SlideShare una empresa de Scribd logo

Gestión Seguridad IT: ABM-REXEL

David Jimenez Yun
David Jimenez Yun
Tecnología
1 de 48
Gestión de la Seguridad en IT: ABM-REXEL 9 Mayo de 2013 David Jiménez Yun Jefe de Sistemas y Comunicaciones
Agenda • Presentación Grupo Rexel • Seguridad de la Información • Predicciones / Tendencias • Continuidad de negocio. Business Case. Visión. • Auditoría intrusión - Hacking Ético. Abast • Desafio actual / futuro: MOBILIDAD • Q&A 2
Presentación Grupo Rexel 3
Grupo Rexel en el Mundo • Líder Global en la Distribución de suministros eléctricos. • Cifras globales: 37 países, 2.300 delegaciones, 140 Centros Logísticos, 31.000 empleados. • Ventas globales 2012: 13.4 b€
Grupo Rexel en España • Líder en la Distribución de material eléctrico en España. • 2 Compañías: ABM-REXEL y ERKA • Cifras globales: 71 delegaciones, 720 empleados. • Soluciones de negocio para Eficiencia Energética, Iluminación, Productos Industriales, Domótica, Energías renovables, Obra nueva y rehabilitación, Climatización, sistemas de cableado, … seguridad. • Ventas globales 2012: 246 m€ (15% cuota mercado)
Seguridad de la Información 6
Necesidad • La información y sus procesos, los sistemas y las redes que lo soportan, son importantes activos de negocio. • La definición, consecución, mantenimiento y mejora de la seguridad de la información es esencial para mantener la competitividad, rentabilidad, imagen, … • Las organizaciones y sus SI se enfrentan con continuas amenazas de seguridad que proceden de una amplía variedad de fuentes (fraude, espionaje, vandalismo, sabotaje, incendio, inundación, …) • Los ataques cada vez son más comunes, ambiciosos y sofisticados. • Confidencialidad, integridad, disponibilidad.
SGSI • Sistema de Gestión de la Seguridad de la Información. • Propósito: Garantizar que los riesgos de los SI son conocidos, asumidos, gestionados y minimizados de una forma sistemática, documentada, estructurada, continua, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. • Seguridad Total -> IMPOSIBLE; Gestionar Riesgo asumible -> REAL • Ciclo de Deming:  PLAN: Evaluar amenazas, riesgos y sus impactos. -> Activos.  DO: Seleccionar e implementar controles que reduzcan el riesgo a niveles aceptados.  CHECK: Recogida de evidencias.  ACT: Adaptar los controles según los nuevos niveles requeridos.
Predicciones / Tendencias 9
Predicciones / Tendencias • #1 Privacidad online será un modo de vida.
Predicciones / Tendencias • #2 Explosión acceso webs desde móviles.
Predicciones / Tendencias • #3 Velocidad de consumo de información: Incrementará.
Predicciones / Tendencias • #4 Almacenamiento datos en la nube. Será la norma.
Predicciones / Tendencias • #5 Más gente utilizará la tecnología con fines dañinos.
Continuidad de negocio. Business Case. Visión. 15
Continuidad de negocio 16 Incendio Edificio Windsor Y si mañana nos pasara a nosotros???
BCP • Objetivo: Reaccionar posible interrupción actividad empresarial, y proteger los procesos críticos de negocio de desastres o fallos importantes, hasta un nivel aceptable mediante una combinación de controles preventivos y de recuperación. 17 Identificar los procesos críticos de negocio Identificar los activos que participan en esos procesos Evaluar los riesgos en base a las posibles amenazas Definir controles preventivos Definir Plan de Actuación
BCP – Identificación de procesos críticos Proceso Crítico Impactoen cliente Coste asociadoa inactividad Probabilidad queocurra Total Peso Ordende importancia Proceso 1 Proceso 2 Proceso 3 … … … Proceso n 18 1. MÍNIMO 2. LEVE 3. MODERADO 4. ALTO 5. CRÍTICO
BCP – Identificación de activos en esos procesos Proceso Crítico Activo1 Activo2 Activo3 … Activon Impactoen cliente Coste asociadoa inactividad Probabilidad queocurra Total Peso Ordende importancia Proceso 1 Proceso 2 Proceso 3 … … … Proceso n Valoración ponderada Orden de criticidad del activo 19 1. MÍNIMO 2. LEVE 3. MODERADO 4. ALTO 5. CRÍTICO 0. Sin relación 1. Relación débil 3. Relación media 9. Relación fuerte
BCP – Evaluación de riesgos 20 Probabilidad Impacto económico Tiempo de Recuperación Total Nº Alta Media Baja Bajo Medio Alto Bajo Medio Grave Eventos 1 2 3 1 2 3 1 2 3 Evento 1 Evento 2 Evento 3 Evento 4 … Evento n
BCP - Alcance • Informe de mitigación de riesgos (controles preventivos) • Servicio y soporte operativo según especificaciones. • Tiempo de respuesta no superior a 4 horas. • Garantizada permanencia en centro de respaldo por un período máximo de 90 días. • Sala técnica en el centro de respaldo durante eventual desastre y pruebas. • Gestión del servicio 24x7 • Contingencia (Total/Parcial). • Soportes magnéticos (custodia) • Asistencia en el proceso de recuperación.
BCP - Topología
BCP – Plan de Actuación • Identificación y respuesta ante una contigencia. • Activación del Plan de Contingencia. • Recuperación de los servicios en el Centro de Respaldo • Recuperación de los servicios en el Centro principal y vuelta a la normalidad.
Auditoría intrusión - Hacking Ético. Abast 24
Auditoría Seguridad • Objetivo: Informe de evaluación global de la seguridad de los SI ante posibles ataques e intrusiones. • Fases: a. Tests de penetración desde el exterior. b. Tests de penetración desde el interior. c. Ingeniería Social. d. Conclusiones finales.
Auditoría Seguridad – Tests desde el exterior • Objetivo: Conseguir el acceso a la red de forma no autorizada desde Internet. • Recopilación de datos públicos (DNS, direcciones IP públicas, …) • Identificación de servicios sobre direccionamiento público. • Análisis puntos débiles servicios localizados. • Explotación vulnerabilidades servicios descubiertos. • Red inalámbrica. • Análisis de reglas de firewall.
Auditoría Seguridad – Tests desde el interior • Un gran porcentaje de ataques y actividades no autorizadas que sufren las compañias, provienen de fuentes internas. • Explotar servicios como DNS y NetBios (Listado de equipos, topología de dominio, usuarios) • Identificación de servicios y posterior análisis posibles puntos débiles. • Análisis puntos débiles servicios localizados. • Listado de usuarios y contraseñas mediante análisis criptotráficos. • Perfil de trabajador descontento.
Auditoría Seguridad – Ingeniería social • Qué es Ingeniería social??: Conjunto de técnicas que tratan de obtener la información de acceso directamente desde las personas • Suplantación de identidad. • Acceso del personal de limpieza a oficinas. • Señuelos. • Intento de acceso al almacén.
Desafío actual / futuro: MOVILIDAD 29
Desafío actual / futuro: MOVILIDAD Miles de objetos perdidos y abandonados cada año en taxis Ej. New York
Desafío actual / futuro: MOVILIDAD 1 Kit de dentadura postiza
Desafío actual / futuro: MOVILIDAD 2 perros
Desafío actual / futuro: MOVILIDAD 12 faisanes muertos
Desafío actual / futuro: MOVILIDAD Tarros de incinerados
Desafío actual / futuro: MOVILIDAD Y UN BEBÉ!!!!!!
Desafío actual / futuro: MOVILIDAD OH!! … casi lo olvido ….
Desafío actual / futuro: MOVILIDAD 60.000 teléfonos móviles!!!!!!
Seguridad Movilidad: Riesgos robo Muchos de estos dispositivos pueden contener 10K FOTOS 200K EMAILS 20K DOCS 5K CONTACTS SI tu teléfono cae en manos equivocadas … cuantos datos confidenciales de clientes, proveedores, info confidencial, … estaría en riesgo???
Seguridad Movilidad: Interceptar comunicación TE SUENA FAMILIAR??? CUANDO FUE LA ÚLTIMA VEZ QUE ACCEDISTE A UN PUNTO DE ACCESO LIBRE DE WIFI???
Seguridad Movilidad: Interceptar comunicación LOS RIESGOS ESTÁN POR TODOS LOS LADOS
Seguridad Movilidad: Ataques Dispositivos móviles Navegadores Internet Desbordamiento buffer Aplicaciones Denegación de Servicio Control remoto …
Seguridad Movilidad: Ataques malware • Según Juniper … • … entre 2010 y 2011, los ataques de malware a Android crecieron un 400%
Seguridad Movilidad: Ataques malware • Antes …
Seguridad Movilidad: Ataques malware • Después …
Seguridad Movilidad: Amenazas infiltrados • Finalmente las amenazas también pueden venir desde dentro de tu organización … Empleados descontentos Errores humanos Fugas información Espionaje …
Seguridad Movilidad: Riesgos - Resumen • Robos, extravíos • Intercepción de comunicación • Ataques por código a Web/Apps/… • Ataques malware • Amenazas internas
Seguridad Movilidad: Posibles soluciones • BYOD -> Definición política de seguridad y uso. • Gestión de dispositivos móviles  Soluciones MDM, MAM  Seguridad adicional (tokens, SSL VPN, …)  Medidas emergentes (apps virtualizadas, sandbox, Túneles VPN • Finalmente … identifica los activos, sus amenazas, tus vulnerabilidades, la probabilidad de que estos ocurran, y cual es el riesgo que quieres asumir.
Q&A 48 David Jiménez Yun djimenez@abm.es

Recomendados

Preguntas y respuestas.
Preguntas y respuestas.Preguntas y respuestas.
Preguntas y respuestas.SenaCta_Cartago
 
Honeywellesintrusioncatalogo2006
Honeywellesintrusioncatalogo2006Honeywellesintrusioncatalogo2006
Honeywellesintrusioncatalogo2006Luis Ortega
 
Estudiodecasogrupo1tarea8
Estudiodecasogrupo1tarea8Estudiodecasogrupo1tarea8
Estudiodecasogrupo1tarea8Luis Jimenez
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...RootedCON
 
Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01CliAtec
 
Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01CliAtec
 
Soluciones cliatec infraestructura_2015-09
Soluciones cliatec infraestructura_2015-09Soluciones cliatec infraestructura_2015-09
Soluciones cliatec infraestructura_2015-09CliAtec
 

Recomendados

Preguntas y respuestas.
Preguntas y respuestas.Preguntas y respuestas.
Preguntas y respuestas.SenaCta_Cartago
 
Honeywellesintrusioncatalogo2006
Honeywellesintrusioncatalogo2006Honeywellesintrusioncatalogo2006
Honeywellesintrusioncatalogo2006Luis Ortega
 
Estudiodecasogrupo1tarea8
Estudiodecasogrupo1tarea8Estudiodecasogrupo1tarea8
Estudiodecasogrupo1tarea8Luis Jimenez
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...RootedCON
 
Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01CliAtec
 
Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01Soluciones cli atec infraestructura_2016-01
Soluciones cli atec infraestructura_2016-01CliAtec
 
Soluciones cliatec infraestructura_2015-09
Soluciones cliatec infraestructura_2015-09Soluciones cliatec infraestructura_2015-09
Soluciones cliatec infraestructura_2015-09CliAtec
 
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...Nextel S.A.
 
Portafolio trabajo final-UDELAS
Portafolio trabajo final-UDELASPortafolio trabajo final-UDELAS
Portafolio trabajo final-UDELASclaudiobroce
 
Mi PequeñA Empresa
Mi PequeñA EmpresaMi PequeñA Empresa
Mi PequeñA Empresasolis_coin
 
Betaleadership, DevOps y Agile @ Venca, evento en Nexica
Betaleadership, DevOps y Agile @ Venca, evento en NexicaBetaleadership, DevOps y Agile @ Venca, evento en Nexica
Betaleadership, DevOps y Agile @ Venca, evento en NexicaSylvain Loubradou
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Presentación Corporativa Saytel
Presentación Corporativa Saytel Presentación Corporativa Saytel
Presentación Corporativa Saytel Saytel
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeJosep Bardallo
 
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14COIICV
 
Plantilla diseño industrial y de servicios
Plantilla diseño industrial y de serviciosPlantilla diseño industrial y de servicios
Plantilla diseño industrial y de serviciosAlbeiro280
 
Gestión de Proyectos - Capítulo II y III
Gestión de Proyectos - Capítulo II y IIIGestión de Proyectos - Capítulo II y III
Gestión de Proyectos - Capítulo II y IIIAndy Juan Sarango Veliz
 
Schneider electric presentación
Schneider electric presentación Schneider electric presentación
Schneider electric presentación Mariana Gámiz
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidadErnestoVasquez31
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...COIICV
 
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectosCurso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectosJack Daniel Cáceres Meza
 
Candado Digital
Candado DigitalCandado Digital
Candado DigitalRichard Huett
 
Candado Digital
Candado DigitalCandado Digital
Candado DigitalRichard Huett
 
Clase 4 it management. (may 2012)
Clase 4 it management. (may 2012)Clase 4 it management. (may 2012)
Clase 4 it management. (may 2012)Javier Juliac
 
CURRICULUM
CURRICULUMCURRICULUM
CURRICULUMJhonatanWilebaldoCru
 
Cloud Disaster and Recovery Plan
Cloud Disaster and Recovery PlanCloud Disaster and Recovery Plan
Cloud Disaster and Recovery PlanEventos Creativos
 
trabajofinalMejora de MetodosBet.docx
trabajofinalMejora de MetodosBet.docxtrabajofinalMejora de MetodosBet.docx
trabajofinalMejora de MetodosBet.docxBethDuranCisneros
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 

Más contenido relacionado

Similar a Gestión Seguridad IT: ABM-REXEL

¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...Nextel S.A.
 
Portafolio trabajo final-UDELAS
Portafolio trabajo final-UDELASPortafolio trabajo final-UDELAS
Portafolio trabajo final-UDELASclaudiobroce
 
Mi PequeñA Empresa
Mi PequeñA EmpresaMi PequeñA Empresa
Mi PequeñA Empresasolis_coin
 
Betaleadership, DevOps y Agile @ Venca, evento en Nexica
Betaleadership, DevOps y Agile @ Venca, evento en NexicaBetaleadership, DevOps y Agile @ Venca, evento en Nexica
Betaleadership, DevOps y Agile @ Venca, evento en NexicaSylvain Loubradou
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Presentación Corporativa Saytel
Presentación Corporativa Saytel Presentación Corporativa Saytel
Presentación Corporativa Saytel Saytel
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeJosep Bardallo
 
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14COIICV
 
Plantilla diseño industrial y de servicios
Plantilla diseño industrial y de serviciosPlantilla diseño industrial y de servicios
Plantilla diseño industrial y de serviciosAlbeiro280
 
Gestión de Proyectos - Capítulo II y III
Gestión de Proyectos - Capítulo II y IIIGestión de Proyectos - Capítulo II y III
Gestión de Proyectos - Capítulo II y IIIAndy Juan Sarango Veliz
 
Schneider electric presentación
Schneider electric presentación Schneider electric presentación
Schneider electric presentación Mariana Gámiz
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidadErnestoVasquez31
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...COIICV
 
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectosCurso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectosJack Daniel Cáceres Meza
 
Clase 4 it management. (may 2012)
Clase 4 it management. (may 2012)Clase 4 it management. (may 2012)
Clase 4 it management. (may 2012)Javier Juliac
 
Cloud Disaster and Recovery Plan
Cloud Disaster and Recovery PlanCloud Disaster and Recovery Plan
Cloud Disaster and Recovery PlanEventos Creativos
 
trabajofinalMejora de MetodosBet.docx
trabajofinalMejora de MetodosBet.docxtrabajofinalMejora de MetodosBet.docx
trabajofinalMejora de MetodosBet.docxBethDuranCisneros
 

Similar a Gestión Seguridad IT: ABM-REXEL (20)

¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
 
Portafolio trabajo final-UDELAS
Portafolio trabajo final-UDELASPortafolio trabajo final-UDELAS
Portafolio trabajo final-UDELAS
 
Mi PequeñA Empresa
Mi PequeñA EmpresaMi PequeñA Empresa
Mi PequeñA Empresa
 
Betaleadership, DevOps y Agile @ Venca, evento en Nexica
Betaleadership, DevOps y Agile @ Venca, evento en NexicaBetaleadership, DevOps y Agile @ Venca, evento en Nexica
Betaleadership, DevOps y Agile @ Venca, evento en Nexica
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Presentación Corporativa Saytel
Presentación Corporativa Saytel Presentación Corporativa Saytel
Presentación Corporativa Saytel
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nube
 
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
 
Plantilla diseño industrial y de servicios
Plantilla diseño industrial y de serviciosPlantilla diseño industrial y de servicios
Plantilla diseño industrial y de servicios
 
Gestión de Proyectos - Capítulo II y III
Gestión de Proyectos - Capítulo II y IIIGestión de Proyectos - Capítulo II y III
Gestión de Proyectos - Capítulo II y III
 
Schneider electric presentación
Schneider electric presentación Schneider electric presentación
Schneider electric presentación
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidad
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
 
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectosCurso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
Curso: Proyecto de sistemas de comunicación: 01 Teoría general de proyectos
 
Candado Digital
Candado DigitalCandado Digital
Candado Digital
 
Candado Digital
Candado DigitalCandado Digital
Candado Digital
 
Clase 4 it management. (may 2012)
Clase 4 it management. (may 2012)Clase 4 it management. (may 2012)
Clase 4 it management. (may 2012)
 
CURRICULUM
CURRICULUMCURRICULUM
CURRICULUM
 
Cloud Disaster and Recovery Plan
Cloud Disaster and Recovery PlanCloud Disaster and Recovery Plan
Cloud Disaster and Recovery Plan
 
trabajofinalMejora de MetodosBet.docx
trabajofinalMejora de MetodosBet.docxtrabajofinalMejora de MetodosBet.docx
trabajofinalMejora de MetodosBet.docx
 

Último

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Último (19)

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

Gestión Seguridad IT: ABM-REXEL

  • 1. Gestión de la Seguridad en IT: ABM-REXEL 9 Mayo de 2013 David Jiménez Yun Jefe de Sistemas y Comunicaciones
  • 2. Agenda • Presentación Grupo Rexel • Seguridad de la Información • Predicciones / Tendencias • Continuidad de negocio. Business Case. Visión. • Auditoría intrusión - Hacking Ético. Abast • Desafio actual / futuro: MOBILIDAD • Q&A 2
  • 4. Grupo Rexel en el Mundo • Líder Global en la Distribución de suministros eléctricos. • Cifras globales: 37 países, 2.300 delegaciones, 140 Centros Logísticos, 31.000 empleados. • Ventas globales 2012: 13.4 b€
  • 5. Grupo Rexel en España • Líder en la Distribución de material eléctrico en España. • 2 Compañías: ABM-REXEL y ERKA • Cifras globales: 71 delegaciones, 720 empleados. • Soluciones de negocio para Eficiencia Energética, Iluminación, Productos Industriales, Domótica, Energías renovables, Obra nueva y rehabilitación, Climatización, sistemas de cableado, … seguridad. • Ventas globales 2012: 246 m€ (15% cuota mercado)
  • 6. Seguridad de la Información 6
  • 7. Necesidad • La información y sus procesos, los sistemas y las redes que lo soportan, son importantes activos de negocio. • La definición, consecución, mantenimiento y mejora de la seguridad de la información es esencial para mantener la competitividad, rentabilidad, imagen, … • Las organizaciones y sus SI se enfrentan con continuas amenazas de seguridad que proceden de una amplía variedad de fuentes (fraude, espionaje, vandalismo, sabotaje, incendio, inundación, …) • Los ataques cada vez son más comunes, ambiciosos y sofisticados. • Confidencialidad, integridad, disponibilidad.
  • 8. SGSI • Sistema de Gestión de la Seguridad de la Información. • Propósito: Garantizar que los riesgos de los SI son conocidos, asumidos, gestionados y minimizados de una forma sistemática, documentada, estructurada, continua, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. • Seguridad Total -> IMPOSIBLE; Gestionar Riesgo asumible -> REAL • Ciclo de Deming:  PLAN: Evaluar amenazas, riesgos y sus impactos. -> Activos.  DO: Seleccionar e implementar controles que reduzcan el riesgo a niveles aceptados.  CHECK: Recogida de evidencias.  ACT: Adaptar los controles según los nuevos niveles requeridos.
  • 10. Predicciones / Tendencias • #1 Privacidad online será un modo de vida.
  • 11. Predicciones / Tendencias • #2 Explosión acceso webs desde móviles.
  • 12. Predicciones / Tendencias • #3 Velocidad de consumo de información: Incrementará.
  • 13. Predicciones / Tendencias • #4 Almacenamiento datos en la nube. Será la norma.
  • 14. Predicciones / Tendencias • #5 Más gente utilizará la tecnología con fines dañinos.
  • 15. Continuidad de negocio. Business Case. Visión. 15
  • 16. Continuidad de negocio 16 Incendio Edificio Windsor Y si mañana nos pasara a nosotros???
  • 17. BCP • Objetivo: Reaccionar posible interrupción actividad empresarial, y proteger los procesos críticos de negocio de desastres o fallos importantes, hasta un nivel aceptable mediante una combinación de controles preventivos y de recuperación. 17 Identificar los procesos críticos de negocio Identificar los activos que participan en esos procesos Evaluar los riesgos en base a las posibles amenazas Definir controles preventivos Definir Plan de Actuación
  • 18. BCP – Identificación de procesos críticos Proceso Crítico Impactoen cliente Coste asociadoa inactividad Probabilidad queocurra Total Peso Ordende importancia Proceso 1 Proceso 2 Proceso 3 … … … Proceso n 18 1. MÍNIMO 2. LEVE 3. MODERADO 4. ALTO 5. CRÍTICO
  • 19. BCP – Identificación de activos en esos procesos Proceso Crítico Activo1 Activo2 Activo3 … Activon Impactoen cliente Coste asociadoa inactividad Probabilidad queocurra Total Peso Ordende importancia Proceso 1 Proceso 2 Proceso 3 … … … Proceso n Valoración ponderada Orden de criticidad del activo 19 1. MÍNIMO 2. LEVE 3. MODERADO 4. ALTO 5. CRÍTICO 0. Sin relación 1. Relación débil 3. Relación media 9. Relación fuerte
  • 20. BCP – Evaluación de riesgos 20 Probabilidad Impacto económico Tiempo de Recuperación Total Nº Alta Media Baja Bajo Medio Alto Bajo Medio Grave Eventos 1 2 3 1 2 3 1 2 3 Evento 1 Evento 2 Evento 3 Evento 4 … Evento n
  • 21. BCP - Alcance • Informe de mitigación de riesgos (controles preventivos) • Servicio y soporte operativo según especificaciones. • Tiempo de respuesta no superior a 4 horas. • Garantizada permanencia en centro de respaldo por un período máximo de 90 días. • Sala técnica en el centro de respaldo durante eventual desastre y pruebas. • Gestión del servicio 24x7 • Contingencia (Total/Parcial). • Soportes magnéticos (custodia) • Asistencia en el proceso de recuperación.
  • 23. BCP – Plan de Actuación • Identificación y respuesta ante una contigencia. • Activación del Plan de Contingencia. • Recuperación de los servicios en el Centro de Respaldo • Recuperación de los servicios en el Centro principal y vuelta a la normalidad.
  • 24. Auditoría intrusión - Hacking Ético. Abast 24
  • 25. Auditoría Seguridad • Objetivo: Informe de evaluación global de la seguridad de los SI ante posibles ataques e intrusiones. • Fases: a. Tests de penetración desde el exterior. b. Tests de penetración desde el interior. c. Ingeniería Social. d. Conclusiones finales.
  • 26. Auditoría Seguridad – Tests desde el exterior • Objetivo: Conseguir el acceso a la red de forma no autorizada desde Internet. • Recopilación de datos públicos (DNS, direcciones IP públicas, …) • Identificación de servicios sobre direccionamiento público. • Análisis puntos débiles servicios localizados. • Explotación vulnerabilidades servicios descubiertos. • Red inalámbrica. • Análisis de reglas de firewall.
  • 27. Auditoría Seguridad – Tests desde el interior • Un gran porcentaje de ataques y actividades no autorizadas que sufren las compañias, provienen de fuentes internas. • Explotar servicios como DNS y NetBios (Listado de equipos, topología de dominio, usuarios) • Identificación de servicios y posterior análisis posibles puntos débiles. • Análisis puntos débiles servicios localizados. • Listado de usuarios y contraseñas mediante análisis criptotráficos. • Perfil de trabajador descontento.
  • 28. Auditoría Seguridad – Ingeniería social • Qué es Ingeniería social??: Conjunto de técnicas que tratan de obtener la información de acceso directamente desde las personas • Suplantación de identidad. • Acceso del personal de limpieza a oficinas. • Señuelos. • Intento de acceso al almacén.
  • 29. Desafío actual / futuro: MOVILIDAD 29
  • 30. Desafío actual / futuro: MOVILIDAD Miles de objetos perdidos y abandonados cada año en taxis Ej. New York
  • 31. Desafío actual / futuro: MOVILIDAD 1 Kit de dentadura postiza
  • 32. Desafío actual / futuro: MOVILIDAD 2 perros
  • 33. Desafío actual / futuro: MOVILIDAD 12 faisanes muertos
  • 34. Desafío actual / futuro: MOVILIDAD Tarros de incinerados
  • 35. Desafío actual / futuro: MOVILIDAD Y UN BEBÉ!!!!!!
  • 36. Desafío actual / futuro: MOVILIDAD OH!! … casi lo olvido ….
  • 37. Desafío actual / futuro: MOVILIDAD 60.000 teléfonos móviles!!!!!!
  • 38. Seguridad Movilidad: Riesgos robo Muchos de estos dispositivos pueden contener 10K FOTOS 200K EMAILS 20K DOCS 5K CONTACTS SI tu teléfono cae en manos equivocadas … cuantos datos confidenciales de clientes, proveedores, info confidencial, … estaría en riesgo???
  • 39. Seguridad Movilidad: Interceptar comunicación TE SUENA FAMILIAR??? CUANDO FUE LA ÚLTIMA VEZ QUE ACCEDISTE A UN PUNTO DE ACCESO LIBRE DE WIFI???
  • 40. Seguridad Movilidad: Interceptar comunicación LOS RIESGOS ESTÁN POR TODOS LOS LADOS
  • 41. Seguridad Movilidad: Ataques Dispositivos móviles Navegadores Internet Desbordamiento buffer Aplicaciones Denegación de Servicio Control remoto …
  • 42. Seguridad Movilidad: Ataques malware • Según Juniper … • … entre 2010 y 2011, los ataques de malware a Android crecieron un 400%
  • 43. Seguridad Movilidad: Ataques malware • Antes …
  • 44. Seguridad Movilidad: Ataques malware • Después …
  • 45. Seguridad Movilidad: Amenazas infiltrados • Finalmente las amenazas también pueden venir desde dentro de tu organización … Empleados descontentos Errores humanos Fugas información Espionaje …
  • 46. Seguridad Movilidad: Riesgos - Resumen • Robos, extravíos • Intercepción de comunicación • Ataques por código a Web/Apps/… • Ataques malware • Amenazas internas
  • 47. Seguridad Movilidad: Posibles soluciones • BYOD -> Definición política de seguridad y uso. • Gestión de dispositivos móviles  Soluciones MDM, MAM  Seguridad adicional (tokens, SSL VPN, …)  Medidas emergentes (apps virtualizadas, sandbox, Túneles VPN • Finalmente … identifica los activos, sus amenazas, tus vulnerabilidades, la probabilidad de que estos ocurran, y cual es el riesgo que quieres asumir.

Notas del editor

  1. Metodología de Magerit para agrupar activos (utilizada en la administración): - Servicios (procesos de negocio de la organización). Ej Gestión de nóminas. - Datos e información (manipula dentro de la organización). Núcleo del sistema, y el resto de activos le da soporte de almacenamiento - Aplicaciones de software. - Equipos informáticos - Personal (interno, externo, subcontratado, …) - Redes de comunicación: Soporte por el movimiento de información dentro de la organización. - Soporte de información: Almacenamiento - Equipamiento auxiliar. (destructoras de papel, equipos de climatización, …) - Instalaciones: Oficinas, edificios, vehículos. - Intangibles: Imagen y reputación de la empresa.Descripción Activo: - Descripción, información y propietario (define el grado de seguridad). Ej, BBDD clientes: usuarios -&gt; comerciales; gestión -&gt; IT; propietario -&gt; Dtor. ComercialValoración de los activos en funcion de la relevancia que tengan para la organización y del impacto que sobre el mismo pueda causar a la Compañía.Confidencialidad, integridad y disponibilidad: 3 pilares. Ej BBDD clientes (activo): Qué impacto tendría para el negocio que alguien tuviese acceso a la BBDD de clientes y modificase los datos de los mismos?Hilar con la creación de un SGSI
  2. El negocio determina cual es el umbral de riesgo sobre un activo y/o proceso de la organización. Un riesgo calculado por debajo del umbral de riesgo, queda como un riesgo residual y por tanto, se considera asumible. Si estamos por encima del umbral, entonces debemos determinar acciones para reducir el riesgo.
  3. Nueva era digital. Todos conectados digitalmente. Estudios preven que para el final de la década estemos todos conectados. El futuro deberá enfocarse por tanto, en las relaciones humanas definidas por las herramientas digitales.Estas predicciones y/o tendencias van muy ligadas con el nuevo foco que habrá que poner en materia de seguridad para situaciones que probablemente no tengamos contempladas en el presente.
  4. Las barreras entre lo público y lo privado se desvanecen.Cada vez entregamos más datos personales en linea. Publicamos en todo momento lo que nos acontece en nuestra vida personal y profesional, y eso trae consecuencias en la seguridad. En las escuelas se acabará enseñando muy pronto cuestiones sobre seguridad y privacidad informática.Los padres necesitarán estar involucrados y pendientes de la vida de sus hijos con el fin de que su vida virtual no dañe su vida física. Algunos, en algún estudio he leído, llamarán de forma deliberada a sus hijos con nombre únicos o inusuales, para que estos tengan una ventaja sobre los demás en los resultados de búsqueda y puedan ser fáciles de localizar y tengan capacidad de promoción en linea.iPhone: actual sistema de desbloqueo con contraseña. Futuro: sensor de huellas dactilares. Apple estaría (aparentemente) en búsqueda de un material resistente capaz de recubrir y proteger el dispositivo y de no interferir en el sistema de reconocimiento dactilar. El sensor solo permitiría desbloquear el dispositivo con aquellas huellas reconocidas por el propietario del teléfono.Google. Bancos Whyyournextphone?: sistema de bloqueo con contraseña. De 0000 a 9999, tenemos 10.000 combinaciones posibles de passwords. En un estudio que se realizó sobre 3,4 millpasswords, el 10% era 1234 y el 6% 1111. Muy predecible. Los usuarios siempre han demandado sistemas más rápidos y seguros para acceder al contenido. La identificación biométrica es la única que podrá usar características únicas de cada individuo, y por lo tanto, se resuelve como más efectiva. Lector de huellas en pantalla, reconocimiento facial a través de la cámara y reconocimiento de voz a través de grabaciones de audio. A nivel personal almacenamos gran cantidad de datos íntimos en los teléfonos, y en los negocios, comienza el fenómeno BYOD.Wedon’tneed a national ID card: identificación biométrica de nuevo. Rapidez, mayor rapidez. Un ejemplo. Ghana: batió un record del mundo registrando y verificando biométricamente a 13 mill personas en 48 horas.
  5. +650 millones de usuarios de teléfonos móviles en África+/- 3.000 millones en Asia.Las tasas de adopción se han disparado por todas partes.Pescadoras congoleñas.
  6. Uso de las redes sociales a nivel personal y en los negocios.&quot;Cada generación futura podrá producir y consumir más información que la anterior y las personas tendrán poca paciencia o uso de los medios que no podrán seguir el ritmo”“Las organizaciones de noticias permanecerán como una parte importante e integral de la sociedad en varias formas, pero muchos medios no sobrevivirán en su forma actual; y aquellos que sobrevivan tendrán que ajustar sus metas, métodos y estructura organizacional para cumplir con las demandas cambiantes de un nuevo público global”.Este &apos;tuit&apos; alteró lo que hasta entonces era una tranquila jornada del Dow Jones con avances de un 1 por ciento. En un instante, la ligera subida de más de 130 puntos básicos se tornó en una caída de unos 150. Lo que podía convertirse en una catástrofe económica duró apenas un minuto. Fue el tiempo que necesitó la agencia en anunciar que su cuenta había sido pirateada. El portavoz de la Casa Blanca, JayCarney, también tuvo que salir a la palestra para certificar que el presidente estadounidense se encontraba en perfecto estado.Igual que se sembró el pánico, el voluble Dow Jones retomó la calma y recuperó los niveles que tenía antes de conocerse el caso, mientras que AssociatedPress suspendía su cuenta en Twitter y explicaba que otros periodistas de la agencia habían sufrido el intento de robo de sus contraseñas.Tuit falso en AssociatedPress. La agencia tuvo que cerrar su cuenta en twitter y anunciar que había habido varios intentos de robos de contraseñas a varios periodistas de la agencia. El derrumbe en bolsa solo duró 1 minuto, lo que tardo la agencia en desmentirlo, pero un fallo de seguridad de su cuenta en twitter le provocó un serio problema de credibilidad y de pérdida de imagen.
  7. La nube llegó para quedarse.Casi todos nuestros documentos y conversaciones quedarán almacenadas, y las acciones, desde los “Me gusta” a los sitios que visistas. Toda la información accesible. Perfil muy definido.A nivel empresa, documentos, datos, bbdd, confidenciales almacenado en la nube.&quot;La posibilidad de que el contenido personal de cada persona sea publicado y salga a la luz un día; ya sea por error o a través de interferencia criminal, siempre existirá. Las personas serán responsables de sus asociaciones virtuales, pasadas y presentes, lo que aumenta el riesgo para casi todas las personas debido a que las redes en línea tienden a ser más grandes y más difusas que sus redes físicas”, escriben.
  8. Casi todos los vehículos fabricados en los años pasados están integrados por circuitos de computadoras, desde unidades sencillas de entretenimiento hasta sofisticados sistemas de seguridad que controlan los frenos y la aceleración.Y la tecnología sigue avanzando. Google está trabajando en el proyecto de un automóvil que se maneja solo el cual puede cambiar el futuro del automovilismo.Con sistemas de autoasistencia capaces de prevenir choques o pedir ayuda después de accidentes, los automóviles nunca han sido más seguros.Pero incorporar enlaces de teléfonos celulares, Bluetooth o incluso transmisores de radio de bajo alcance sólo sirve para aumentar la posibilidad de que esta tecnología se ponga en nuestra contra.an existido ejemplos en la vida real: un exempleado de una empresa que ofrecía sistemas de inmovilización de vehículos a través de la web, pudo inhabilitar 100 automóviles en Austin, Texas en el 2010.“Un escenario terrible es tener 100 automóviles en un puente: 50% con el freno puesto y el otro 50% con el acelerador ”, añadió Contos. “La colisión que algo así podría causar sólo con un ataque a distancia, es algo bastante aterrador”.Otra posibilidad prevista por Contos es que los hackers usen ondas de radio para modificar presión en los neumáticos. “¿Y qué pasa después? Lógicamente (los usuarios) se detendrán a revisar las llantas, y esa es la mejor manera en la que pueden robar tu vehículo”.Añadió: “Tu automóvil puede saber dónde estás en cualquier momento y eso es maravilloso en cuestiones de seguridad, pero la desventaja de ese potencial es que alguien conocerá dónde estás cada segundo, y eso es algo con lo que vamos a tener que trabajar”.Muchas de las poblaciones que entrarán en línea en la próxima década son muy jóvenes y viven en áreas agitadas, con oportunidades económicas limitadas y largas historias de conflictos internos y externos. Por supuesto, el terrorismo nunca desaparecerá, y continuará con un impacto destructivo”, escriben los autores.“Pero a medida que los terroristas del futuro sean forzados a vivir en el mundo físico y virtual, su modelo de secretismo y discreción sufrirá. Habrá más ojos digitales en observación, más interacciones grabadas, y, por más cuidadosos que son los terroristas más sofisticados, no pueden esconderse completamente en línea”.
  9. Catastrofes, (11-S, Torre Windsor), erupciones volcánicas, tornados, terremotos, tsunamis, inundaciones, … -&gt; Probabilidad bajaCortes de suministro eléctrico, virus, phising, sabotajes intencionados, piratas informáticos, empleados y/o colaboradores descontentos, errores humanos, fallos y/o averías hardware -&gt; habitual -&gt; efecto negativos sobre el negocio, imagen, posición competitiva, relaciones con clientes y proveedores. Creciente dependencia de los SI sobre las operaciones de la Compañía -&gt; agrava la situación.La mayor y más peligrosa amenaza es aquella creencia que dice que “esos problemas siempre les ocurren a los demás y a mi nunca me va a pasar”. (mi buena estrella)
  10. Razones que justifiquen - Un estudio del DisasterRecoveryInstitute afirma que el 90% de las empresas que tienen pérdidas significativas de datos quiebra en 3 años. - 40% de empresas que sufren un desastre no vuelve a abrir nunca y el 60% cierra en 3 años. - Un estudio de la firma de analistas “Enterprise StrategyGroup” indica que el mercado contaba con un promedio de 30% de fallos en copias de seguridad y de un 50% de fallos en procesos de restauración. (Cuantas pruebas al año hacemos de restauración?) - IBM realizó un estudio a nivel internacionalsobre los sectores que más sufren interrupciones en las actividades de negocio en base a desastres. Banca y Finanzas 26%, Gobierno, AAPP e instituciones 19%, Educación 11,3%, Industria 10,9%, Servicios 9,5%, Comunicaciones 8,2% - Una encuesta realizada por “Freedom Dynamics” entre más de 700 directivos de TI (incluidos españoles). Pérdida de datos críticos para el negocio y el tiempo de actividad de este son 2 de los mayores riesgos a los que se enfrenta un director de TI.Si esto no es suficiente habría que preguntarse si tal y como está el mercado, crisis, sin sus datos, sistemas TI, red, teléfonos, oficinas y personal, en cuanto tiempo y de qué forma podría recuperar su actividad normal. Si la respuesta fuese un “no lo se” o “no me lo he planteado” …Entrevista y encuesta a los principales usuarios y propietarios de esos procesos.http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_07.swfFase 1. Análisis de impacto: conocer las vulnerabilidades actuales de nuestros SI en base a las amenazas y a su probabilidad de ocurrencia en nuestros sistemas e instalaciones (actualización de antivirus – ejecución código malicioso, no actualización de parches – intrusión, material inflamable cpd – incendio, proceso baja empleado – sabotaje, borrado, fuga, politicas firewall mal definidas – intrusion). Identificar que servicios IT soportan los servicios críticos de la Compañía. Conocer nivel de servicio deseado y tiempo de recuperación.Desarrollo plan de contingencia.Identificación controles preventivos.Fase II. Planes de recuperación ante desastres.Fase III. Simulación, entrenamiento y corrección.
  11. Procesos críticos: entrada de pedido de cliente, facturación, pricing, gestión inventario físico en almacenes, gestión de devoluciones, envio y entrega de pedidos a PV y/o cliente, …
  12. Se planteo analizar vulnerabilidades existentes sobre las comunicaciones y sobre los accesos físicos a la compañía y a la informaciónhttp://www.sites.upiicsa.ipn.mx/polilibros/z_basura/HTML/UNIDAD%206/CONTENIDO/Con%20Unidad%206_1.htmLas medidas a tomar, no necesitan inversión en nuevos activos ya que consiste replantear la filosofiay configuracion de ciertos servicios.
  13. Reglas del firewallServicios públicos en internet, hosting, puertos que permitían conexiones, abiertos.Accesos al interior desde redes wifi.Servicios dmzAccesos potencialmente peligrosos han sido traspasados a la vpnNormalmente casi todos ponemos mucho énfasis en proteger los sistemas desde fuera, y nos dejamos ciertos asuntos de seguridad internos en manos de la buena fe y concienciacion de los de dentro.
  14. Seguridad contraseñas servicios, DAAcceso del administrador o administradores de DA a toda la información sensible. Bien esta que puda darse acceso, pero que no disponga del todo.Usuarios locales con acceso BIOS. Posibilidad arrancar sistema desde dispositivos externos.Se ha basado principalmente en 4 escenarios: - empleado descontento - consultor “malvado” - personal de limpieza deshonesto - invitado con un equipo provisto de red inalámbrica.
  15. Datos confidenciales de mis clientes en manos de un tercero!!!Y esto es solo un tipo de amenaza de seguridad …. Ahora veremos más. Ah, pero hay mas? Tristemente, si. Se podría decir que tenemos 5 tipos de amenazas.
  16. Robo e intercepción de comunicación.El teléfono es el compañero ideal de viaje: pequeño, cabe en cualquier sitio, portátil, poco peso, … es decir, so facilísimos de robar!!! O también de dejarlos abandonados en taxis, aeropuertos, hoteles, …
  17. Donde fue?? No recuerdo exactamente la verdad. Ha habido unas cuantas.
  18. Todos los empleados de perfil móvil, o que puedan acceder a información de compañía desde sus propios dispositivos no estan exentos de riesgos.Adem´ñas los propios dispositivos móviles con wifi son susceptibles de recibir infiltraciones que afecten a otros dipositivoswifi.
  19. Objetivo: obtener el control del dispositivo y poder acceder a su contenido.Los ataques son similares a los que hemos sufrido en el pasado en los PCs.Desbordamiento de buffer: almacenar datos en un espacio que no es suficientemente grande. Muchos lenguajes no realizan comprobaciones para evitarlo, y bloquean aplicación.DoS: causa que un servicio no sea accesible por los usuarios. Dirigidos al servicio de email, wifi, bluetooth, 3G -&gt; a través de SMS, correos
  20. Ataques malware, esto ya no está solopara PCs. Esto está en pleno auge para todos los SO más predominantes.
  21. Por ejemplo, compartir información corporativa de un móvil a otro entre compañeros, viola los sistemas de seguridad normales de una compañía.