POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
Jornada ciberseguridad base CiberTECCH es
1. CIBERSEGURIDAD BÁSICA
DIRIGIDA A EMPRESAS
Jornadas #CiberTECCH
Por
JORDI GARCIA CASTILLÓN
Técnico en Ciberseguridad y Compliance legal
2. ¿Quien soy?
• Técnico en Ciberseguridad y Compliance legal. Especialización en
ciberinteligencia de alertas y de redes
• Profesional con 10 años de experiencia (2005-2015) llevando
empresas, especialmente las de base tecnológica, a los EEUU.
Relaciones con la UCF, la OEDC y otros organismos
• Ahora centrado en ofrecer servicios y soluciones técnicas y legales en
materia de Ciberseguridad a empresas de todo tipo
3. ¿Qué veremos hoy?
• Introducción a los aspectos esenciales relacionados con la Ciberseguridad
• Las personas como factor clave del riesgo y no los ataques mediáticos
• El valor de estar siempre actualizado y bien informado
• Amenazas generales principales y medidas destacadas para mitigarlas
• Las amenazas más allá del PC y móviles. Cuando todo es una amenaza
• Amenazas que trascienden al cableado y al WiFi. El espectro RF
• Cuestiones legales y leyes relacionadas con la Ciberseguridad
• Cierre. La empresa es motor de adaptación digital, también la ciudadanía
• Turno abierto de preguntas relacionadas con esta jornada
4. Introducción a los aspectos esenciales
relacionados con la Ciberseguridad
5. ¿Qué es estar ciberseguro?
La Ciberseguridad tiene muchas definiciones, muy diferentes imbricaciones e
interrelaciones, pero a mi me gusta entender el hecho de “estar ciberseguro” como un
camino permanente a seguir más que como un objetivo inalcanzable a conseguir. Y me
gusta entender la Ciberseguridad y el hecho de acercarse lo máximo posible a “estar
ciberseguro” como la persecución constante de tres finalidades básicas, los pilares CIA
(por sus siglas en inglés) del SGSI (Sistema General de la Seguridad de la Información) y
todo lo relacionado, entre otros, a la ISO 27001:
• Confidencialidad
• Integridad
• Disponibilidad
Quien piense que los pilares CIA tan sólo aplican a la seguridad de la información clásica
está muy equivocado. ¡Estos pilares aplican, y mucho, a todo lo que aplica y aplicará a
todos los entornos y dispositivos conectados!
6. ¿Qué engloba la Ciberseguridad?
Cuando hablamos de Ciberseguridad estamos hablando de mucho más que de la mera
amenaza de un “virus” que pueda estropear nuestro ordenador. Cuando hablamos de
Ciberseguridad hablamos de un aspecto que trasciende a los mismos dispositivos y que,
de no ser gestionada de forma adecuada, puede tener graves implicaciones. Entre ellas:
• Implicaciones graves para nuestra privacidad
• Riesgos importantes para nuestra seguridad y la de nuestro entorno
• Graves daños y pérdidas patrimoniales
• En los casos más extremos puede, incluso, ponerse en riesgo la vida de personas
Como veremos más adelante, no se trata sólo de proteger un ordenador, al fin y al cabo
siempre se trata de proteger mucho más que unos dispositivos. En realidad, de lo que se
trata es de proteger nuestra vida, nuestra empresa, nuestro patrimonio, las personas a
las que queremos, etc.
7. Las personas como factor clave del
riesgo y no los ataques mediáticos
8. Supone más riesgo usted que un “hacker”
Aunque el encabezado de esta diapositiva pueda resultar chocante e incluso provocativo, lo cierto es que
-aunque parezca lo contrario- los datos demuestran que las personas son las principales fuentes de
riesgo:
• Más de un 80% de los ataques que tienen éxito se producen por “errores humanos” más que por
sofisticados sistemas de ataque que se hayan podido emplear
• Aunque parezca mentira más de un 3% de personas caen en estos eMails de “Phishing”
Lo anterior nos demuestra que nadie está exento de caer en la trampa. Y resulta muy peligroso pensar
que tan sólo personas sin conocimientos pueden caer en estas trampas. A veces, incluso las personas más
preparadas, también caen.
No se trata de tener miedo, ni tampoco vergüenza de reconocer que todos somos vulnerables. La
psicología, la confianza, la comodidad, etc., entran en juego y los “malos” lo saben y lo explotan mediante
ingeniería social y muchas otras técnicas (muchas veces mucho más fáciles y simples de lo que parece).
9. El riesgo de los trabajadores, proveedores y clientes
Como ya se ha visto, para la empresa, las personas suponen el principal factor de riesgo en los asuntos relacionados
con la Ciberseguridad. Dentro de esta máxima se debe de diferenciar entre 2 grandes grupos:
• Riesgos por ataques provocados intencionadamente (trabajadores enfadados, personas con intereses criminales,
etc.)
• Riesgos por ataques producto de fallos involuntarios (contraseñas anotadas indebidamente, dispositivos sin
protección, etc.). Afortunadamente, pero peligrosamente, estos casos son los mayoritarios
Y dicho lo anterior, sería necesario añadir una doble máxima muy importante:
• El riesgo no viene siempre de nosotros o de nuestros trabajadores, también puede venir de cualquier persona que
entre en nuestra empresa (clientes, visitantes, etc.)
• A veces el riesgo escapa de nuestra “jurisdicción”. Podemos ser víctimas de un ataque realizado por un ataque que
no se haya dirigido a nosotros. Podemos ser víctimas, por ejemplo, a través de un proveedor nuestro. Por ello es
necesario seleccionar adecuadamente a nuestros proveedores, además de tomar siempre medidas preventivas, ya
que incluso los proveedores más conocidos pueden ser víctimas de un ataque que nos ponga en riesgo.
10. El valor de estar siempre
actualizado y bien informado
11. Cuando la pereza nos puede hacer perder mucho…
Las actualizaciones de nuestros dispositivos (y de todo nuestro entorno digital) son comúnmente un
factor que no nos gusta nada. Muchas veces no nos resultan cómodas, a veces (pocas) no resultan
intuitivas, nos pueden “cortar” en el peor momento de nuestra actividad o, incluso, las podemos
considerar prescindibles, pero resultan una herramienta esencial para nuestra seguridad.
• Las actualizaciones no resultan un capricho del fabricante. Son la mejor manera de tener un
dispositivo, de entrada, seguro contra vulnerabilidades. Cada día se descubren una gran cantidad
de vulnerabilidades y cada actualización de cualquier elemento de software o hardware viene a
solucionar las vulnerabilidades conocidas hasta ese momento
• Un aplicativo vulnerable o un dispositivo no actualizado puede poner en riesgo todo nuestro
ecosistema digital
Que la pereza y una peligrosa dejadez no nos ponga en riesgo. Y recuerde, la mayoría de sistemas
modernos lo realizarán casi todo por usted, las actualizaciones automáticas sirven para alguna cosa.
Ahora bien, no eluda su responsabilidad y siga y compruebe por usted mismo que todo está
correctamente actualizado, y de no estarlo proceda a realizarlo manualmente.
12. Cuando la información es poder y seguridad…
Disponer de la información correcta es indispensable para estar seguro pero, en un mundo donde los
océanos de información son la norma, el peligro de la desinformación es un riesgo bien real:
• Cada vez disponemos de más dispositivos conectados a la red. Cada uno de estos elementos tiene sus
características y riesgos particulares. En el ámbito doméstico controlar el “día a día” de los dispositivos y
las novedades de éstos, así como la gestión de sus vulnerabilidades, puede ser relativamente fácil. Sin
embargo, para los entornos empresariales, puede resultar muy difícil de gestionar individualmente
• El problema actual no es disponer de acceso a la información. Todo se encuentra y todo resulta
accesible, el problema se encuentra en saber interpretar y seleccionar esta información para tomar las
decisiones acertadas
• Cada empresa es un mundo y tratar a todos los ecosistemas bajo un mismo sistema de monitorización y
de gestión no personalizada resulta un error. Se tiene que aprovechar lo mejor del conjunto, pero se
tienen que tratar adecuadamente las particularidades
14. Amenazas principales
Sin intención de realizar un enlistado exhaustivo, estas son las principales fuentes de amenazas a tomar en
consideración:
• Introducción de “malware” (en sus distintas formas y acepciones) que permita al atacante tomar el control
de “la vida digital” de la persona física o empresa víctima
• Interceptación de las comunicaciones (con finalidades de espionaje, criminales para entrar a robar, y
muchas más) o alteración del espacio radioeléctrico de la víctima objetivo
Lo anterior es un cóctel perfecto para:
EXTORSIONES – ROBOS – PARALIZACIÓN DEL NEGOCIO – ETC.
Reiterar una vez más que la mayoría de veces el despliegue de las amenazas anteriores tiene como vector
facilitador la dejadez o los errores involuntarios de las víctimas, de su entorno o directamente de la mala fe
de las personas más cercanas a la víctima.
15. Medidas contra las amenazas
Una vez más, sin ánimo de realizar un listado exhaustivo, éstas son las principales medidas contra
las amenazas (entendiendo que el sentido común es la primera de las medidas a tener bien
presentes):
• Mantener todo actualizado, contraseñas seguras y las recomendaciones básicas grabadas a fuego
• Control del espacio radioeléctrico de la empresa como un “activo” más de la misma.
Monitorización contante. Actualmente el “cable” queda en segundo plano, las tecnologías
inalámbricas todo lo impregnan y todo forma parte del mismo esquema. Entre ellas las RFID,
WiFi, Bluetooth, 3G-4G-5G y sus variantes, LPWAN (Low Power Wide Area Network), etc.
• Navegación segura y utilización de mecanismos de privacidad (VPN’s, TOR, etc.)
• Seguridad por capas y seguridad integral de todos los dispositivos y de todo el entorno (puntos de
acceso, alrededores de la empresa en la medida de lo posible, etc.)
16. Las amenazas más allá del PC y de los
móviles. Cuando todo es una amenaza
17. PC, smartphones, eMails,... ¡Cosas del pasado!
Las tecnologías avanzan a una velocidad y profundidad como no se había visto nunca antes en la historia de la
humanidad. Esto comporta grandes avances, pero también nuevos retos y cambios constantes a los que adaptarse,
acostumbrarse, saber utilizar y vivirlos de una forma segura (en la medida de lo posible) .
Tres premisas clave:
1- Quizás la privacidad ya no existe tal y como la conocíamos, pero la intimidad (y la seguridad) deben preservarse
2- Adaptación digital no es únicamente adaptarse a lo que tenemos, sino también a lo que viene (IoT, IA, etc.)
3- La seguridad es un elemento vivo y dinámico que debe adaptarse constantemente y que ya no pertenece tan
sólo a la “seguridad informática”. La Ciberseguridad ya es una realidad de seguridad transversal
Actualmente, mucho de lo que era válido hace tan sólo 5 años, ya no sirve. Y todo lo que sirve nos ayuda y és
una potencial amenaza.
Nuevas tecnologías aparecen, evolucionan y se desarrollan cada día. Nuevos dispositivos, nuevas redes, todo
cambia menos una cosa: la necesidad de estar seguros.
19. Las conexiones y comunicaciones sin hilos son la clave
Hasta aquí se ha venido hablando de “malware”, de eMails y de muchas otras
cosas, y evidentemente que todo esto resulta importante y que -de una
manera u otra- interactúa con los sistemas de conexión o comunicaciones sin
hilos, pero lo primero que se debe de tener presente es lo siguiente:
• Si, como decíamos, tan sólo entendemos la Ciberseguridad como la
instalación de un antivirus o como el no abrir un eMail sospechoso poco nos
protegeremos. Esto es necesario, pero nunca suficiente
• Hasta ahora el mundo se ha centrado mucho en la seguridad de los
dispositivos y seguirá siendo así, pero la amenaza ya no se encuentra tan
sólo directamente en los dispositivos y, ni tan siquiera, en las redes
cableadas. Las amenazas y la seguridad se tiene que centrar en las redes sin
hilos en general y en el espacio radioeléctrico interno en particular
20. Un nuevo mundo con nuevas necesidades y soluciones
El mundo actual, como ya se ha visto, ya trasciende a un ordenador
conectado, a unas impresoras o a unos teléfonos. Hoy todo está conectado y
cada vez estará todo más conectado a la red y entre dispositivos por sí
mismos.
Millones de dispositivos se incorporan diariamente al “mundo conectado” y
todos ellos deben de plantearse desde el siguiente doble reto:
1- Han de ser seguros, y ofrecer seguridad, desde la fase conceptual
2- Las redes que los comunican deben de ofrecer, también, seguridad
21. Controlar el espectro y el espacio
Mantener el espectro electromagnético en general y el espacio radioeléctrico
en particular bajo control
Con el “Jamming” se puede inutilizar el funcionamiento de una empresa, pero
también abrir todas las puertas o desactivar las alarmas. ¡Y mucho más!
22. Nuevas soluciones para resolver viejas necesidades
Implementar nuevas soluciones que resuelvan viejos (y nuevos) retos resulta
esencial:
La seguridad de todo el entorno RF de la empresa es importante, pero el
tratamiento de los dispositivos que operan en bandas ISM (Industrial,
Scientific, Medical) (433 MHz, 868 MHz, etc.) resulta clave.
23. La mejor respuesta a las interferencias es...
La mejor respuesta contra las interferencias sería vivir en un entorno ideal sin
interferencias o mediante la utilización de sistemas que no resultan legales en nuestra
jurisdicción. En consecuencia, la única medida realista y viable legalmente es la de
disponer del dispositivo adecuado y de la red acertada con los parámetros ideales
siguientes:
1- Uso reducido del ancho de banda
2- Alta densidad espectral (emisión tipo láser)
3- Localización espectral inteligente (recepción comunicativa buscando la energía)
4- Comunicación multi-antena (recepción de “paquetes” de datos por diferentes vías)
5- Frecuencias no uniformes (capacidad de trabajo en diferentes bandas aleatorias)
Quien diga lo contrario miente, NO hay (para el común de los mortales) solución
TOTAL contra el “Jamming”, pero sí que se puede reducir mucho su existencia y
mitigar su impacto.
25. La Ciberseguridad y las leyes, el mundo virtual es real
Parece existir la falsa creencia de que las leyes “en Internet” van por un lado y las
leyes “en la vida real” por otro, y esto no es cierto.
Cierto es que la tecnología (no me gusta denominarlas “nuevas”) han hecho
aparecer nuevos tipos delictivos y nuevas realidades sociales y, por ende, legales en
diferentes ámbitos y con muy diferentes implicaciones. Pero, cierto resulta también
que, en la mayoría de casos, estamos hablando sencillamente de delitos o de
conflictos y relaciones de todo tipo de órdenes que ya existían. En todo caso sólo ha
cambiado la forma de cometer muchos delitos, o de hacer cosas, pero no el fondo.
Una cosa resulta muy cierta, los cambios sociales siempre van por delante de los
cambios legales, de la misma manera que los delincuentes siempre van por delante
de quien los persigue. Una cosa hace evolucionar la otra y esto es así
históricamente.
26. La Ciberseguridad y las leyes, realidades concretas
No es objetivo de esta jornada realizar una mención exhaustiva de las leyes ni ofrecer
asesoramiento específico sobre ningún asunto concreto, pero cierto resulta que, aunque las leyes
del “mundo real” y del “mundo conectado” sean, en esencia, las mismas, existen varios tipos de
asuntos, de conflictos y de hechos delictivos que se han visto alterados, y mucho, por la eclosión,
desarrollo y consolidación del “mundo digital”. Entre ellos, y especialmente relevante para el
ámbito que aquí nos ocupa:
1- Todo lo que tiene que ver con la propiedad intelectual y la propiedad industrial
2- Protección de datos (asunto importante pero, a mi parecer, mediáticamente sobredimensionado)
3- Interceptación de las comunicaciones
4- Daños informáticos
Y, evidentemente, todo lo que tiene relación con amenazas, usurpación de identidad, estafas,
delitos sexuales de diferente calado, etc.
28. La Ciberseguridad es cosa de las
empresas, pero también de las
administraciones públicas, de las
entidades, de los profesionales y de la
ciudadanía en general.
La Ciberseguridad es cosa de tod@s.