Álvaro Portal Ligerowww.softcom.es

Ciberseguridad y Gestión de las TICLima - 2017

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Índice

Presentación Gestión de las TIC en Administraciones Públicas y empresas Tendencias tecnológicas Ciberseguridad Ejemplo de proyecto social para formación Algunos ejemplos de ciberataques

2

Presentación3

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Presentación. Softcom

Compañía 100% española que nace en el año 1989. España, Perú y Escocia. Certificada en la norma ISO/IEC 27001 SGSI, 9001 Calidad y 90003 Software. Servicios y productos de Tecnologías de la Información y Comunicación.

Ciberseguridad y antihacking. Mantenimiento informático telegestionado. Proyectos especiales de ingeniería. Smartcity, PVT, desarrollo de software, ... Inmótica y eficiencia energética en ciudades y grandes complejos.

Oficinas Perú: Avenida José Larco 1150, oficina 204 – Miraflores – Lima – PerúÁlvaro Portal Ligero: +51 977 365 188 – alvaropl@softcom.es

4

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

https://www.linkedin.com/in/alvaropl/

Gestión de las TIC en Administraciones Públicas y

empresas

5

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y

empresas

Normativas aplicables Caso de la Junta de Andalucía

6

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y

empresas. Normativas aplicables

ISO/IEC 27001 de seguridad de la información: Mantenida por la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission). Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).

ISO 22301 de continuidad de negocio: Proporciona nuevas soluciones y prácticas de gestión que ayudan y facilitan a empresas y demás organizaciones al desarrollo de un plan para asegurar la continuidad del negocio ante posibles contingencias inesperadas.

7

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y

empresas. Normativas aplicables

ENS (Esquema Nacional de Seguridad): En el ámbito de la Administración española y se basa y aumenta las normas ISO27001 y 27002. Tiene por objeto establecer los requisitos mínimos que permitan una protección adecuada de los activos de información.

ISO/IEC 20000 (Biblioteca de Infraestructura de Tecnologías de la Información -Information Technology Infrastructure Library (= ITIL): Mantenida por la ISO e IEC. Es el estándar reconocido internacionalmente en gestión de los servicios de TI. Constituye un marco de buenas prácticas de gestión para los servicios tecnológicos.

8

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y

empresas. Normativas aplicables

GRC (Gobierno, Riesgo y Cumplimiento): Mantenida por ISACA (InformationSystems Audit and Control Association - Asociación de Auditoría y Control de Sistemas de Información). Dirigida al control y supervisión de las TI´s teniendo en cuenta principalmente los riesgos y normativas a cumplir.

COBIT (Objetivos de Control para Tecnologías de Información y Relacionadas): Mantenida por ISACA. Dirigida al control y supervisión de las TI´steniendo en cuenta las necesidades de negocio y estrategias corporativas.

9

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y

empresas. Normativas aplicables

PCI-DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago): Mantenida por las compañías de tarjetas de pago más importantes. Ayuda a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetas de pago a mantener unos estándares de seguridad.

LPDP (Ley de Protección de Datos Personales de Perú): Tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú.

10

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y empresas.

Caso de la Junta de Andalucía

La gestión de las TIC se constituye verticalmente a través de SANDETEL (Sociedad Andaluza para el Desarrollo de las Telecomunicaciones) para establecer un marco tecnológico común para compartir aplicaciones, herramientas y procedimientos. Y horizontalmente a través de las diferentes políticas que aplica cada Consejería y organismo.

Las normativas aplicadas al menos en todas las consejerías: ENS, ISO/IEC20000 y LOPD.

También se utilizan metodologías para gestión de proyectos como PMP y SCRUM, y otras como OWASP para el desarrollo seguro de software y aplicaciones web.

11

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Gestión de las TIC en Administraciones Públicas y

empresas. Caso de la Junta de Andalucía

Verticalmente la Gestión de la seguridad TIC se hace a través de AndalucíaCERT, que es una Instalación crítica que centraliza todos los incidentes informáticos relacionados con la JdA. Utiliza tecnología SIEM (Security Incident and EventManager) que monitorizan tanto los logs de diferentes dispositivos ubicados en las Consejerías y organismos, como todo el tráfico de información de la RCJA (Red Corporativa de la Junta de Andalucía) que interconecta todas las sedes.

Horizontalmente cada organismo tiene sus propias políticas de seguridad y departamentos dedicados a sistemas, desarrollo, etc.

12

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas13

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas

Top 10 en 2017 según Gartner Top 10 en 2016 en ciberseguridad según INCIBE Proyección dispositivos conectados según Cisco Conclusiones Inventando el futuro

14

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Top 10 en 2017 según Gartner

1. Inteligencia artificial.2. Apps inteligentes.3. Objetos inteligentes.4. Realidad virtual y aumentada.5. Gemelos digitales.6. Blockchain.7. Sistemas conversacionales.8. La malla de aplicaciones y de arquitecturas de servicio.9. Plataformas de tecnología digital.10. Arquitectura de seguridad adaptativa (inteligente).

15

http://www.gartner.com/smarterwithgartner/gartners-top-10-technology-trends-2017/

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Top 10 en ciberseguridad

según INCIBE

1. Big Data.2. Cloud Computing.3. IoT.4. Smart Cities.5. Smart Grids.6. Industria 4.0.7. Redes sociales.8. Tecnologías cognitivas.9. Wifi óptico.10. Sistemas ciber-físicos.

16

https://www.incibe.es/sites/default/files/estudios/tendencias_en_el_mercado_de_la_ciberseguridad.pdf

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Proyección dispositivos

conectados según Cisco

17

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Conclusiones

Habrá un uso masivo de la información (sobre todas las cosas y personas): Bigdata (redes sociales, bancos, grandes tiendas online, marketing digital, …) IoT (próxima diapositiva).

Inteligencia artificial: la tecnología para facilitarnos la vida personal y profesional y hacer lo automático de nuestros procesos cotidianos.

Servicios enfocados a nuestro bienestar, confort, productividad personal y profesional, y relación con el medioambiente.

18

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Conclusiones

Trabajamos aproximadamente el mismo número de horas que hace 40 años (aunque la productividad es mucho mayor que antes).

Antes se utilizaban menos cosas para la vida diaria. Ahora un PC, smartphone, smartTV, conexión a internet 24 x 7, aplicaciones de productividad, redes sociales, juegos online, …

Positivo: mayor productividad en el trabajo, mejora en la medicina, ... Negativo: todavía no vemos que todo son beneficios (existen crisis, pobreza, conflictos, nuevas enfermedades, …).

19

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Inventando el futuro

Blockchain como filosofía para un Internet globalizado que garantice el valor de la información y la ciberprotección. Se basa en que todos los nodos están interconectados para proteger la información y agilizar las respuestas ante ataques informáticos.

El individuo tendrá más tiempo para sí mismo cuando la tecnología evolucione hasta realizar los procesos más humanos/automáticos. Ese tiempo lo aprovecharemos en conocimiento y mejora de otras cualidades humanísticas.

20

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Tendencias tecnológicas. Inventando el futuro

Multitud de aplicaciones y herramientas tecnológicas serán de primera necesidad (sistemas operativos, mensajería móvil, redes sociales, ofimática, …), reducidas en número y muchas reguladas por la administración pública al igual que otras de primera necesidad (pan, energía, moneda, …). Una cualidad positiva es que sean de código abierto (que no gratuitas).

La productividad será más equitativa.

21

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad22

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad

Definición de seguridad tecnológica Definición de hacker ético Características de los ciberataques Estado del arte Inventando el futuro Solución en una organización: implantación de un SGSI y SGCN Buenas prácticas y recomendaciones

23

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Definición de Seguridad Tecnológica

La norma ISO/IEC 27001 define la Seguridad de la Información como la preservación de los siguientes aspectos fundamentales:

Confidencialidad: Proteger la información de divulgación intencionada o accidental.

Integridad: Asegurar que la información es completa, exacta y está protegida de modificaciones no autorizadas.

Disponibilidad: Garantizar que la información está disponible donde y cuando se necesite.

24

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Definición de hacker ético

El término de Etical Hacker se remonta a los años 50 y comienza con una laborde universalización de la Información y mejora de la calidad de las personas:

“La expresión se suele atribuir al periodista Steven Levy en su ensayo SeminalHackers: Heroes of the Computer Revolution, publicado en 1984, donde describe yenuncia con detalle los principios morales que surgieron a finales de los años cincuentaen el Instituto Tecnológico de Massachusetts (MIT) y, en general, en la cultura de losaficionados a la informática de los años sesenta y setenta. Los principios clave puedenresumirse en el acceso libre a la información y en que la informática pueda mejorar lacalidad de vida de las personas”

25

Fuente: Wikipedia

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Características de los ataques

Características

• Bajo Coste

• Muchas de las herramientas utilizadas por los atacantes pueden obtenerse de forma gratuita o a un coste muy reducido.

• Alta efectividad e impacto

• La ausencia de políticas de ciberseguridad, la insuficiencia de recursos y la falta de sensibilización y formación pueden facilitar este adverso resultado.

• Reducido riesgo para el atacante

• La facilidad de ocultación hace que no sea fácil atribuir un ciberataque a su verdadero autor, lo que, unido a un marco legal dispar o inexistente, dificulta la persecución de la acción.

• Fácil ejecución

• No es imprescindible, en muchos casos, grandes conocimientos técnicos.

26

Ejemplo ponencia curso en UNIA sobre hack de contraseñas.

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Estado del arte

© Antonio Gil 2017

27

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Estado del arte

Se detectan más de 1.500.000 de delitos informáticos al día relacionados con el robo de información.

Más del 50% de personas que abandonan o son expulsados de una empresa terminan llevándose información privilegiada, como la lista de clientes, información financiera, planes estratégicos, know-How, I+D, …

Un 20% de los ciberataques afectan a PYMES.

El 60% de esas PYMES tienen que cerrar dentro de los 6 meses siguientes a un ataque cibernético.

Fuente: CCN-CERT

28

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Estado del arte

http://map.norsecorp.com/

29

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Solución en una organización:

implantación de un SGSI y SGCNConcienciación

30

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Buenas prácticas y recomendaciones

Formación y concienciación –> sentido común. Por ejemplo MÁLAGABYTE.

Tener aplicaciones antimalware (PC´s, smartphones, …): antivirus, ransomware, …

Mantener el sistema y aplicaciones actualizadas.

Precaución con las WiFi públicas, mails fraudulentos, USB, cámara sin tapar y bloquear el ordenador en ausencia de su responsable.

Usar contraseñas fuertes, no basadas en diccionario y diferenciadas por servicios.

Realizar habitualmente copias de seguridad.

31

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ejemplo de proyecto social para formación:

MALAGABYTE

https://www.malagabyte.es/

32

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ejemplo de proyecto social para formación:

MALAGABYTE

33

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ejemplo de proyecto social para formación:

MALAGABYTE

El proyecto MALAGABYTE es impulsado por el Ayuntamiento de Málaga y el Colegio Oficial de Ingenieros Técnicos de Telecomunicación de Andalucía (COITT-A), creando una red de formadores que abre el campo de la tecnología, programación y robótica a los niños y niñas de Málaga.

Iniciativa que anima a colegios de primaria, secundaria y asociaciones varias.

Algunas tecnologías utilizadas son Scratch y Arduino (código abierto) y Lego (código propietario).

34

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Algunos ejemplos de ciberataques35

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Ciberseguridad. Algunos ejemplos de ciberataques

Caso 1. Caso CAU.

Caso 2. Destrucción o robo de la información por malware (caso wannacrypt.A y wannacrypt.B o wannacry 2.0).

36

Ciberseguridad y Gestión de las TIC - Lima 2017Álvaro Portal Ligero

www.softcom.es

Álvaro Portal Ligerowww.softcom.es

Ciberseguridad y Gestión de las TICLima - 2017