1
Seguridad asequible para
PYMES
Araba Enpresa Digitala
Miñano
24-09-2013
Pág 2
SEGURIDAD ASEQUIBLE PARA PYMES
¿Quiénes somos?
Ángel Lafuente Echeazarra
● Consultoría informática
– Arquitectura e ...
Pág 3
SEGURIDAD ASEQUIBLE PARA PYMES
¿Qué nos motiva?
● Nuestros equipos trabajan día a día en las infraestructuras sobre ...
Pág 4
SEGURIDAD ASEQUIBLE PARA PYMES
Programa
9:00 – 9:10 Presentación del seminario
9:10 – 9:50 Explícame una vez más por...
Pág 5
SEGURIDAD ASEQUIBLE PARA PYMES
Materiales
● Presentación disponible en PDF en
http://bit.ly/16UEq43
● Comentarios en...
Pág 6
SEGURIDAD ASEQUIBLE PARA PYMES
Explícame una vez más por qué debo
invertir en seguridad
Pág 7
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos
● En la empresa, hoy día, el activo más importante
– Información:
●...
Pág 8
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: activos y riegos
● Activos IT debemos “conocerlos”, valorarlos y c...
Pág 9
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: ¿qué es seguridad?
● ¿Qué significa que los activos estén seguros?...
Pág 10
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos
● Activos:
– Valor
– Riesgo Por vulnerabilidad→
● Valoramos Impact...
Pág 11
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: métricas de seguridad
● Qué son:
– Medida “objetiva” y comparable...
Pág 12
SEGURIDAD ASEQUIBLE PARA PYMES
Conceptos básicos: métricas de seguridad
● Ejemplo de métricas en un SIEM
Pág 13
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● ¿A qué riesgos están expuesto mis activos?
● Mi organizació...
Pág 14
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● Estadísticas de amenazas externas (fuente Kaspersky Labs)
Pág 15
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● Estadísticas de amenazas internas (fuente Kaspersky Labs)
Pág 16
SEGURIDAD ASEQUIBLE PARA PYMES
Sospechosos habituales
● Un análisis crítico de estos datos
– El perfil de las empre...
Pág 17
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad vs servicio
● ServicioTIC: es un conjunto de personas y máquinas que sopor...
Pág 18
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad vs servicio: falsa dualidad
● El error está en concebir la seguridad de un...
Pág 19
SEGURIDAD ASEQUIBLE PARA PYMES
¿Cómo medir la mejora en seguridad?
● Métrica sencilla
– Es un primer paso para prob...
Pág 20
SEGURIDAD ASEQUIBLE PARA PYMES
¿Cómo medir la mejora en seguridad?
● Tabla ejemplo
Pág 21
SEGURIDAD ASEQUIBLE PARA PYMES
Regla de Pareto presupuesto asequible.→
● En seguridad parece que nunca hay límite d...
Pág 22
SEGURIDAD ASEQUIBLE PARA PYMES
Invertir en seguridad es ser menos vulnerable
● La percepción del riesgo es subjetiv...
Pág 23
SEGURIDAD ASEQUIBLE PARA PYMES
¿Cuánto ha supuesto en euros?
● Y eso que no eran responsables del incidente ….
Pág 24
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de la seguridad
Pág 25
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad: supuestos de partida
● Damos por descontando lo siguiente (¿ ...
Pág 26
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad: supuestos de partida
●
Posibles intrusos/atacantesPosibles in...
Pág 27
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad
● Problemas
– Acceso físico a equipos/servidores.
– Sesiones d...
Pág 28
SEGURIDAD ASEQUIBLE PARA PYMES
Clásicos de seguridad
● Riesgos / Impacto
– Robo de identidad Impersonación→
– Robo ...
Pág 29
SEGURIDAD ASEQUIBLE PARA PYMES
Sesión abierta – Contraseña en post-it
● Riesgo
– Atacante interno.
– Robo datos en ...
Pág 30
SEGURIDAD ASEQUIBLE PARA PYMES
Acceso físico a los PCs
● Riesgo
– Acceso al sistema y sus sesiones. Sin modificació...
Pág 31
SEGURIDAD ASEQUIBLE PARA PYMES
Acceso físico a los PCs
● Repercusión en el servicio
– Bajo, si la rotación de contr...
Pág 32
SEGURIDAD ASEQUIBLE PARA PYMES
Acceso físico a los PCs
● Demo acceso físico
Pág 33
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Problema / Riesgo
– Vector de entrada PC, servidor, portátil...
Pág 34
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Solución 1: deshabilitar USB
– Por BIOS.
– Por sistema opera...
Pág 35
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Demo
Pág 36
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Solución 2: dar acceso sólo a ciertos USB
– En MSWindowsVist...
Pág 37
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Demo
Pág 38
SEGURIDAD ASEQUIBLE PARA PYMES
Fuga de datos por USB
● Repercusión en el servicio
– Baja. Los usuarios disponen de ...
Pág 39
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Problema
– En una red se comparte el medio para transmisión de d...
Pág 40
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Casos vulnerables red cableada
– Hub: En claro
– Switch: ARP spo...
Pág 41
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Solución
– Cifrado de las comunicaciones
● HTTP HTTPS→
● Correo ...
Pág 42
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Demo
Pág 43
SEGURIDAD ASEQUIBLE PARA PYMES
Sniffing de datos
● Repercusión en el servicio
– SSL bajo. La mayoría de soluciones ...
Pág 44
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Problema / Riesgo
– Pérdida/robo de almacenamient...
Pág 45
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Solución
– Teoría: cifrado de la información, cif...
Pág 46
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Demo
Pág 47
SEGURIDAD ASEQUIBLE PARA PYMES
Aseguramiento del almacenamiento
● Repercusión en el servicio
– Bajo. Supone un paso...
Pág 48
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Problema
– Todo el software tiene un ciclo de vida
● Nu...
Pág 49
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Problema
– Problemas de seguridad: conocidos por pirata...
Pág 50
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Solución
– Elección consciente del software
● Referenci...
Pág 51
SEGURIDAD ASEQUIBLE PARA PYMES
Actualización del software
● Repercusión en el servicio
– Depende del grado automati...
Pág 52
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
Pág 53
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Problema
– Los dispositivos móviles (móviles y tabletas) ya ...
Pág 54
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Riesgo
– Infecciones en los dispositivos por malware.
● Robo...
Pág 55
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Reflexión
– Los dispositivos móviles son el punto más expues...
Pág 56
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil
● Solución 1: clásicos de seguridad
– Sesión abierta salvapant...
Pág 57
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: Prey
● Solución 2: localización de dispositivos robados con P...
Pág 58
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: Prey
● Demo
Pág 59
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: EDS Lite
● Solución 3: cifrado de datos con EDS Lite
– EDS Li...
Pág 60
SEGURIDAD ASEQUIBLE PARA PYMES
Seguridad en el móvil: EDS Lite
● Demo
Pág 61
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
Pág 62
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Problema
– Mucha información se guardan en f...
Pág 63
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Riesgo
– Filtración de datos personales y co...
Pág 64
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Comprendiendo cómo funciona un DLP
– Un DLP ...
Pág 65
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos: Sealpath
● Demo
Pág 66
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos
● Solución: Sealpath
– Sealpath protege los fi...
Pág 67
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos: Sealpath
● Demo Sealpath
Pág 68
SEGURIDAD ASEQUIBLE PARA PYMES
Controlando los ficheros corporativos: Sealpath
● Repercusión en el servicio
– Baja,...
Pág 69
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
Pág 70
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Problema
– Disposición de aplicaciones corpo...
Pág 71
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Problema
– OWASP 10
Pág 72
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Riesgo
– Robo de datos
– Manipulación de dat...
Pág 73
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Demo SQL injection en formulario de login
● ...
Pág 74
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
Pág 75
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Solución
– Actualización constante del softw...
Pág 76
SEGURIDAD ASEQUIBLE PARA PYMES
Aplicaciones web corporativas seguras
● Repercusión en el servicio
– Baja ya que la ...
Pág 77
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
Riesgos del cloud
Pág 78
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● ¿Quién es Edward Snowden?
– Es un ingeniero informático...
Pág 79
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Cómo funciona PRISM (presuntamente)
Pág 80
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Problema los medios de que disponen son enormes.→ The B...
Pág 81
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Problema Nos vigilan→
● ¿Y esto es una novedad? → Progr...
Pág 82
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Problema
– Hechos
● Los gobiernos vigilan y vigilarán; ...
Pág 83
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Riesgo
– Cada vez las empresas utilizan más servicios c...
Pág 84
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Solución 1: desactivar el modo paranoia
– El cloud tien...
Pág 85
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Solución 3: prestar servicios de nube internamente
– Po...
Pág 86
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Repercusión en el servicio
– Depende de la diferencia d...
Pág 87
SEGURIDAD ASEQUIBLE PARA PYMES
Lecciones del caso Snowden
● Solución 4: controlar el hardware
– Tener la infraestru...
Pág 88
SEGURIDAD ASEQUIBLE PARA PYMES
Conclusiones
Pág 89
SEGURIDAD ASEQUIBLE PARA PYMES
Presupuesto asequible
● Presupuesto para las soluciones presentadas
– Externalizar e...
Pág 90
SEGURIDAD ASEQUIBLE PARA PYMES
Presupuesto asequible
● Lo más básico: ~ 2500 € 125 € / usuario el primer año→
● Mej...
Pág 91
SEGURIDAD ASEQUIBLE PARA PYMES
Conclusiones
● Detecta tus activos y valora tus riesgos tabla de métrica propuesta→ ...
Pág 92
SEGURIDAD ASEQUIBLE PARA PYMES
Fin
Mila esker / Gracias
Para cualquier duda o consulta
angellafuente@solid-rock-it....
Upcoming SlideShare
Loading in …5
×

Seguridad asequible para PYMES

391 views

Published on

Seguridad asequible para PYMES #seguridadpymesED
by @solidrockitnews @jon_uriona in Araba @EnpresaDigitala Miñano 24-09-2013

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
391
On SlideShare
0
From Embeds
0
Number of Embeds
15
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad asequible para PYMES

  1. 1. 1 Seguridad asequible para PYMES Araba Enpresa Digitala Miñano 24-09-2013
  2. 2. Pág 2 SEGURIDAD ASEQUIBLE PARA PYMES ¿Quiénes somos? Ángel Lafuente Echeazarra ● Consultoría informática – Arquitectura e ingeniería de sistemas. – (el arte de dar) Soporte . – Apoyo a la gerencia en direcciónTIC. – Desarrollo – Divulgación y formación. ● Software libre y cloud computing Jon Urionaguena ● Consultoría de SeguridadTIC – Infraestructura de Internet propia – Migración de servicios a la nube – Servicios Cloud Seguros – Soluciones basadas en Software Libre – Tecnología propia de securización
  3. 3. Pág 3 SEGURIDAD ASEQUIBLE PARA PYMES ¿Qué nos motiva? ● Nuestros equipos trabajan día a día en las infraestructuras sobre las que se levantan los sistemas de información de nuestros clientes. ● La seguridadTIC es siempre un reto. ● La reducción de presupuestos de informática de las empresas penaliza gravemente los proyectos de mejora de seguridad. ● Nuestro desafío = jornada de divulgación para PYMES. – Las PYMEs tienen menos recursos – Jornada muy práctica. – Orientada a los problemas de seguridad más comunes de una PYME. – Presentando soluciones preferiblemente software libre. – Proponiendo una metodología mínima de implantación.
  4. 4. Pág 4 SEGURIDAD ASEQUIBLE PARA PYMES Programa 9:00 – 9:10 Presentación del seminario 9:10 – 9:50 Explícame una vez más por qué debo invertir en seguridad. ● Conceptos básicos. ● Sospechosos habituales. ● Servicio vs seguridad: una falsa dualidad. ● ¿Cómo medir la mejora en seguridad? ● Regla de Pareto presupuesto asequible.→ ● Un ejemplo ilustrativo. 9:50 – 11:00 Soluciones prácticas I ● Clásicos de la seguridad: – Claves, SSL, malware, seguridad física y control del software instalado. – Restricción de uso de USB enWindows. – Asegurando almacenamiento USB incluidos (Truecrypt) 11:00 – 11:20 Descanso / Café / Networking 11:20 – 12:30 Soluciones prácticas II ● Seguridad en el móvil. ● Controlando los ficheros corporativos. ● Aplicaciones web corporativas seguras. ● Lecciones del caso Snowden (riesgos del cloud) 12:30 – 12:45 Conclusiones
  5. 5. Pág 5 SEGURIDAD ASEQUIBLE PARA PYMES Materiales ● Presentación disponible en PDF en http://bit.ly/16UEq43 ● Comentarios enTwitter: – Hashtag → #seguridadpymesED – Organiza → @enpresadigitala – Ponentes → @solidrockitnews @jon_uriona
  6. 6. Pág 6 SEGURIDAD ASEQUIBLE PARA PYMES Explícame una vez más por qué debo invertir en seguridad
  7. 7. Pág 7 SEGURIDAD ASEQUIBLE PARA PYMES Conceptos básicos ● En la empresa, hoy día, el activo más importante – Información: ● Almacenada (datos de negocio) ● Intercambiada (correo, e-commerce, B2B, etc...) – Actividad de las máquinas – Producción ● Pensad un momento cómo funcionaríais hoy sin correo electrónico, móvil, tablet, portátil, servidor, aplicaciones o servicios en Internet. – Es como cuando se va el suministro eléctrico. Los trabajadores están mirando … – La dependencia de lasTICs es creciente la sociedad de la información→
  8. 8. Pág 8 SEGURIDAD ASEQUIBLE PARA PYMES Conceptos básicos: activos y riegos ● Activos IT debemos “conocerlos”, valorarlos y clasificarlos.→ – Inventario y valoración ● Riesgos IT debemos “conocerlos”, valorarlos y clasificarlos.→ – El análisis de riesgos actividad es una transversal en la empresa. Es una actividad que debería existir en otros ámbitos, financiero, procesos, proyectos, etc... – Documentos relacionados: plan de seguridad y plan de contingencia.
  9. 9. Pág 9 SEGURIDAD ASEQUIBLE PARA PYMES Conceptos básicos: ¿qué es seguridad? ● ¿Qué significa que los activos estén seguros? ● Tengo que garantizar su: – Confidencialidad. – Integridad. – Disponibilidad. ● Muy sencillo de definir … más difícil de implementar. ;-)
  10. 10. Pág 10 SEGURIDAD ASEQUIBLE PARA PYMES Conceptos básicos ● Activos: – Valor – Riesgo Por vulnerabilidad→ ● Valoramos Impacto/Gravedad ● Según el valor del activo – Amenaza – Probabilidad de que ocurra ● Gestión de riesgos IT:Wikipedia – Actividad recurrente: ● Identificación de riesgos para el negocio/información ● Valoración (cualitativa y cuantitativa) ● PDCA de las medidas a aplicar para contener los riesgos – Necesitamos valorar, medir - Métricas
  11. 11. Pág 11 SEGURIDAD ASEQUIBLE PARA PYMES Conceptos básicos: métricas de seguridad ● Qué son: – Medida “objetiva” y comparable. – Permite realizar una evolución en el tiempo, conociendo el estado en cualquier momento ● Medidas de seguridad = Mecanismos para aminorar el riesgo – Mitigación: reducir, evitar y traspasar ● Riesgo =Valor de la pérdida x Probabilidad de que ocurra – Riesgo aceptado/tolerado = El punto en que el coste de la contramedida a aplicar sobrepasa el valor de la pérdida ● ¡Priorización de riesgos!
  12. 12. Pág 12 SEGURIDAD ASEQUIBLE PARA PYMES Conceptos básicos: métricas de seguridad ● Ejemplo de métricas en un SIEM
  13. 13. Pág 13 SEGURIDAD ASEQUIBLE PARA PYMES Sospechosos habituales ● ¿A qué riesgos están expuesto mis activos? ● Mi organización es como las demás; estamos expuestos a los mismos riesgos. ● Referencia encuesta global→ Kaspersky Labs Global Corporate IT Security Risks 2013 (May 2013) ● Algo más cercano → INTECO.
  14. 14. Pág 14 SEGURIDAD ASEQUIBLE PARA PYMES Sospechosos habituales ● Estadísticas de amenazas externas (fuente Kaspersky Labs)
  15. 15. Pág 15 SEGURIDAD ASEQUIBLE PARA PYMES Sospechosos habituales ● Estadísticas de amenazas internas (fuente Kaspersky Labs)
  16. 16. Pág 16 SEGURIDAD ASEQUIBLE PARA PYMES Sospechosos habituales ● Un análisis crítico de estos datos – El perfil de las empresas de la encuesta no se ajusta al de la PYME. – ¿Es una buena métrica el número de ataques,? ● Los ataques de spam, malware son los más numerosos porque son masivos y porque las organizaciones grandes tienen estadísticas de los mismos. ● Las herramientas para medir ataques de otro tipo suelen menos efectivas (por ejemplo, filtraciones) y el número de ataques menor, por lo que el margen de error es mayor ● Falta correlación con otros parámetros ● Lo que aprendemos ya tenemos un→ listado de riesgos probables – Ataques externos: malware, spam, phising, intrusiones de red, robos de móviles .. – Ataques internos: vulnerabilidades de software, filtraciones accidentales, robo de móviles, …. – El “hacker peliculero” es poco probable. Hay más riesgo de negligencia o mala fé.
  17. 17. Pág 17 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad vs servicio ● ServicioTIC: es un conjunto de personas y máquinas que soportan uno o varios procesos de negocio. Por ejemplo: el servicio de correo electrónico. ● La seguridad suele ser vista como una causa de disminución de calidad de servicio. ● Prefacio de la guía de seguridad de SLES “A good system does what it is expected to do, and it does it well. A secure system is a good system that does nothing else. “ ● Los usuarios, los desarrolladores, el personal del CAU suelen percibir la implantación de medidas de seguridad con gran resistencia al cambio. ● Ejemplo clásico: la rotación de contraseñas
  18. 18. Pág 18 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad vs servicio: falsa dualidad ● El error está en concebir la seguridad de un servicioTIC como algo ajeno al mismo. – Una servicio inseguro es un mal servicio. – Se desprecia fácilmente el valor de la información como activo por su intagibilidad. ● La seguridadTIC debe estar presente en todas las fases de un servicio: diseño, construcción, funcionamiento, mantenimiento y cancelación. ● Tópico (pero cierto): la seguridad debe ser un proceso transversal. ● Asegurar un servicioTIC es un gran reto. – Si el cambio es transparente para el usuario es que lo has hecho bien Nadie valorará→ tu éxito. – Difícil de vender a la dirección es un esfuerzo que en términos de negocio no va a→ tener impacto.
  19. 19. Pág 19 SEGURIDAD ASEQUIBLE PARA PYMES ¿Cómo medir la mejora en seguridad? ● Métrica sencilla – Es un primer paso para probar a medir. – Si funciona, podéis ir a metodologías y análisis más complejos. – Lo importante es medir repetidas veces (¿anualmente?) con el mismo sistema. ● Disponemos una métrica de riesgo agregado sencilla pensando en un negocio PyME – Impacto: Nada, Leve, Moderado, Alto, Extremo – Probabilidad: Nada, Poca, Media, Mucha ● Nos da un listado de prioridades – Las medidas aplicadas bajarán, anularán o traspasarán el riesgo – Descenso de la probabilidad de ocurrencia.
  20. 20. Pág 20 SEGURIDAD ASEQUIBLE PARA PYMES ¿Cómo medir la mejora en seguridad? ● Tabla ejemplo
  21. 21. Pág 21 SEGURIDAD ASEQUIBLE PARA PYMES Regla de Pareto presupuesto asequible.→ ● En seguridad parece que nunca hay límite de gasto: siempre hay algo que mejorar. ● Apliquemos la regla de Pareto para limitar el alcance de nuestro proyecto de seguridad – El 20% del esfuerzo supone el 80% de la mejora, luego reduciremos los riesgos rápidamente. – Método: ● Se completa la tabla anterior incluyendo agrupando los activos por servicioTICs. ● Se valoran según la métrica y se le asigna un presupuesto ajustado. ● Se ejecutará el 20 % del presupuesto total que supondría ejecutar todas las contramedidas detectadas.
  22. 22. Pág 22 SEGURIDAD ASEQUIBLE PARA PYMES Invertir en seguridad es ser menos vulnerable ● La percepción del riesgo es subjetiva. ● Los riesgos sólo preocupan si son inminentes o si ya han tenido impacto. ● Invertir en seguridad es hacer que nuestra organización sea menos vulnerable. ● No existe un argumento irrefutable que respalde una inversión en seguridad. ● Es una cuestión de cultura corporativa a todos los niveles.
  23. 23. Pág 23 SEGURIDAD ASEQUIBLE PARA PYMES ¿Cuánto ha supuesto en euros? ● Y eso que no eran responsables del incidente ….
  24. 24. Pág 24 SEGURIDAD ASEQUIBLE PARA PYMES Clásicos de la seguridad
  25. 25. Pág 25 SEGURIDAD ASEQUIBLE PARA PYMES Clásicos de seguridad: supuestos de partida ● Damos por descontando lo siguiente (¿ o no?): – Problema 1: malware y virus de múltiples fuentes. – Solución : software de seguridad (antivirus o similar) actualizado en todos los equipos con MSWindows. – Problema 2: acceso sin limitaciones al sistema por parte de los usuarios. ● Imposible control localizado para atacantes internos ● A través de estos usuarios un atacante externo puede hacer lo que le venga en gana. – Solución: usuarios sin privilegios. – Problema 3: ataques de ingeniería social. – Solución: atención y concienciación. Punto de partida del seminarioPunto de partida del seminario
  26. 26. Pág 26 SEGURIDAD ASEQUIBLE PARA PYMES Clásicos de seguridad: supuestos de partida ● Posibles intrusos/atacantesPosibles intrusos/atacantes – Internos:Internos: ● Empleados descontentosEmpleados descontentos ● Gente que cambia de trabajoGente que cambia de trabajo ● ...... – ExternosExternos ● VisitasVisitas ● Partners en nuestras instalacionesPartners en nuestras instalaciones ● Piratas en InternetPiratas en Internet ● ......
  27. 27. Pág 27 SEGURIDAD ASEQUIBLE PARA PYMES Clásicos de seguridad ● Problemas – Acceso físico a equipos/servidores. – Sesiones de usuario abiertas. – Acceso a BIOS – Capacidad de arrancar otros SOs – Baja protección de contraseñas. – Compartición redes (redes locales, wifi). – Pérdida de dispositivos y datos. – Actualización del software.
  28. 28. Pág 28 SEGURIDAD ASEQUIBLE PARA PYMES Clásicos de seguridad ● Riesgos / Impacto – Robo de identidad Impersonación→ – Robo de datos Confidencialidad→ – Manipulación de datos Integridad→ – Manipulación de sistemas Disponibilidad→
  29. 29. Pág 29 SEGURIDAD ASEQUIBLE PARA PYMES Sesión abierta – Contraseña en post-it ● Riesgo – Atacante interno. – Robo datos en el equipo, impersonando al usuario – Ataque al PC de usuario y sus aplicaciones. ● Solución – Formación y concienciación. – Activar salvapantallas. – Gestión razonable de cambio de contraseñas ● Repercusión en el servicio – Baja, si no hay mucha rotación de contraseñas. ● Coste solución – 15 minutos por usuario y equipo.
  30. 30. Pág 30 SEGURIDAD ASEQUIBLE PARA PYMES Acceso físico a los PCs ● Riesgo – Acceso al sistema y sus sesiones. Sin modificación – Acceso a los datos Robo de discos. Modificación→ ● Solución – Clave en BIOS – Deshabilitar el arranque mediante DVD o USB. – Cifrado de discos (vemosTruecrypt después) – Passwords robustos con cambios periódicos – Evitar LanManager.
  31. 31. Pág 31 SEGURIDAD ASEQUIBLE PARA PYMES Acceso físico a los PCs ● Repercusión en el servicio – Bajo, si la rotación de contraseñas es razonable. – El cifrado total de disco puede ralentizar el rendimiento en aplicaciones exigentes. ● Coste solución – Cambios de BIOS 15 minutos por equipo.→ – Política contraseñas: ● 15 minutos en un dominio. ● 15 minutos por PC si no hay dominio. – Cifrado de disco horas por PC dependiendo de la solución.→
  32. 32. Pág 32 SEGURIDAD ASEQUIBLE PARA PYMES Acceso físico a los PCs ● Demo acceso físico
  33. 33. Pág 33 SEGURIDAD ASEQUIBLE PARA PYMES Fuga de datos por USB ● Problema / Riesgo – Vector de entrada PC, servidor, portátil.→ – Multitud de dispositivos tiene almacenamiento USB: disco externos (USB, SATA), memorias USB, móviles, reproductores de música, discos extraíbles – Puedo perder datos en forma de ficheros. – Además, suele ser un punto de entrada a software malicioso o no deseado. – El mayor punto de pérdida de datos. ● Ejemplo: – Un empleado cambia de trabajo – Sale de la organización. – Le sobornan. – Es bastante común hacerse una copia de seguridad en un USB para trabajar en casa.
  34. 34. Pág 34 SEGURIDAD ASEQUIBLE PARA PYMES Fuga de datos por USB ● Solución 1: deshabilitar USB – Por BIOS. – Por sistema operativo. – En MSWindows 2003, XP,Vista, 2008 y posterior se puede hacer por políticas a nivel de máquina y de dominio ● Existe la posibilidad de sólo permitir el acceso en sólo lectura. ● También se puede aplicar a todo tipo de almacenamiento extraible. ● Repercusión el servicio – BIOS muy alto. Hay muchos dispositivos que funcionana vía USB.→ – Por sistema operativo alto. Los usuarios pierden una función a la que están muy→ habituados. ¿Equipo para conectar USBs? ● Coste: 15 minutos por PC para BIOS o configuración políticas.
  35. 35. Pág 35 SEGURIDAD ASEQUIBLE PARA PYMES Fuga de datos por USB ● Demo
  36. 36. Pág 36 SEGURIDAD ASEQUIBLE PARA PYMES Fuga de datos por USB ● Solución 2: dar acceso sólo a ciertos USB – En MSWindowsVista, 7, 2008 y posterior se puede,por políticas a nivel de máquina y de dominio ● Permitir que sólo ciertos USBs se monten en ciertos equipos o por ciertos usuarios. ● El control se hace restringiendo el tipo de driver que está permitido instalar. ● Estos significa que el control se hace por el modelo de USB. ● Tengo control si proporciono a los usuarios sus dispositivos USB oficiales. ● Evito la fuga en móviles, MP3 y resto de USBs.
  37. 37. Pág 37 SEGURIDAD ASEQUIBLE PARA PYMES Fuga de datos por USB ● Demo
  38. 38. Pág 38 SEGURIDAD ASEQUIBLE PARA PYMES Fuga de datos por USB ● Repercusión en el servicio – Baja. Los usuarios disponen de USB corporativo. ● Coste solución – Restricción USB desdeWindows.: ● 15 minutos en un dominio. ● 15 minutos por PC si no hay dominio. – Alta de USBs ● 15 minutos en un dominio. ● 15 minutos por PC si no hay dominio.
  39. 39. Pág 39 SEGURIDAD ASEQUIBLE PARA PYMES Sniffing de datos ● Problema – En una red se comparte el medio para transmisión de datos ● WLAN la señal electromagnética con el punto de acceso.→ ● LAN Cable y elementos de conmutación/repetición→ – Los datos se pueden llegar a ver “en claro”. ● Casos vulnerablesWIFI: ● Sin clave evidente→ ● Segura: – WEP: Crackeable de manera sencilla – WPA: Crackeable por diccionario ● Problemática de APs compartidos con entorno abierto: – WEP: Nos dan la clave de cifrado – WPA: Compartimos la contraseña de cifrado y por tanto podemos descifrar la negociación de la clave de sesión.
  40. 40. Pág 40 SEGURIDAD ASEQUIBLE PARA PYMES Sniffing de datos ● Casos vulnerables red cableada – Hub: En claro – Switch: ARP spoofing o port monitoring a nivel de switch ● Riesgo Robo de credenciales→ – Impersonación ● Usuario/pass ● Cookies – Otros... ● Bancos ● E-Commerce
  41. 41. Pág 41 SEGURIDAD ASEQUIBLE PARA PYMES Sniffing de datos ● Solución – Cifrado de las comunicaciones ● HTTP HTTPS→ ● Correo – SSL/TLS y STARTLS – Evitar uso de WIFI, al menos fuera de la empresa. – Protección del medio (cable).
  42. 42. Pág 42 SEGURIDAD ASEQUIBLE PARA PYMES Sniffing de datos ● Demo
  43. 43. Pág 43 SEGURIDAD ASEQUIBLE PARA PYMES Sniffing de datos ● Repercusión en el servicio – SSL bajo. La mayoría de soluciones vienen preparadas para trabajar SSL.→ – No usarWIFI medio-alto si se restringe en la propia empresa. Los dispositivos→ móviles no tienen acceso a la LAN y los costes de datos móviles subirán. ● Coste solución – SSL 1/2 hora por sistema a asegurar.→ – NoWIFI 1 hora.→
  44. 44. Pág 44 SEGURIDAD ASEQUIBLE PARA PYMES Aseguramiento del almacenamiento ● Problema / Riesgo – Pérdida/robo de almacenamiento ● Un USB/CD ● Un portátil/tablet/móvil – Acceso físico al mismo – Confidencialidad de nuestros datos ● Competencia – Propiedad intelectual ● Robo de contraseñas para accesos ● Datos íntimos
  45. 45. Pág 45 SEGURIDAD ASEQUIBLE PARA PYMES Aseguramiento del almacenamiento ● Solución – Teoría: cifrado de la información, cifrado robusto (algoritmos válidos actualmente) ● Evita el acceso libre a los datos cuando hay acceso físico al soporte. – Práctica: solución de cifrado en el propio almacenamiento, protegido por clave por el usuario – Herramientas: ● Cifrado a nivel filesystem: EFS, LUKS ● Cifrado a nivel de usuario:Truecrypt, Bitlocker ● Otros comerciales (soluciones DLP) – Recomendamos Truecrypt por ser multiplataforma y software libre.
  46. 46. Pág 46 SEGURIDAD ASEQUIBLE PARA PYMES Aseguramiento del almacenamiento ● Demo
  47. 47. Pág 47 SEGURIDAD ASEQUIBLE PARA PYMES Aseguramiento del almacenamiento ● Repercusión en el servicio – Bajo. Supone un paso más para acceder a la información, pero es bastante amigable. – Alto ,si se implanta en DVDs. ● Coste solución – Depende del número de dispositivos y su naturaleza. ● Preparar un contenedorTruecrypt. De 15 a 30 minutos dependiendo del tamaño. ● Cifrar un dispositivo completo. De 30 a 60 minutos dependiendo del tamaño. – Es fácil formar a los usuarios.
  48. 48. Pág 48 SEGURIDAD ASEQUIBLE PARA PYMES Actualización del software ● Problema – Todo el software tiene un ciclo de vida ● Nuevas funcionalidades ● Corrección de errores - bugs – De funcionalidad – De seguridad – Problemas de seguridad ● Ejecución de código arbitrario – Disponibilidad ● Inserción de payloads – Ejecución de código maligno – Troyanos – Robo de credenciales y de datos
  49. 49. Pág 49 SEGURIDAD ASEQUIBLE PARA PYMES Actualización del software ● Problema – Problemas de seguridad: conocidos por piratas ● A veces antes que el fabricante: 0 day – Importante: siempre a la última versión del software – Confiabilidad del software: ● ¿Qué hace el software por dentro? ¿Sólo lo que “parece”? ● Una actualización puede cambiar la funcionalidad – Inserción de un troyano. ● ¿Es el software original o ha sido alterado (P2P)?
  50. 50. Pág 50 SEGURIDAD ASEQUIBLE PARA PYMES Actualización del software ● Solución – Elección consciente del software ● Referencias y contratos con el fabricante ● Software Open Source: – Podemos ver lo que hace. – Normalmente auditado por comunidades abiertas. – Disponer siempre de la última versión ● Actualizaciones ● Origen confiable del mismo: firma digital, hash, etc...
  51. 51. Pág 51 SEGURIDAD ASEQUIBLE PARA PYMES Actualización del software ● Repercusión en el servicio – Depende del grado automatización y de los permisos ¡Silent Updates para Java ya!→ – Alto si tenemos que implantar una herramienta de distribución se software. – Depende del servicio y del software ● Aplicaciones certificadas con IE6. – Conflicto clásico entre sistemas y desarrollo a ver quién actualiza una base de datos→ de una aplicación crítica. ● Coste solución – Proporcional al número de usuarios y Pcs.
  52. 52. Pág 52 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil
  53. 53. Pág 53 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil ● Problema – Los dispositivos móviles (móviles y tabletas) ya no son meros teléfonos; nos sirven como pequeños ordenadores conectados directamente a Internet. – Almacenan toda clase de información sensible: ● Personal fotos, contactos, usuarios y claves de acceso a servicios en la nube y→ redes sociales. ● Corporativa fotos,contactos, archivos y claves de acceso a servicios en la nube y→ aplicaciones internas. – Son fáciles de perder y objeto de deseo para ladrones. – En el diseño de sus sistemas operativos (iOS, Android,Windows Phone ..), las funciones de seguridad están siendo implantadas ahora que son sistemas maduros y el hardware más potente (excepción Blackberry). – Hay muchos tipos de sistemas operativos, lo que complica la gestión. – Todavía no hay herramientas de gestión móviles (MDM) maduras para la PYME.
  54. 54. Pág 54 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil ● Riesgo – Infecciones en los dispositivos por malware. ● Robo de datos en línea. ● Uso no permitido de servicios e pago. – Acceso a datos personales o confidenciales en caso de robo. – Acceso a credenciales corporativas y personales.
  55. 55. Pág 55 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil ● Reflexión – Los dispositivos móviles son el punto más expuesto de nuestras empresas. – Con estos dispositivos y los servicios en nube, los departamentos deTICs se han visto desbordados: ● Hay mejores servicios en la nube que dentro de las propias empresas. ● No hay herramientas para implantar medidas de seguridad es como retrotraerse→ 10 o 15 años al mundo del PC. ● Paradigma Dropbox→ – Si un dispositivo móvil es como un pequeño PC, apliquemos en ellos los principios de clásicos de seguridad
  56. 56. Pág 56 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil ● Solución 1: clásicos de seguridad – Sesión abierta salvapantallas y patrón de seguridad.→ – Acceso físico es complicado tener acceso a los datos.→ – WIFI no usar redes WIFI públicas. El 3G es más seguro.→ – Actualización de software sólo usar sitios de aplicaciones oficiales. Los fabricantes→ no actualizan los sistemas todo lo que debieran, sobre todo en Android. ● Repercusión en el servicio – Ninguna. Sólo formar a los usuarios en un uso razonable del dispositivo. ● Coste solución – Ninguno adicional. Debe ser la configuración normal del dispositivo.
  57. 57. Pág 57 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil: Prey ● Solución 2: localización de dispositivos robados con PreyProject – PreyProject es un servicio en nube. ● Gratis hasta 3 dispositivos. ● Versión de pago: más funciones y dispositivos. – Localiza dispositivos móviles (Android e iOS) y PCs (Windows, Linux y Mac). – Es software libre. – Impacto casi nulo en el rendimiento. – La aplicación está bien escondida para el usuario normal. ● Repercusión en el servicio – Ninguna. Puede llegar a ser invisible para el usuario ● Coste solución – 15 minutos por dispositivo y el coste del servicio de pago si se desea
  58. 58. Pág 58 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil: Prey ● Demo
  59. 59. Pág 59 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil: EDS Lite ● Solución 3: cifrado de datos con EDS Lite – EDS Lite es una aplicación en Android que permite generar contenedores seguros para archivos enAndroid. – Es gratuita. Hay versión de pago. – Los contenedores de archivos pueden ser abiertos porTruecrypt en PC sincronizar→ con Dropbox. ● Repercusión en el servicio – Baja. Complica un poco el acceso a los datos. ● Coste solución – 15 minutos de configuración por dispositivo y la formación a los usuarios 2 h
  60. 60. Pág 60 SEGURIDAD ASEQUIBLE PARA PYMES Seguridad en el móvil: EDS Lite ● Demo
  61. 61. Pág 61 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos
  62. 62. Pág 62 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos ● Problema – Mucha información se guardan en ficheros y no en aplicaciones o bases de datos corporativas. ● Estándares de facto: MS Office, Catia, AutoCad ... ● Usamos ficheros porque son fáciles de compartir mediante soportes o redes. ● Esta facilidad hace que las fugas de información a través de ficheros sea el riesgo más común. ● La fuga puede ser malintencionada o no. Casi siempre el ataque es interno. – Controlar los almacenamientos extraíbles no es suficiente. El activo es el fichero no el medio USB. ● Por correo web o estándar. ● Por servicios en Internet: dropbox, mensajería instántanea- ● Mediante impresión. – Las técnicas que tratan de evitar y detectar estas fugas se conocen como DLP ( Data Loss Protection) soluciones de seguridad complejas,→
  63. 63. Pág 63 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos ● Riesgo – Filtración de datos personales y confidenciales. – Ataque a la propiedad intelectual – Vulneración de legislación vigente y de contratos con clientes. – No saber que he perdido información. ● Impacto – Muy alto. ● Enfoque para una PYME – Una solución DLP es muy cara. – Es más barato restringir el acceso a la información delicada → los permisos en el servidor de ficheros son un punto crítico.
  64. 64. Pág 64 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos ● Comprendiendo cómo funciona un DLP – Un DLP trata de controlar todos los puntos por donde la información puede salir de un infraestructuraTIC. En un PC es como un antivirus. – Es como poner un vigilante en cada puerta de una biblioteca. – Pero hay muchos huecos: ● El teléfono, el fax, un libro que se arroja por la ventana. ● Pcs, USBs, móviles (Bluetooth oWIFI), impresoras, servicios web, ● Por eso resulta bastante compleja una solución DLP. ● MyDLP es un DLP de software libre. – Sólo para realizar la demo. – No lo recomendamos ● La versión de comunidad carece de funciones clave. ● No parece maduro y con un modelo claro de software libre.
  65. 65. Pág 65 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos: Sealpath ● Demo
  66. 66. Pág 66 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos ● Solución: Sealpath – Sealpath protege los ficheros allá donde estén añadiendo una coraza de seguridad en→ vez de controlar las puertas de la biblioteca, se centra en proteger los libros. – Está disponible como solución SaaS y como software tradicional. – Protege ficheros de MS Office, PDF y XPS con un amplio espectro de permisos para el documento. – No guarda el fichero en sí, sólo gestiona la cobertura. – Permite auditar el uso del fichero. – Permite inutilizar un fichero a distancia. – Disponible también en dispositivos móviles. – Permite el uso de servicios cloud con tranquilidad. – Es una empresa vasca. :-) – No hay nada similar en software libre. :-(
  67. 67. Pág 67 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos: Sealpath ● Demo Sealpath
  68. 68. Pág 68 SEGURIDAD ASEQUIBLE PARA PYMES Controlando los ficheros corporativos: Sealpath ● Repercusión en el servicio – Baja, internamente La integración con Office y Adobe Reader facilitan la labor de formación. – Media, de cara al exterior. Hay que tener preparado un procedimiento para formar rápidamente a los usuarios externos con quien compartamos ● Coste solución – Instalación y configuración. 15 minutos por equipo. – Formación: 1 h por usuario – Sealpath Professional: 6 € al mes por usuario.
  69. 69. Pág 69 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras
  70. 70. Pág 70 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras ● Problema – Disposición de aplicaciones corporativas para el negocio basadas en web: ● ERP, CRM, intranet documental, tienda online, etc... – Normalmente basadas en software generalista, con posibles desarrollos a medida ● Ejemplos: – Web en Joomla,Wordpress o Drupal – CRM tipo SugarCRM, etc... – Tienda online basada en Prestashop – Software en continuo desarrollo – Problemas de seguridad habituales ● Inyecciones desde usuarios ● Vulnerabilidades en la gestión de identidades y permisos
  71. 71. Pág 71 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras ● Problema – OWASP 10
  72. 72. Pág 72 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras ● Riesgo – Robo de datos – Manipulación de datos – Disponibilidad de las aplicaciones – Vulneración de leyes (LOPD) – Pérdida de imagen corporativa
  73. 73. Pág 73 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras ● Demo SQL injection en formulario de login ● Introducción de sentencias SQL por parte del usuario hasta el sistema de BD final, a través del formulario de captura de datos de login ● Acceso completo a BD final: – Crear, borrar, eliminar y consultar cualquier registro ● ¿Por qué? – Errores en la codificación del código – Falta de validación y filtrado de los datos entrantes del usuario ● ¿Cómo? ● Envío de datos del “navegador” al servidor – POST/GET para consultas/formularios ● Manipulación de los datos sin validación en servidor ● Consultas manipuladas a la BD
  74. 74. Pág 74 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras
  75. 75. Pág 75 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras ● Solución – Actualización constante del software web ● Elección del ciclo de vida de los componentes determinante ¿cuánto tiempo va→ estar soportada mi aplicación web? – Auditorías de seguridad PentestingWeb→ ● No incluyen corrección de errores, sólo la detección. – Desarrollo seguro ● Paradigma de desarrollo web seguro. ● Formación y método del equipo de desarrollo. ● Importante elección de proveedor si se externaliza un desarrollo. Es difícil de valorar. ¿Certificaciones?
  76. 76. Pág 76 SEGURIDAD ASEQUIBLE PARA PYMES Aplicaciones web corporativas seguras ● Repercusión en el servicio – Baja ya que la funcionalidad no debería cambiar. ● Coste solución – Actualizaciones ● Incluida en la administración del sistema. ● Si hay una buena gestión de cambio, habrá que pasar un test funcional completo en el entorno de pruebas 4 horas para aplicaciones sencillas.→ – Auditorías externas. Depende mucho de cada caso: aplicación, cliente, auditor y alcance del proyecto.
  77. 77. Pág 77 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden Riesgos del cloud
  78. 78. Pág 78 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● ¿Quién es Edward Snowden? – Es un ingeniero informático que trabajó para la CIA y la NSA. – Filtró a la prensa, entre otros, la existencia de PRISM un programa de vigilancia electrónica por parte del gobierno de EE.UU. ● Cronología resumida – 6-6-2013. The Guardian y TheWashington Post revela la que la NSA y el FBI han solicitado acceso a la infraestructura de Google, Microsoft , Facebook entre otros. – 9-6-2013. Snowden confiesa ser la fuente de las filtraciones desde Hong-Kong. – 15-6-2013. Microsoft y Facebook, entre otras, reconocen haber proporcionado datos sobre miles de personas a agencias gubernamentales.. – 21-06-2013. The Guardian desvela que al gobierno británico, aliado con el estadounidense, tiene capacidad para “pinchar” nodos centrales de Internet y recoger información de forma masiva. – 23-06.2013. Snowden recala en Rusia donde acabará exiliado. Continuará ...
  79. 79. Pág 79 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Cómo funciona PRISM (presuntamente)
  80. 80. Pág 80 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Problema los medios de que disponen son enormes.→ The Black Budget.
  81. 81. Pág 81 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Problema Nos vigilan→ ● ¿Y esto es una novedad? → Programa ECHELON, SITEL.
  82. 82. Pág 82 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Problema – Hechos ● Los gobiernos vigilan y vigilarán; es parte de su trabajo (lucha contra la pornografía infantil). ● Siempre habrá personas que utilicen estos sistemas para beneficio propio. ● El espionaje industrial siempre ha sido una labor de inteligencia. ● En Occidente nos enteramos de la existencia de este tipo de programas; en Rusia, en China “no existen” estos programas porque no hay filtraciones. ● Este tipo de actividades seguirá creciendo en los próximos años (ciberguerra, cibercomandos) ● Existen otra clase de agentes agresivos como corporaciones, delincuencia de organizada y grupos políticos como Anonymous. INTERNET ES UN MEDIO HOSTIL ¿ADOPTAR SOLUCIONES CLOUD SUPONE UN RIESGO AÑADIDO?
  83. 83. Pág 83 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Riesgo – Cada vez las empresas utilizan más servicios cloud y crece la cantidad de datos de la empresa fuera de la infraestructura de la empresa. ● Aplicaciones completas: ERP, CRM en SaaS. ● Servidores en infraestructuras IaaS. – La mayoría de empresas líderes en cloud son norteamericanas. – Internet es una interconexión de redes. ● ¿Quién puede estar escuchando? – El proveedor. – El gobierno donde del país donde este alojado ese nodo de red. – Fuera de Occidente el riesgo pasa a ser muy alto ya que los gobiernos controlan el acceso a Internet. Por ejemplo: poner sedes en China o Oriente Medio. – Nuestra propiedad intelectual se ve amenazada. – Nuestro personal susceptible de ser chantajeado si se llega a sus datos privados.
  84. 84. Pág 84 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Solución 1: desactivar el modo paranoia – El cloud tiene riesgos parecidos al hosting (web, correo, servidores) tradicional y las empresas no lo perciben como tal. – Es poco probable estar en el foco, pero no hay que descuidarse. ● Solución 2: segregar los datos más sensibles y aplicarles un tratamiento especial. – Cifrado de ficheros. – No dejarlos en servicios cloud o sólo en servicios de confianza. – Repercusión en el servicio ● Alto. Implica una buena formación, concienciación y auditoría interna. ● Coste. Medio.
  85. 85. Pág 85 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Solución 3: prestar servicios de nube internamente – Por ejemplo: sustituir Dropbox por Owncloud (software libre).
  86. 86. Pág 86 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Repercusión en el servicio – Depende de la diferencia de funciones y calidad entre el servicio en la nube y lo que prestemos nosotros. ● Coste solución – Normalmente caro. – Cuanto más pequeña sea la organización más uso hará de SaaS. – Los servicios en Internet son bastante buenos y a veces gratuitos. ● Gmail vs Zimbra ● Dropbox vs Owncloud – ¿Son mis instalaciones seguras?
  87. 87. Pág 87 SEGURIDAD ASEQUIBLE PARA PYMES Lecciones del caso Snowden ● Solución 4: controlar el hardware – Tener la infraestructura en nuestras instalaciones. – Llevar nuestra infraestructura a un proveedor cercano con el que haya poder de negociación y más control. Por ejemplo: Cloud Norte ;-) – Dependencia de AWS o Azure buscar en el futuro proveedores de OpenStack o crear→ nubes privadas para los datos críticos (infraestructura híbrida). proyecto conjunto→ Solid Rock IT + Cloud Norte en OpenStack.
  88. 88. Pág 88 SEGURIDAD ASEQUIBLE PARA PYMES Conclusiones
  89. 89. Pág 89 SEGURIDAD ASEQUIBLE PARA PYMES Presupuesto asequible ● Presupuesto para las soluciones presentadas – Externalizar estas mejoras a 40 € / hora. – 20 ordenadores: 15 Pcs y 5 portátiles en un dominio MSWindows. – 10 smartphones. – Contratamos Prey Pro para los smartphones y Sealpath para 5 usuarios. – Dejamos la auditoría de aplicaciones y revisar nuestro uso de servicios en nube para tiempos mejores.
  90. 90. Pág 90 SEGURIDAD ASEQUIBLE PARA PYMES Presupuesto asequible ● Lo más básico: ~ 2500 € 125 € / usuario el primer año→ ● Mejora espectacular.
  91. 91. Pág 91 SEGURIDAD ASEQUIBLE PARA PYMES Conclusiones ● Detecta tus activos y valora tus riesgos tabla de métrica propuesta→ → diagnóstico anual. ● Con un presupuesto limitado puedes mejorar notablemente. ● Olvídate de ataques complejos un atacante buscará primero el punto→ más debil: configuraciones por defecto, clásicos de seguridad e ingeniería social. ● Piensa en la seguridad como una función más deTICs a la hora actualizar o implantar nuevos sistemas. ● No trates todos los datos de igual modo: identifica los usuarios y la información más sensible y protégelos. ● Se cauto cuando la información salga de tu infraestructura: USB, nube ...
  92. 92. Pág 92 SEGURIDAD ASEQUIBLE PARA PYMES Fin Mila esker / Gracias Para cualquier duda o consulta angellafuente@solid-rock-it.com jon.uriona@cloudnorte.com

×