SlideShare una empresa de Scribd logo

Modelos de negocio de la "ciber-inseguridad"

David Matesanz
David Matesanz

Premio accésit en el Reto ISACA de Jóvenes profesionales 2014 El objetivo de la presentación.portancia de dar a conocer el cambio en las amenazas que sufren las empresas, así como explicar la evolución que han sufrido y la situación actual, en un idioma de escuela de negocios, con el fin de que lo pueda entender personal de dirección que no tengan por qué tener conocimientos técnicos pero que requieren comprender POR QUÉ y PARA QUÉ pueden atacar a su empresa.. Una vez entendido esto, y conociendo que hay más amenazas de las que una empresa media puede contener, propongo un modelo que se centre en priorización de amenazas en base a sus motivaciones. Para ello, en necesario conocer sus modelos de negocio dando a conocer que podemos ser tanto objetivos como medio para un ataque.

Tecnología
1 de 15
Modelos de negocio de la ciber-inseguridad David Matesanz Ureña d_matesanz@yahoo.com
1. Situación actual 2. Modelos de negocio 3. Mercado 4. Clasificación de amenazas y caso práctico Índice de la sesión
x Probabilidad Dependencia de las TIC Globalización / Internet Profesionalización de las amenazasDependencia de la información Falta de conocimiento de las amenazas =RIESGOImpacto Necesidad de gestionar el riesgo, recursos y flexibilidad David Matesanz Ureña 1. Situación actual ¿Por qué a mi?
David Matesanz Ureña 1. Situación actual
1. Situación actual 2. Modelos de negocio 3. Mercado, producto, precios. 4. Clasificación de amenazas y caso práctico Índice de la sesión David Matesanz Ureña
David Matesanz Ureña 2. Modelos de negocio El modelo de negocio hace referencia al “qué hacemos, cómo lo hacemos y cómo generamos ingresos en nuestra actividad”. Explica quiénes son tus clientes y cómo, a través de una clara propuesta de valor, tu modelo generará ingresos. Otros modelos de negocio, competencia
2. Modelos de negocio: Un APT Reconocimiento obtención de información Infección inicial intrusión Persistencia y borrado de huellas Extracción de la información para su venta o monetizacion Decisión sobre si comprar u obtener con técnicas de hacking Decisión sobre si hacer o comprar Malware, phising, como servicios o como productos para mi uso Decisión sobre control panel, rootkits y servicios de cifrado Decisión sobre si usar mi infraestructura o infraestructura alquilada, decisión de como explotar yo mismo o vender esta infromación Ingresos GastoObjetivo: David Matesanz Ureña • Al alcance de cualquiera • Altamente competitivo
1. Situación actual 2. Modelos de negocio 3. Mercado, producto, precios. 4. Clasificación de amenazas y caso práctico Índice de la sesión David Matesanz Ureña
*Estimated cost of cybercrime (Trend Micro) Tamaño y datos: • Mercado antivirus falsos 34 M€ al mes • Entrevista a un blackhat SbD: “unos ingresos aproximados mensuales de entre 1.700 a 3.000 euros” • APT1 : ¿empresa publica? MERCADO • Creciente a ritmos muy altos • Las superpotencias: China y Rusia • Materia Prima: Europa y EEUU 3. Mercado, producto, precios
David Matesanz Ureña Datos Servicios Productos v • Ataques D0S de servicio: de 54 a 250 € • Malware para evasión de antivirus o firma de código: entre 60 y 180 € al mes. • Servidores (bullet proof): 15 y 150 $ mes, incluso anti DoS • Distribución de software malicioso • Botnets entre 0,2 y 0,36€ por host. • Troyanos o RATS: 48 y 72 €. • Kits de phising 120€. • Webshells: de 26 a 62€ Blackhat SEO. • Credenciales: yahoo, gmail, amazon… entre 20€ y 100€. • Tarjetas de crédito entre 20 y 100€. • Datos personales y docs escaneados 5 €. 3. Mercado, producto, precios Ej. TARGET 70m tarjetas robadas X 30€ 2100 m€
1. Situación actual 2. Modelos de negocio 3. Mercado, producto, precios. 4. Clasificación de amenazas y caso práctico Índice de la sesión David Matesanz Ureña
1. Identifica tus activos o tu información relevante 2. Identifica quién te puede atacar 3. Qué acciones podrían realizar y cómo 4. Elimina las menos posibles 5. Selecciona los más preocupantes: por impacto por ocurrencia… 6. Analizar qué controles las contrarrestan 4. Clasificación de amenazas Atacante (ej crimen organizado) Acción Ej: Roba realiza mediante Vector de ataque Explotado de SW Ingeniera social Infección de malware … Extorsión *Using Threat Modelling as a Key Pillar of a Robust and Agile Information Security Framework: a Case Study from Credit Suisse – Daniel Barriuso Datos Controles Vulnerabilidad Infección de malware
David Matesanz Ureña 1. Identificación de Atacantes, Acciones y V. Ataque 5. Un ejemplo práctico Valoración Muchas veces Alguna vez Nunca Ocurrido en Correos 10 8 1 Ocurrencias en sector 8 5 1 Previsiones 5 1 0 2. Valoración Atacante Crackers/hackers Ciber Crimen Organizado Competencia/Espía Empleados/Ex- empleados Ciber activista Clientes Acción Abuso de imagen Robo de información Fraude Sabotaje Vandalismo Vectores de ataque Infección de malware Inyección de código/comandos Fuga de Información Acceso no autorizado/Suplantación de identidad Phishing Abuso de privilegios de acceso Error Humano Ejecución de comandos/código Alteración de la configuración/integridad DoS Ingeniería Social Escucha de red Muy preocupante Preocupante Poco preocupante 3. Clasificación
Beneficios 4. Clasificación de amenazas Eficiencia: permite priorizar recursos y aportar inteligencia a la gestión de amenazas y vulnerabilidades Mejora en la respuesta ante incidentes. Entender por qué Método objetivo y repetible de cálculo de la probabilidad Fácil de cambiar y actualizar en función de la evolución de las amenazas Rápido y sencillo, lenguaje común y entendible con la dirección y con otros empleados
¡Gracias! David Matesanz Ureña d_matesanz@yahoo.com david.matesanz@correos.com @davidof8

Recomendados

Ethical Hacking - Introduccion a la Metodologia de Ataque
Ethical Hacking - Introduccion a la Metodologia de AtaqueEthical Hacking - Introduccion a la Metodologia de Ataque
Ethical Hacking - Introduccion a la Metodologia de AtaqueDavid Narváez
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...RootedCON
 
Plan negocios internet
Plan negocios internetPlan negocios internet
Plan negocios internetLissette9240000
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadJorge Martínez Taboada
 
Ventajas y Desventajas de Contratar Hackers en las Empresas
Ventajas y Desventajas de Contratar Hackers en las EmpresasVentajas y Desventajas de Contratar Hackers en las Empresas
Ventajas y Desventajas de Contratar Hackers en las EmpresasIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Proyecto de word 30%
Proyecto de word 30%Proyecto de word 30%
Proyecto de word 30%francisco moralez
 

Recomendados

Ethical Hacking - Introduccion a la Metodologia de Ataque
Ethical Hacking - Introduccion a la Metodologia de AtaqueEthical Hacking - Introduccion a la Metodologia de Ataque
Ethical Hacking - Introduccion a la Metodologia de AtaqueDavid Narváez
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...
Eneko Astorquiza - Retos de Seguridad en el Sector de Apuestas Deportivas Onl...RootedCON
 
Plan negocios internet
Plan negocios internetPlan negocios internet
Plan negocios internetLissette9240000
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadJorge Martínez Taboada
 
Ventajas y Desventajas de Contratar Hackers en las Empresas
Ventajas y Desventajas de Contratar Hackers en las EmpresasVentajas y Desventajas de Contratar Hackers en las Empresas
Ventajas y Desventajas de Contratar Hackers en las EmpresasIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Proyecto de word 30%
Proyecto de word 30%Proyecto de word 30%
Proyecto de word 30%francisco moralez
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Consideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresasConsideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresasVAOC1984
 
S1 cdsi1
S1 cdsi1S1 cdsi1
S1 cdsi1Luis Fernando Aguas Bucheli
 
S1 cdsi1-1
S1 cdsi1-1S1 cdsi1-1
S1 cdsi1-1Luis Fernando Aguas Bucheli
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasLuciano Moreira da Cruz
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti CiberseguridadPMI Capítulo México
 
Presentación Seguridad Informática para docencia y otros usuarios en red: uso...
Presentación Seguridad Informática para docencia y otros usuarios en red: uso...Presentación Seguridad Informática para docencia y otros usuarios en red: uso...
Presentación Seguridad Informática para docencia y otros usuarios en red: uso...Área de Innovación Universidad Internacional de Andalucía
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigoEsc. de Bach, Enrique Laubscher
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfFabricioGallardo8
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfIngenieria8
 
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
S3 cdsi1-1Luis Fernando Aguas Bucheli
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1Luis Fernando Aguas Bucheli
 
SeguridadBasica_U4_2023.ppsx
SeguridadBasica_U4_2023.ppsxSeguridadBasica_U4_2023.ppsx
SeguridadBasica_U4_2023.ppsxluisangelrinconherna
 
Seguridad de la información 2017
Seguridad de la información 2017Seguridad de la información 2017
Seguridad de la información 2017Ronald Torrez
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redcarinaGrajeda
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redJorge Arroyo
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Más contenido relacionado

Similar a Modelos de negocio de la "ciber-inseguridad"

Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Consideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresasConsideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresasVAOC1984
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasLuciano Moreira da Cruz
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfFabricioGallardo8
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfIngenieria8
 
Seguridad de la información 2017
Seguridad de la información 2017Seguridad de la información 2017
Seguridad de la información 2017Ronald Torrez
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redJorge Arroyo
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 

Similar a Modelos de negocio de la "ciber-inseguridad" (20)

Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Consideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresasConsideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresas
 
S1 cdsi1
S1 cdsi1S1 cdsi1
S1 cdsi1
 
S1 cdsi1-1
S1 cdsi1-1S1 cdsi1-1
S1 cdsi1-1
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazas
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti Ciberseguridad
 
Presentación Seguridad Informática para docencia y otros usuarios en red: uso...
Presentación Seguridad Informática para docencia y otros usuarios en red: uso...Presentación Seguridad Informática para docencia y otros usuarios en red: uso...
Presentación Seguridad Informática para docencia y otros usuarios en red: uso...
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigo
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdf
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdf
 
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
S3 cdsi1-1
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
SeguridadBasica_U4_2023.ppsx
SeguridadBasica_U4_2023.ppsxSeguridadBasica_U4_2023.ppsx
SeguridadBasica_U4_2023.ppsx
 
Seguridad de la información 2017
Seguridad de la información 2017Seguridad de la información 2017
Seguridad de la información 2017
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la red
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 

Último

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 

Último (10)

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 

Modelos de negocio de la "ciber-inseguridad"

  • 1. Modelos de negocio de la ciber-inseguridad David Matesanz Ureña d_matesanz@yahoo.com
  • 2. 1. Situación actual 2. Modelos de negocio 3. Mercado 4. Clasificación de amenazas y caso práctico Índice de la sesión
  • 3. x Probabilidad Dependencia de las TIC Globalización / Internet Profesionalización de las amenazasDependencia de la información Falta de conocimiento de las amenazas =RIESGOImpacto Necesidad de gestionar el riesgo, recursos y flexibilidad David Matesanz Ureña 1. Situación actual ¿Por qué a mi?
  • 4. David Matesanz Ureña 1. Situación actual
  • 5. 1. Situación actual 2. Modelos de negocio 3. Mercado, producto, precios. 4. Clasificación de amenazas y caso práctico Índice de la sesión David Matesanz Ureña
  • 6. David Matesanz Ureña 2. Modelos de negocio El modelo de negocio hace referencia al “qué hacemos, cómo lo hacemos y cómo generamos ingresos en nuestra actividad”. Explica quiénes son tus clientes y cómo, a través de una clara propuesta de valor, tu modelo generará ingresos. Otros modelos de negocio, competencia
  • 7. 2. Modelos de negocio: Un APT Reconocimiento obtención de información Infección inicial intrusión Persistencia y borrado de huellas Extracción de la información para su venta o monetizacion Decisión sobre si comprar u obtener con técnicas de hacking Decisión sobre si hacer o comprar Malware, phising, como servicios o como productos para mi uso Decisión sobre control panel, rootkits y servicios de cifrado Decisión sobre si usar mi infraestructura o infraestructura alquilada, decisión de como explotar yo mismo o vender esta infromación Ingresos GastoObjetivo: David Matesanz Ureña • Al alcance de cualquiera • Altamente competitivo
  • 8. 1. Situación actual 2. Modelos de negocio 3. Mercado, producto, precios. 4. Clasificación de amenazas y caso práctico Índice de la sesión David Matesanz Ureña
  • 9. *Estimated cost of cybercrime (Trend Micro) Tamaño y datos: • Mercado antivirus falsos 34 M€ al mes • Entrevista a un blackhat SbD: “unos ingresos aproximados mensuales de entre 1.700 a 3.000 euros” • APT1 : ¿empresa publica? MERCADO • Creciente a ritmos muy altos • Las superpotencias: China y Rusia • Materia Prima: Europa y EEUU 3. Mercado, producto, precios
  • 10. David Matesanz Ureña Datos Servicios Productos v • Ataques D0S de servicio: de 54 a 250 € • Malware para evasión de antivirus o firma de código: entre 60 y 180 € al mes. • Servidores (bullet proof): 15 y 150 $ mes, incluso anti DoS • Distribución de software malicioso • Botnets entre 0,2 y 0,36€ por host. • Troyanos o RATS: 48 y 72 €. • Kits de phising 120€. • Webshells: de 26 a 62€ Blackhat SEO. • Credenciales: yahoo, gmail, amazon… entre 20€ y 100€. • Tarjetas de crédito entre 20 y 100€. • Datos personales y docs escaneados 5 €. 3. Mercado, producto, precios Ej. TARGET 70m tarjetas robadas X 30€ 2100 m€
  • 11. 1. Situación actual 2. Modelos de negocio 3. Mercado, producto, precios. 4. Clasificación de amenazas y caso práctico Índice de la sesión David Matesanz Ureña
  • 12. 1. Identifica tus activos o tu información relevante 2. Identifica quién te puede atacar 3. Qué acciones podrían realizar y cómo 4. Elimina las menos posibles 5. Selecciona los más preocupantes: por impacto por ocurrencia… 6. Analizar qué controles las contrarrestan 4. Clasificación de amenazas Atacante (ej crimen organizado) Acción Ej: Roba realiza mediante Vector de ataque Explotado de SW Ingeniera social Infección de malware … Extorsión *Using Threat Modelling as a Key Pillar of a Robust and Agile Information Security Framework: a Case Study from Credit Suisse – Daniel Barriuso Datos Controles Vulnerabilidad Infección de malware
  • 13. David Matesanz Ureña 1. Identificación de Atacantes, Acciones y V. Ataque 5. Un ejemplo práctico Valoración Muchas veces Alguna vez Nunca Ocurrido en Correos 10 8 1 Ocurrencias en sector 8 5 1 Previsiones 5 1 0 2. Valoración Atacante Crackers/hackers Ciber Crimen Organizado Competencia/Espía Empleados/Ex- empleados Ciber activista Clientes Acción Abuso de imagen Robo de información Fraude Sabotaje Vandalismo Vectores de ataque Infección de malware Inyección de código/comandos Fuga de Información Acceso no autorizado/Suplantación de identidad Phishing Abuso de privilegios de acceso Error Humano Ejecución de comandos/código Alteración de la configuración/integridad DoS Ingeniería Social Escucha de red Muy preocupante Preocupante Poco preocupante 3. Clasificación
  • 14. Beneficios 4. Clasificación de amenazas Eficiencia: permite priorizar recursos y aportar inteligencia a la gestión de amenazas y vulnerabilidades Mejora en la respuesta ante incidentes. Entender por qué Método objetivo y repetible de cálculo de la probabilidad Fácil de cambiar y actualizar en función de la evolución de las amenazas Rápido y sencillo, lenguaje común y entendible con la dirección y con otros empleados

Notas del editor

  1. Competencia Crecimiento Carrera ciberespacial
  2. Esto provoca dos cosas: Que cualquiera con dinero tiene al alcance hacer un ataque avanzado Que es un entorno altamente competitivo
  3. Aquí pintar tabla de riesgos valorados y clasificados
  4. Venta de bots para hacer publicidad Valores añadidos: garantía, pruebas gratis, saldos garantizados
  5. Otros ejemplos que se pueden poner durante la presentacion: Competencia comete sabotaje mediante DoS Cracker comete sabotaje mediante malware Crimen organizado comete abuso de imagen mediante phising