso aceptable de los activos8.1.4 Devolución de activos8.2 Clasificación de la información8.2.1 Clasificación de la información8.2.2 Etiquetado de la información8.2.3 Manejo de activos8.3 Manipulación de los soportes8.3.1 Gestión de soportes extraíbles8.3.2 Retirada de soportes8.3.3 Transferencia de soportes físicos
Gestión de riesgos
Documento público - 15/01/18 - 74
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad9 Control de acceso9.1 Requisitos de negocio para el control de acceso9.1.1 Política de control de acceso9.1.2 Acceso a redes y servicios en red9.2 Gestión del acceso de usuario9.2.1 Altas y bajas de usuarios9.2.2 Gestión de derechos de acceso de los usuarios9.2.3 Gestión de derechos de acceso especiales9.2.4 Gestión de la información secreta de autenticación de usuarios9.2.5 Revisión de derechos de acceso de usuario9.2.6 Terminación o revisión de los privilegios de acceso9.3 Responsabilidades de usuario9.3.1 Uso de la información secreta de autenticación9.4 Control de acceso al sistema y a las aplicaciones9.4.1 Restricción del acceso a la información9.4.2 Procedimientos seguros de inicio de sesión9.4.3 Gestión de las contraseñas de usuario9.4.4 Uso de los recursos del sistema con privilegios especiales9.4.5 Control de acceso al código fuente de los programas
Gestión de riesgos
Documento público - 15/01/18 - 75
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad
10 Criptografía10.1 Controles criptográficos10.1.1 Política de uso de los controles criptográficos10.1.2 Gestión de claves
Gestión de riesgos
Documento público - 15/01/18 - 76
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad11 Seguridad física y del entorno11.1 Áreas seguras11.1.1 Perímetro de seguridad física11.1.2 Controles físicos de entrada11.1.3 Seguridad de oficinas, despachos e instalaciones11.1.4 Protección contra las amenazas externas y de origen ambiental11.1.5 Trabajo en áreas seguras11.1.6 Áreas de carga y descarga11.2 Equipos11.2.1 Emplazamiento y protección de equipos11.2.2 Instalaciones de suministro11.2.3 Seguridad del cableado11.2.4 Mantenimiento de los equipos11.2.5 Retirada de materiales propiedad de la empresa11.2.6 Seguridad de los equipos fuera de las instalaciones11.2.7 Reutilización o retirada segura de equipos11.2.8 Equipo de usuario desatendido11.2.9 Política de puesto de trabajo despejado y pantalla limpia
Gestión de riesgos
Documento público - 15/01/18 - 77
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad12 Gestión de operaciones12.1 Responsabilidades y procedimientos de operación12.1.1 Documentación de los procedimientos de operación12.1.2 Gestión de cambios12.1.3 Gestión de capacidades12.1.4 Separación de los entornos de desarrollo, prueba y operación12.2 Protección contra el código malicioso12.2.1 Controles contra el código malicioso12.3 Copias de seguridad12.3.1 Copias de seguridad de la información12.4 Registro y monitorización12.4.1 Registro de eventos12.4.2 Protección de la información de los registros12.4.3 Registros de administración y operación12.4.4 Sincronización del reloj12.5 Control del software en explotación12.5.1 Instalación de software en sistemas operacionales12.6 Gestión de las vulnerabilidades técnicas12.6.1 Gestión de las vulnerabilidades técnicas12.6.2 Restricciones a la instalación de software12.7 Consideraciones sobre la auditoría de los sistemas de información12.7.1 Controles de auditoría de los sistemas de información
Gestión de riesgos
Documento público - 15/01/18 - 78
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad13 Seguridad de las comunicaciones13.1 Gestión de la seguridad de las redes13.1.1 Controles de red13.1.2 Seguridad de los servicios de red13.1.3 Segregación de redes13.2 Transferencia de información13.2.1 Políticas y procedimientos de transferencia de información13.2.2 Acuerdos de transferencia de información13.2.3 Mensajería electrónica13.2.4 Acuerdos de confidencialidad o no divulgación
Gestión de riesgos
Documento público - 15/01/18 - 79
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad14 Adquisición, desarrollo y mantenimiento de los sistemas14.1 Requisitos de seguridad de los sistemas de información14.1.1 Análisis y especificación de los requisitos de seguridad de la información14.1.2 Aseguramiento de los servicios de aplicaciones en las redes públicas14.1.3 Protección de las transacciones de servicios de aplicación14.2 Seguridad en los procesos de desarrollo y soporte14.2.1 Política de desarrollo seguro14.2.2 Procedimientos de control de cambios en el sistema14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en la plataforma14.2.4 Restricciones a los cambios en los paquetes de software14.2.5 Principios para la ingeniería de sistemas seguros14.2.6 Entorno de desarrollo seguro14.2.7 Externalización del desarrollo de software14.2.8 Pruebas de seguridad del sistema14.2.9 Pruebas de aceptación del sistema14.3 Datos de prueba14.3.1 Protección de los datos de prueba
Gestión de riesgos
Documento público - 15/01/18 - 80
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad
https://www.youtube.com/watch?v=d44q98TkYnQ
15 Relaciones con proveedores15.1 Seguridad de la información en las relaciones con proveedores15.1.1 Política de seguridad de la información en las relaciones con proveedores15.1.2 Tratamiento de la seguridad en contratos con proveedores15.1.3 Cadena de suministro de tecnologías de la información y comunicaciones15.2 Gestión de los servicios prestados por terceros15.2.1 Supervisión y revisión de los servicios prestados por terceros15.2.2 Gestión del cambio en los servicios prestados por terceros
Gestión de riesgos
Documento público - 15/01/18 - 81
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad
https://www.youtube.com/watch?v=-TtVDO0qc9M
16 Gestión de incidentes de seguridad de la información16.1 Gestión de incidentes de seguridad de la información y mejoras16.1.1 Responsabilidades y procedimientos16.1.2 Notificación de eventos de seguridad de la información16.1.3 Notificación de puntos débiles de seguridad16.1.4 Evaluación y decisión respecto de los eventos de seguridad de la información16.1.5 Respuesta a incidentes de seguridad de la información16.1.6 Aprendizaje de los incidentes de seguridad de la información16.1.7 Recopilación de evidencias
Gestión de riesgos
Documento público - 15/01/18 - 82
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad
https://www.youtube.com/watch?v=Mrw8lGd-1hY
17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio17.1 Continuidad de la seguridad de la información17.1.1 Planificación de la continuidad de la seguridad de la información17.1.2 Implementación de la continuidad de la seguridad de la información17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información17.2 Redundancia17.2.1 Disponibilidad de los medios de procesamiento de información
Gestión de riesgos
Documento público - 15/01/18 - 83
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Mitigación. Medidas de seguridad
18 Cumplimiento18.1 Cumplimiento de los requisitos legales y contractuales18.1.1 Identificación de la legislación aplicable y requisitos contractuales18.1.2 Derechos de propiedad intelectual (DPI)18.1.3 Protección de los documentos de la organización18.1.4 Protección de datos y privacidad de la información de carácter personal18.1.5 Regulación de los controles criptográficos18.2 Revisiones de seguridad de la información18.2.1 Revisión independiente de la seguridad de la información18.2.2 Cumplimiento de las políticas y normas de seguridad18.2.3 Comprobación del cumplimiento técnico
Gestión de riesgos
Documento público - 15/01/18 - 84
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
End point security▪ Antimalware▪ Cifrado▪ Backup▪ Identificación y autenticación (multifactor)▪ Bloqueo de dispositivos▪ Borrado remoto▪ Software autorizado y actualizado▪ Protección de conectividad inalámbrica▪ Políticas y normativas▪ Concienciación y formación
https://www.youtube.com/watch?v=HuwOrqqXz6U
Gestión de riesgos
Documento público - 15/01/18 - 85
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Comunicaciones▪ Internet▪ VPN▪ Firewall▪ e-mail. https://www.youtube.com/watch?v=7HjDyI4SCvA▪ Voz IP▪ IDS/IPS▪ Anti DDoS
Gestión de riesgos
Documento público - 15/01/18 - 86
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Seguridad en la nube▪ https://www.youtube.com/watch?v=froNtPljZpk
Gestión de riesgos
Documento público - 15/01/18 - 87
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Incidentes▪ Evento que afecta a la seguridad▪ Cómo actuar:
▪ Preparación▪ Detección y análisis▪ Contención, resolución y recuperación▪ Acciones posteriores al cierre
▪ CERT/CSIRT
Gestión de riesgos
Documento público - 15/01/18 - 88
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Auditorías▪ Internas▪ Hacking ético▪ Análisis forense
Gestión de riesgos
Conclusiones▪ Estrategias▪ Medidas de seguridad
Documento público - 15/01/18 - 89
(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Ciberseguridad, continuidad de negocio y calidad