Heramientas Gestion Riesgo Digital

Herramientas para la Gestión del Riesgo Digital
CIO Summit: Ciberseguridad para CIOs

Cartagena de Indias, 17 de abril de 2018
TALENTO Y CAPACITACIÓN CIBERSEGURIDAD RED / BLUE CIBERSEGURIDAD

INDUSTRIAL TEAM NACIONAL
Contenido
▪ Introducción
▪ Gestión del riesgo digital
▪ Consejos para sobrevivir al tsunami digital
CIO Summit: Ciberseguridad para CIOs - Cartagena de Indias, Abril 17, 2018
Contenido
▪ Introducción
Source: Data Breach Level Index
Introducción
La Aritmética del Riesgo Digital
Superficie Ecosistema
Riesgo
Exposición Dinámico
+ = Digital
Digital Amenazas
Omnipresencia Sofisticadas
Hiperconectividad Dirigidas
Complejidad Disruptivas
Introducción
Fraude Terceros
Ciber Seguridad Riesgos

Tecnológicos
Operacionales
Procesos
Legales
Ambientales
Introducción
Cómo Control y Regulación abordan la Ciberseguridad
ANTES AHORA
Directiva de GDPR
Privacidad
ISO 27001
Cyber Security Directiva NIS
Framework
Banco Central
NERC CIP Europeo
BS 17799
Basado en Línea Base Basado en Gestión de Riesgos
Introducción
Costes de Gestión de Riesgos

$
Gestión Riesgos
Punto Optimo
Nivel de Riesgo
Nivel Mínimo por Regulación Nivel Madurez

Ciberseguridad
Contenido
▪ Introducción
Gestión del riesgo digital
1 Análisis de
Exposición 2 ADT as a Service
3 Evaluación de
Ciber Riesgos
Análisis de la exposición en Evaluación técnica para El objetivo es ejecutar una

fuentes abiertas de forma determinar el Nivel de evaluación en profundidad
no intrusiva para Vulnerabilidad de los para levantar y cualificar
proporcionar información servicios digitales y de la los riesgos de
sobre el nivel de infraestructura tecnológica Ciberseguridad y proponer
exposición de la empresa a y en la concienciación, un Plan de Tratamiento de
eventuales incidentes de formación y los riesgos.
seguridad entrenamiento de los
empleados.
DINAMICO (continuo durante el año) ESTATICO (1 vez al año)
Identificación y Gestión de Riesgos Digitales
DINAMICO (continuo durante el año) ESTATICO (1 vez al año)
1 2 3
Análisis de Evaluación de
ADT as a Service
Exposición Ciber Riesgos
Seguimiento Plan de
Gestión del Riesgo Tratamiento del
Riesgo
Nivel de Riesgo Nivel de Riesgo
Matriz de Riesgos
► Alerta ► Alerta
► Informe de Exposición ► Informe de Vulnerabilidades
► Plan de Tratamiento ► Informe de Ciber Riesgos
► Plan de Capacitación ► Plan de Tratamiento del Riesgo
Exposición en Redes Sociales, Análisis de Vulnerabilidades Filtración de datos
Medios digitales, Deep&Dark corporativos
Evaluar qué información está Escaneo de vulnerabilidades Búsqueda de información de

disponible de la compañía y (no invasivo) de la la compañía que pueda estar
personal clave, que pueda ser infraestructura expuesta, filtrada en fuentes públicas y
utiliza para un eventual obteniendo las principales que puedan comprometer su
ataque dirigido contra la vulnerabilidades que les seguridad.
misma. afecta.
Uso fraudulento de dominios Suplantación de marca Black Market y Alternative

market places
Determinar el uso fraudulento Identificar Mediante el abuso Identificación de información

de dominios similares a los y uso fraudulento de la de clientes de la compañía en
corporativos. Se pueden usar imagen de marca. el mercado negro. Detectar
en campañas de Phising, aplicaciones móviles
Pharming, de Malware ilegítimas y publicarlas en
dirigido, etc. market places alternativos.
ANÁLISIS / INVESTIGACIÓN NIVEL DE RIESGO ENTREGABLES
Exposición en Redes Sociales, Medios Muy bajo

Muy Alto
digitales, Deep&Dark Web, etc.
Análisis de Vulnerabilidades Alto
Filtración de datos corporativos Medio

Medio
alto ALERTA
INFORME DE
Uso fraudulento de dominios Bajo EXPOSICIÓN
Suplantación de marca Medio alto
Black Market & Alt. market places Medio Bajo
PASO 1 PASO 2 PASO 3
Evaluación Preliminar
ADTaS – (Attack, Defense, Training, Simulation as a Service)
Servicio continuo de ataque desde el exterior y

explotación controlada de las vulnerabilidades,
analizando la capacidad de respuesta de los
equipos de respuesta de incidentes.
Evaluación Preliminar
PLANEAR DESCUBRIR ATACAR DOCUMENTAR
Preparación Compromiso Expansión Explotación

• Lanzamiento de ataques Aprovechar debilidades comunes:
• Obtener conocimiento del proceso. controlados. • Explotar interdependencias
• Construir infraestructura para • Explotar vulnerabilidades • Monitorización escasa o • Explotar vulnerabilidades de día
(Red Team)
Ataque
pruebas especificas. específicas en sistemas, redes, inexistente cero (zero-days)

• Obtener información en actividades arquitecturas, prácticas, protocolos • Sistemas antiguos • Evaluar los efectos objetivo,
de la comunidad profesional o procesos • Falta de concienciación. impactos esperados y resultados
(conferencias, workshops, etc.) • Uso de datos e información técnica • Relaciones de confianza entre • Exfiltrar, compartir y publicar
proporcionada por el objetivo de sistemas Información
forma no autorizada o controlada • Debilidades de arquitecturas
Monitorizar de forma integrada IT y Monitorizar efectividad de: • Categorizar riesgos e incidentes

OT: • Firewalls • Responder a incidentes
(Blue Team)
Defensa
• Analizar del proceso (Process • SOC, SIEM, IDS/IPSs, etc. • Arquitectura de red • Comprobar efectividad y
Hazard Analysis, PHA) • Defender el perímetro • Sistemas de detección pasiva de rendimiento de las medidas de
• Analizar inteligencia de amenazas • Analizar vulnerabilidades y actividad intrusiones protección
(Threat Inteligence) de forma pasiva • Contramedidas específicas del • Recomendar mejores y
proceso contramedidas adicionales.
Gobierno, Riesgo y Identificar Proteger

Cumplimiento
Evaluar el nivel de Evaluar el nivel de Evaluar el nivel de
madurez de controles madurez de controles madurez de controles
relativos al Gobierno, relativos a Identificación relativos a la Protección de
Riesgo y Cumplimiento de de Riesgos de Activos de la organización.
la Ciberseguridad. ciberseguridad.
Detectar Responder Recuperar
Evaluar el nivel de Evaluar el nivel de Evaluar el nivel de

madurez de controles madurez de controles madurez de controles
relativos a la Detección de relativos a Respuesta ante relativos a Recuperación
Incidentes de seguridad. Incidentes de ante Incidentes de
Ciberseguridad. Ciberseguridad.
ANÁLISIS DE RIESGOS CUALIFICACIÓN DEL RIESGO ENTREGABLES
Gobierno
Gobierno de
dela
la Ciberseguridad
Ciberseguridad
Riesgo Nivel Tratamiento ...

Identificación
Identificación del
delRiesgo
Riesgo
Riesgo 1 Medio Aceptar ... INFORME DE CIBER
RIESGOS
Protección
Protección de
deActivos
Activos Riesgo 2 Bajo Mitigar ...
Riesgo 3 Alto Mitigar ...

Detección
Detecciónde
deIncidentes
Incidentes
Riesgo 4 Medio Traspasar ... PLAN DE TRATAMIENTO DEL RIESGO
Respuesta
Respuestaante
anteIncidentes
Incidentes
... ... ... ...
Recuperación
Recuperación ante
anteIncidentes
Incidentes
PASO 1 PASO 2 PASO 3
Contenido
▪ Introducción
10 consejos para sobrevivir al Tsunami Digital
I II VI VII
Sea consciente Preocuparse no Comprar La
de que no saber es suficiente, servicios de ciberseguridad
que esta siendo OCUPESE Ciberseguridad NO SOLO SON
atacado no NO ES ANTIVIRUS
significa que NO COMPRAR
LO ESTE CARAMELOS
SIENDO
IV VIII IX
III Recuerde que la
ciber seguridad
La Exija a su
Nombre a un REGULACION PROVEEDOR
de su empresa
RESPONSABLE y NO ES que entregue
depende de
dele los medios SUFICIENTE servicios ciber
TODOS los
necesarios seguros
EMPLEADOS
INVIERTA
ACORDE a
Encargue
V AUDITORIAS a X
como de digital
sea su negocio
terceros
Confidential
Gracias
miguel.rego@ihacklabs.com
TALENTO Y CIBERSEGURIDAD RED / BLUE CIBERSEGURIDAD
CAPACITACIÓN INDUSTRIAL TEAM NACIONAL

Heramientas Gestion Riesgo Digital

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Heramientas Gestion Riesgo Digital

Cargado por

Copyright:

Formatos disponibles

Herramientas para la Gestión del Riesgo Digital

CIO Summit: Ciberseguridad para CIOs

TALENTO Y CAPACITACIÓN CIBERSEGURIDAD RED / BLUE CIBERSEGURIDAD

Ciber Seguridad Riesgos

Basado en Línea Base Basado en Gestión de Riesgos

Costes de Gestión de Riesgos

Nivel Mínimo por Regulación Nivel Madurez

Análisis de la exposición en Evaluación técnica para El objetivo es ejecutar una

DINAMICO (continuo durante el año) ESTATICO (1 vez al año)

DINAMICO (continuo durante el año) ESTATICO (1 vez al año)

Nivel de Riesgo Nivel de Riesgo

Evaluar qué información está Escaneo de vulnerabilidades Búsqueda de información de

Uso fraudulento de dominios Suplantación de marca Black Market y Alternative

Determinar el uso fraudulento Identificar Mediante el abuso Identificación de información

ANÁLISIS / INVESTIGACIÓN NIVEL DE RIESGO ENTREGABLES

Exposición en Redes Sociales, Medios Muy bajo

Análisis de Vulnerabilidades Alto

Filtración de datos corporativos Medio

Suplantación de marca Medio alto

Black Market & Alt. market places Medio Bajo

PASO 1 PASO 2 PASO 3

ADTaS – (Attack, Defense, Training, Simulation as a Service)

Servicio continuo de ataque desde el exterior y

PLANEAR DESCUBRIR ATACAR DOCUMENTAR

Preparación Compromiso Expansión Explotación

pruebas especificas. específicas en sistemas, redes, inexistente cero (zero-days)

Monitorizar de forma integrada IT y Monitorizar efectividad de: • Categorizar riesgos e incidentes

Gobierno, Riesgo y Identificar Proteger

Detectar Responder Recuperar

Evaluar el nivel de Evaluar el nivel de Evaluar el nivel de

ANÁLISIS DE RIESGOS CUALIFICACIÓN DEL RIESGO ENTREGABLES

Riesgo Nivel Tratamiento ...

Riesgo 3 Alto Mitigar ...

PASO 1 PASO 2 PASO 3

También podría gustarte