La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Protocolos de seguridad

Publicada porMaría Antonia Gómez Ortíz Modificado hace 5 años

Presentaciones similares

Presentación del tema: "Protocolos de seguridad"— Transcripción de la presentación:

1 Protocolos de seguridad
Francisco Pérez Bes Secretario General 10 y 11 de agosto de 2018

2 Proteger los sistemas Aquello que se conecta, es atacado

3 El IoE El IoT. Número de dispositivos electrónicos conectados internet 2016: millones. En 2020 serán millones. La amenaza botnet.

4 Un problema global. Una solución local.

5 El coste de un ciberincidente
Tiempo de inactividad forzosa Costes económicos del propio ataque Pérdida de datos Daño a la reputación Incluso pérdida de vidas. Hospitales El debate jurídico: la imputación de la responsabilidad legal. Responsabilidad civil por negligencia Responsabilidad penal por pago de ransomware Responsabilidad por malfuncionamiento de sistemas Responsabilidad de los administradores Responsabilidad de la Administración

6 Gestión de la seguridad de la información
Protección Disuasión Detección Reacción Recuperación Debes entender contra qué te proteges Gestión de riesgos en abogacía

7 El riesgo en la ciberseguridad
El riesgo es la proximidad de un daño. Para poder identificar los riesgos hay que prever los daños. Hay que conocer la empresa y las amenazas a las que se enfrenta (test autodiagnóstico). No pensar solo en el riesgo del dato. También hay riesgo del gestor, de proyectos… El riesgo es cambiante. También debería serlo la preocupación de la organización: la teoría de la Reina Roja. Gestión de riesgos en Abogacía

8 R = P x I Donde: R= riesgo P= probabilidad I= impacto posible
La Probabilidad es un elemento subjetivo. Si no es = 0, te ocurrirá. El Impacto (como daño interno o externo) y la responsabilidad son lo importante. Por eso es imprescindible hacer análisis de impacto (PIA) para evitar o minimizar los posibles daños (físicos, reputacionales, de continuidad de negocio…) y disminuir (buena fe, diligencia…) la responsabilidad legal del responsable (CISO, CEO…). Gestión de riesgos en abogacía

9 El Considerando 76 del RGPD dice:
El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto. Obligación de análisis de riesgos y de implementar medidas técnicas y organizativas eficaces que eviten daños. Gestión de riesgos en Abogacía

10 El riesgo en el RGPD: el daño
Los daños que menciona el RGPD para el caso de no tomar a tiempo las medidas de seguridad adecuadas incluyen daños y perjuicios físicos, materiales o inmateriales para las personas físicas, tales como: Pérdida de control sobre sus datos personales Restricción de sus derechos Discriminación Usurpación de identidad Pérdidas financieras Reversión no autorizada de la seudonimización Daño para la reputación Pérdida de confidencialidad de datos sujetos al secreto profesional Cualquier otro perjuicio económico o social significativo Gestión de riesgos en abogacía

11 El riesgo y la ciberseguridad
Artículo 25. Protección de datos desde el diseño y por defecto (Considerando 83). Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. Gestión de riesgos en Abogacía

12 El riesgo y la ciberseguridad
Artículo 16 de la Ley NIS Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a este real decreto-ley. Sin perjuicio de su deber de notificar incidentes conforme al título V, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten. Se refiere a la obligación de crear un sistema de gestión de seguridad de la información (SGSI) basado en riesgos, que sea eficaz. Gestión de riesgos en Abogacía

13 Objeto de la protección
Confidencialidad: la información sólo debe estar accesible para aquellos que estén autorizados. Integridad: la información debe permanecer inalterada y como el emisor la originó, sin manipulaciones externas. Disponibilidad: La información debe estar accesible cuando se requiera. Gestión de riesgos en Abogacía

14 Protocolos reactivos de ciberseguridad
Los CERT: - DA 9ª LSSI - Directiva NIS / RD 12/2018, de 7 de septiembre - INCIBE CERT (antes CERTSI): - Centro antiransomware - Centro antibotnet - Alertas tempranas e ICARO - OCC / PIC Gestión de riesgos en abogacía

15

16 Protocolos preventivos de ciberseguridad
Identificar las medidas técnicas adecuadas: disponibles, eficaces y actualizadas. Seguridad por capas: Herramientas contra la suplantación de identidad VPN Cifrado Antivirus Anti-Ddos Copias de seguridad Antibotnet Anti-phishing CONAN Herramientas gratuitas Gestión de riesgos abogacia

17 Protocolos preventivos de ciberseguridad
Medidas organizativas: Cultura de ciberseguridad Formación al empleado y a los socios (training) MOOC Itinerarios interactivos Concienciación (awareness) Guías TIC AbogaTIPS en RRSS Kit de concienciación Difusión amenazas (fraude CEO, USB, wifi pública…) Sensibilización Simulacros Phishing Fugas de datos Gestión de riesgos abogacia

18 El SGSI El Sistema de Gestión de Seguridad de la Información es una pluralidad de procesos Ha de ser evidenciable y disponer de documentos que acrediten que se implementó. (”ya está. Ya lo he hecho”) Medición informal / semi-formal / Formal (ENS, ISO 31000) 2) Ha de ser eficaz y poder demostrar que funciona (“Pero, ¿lo has hecho bien?”). Con auditorías y controles periódicos, evidencias documentales, indicadores, certificaciones, códigos de conducta… ¿Estoy adoptando las medidas adecuadas a mi situación y a los tratamientos que quiero hacer? ¿Estoy asumiendo demasiado riesgo? Haz simulacros. Gestión de riesgos en abogacía

19 Compliance: medidas técnicas.
Dime qué tecnología usas y te diré qué estrategia puedes seguir Base de datos de Gestión de la Configuración (CMDB): La CMDB es un repositorio de información donde se relacionan todos los componentes de un sistema de información, ya sean hardware, software, documentación, etc. (ITIL o ISO 20000).

20 Compliance: integridad
Herramientas de cifrado de la información. Cifrado de comunicaciones (VPN, SSL) Information Rights Management (IRM): evita perder la trazabilidad de un documento (Pe. Prot-on)

21 Compliance: disponibilidad
Modo pro-activo: Redundancia de equipos hardware (servidores, electrónica de red, cabinas de almacenamiento, corriente de alimentación…). Redundancia de comunicaciones (varios canales de comunicación con varios proveedores): poder acceder a la misma información desde varios canales. Monitorización: pe. NAGIOS Sistema de monitorización de servicios (pe. Correo electrónico) ampliamente utilizado, de código abierto, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Modo reactivo: Pérdida de datos: Back ups (copia de seguridad) Daños de infraestructura: Centros de contingencia SLA (Service Level Agreement).

22 Compliance: seguridad
Los Sistemas de Prevención de Intrusos (IPS): monitorización de tráfico que ayuda a la disponibilidad (proactivo). Detección basada en firmas: como lo hace un antivirus. Detección basada en políticas de seguridad. Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico. Honey pots. Los Sistemas de Detección de Intrusos (IDS): sin capacidad de bloquear (sonda) Pe. Snort. Firewalls de nueva generación (de capa 7): no bloquean puertos, sino aplicaciones (filtrado de tráfico): webs confiables Antivirus: bloquea amenazas conocidas. Sand box: análisis dinámico para bloquear amenazas desconocidas (simula entorno real y ejecuta el virus para ver su comportamiento).

23 Compliance: confidencialidad
Segregación de información: separar áreas en redes. Configuración adecuada de permisos de acceso. Auditoría y control periódicas: lo que marque el SGSI (Pe. Anual). Gestión de identidades: solución que permite garantizar que los usuarios acceden sólo donde deben hacerlo.

24 Compliance: buenas prácticas
Políticas internas: Rotación de contraseñas Actualizaciones de los equipos Principio del mínimo privilegio Normativas de calidad: SGSI: proceso de gestión para el diseño, implantación, mantenimiento de un conjunto de procedimientos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. ISO 20000: implantación de procesos TI en las organizaciones

25 Muchas gracias por su atención
Francisco Pérez Bes Secretario General Instituto Nacional de Ciberseguridad de España (INCIBE) @pacoperezbes

Descargar ppt "Protocolos de seguridad"

Presentaciones similares

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.
Dr. Marcelo Julio Marinelli.  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos.

Dr. Marcelo Julio Marinelli.  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos.
1 SEMINARIO EN TURÍN MAYO DE 2009 Seguridad y Salud en el Trabajo Catherine BRÅKENHIELM HANSELL, Catherine BRÅKENHIELM HANSELL, Equipo de SST, NORMES,

1 SEMINARIO EN TURÍN MAYO DE 2009 Seguridad y Salud en el Trabajo Catherine BRÅKENHIELM HANSELL, Catherine BRÅKENHIELM HANSELL, Equipo de SST, NORMES,
Los Malware son programas informáticos diseñados por ciberdelincuentes para causarle algún daño o perjuicio al usuario como el robo de información, modificaciones.

Los Malware son programas informáticos diseñados por ciberdelincuentes para causarle algún daño o perjuicio al usuario como el robo de información, modificaciones.
Internet y las comunicaciones Hoy en día, con el uso tan extendido de internet y la tecnología para conectar dispositivos informáticos, casi cualquier.

Internet y las comunicaciones Hoy en día, con el uso tan extendido de internet y la tecnología para conectar dispositivos informáticos, casi cualquier.
Plan Director de Seguridad de la Información Para el Servicio de Atención en Urgencias Complejo Hospitalario Público Provincial Resultados Manuel Jimber.

Plan Director de Seguridad de la Información Para el Servicio de Atención en Urgencias Complejo Hospitalario Público Provincial Resultados Manuel Jimber.
POLITICAS DE LA SEGURIDAD SEGURIDAD Y ADMINISTRACION DE REDES.

POLITICAS DE LA SEGURIDAD SEGURIDAD Y ADMINISTRACION DE REDES.
DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.

DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.
Las soluciones Cisco IronPort están basadas en Appliances de muy alto dimensionamiento y cuentan con un sistema operativo propietario, AsyncOS™, el cual.

Las soluciones Cisco IronPort están basadas en Appliances de muy alto dimensionamiento y cuentan con un sistema operativo propietario, AsyncOS™, el cual.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Diez puntos sobre la Ley para el Acceso Electrónico de los Ciudadanos a las Administraciones Públicas GABINETE DE PRENSA Octubre de 2006.

Diez puntos sobre la Ley para el Acceso Electrónico de los Ciudadanos a las Administraciones Públicas GABINETE DE PRENSA Octubre de 2006.
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
Portales colaborativos

Portales colaborativos
RED INFORMÁTICA CORPORATIVA

RED INFORMÁTICA CORPORATIVA
0.3 DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO

0.3 DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO
Seguridad en Bases de Datos

Seguridad en Bases de Datos
Diagnóstico MECI 2014 Eje Transversal 3.

Diagnóstico MECI 2014 Eje Transversal 3.
CIENCIA TECNOLOGÍA Y SOCIEDADES

CIENCIA TECNOLOGÍA Y SOCIEDADES
Trabajar en archivos Universidad de Granada

Trabajar en archivos Universidad de Granada
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO

SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO

Presentaciones similares

Anuncios Google