La nueva era“La ciberseguridad”

Juan-Guido Garavaglia AJE noviembre 2015

¿Quien eres?

• Juan-Guido Garavaglia• Empresario con más de 26 años de

experiencia en el sector de las Tecnologías de la información

• Director del dpto. de ciberseguridad de AGEDOS Business Datacenter

• Juan.Garavaglia@age2.es• +34 669 51 00 51

Agenda

• Algunos números y anécdotas….• ¿Qué debo protegerme?• ¿Estoy totalmente protegido?• Y la parte lega, ¿Como me afecta?• ¿Cómo debo protegerlo?• Sugerencias, comentarios, ideas y mucho más

Algunos números y anecdotas

Algunos números y anecdotas

Algunos números y anecdotas

Y en Murcia……

Prioridades en prevención EEUU

Otros

Asalto Armado

Artefactos explosivos

Tsunami

Ataque biológico

Inundación

Ataque nuclear

Pandemias humanas

Cyber ataque

Huracán

Terremoto

0% 5% 10% 15% 20% 25%

23%

3%

4%

5%

5%

5%

8%

9%

10%

10%

18%

Delitos informáticos

HackingCalumnias o injurias

Suplantación de identidadAmenazas

Fraude o estafa informáticaCrackingPhishing

Violación de datos personalesGrooming

Difusión de malwareDenegación de servicio

Pornografía infantilNo respondió

22.48%17.05%

9.30%8.53%8.53%

7.75%7.75%7.75%

3.88%3.10%

1.55%1.55%

0.78%

Delitos informáticos

Fuente: Diario abc de España . (2015). Obtenido de: http://www.abc.es/internacional/20150529/abci-corea-norte-ataques-informaticos-201505291534.html

Exploits

Exploits Exitosos 2013 - 2015

2013-2014

219.951.631 Exploits 2013 & 2014

2015

1.272.152.215 Exploits 2015 (Enero – Agosto)

Source: Kenna Securities sept’15

AZERTY12345

LEMOTDEPASSEDEYOUTUBE

Algunos números…..

51% de los usuarios de smartphone usan banca electronica.

¿Qué debo proteger?

¿Qué debo proteger?

• Toda la información que maneja un negocio tiene valor, no solo para el empresario, sino también para otros, como por ejemplo para la competencia o para el crimen organizado.

• Siempre pensamos: —mis datos no son interesantes para los demás, o — ¿quién va a obtener beneficio con mis datos, proyectos, desarrollos...?

• Pero no podemos olvidar que si algo tiene valor para otros, está en peligro.

¿Estoy totalmente protegido?

NO

LA SEGURIDAD

100%

NO EXISTE

• Según un informe de Kaspersky las pérdidas por un incidente grave suponen de media para las pymes alrededor de 38.000 €.

Y la parte legal como me afecta

Parte Legal

• Para empresas en general• Protección de datos de carácter personal (LOPD)

• Protección de derechos de autor del software (reformada 1 de Julio 2015)

• Para el comercio electrónico• Servicios de la sociedad de la información y comercio electrónico (LSSI-CE)

• Defensa de consumidores y usuarios (Condiciones Generales de contratación)

• Para paginas web• Ley de cookies• Política de privacidad• Aviso Legal

Parte Legal

• LOPD hasta 600.000€

• LSSI-CE hasta 600.000 €

• Protección de derechos de autor del software ( reformada 1 de Julio 2015)• Código Penal• Hasta 280.000€ de multa• Suspensión de actividad• Exclusión de subvenciones y ayudas publicas• Responsabilidad de administradores ( Hasta 4 años de prisión)

¿Como debo protegerme?

¿Qué debo proteger?

Reputación de marca‣ Uso inapropiado de logos e

imagen de marca

‣ Publicación de información falsa y difamación en redes sociales

‣ Canales alternativos de venta de productos, con uso de la marca

‣ Falsificación de identidades digitales

¿Contra QUÉ amenazas nos enfrentamos?

Disrupción de Negocio‣ Portales online y servicios

inoperativos

‣ Vulneración y exposición de mecanismos seguridad

‣ Revelación de información confidencial

‣ Procesos de negocio alterados

Fraude online‣ Robo de información de

clientes:‣ Credenciales acceso‣ Coordenadas (banca)

‣ Números de tarjetas de crédito

‣ Información Seguridad Social

Reputación de marca‣ Botnets (Spam)

‣ Counterfeit

‣ Trolls y perfiles “no oficiales” en Redes Sociales

‣ Uso no autorizado de logos y brand en páginas “no oficiales”

¿CÓMO realizan los ataques?

Disrupción de Negocio‣ Hacking

‣ DDOS

‣ Troyanos

‣ Abuso y tráfico de de dominios (Cybersquating)

‣ Botnets

Fraude online‣ Phising y Pharming

‣ Malware

‣ Carding

‣ Mobile malware

Reputación de marca‣ Competidores

‣ Insiders

‣ Hacktivistas

¿QUIÉN está detrás de los ataques?

Disrupción de Negocio‣ Hacktivistas

‣ Activistas

‣ Estados

‣ Competidores

‣ Crimen organizado

Fraude online‣ Crimen organizado

‣ Hackers

Reputación de marca‣ Fines industriales

‣ Económicos

‣ Fines Políticos e ideológicos

¿PORQUÉ se realizan los ataques?

Disrupción de Negocio‣ Fines Políticos e ideológicos

‣ Fines industriales

‣ Prestigio comunidad Hacker

‣ Fines económicos (cybersquatting)

Fraude online‣ Fines económicos

‣ Fines industriales (credenciales)

¿Como debo protegerme? – Administrativa y legalmente

1. Implantación de la LOPDIncluye política de seguridadConcienciación a los empleados

2. Implantación Aviso Legal, Ley Cookies y Política de privacidad si tienes paginas web

3. Implantación LSSICE, Defensa de consumidores y condiciones de contratación si tienes comercio electrónico

¿Como debo protegerme? – Tecnicamente en los dispositivos

1. Instala software original2. Actualiza el software cada vez que puedas3. Instalada contramedidas (Antivirus, antimalware, Firewall)4. Solo utiliza accesos privilegiados cuando los necesites.5. Utiliza PIN y contraseñas robustas6. Copias de seguridad regulares

¿Como debo protegerme? – Tecnicamente en tu empresa

1. Instala software original2. Actualiza el software cada vez que puedas3. Instalada contramedidas (Antivirus, Firewall, IDS)4. Gestiona los accesos a los sistemas5. Utiliza PIN y contraseñas robustas6. Copias de seguridad regulares7. Monitoriza la red y los servicios8. Controla los dispositivos extraíbles9. Accede via VPN a tus recursos de la intranet

¿Como debo protegerme? – Para los empleados

1. Concienciación / Evangelización / Formación

Sugerencias, comentarios, ideas y mucho más

Información de interés

• Normas de seguridad de las TIC - CCN• https://

www.ccn-cert.cni.es/series-ccn-stic/guias-de-acceso-publico-ccn-stic/4-ccn-stic-400-manual-stic/file.html

• La seguridad de la información en su empresa (CCAA de Aragón)• http://

www.aragon.es/estaticos/ImportFiles/24/docs/Areas%20generica/Publica/SEGURIDAD_INFORMC_EMPRESA_GUIA.pdf

• Ciberseguridad para pymes paso a paso• https://

www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/Ciberseguridad_para_pymes_paso_a_paso

• Guía sobre seguridad un website• https://www.incibe.es/CERT/guias_estudios/guias/guia_securizacion_website