Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Transcripción

1 Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME INTECO CERT Área de e Confianza de INTECO

2 Índice de la Jornada 1. El Instituto Nacional de las Tecnologías de la Comunicación, INTECO 2. La Seguridad TIC para la pyme a. Una mirada a la empresa en España b. Diez consejos básicos de seguridad para la pyme c. Como reforzar la seguridad con medidas organizativas y cumpliendo la legislación 3. El Centro de Respuesta a Incidentes de Seguridad, INTECO CERT 2

3 1 El Instituto Nacional de Tecnologías de la Comunicación, INTECO

4 Qué es INTECO? Instituto Nacional de Tecnologías de la Comunicación Sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio (MITYC) a través de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) Herramienta para la Sociedad de la Información Gestión, asesoramiento, promoción y difusión de proyectos para la S.I. Sus pilares son la investigación aplicada, la prestación de servicios y la formación 4

5 Líneas estratégicas de INTECO Líneas actuales de trabajo Seguridad tecnológica Accesibilidad Calidad del software Programa de impulso del SGSI en las Pymes o Encomienda de gestión del Ministerio de Industria para el fomento de la implantación y certificación en las Pymes en la ISO o Jornadas de difusión de la ISO por toda España o Implantación y certificación final en 143 Pymes españolas 5

6 2 La Seguridad TIC en la PYME

7 2.a) Una mirada a la empresa en España

8 La empresa en España Una mirada a la EMPRESA en España Sin asalariados Microempresas (0 9) Pequeñas (10 49) Medianas (50 249) PYME (0 249) Grandes (250 o más) Total Nº empresas Porcentaje (%) ,9 41,14 4,16 0,63 99,83 0, Fuente: INE, DIRCE, 2009 (datos a 1 de enero de 2010). Elaboración propia España es un país de pymes Más del 99% de las empresas en España son PYME 8

9 La empresa en España EMPRESA e Incidentes de Seguridad Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas Observatorio de la Seguridad de INTECO 9

10 La empresa en España EMPRESA e Incidentes de Seguridad Fuente: Estudio sobre la seguridad y e confianza en las pequeñas y microempresas españolas Observatorio de la Seguridad de INTECO 10

11 La empresa en España EMPRESA e Incidentes de Seguridad Fuente: Estudio sobre la seguridad y e confianza en las pequeñas y microempresas españolas Observatorio de la Seguridad de INTECO 11

12 La empresa en España EMPRESA e Incidentes de Seguridad Fuente: Estudio sobre la seguridad y e confianza en las pequeñas y microempresas españolas Observatorio de la Seguridad de INTECO 12

13 La empresa en España EMPRESA e Incidentes de Seguridad Fuente: Estudio sobre la seguridad y e confianza en las pequeñas y microempresas españolas Observatorio de la Seguridad de INTECO 13

14 La empresa en España EMPRESA e Incidentes de Seguridad Fuente: Estudio sobre la seguridad y e confianza en las pequeñas y microempresas españolas Observatorio de la Seguridad de INTECO 14

15 La empresa en España PYME e incidencias de seguridad Muchos de los incidentes de seguridad en las pymes no son detectados o se desconoce su origen. No se asocian como un riesgo para su negocio: pérdida económica real, de actividad, del clientes o de imagen. Importante ausencia en cuanto a la aplicación de políticas de seguridad, buenas prácticas y un uso adecuado de los recursos y los medios de la empresas. Los propios empleados son una importante fuente de incidentes de seguridad. El enemigo también puede estar dentro. Las pymes no se consideran objetivo y la seguridad no es una prioridad Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas. Observatorio de la Seguridad de INTECO 15

16 2.b) Diez consejos básicos de seguridad para la pyme

17 Diez consejos de seguridad para la pyme Consejo n.º 1: Instalar, utilizar y actualizar programas antimalware Coste: bajo, licencias Conocimientos: bajos medios Dirigido a: todo usuario de dispositivos electrónicos 17

18 Diez consejos de seguridad para la pyme Lo que se lee en la prensa 18

19 Diez consejos de seguridad para la pyme Consejo n.º 2: Vigilar los adjuntos al y las descargas Coste: mínimo Conocimientos: bajos medios Dirigido a: todo el que use dispositivos electrónicos 19

20 Diez consejos de seguridad para la pyme Lo que se lee en la prensa 20

21 Diez consejos de seguridad para la pyme Consejo n.º 3: Mantener actualizado el software Coste: moderado Conocimientos: medio alto Dirigido a: soporte informático 21

22 Diez consejos de seguridad para la pyme Información sobre actualizaciones 22

23 Diez consejos de seguridad para la pyme Consejo n.º 4: Desinstalar el software y borrar los discos de equipos en desuso y eliminar cuentas de usuarios inactivas Coste: mínimo Conocimientos : bajo medio Dirigido a: soporte informático 23

24 Diez consejos de seguridad para la pyme Lo que se lee en la prensa 24

25 Diez consejos de seguridad para la pyme Consejo n.º 5: Establecer controles físicos de acceso al equipamiento informático Coste: mínimo Conocimientos: bajo medio Dirigido a: todo usuario de dispositivos electrónicos 25

26 Diez consejos de seguridad para la pyme Consejo n.º 6: Implementar Seguridad en la Red con control de acceso Coste: moderado alto Conocimientos: medio alto Dirigido a: soporte informático y usuarios 26

27 Diez consejos de seguridad para la pyme LEGITIMIDAD EN LA PÁGINA VISITADA Comprobar que la página que visitamos es del dominio o propietario que debe ser Certificados SSL EV Certificados SSL Cómo lo interpretan los navegadores 27

28 Diez consejos de seguridad para la pyme Consejo n.º 7: Limitar el acceso a los datos confidenciales y sensibles (datos personales, transacciones bancarias, ) Coste: moderadoalto Conocimientos: medio alto Dirigido a: soporte informático 28

29 Diez consejos de seguridad para la pyme Consejo n.º 8: Asegurar su red Wi Fi Coste: Bajo Moderado Conocimientos: medio alto Dirigido a: soporte informático 29

30 Diez consejos de seguridad para la pyme Consejo n.º 9: Utilizar contraseñas robustas y cambiarlas con frecuencia Ejemplo de riesgo: acceso de ex empleados descontentos, robo de información confidencial, destrucción Coste: mínimo Conocimientos: bajos medios Dirigido a: todo el que use dispositivos electrónicos 30

31 Diez consejos de seguridad para la pyme Consejo n.º 10: Realizar copias de seguridad de ficheros, carpetas y del software importante Coste: moderadoelevado Conocimientos: medio alto Dirigido a: soporte informático y usuarios 31

32 2.c) Como reforzar la seguridad con medidas organizativas y cumpliendo la legislación

33 Medidas organizativas y cumplimiento legal Gestión de la seguridad: qué puede aportar a nuestro negocio? Gestión, organización, productividad, procedimientos, eficacia, etc. Valor añadido, para el cliente, garantía, calidad, imagen y marca, etc. Recuperación, continuidad de negocio, reducción de interrupciones, etc. 33

34 Medidas organizativas y cumplimiento legal Afrontar riesgos / Evitar peligros La información es uno de los activos más importantes junto con los equipos informáticos, redes de datos y soportes de almacenamiento Riesgos físicos (accesos no autorizados a la información, catástrofes naturales fuego, inundaciones, terremotos..., vandalismo, etc.) Riesgos lógicos (virus, perdida de información, ataques de denegación de servicio, etc.). Es necesario conocer y afrontar de manera ordenada los riesgos 34

35 Medidas organizativas y cumplimiento legal Definir un plan de seguridad. Por qué?. Cómo? Cumplir con las obligaciones legales (LOPD, LSSI ) La seguridad depende de tecnología, personas, políticas y procesos que necesitan ser coordinados y priorizados Recuperarse más rápido ante incidentes Ejecuta Audita Planifica Ejecuta Monitoriza Repite Incluso la empresa más pequeña puede beneficiarse de un plan de seguridad 35

36 Medidas organizativas y cumplimiento legal Sistema de gestión de la seguridad de la Información SGSI El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. Es posible certificar (UNE/ISO 27001) nuestro SGSI. Videotutorial 36

37 Medidas organizativas y cumplimiento legal Cumplimiento legal: Normativas relevantes para las EMPRESAS La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD). (BOE 298 de [pdf] [url]) La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI CE). (BOE 166 de [pdf] [url]) La Ley 59/2003, de 19 de diciembre, de Firma Electrónica (BOE 304 de [pdf] [url]). Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI). (BOE 97 de [url]) Otras La normativa cambia, se amplia y se actualiza 37

38 Medidas organizativas y cumplimiento legal Cumplimiento legal Qué normativa aplica a mi empresa? A qué sector pertenece mi empresa? Qué tipo de datos trato en mi empresa? Qué tipo de actividades desarrolla mi negocio? Otras cuestiones ( ) Hay leyes o normativas relativas al sector en cuestión? Hay leyes o normativas en relación con los datos que trato? Hay leyes o normativas en relación con dichas actividades? Leyes o normativas relacionadas La normativa cambia, se amplia y se actualiza 38

39 Medidas organizativas y cumplimento legal Cumplimiento legal: Sectores, actividad, acciones todo cuenta El asesoramiento PROFESIONAL es fundamental 39

40 Medidas organizativas y cumplimiento legal Debemos tener en cuenta El mercado ofrece multitud de soluciones, productos y servicios La seguridad no es sólo de carácter tecnológico, sino también organizativo y jurídico Las soluciones tecnológicas no son la solución definitiva, hay otros aspectos a tener en cuenta Las buenas prácticas son un arma fundamental Existen multitud de guías, recomendaciones e información disponible y de acceso gratuito La seguridad 100% no es posible, pero con poco esfuerzo se puede conseguir un nivel muy elevado La seguridad es cosa de todos y empieza por nosotros 40

41 3. El Centro de Respuesta a Incidentes de Seguridad, INTECO CERT Centro de Respuesta a Incidentes INTECO CERT

42 Misión y objetivos en INTECO CERT Objetivos Impulsar la confianza en las nuevas tecnologías, promoviendo su uso de forma segura y responsable Minimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuados Prevenir, informar, concienciar y formar a las entidades y al ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet 42

43 Servicios INTECO CERT Servicios GRATUITOS en materia de seguridad: Servicios de información Servicios de protección Servicios de formación FORMACIÓN ON LINE Sistema de gestión de la seguridad de la información (SGSI) Introducción a la Seguridad de la Información LOPD: Adecuación y cumplimiento Introducción al DNI electrónico Seguridad en Internet Seguridad en el puesto de trabajo Firma electrónica Servicios de respuesta y soporte 43

44 Si necesita más información Toda la información en: Portal WEB de INTECO CERT: j10 Buzón de contacto: Buzón de incidentes: Buzón de fraude electrónico: Buzón de asesoría legal: Buzón de jornadas: Buzón de catálogo: INTECO CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 44

45 Diapositiva 44 j10 Cambiar logo de INTECO CERT Quitar buzón catálogo jorge.chinea; 26/05/2010

46 Fin de la presentación Muchas gracias 45

47