Documentación de la ponencia sobre "Seguridad Tic para la Pyme" impartida por D.Marco Antonio Lozano dentro de la la Jornada "Innovación en la protección de la información empresarial" celebrada el 25 de octubre de 2011, dentro del Programa Feria del Conocimiento. http://www.camarazamora.com/Noticia.asp?Id=145
2. Índice
1. El Instituto Nacional de las Tecnologías de la Comunicación, INTECO
2. La Seguridad TIC para la pyme
a. Una mirada a la empresa en España
b. Diez consejos básicos de seguridad para la pyme
3. Principales acciones del área de seguridad de INTECO
a. El Centro de Respuesta a Incidentes de Seguridad, INTECO-CERT
b. Principales Jornadas y eventos organizados por el CERT de INTECO
2
3. 1- El Instituto Nacional de Tecnologías de la
Comunicación, INTECO
3
4. ¿Qué es INTECO?
Instituto Nacional de Tecnologías de la Comunicación
Sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio (MITYC)
a través de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la
Información (SETSI)
Herramienta para la Sociedad de la Información
Gestión, asesoramiento, promoción y difusión de proyectos para la S.I.
Sus pilares son la investigación aplicada, la prestación de servicios y la
formación
4
5. Líneas estratégicas de INTECO
Líneas actuales de trabajo
Seguridad tecnológica
Accesibilidad
Calidad del software
Programa de impulso del SGSI en las Pymes
o Encomienda de gestión del Ministerio de Industria para el fomento de la implantación y certificación
en las Pymes en la ISO 27001
o Jornadas de difusión de la ISO 27001 por toda España
o Implantación y certificación final en 143 Pymes españolas
5
8. La empresa en España
Una mirada a la EMPRESA en España
Micro-
Sin Pequeñas Medianas PYME Grandes
empresas Total
asalariados (10-49) (50-249) (0-249) (250 o más)
(0-9)
Nº
1.774.005 1.354.176 137.161 20.843 3.286.185 5.078 3.165.619
empresas
Porcentaje
53,9 41,14 4,16 0,63 99,83 0,17 100
(%)
Fuente: INE, DIRCE, 2009 (datos a 1 de enero de 2010). Elaboración propia
Más del 99% de las
empresas en España
son PYME
España es un país de pymes
8
9. La empresa en España
EMPRESA e Incidentes de Seguridad
Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas 2008. Observatorio de la Seguridad de INTECO
9
10. La empresa en España
EMPRESA e Incidentes de Seguridad
Fuente: Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO
10
11. La empresa en España
EMPRESA e Incidentes de Seguridad
Fuente: Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO
11
12. La empresa en España
EMPRESA e Incidentes de Seguridad
Fuente: Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO
12
13. La empresa en España
EMPRESA e Incidentes de Seguridad
Fuente: Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO
13
14. La empresa en España
EMPRESA e Incidentes de Seguridad
Fuente: Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO
14
15. La empresa en España
PYME e incidencias de seguridad
Muchos de los incidentes de seguridad en las pymes no son detectados o se desconoce
su origen.
No se asocian como un riesgo para su negocio: pérdida económica real, de actividad, del
clientes o de imagen.
Importante ausencia en cuanto a la aplicación de políticas de seguridad, buenas prácticas
y un uso adecuado de los recursos y los medios de la empresas.
Los propios empleados son una importante fuente de incidentes de seguridad. El enemigo
también puede estar dentro.
Las pymes no se consideran “objetivo” y la seguridad no es una prioridad
Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas. Observatorio de la Seguridad de INTECO
15
16. 2.b) Diez consejos básicos de seguridad para
la pyme
16
17. Diez consejos de seguridad para la pyme
Consejo n.º 1: Instalar, utilizar y actualizar programas antimalware
Coste: bajo,
licencias
Conocimientos:
bajos-medios
Dirigido a: todo
usuario de
dispositivos
electrónicos
http://cert.inteco.es/software/Proteccion/utiles_gratuitos/
17
18. Diez consejos de seguridad para la pyme
Lo que se lee en la prensa
18
19. Diez consejos de seguridad para la pyme
Consejo n.º 2: Vigilar los adjuntos al email y las descargas
Coste: mínimo
Conocimientos:
bajos-medios
Dirigido a: todo el
que use
dispositivos
electrónicos
http://cert.inteco.es/Formacion/Amenazas/
19
20. Diez consejos de seguridad para la pyme
Lo que se lee en la prensa
20
21. Diez consejos de seguridad para la pyme
Consejo n.º 3: Mantener actualizado el software
Coste: moderado
Conocimientos:
medio-alto
Dirigido a:
soporte
informático
21
22. Diez consejos de seguridad para la pyme
Información sobre actualizaciones
22
23. Diez consejos de seguridad para la pyme
Consejo n.º 4: Desinstalar el software y borrar los discos de
equipos en desuso y eliminar cuentas de usuarios inactivas
Coste: mínimo
Conocimientos
: bajo-medio
Dirigido a:
soporte
informático
23
24. Diez consejos de seguridad para la pyme
Lo que se lee en la prensa
24
25. Diez consejos de seguridad para la pyme
Consejo n.º 5: Establecer controles físicos de acceso al
equipamiento informático
Coste: mínimo
Conocimientos:
bajo-medio
Dirigido a: todo
usuario de
dispositivos
electrónicos
25
26. Diez consejos de seguridad para la pyme
Consejo n.º 6: Implementar Seguridad en la Red con control de
acceso
Coste:
moderado-alto
Conocimientos:
medio-alto
Dirigido a:
soporte
informático y
usuarios
26
27. Diez consejos de seguridad para la pyme
LEGITIMIDAD EN LA PÁGINA VISITADA
Comprobar que la página que visitamos es del dominio o propietario que debe ser
• Certificados SSL-EV Certificados SSL
• Cómo lo interpretan los navegadores
27
28. Diez consejos de seguridad para la pyme
Consejo n.º 7: Limitar el acceso a los datos confidenciales y
sensibles (datos personales, transacciones bancarias,…)
Coste: moderado-
alto
Conocimientos:
medio-alto
Dirigido a: soporte
informático
28
29. Diez consejos de seguridad para la pyme
Consejo n.º 8: Asegurar su red Wi-Fi
Coste: Bajo-
Moderado
Conocimientos:
medio-alto
Dirigido a: soporte
informático
29
30. Diez consejos de seguridad para la pyme
Consejo n.º 9: Utilizar contraseñas robustas y cambiarlas con
frecuencia
Ejemplo de riesgo:
acceso de ex-empleados
descontentos, robo de
información confidencial,
destrucción…
Coste: mínimo
Conocimientos: bajos-medios
Dirigido a: todo el que use
dispositivos electrónicos
http://cert.inteco.es/Proteccion/Recomendaciones/Crear_una_contrasena_segura/
30
31. Diez consejos de seguridad para la pyme
Consejo n.º 10: Realizar copias de seguridad de ficheros,
carpetas y del software importante
Coste: moderado-
elevado
Conocimientos:
medio-alto
Dirigido a:
soporte
informático y
usuarios
31
32. 3. a) Principales acciones del área de seguridad
Centro de Respuesta a Incidentes INTECO-CERT
32
33. Misión y objetivos en INTECO-CERT
Objetivos
Impulsar la confianza en las nuevas tecnologías, promoviendo su uso de
forma segura y responsable
Minimizar los perjuicios ocasionados por incidentes de seguridad,
accidentes o fallos facilitando mecanismos de prevención y reacción
adecuados
Prevenir, informar, concienciar y formar a las entidades y al ciudadano
proporcionando información clara y concisa acerca de la tecnología y el
estado de la seguridad en Internet
33
34. Servicios INTECO-CERT
Servicios GRATUITOS en materia de seguridad: http://cert.inteco.es
Servicios de información Servicios de protección
Servicios de formación
Servicios de respuesta y soporte
FORMACIÓN ON-LINE
Sistema de gestión de la seguridad de la información (SGSI)
Introducción a la Seguridad de la Información
LOPD: Adecuación y cumplimiento
Introducción al DNI electrónico
Seguridad en Internet
Seguridad en el puesto de trabajo
Firma electrónica
34
35. 3. b) Jornadas y eventos
Centro de Respuesta a Incidentes INTECO-CERT
35
36. Principales eventos
Encuentro Internacional de Seguridad de la Información (ENISE). 5
Ediciones. La actual: “Hacia una sociedad conectada más confiable“
Eventos y seminarios ad-hoc en fechas señaladas. Internet Safer day,
Día de Internet, Semana de la seguridad, etc.
Jornadas bajo demanda para pymes y ciudadanos. Charlas de carácter
divulgativo en las que se informa acerca de los principales peligros y cómo
solucionar los problemas derivados
36
37. Si necesita más información
Toda la información en:
Portal WEB de INTECO-CERT: http://cert.inteco.es
Portal WEB de INTECO-CERT: http://cert.inteco.es
Buzón de contacto: contacto@cert.inteco.es
Buzón de contacto: contacto@cert.inteco.es
Buzón de incidentes: incidencias@cert.inteco.es
Buzón de incidentes: incidencias@cert.inteco.es
Buzón de fraude electrónico: fraude@cert.inteco.es
Buzón de fraude electrónico: fraude@cert.inteco.es
Buzón de asesoría legal: legal@cert.inteco.es
Buzón de asesoría legal: legal@cert.inteco.es
Buzón de jornadas: jornadas.pyme@inteco.es
Buzón de jornadas: jornadas.pyme@inteco.es
Buzón de catálogo: catalogo.demostrador@inteco.es
Buzón de catálogo: catalogo.demostrador@inteco.es
INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus
INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus
servicios de forma totalmente gratuita
servicios de forma totalmente gratuita
37