Ciberseguridad - Un recorrido por la historia

Ciberseguridad - Un recorrido por la historia

En 1995 nueva etapa de La era del conocimiento, esto trajo grandes ventajas, pero también grandes riesgos

• Cibercrimen
• Ciberterrorismo
• Ciberguerra

Tiempo atrás

Industria marítima en manos de los cibercriminales

Centrales nucleares con daños en la electricidad de una ciudad

Plantas potabilizadoras y cambio de composición de química del agua

Ataques a 16 de hospitales Reino Unido

Alemania planta nuclear más potente hackeada

El cibercrimen con 388 000 millones de dólares, supera los gastos anuales de la UNICEF (3 650 millones de dólares))

Actualidad

Ransomware para Pemex gigante petrolero con 5 millones de dólares

Ransomware, 3 Semanas sin emisión de facturas por no usar email

Adeslas aseguradora sanitaria, sistema secuestrado por un mes

Pero ya comenzamos el camino

2004 Europa crea la Agencia Europea de Seguridad de las Redes y la Información (ENISA)  

1995 EEUU crea la US Policy on Counterterrorism

Infraestructuras Críticas

¿Si desea colapsar la economía de un país/organización, que empresas y en que sectores se debería atacar?

La Secretaría de Estado de Seguridad del Ministerio del Interior y la CNPIC consideran como estratégicas por que prestan servicios esenciales a nuestra sociedad como (administración del estado, sanidad, saneamiento, electricidad, etc.)

Ejemplos de sectores críticos dependiendo la empresa

Amazon, sector crítico -> Servidor Web

Educación -> Servidores de contenido educativo

Plan de Seguridad del Operador (PSO)

Documento donde se definir las normativas y guías en las que me voy a basar para establecer la seguridad de la información de una organización

Plan de Protección Específico (PPE)

Documentos operativos de establecimiento del día a día medidas concretas, probarlas y la mejora continua de la seguridad de información

Debe contener por lo menos estos 3 documentos:

• Medidas Concretas
• Análisis de Riesgos
• Plan de Acción

Análisis de Riesgos

Identificar los activos con una valoración cualitativa

*Asociación Nacional de Comisionados de Seguros (NAIC), en EEUU audita a las organizaciones para obligar la seguridad de la información en las organizaciones con poder de clausurar al no tener las medidas necesarias

La Seguridad de la Información

Garantizar la Confidencialidad, Integridad y Disponibilidad de los recursos valiosos de un sistema de información

Proceso continuo de mejora para eliminar los riesgos Confidencialidad, Integridad y Disponibilidad de los recursos empresariales más valiosos: La Información

¿Qué se protege?

La confidencialidad, integridad y disponibilidad

¿De qué Activos?

De los activos clasificados como valiosos

¿Por qué medios?

Mediante controles implementados en políticas, estándares y procedimientos

Tener en cuenta las amenazas físicas y factor humano, entendiendo técnicas como ingeniería social.

Perspectivas fundamentales de la seguridad de la información

• Legal
• Técnica
• Organizativa

Legal

Regulaciones internacionales y regionales que protegen la privacidad y los derechos de propiedad intelectual

¿Qué hay que proteger, por qué y de qué?

Técnica

Análisis, configuración y despliegue de elementos técnicos (hardware, software, redes) relacionadas con la seguridad de la información

...