gobierno corporativo ante ciberriesgos³n-del-ci... · •identificación de las actividades en...
TRANSCRIPT
1
Francisco Valencia
CEO
Secure&IT
911 196 995
Jornada de ciberseguridad 2019
Gobierno corporativo ante ciberriesgos
2
3
¿Falsa sensación de seguridad?
4
¿Cuál es la amenaza real?
Movimientos sociales e inestabilidad política dan como resultado
organizaciones de hacktivismo, ciberdelincuencia, ciberterrorismo,
ciberespionaje y ciberguerra.
Objetivos:
& Infraestructuras Críticas (Energía, Alimentación, Transportes)
& Administraciones públicas
& Empresas (industria, distribución, banca, seguros, sanidad y servicios).
Se detectan 14.000 nuevas formas de ataque al año, que han producido
160.000 impactos en empresas españolas, en 2018 con consecuencias
graves (sin contar las no denunciadas por miedo al desprestigio)
Existen intereses en desestabilizar Europa y especialmente España
No nos creemos la amenaza
España es el tercer país más ciberatacado del mundo
5
¿Cuál es la amenaza real?
Técnicas de hacking cada vez más efectivas y rentables.
Cada año se duplican los ataques y su gravedad.
Destacan las botnets, ataques DDoS y ransomware
Incremento exponencial de amenazas en entornos industriales
El código dañino (Malware) alcanza los 1.000 millones de muestras.
Fundamentalmente los malware más extendidos en la actualidad son
Troyanos y Spyware. El malware en smartphones y tablets aumenta
exponencialmente.
Estas herramientas son producidas y vendidas en Internet, creando el
denominado “Crime-as-a-service”, donde cualquiera puede ocasionar
graves pérdidas mediante el uso de armas tecnológicas.
El Correo electrónico y navegación WEB siguen siendo los principales
caminos para la difusión de malware.
Destaca el acceso a las empresas a través de BYOD y redes sociales, y el
uso de Ingeniería social.
Un ataque dirigido precisa entre 6 meses y 2 años de preparación.
6
Y la amenaza no son sólo los hackers…
MÁS AMENAZAS…
Errores humanos
Empleados descontentos
Competencia desleal
No cumplimiento
legal o contractual
Falta de Plan de
Continuidad
Formación insuficiente
Falta de medidas técnicas
Proveedores
La falta de valoración de activos y definición
de procesos críticos de negocio dificulta la
implantación de medidas técnicas y
organizativas con éxito. Provoca
inversiones vagamente justificadas y poco
efectivas.
Los departamentos de Asesoría Jurídica de
las empresas son expertos en normativa
laboral, mercantil, fiscal, etc, pero rara vez
son expertos en Derecho Tecnológico. Los
Departamentos de TI tampoco manejan
esta materia. Los incumplimientos y
sanciones en protección de datos y otras
normativas son habituales
La escasa formación y concienciación de
los recursos humanos favorece la ingeniería
social, deslealtad de empleados, robo de
información para entregarlos a la
competencia, etc.
7
Impactos de un ciberataqueECONÓMICO
• Pérdidas económicas inmediatas o indirectas. De difícil cuantificación
REPUTACIONAL
• Prestigio y Confianza del entorno se ven gravemente afectados
OPERATIVO
• Producción, logística, y otros procesos pueden verse afectados
SOBRE LAS PERSONAS
• Incluso muerte
SOBRE EL CUMPLIMIENTO
• Responsabilidad civil o penal por incumplimiento del deber de aplicar medidas preventivas – Código de Derecho de la Ciberseguridad
SOBRE LA ESTRATEGIA
• Imposibilidad de cumplir objetivos estratégicos. Incluso riesgo de continuidad de negocio.
8
La Administración se está preparando…
9
… el legislador también (y nos lo pone fácil)AGRUPADO EN BLOQUES
& Constitución Española
& Normativa de Seguridad Nacional
& Infraestructuras Críticas
& Normativa de Seguridad
& Equipo de Respuesta a Incidentes de Seguridad
& Telecomunicaciones y usuarios
& Ciberdelincuencia
& Protección de Datos
& Relaciones con la Administración
FORMADO POR
& 1 Constitución Española (parcial)
& 1 Reglamento Europeo
& 6 Ley Orgánica
& 14 Ley
& 1 Real Decreto-Ley
& 15 Real Decreto
& 1 Decreto
& 10 Orden Ministerial
& 1 Resolución
DESTACAN:
& Protección de Datos
& Prevención del Delito
& Propiedad Intelectual e Industrial
& Secretos empresariales (Febrero 2019)
& Esquema Nacional de Seguridad
& Protección de Infraestructuras Críticas
10
… Y el mercado también& INDUSTRIA
& ISA99
& IEC62443
& LPIC
& ENTIDADES FINANCIERAS
& MEDIDAS BANCOS CENTRALES
& PSD2
& ADMINISTRACIÓN PÚBLICA
& ESQUEMA NACIONAL DE SEGURIDAD
& DIRECTIVA NIS
& COTIZADAS
& MEDIDAS CNMV
& SOX
& SALUD
& FDA
& EMA
& HIPAA
& TARJETAS DE CRÉDITO
& PCI-DSS
& PROVEEDOR DE LA ADMINISTRACIÓN
& RD 3/2010 ENS
& ESTANDARES
& ISO 27001
& ISO 27017/18
& ISO 22301
& ISO 20000
¿Nos os piden continuamente vuestros clientes, vuestra entidad financiera, vuestra aseguradora, etc. evidencias de haber implementado medidas de seguridad de la información o de procesos?
¿Cómo hacéis frente a estos requerimientos?
11
Necesidad de analizar y gestionar riesgos
Riesgos
Protección de datos y privacidad
Riesgos informáticos
Prevención del delito
Riesgos operativos
e industriales
Otros riesgos de
cumplimiento
Recursos Humanos
Proveedores
12
Análisis de Riesgos
& Modelo sistemático y replicable.
& Debe ayudar a determinar la probabilidad y el impacto de ciertos escenarios de riesgos definidos
& De la correcta selección de escenarios, y de la buena estimación de probabilidad e impacto,dependerá la exactitud del modelo
& Debe responder a: ¿Cómo afecta la pérdida de confidencialidad, integridad, disponibilidad olegalidad en mi dato o proceso?
13
Modelo General de Gestión de Riesgos
& BASADO EN EL CICLO DE DEMING
DE MEJORA CONTINUA
& MODELO ADOPTADO EN ISO 27001,
22301, 31000, 19600…
& PERMITE EL ANÁLISIS Y
TRATAMIENTO DE RIESGOS DE UN
MODO ESQUEMÁTICO Y SENCILLO
& PERMITE EL ESTABLECIMIENTO DE
MODELOS ÚNICOS DE GESTIÓN DE
RIESGOS.
& EXISTEN HERRAMIENTAS QUE
AYUDAN A SU IMPLANTACIÓN
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
LIDERAZGOPOLÍTICAS
14
1• Identificación de las actividades en cuyo ámbito
exista riesgo de ser cometidos delitos.
2• Establecimiento de procedimientos, de adopción
de decisiones y de ejecución de las mismas.
3• Gestión de los recursos financieros adecuados
para impedir la comisión de delitos.
4• Obligación de informar de posibles riesgos e
incumplimientos al encargado del sistema
5• Establecimiento de un sistema disciplinario
6• Verificación periódica del sistema y de su
eventual modificación
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
LIDERAZGOPOLÍTICAS
1
2
3
4
5
6
1
11
Ej 1: Prevención del Delito (art 31.5 bis del Código Penal)
15
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
LIDERAZGOPOLÍTICAS
5
6
7
8
9
9, 10
1
23,4
1
•Identificar y registrar el tratamiento de datos pretendido
•Realizar análisis de impacto. -> Con ciertos supuestos, consulta previa
2
•Nombrar un Delegado de Protección de Datos interno o externo
•Identificar código de conducta sectorial
3•Presentar información y pedir consentimiento al interesado. Ojo a la finalidad
4•Realizar acuerdos contractuales con terceros encargados del tratamiento
5
•Realizar análisis de riegos PARA EL INTERESADO de la pérdida de confidencialidad, integridad o disponibilidad de sus datos (Magerit, ISO 31000, etc…)
6
•Selección de controles adecuados. Comparar con un marco de controles (ISO27002, ISO27018, COBIT, etc.)
7
•Implantación las medidas técnicas y organizativas resultantes del análisis de riesgos.
•Política, RRHH, Control de accesos, Criptografía, Física, TI, Comunicaciones, Continuidad de Negocio, etc..
8
•Monitorización, vigilancia continua del sistema
•Respuesta ante incidentes
9
•Auditoría del sistema
•Toma de decisiones para la mejora
10•Certificación del Sistema de Gestión de Privacidad (Voluntario pero recomendable)
Ej 2: Reglamento Europeo de Protección de Datos
16
1. Establecer criterios de riesgo
2. Definir estructura
organizativa
3. Identificar escenarios de
riesgo
4. Evaluar los riesgos
5. Seleccionar respuesta al riesgo
Análisis de Riesgos
17
Procesos Corporativos …& ESTABLECIMIENTO DE POLÍTICAS
& PROCEDIMIENTOS OPERATIVOS
& DEFINICIÓN DE ROLES, RESPONSABILIDADES Y AUTORIDADES
& AUTORIZACIÓN DE ACCESO
& ANÁLISIS DE RIESGOS
& CONCIENCIACIÓN Y FORMACIÓN
& ALTA, BAJA O CAMBIOS DE ROL EN LA EMPRESA
& SEGURIDAD FÍSICA Y AMBIENTAL
& MANTENIMIENTO DE SISTEMAS
& PROCESO DE DESTRUCCIÓN DE INFORMACIÓN O SISTEMAS
& TELETRABAJO
& GESTIÓN DE EVENTOS, INCIDENCIAS Y CAMBIOS
& PLAN DE CONTINUIDAD DE NEGOCIO
& AUDITORÍA
18
… Procesos de Control …
& GESTIÓN Y CONTROL DE ACTIVOS FINANCIEROS
& GESTIÓN Y CONTROL DE ACTIVOS TECNOLÓGICOS
& GESTIÓN Y CONTROL DE ACTIVOS INDUSTRIALES
& PROCESOS DE CONTROL Y AUDITORIA
& RÉGIMEN DISCIPLINARIO
& GESTIÓN DE PROVEEDORES
& AUDITORÍA INTERNA Y EXTERNA
& MECANISMO DE INVESTIGACIÓN INTERNA
& MONITORIZACIÓN Y VIGILANCIA
19
… Medidas de seguridad TI …& SEGURIDAD PERIMETRAL Y EN RED
& CONTROL DE PUESTO DE TRABAJO Y SERVIDORES
& SERVICIOS WEB
& COPIAS DE SEGURIDAD
& USO DE LOS SISTEMAS DE TI
& ANTIMALWARE
& SEGURIDAD EN BASES DE DATOS
& CRIPTOGRAFÍA
& SEGURIDAD EN DISPOSITIVOS MÓVILES
& PREVENCIÓN DE FUGA DE INFORMACIÓN
& MONITORIZACIÓN Y VIGILANCIA
& ANÁLISIS DE VULNERABILIDADES TÉCNICAS
20
… Y Medidas de Seguridad Industrial
& SEGURIDAD PERIMETRAL Y EN RED
& VISIBILIDAD DE RED
& CONTROL DE PUESTO DE TRABAJO Y SERVIDORES
& CONTROL DE PROVEEDORES
& SEGURIDAD FISICA Y CONTROL DE ACCESOS
& CONTROL DE CAMBIOS EN SOFTWARE
& ACTUALIZACIÓN DE SISTEMAS
& ANTIMALWARE
& MONITORIZACIÓN Y VIGILANCIA
& ANÁLISIS DE VULNERABILIDADES TÉCNICAS
21
Análisis de riesgos dentro de un marco de gestión integrado
Governance, Risk and
Compliance
Prevención del Delito
Protección de Datos
Ciberseguridad
Continuidad de Negocio
Contratos con clientes
ISO 27001
Seguridad física y ambiental
Regulación sectorial
& PREVENCIÓN DEL DELITO
& PROTECCIÓN DE DATOS
& COMERCIO ELECTRÓNICO
& CIBERSEGURIDAD INDUSTRIAL
& BLANQUEO DE CAPITALES
& CIBERSEGURIDAD INDUSTRIAL
& PRESTADORES DE SERVICIOS
& FIRMA ELECTRÓNICA
& ESQUEMA NACIONAL SEGURIDAD
& MEDIDAS BANCO DE ESPAÑA
& MEDIDAS CNMV
& PCI-DSS
& FDA
& ISO 27001 / ISO 22301 / ISO 20000
& ISO 27017
& HIPA
& SOX
& MEDIDAS DE CLIENTES
& MEDIDAS SECTORIALES
& ETC…
22
¿Cómo se coordinan todas?
GESTIÓN DE
RIESGOS
CUMPLIMIENTO
NORMATIVO
PROCESOS
CORPORATIVOS
SEGURIDAD
INFORMÁTICA
VIGILANCIA Y CONTROL
23
Principales dificultades
Falta de liderazgo
Equipo multidisciplinar
Miedo a fuertes inversiones
Proyecto multidepartamental
Dificultad en la valoración de activos
Falta de formación
Dificultad para comprender los
riesgos
Falta de prioridad
Falta de foco, no es el principal cometido
de nadie en la empresa
Existen “parches” parciales a la seguridad y el cumplimiento
No identificación de partes interesadas y
sus requisitos
Falta de apoyos
24
El Sistema de Gestión de Seguridad
debe estar gestionado por un
equipo multidisciplinar y con
capacidad de actuar con los
distintos departamentos de la
empresa.
Este equipo constituye el Comité
de Seguridad, como piedra angular
en la gestión de la seguridad.
Secure&IT forma parte de este
Comité de Seguridad, apoyando al
cliente en todas las fases del
proceso:
• Técnicas
• Legales y de cumplimiento
• De procesos internos
• De soporte a la implantación
• Formativas
• Etc..
El Comité de Seguridad
Comité de Seguridad
Alta Dirección
Tecnologías de la información
Dirección financiera
Proveedores
Operaciones
Desarrollo
Producción
Asesoría Jurídica
Ventas y Marketing
Logística
DPO
Secure&IT
25
Plan Director de Seguridad
Un Plan Director de Seguridad permite a las empresas tener
una hoja de ruta a un marco temporal medio (2-4 años) para la
implantación de medidas de mejora de su seguridad y
reducción de sus riesgos.
Los consultores expertos en Seguridad y Gobierno IT de
Secure&IT considerarán en el Plan Director aspectos de:
& Requerimientos de Negocio
& Cumplimiento Legal
& Análisis de Riesgos
& Plan de Continuidad de Negocio
& Procesos y Procedimientos Corporativos
& Medidas de Seguridad IT/OT
& Etc…
Gracias a este Plan Director, las empresas podrán disponer de
un calendario de inversiones, asociado a una tendencia de
reducción de riesgos, y por lo tanto, de los costes derivados
de los mismos.
26
Auditoría Integral multinivel
27
& Secure&IT, como empresa especializada en
Ciberseguridad y Cumplimiento, ha desarrollado un
servicio de acompañamiento que ayuda a las
organizaciones a establecer un Sistema de Gestión
de Seguridad de la Información y el cumplimiento
considerando:
& Protección de Datos
& Cumplimiento Normativo
& Prevención del Delito Tecnológico
& Procesos Corporativos de Seguridad
& Seguridad de la Información
& Ciberseguridad Industrial
& Tecnología y vigilancia
& Este programa de acompañamiento es
RECONOCIDO y CERTIFICADO. Un programa que
certifica un estricto cumplimiento de controles de
seguridad que han sido seleccionados por Secure&IT
de entre los presentes en los mejores estándares y
normativas de gestión de la Seguridad.
PROGRAMA GOLD SECURITY
28
& Proyecto a 3 años, cuota fija mensual, modelo “todo incluido”
& Plan Director de Seguridad y Cumplimiento
& Comité de Seguridad y Cumplimiento
& Auditorías multinivel (técnicas, legales, de procesos, hacking…)
& Gestión del cumplimiento de la normativa aplicable (GDPR, ENS, PCI-DSS, etc.)
& Establecimiento de procesos corporativos de gestión de la seguridad
& Certificación ISO/IEC 27001:2013
& Plan de formación y concienciación continua
& Soporte ilimitado y especializado en Ciberseguridad y Cumplimiento
& Gestión de la Seguridad desde Centro Avanzado de Operaciones SOC-CERT
PROGRAMA GOLD SECURITY
29
VENTAJAS Y BENEFICIOS DEL SERVICIO GOLD SECURITY
& Permite a las empresas centrarse en su actividad principal.
& Disponga en su Comité de Seguridad de los mejores profesionales multidisciplinares
& Información sobre seguridad actualizada.
& Adapta el número de recursos humanos a las necesidades de la Compañía.
& Reduce los Riesgos económicos y de vulnerabilidades de sus sistemas.
& Asegura la Calidad del servicio.
& Disminuye los Costes.
& Aumenta la capacidad de respuesta ante amenazas de la Compañía
PROGRAMA GOLD SECURITY
