Presentación guía del primer café tecnológico de Trekking Digital enfocado a la ciberseguridad. Un formato de evento íntimo, para pocas personas pero realmente interesadas. No al SPAM. Sí a la tecnología para personas.
6. Situación
Suplantación de identidad por correo electrónico. Jon Uriona
A día de hoy, el correo electrónico sigue siendo nuestra
herramienta principal de comunicación corporativa.
Podemos llegar a recibir cientos de emails al día.
Los envíos desde direcciones de correo de cargos
importantes dentro de la organización están en peligro
de ser suplantados.
7. Soluciones
Suplantación de identidad por correo electrónico. Jon Uriona
Dos tipos de soluciones:
Organizativas
(se aplican a todas las
cuentas de correo de la
organización)
Personales
(se aplican solo a las
cuentas críticas de la
organización)
8. Soluciones
Suplantación de identidad por correo electrónico. Jon Uriona
Organizativa: a implementar en dominio y servidor de
correo para TODOS las direcciones de la organización.
9. Soluciones
Suplantación de identidad por correo electrónico. Jon Uriona
Organizativa: a implementar en dominio y servidor de
correo para TODOS las direcciones de la organización.
Registro SPF: valida el servidor de correo que puede enviar correos bajo dominio X
Registro DKIM: valida la identidad del emisor de un correo bajo dominio X
Registro DMARC: configura la política a aplicar si no se cumplen SPF ni DKIM
10. Soluciones
Suplantación de identidad por correo electrónico. Jon Uriona
Personal: a implementar solo en los buzones críticos de
los responsables de la organización.
11. Soluciones
Suplantación de identidad por correo electrónico. Jon Uriona
Personal: a implementar solo en los buzones críticos de
los responsables de la organización.
Firma electrónica de mails:
● Autentica el emisor del mensaje a través de la firma del propio correo.
● Requiere del desarrollo e implantación de un procedimiento de actuación para los usuarios.
● También requiere de un certificado digital para el emisor del mensaje.
13. Situación
Cómo prevenir las fugas de información (DLP). Jon Azkarate
Los negocios deben velar por la información, uno de sus principales
activos, estableciendo los mecanismo oportunos que garanticen que sólo la gente
autorizada pueda acceder a ella, por motivos de confidencialidad e integridad, y
que permitan implantar las condiciones de seguridad en las que dichas personas
pueden hacer uso de la misma.
Todo ello, para evitar la pérdida, el robo y los accesos o alteraciones no
autorizados de la información sensible para la organización.
14. Situación
Cómo prevenir las fugas de información (DLP). Jon Azkarate
A esta problemática, se suma el requerimiento de negocio de movilidad que ha
venido para quedarse. Cada vez más es necesario tratar la información fuera
de las instalaciones de las organizaciones.
¿Qué control sobre la información que sale tienen éstas?:
¿qué información puede salir?, ¿quién puede almacenar cierta información en
dispositivos portátiles (ordenadores portátiles, USB´s, teléfonos móviles, etc.)?,
¿en qué condiciones debe salir la información (cifrado, etc.)?
15. Situación
Cómo prevenir las fugas de información (DLP). Jon Azkarate
Además, el Nuevo Reglamento Europeo de Protección de Datos obliga a las
organizaciones a adoptar medidas concretas y JUSTIFICADAS para prevenir el
presunto robo o la pérdida de esa información. Su incumplimiento puede acarrear
sanciones de hasta el 4% de la facturación.
16. Solución
Cómo prevenir las fugas de información (DLP). Jon Azkarate
Se trata, por tanto, de establecer: QUIÉN puede sacar fuera de la
organización determinada información, QUÉ información concreta
puede salir de la organización y CÓMO o en qué condiciones de
seguridad puede salir dicha información.
17. Solución
Cómo prevenir las fugas de información (DLP). Jon Azkarate
La organización debe procedimentar un sistema de seguridad con unos
procedimientos claros, denominado Data Loss Prevention
(Prevención de pérdida de Información).
18. Solución
Cómo prevenir las fugas de información (DLP). Jon Azkarate
Procedimientos del Data Loss Prevention (Prevención de pérdida de Información):
● Identificar la información en función de su sensibilidad (pública, interna, sensible,
reservada y crítica).
● Adoptar medidas de seguridad para cada nivel identificado.
● Listar el personal autorizado a cada información.
● Monitorizar los accesos realizados sobre la información y su almacenamiento en
dispositivos portátiles.
● Disponer de herramientas de los accesos que permitan emitir informes a dirección y
justifiquen la propia inversión.
20. Qué es
Plan Director de Ciberseguridad. Jon Azkarate
Un plan estratégico a 3-5 años que permitirá desarrollar un marco de seguridad
donde se establecerá:
● el nivel de riesgo asumido
● un plan de tratamiento de riesgo
En definitiva, conocer nuestra situación actual y dónde queremos llegar respecto a
la seguridad de nuestra información digital.
21. Objetivos
Plan Director de Ciberseguridad. Jon Azkarate
● Certificar el grado de SEGURIDAD existente dentro de su infraestructura.
● Valorar las políticas, normas, prácticas y procedimientos relativos a la
Seguridad en las TIC.
● Inventariar y documentar los sistemas instalados.
● Detectar carencias que pudieran existir.
● Proponer medidas correctoras y mejoras posibles.
● Diseño de medidas preventivas según ISO-27002:2013.
● Certificar el cumplimiento legal / normativo necesario.
22. Fases
Plan Director de Ciberseguridad. Jon Azkarate
● Recogida de los datos necesarios desde el punto de vista de área de negocio.
● Diferentes pruebas (intrusión, red, malware, dispositivos móviles...)
● Inventariado del software /hardware.
● Recogida de evidencias.
● Estudio de los datos y elaboración de un informe previo.
● Comunicación a la organización del informe.
● Presentación del Plan Estratégico de Ciberseguridad.
● Aceptación por la Dirección del Plan Estratégico de Ciberseguridad.
● Desarrollo del Plan Director de Ciberseguridad.
● Identificación de Indicadores.
● Seguimiento del proyecto.