4. Grupo Rexel en el Mundo
• Líder Global en la Distribución de suministros eléctricos.
• Cifras globales: 37 países, 2.300 delegaciones, 140 Centros Logísticos,
31.000 empleados.
• Ventas globales 2012: 13.4 b€
5. Grupo Rexel en España
• Líder en la Distribución de material eléctrico en España.
• 2 Compañías: ABM-REXEL y ERKA
• Cifras globales: 71 delegaciones, 720 empleados.
• Soluciones de negocio para Eficiencia Energética, Iluminación,
Productos Industriales, Domótica, Energías renovables, Obra nueva y
rehabilitación, Climatización, sistemas de cableado, … seguridad.
• Ventas globales 2012: 246 m€ (15% cuota mercado)
7. Necesidad
• La información y sus procesos, los sistemas y las redes que lo soportan,
son importantes activos de negocio.
• La definición, consecución, mantenimiento y mejora de la seguridad de
la información es esencial para mantener la competitividad,
rentabilidad, imagen, …
• Las organizaciones y sus SI se enfrentan con continuas amenazas de
seguridad que proceden de una amplía variedad de fuentes (fraude,
espionaje, vandalismo, sabotaje, incendio, inundación, …)
• Los ataques cada vez son más comunes, ambiciosos y sofisticados.
• Confidencialidad, integridad, disponibilidad.
8. SGSI
• Sistema de Gestión de la Seguridad de la Información.
• Propósito: Garantizar que los riesgos de los SI son conocidos,
asumidos, gestionados y minimizados de una forma sistemática,
documentada, estructurada, continua, eficiente y adaptada a los
cambios que se produzcan en la organización, los riesgos, el entorno y
las tecnologías.
• Seguridad Total -> IMPOSIBLE; Gestionar Riesgo asumible -> REAL
• Ciclo de Deming:
PLAN: Evaluar amenazas, riesgos y sus impactos. -> Activos.
DO: Seleccionar e implementar controles que reduzcan el riesgo a niveles aceptados.
CHECK: Recogida de evidencias.
ACT: Adaptar los controles según los nuevos niveles requeridos.
17. BCP
• Objetivo: Reaccionar posible interrupción actividad empresarial, y proteger
los procesos críticos de negocio de desastres o fallos importantes, hasta un
nivel aceptable mediante una combinación de controles preventivos y de
recuperación.
17
Identificar los procesos críticos de negocio
Identificar los activos que participan en
esos procesos
Evaluar los riesgos en base a las posibles
amenazas
Definir controles preventivos
Definir Plan de Actuación
18. BCP – Identificación de procesos críticos
Proceso Crítico Impactoen
cliente
Coste
asociadoa
inactividad
Probabilidad
queocurra
Total
Peso
Ordende
importancia
Proceso 1
Proceso 2
Proceso 3
…
…
…
Proceso n
18
1. MÍNIMO
2. LEVE
3. MODERADO
4. ALTO
5. CRÍTICO
19. BCP – Identificación de activos en esos procesos
Proceso
Crítico
Activo1
Activo2
Activo3
…
Activon
Impactoen
cliente
Coste
asociadoa
inactividad
Probabilidad
queocurra
Total
Peso
Ordende
importancia
Proceso 1
Proceso 2
Proceso 3
…
…
…
Proceso n
Valoración
ponderada
Orden de criticidad
del activo
19
1. MÍNIMO
2. LEVE
3. MODERADO
4. ALTO
5. CRÍTICO
0. Sin relación
1. Relación débil
3. Relación media
9. Relación fuerte
20. BCP – Evaluación de riesgos
20
Probabilidad Impacto económico Tiempo de Recuperación
Total Nº
Alta
Media
Baja
Bajo
Medio
Alto
Bajo
Medio
Grave
Eventos 1 2 3 1 2 3 1 2 3
Evento 1
Evento 2
Evento 3
Evento 4
…
Evento n
21. BCP - Alcance
• Informe de mitigación de riesgos (controles preventivos)
• Servicio y soporte operativo según especificaciones.
• Tiempo de respuesta no superior a 4 horas.
• Garantizada permanencia en centro de respaldo por un período máximo
de 90 días.
• Sala técnica en el centro de respaldo durante eventual desastre y
pruebas.
• Gestión del servicio 24x7
• Contingencia (Total/Parcial).
• Soportes magnéticos (custodia)
• Asistencia en el proceso de recuperación.
23. BCP – Plan de Actuación
• Identificación y respuesta ante una contigencia.
• Activación del Plan de Contingencia.
• Recuperación de los servicios en el Centro de Respaldo
• Recuperación de los servicios en el Centro principal y vuelta a la
normalidad.
25. Auditoría Seguridad
• Objetivo: Informe de evaluación global de la seguridad de los SI ante
posibles ataques e intrusiones.
• Fases:
a. Tests de penetración desde el exterior.
b. Tests de penetración desde el interior.
c. Ingeniería Social.
d. Conclusiones finales.
26. Auditoría Seguridad – Tests desde el exterior
• Objetivo: Conseguir el acceso a la red de forma no autorizada desde
Internet.
• Recopilación de datos públicos (DNS, direcciones IP públicas, …)
• Identificación de servicios sobre direccionamiento público.
• Análisis puntos débiles servicios localizados.
• Explotación vulnerabilidades servicios descubiertos.
• Red inalámbrica.
• Análisis de reglas de firewall.
27. Auditoría Seguridad – Tests desde el interior
• Un gran porcentaje de ataques y actividades no autorizadas que sufren
las compañias, provienen de fuentes internas.
• Explotar servicios como DNS y NetBios (Listado de equipos, topología
de dominio, usuarios)
• Identificación de servicios y posterior análisis posibles puntos débiles.
• Análisis puntos débiles servicios localizados.
• Listado de usuarios y contraseñas mediante análisis criptotráficos.
• Perfil de trabajador descontento.
28. Auditoría Seguridad – Ingeniería social
• Qué es Ingeniería social??: Conjunto de técnicas que tratan de obtener
la información de acceso directamente desde las personas
• Suplantación de identidad.
• Acceso del personal de limpieza a oficinas.
• Señuelos.
• Intento de acceso al almacén.
37. Desafío actual / futuro: MOVILIDAD
60.000 teléfonos
móviles!!!!!!
38. Seguridad Movilidad: Riesgos robo
Muchos de estos dispositivos pueden contener
10K FOTOS 200K EMAILS 20K DOCS 5K CONTACTS
SI tu teléfono cae en manos
equivocadas … cuantos datos
confidenciales de clientes,
proveedores, info confidencial,
… estaría en riesgo???
39. Seguridad Movilidad: Interceptar comunicación
TE SUENA FAMILIAR???
CUANDO FUE LA ÚLTIMA
VEZ QUE ACCEDISTE A
UN PUNTO DE ACCESO
LIBRE DE WIFI???
45. Seguridad Movilidad: Amenazas infiltrados
• Finalmente las amenazas también pueden venir desde dentro de tu
organización …
Empleados
descontentos
Errores
humanos
Fugas
información
Espionaje
…
46. Seguridad Movilidad: Riesgos - Resumen
• Robos, extravíos
• Intercepción de comunicación
• Ataques por código a Web/Apps/…
• Ataques malware
• Amenazas internas
47. Seguridad Movilidad: Posibles soluciones
• BYOD -> Definición política de seguridad y uso.
• Gestión de dispositivos móviles
Soluciones MDM, MAM
Seguridad adicional (tokens, SSL VPN, …)
Medidas emergentes (apps virtualizadas, sandbox, Túneles VPN
• Finalmente … identifica los activos, sus amenazas, tus vulnerabilidades, la
probabilidad de que estos ocurran, y cual es el riesgo que quieres asumir.
Metodología de Magerit para agrupar activos (utilizada en la administración): - Servicios (procesos de negocio de la organización). Ej Gestión de nóminas. - Datos e información (manipula dentro de la organización). Núcleo del sistema, y el resto de activos le da soporte de almacenamiento - Aplicaciones de software. - Equipos informáticos - Personal (interno, externo, subcontratado, …) - Redes de comunicación: Soporte por el movimiento de información dentro de la organización. - Soporte de información: Almacenamiento - Equipamiento auxiliar. (destructoras de papel, equipos de climatización, …) - Instalaciones: Oficinas, edificios, vehículos. - Intangibles: Imagen y reputación de la empresa.Descripción Activo: - Descripción, información y propietario (define el grado de seguridad). Ej, BBDD clientes: usuarios -> comerciales; gestión -> IT; propietario -> Dtor. ComercialValoración de los activos en funcion de la relevancia que tengan para la organización y del impacto que sobre el mismo pueda causar a la Compañía.Confidencialidad, integridad y disponibilidad: 3 pilares. Ej BBDD clientes (activo): Qué impacto tendría para el negocio que alguien tuviese acceso a la BBDD de clientes y modificase los datos de los mismos?Hilar con la creación de un SGSI
El negocio determina cual es el umbral de riesgo sobre un activo y/o proceso de la organización. Un riesgo calculado por debajo del umbral de riesgo, queda como un riesgo residual y por tanto, se considera asumible. Si estamos por encima del umbral, entonces debemos determinar acciones para reducir el riesgo.
Nueva era digital. Todos conectados digitalmente. Estudios preven que para el final de la década estemos todos conectados. El futuro deberá enfocarse por tanto, en las relaciones humanas definidas por las herramientas digitales.Estas predicciones y/o tendencias van muy ligadas con el nuevo foco que habrá que poner en materia de seguridad para situaciones que probablemente no tengamos contempladas en el presente.
Las barreras entre lo público y lo privado se desvanecen.Cada vez entregamos más datos personales en linea. Publicamos en todo momento lo que nos acontece en nuestra vida personal y profesional, y eso trae consecuencias en la seguridad. En las escuelas se acabará enseñando muy pronto cuestiones sobre seguridad y privacidad informática.Los padres necesitarán estar involucrados y pendientes de la vida de sus hijos con el fin de que su vida virtual no dañe su vida física. Algunos, en algún estudio he leído, llamarán de forma deliberada a sus hijos con nombre únicos o inusuales, para que estos tengan una ventaja sobre los demás en los resultados de búsqueda y puedan ser fáciles de localizar y tengan capacidad de promoción en linea.iPhone: actual sistema de desbloqueo con contraseña. Futuro: sensor de huellas dactilares. Apple estaría (aparentemente) en búsqueda de un material resistente capaz de recubrir y proteger el dispositivo y de no interferir en el sistema de reconocimiento dactilar. El sensor solo permitiría desbloquear el dispositivo con aquellas huellas reconocidas por el propietario del teléfono.Google. Bancos Whyyournextphone?: sistema de bloqueo con contraseña. De 0000 a 9999, tenemos 10.000 combinaciones posibles de passwords. En un estudio que se realizó sobre 3,4 millpasswords, el 10% era 1234 y el 6% 1111. Muy predecible. Los usuarios siempre han demandado sistemas más rápidos y seguros para acceder al contenido. La identificación biométrica es la única que podrá usar características únicas de cada individuo, y por lo tanto, se resuelve como más efectiva. Lector de huellas en pantalla, reconocimiento facial a través de la cámara y reconocimiento de voz a través de grabaciones de audio. A nivel personal almacenamos gran cantidad de datos íntimos en los teléfonos, y en los negocios, comienza el fenómeno BYOD.Wedon’tneed a national ID card: identificación biométrica de nuevo. Rapidez, mayor rapidez. Un ejemplo. Ghana: batió un record del mundo registrando y verificando biométricamente a 13 mill personas en 48 horas.
+650 millones de usuarios de teléfonos móviles en África+/- 3.000 millones en Asia.Las tasas de adopción se han disparado por todas partes.Pescadoras congoleñas.
Uso de las redes sociales a nivel personal y en los negocios."Cada generación futura podrá producir y consumir más información que la anterior y las personas tendrán poca paciencia o uso de los medios que no podrán seguir el ritmo”“Las organizaciones de noticias permanecerán como una parte importante e integral de la sociedad en varias formas, pero muchos medios no sobrevivirán en su forma actual; y aquellos que sobrevivan tendrán que ajustar sus metas, métodos y estructura organizacional para cumplir con las demandas cambiantes de un nuevo público global”.Este 'tuit' alteró lo que hasta entonces era una tranquila jornada del Dow Jones con avances de un 1 por ciento. En un instante, la ligera subida de más de 130 puntos básicos se tornó en una caída de unos 150. Lo que podía convertirse en una catástrofe económica duró apenas un minuto. Fue el tiempo que necesitó la agencia en anunciar que su cuenta había sido pirateada. El portavoz de la Casa Blanca, JayCarney, también tuvo que salir a la palestra para certificar que el presidente estadounidense se encontraba en perfecto estado.Igual que se sembró el pánico, el voluble Dow Jones retomó la calma y recuperó los niveles que tenía antes de conocerse el caso, mientras que AssociatedPress suspendía su cuenta en Twitter y explicaba que otros periodistas de la agencia habían sufrido el intento de robo de sus contraseñas.Tuit falso en AssociatedPress. La agencia tuvo que cerrar su cuenta en twitter y anunciar que había habido varios intentos de robos de contraseñas a varios periodistas de la agencia. El derrumbe en bolsa solo duró 1 minuto, lo que tardo la agencia en desmentirlo, pero un fallo de seguridad de su cuenta en twitter le provocó un serio problema de credibilidad y de pérdida de imagen.
La nube llegó para quedarse.Casi todos nuestros documentos y conversaciones quedarán almacenadas, y las acciones, desde los “Me gusta” a los sitios que visistas. Toda la información accesible. Perfil muy definido.A nivel empresa, documentos, datos, bbdd, confidenciales almacenado en la nube."La posibilidad de que el contenido personal de cada persona sea publicado y salga a la luz un día; ya sea por error o a través de interferencia criminal, siempre existirá. Las personas serán responsables de sus asociaciones virtuales, pasadas y presentes, lo que aumenta el riesgo para casi todas las personas debido a que las redes en línea tienden a ser más grandes y más difusas que sus redes físicas”, escriben.
Casi todos los vehículos fabricados en los años pasados están integrados por circuitos de computadoras, desde unidades sencillas de entretenimiento hasta sofisticados sistemas de seguridad que controlan los frenos y la aceleración.Y la tecnología sigue avanzando. Google está trabajando en el proyecto de un automóvil que se maneja solo el cual puede cambiar el futuro del automovilismo.Con sistemas de autoasistencia capaces de prevenir choques o pedir ayuda después de accidentes, los automóviles nunca han sido más seguros.Pero incorporar enlaces de teléfonos celulares, Bluetooth o incluso transmisores de radio de bajo alcance sólo sirve para aumentar la posibilidad de que esta tecnología se ponga en nuestra contra.an existido ejemplos en la vida real: un exempleado de una empresa que ofrecía sistemas de inmovilización de vehículos a través de la web, pudo inhabilitar 100 automóviles en Austin, Texas en el 2010.“Un escenario terrible es tener 100 automóviles en un puente: 50% con el freno puesto y el otro 50% con el acelerador ”, añadió Contos. “La colisión que algo así podría causar sólo con un ataque a distancia, es algo bastante aterrador”.Otra posibilidad prevista por Contos es que los hackers usen ondas de radio para modificar presión en los neumáticos. “¿Y qué pasa después? Lógicamente (los usuarios) se detendrán a revisar las llantas, y esa es la mejor manera en la que pueden robar tu vehículo”.Añadió: “Tu automóvil puede saber dónde estás en cualquier momento y eso es maravilloso en cuestiones de seguridad, pero la desventaja de ese potencial es que alguien conocerá dónde estás cada segundo, y eso es algo con lo que vamos a tener que trabajar”.Muchas de las poblaciones que entrarán en línea en la próxima década son muy jóvenes y viven en áreas agitadas, con oportunidades económicas limitadas y largas historias de conflictos internos y externos. Por supuesto, el terrorismo nunca desaparecerá, y continuará con un impacto destructivo”, escriben los autores.“Pero a medida que los terroristas del futuro sean forzados a vivir en el mundo físico y virtual, su modelo de secretismo y discreción sufrirá. Habrá más ojos digitales en observación, más interacciones grabadas, y, por más cuidadosos que son los terroristas más sofisticados, no pueden esconderse completamente en línea”.
Catastrofes, (11-S, Torre Windsor), erupciones volcánicas, tornados, terremotos, tsunamis, inundaciones, … -> Probabilidad bajaCortes de suministro eléctrico, virus, phising, sabotajes intencionados, piratas informáticos, empleados y/o colaboradores descontentos, errores humanos, fallos y/o averías hardware -> habitual -> efecto negativos sobre el negocio, imagen, posición competitiva, relaciones con clientes y proveedores. Creciente dependencia de los SI sobre las operaciones de la Compañía -> agrava la situación.La mayor y más peligrosa amenaza es aquella creencia que dice que “esos problemas siempre les ocurren a los demás y a mi nunca me va a pasar”. (mi buena estrella)
Razones que justifiquen - Un estudio del DisasterRecoveryInstitute afirma que el 90% de las empresas que tienen pérdidas significativas de datos quiebra en 3 años. - 40% de empresas que sufren un desastre no vuelve a abrir nunca y el 60% cierra en 3 años. - Un estudio de la firma de analistas “Enterprise StrategyGroup” indica que el mercado contaba con un promedio de 30% de fallos en copias de seguridad y de un 50% de fallos en procesos de restauración. (Cuantas pruebas al año hacemos de restauración?) - IBM realizó un estudio a nivel internacionalsobre los sectores que más sufren interrupciones en las actividades de negocio en base a desastres. Banca y Finanzas 26%, Gobierno, AAPP e instituciones 19%, Educación 11,3%, Industria 10,9%, Servicios 9,5%, Comunicaciones 8,2% - Una encuesta realizada por “Freedom Dynamics” entre más de 700 directivos de TI (incluidos españoles). Pérdida de datos críticos para el negocio y el tiempo de actividad de este son 2 de los mayores riesgos a los que se enfrenta un director de TI.Si esto no es suficiente habría que preguntarse si tal y como está el mercado, crisis, sin sus datos, sistemas TI, red, teléfonos, oficinas y personal, en cuanto tiempo y de qué forma podría recuperar su actividad normal. Si la respuesta fuese un “no lo se” o “no me lo he planteado” …Entrevista y encuesta a los principales usuarios y propietarios de esos procesos.http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_07.swfFase 1. Análisis de impacto: conocer las vulnerabilidades actuales de nuestros SI en base a las amenazas y a su probabilidad de ocurrencia en nuestros sistemas e instalaciones (actualización de antivirus – ejecución código malicioso, no actualización de parches – intrusión, material inflamable cpd – incendio, proceso baja empleado – sabotaje, borrado, fuga, politicas firewall mal definidas – intrusion). Identificar que servicios IT soportan los servicios críticos de la Compañía. Conocer nivel de servicio deseado y tiempo de recuperación.Desarrollo plan de contingencia.Identificación controles preventivos.Fase II. Planes de recuperación ante desastres.Fase III. Simulación, entrenamiento y corrección.
Procesos críticos: entrada de pedido de cliente, facturación, pricing, gestión inventario físico en almacenes, gestión de devoluciones, envio y entrega de pedidos a PV y/o cliente, …
Se planteo analizar vulnerabilidades existentes sobre las comunicaciones y sobre los accesos físicos a la compañía y a la informaciónhttp://www.sites.upiicsa.ipn.mx/polilibros/z_basura/HTML/UNIDAD%206/CONTENIDO/Con%20Unidad%206_1.htmLas medidas a tomar, no necesitan inversión en nuevos activos ya que consiste replantear la filosofiay configuracion de ciertos servicios.
Reglas del firewallServicios públicos en internet, hosting, puertos que permitían conexiones, abiertos.Accesos al interior desde redes wifi.Servicios dmzAccesos potencialmente peligrosos han sido traspasados a la vpnNormalmente casi todos ponemos mucho énfasis en proteger los sistemas desde fuera, y nos dejamos ciertos asuntos de seguridad internos en manos de la buena fe y concienciacion de los de dentro.
Seguridad contraseñas servicios, DAAcceso del administrador o administradores de DA a toda la información sensible. Bien esta que puda darse acceso, pero que no disponga del todo.Usuarios locales con acceso BIOS. Posibilidad arrancar sistema desde dispositivos externos.Se ha basado principalmente en 4 escenarios: - empleado descontento - consultor “malvado” - personal de limpieza deshonesto - invitado con un equipo provisto de red inalámbrica.
Datos confidenciales de mis clientes en manos de un tercero!!!Y esto es solo un tipo de amenaza de seguridad …. Ahora veremos más. Ah, pero hay mas? Tristemente, si. Se podría decir que tenemos 5 tipos de amenazas.
Robo e intercepción de comunicación.El teléfono es el compañero ideal de viaje: pequeño, cabe en cualquier sitio, portátil, poco peso, … es decir, so facilísimos de robar!!! O también de dejarlos abandonados en taxis, aeropuertos, hoteles, …
Donde fue?? No recuerdo exactamente la verdad. Ha habido unas cuantas.
Todos los empleados de perfil móvil, o que puedan acceder a información de compañía desde sus propios dispositivos no estan exentos de riesgos.Adem´ñas los propios dispositivos móviles con wifi son susceptibles de recibir infiltraciones que afecten a otros dipositivoswifi.
Objetivo: obtener el control del dispositivo y poder acceder a su contenido.Los ataques son similares a los que hemos sufrido en el pasado en los PCs.Desbordamiento de buffer: almacenar datos en un espacio que no es suficientemente grande. Muchos lenguajes no realizan comprobaciones para evitarlo, y bloquean aplicación.DoS: causa que un servicio no sea accesible por los usuarios. Dirigidos al servicio de email, wifi, bluetooth, 3G -> a través de SMS, correos
Ataques malware, esto ya no está solopara PCs. Esto está en pleno auge para todos los SO más predominantes.
Por ejemplo, compartir información corporativa de un móvil a otro entre compañeros, viola los sistemas de seguridad normales de una compañía.