Jornada Ciberatacs

Planificant el caos

Evitar l'inevitable i saber com sobreviure

Jordi Iparraguirre

CanalSegur.com

COEIC – 2 juny 2016

CanalSegur.com

Mai no passa res ....

... fins que passa

CanalSegur.com

Això no va per mi, oi?

● La meva empresa no és un objectiu● No tinc res a amagar● Jo controlo● Tinc un antivirus● El meu password és «S0cLl3st!»● La prevenció és molt cara

CanalSegur.com

El cibercrim pesca amb canya ...

CanalSegur.com

... i amb xarxa

CanalSegur.com

No importa si som o no un objectiu

● Som la porta d'entrada a una altra víctima● Caiem en la xarxa d'un phishing indiscriminat● Factor humà● Mala praxis● Accident● ...● Murphy rules!

Foto: Mr Robot

CanalSegur.com

No importa si som o no un objectiu

Cal educar i prevenir

CanalSegur.com

... perquè estem preparats, oi?

● Sí, tots en podem ser víctimes, però ...

● Preparem-nos per reduir-ne les probabilitats ...

– Pla d'anàlisi de riscos

● ... i poder respondre ràpidament si mai passa

– Pla de contingència o continuïtat

Igual que en altres entorns (cotxe, manipulació aliments, altres riscos o seguretat i higiene laboral: Cal prevenció i formació prèvia: Higiene digital.

CanalSegur.com

La seguretat informàtica no és

un tema «dels informàtics».

És una tema de direcció.

CanalSegur.com

Com ens preparem?

Quina és la diferència entre amenaça, vulnerabilitat i risc?

«Tanca la porta oberta (vulnerabilitat) per parar l'ós (amenaça). Si entra, se'ns cruspeix (risc)»

Text i fotos: web de @JGamblin , Maig 2016

CanalSegur.com

Tipus d'amenaça

Qui o què ens pot «fer mal» --> i.e. on són els óssos

● Entendre per on poden venir els problemes i preparar-nos

● Què és probable, què és possible. Anàlisi de riscos.

CanalSegur.com

Tipus d'amenaça

Què volem protegir ● Mapa dels actius digitals

● Processos, persones, polítiques d'accés

● Hardware i software

● Dades, documents, etc

● Rols i responsabilitats

CanalSegur.com

Tipus d'amenaça

Cau un meteorit, s'inunda l'oficina, tall electricitat, terratrèmol, ...

Pèrdua/robatori d'un telèfon, tauleta o ordinador (BYOD!)

Intercepció de comunicacions (mòbil, xat, correu, ...)

Robatori de passwords, suplantació digital

Accés indegut (accidental o deliberat?) a informació/documents

Filtració d'informació reservada

Destrucció o pèrdua (accidental o deliberada?) d'informació

Còpies de seguretat mal fetes o no funcionals

Etc ...

CanalSegur.com

Tipus d'amenaça

● Què volem protegir?

● De què o qui ho volem protegir?

● Quin impacte té si passa?

● Com es pot produir l'amenaça?

● Com podem reduir el risc?

● Amb quina probabilitat pot passar?

CanalSegur.com

Tipus d'amenaça

● Què volem protegir?

● De què o qui ho volem protegir?

● Quin impacte té si passa?

Ens volem protegir del'ós per a que no entria casa

● Com es pot produir l'amenaça?

● Com podem reduir el risc?

● Amb quina probabilitat pot passar?

Caldrà tancar sempre la porta o posar una molla doble que la tanqui automàticament (i un sensor de moviment!)

CanalSegur.com

Prioritzem amenaces (óssos)Impacte

Alt Mitjà Baix Alta Mitja Baixa Prioritat

Amenaça 1 X X X

Amenaça 2 X X X

Amenaça 3 X X X

Amenaça 4 X X X

Amenaça 5 X X X

... etc ...

Probabilitat

CanalSegur.com

Pla de prevenció de riscos

● Impacte (€, temps, reputació, ...)● Probabilitat● Prioritat● Solucions● Cost d'implementació

CanalSegur.com

Protecció

● Implementar solucions del Pla de Riscos● Formació i comunicació● Assignar responsabilitats clares● Canvis de rols, permisos, accessos, ...● Provar i refinar els nous processos

CanalSegur.com

Resposta

Pla de continuïtat de negoci ● Amb el Pla de prevenció de Riscos hem:

– Reduït vulnerabilitats (tancat portes)

– Entès les amenaces més probables (identificat els ossos)

– Reduït alguns riscos

● Tot i això, no tot es pot evitar al 100% i haurem identificat possibles riscos «inevitables»

● Com reaccionem si mai passen?

CanalSegur.com

CanalSegur.com

Siniestro total

Ante todo mucha calma

CanalSegur.com

Resposta

Com reaccionem davant una crisi?

● Cal tenir un pla de resposta i continuïtat de negoci :

– Què fer i què no

– Qui fa què i qui és el responsable de cada punt

– Documentar processos a seguir, RACI

– Disponibilitat, còpies i responsables de l'execució del pla

● Simulacre de catàstrofe i millorar els processos

CanalSegur.com

Cas d'exemple

Amenaça: ens quedem sense internet a l'oficina

● Vulnerabilitat: només tenim un proveïdor d'Internet (ISP)

● Risc: no poder treballar fins que torni la connectivitat

● Probabilitat: Baixa

● Impacte: Alt

● Solucions:

– Contractar una 2a línia independent

– Alternativa 3G

– Anar a un Starbucks

– Altres ...

CanalSegur.com

Cas d'exemple

Amenaça: ens quedem sense internet a l'oficina

● Documentarem les solucions escollides

● Definirem el procediment a seguir per a cadascuna

● QUI fa QUÈ, QUAN i COM --> model RACI

Responsable Aprovador Consultats Informats

Comprovar router

Anna Maria Pau, Pere Berenguera

Trucar suport

Pau Maria Ningú Tothom

Repartir 3G Maria, Pau Marta Ningú Tothom

Etc...

CanalSegur.com

Resposta

● Un cop definit el Pla de continuïtat de negoci, cal:

● Fer un simulacre de «catàstrofe»

● i millorar els processos, el pla de continuïtat i el de riscos

● Revisar plans i fer simulacres regularment

CanalSegur.com

Resumint

● Formació per a la prevenció: Higiene digital● Identificar amenaces més importants● Definir el pla de prevenció de riscos digitals● Implementar canvis i millores● Definir pla de continuïtat de negoci● Fer simulacres● PDCA --> Plan, Do, Check, Act/Adjust

CanalSegur.com

Gràcies!

Jordi Iparraguirre

+34. 656.89.21.44

info@CanalSegur.com

Serveis de protecció de la informació empresarial