cumplimiento normativo y ciberseguridad empresarial · dirigidos a prevenir los delitos o a reducir...
TRANSCRIPT
Seguridad
360SERVICIOS Y SISTEMAS
de seguridadSeguridad
CUMPLIMIENTO NORMATIVO Y
CIBERSEGURIDAD EMPRESARIAL
Tecnología asociada al CUMPLIMIENTO
Riesgos Inmediatos a Cubrir
Bernard Cortijo
El cumplimiento normativo no se basa solo en cumplimiento a nivel legal:
Documentos:
(EIPD, analisis de riesgos, modelos de prevención...)
sino que es obligatorio que se cumplan unas medidas técnicas necesarias
tanto para demostrar cultura de cumplimiento como para evitar la
responsabilidad penal.
Por ello, es necesario llevar a cabo unas medidas técnicas y menos
técnicas que permitan cumplir los requerimientos necesarios:
Concienciación:
punto importante que permite certificar que los empleados tienen
formación en medidas de ciberseguridad y asociadas al cumplimiento
cubriendo riesgos jurídico penales y obteniendo mejoras en el factor de
seguridad más importante y menos tomado en cuenta, el factor humano.
Fugas de información: es necesario evitar brechas de seguridad que
permitan el robo de información sensible que pueda conllevar sanciones.
Se deben tener en cuenta ciertas medidas a llevar a cabo:
Evaluación de vulnerabilidades de las infraestructuras externas e internasMedidas de control del uso y manejo de la información sensibleBorrado seguro de la información sensibleProtección de dispositivos (portátiles, móviles, tablets, etc.) para evitar “robo de información”Verificación periódica de que las medidas realizadas son correctas o para implementar mejoras
Mecanismos de control para evitar acciones delictivas:
Control de la información que navega hacia Internet desde la empresa
Políticas y normativas: para el control interno de obligaciones
Medidas de diligencia debida para identificar las diversas relaciones de negocio (blanqueo de capitales)
RIESGOS
ROBO DE DATOS: Internos
ROBO DE DATOS: Identidad
ATAQUES sitios WEB
ATAQUES continuos a grandesCompañías e Instituciones
ROBO DE DATOS: Hackeos
ATAQUES Spam/Phising/Malware
ATAQUES DDoS
1. ATAQUES
2. ROBO DE DATOS
RIESGOS 2018-2019
Desinformación Tecnología defectuosa Seguridad en un segundo término Evolución desmedida
➢8.700MM de cosas en 2017 conectadas
➢ IoT 2020: +10000MM en la UE➢Más incidentes de seguridad
(SRI)➢ Impacto SRI´s en servicios➢ Impacto SRI´s en empresas➢ Impacto SRI´s trasladado entre
países➢ Impacto SRI´s en personas
IoT
M2M
Big Data
Datos objeto de amenaza
2018
Pacientes Transaccioneseconómicas
Datos Privados Personales
Financieros Estratégicos De clientesOperativos
* Administración* Empresas* Particulares
**
***
**
*** *** ****
CIBEROBJETIVO: INFORMACIÓN
COMPLIANCE
CUMPLIMIENTO NORMATIVO
CSACIBERSEGURIDAD
CIBERINTELIGENCIA
SEGURIDAD ELECTRÓNICA
SEGURIDAD FÍSICASDA
TSA
M360
CIBERSEGURIDAD: Medidas Organizativas, Procedimentales, Tecnológicas, Herramientas, Auditorias
CIBERINTELIGENCIA: Visión de los riesgos y amenazas para realizar una Estrategia. Prospectiva.
SEGURIDAD ELECTRÓNICA: Medidas Control Acceso, Especiales (reconoc. Facial,…)
SEGURIDAD FÍSICA: Controles en personas, evitar riesgos de robo,…
Toda empresa debe realizar un análisis con el fin de identificar aquellas actividades en cuyo ámbito puedan materializarse riesgos penales que deban ser prevenidos.
COMPLIANCE
Reforma del Código Penal de 2015Establecimiento del contenido mínimo que deben tener los modelos de organización y gestión dirigidos a prevenir los delitos o a reducir el riesgo de su comisión.
Artículo 31 bis del Código Penal La persona jurídica quedará exenta de responsabilidad si ya adoptado y ejecutado medidas antes de la comisión del delito.
Circular 1/2016 Fiscalía General del Estado y Sentencias del Tribunal Supremo Requisito indispensable de cultura de cumplimiento.
GDPR
El nuevo reglamento europeo entra en vigor en Mayo 2018. Esto hace que sea necesario adecuarse
REVISAR LAS AUDITORÍAS REALIZADAS CON ANTERIORIDAD PARA ANALIZAR PROBLEMÁTICAS DETECTADAS.
REALIZAR UNA AUDITORÍA EN PROTECCIÓN DE DATOS PARA VER EL ESTADO EN EL QUE SE ENCUENTRA LA COMPAÑÍA AL RESPECTO.
REALIZAR UN PLAN DE ADAPTACIÓN QUE CUMPLA CON EL NUEVO REGLAMENTO.
GOBIERNO DEL DATO
GDPR
SECCIÓN 2 – SEGURIDAD DE LOS DATOS PERSONALES
Artículo 32. Seguridad del tratamiento
✓ Garantizar la Confidencialidad, Integridad, Disponibilidad y Resiliencia permanentes de los sistemas y servicios deltratamiento.
✓ Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.✓ Verificar, evaluar y valorar de forma regular la eficacia de las medidas técnicas y organizativas para garantizar la
seguridad del tratamiento.✓ Cifrar los datos personales.
Artículo 33. Notificación de violaciones de seguridad
✓ Detectar e informar de brechas de seguridad
Otros
✓ Los protocolos, políticas, manuales y procedimientos que regulen el tratamiento de datos
BLANQUEO DE CAPITALES
Debido a la actividad de la compañía se hace necesario controlar la actividad que permita la prevención del delito de blanqueo de capitales y financiación del terrorismo.
ESTABLECER MEDIDAS DE DILIGENCIA DEBIDA PARA IDENTIFICAR LAS DIVERSAS RELACIONES DE NEGOCIO
APLICAR MEDIDAS DE CONTROL INTERNO DE OBLIGACIÓN
- ADOPTAR Y APROBAR POLÍTICAS Y PROCEDIMIENTOS- REPRESENTACIÓN EN SEPBLAC- FORMACIÓN A EMPLEADOS
La formación de los trabajadores para el fomento de comportamientos éticos y prevención de la comisión de delitos es considerada un prueba de la diligencia y el esfuerzo realizado por la empresa en materia de prevención y control.
La concienciación además de mitigar las responsabilidades relacionadas con Compliance y GDPR va a reforzar la seguridad en todas las áreas de la empresa, mitigando posibles incidentes de seguridad mediante la adopción de pautas de comportamiento seguras.
FORMACIÓN Y CONCIENCIACIÓN
APRENDIZAJE • FORMACIÓN • SEGURIDAD • PREVENCIÓN • CONTROL
POLÍTICAS DE SEGURIDAD
Las políticas son un pilar en el que basar y asentar la seguridad de la compañía
REVISIÓN DE LAS POLÍTICAS
ACTUALIZACIÓN DE LAS POLÍTICAS
CREACIÓN DE POLÍTICAS NECESARIAS
INTERNO/EXTERNO
El objetivo es descubrir todas las vulnerabilidades tanto con herramientas automáticas comoacciones manuales, identificando y cuantificando la exposición de un sistema ante el riesgo deataques internos o externos. Permitiendo determinar y priorizar la solución de lasvulnerabilidades según su criticidad y riesgo.
Análisis de vulnerabilidades
Simula la actuación de un atacante real. El objetivo no es encontrar y analizar todas lasvulnerabilidades al detalle sino conseguir acceder a los sistemas explotando una o másvulnerabilidades detectadas.
Test de Intrusión
INTERNO/EXTERNO
INTERNO/EXTERNO
Simula comportamientos de atacantes reales actuando sin apenas limitaciones impuestas yutilizando herramientas y técnicas más allá de un test de intrusión convencional.
Red Team
Revisión y auditoríade aplicaciones
DESARROLLO SEGURO
Formación específica
Guías de desarrollo
CONTROL FUGAS INFORMACIÓN
Desarrollar un plan para evitar fugas de información mediante acciones que controlen los datos de carácter personal y confidenciales.
EVITAR QUE LOS DATOS CONFIDENCIALES DE LA COMPAÑÍA QUEDEN EN PODER DE PERSONAS O EMPRESAS AJENAS
GESTIONAR LOS PERMISOS DE ACCESO A LOS DOCUMENTOS PARA EVITAR QUE PERSONAS AJENAS PUEDAN HACER USO DE ELLOS
BORRAR DE FORMA SEGURA Y CERTIFICADA LA INFORMACIÓN CONTENIDA EN DISPOSITIVOS Y SISTEMAS
CIFRAR LOS DISPOSITIVOS INTERNOS Y EXTERNOS PARA EVITAR ROBO DE INFORMACIÓN
PROTECCIÓN DEL PUESTO DE TRABAJO QUE EVITE FUGAS POR ACCESOS INDEBIDOS, MALWARE O ROBOS
CONTROL NAVEGACIÓN WEB
El objetivo es dotar a la infraestructura de red de área local una forma de controlar e identificar el uso de la navegación en Internet de los empleados para evitar riesgos a la compañía
El objetivo es asegurar cualquier dispositivo (portátil, móvil, tablet) corporativo que se maneje fuera de las oficinas de la compañía
PROTECCIÓN DE DISPOSITIVOS
EVITAR FUGAS DE INFORMACIÓN
SECURIZANDO
PORTÁTILES
MÓVILES
TABLETS
CIBERSEGURIDAD INDUSTRIAL
Asegura la máxima protección durante todo el ciclo de vida de las infraestructuras críticas e industriales.
IDENTIFICAR
PROTEGER
ESTRATEGIA GOBIERNO
DISEÑAR PLANEAR CONSTRUIR OPERAR
GESTIÓN
EVALUACIÓN
MADUREZ RIESGO TÉCNICA ANALISIS DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN
ALERTA TEMPRANA
INGENIERÍA Y ARQUITECTURA
SOPORTE A COMPRAS, ADQUISICIONES Y PROYECTOS
SEGURIDAD ELECTRÓNICA
CCTV/Vídeo Vigilancia
Control de acceso (personas y vehículos)
Sistemas Intrusión
Control de activos de Alto Valor
Equipamiento Especializado
SECURITY DIRECTOR ASSISTANCE
El reconocimiento biométrico (huellas dactilares, retina, iris, venas, mano, etc.) identifica individuos y otorga o niega el acceso en las zonas donde la entrada esta restringida.
Los usuarios puede proponer listas para permitir o rechazar la entrada. Esto permite el registro de quien esta dentro o no de un área delimitada. Las alarmas se pueden personalizar para alertar cuando alguien entra o sale del área.
SISTEMAS ESPECIALES: VERIFICACIÓN DE ACCESOS
SECURITY DIRECTOR ASSISTANCE
Puede identificar a un individuo entre varios candidatos. Los usuarios pueden agregar alarmas que se apagan cuando se detecta una entidad en particular. El software también puede verificar identidades propuestas por el usuario.
Reconocimiento Facial
SISTEMAS ESPECIALES: INTELIGENCIA ARTIFICIAL
La inteligencia artificial permite identificar a un individuo entre millones y seguir su rastro.
Analiza en tiempo real las imágenes tomadas por las cámaras IP de un establecimiento y permite extraer información valiosa y customizable a fin de garantizar una mayor eficiencia en la toma de decisiones.
Análisis de comportamiento
IDENTIFICACIÓN DE MATRÍCULA Y SEGUIMIENTO DE VEHÍCULOS
RESUMEN:
El cumplimiento penal, datos, blanqueo capitales y otras normas requiere:
- Revisión y auditoria técnica especializada- Independiente de los procesos de tecnología - Hacking ético- Control y seguridad de dispositivos y accesos- Información clasificada y con medidas- PROSPECTIVA y ciber inteligencia- Formación especializada- Anticiparse y conocer los riesgos- Medidas físicas, electrónicas, ciberseguridad- Capacidad de Monitorización
Seguridad
