Ciberseguridad v.1 1

Ciberseguridad
Introducción a la ciberseguridad
Objetivos
▪ Comprender los aspectos fundamentales
▪ Entender el marco normativo
▪ Analizar y gestionar los ciberriesgos
(c) 2010-2018 en Colaboración – Consultoría colaborativa

www.encolaboracion.net (+34) 667840499
Documento público - 15/01/18 - 2
https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES
Índice
▪ Introducción a la ciberseguridad
▪ Marco normativo
▪ Análisis de riesgos
▪ Gestión de riesgos

Kahoot

Introducción a la
ciberseguridad
Objetivos
▪ Visión global
▪ A quién afecta, cómo y por qué
▪ Activos, vulnerabilidades y amenazas
▪ Riesgos
▪ Beneficios

Escenario actual
▪ Necesidad de las nuevas tecnologías
▪ Democracia de las nuevas tecnologías
▪ Nivel global e individual
▪ Ciberseguridad como un reto
▪ Necesidad de confianza
▪ No existe el riesgo 0
▪ Puede afectar a cualquiera
▪ El usuario es el eslabón más importante de la cadena de la
seguridad
Escenario actual
▪ Deep Web, Darknet
https://www.youtube.com/watch?time_continue=3&v=crkPLzuysKE

Escenario actual
▪ ¿por qué las redes sociales, los servicios de correo electrónico u
otros servicios ofrecidos a través de Internet, son gratuitos?
https://youtu.be/PAvbYdsiNl8

Ciberespacio
▪ Entorno complejo, resultante de la interacción de múltiples
elementos

Ciberseguridad
▪ En la información del ciberespacio, preservación de:
▪ Confidencialidad
▪ Integridad
▪ Disponibilidad

Ciberseguridad
Seguridad de la información
Seguridad de las aplicaciones
Ciberseguridad
Seguridad de las Seguridad de
redes internet
Protección infraestructuras críticas

Amenazas
▪ Desastres naturales
▪ De origen industrial
▪ Ataques intencionados (ciberataques)
▪ Errores y fallos no intencionados

Ciberataques
▪ Cryptolocker
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-
cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-
numero-de-organizaciones-espanolas.html
▪ Phishing
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/nuevo-
phishing-agencia-tributaria-no-piques
▪ Avisos del Incibe
https://www.incibe.es/protege-tu-empresa/avisos-seguridad
Valor de los sistemas de la información
▪ Activos
▪ Hay que protegerlos

Valor de los sistemas de la información
ACTIVOS
Servicio
PROCESOS ESTRATÉGICOS
Información
PROCESOS OPERATIVOS
Tecnología
Cliente Cliente PROCESO
Personas
Proveedores
PROCESOS DE APOYO
Instalaciones

Vulnerabilidades
▪ Debilidad de un activo o medida de seguridad
▪ Permiten que las amenazas se materialicen

Vulnerabilidades

Amenazas
▪ Elemento que aprovecha una vulnerabilidad para atentar contra la
seguridad de un activo de información
▪ Ocasionan incidentes de seguridad

Amenazas

Riesgos
▪ Gravedad e impacto

Medidas de seguridad
▪ Medios para la gestión de riesgos
▪ Políticas, procedimientos, directrices, prácticas o estructuras
organizativas, que pueden ser administrativas, técnicas, gestión o de
naturaleza legal

Relación entre todos los elementos
Aprovechan
Amenazas Vulnerabilidades
Protegen de Aumentan Aumentan Exponen
Disminuyen
Controles Riesgos Activos
Imponen Marcan Impactan Aumenta Tienen

si se
materializan
Requisitos
Valor de
de
los activos
seguridad

Conclusiones
▪ Dependencia de las TIC
▪ Identificación de activos, amenazas y vulnerabilidades
▪ Impacto
▪ Mitigación

Marco normativo
Marco normativo
Objetivos
▪ Conocer la legislación y normativa
▪ Cumplir como vía para lograr confianza y mejorar el nivel de
ciberseguridad

Marco normativo
Obligatorio
▪ Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal (LOPD) y su Reglamento de desarrollo
▪ Ley 34/2002 de servicios de la sociedad de la información y de
comercio electrónico (LSSI)
▪ Ley General 9/2014, de 9 mayo, de telecomunicaciones (LGT)
▪ Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto
3/2010, de 8 de enero (modificado por el Real Decreto 951/2015, de
23 de octubre)
▪ Ley 8/2011, de 28 de abril, por la que se establecen medidas para la
protección de las infraestructuras críticas (PIC)
Marco normativo
LOPD
▪ Datos de carácter personal (personas identificadas o identificables)
▪ Ficheros
▪ Medidas de seguridad (básico, medio, alto)
▪ Documento de seguridad
▪ Propietario de los datos
▪ Responsable del fichero
▪ Encargado de tratamiento
▪ Agencia Española de Protección de Datos
https://www.agpd.es/
Marco normativo
LOPD
RECOGIDA TRATAMIENTO COMUNICACIÓN/ CANCELACIÓN
ACCESO A DATOS
Recogida de datos Calidad de los • Consentimiento del

datos interesado Bloqueo
personales Deber de
susceptibles de secreto • Funciones legítimas
tratamiento Tratamiento de los del cedente y
datos cesionario
Derecho de in- • Disociación
formación
Información expresa,
precisa e inequívoca
• Una ley así lo dispone.
• Cuando el tratamiento responde a la libre y legítima
aceptación de una rel. jurídica, …
• Destinatarios: Defensor del Pueblo, Jueces,
Tribunales, …
• Datos relativos a la salud (urgencia, estudios
epidemiológicos, …)
Consentimiento • Entre AA.PP. mismas competencias, fines históricos,
del afectado científicos y estadísticos, …
Consentimiento Cuando una ley así lo dispone.

Cuando los datos son recogidos para Contrato Acceso a los
Interesado el ejercicio de las funciones propias datos por
de las Administraciones públicas en el terceros Cancelación
ámbito de sus competencias. ENCARGADO
TRATAMIENTO
Seguridad
de los datos Respuesta al
Medidas técnicas y Ejercicio de los
ejercicio de los
organizativas Derechos ARCO
derechos ARCO
Interesado

Marco normativo
LOPD
Ficheros automatizados Ficheros no automatizados
Medidas de seguridad RDLOPD
Básico Medio Alto Básico Medio Alto
Documento de seguridad
Funciones y obligaciones del personal

Registro de incidencias
Control de acceso
Gestión de soportes
Copias de seguridad y restauración
Identificación y autenticación
Responsable de seguridad
Control de acceso físico
Auditoría
Registro de acceso
Telecomunicaciones
Criterios de archivo
Dispositivos de almacenamiento
Custodia de soportes
Almacenamiento de la información
Control de copias de documentación
Acceso a la documentación
Traslado de documentación

Marco normativo
LSSI
▪ Servicios de la sociedad de la información y comercio electrónico
▪ Actividades económicas por internet u otros medios telemáticos
▪ Página Web: información y cookies
▪ Correo electrónico: consentimiento, “Publicidad”, baja gratuita y
sencilla
▪ Comercio electrónico: protección del consumidor
▪ Agencia Española de Protección de Datos
http://www.lssi.gob.es/

Marco normativo
LGT
▪ Explotación de las redes y la prestación de los servicios de
comunicaciones electrónicas y los recursos asociados
▪ Garantizar un adecuado nivel de seguridad (disponibilidad,
integridad y confidencialidad)
▪ Reducir el impacto de los incidentes de seguridad
▪ Garantizar la protección de los datos personales
▪ Ministro de Industria, Energía y Turismo

Marco normativo
ENS
▪ Sistemas de información para derechos y deberes públicos
▪ Administraciones Públicas y proveedores con impacto
▪ Medidas de seguridad
▪ Niveles
▪ Autodeclaración o certificación
▪ Centro Criptológico Nacional
https://www.ccn-cert.cni.es/ens.html

Marco normativo
PIC
▪ Electricidad, gas, petróleo, nuclear, financiero, agua, transporte
marítimo, transporte aéreo, transporte ferroviario, transporte por
carretera, industria química e industria del espacio
▪ Planes: estratégico sectorial, de seguridad del operador y de
protección específicos
▪ Centro Nacional para la Protección de las Infraestructuras Críticas
http://www.cnpic.es/

Marco normativo
Voluntario
▪ ISO/IEC 27001:2013. Sistemas de Gestión de la Seguridad de la
Información. Requisitos
▪ ISO/IEC 27032:2012. Guidelines for cybersecurity
▪ ISO/IEC 27035:2016. Information security incident management
▪ ISO 22301:2012. Sistema de gestión de la continuidad del negocio.
Especificaciones
▪ Payment Card Industry Data Security Standard (PCI DSS)

Marco normativo
Voluntario

Marco normativo
ISO/IEC 27001
▪ Requisitos ("debe") para establecer, implementar, documentar,
operar, monitorizar, revisar, mantener y mejorar
▪ Certificable
▪ Independiente del tipo, tamaño o actividad
▪ Enfoque por procesos y mejora continua
▪ Controles de seguridad (Anexo A)
▪ No se pueden excluir requisitos en los capítulos 4 al 10
http://www.iso27000.es/

Marco normativo
ISO/IEC 27032
▪ Ciberespacio
▪ Ciberseguridad
▪ Partes interesadas
▪ Activos, amenazas, vulnerabilidades y controles

Marco normativo
ISO/IEC 27035
▪ Detectar, informar y evaluar los incidentes
▪ Responder y gestionar los incidentes
▪ Detectar, evaluar y gestionar las vulnerabilidades
▪ Mejorar continuamente la seguridad de la información

Marco normativo
ISO 22301
▪ Mejorar la continuidad de negocio
▪ Gestión de la crisis y de la recuperación
▪ Análisis de impacto de negocio
▪ Planes de contingencia
▪ Pruebas
▪ Revisión y mejora
https://www.youtube.com/watch?v=h7DdkUuqvY8

Marco normativo
Número de organizaciones certificadas (2016)
▪ ISO 9001 = 1.105.937
▪ ISO 14001 = 346.147
▪ ISO 27001 = 33.290
▪ ISO 20000-1: 4.537
▪ ISO 22301: 3.853

Marco normativo
PCI DSS
▪ Procesan, almacenan y/o transmiten datos de titulares de tarjeta
▪ Asegurar dichos datos, con el fin de evitar fraudes
https://www.pcisecuritystandards.org/

Marco normativo
Europa
▪ Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6
de julio de 2016 relativa a las medidas destinadas a garantizar un
elevado nivel común de seguridad de las redes y sistemas de
información en la Unión (NIS)
▪ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de
27 de abril de 2016 relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (RGPD)

Marco normativo
NIS
▪ Homogenización
▪ Estrategia nacional en la materia
▪ Red de Equipos de Respuesta a Incidentes de Seguridad Informática
(CSIRT)
▪ Requisitos de seguridad para operadores de servicios esenciales y
proveedores de servicios digitales
▪ Obligaciones para las autoridades nacionales competentes de cada
Estado miembro, de los puntos de contacto únicos y los CSIRT

Marco normativo
RGPD
▪ Registro de actividades de tratamiento
▪ Información clara y sencilla
▪ Consentimiento expreso
▪ Derechos (olvido, portabilidad)
▪ Encargados de tratamiento
▪ Análisis de riesgos
▪ Evaluación de impacto
▪ Violaciones de seguridad
▪ Delegado de protección de datos
https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-
idphp.php
Marco normativo
Conclusiones
▪ Mucha normativa
▪ Obligatoria y voluntaria
▪ Beneficios
▪ Entidades de control

Análisis de riesgos
Objetivos
▪ Inventario y valoración de activos
▪ Impacto de las amenazas
▪ Identificación de las vulnerabilidades
▪ Identificación de las medidas de seguridad
▪ Procedimiento del análisis de riesgos

Proceso
1. Definir el alcance
2. Identificar los activos
3.Identificar las amenazas
4.Identificar las vulnerabilidades
5.Identificar las medidas de seguridad
6.Evaluación del riesgo

1. Definir el alcance
▪ ¿Qué vamos a proteger?

2. Identificar los activos
▪ Información y todo lo que la maneja o contiene (hardware, software,
comunicaciones, personas, proveedores, personas y medios
auxiliares)
▪ Valoración (impacto directo e indirecto)
▪ Inventario

3. Identificar las amenazas
▪ Magerit:
▪ Desastres naturales
▪ De origen industrial
▪ Errores y fallos no intencionados
▪ Ataques intencionados
Ver “Amenazas-tipo de activo v.1.xls”. Magerit v.3

3. Identificar las amenazas. En el ciberespacio
▪ Malware o código malicioso (virus, gusanos, troyanos, spyware, scareware,
ransomware)
▪ Botnets
▪ Exploit (0 day)
▪ Ataques DDoS
▪ Phishing, spear phising
▪ Spam
▪ Ingeniería social
▪ Sexting, grooming, cyberbullying
▪ APT
▪ RogeAP
3. Identificar las amenazas. Vectores de ataque
▪ e-mail
▪ Webs
▪ Dispositivos infectados
▪ Enlaces comprometidos
▪ Redes sociales
▪ P2P
▪ Software
▪ Conectividad

3. Identificar las amenazas. Actores
▪ Amistosos:
▪ Agentes del orden
▪ Hackers éticos
▪ Investigadores
▪ Malintencionados:
▪ Ciber vándalos (script kiddies), activistas, terroristas, criminales
▪ Ciberactivistas
▪ Empleados y ex
▪ Estados
▪ Empresas

3. Identificar las amenazas. Motivaciones
▪ Beneficio económico
▪ Venganza
▪ Reconocimiento

4. Identificar las vulnerabilidades
▪ Software no actualizado
▪ Falta de concienciación
▪ Desorganización
▪ Carencia de procedimientos de control de acceso
▪ Programación no segura
▪ OWASP Top 10
https://www.youtube.com/watch?v=6I0bcclJ8-A
▪ No configuración adecuada, …

5. Identificar las medidas de seguridad
Políticas Operaciones
Organización Comunicaciones
Adquisición, desarrollo y
Recursos humanos
mantenimiento
Activos Proveedores
Acceso Incidentes
Criptografía Continuidad del negocio
Física y del entorno Cumplimiento

5. Identificar las medidas de seguridad. En el ciberespacio
▪ Concienciación
▪ Organización
▪ Políticas, normativas y procedimientos
▪ Cláusulas de confidencialidad
▪ Antimalware y antifraude
▪ Software actualizado y de confianza
▪ Control de acceso lógico
▪ Copias de seguridad
▪ Conectividad de confianza y solo en caso de necesidad
▪ Protección de la información
▪ Uso diligente de dispositivos portátiles
6. Evaluación de riesgos
▪ Riesgo = probabilidad x impacto
▪ Riesgo tolerables y no tolerables



Conclusiones
▪ https://www.youtube.com/watch?v=knxhzpNFWGI
▪ Activos de información
▪ Amenazas, vulnerabilidades y medidas de seguridad
▪ Cadena tan fuerte como el eslabón más débil

Gestión de riesgos
Gestión de riesgos
Objetivos
▪ Estrategias

Gestión de riesgos
Estrategias
▪ Asunción
▪ Eliminación
▪ Mitigación
▪ Transferencia

Gestión de riesgos
Mitigación. Medidas de seguridad
▪ Selección
▪ Diseño
▪ Planificación
▪ Implantación
▪ Medición y mejora

Gestión de riesgos

Gestión de riesgos
▪ 14 dominios, 35 objetivos de control y 114 controles
Políticas Operaciones
Organización Comunicaciones
Adquisición, desarrollo y
Recursos humanos
mantenimiento
Activos Proveedores
Acceso Incidentes
Criptografía Continuidad del negocio
Física y del entorno Cumplimiento

Gestión de riesgos
5 Políticas de seguridad de la información

5.1 Dirección de la gestión de la seguridad de la información
5.1.1 Políticas de seguridad de la información
5.1.2 Revisión de las políticas de seguridad de la información

Gestión de riesgos
6 Organización de la seguridad de la información
6.1 Organización interna
6.1.1 Roles y responsabilidades relativas a la seguridad de la información
6.1.2 Separación de tareas
6.1.3 Contacto con las autoridades
6.1.4 Contacto con grupos de especial interés
6.1.5 Seguridad de la información en la gestión de proyectos
6.2 Dispositivos móviles y teletrabajo
6.2.1 Política de dispositivos móviles
6.2.2 Teletrabajo

Gestión de riesgos
7 Seguridad ligada a los recursos humanos
7.1 Antes del empleo
7.1.1 Investigación de antecedentes
7.1.2 Términos y condiciones de contratación
7.2 Durante el empleo
7.2.1 Responsabilidades de la Dirección
7.2.2 Concienciación, formación y capacitación en seguridad de la información
7.2.3 Proceso disciplinario
7.3 Cese del empleo y cambio de puesto de trabajo
7.3.1 Terminación o cambio de responsabilidades laborales

Gestión de riesgos
8 Gestión de activos
8.1 Responsabilidad sobre los activos
8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos
8.2 Clasificación de la información
8.2.1 Clasificación de la información
8.2.2 Etiquetado de la información
8.2.3 Manejo de activos
8.3 Manipulación de los soportes
8.3.1 Gestión de soportes extraíbles
8.3.2 Retirada de soportes
8.3.3 Transferencia de soportes físicos
Gestión de riesgos
9 Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de control de acceso
9.1.2 Acceso a redes y servicios en red
9.2 Gestión del acceso de usuario
9.2.1 Altas y bajas de usuarios
9.2.2 Gestión de derechos de acceso de los usuarios
9.2.3 Gestión de derechos de acceso especiales
9.2.4 Gestión de la información secreta de autenticación de usuarios
9.2.5 Revisión de derechos de acceso de usuario
9.2.6 Terminación o revisión de los privilegios de acceso
9.3 Responsabilidades de usuario
9.3.1 Uso de la información secreta de autenticación
9.4 Control de acceso al sistema y a las aplicaciones
9.4.1 Restricción del acceso a la información
9.4.2 Procedimientos seguros de inicio de sesión
9.4.3 Gestión de las contraseñas de usuario
9.4.4 Uso de los recursos del sistema con privilegios especiales
9.4.5 Control de acceso al código fuente de los programas

Gestión de riesgos
10 Criptografía
10.1 Controles criptográficos
10.1.1 Política de uso de los controles criptográficos
10.1.2 Gestión de claves

Gestión de riesgos
11 Seguridad física y del entorno
11.1 Áreas seguras
11.1.1 Perímetro de seguridad física
11.1.2 Controles físicos de entrada
11.1.3 Seguridad de oficinas, despachos e instalaciones
11.1.4 Protección contra las amenazas externas y de origen ambiental
11.1.5 Trabajo en áreas seguras
11.1.6 Áreas de carga y descarga
11.2 Equipos
11.2.1 Emplazamiento y protección de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
11.2.5 Retirada de materiales propiedad de la empresa
11.2.6 Seguridad de los equipos fuera de las instalaciones
11.2.7 Reutilización o retirada segura de equipos
11.2.8 Equipo de usuario desatendido
11.2.9 Política de puesto de trabajo despejado y pantalla limpia
Gestión de riesgos
12 Gestión de operaciones
12.1 Responsabilidades y procedimientos de operación
12.1.1 Documentación de los procedimientos de operación
12.1.2 Gestión de cambios
12.1.3 Gestión de capacidades
12.1.4 Separación de los entornos de desarrollo, prueba y operación
12.2 Protección contra el código malicioso
12.2.1 Controles contra el código malicioso
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la información
12.4 Registro y monitorización
12.4.1 Registro de eventos
12.4.2 Protección de la información de los registros
12.4.3 Registros de administración y operación
12.4.4 Sincronización del reloj
12.5 Control del software en explotación
12.5.1 Instalación de software en sistemas operacionales
12.6 Gestión de las vulnerabilidades técnicas
12.6.1 Gestión de las vulnerabilidades técnicas
12.6.2 Restricciones a la instalación de software
12.7 Consideraciones sobre la auditoría de los sistemas de información
12.7.1 Controles de auditoría de los sistemas de información

Gestión de riesgos
13 Seguridad de las comunicaciones
13.1 Gestión de la seguridad de las redes
13.1.1 Controles de red
13.1.2 Seguridad de los servicios de red
13.1.3 Segregación de redes
13.2 Transferencia de información
13.2.1 Políticas y procedimientos de transferencia de información
13.2.2 Acuerdos de transferencia de información
13.2.3 Mensajería electrónica
13.2.4 Acuerdos de confidencialidad o no divulgación

Gestión de riesgos
14 Adquisición, desarrollo y mantenimiento de los sistemas
14.1 Requisitos de seguridad de los sistemas de información
14.1.1 Análisis y especificación de los requisitos de seguridad de la información
14.1.2 Aseguramiento de los servicios de aplicaciones en las redes públicas
14.1.3 Protección de las transacciones de servicios de aplicación
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro
14.2.2 Procedimientos de control de cambios en el sistema
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en la plataforma
14.2.4 Restricciones a los cambios en los paquetes de software
14.2.5 Principios para la ingeniería de sistemas seguros
14.2.6 Entorno de desarrollo seguro
14.2.7 Externalización del desarrollo de software
14.2.8 Pruebas de seguridad del sistema
14.2.9 Pruebas de aceptación del sistema
14.3 Datos de prueba
14.3.1 Protección de los datos de prueba

Gestión de riesgos
15 Relaciones con proveedores

15.1 Seguridad de la información en las relaciones con proveedores
15.1.1 Política de seguridad de la información en las relaciones con proveedores
15.1.2 Tratamiento de la seguridad en contratos con proveedores
15.1.3 Cadena de suministro de tecnologías de la información y comunicaciones
15.2 Gestión de los servicios prestados por terceros
15.2.1 Supervisión y revisión de los servicios prestados por terceros
15.2.2 Gestión del cambio en los servicios prestados por terceros
https://www.youtube.com/watch?v=d44q98TkYnQ

Gestión de riesgos
16 Gestión de incidentes de seguridad de la información
16.1 Gestión de incidentes de seguridad de la información y mejoras
16.1.1 Responsabilidades y procedimientos
16.1.2 Notificación de eventos de seguridad de la información
16.1.3 Notificación de puntos débiles de seguridad
16.1.4 Evaluación y decisión respecto de los eventos de seguridad de la información
16.1.5 Respuesta a incidentes de seguridad de la información
16.1.6 Aprendizaje de los incidentes de seguridad de la información
16.1.7 Recopilación de evidencias
https://www.youtube.com/watch?v=-TtVDO0qc9M

Gestión de riesgos
17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio

17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información
17.1.2 Implementación de la continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la
información
17.2 Redundancia
17.2.1 Disponibilidad de los medios de procesamiento de información
https://www.youtube.com/watch?v=Mrw8lGd-1hY

Gestión de riesgos
18 Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.1 Identificación de la legislación aplicable y requisitos contractuales
18.1.2 Derechos de propiedad intelectual (DPI)
18.1.3 Protección de los documentos de la organización
18.1.4 Protección de datos y privacidad de la información de carácter personal
18.1.5 Regulación de los controles criptográficos
18.2 Revisiones de seguridad de la información
18.2.1 Revisión independiente de la seguridad de la información
18.2.2 Cumplimiento de las políticas y normas de seguridad
18.2.3 Comprobación del cumplimiento técnico

Gestión de riesgos
End point security
▪ Antimalware
▪ Cifrado
▪ Backup
▪ Identificación y autenticación (multifactor)
▪ Bloqueo de dispositivos
▪ Borrado remoto
▪ Software autorizado y actualizado
▪ Protección de conectividad inalámbrica
▪ Políticas y normativas
▪ Concienciación y formación
https://www.youtube.com/watch?v=HuwOrqqXz6U
Gestión de riesgos
Comunicaciones
▪ Internet
▪ VPN
▪ Firewall
▪ e-mail. https://www.youtube.com/watch?v=7HjDyI4SCvA
▪ Voz IP
▪ IDS/IPS
▪ Anti DDoS

Gestión de riesgos
Seguridad en la nube
▪ https://www.youtube.com/watch?v=froNtPljZpk

Gestión de riesgos
Incidentes
▪ Evento que afecta a la seguridad
▪ Cómo actuar:
▪ Preparación
▪ Detección y análisis
▪ Contención, resolución y recuperación
▪ Acciones posteriores al cierre
▪ CERT/CSIRT

Gestión de riesgos
Auditorías
▪ Internas
▪ Hacking ético
▪ Análisis forense

Gestión de riesgos
Conclusiones
▪ Estrategias

Ciberseguridad, continuidad de negocio y calidad
info@encolaboracion.net
667840499

Ciberseguridad v.1 1

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ciberseguridad v.1 1

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

Seguridad de las aplicaciones

Protección infraestructuras críticas

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

Protegen de Aumentan Aumentan Exponen

Imponen Marcan Impactan Aumenta Tienen

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

Recogida de datos Calidad de los • Consentimiento del

Consentimiento Cuando una ley así lo dispone.

(c) 2010-2018 en Colaboración – Consultoría colaborativa

Funciones y obligaciones del personal

Copias de seguridad y restauración

Control de acceso físico

Control de copias de documentación

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

Ver “Amenazas-tipo de activo v.1.xls”. Magerit v.3

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

Criptografía Continuidad del negocio

Física y del entorno Cumplimiento

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa

(c) 2010-2018 en Colaboración – Consultoría colaborativa