Protocolos de seguridad Francisco Prez Bes Secretario General
Protocolos de seguridad Francisco Pérez Bes Secretario General 10 y 11 de agosto de 2018
Proteger los sistemas Aquello que se conecta, es atacado 2
El Io. E El Io. T. Número de dispositivos electrónicos conectados internet 2016: 13. 400 millones. En 2020 serán 38. 500 millones. La amenaza botnet. 3
Un problema global. Una solución local. 4
El coste de un ciberincidente § § § Tiempo de inactividad forzosa Costes económicos del propio ataque Pérdida de datos Daño a la reputación Incluso pérdida de vidas. Hospitales § El debate jurídico: la imputación de la responsabilidad legal. § Responsabilidad civil por negligencia § Responsabilidad penal por pago de ransomware § Responsabilidad por malfuncionamiento de sistemas § Responsabilidad de los administradores § Responsabilidad de la Administración § … 5
Gestión de la seguridad de la información Debes entender contra qué te proteges Protección Recuperación Reacción Disuasión Detección Gestión de riesgos en abogacía 6
El riesgo en la ciberseguridad El riesgo es la proximidad de un daño. Para poder identificar los riesgos hay que prever los daños. Hay que conocer la empresa y las amenazas a las que se enfrenta (test autodiagnóstico). No pensar solo en el riesgo del dato. También hay riesgo del gestor, de proyectos… El riesgo es cambiante. También debería serlo la preocupación de la organización: la teoría de la Reina Roja. Gestión de riesgos en Abogacía 7
R=Px. I Donde: R= riesgo P= probabilidad I= impacto posible La Probabilidad es un elemento subjetivo. Si no es = 0, te ocurrirá. El Impacto (como daño interno o externo) y la responsabilidad son lo importante. Por eso es imprescindible hacer análisis de impacto (PIA) para evitar o minimizar los posibles daños (físicos, reputacionales, de continuidad de negocio…) y disminuir (buena fe, diligencia…) la responsabilidad legal del responsable (CISO, CEO…). Gestión de riesgos en abogacía 8
El Considerando 76 del RGPD dice: El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto. Obligación de análisis de riesgos y de implementar medidas técnicas y organizativas eficaces que eviten daños. Gestión de riesgos en Abogacía 9
El riesgo en el RGPD: el daño Los daños que menciona el RGPD para el caso de no tomar a tiempo las medidas de seguridad adecuadas incluyen daños y perjuicios físicos, materiales o inmateriales para las personas físicas, tales como: - Pérdida de control sobre sus datos personales Restricción de sus derechos Discriminación Usurpación de identidad Pérdidas financieras Reversión no autorizada de la seudonimización Daño para la reputación Pérdida de confidencialidad de datos sujetos al secreto profesional Cualquier otro perjuicio económico o social significativo Gestión de riesgos en abogacía 10
El riesgo y la ciberseguridad Artículo 25. Protección de datos desde el diseño y por defecto (Considerando 83). 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. Gestión de riesgos en Abogacía 11
El riesgo y la ciberseguridad Artículo 16 de la Ley NIS 1. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a este real decreto-ley. Sin perjuicio de su deber de notificar incidentes conforme al título V, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten. Se refiere a la obligación de crear un sistema de gestión de seguridad de la información (SGSI) basado en riesgos, que sea eficaz. Gestión de riesgos en Abogacía 12
Objeto de la protección Confidencialidad: la información sólo debe estar accesible para aquellos que estén autorizados. Integridad: la información debe permanecer inalterada y como el emisor la originó, sin manipulaciones externas. Disponibilidad: La información debe estar accesible cuando se requiera. Gestión de riesgos en Abogacía 13
Protocolos reactivos de ciberseguridad Los CERT: - DA 9ª LSSI - Directiva NIS / RD 12/2018, de 7 de septiembre - INCIBE CERT (antes CERTSI): - Centro antiransomware - Centro antibotnet - Alertas tempranas e ICARO - OCC / PIC Gestión de riesgos en abogacía 14
15
Protocolos preventivos de ciberseguridad Identificar las medidas técnicas adecuadas: disponibles, eficaces y actualizadas. Seguridad por capas: - Herramientas contra la suplantación de identidad VPN Cifrado Antivirus Anti-Ddos Copias de seguridad Antibotnet Anti-phishing CONAN Herramientas gratuitas Gestión de riesgos abogacia 16
Protocolos preventivos de ciberseguridad Medidas organizativas: Cultura de ciberseguridad - - Formación al empleado y a los socios (training) - MOOC - Itinerarios interactivos Concienciación (awareness) - Guías TIC - Aboga. TIPS en RRSS - Kit de concienciación - Difusión amenazas (fraude CEO, USB, wifi pública…) Sensibilización - Simulacros - Phishing - Fugas de datos Gestión de riesgos abogacia 17
El SGSI El Sistema de Gestión de Seguridad de la Información es una pluralidad de procesos 1) Ha de ser evidenciable y disponer de documentos que acrediten que se implementó. (”ya está. Ya lo he hecho”) Medición informal / semi-formal / Formal (ENS, ISO 31000) 2) Ha de ser eficaz y poder demostrar que funciona (“Pero, ¿lo has hecho bien? ”). Con auditorías y controles periódicos, evidencias documentales, indicadores, certificaciones, códigos de conducta… ¿Estoy adoptando las medidas adecuadas a mi situación y a los tratamientos que quiero hacer? ¿Estoy asumiendo demasiado riesgo? Haz simulacros. Gestión de riesgos en abogacía 18
Compliance: medidas técnicas. Dime qué tecnología usas y te diré qué estrategia puedes seguir – Base de datos de Gestión de la Configuración (CMDB): La CMDB es un repositorio de información donde se relacionan todos los componentes de un sistema de información, ya sean hardware, software, documentación, etc. (ITIL o ISO 20000). 19
Compliance: integridad Herramientas de cifrado de la información. - Cifrado de comunicaciones (VPN, SSL) Information Rights Management (IRM): evita perder la trazabilidad de un documento (Pe. Prot-on) 20
Compliance: disponibilidad Modo pro-activo: • Redundancia de equipos hardware (servidores, electrónica de red, cabinas de almacenamiento, corriente de alimentación…). • Redundancia de comunicaciones (varios canales de comunicación con varios proveedores): poder acceder a la misma información desde varios canales. • Monitorización: pe. NAGIOS – Sistema de monitorización de servicios (pe. Correo electrónico) ampliamente utilizado, de código abierto, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Modo reactivo: - Pérdida de datos: Back ups (copia de seguridad) - Daños de infraestructura: Centros de contingencia - SLA (Service Level Agreement). 21
Compliance: seguridad • Los Sistemas de Prevención de Intrusos (IPS): monitorización de tráfico que ayuda a la disponibilidad (proactivo). – Detección basada en firmas: como lo hace un antivirus. – Detección basada en políticas de seguridad. – Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico. – Honey pots. • Los Sistemas de Detección de Intrusos (IDS): sin capacidad de bloquear (sonda) Pe. Snort. • Firewalls de nueva generación (de capa 7): no bloquean puertos, sino aplicaciones (filtrado de tráfico): webs confiables • Antivirus: bloquea amenazas conocidas. • Sand box: análisis dinámico para bloquear amenazas desconocidas (simula entorno real y ejecuta el virus para ver su comportamiento). 22
Compliance: confidencialidad - Segregación de información: separar áreas en redes. - Configuración adecuada de permisos de acceso. - Auditoría y control periódicas: lo que marque el SGSI (Pe. Anual). - Gestión de identidades: solución que permite garantizar que los usuarios acceden sólo donde deben hacerlo. 23
Compliance: buenas prácticas Políticas internas: - Rotación de contraseñas - Actualizaciones de los equipos - Principio del mínimo privilegio Normativas de calidad: - SGSI: proceso de gestión para el diseño, implantación, mantenimiento de un conjunto - de procedimientos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. ISO 20000: implantación de procesos TI en las organizaciones 24
Muchas gracias por su atención Francisco Pérez Bes Secretario General Instituto Nacional de Ciberseguridad de España (INCIBE) francisco. perez@incibe. es @pacoperezbes 25
- Slides: 25