1

CÓMO LIDIAR CON EL ENDURECIMIENTO NORMATIVO Y LOS NUEVOS TIPOS DE ATAQUE

Francisco Valencia

Director General

Secure&IT

francisco.valencia@secureit.es

911 196 995

2

Cibercriminales: ¿Quiénes son y qué quieren?Movimientos sociales e inestabilidad política dan como resultado

organizaciones de hacktivismo, ciberdelincuencia, ciberterrorismo,

ciberespionaje y ciberguerra.

España es uno de los países más castigados por estas acciones delictivas.

Objetivos:

& Infraestructuras Críticas (Energía, Alimentación, Transportes)

& Administraciones públicas

& Empresas (industria, distribución, banca, seguros, sanidad y servicios).

Se detectan 14.000 nuevas formas de ataque al año, que han producido

145.000 impactos en empresas españolas, en 2017 con consecuencias

graves (sin contar las no denunciadas por miedo al desprestigio)

Principales ataques:

& DDoS, robo de datos y ransomeware.

& Chantaje con ingresos empleados en la financiación de terrorismo,

tráfico de personas, armas y/o drogas

& Web defacement y otros realizados por personas cercanas a la

empresa

& En empresas, ataques de robo de datos con fines de ciberespionaje,

empleando APTs

3

¿Qué técnicas emplean?

Las técnicas de hacking son cada vez más efectivas y rentables. Cada

año se duplican los ataques y su gravedad. Ataques como Heartbleed,

o Cryptolocker son sólo dos ejemplos de esto. Destacan las botnets,

ataques DDoS, ransomware y exploits que buscan, analizan y explotan

las vulnerabilidades. Además se extienden los ataques a través del

DNS, y se multiplican ataques a dispositivos móviles y las temidas APT

Estas herramientas son producidas y vendidas en Internet, creando el

denominado “Crime-as-a-service”, donde cualquiera puede ocasionar

graves pérdidas mediante el uso de armas tecnológicas.

El código dañino (Malware) alcanza los 1.000 millones de muestras.

Fundamentalmente los malware más extendidos en la actualidad son

Troyanos y Spyware. El malware en smartphones y tablets aumenta

exponencialmente.

El SPAM y navegación WEB siguen siendo los principales caminos

para la difusión de este malware, aunque empieza a ser relevado por

redes sociales e Ingeniería social, sobre todo en pornografía infantil o

pederastia.

4

Y la amenaza no son sólo los hackers…

MÁS AMENAZAS…

Errores humanos en

IT

Empleados descontentos

Competencia desleal

No cumplimiento

legal o contractual

Falta de Plan de

Continuidad

Formación insuficiente

Falta de medidas técnicas

La falta de valoración de activos y definición

de procesos críticos de negocio dificulta la

implantación de medidas técnicas y

organizativas con éxito. Provoca

inversiones vagamente justificadas y poco

efectivas.

Los departamentos de Asesoría Jurídica de

las empresas son expertos en normativa

laboral, mercantil, fiscal, etc, pero rara vez

son expertos en Derecho Tecnológico. Los

Departamentos de TI tampoco manejan

esta materia. Los incumplimientos y

sanciones en protección de datos y otras

normativas son habituales

La escasa formación y concienciación de

los recursos humanos favorece la ingeniería

social, deslealtad de empleados, robo de

información para entregarlos a la

competencia, etc.

5

Impactos de un ciberataque

Sobre la IMAGEN

& Pérdida de prestigio de la marca

& Pérdida de confianza de su entorno

& Elemento muy considerado a la hora de escoger proveedores

Sobre el NEGOCIO

& Indisponibilidad de ofrecer el servicio en condiciones normales

& Pérdida de datos e información acerca de las operaciones en curso

& Fuga de clientes

Sobre los ACTIVOS

& Depreciación de los activos de la empresa

& Pérdida de confianza de proveedores / financiadores

& Dificultad para entrar en mercados

Sobre el CUMPLIMIENTO

& Sanciones derivadas por incumplimiento de normativas de privacidad

& Incumplimiento de contratos con clientes y/o proveedores

& Posibles pleitos por daños a terceros

6

Entender que Seguridad Informática ≠ Seguridad de la Información

La seguridad de la información es elconjunto de medidas preventivas yreactivas de las organizaciones y de lossistemas tecnológicos que permitenresguardar y proteger la informaciónbuscando mantener la confidencialidad,la disponibilidad e integridad de lamisma.

La seguridad informática es el área de lainformática que se enfoca en laprotección de la infraestructuracomputacional y la informacióncontenida o circulante.

¿Qué podemos / debemos hacer?

7

Requerimientos de cumplimiento

& LEY 34/02 SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y

EL COMERCIO ELECTRONICO (ART. 27)

& 59/03 FIRMA ELECTRÓNICA (ART. 17)

& RD 1720/07 PROTECCIÓN DE DATOS (ART. 102)

& RD 03/10 ESQUEMA NACIONAL DE SEGURIDAD (ART. 24)

& LEY 10/10 BLANQUEO DE CAPITALES (ART. 25)

& RD 304/14 BLANQUEO DE CAPITALES (ART. 18)

& LEY 25/07 CONSERVACIÓN DE DATOS RELATIVOS A

COMUNICACIONES ELECTRÓNICAS (ART. 3, ART. 5)

& PCI-DSS V3.2 (REQ 3.1, REQ 3.6, REQ 8)

& LEY 26/06 MEDIACIÓN DE SEGUROS (ART. 8)

& RD 764/10 MEDIACION DE SEGUROS (CAP I, ART. 1)

& LEY 41/02 AUTONOMIA DEL PACIENTE (ART. 2)

& FOOD AND DRUGS ADMINISTRATION (ART. 4)

& GENERAL DATA PROTECTION REGULATION - GDPR

(ART 32, ART.33)

& RD 03/10 ESQUEMA NACIONAL DE SEGURIDAD

(ART. 23)

& LEY ORGÁNICA 10/95 CÓDIGO PENAL (ART. 31BIS)

& PCI-DSS V3.2 (REQ 5.1, REQ 10.5, REQ 11.1)

& RDL 12/2018 (Transposición de Directiva NIS)

& ISO 27001 (REQ A.12.4)

& ISO 22301 (REQ 8.4)

& ISO 20000-1 (REQ 6.6)

& HIPAA (AP. 164.308)

& SOX (SECC 404)

8

SEGURIDAD DE LA

INFORMACIÓN

CUMPLIMIENTO NORMATIVO

PROCESOS DE

SEGURIDAD

SEGURIDAD

INFORMÁTICA

VIGILANCIA DE LA

SEGURIDAD

Satisface la demanda que le es exigida a la

organización.

& Exigencias Legales (GDPR, C. Penal…)

& Normas Sectoriales (PCI-DSS, ENS…)

& Estándares (ISO 27001 / 20000 / 22301)

& Medidas dispuestas por Clientes

Permite dotar al CEO de un “cuadro de mando”

de la gestión de su seguridad.

& Identificación y valoración de Activos

& Análisis de Riesgos

& Roles y Responsabilidades

& Medidas aplicadas y sus Resultados

Protege las vulnerabilidades propias de los

sistemas informáticos:

& Sistemas anti malware

& Protección contra hackers

& Copias de seguridad

& Criptografía

CU

MP

LIM

IEN

TO

NO

RM

AT

IVO

PR

OC

ES

OS

CO

RP

OR

AT

IVO

S

SE

GU

RID

AD

INF

OR

MÁ

TIC

A

Permite la rápida detección, respuesta y

mitigación de impactos de seguridad

& Aplica tanto a IT como a procesos

& Reduce la incertidumbre. Existen IRPs

& Control gráfico

& Informes y cuadros de mandoVIG

ILA

NC

IA D

E

LA

SE

GU

RID

AD

Los pilares de la Seguridad de la Información

9

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y

EL CUMPLIMIENTO

Francisco Valencia

Director General

Secure&IT

francisco.valencia@secureit.es

911 196 995

10

¿QUÉ QUEREMOS HACER? Definir objetivos corporativos de seguridad

Para GDPR: Registro de actividades de tratamiento

Para Código penal: Listado de delitos aplicables

¿CÓMO NOS ORGANIZAMOS? Delegado de Protección de Datos, Compliance officer…

Responsable de Seguridad, Comité de Seguridad…

Establecer roles, responsabilidades y autoridades

MEDIDAS DE SEGURIDAD Realizar un Análisis de Riesgos (ISO 31000 - MAGERIT)

Seleccionar controles de mitigación (ISO 27002 - ENS)

Implantación de las contramedidas de reducción de riesgo

VIGILANCIA DE LA SEGURIDAD Un ataque en internet dura SEGUNDOS y se tarda MESES en detectarlo

El atacante SABE que tienes Firewall y Antivirus

Se hacen necesarias medidas de vigilancia

RESPUESTA ANTE INCIDENTES Implantar planes de respuesta a incidentes de seguridad

Implantar procedimiento de notificación de brechas

Gestión Canal de Denuncias

Continuidad de engocio

MEJORA CONTINUA Auditoría periódica

Planes de mejora

Revisión por la alta dirección

Certificación del sistema (opcional)

ISO 27001ENS

CÓDIGO PENALGDPRNIS…

11

Parece demasiado…

… Hagamos que parezca fácil

12

Necesidad de monitorización avanzada

Satisfacer la demanda que le es exigida a

la organización.

& Exigencias Legales (Privacidad…)

& Normas Sectoriales (PCI-DSS, ENS…)

& Estándares (ISO 27001 / 22301….)

& Medidas dispuestas por Clientes

Permiten dotar al CEO de un “cuadro de

mando” de la gestión de su seguridad.

& Identificación y valoración de Activos

& Análisis de Riesgos

& Roles y Responsabilidades

& Medidas aplicadas y sus Resultados

Protegen las vulnerabilidades propias de

los sistemas informáticos:

& Sistemas anti malware

& Protección contra hackers

& Copias de seguridad

& Criptografía

CU

MP

LIM

IEN

TO

PR

OC

ES

OS

SE

GU

RID

AD

TI

Informes de cumplimiento

Requerimiento de monitorizar

Cuadros de mando

Detección de eventos e incidentes

Correlación de eventos

13

Necesidad de monitorización avanzada

14

SIEM(Security Information Event Management)

& Análisis en tiempo real de eventos de

seguridad

& Almacenamiento y registro de los datos

& Categorización y de los registros

& Inteligencia de negocio

& Alertas y notificaciones

& Herramientas de visualización y control

& Priorización de eventos

& Reporting

& Cumplimiento

15

BigSIEM: SIEM SaaS & Emergency Response

BIGPROBE

BIGSIEM CONTROLLER

RESPUESTAREAL TIME

VIEW

REPORTINGFORENSICS

UP TO 150 FEEDS• SNORT• SURICATA• SPIDERLABS• VIRUSTOTAL• SORBS• BADIPS• HEURISTIC• STATIC• CERTS• ETC…

MACHINE LEARNING

A2L

BIG DATALOG COLLECTOR

16

& GESTIÓN DE LA DISPONIBILIDAD

& Estado up/down de dispositivos

& Estado up/down de interfaces

& Estado up/down de aplicaciones

& Estado up/down de procesos

& Estado de servicios cloud

& GESTIÓN DE LA CAPACIDAD

& Consumo de procesador, memoria

& Estado de los sistemas de

almacenamiento

& Consumo de ancho de banda

& GESTIÓN DEL RENDIMIENTO

& Retardos de red

& Tiempos de respuesta en

aplicaciones web

& GESTIÓN DE LA SEGURIDAD

& Estado de elementos de seguridad

& Firewall, IPS, WAF, antivirus, etc…

& Correlación de eventos y alertas

BigSIEM: Monitorización integral

17

BigSIEM: Capacidad de Análisis

18

BigSIEM: Capacidad de Análisis

19

BigSIEM: Capacidad de Análisis& BigSIEM: Análisis de más de 1000 variables

& Tráfico aceptado y denegado

& Sesiones

& Tamaño paquetes

& Inicios de sesión

& Login aceptados o bloqueados

& Malware detectado

& Correos electrónicos

& Acceso WEB

& Ficheros abiertos, copiados, movidos…

& Etc…

& Correlación de eventos entre distintos sistemas

& Firewall

& DNS firewall

& Antivirus de perímetro y puesto

& Sistemas de cifrado

& Sistemas de copia de seguridad

& Servidores

& Control de contenidos, proxys

& IPS / IDS

& Correo electrónico

& Sandbox

& Etc…

& Sonda BigPROBE

& Detección automática de anomalías de tráfico

& Cruce automático con más de 150 fuentes de

inteligencia

& Redes TOR

& Malware

& Reputación IP

& Reputación dominios

& Spam

& Detección automática comportamiento

ransomware

& Análisis horizontal y vertical de tráfico

& Análisis (correlación) cruzada

& Carga manual de información de ataque

& Análisis heurístico

& Seguridad WIFI (AP Rogues, etc)

& Correlación entre clientes del CERT

& Carga de avisos y alertas de CERTS

gubernamentales, como CCN-CERT

& Carga de vulnerabilidades de fabricantes

(Microsoft, Cisco, Adobe, etc)

& Detección de vulnerabilidades mediante

escaneo continuo

20

Secure&View©. Capacidad de Respuesta

SERVICIOS

& Alertas de seguridad

& Avisos de vulnerabilidades

& Monitorización

& Gestión de incidencias

& Gestión de vulnerabilidades

& Auditorías

& Test de Intrusión

& Inteligencia y análisis

& Gestión de dispositivos

& Firewalls

& WAF

& Antimalware

& MDM/MDS

& DNS Firewall

& Análisis de Riesgos

& Continuidad de Negocio

& Formación

& Consultoría

& Evaluación de productos

& Cumplimiento

& Servicio 24x7x365

& Certificado ISO27001:2013 e ISO9001:2015

& Acreditado CERT (Community Emergency Response Team)

21

¡MUCHAS GRACIAS!

Francisco Valencia

Director General

Secure&IT

francisco.valencia@secureit.es

911 196 995