Jornadas de concienciación Gestión de la Seguridad de la Información para la PYME Sara García Bécares Ana Santos Pintor Versión 1.0
Índice de la Jornada Parte 1 1. El Instituto Nacional de las Tecnologías de la Comunicación, INTECO 2. El Centro de Respuesta a Incidentes de Seguridad para la PYMES y el Ciudadano, INTECO-CERT 3. El Centro Demostrador de Seguridad para la PYME de INTECO 15 2
Índice de la Jornada Parte 2 4. La Gestión de Seguridad de la Información en la PYME a) Definición y Conceptos generales de la SI b) Marco Normativo c) Modelo PDCA d) Beneficios para la PYME 60 3
Índice de la Jornada Parte 3 5. Proyecto Impulso a la Implantación y Certificación del SGSI en la PYME Española: a) Líneas generales. b) Participación de las PYMES. 30 4
Documentación y entregables Para el asistente a las Jornadas: Un bolígrafo, agenda cuadernillo y carpeta Encuesta de satisfacción Formulario de petición de datos 5
1- El Instituto Nacional de Tecnologías de la Comunicación, INTECO
Qué es INTECO? Instituto Nacional de Tecnologías de la Comunicación Sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio (MITYC) a través de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) Herramienta para la Sociedad de la Información Gestión, asesoramiento, promoción y difusión de proyectos para la S.I. Sus pilares son la investigación aplicada, la prestación de servicios y la formación 7
Objetivos de INTECO Nace con varios objetivos Contribuir a la convergencia de España con Europa en la Sociedad de la Información Promoción del sector TIC Creación de Clúster-TIC en León con alta capacidad de innovación Facilitar la transversabilidad tecnológica entre sectores de actividad 8
Líneas estratégicas de INTECO Líneas actuales de trabajo Seguridad Tecnológica Accesibilidad Calidad del Software 9
Área de Seguridad Tecnológica Cuáles con sus objetivos? Sentar las bases de coordinación de iniciativas públicas entorno a la Seguridad de la Información Coordinar la investigación aplicada y la formación especializada en el ámbito de la seguridad de la información Convertirse en centro de referencia en Seguridad de la Información a nivel nacional INTECO - CERT CENTRO DEMOSTRADOR OBSERVATORIO 10
Contacta con INTECO www.inteco.es Sede de INTECO Avda. Jose Aguado 41 Edificio INTECO 24005 LEÓN Tel: (+34) 987 877 189 Fax: (+34) 987 261 016 Email: info@inteco.es 11
2- El Centro de Respuesta a Incidentes de Seguridad, INTECO - CERT
Misión y objetivos de INTECO-CERT Objetivos Concienciar a las PYMEs y ciudadanos en materia de seguridad e impulsar su uso Proporcionar mecanismos y servicios de prevención y reacción ante incidencias en materia de seguridad de la información Proporcionar información clara y concisa acerca de la tecnología INTECO-CERT y la seguridad Proporcionar guías de buenas prácticas, recomendaciones y consejos Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones existentes en el mercado 13
Servicios prestados por INTECO-CERT Servicios en materia de seguridad Servicios de Información Suscripción a boletines y alertas Actualidad, noticias y eventos Avisos online sobre virus, vulnerabilidades y fraude electrónico Servicios de Formación Guías Manuales Cursos online y otros Servicios de Protección Útiles gratuitos Actualizaciones de software INTECO-CERT Servicios de Respuesta y Soporte Gestión y resolución de incidencias Gestión de malware o código malicioso Asesoría legal Foros 14
Contacta con INTECO-CERT Cómo acceder a nuestros servicios Portal WEB de INTECO-CERT http://cert.inteco.es Buzón de contacto INTECO-CERT contacto.cert@inteco.es INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 15
3- El Centro Demostrador de Seguridad para la PYME, de INTECO
Qué es el Centro Demostrador de Seguridad? Centro Demostrador de Seguridad OBJETIVO: Fomentar y difundir el uso de las tecnologías de seguridad de la información entre las Pymes españolas Las PYMES pueden acceder a los siguientes servicios Catálogo de Soluciones y Proveedores de Seguridad Catalogación de proveedores Catalogación de productos y servicios Herramientas de búsqueda Análisis de productos Demostraciones de productos Formación y asesoramiento Talleres y cursos Jornadas y charlas 17
Si necesita más información Direcciones de contacto Para consultas generales, contacto, información y sugerencias para el Centro Demostrador: info.demostrador@inteco.es Para información relacionada con el Catálogo de Soluciones y Proveedores: catalogo.demostrador@inteco.es Para información sobre las Jornadas de Sensibilización en Seguridad para la PYME: jornadas.pyme@inteco.es 18
Si necesita más información Toda la información en: Portal WEB de Centro Demostrador http://demostrador.inteco.es Buzón de contacto INTECO-CERT info.demostrador@inteco.es El Centro Demostrador tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 19
4- Gestión de la Seguridad de la Información en la PYME
a) Gestión de la Seguridad de la Información: DEFINICIÓN Y CONCEPTOS GENERALES
DEFINICIÓN Y CONCEPTOS GENERALES Dos conceptos distintos Seguridad Informática Protección de las infraestructuras TIC que soportan nuestro negocio Seguridad de la Información Relativa a la protección de los activos de información de cualquier amenaza La Seguridad Informática es parte de la Seguridad de la Información 22
DEFINICIÓN Y CONCEPTOS GENERALES Qué es la Seguridad de la Información? Información? Es un activo de información tangible o intangible que tiene valor para los procesos de nuestro negocio y actividad Fuentes de información Tipo de información Ciclo de vida Es la protección de: Confidencialidad: Acceso a la información por perfiles adecuados Integridad: Datos y sistemas fiables y sin alteración de la información Disponibilidad: Datos y sistemas accesibles en todo momento 23
DEFINICIÓN Y CONCEPTOS GENERALES Y la Gestión de la Seguridad de la Información? Herramienta que permite a las Organizaciones: Analizar en detalle y ordenar la estructura de sus sistemas de información. Definir procedimientos de trabajo para mantener su seguridad. Disponer de controles que permitan medir la eficacia de las medidas tomadas. Objetivo Mantener siempre el riesgo por debajo del nivel asumible por la propia organización 24
DEFINICIÓN Y CONCEPTOS GENERALES Por qué es necesaria? Riesgos y Amenazas: Derivados del entorno y la tecnología. Peligrar: Niveles de Competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización. Buenas prácticas: Productividad, eficiencia, cumplimiento, continuidad de negocio, etc. 25
DEFINICIÓN Y CONCEPTOS GENERALES Qué puede amenazar mi negocio? Hacking, craking, spaking, phreaking, pharming, harvesting, hacktivismo, etc. Ingeniería Social, spam, phishing, robo de identidad, etc. Malware, Virus, Troyanos, Adware, Keyloggers, etc Fuga de información, robo de información, propiedad intelectual, espionaje industrial, etc. 26
DEFINICIÓN Y CONCEPTOS GENERALES Por qué somos un objetivo? Daño de imagen Delitos sexuales Venganza Chantaje y extorsión BENEFICIO ECONÓMICO Robo de secretos industriales 27
DEFINICIÓN Y CONCEPTOS GENERALES Un intruso en el pentágono Es apenas un adolescente. Pero desde su habitación en la casa que su familia tiene en el norte de San Francisco, en California, el joven logró ingresar en las computadoras del Pentágono Fuente: www.20minutos.es Un hacker se declara culpable de crear y difundir Blasber.B El estadounidense Jeffrey Lee Parson, de 19 años se ha declarado culpable, durante una audiencia en Seattle, de crear y propagar el "Blaster.B se calcula que unas 400.000 computadoras en todo el mundo se infectaron el año pasado. Fuente: www.belt.es Un adolescente de 16 años piratea un filtro anti-porno Un adolescente de dieciséis años ha conseguido saltarse el filtro anti porno del gobierno federal australiano, el cual ha tenido un coste de 50 millones de euros, en 30 minutos. Fuente: www.20minutos.es 28
DEFINICIÓN Y CONCEPTOS GENERALES En que contexto se encuentra mi negocio? Todos tenemos algo valioso Existen cientos de herramientas Mucha información y fácil de localizar Se puede causar mucho daño con poco esfuerzo El enemigo está dentro No hace falta poseer conocimientos La motivación económica implica que TODOS somos OBJETIVO 29
DEFINICIÓN Y CONCEPTOS GENERALES Ladrones de identidad apuntan a individuos específicos El banco llamaba para verificar un cheque que XXX aparentemente había girado, para retirar 7 millones de dólares de su línea de crédito. Cuando XXX le dijo al banco que no había girado ningún cheque, y contactó a las autoridades. Los investigadores averiguaron que Igor Klopov, estaba detrás, supuestamente robó 1.5 millones de dólares y trató de robar más de 10 millones más a víctimas en varias actividades de robo de identidad Fuente: www.segu-info.com.ar Me han vaciado la cuenta mediante un Phishing Me di cuenta cuando fui al cajero y observé un montón de movimientos en mi cuenta corriente que yo no había ordenado, había dos transferencias por importe de 1.000 y 1.200 euros... ;"Me han robado todos mis pocos ahorros, 3.125 euros. Me dejaron solo 35 euros Fuente: www.segu-info.com.ar Casi 200 bancos de todo el mundo sufrieron ataques de Phishing El Centro de Mando Antifraude de RSA ha publicado su informe sobre los ataques de phishing en agosto, que crecieron un 20,3% respecto al mismo mes de 2006. España es el quinto país del mundo en número de ataques. Fuente: www.segu-info.com.ar 30
DEFINICIÓN Y CONCEPTOS GENERALES Sistema de Gestión de la Seguridad de la Información (SGSI) La Organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. 31
b) Gestión de la Seguridad de la Información: MARCO NORMATIVO
Marco Normativo Conjunto de estándares ISO/IEC 27000 Establecen los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). ISO 27001 ISO 27002 Definición de los procesos de gestión de la seguridad. Norma Certificable. Anexo A: Listado de Dominios y Controles. Guía de Buenas Prácticas. Catálogo de los controles de seguridad y guía para la Implantación del SGSI. 33
Marco Normativo Distribución dominios de la Norma ISO 27002 34
Marco Normativo Otras Normas de la familia ISO 27000 35
c) Gestión de la Seguridad de la Información: MODELO PDCA imagen
Modelo PDCA Modelo PDCA ( Plan-Do-Check-Act ) Seguridad de la Información = Modelo en CONTINUA Evolución 37
Modelo PDCA PLANIFICAR Estudio de la Organización. Estimar medidas a implantar en función de las necesidades reales detectadas Análisis de Riesgos EJECUTAR Implantación de los Controles (dispositivos físicos y documentación). Concienciación y Formación. 38
Modelo PDCA VERIFICAR Evaluar la eficacia y éxito de los controles implantados. Se han de tener evidencias (registros e indicadores). ACTUAR Labores de mantenimiento. Labores de mejora y corrección. 39
d) Gestión de la Seguridad de la Información: BENEFICIOS imagen 40
BENEFICIOS Cuestiones fundamentales Por qué es importante la SEGURIDAD de la INFORMACIÓN para mi empresa? Qué debo hacer para alcanzar un NIVEL ADECUADO de seguridad en mi empresa? 41
BENEFICIOS Qué aporta a nuestro negocio? Gestión, organización, productividad, procedimientos, eficacia, etc. Valor añadido para el cliente, imagen y marca, Competitividad en el mercado Recuperación, continuidad, supervivencia 42
BENEFICIOS Mi negocio puede ser más eficaz y productivo? Hábitos y responsabilidad o Los trabajadores no están concienciados o Los trabajadores no están formados o No se aplican buenas practicas o Malos hábitos laborales o Uso inadecuado de las infraestructuras o Falta de responsabilidad La dirección o La dirección no se involucra ola seguridad se considera un gasto sin retorno o La seguridad no esta integrada en la gestión o La seguridad es para los informáticos o Usuarios VIP Aplicación de seguridad o Ausencia de políticas de seguridad o No se llevan a cabo copias de seguridad o No existen procedimientos o Ausencia de control de uso de recursos o Ausencia de control de uso de servicios o Puntos de fallo únicos o Desconocimiento de los activos de información 43
BENEFICIOS INTERNET es la forma favorita de perder el tiempo en el trabajo El sondeo de America Online (AOL) y Salary.com indica que una cuarta parte de la jornada de sus empleados (2,09 horas) es tiempo perdido, sin incluir los periodos asignados para el almuerzo o los tiempos muertos. Todas esas horas y minutos sumados representan 759.000 millones de dólares al año pagados por las empresas por horas no trabajadas. Lleva mas tiempo eliminar correo basura que leer lo que interesa Fuente: www.noticiasdot.com Un usuario pierde más tiempo eliminando mensajes no deseados que leyendo los que realmente le interesan, según datos facilitados por la Asociación de Internautas (AI), en los que se detalla que los llamados "spam" suponen el 25% de la totalidad de los correos que se encuentran en circulación. Fuente: www.noticiasdot.com 44
BENEFICIOS Mi negocio puede mejorar su imagen? Aportar garantía o Adecuación a la legislación (LOPD, etc.) o Implantación de SGSI o Auditorias internas y externas o Aportar garantía para mis proveedores, clientes y partners Marca, diferenciación o Somos diferentes a los demás. o Nos preocupa la seguridad y las amenazas o Ofrecemos un valor añadido o Somos eficientes, organizados y eficaces Nivel de servicio o Podemos ofrecer servicios confiables o Respuesta ante contingencias o Nuestros clientes pueden confiar o Podemos garantizar un tiempo de recuperación ante contingencias o Podemos ofrecer el nivel de servicio requerido y garantizarlo 45
BENEFICIOS Procedimientos desastrosos Una entidad bancaria, ha reconocido la pérdida de un CD-ROM que contenía los datos de 62.000 clientes hipotecarios. El CD-ROM no estaba cifrado y había sido enviado por correo ordinario a una agencia de créditos. Fuente: www.kriptopolis.org Robo de datos En marzo pasado, una empresa había reconocido el robo de un listado impreso del coche de un empleado, conteniendo los datos de 13.000 clientes. Tras este primer incidente, el director de comunicación del grupo afirmó: "Hemos aprendido la lección. Estamos revisando nuestros procedimientos con carácter de urgencia". Fuente: www.kriptopolis.org El 80% de los CIOs creen que el crimen informático genera pérdida de clientes Entre las diferentes consecuencias que el crimen informático produce, el 80% de los CIOs creen que la principal causa es la pérdida de clientes, representando un golpe directo al negocio de cualquier empresa. Fuente: www.diarioc.com.ar 46
BENEFICIOS Mi negocio puede superar contingencias? Desastres naturales Incidentes provocados o Tornados, Huracanes, Inundaciones o Tormentas eléctricas, de nieve, arena o Riadas, hundimientos, heladas, contaminación, epidemias, terremotos Servicios críticos o Fuego, fallo energético, salud, terrorismo o Fallos de energía y comunicaciones o Falta de personal o Huelgas y protestas o Accidentes laborales Pérdida o indisponibilidad de personal 47
BENEFICIOS Las fallas eléctricas causan el 90% de los incendios La utilización de materiales no adecuados, calcular mal el sistema, demandar más energía de lo que la red puede dar o contratar electricistas sin formación técnica son los problemas más comunes en un siniestro. "La gente no es consciente de lo rápido que se propagan los incendios" Fuente: www.desastres.org 48
BENEFICIOS ISO 27001 para PYMES? Las grandes empresas tienen medios materiales y humanos para hacer frente los riesgos asociados al activo información. Las PYMES necesitan un proceso sencillo y de bajo coste que de respuesta a los riesgos existentes. Conlleva un ahorro de costes porque permite tomar decisiones sobre el gasto o la inversión en seguridad basándose en argumentos sólidos y no meramente intuitivos. Gestión de la Información vs. Gestión de las Finanzas: Norma UNE-ISO/IEC 27001 = Plan General de Contabilidad Implantación SGSI = Balance y Cuenta de Resultados. Certificación SGSI = Auditoría de Cuentas 49
5- Proyecto Impulso a la Implantación y Certificación del SGSI en la PYME Española 50
a) Proyecto Impulso SGSI: LÍNEAS GENERALES 51
LÍNEAS GENERALES Seleccionan CATÁLOGO ORGANISMOS CERTIFICACIÓN SGSI Colabora con CÁMARAS DE COMERCIO Organizan Colabora JORNADAS Y TALLERES SGSI PYME INTECO Colabora INTECO recibe la encomienda de Gestión Seleccionan CATÁLOGO EMPRESAS IMPLANTACIÓN SGSI 52
b) Proyecto Impulso SGSI: PARTICIPACIÓN PYMES 53
LÍNEAS GENERALES: Catálogos y Participantes IMPLANTADORES CERTIFICADORES Inscripción. Selección. Catálogo. PYMES Inscripción. Selección. Catálogo. Inscripción a través del Portal Web: https://sgsi.inteco.es Selección PYMES (filtros). Notificación. Selección de un Implantador del Catálogo. Comienzo de la Implantación. Selección de un certificador del Catálogo. Comienzo de la Certificación (tras la Implantación). Obtención del Certificado Facturas a INTECO que abonará el 90% de la Implantación y Certificación (1er año) 54
PARTICIPACIÓN PYMES: Inscripción 55
PARTICIPACIÓN PYMES: Inscripción 56
PARTICIPACIÓN PYMES: Inscripción 57
PARTICIPACIÓN PYMES: Inscripción 58
PARTICIPACIÓN PYMES: Filtros de Selección Alcance de las Implantaciones Es necesario ser una PYME. Se implantará en PYMES o unidades de negocio dentro de las PYMES de un máximo de 45 empleados. Recomendación de 2003 (vigente desde 1 de Enero de 2005) Categoría de empresa Efectivos Volumen de negocio Balance general Mediana <250 50 m 43 m Pequeña <50 10 m 10 m Micro <10 2m 2 m (Fuente: http://www.ipyme.org/ipyme/es-es/emprendedorescreacionempresas/nuevadefinicionpyme.htm) 59
PARTICIPACIÓN PYMES: Filtros de Selección Requisitos mínimos que ha de tener la PYME para participar Número mínimo de Empleados: 5 empleados. Parque informático. Disponibilidad de personal técnico (sobre todo para el mantenimiento del sistema): mínimo 1 empleado Capacidad económica (10% + mantenimiento + coste acciones correctivas). 60
Fin de la presentación Preguntas? 61
www.inteco.es www.camaras.org www.mityc.es www.planavanza.es
Fin de la presentación Muchas gracias 63