Seguridad para PYMES << Guerra de Guerrillas >> Controlando focos de conflicto
Soy Javier Civantos :) - Formación de Desarrollador de software - +10 años de experiencia en la administración de sistemas en entorno empresarial y el desarrollo de soluciones a medida. - Apasionado de la seguridad informática.
Ciberguerra cyberwar desplazamiento de un conflicto bélico, que toma el ciberespacio y las tecnologías de la información como campo de operaciones, en lugar de los escenarios de combate convencionales.
Ciberguerra
Contexto Social de la Ciberguerra
Julian Assange - Wikileaks
Bradley (Chelsea) Mannings Diarios de la Guerra de Afganistán y de Irak.
Edward Joseph Snowden
Anonymous
Ciberguerra en España Orden Ministerial 10/2013, por la que se crea el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas.
Anonymous es internacional
SITEL, nuestra NSA particular, con toreros y folclóricas. https://www.youtube.com/watch?v=ztv8sytijm8
Hervé Falciani
Filtrala.org Filtrala.org Fíltrala solo acepta materiales restringidos o censurados de relevancia política, científica, ética, filosófica, diplomática o histórica...
A nivel regional que hay? En la Admón Pública
A nivel regional que hay? En el Sector Privado
Legal / Financiero
LOPD Ley Orgánica de Protección de datos
LOPD Quien está sujeto a esta ley? Cuantos de los presentes tienen una empresa?
LOPD Cuantos tienen a día de hoy, un fichero registrado en la AGPD indicando el nivel de protección de datos, uso, etc...?
- Bases de datos (clientes, marketing, campañas) - Servidores para compartir ficheros - Sistemas de gestión documental - Correo electrónico - Respaldos de seguridad - Sistema de mantenimiento de ficheros individuales - Sistema de videovigilancia.
Todo esto está muy bien pero... Yo no trabajo con herramientas TIC!
Si... esto también es un archivo
Vale, entonces qué pasa si no...? Derrama! Derrama!
Sanciones LOPD - Leves: entre los 900 y los 40.000 - Graves: entre los 40.001 euros y los 300.000 - Muy graves: entre los 300.001 euros y los 600.000
Distribución de las sanciones por su gravedad: - leves: 21,3% - Graves: 74% - Muy Graves: 4,6%
Incremento de hechos denunciados Año 2008 2.362 Año 2013 10.604
Elementos básicos de la LOPD - Dato de carácter personal - Fichero de datos - Tratamiento - Figura de responsable - Encargado - Afectado - Consentimiento - Cesión y Comunicación - Fuentes accesibles al público
Principios de la protección de datos - Calidad de los datos - Derecho de información - Consentimiento del afectado - Datos especialmente protegidos - Datos relativos a salud - Seguridad de los datos
Derechos de las personas afectadas - Acceso - Rectificación - Cancelación - Tutela - Indemnización
Técnico / Supervivencia
Plan de Continuidad de Negocio 1 - Análisis del negocio y riesgos 2 - Selección de estrategias 3 - Desarrollo del plan 4 - Pruebas y mantenimiento Vuelta la burra al trigo LA SEGURIDAD ES UN PROCESO!
Backups - Cifrados - Periódicos - Test de Restauración Obligatorio!
Redes
Redes - Acceso a panel desde Internet, Telnet, Web, password por defecto, 1234, admin... - Wifi, configuración por defecto, tipo de cifrados, fortaleza de clave. Claves basadas en datos públicos. Pin WPS por defecto.
Gestión Documental
Gestión Documental - Documentos importantes almacenados en sistema de impresión. - Claves débiles o por defecto. - Conectadas a la red corporativa Wifi o Cable. - Acceso a ficheros compartidos sin seguridad.
Sistemas Operativos Cual es nuestra percepción de la seguridad de estos?
Sistemas Operativos
Aplicaciones más explotadas
Sistemas Operativos - Firewall (Integrados o de terceros) - Antivirus (Normalmente de terceros, Gratuitos! Si... en OSX también hacen falta :P) - Cifrado de Discos y Memorias, tanto en sobremesa, portátil o móviles (FileVault, BitLocker, LVM) - Software antirrobo (Integrado o de terceros como Prey)
Navegadores - Complementos fuera JAVA/JS/FLASH (Excepto...) - Siempre actualizados - Publicidad, cookies, trackers...
Correo Electrónico - Ideal tener servicio propio de correo. - No usar los buzones como almacenes infinitos de datos personales de terceros. Problema seguro. - Usar siempre los protocolos seguros de transferencia de correo (canal cifrado SSL/TLS). - Intercambio confidencial solo cifrado (PGP/GPG...)
Nube - Ideal tener servicio propio, tipo OwnCloud, software libre conocido y auditado. - Si no se puede privada, usar nubes de terceros, conociendo riesgos que conllevan, que las EULAs lo permiten y preferiblemente siempre cifrado.
Web Presencial / Empresarial - Mejor hosting privado que compartido - Actualizar, actualizar... Core y plugins. - Ley de Cookies!
Redes Sociales Empresariales - Útiles desde el punto de vista comercial. - Separar cuentas empresariales completamente del uso personal. No facilitar datos personales nunca. - Realizar escucha activa de quejas de clientes, si no mejor no usar las redes sociales - Vigilar concesión de permisos a otras aplicaciones / servicios (sorpresas desagradables!)
Redes Sociales Personales Sé discreto, preserva tu vida íntima, de esta manera te liberas de la opinión de los otros y llevarás una vida tranquila volviéndote invisible, misterioso, indefinible e insondable como el Tao
Gestión de Cuentas y Perfiles Posibilidad de mantener contenedores cifrados que albergan ficheros importantes, o enlaces de servicios como redes sociales u otros junto a sus contraseñas generadas de manera compleja, para uso inmediato sin tener la necesidad de memorizarlas
2FA Autenticación de doble factor Normalmente la seguridad actual está basada en algo que sabes (una contraseña). Los servicios están evolucionando a introducir un segundo factor para comprobar que el usuario es quien dice ser. (algo que tienes / algo que eres) - Token (dispositivo hardware que genera identificadores numéricos temporales) - Cuenta de correo - Teléfono móvil donde se genera un Token
FIN Preguntas? contacto@tuvika.es @tuvika_es