Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

EJIE - ¿Por dónde empezar en ciberseguridad?

3.042 visualizaciones

Publicado el

Presentación de Juan José Carrasco, responsable de seguridad de EJIE S.A,.sobre por dónde empezar en ciberseguridad en el Brunch & Learn sobre ciberseguridad organizado del 15 de julio de 2016 en las instalaciones de Innobasque de Lekandene

Publicado en: Internet
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

EJIE - ¿Por dónde empezar en ciberseguridad?

  1. 1. Mediterráneo, 14  01010 Vitoria-Gasteiz  Posta-kutxatila / Apartado: 809  01080 Vitoria-Gasteiz  Tel. 945 01 73 00*  Fax. 945 01 73 01  www.ejie.eus Ciberseguridad… ¿Por dónde empezar? 15 julio 2016
  2. 2. Entorno… 2
  3. 3. El ENTORNO 3  Papeles de Panamá: plugin de Wordpress y Drupal antiguo.  Andrés Sepúlveda afirma haber alterado campañas electorales durante ocho años dentro de Latinoamérica.  Rusia ha sido acusada de dejar inoperativo el control de tráfico aéreo sueco  El “Presbyterian Medical Center Hollywood” suspendió sus servicios durante 10 días por infección con “ransomware”.  US hospitals hacked with ancient exploits (The company says the modern security systems in place at the hospitals did not eradicate the old malware using vulnerabilities such as MS08-067 which was dangerous only to Windows XP systems.)  28/6/2016
  4. 4. El ENTORNO 4  “Petya”: cifra MBR y pide rescate en “bitcoins” – ….Descubierto cómo recuperar los datos cifrados por “Petya”  Cryptoworm, un ransomware capaz de distribuirse por sí mismo  Europol, 1/3/2016, detienen a 700 muleros.  Los ciberdelincuentes empiezan a organizarse ….." disponen de amplios recursos y de un personal muy cualificado a nivel técnico, que opera con tal eficiencia que incluso tiene un horario laboral normal, se toma días libres los fines de semana y coge vacaciones ... Hemos llegado a ver ciberdelincuentes de bajo nivel que crean operativas de call center para incrementar el impacto de sus estafas",
  5. 5. El ENTORNO 5  27/6/2016 “Hackeado” el jefe de Google  “El cibercrimen se duplica (El Mundo)”  “Ransomware” hasta en la TV  HummingBad, el último «terror» en Android  Piratas informáticos roban millones de euros a varios bancos  Etc, etc, etc
  6. 6. El ENTORNO 6  Herramientas… – www.maltego.com – https://shodan.io, google dorks – http://Insecam.com – www.exploit-db.com , metaexploit, armitage… – http://www.volatilityfoundation.org/ – http://www.cellebrite.com/  Sólo es necesario tener tiempo (y ser un inconsciente) o interés
  7. 7. Ecosistema… 7
  8. 8. COMPONENTES DEL ECOSISTEMA DE ¿CIBER?SEGURIDAD 8  Tecnología – Tenemos las “piezas”: NGFW, AV, CASB, SIEM, SWG, IDS/IPS, DLP….¿Las sabemos “unir”? ¿Y “usar”?  Normativa – Legislación Protección de Datos – Legislación AAPP: ENS/ENI, Procedimiento administrativo 39/2015 – Legislación Seguridad Privada – ISO/PCI/SOX/Etc  Aplicaciones/productos/servicios  Personas  Seguridad física, lógica, ¿”integral”?
  9. 9. PREGUNTAS QUE DEBERÍAMOS HACERNOS 9  ¿Tenemos servidores Windows 2003/2000/NT?  ¿Equipos con XP?  ¿Dropbox/GoogleDrive/etc?  ¿Utilizamos programa para gestión credenciales?  ¿Y autenticación multifactor?  ¿Usamos WiFi no controladas?  ¿Tenemos estrategia de realización de copias de seguridad?  ¿Y el plan de Continuidad de negocio?  ¿Sabemos cuales son nuestros “tesoros”?
  10. 10. PERSONAS 10 “Veo personas que no se preocupan por la seguridad” ¿Dónde está mi correo?
  11. 11. EMPECEMOS POR LAS PERSONAS 11  ¿A quién le toca? –Percepción de lejanía: “a mi no me toca” –“Eso es de los de informática”… “ya me lo arreglarán” –Yo estoy “exento”/“modo jefe”/NIMBY –Quiero el iPhone 10 –Instálame esto….
  12. 12. Y CONTINUEMOS POR LAS APLICACIONES/SISTEMAS 12  “Internet de las cosas”, Aplicaciones, servicios para terceros…… –¿Hay credenciales por defecto? –¿Hacemos análisis de vulnerabilidades? –¿Bastionamos? –¿Hemos previsto cómo actualizar los Sistemas? Parches, nuevas versiones… – Aparte de precio, funcionalidad y plazo, ¿hemos tenido en cuenta otras cosas? –“Privacy by design”
  13. 13. El ENTORNO 13  Niveles de “phishing” – ¿”Aficionado”? (No, es professional): • Faltas de ortografía / Traducción automática • Diseño pobre • Origen desconocido • Pretextos poco trabajados – “Avanzado” (“Spear phishing”, “whaling”): • Diseño trabajado y creible • Pretextos plausibles • Datos de contexto adecuados – Amenaza Persistente Avanzada (APT)
  14. 14. El ENTORNO 14  State of the Phish 2016 – Phishing en aumento exponencial: más organizaciones, más ataques, más sofisticados, multivector – 85% han sufrido ataques – 60% detectan más que el año anterior – 67% han sufrido “spear phishing” – 55% vía llamada telefónica o sms – Etc.
  15. 15. El ENTORNO 15  State of the Phish 2016
  16. 16. EMPECEMOS POR… 16  Vamos a lo sencillo/fácil/barato, (“Nosotros”): – Contratar/realizar simulación de “phishing”, con difusión interna de los resultados – Complementar con Formación “online”: píldoras interactivas – Proponer/enseñar a TODOS sus usuarios cómo implementar medidas básicas, tanto en el ámbito corporativo como en el privado. (Empiecen por ustedes mismos y la Dirección de empresa)
  17. 17. EMPECEMOS POR… 17 AVISO: esto no significa que no sea necesario aplicar otras medidas … Tengan en cuenta los aspectos de seguridad en los proyectos y servicios de sus clientes
  18. 18. EJIE 18
  19. 19. EJIE 19  En la casa: – Servicios comunes para aplicaciones y servicios: autenticación centralizada, tramitación, presencia en Internet, pasarela de pagos, gestión documental, etc – …. Proyectos convergencia en la AAPP – Automatización, automatización, automatización – Monitorización, monitorización, monitorización – Reducción obsolescencia  En la casa… y para terceros: – UDA (http://uda-ejie.github.io/) – Arinbide – Modelo SQA (aseguramiento de la Calidad)  Para todos: http://www.kzgunea.eus/
  20. 20. CONCLUSIONES 20  Estamos siendo atacados  No hemos interiorizado nuestra responsabilidad en la gestión de la “ciberseguridad”. Ni exigimos “privacidad por defecto” ni, a veces, la proporcionamos  Estamos fallando en lo básico: empecemos en primera persona y por lo más sencillo   Protéjanse en el ámbito particular   Ayuden a proteger su organización   Exijan protección   “Jueguen”, investiguen, “prueben” (con gaseosa)
  21. 21. ¿Preguntas? 21  Muchas gracias…….
  22. 22. PARA “JUGAR” 22  “Inquietos”  Ver página 6  https://pwsafe.org/  Activen autenticación multifactor en servicios de Google, Office 365, Eversync, etc… Y verán como NO pueden en Amazon.  https://www.grc.com/shieldsup  https://www.boxcryptor.com/es  https://veracrypt.codeplex.com/  http://www.axantum.com/axcrypt/  Microsoft Baseline Security Analyzer  Implementen en su casa copia de seguridad “off line”  Prueben https://metashieldanalyzer.elevenpaths.com/

×