innovadoras Taller Online, ¿Qué necesita saber de Las...

Taller Online, ¿Qué necesita saber de

ciberseguridad el comercio

minorista?

Programa de Apoyo al comercio minorista 2018

18 de octubre de 2018

Actuaciones Divulgativas sobre Jornadas demostrativas de experiencias

innovadoras

Fondo Europeo de Desarrollo Regional

Una manera de hacer Europa

D. Juan Miguel Pulpillo Fernández

Socio - Director Área Legal y Compliance & Risk IT en Legal-itc y VP – COO Grupo Agencia EscrowAbogado Auditor en Entornos Tecnológicos del Registro AAULETEC del IcabCertificado Auditor en Buen Gobierno, Gestión de Riesgos y Cumplimiento Normativo de Tüv NordMiembro Consejo Asesor Legal Gobierno itSMF España (Information Technology Service Management Forum Spain). DPO itSMF EspañaCoordinador Andalucia I España del Centro de Ciberseguridad industrial, CCI.DPO Empresa Municipal que opera el servicio de transporte público en la ciudad de Córdoba, AUCORSAAnalista Asociado ITC and Compliance en Grupo PenteoPerito Forense Informático Judicial Miembro de ASPERTIC, Asociación Mediterránea de Peritos de las TIC (Barcelona)

• Qué es la ciberseguridad y

cuáles son los ciberriesgos

• Las medidas de

protección frente a los

ciberriesgos. Prevención

Vs Reacción

• Decálogo para protegerse

frente a los ciberriesgos

• Otras medidas de

protección externas

Resolución 181 Conferencia UIT de 20/09/2019 aprobó una definición de ciberseguridad tal como

se expresa en la Recomendación UIT–T X.1205:

La ciberseguridad es el conjunto de herramientas, políticas,

conceptos de seguridad, salvaguardas de seguridad, directrices,

métodos de gestión de riesgos, acciones, formación, prácticas

idóneas, seguros y tecnologías que pueden utilizarse para proteger

los activos de la organización y los usuarios en el ciberentorno.

TODO ELLO CON ASIGNACIÓN PRESUPUESTARIA Y

GESTIÓN PRESUPUESTARIA EFICIENTE


Qué es la ciberseguridad



Qué es la ciberseguridad y cuáles son los ciberriesgos

Los activos de la organización y los usuarios son los

dispositivos informáticos conectados, los usuarios, los

servicios/aplicaciones, los sistemas de comunicaciones, las

comunicaciones multimedios, y la totalidad de la información

transmitida y/o almacenada en el ciberentorno.

La ciberseguridad garantiza que se alcancen y mantengan las

propiedades de seguridad de los activos de la organización y los

usuarios contra los riesgos de seguridad correspondientes en el

ciberentorno.






Las propiedades de seguridad incluyen una o más de las

siguientes:

• disponibilidad;

• integridad, que puede incluir la autenticidad y el no repudio;

• confidencialidad






Un ciberriesgo es cualquier amenaza que puede afectar

a la tecnología, así como al conjunto de datos contenido en

la misma.


Cuáles son los ciberriesgos




Dichos riesgos pueden tener su origen en:

• cualquier componente de nuestro sistema informático

• como consecuencia de acciones intencionadas de

personas

• por errores y fallos de sistemas no diseñados a priori

para causar un perjuicio






Las consecuencias más importantes pueden ser:

• la revelación de datos a terceros no autorizados

• la modificación, destrucción o pérdida de información

digital.






NO Disponibilidad, NO integridad,

NO confidencialidad

NO activos

NO negocio

Ejemplos:

• Robos de datos que pueden comprometer

nuestro negocio, o datos sensibles de

nuestros clientes.

• Los virus o la manipulación de

información, a través de hackers o de

empleados desleales, con el fin de obtener

un beneficio propio, como la modificación

de movimientos contables o transferencias

a entidades financieras.






Ejemplos:

• Modificaciones del contenido web que

pueden dañar la reputación de nuestra

empresa, y también la de nuestros clientes

web.

• Robos de identidad de personas físicas

para su uso posterior por delincuentes.

• Pérdidas de información sensible

almacenada en portátiles, ordenadores o

dispositivos de almacenamiento portable

(como USB).






Ejemplos:

• Robo de propiedad intelectual o comercial

para su posterior uso, venta a la

competencia o extorsión a la empresa

afectada.

• Ataques de denegación de servicio que

impidan el correcto funcionamiento de los

sistemas que prestan un servicio a los

clientes.






Ejemplos:

• Secuestro de información o de sistemas

informáticos para posteriormente solicitar

una cantidad económica como rescate de

la misma (tipo de virus denominado

ransomware).






Ejemplos: Tipos de ransomware:• CryptoJocker: primero en ofrecer a sus víctimas la posibilidad de negociar la cuantía del

rescate.

• CryptMix: prometían donar el dinero del rescate a una organización benéfica.

• Jigsaw: este ransomware juega con la presión mental, eliminando cada hora algunos archivos

cifrados.

• Koolova: ofrecía recuperar los archivos de manera gratuita con una condición: leer dos

artículos sobre ciberseguridad.

• nRansom: exigía a la víctima el envío de al menos diez fotos de ellos mismos desnudos.

• PopCorne Time: basado en el sistema piramidal: las víctimas pueden pagar o intentar infectar a

varios de sus conocidos y esperar a que al menos dos de ellos paguen el rescate, para recuperar

sus archivos.

• RensenWare: para desbloquear los archivos, exigía que la víctima alcanzase la máxima

puntuación en un videojuego.

• Spora: como en un mercadillo, hay diferentes servicios y precios: ya sea para desencriptar un

archivo, desinstalar el virus, no re-infectar el sistema o adquirir una restauración completa de

los archivos






La exposición al riesgo:

• La ampliación del uso de tecnología, amplía el riesgo

cibernético.

A mayor uso, mayor dependencia y, por lo

tanto, mayor riesgo.






Los riesgos a valorar:

¿Os suenan? ¿Cómo lo hacen?





• Problemas de

accesibilidad o

disponibilidad

• Accesos NO autorizados

o confidencialidad

• Modificación deliberada

de la información o

integridad

• Ataque de fuerza bruta

• Denegación de servicio

• Phishing

• Suplantación de

identidad

• Ciberextorsión:

Ransomware, Malware,


• En materia de ciberseguridad en las áreas de los servicios

esenciales: Directiva NIS

• En materia de privacidad: GDPR, e-Privacy, LOPD

• En materia de organismos de soporte y coordinación en

materia de ciberseguridad para organismos

gubernamentales y empresas: Instituto Nacional de

Ciberseguridad —INCIBE


Regulación al respecto en el comercio minorista




• Reglamento de la Unión Europea 2016/679, de

tratamiento de datos personales y libre circulación de

estos en el curso de una actividad profesional o

comercial, que establece una serie de obligaciones a las

empresas en este ámbito, así como consecuencias

legales derivadas de su incumplimiento

RGPD


Regulación al respecto en el comercio minorista




• Pérdida de datos

• Desembolso económico

• Cambio en el modelo de negocio

• Pérdida de confianza


Consecuencias de un ciberataque




• Si eres consciente del ataque, tres acciones

inmediatas y concurrentes:• Poner en marcha las medidas para contener la brecha de

seguridad, siempre protegiendo las evidencias legales

necesarias para la toma de acciones legales

• Interponer la denuncia para el inicio de las investigaciones

que permitan esclarecer los hechos

• Proceso de notificación de la brecha


¿Qué hago si me atacan?




• Medidas de contención de la brecha

salvaguardando evidencias:• Las acciones específicas dependerán del incidente, el

número y distribución de los sistemas informáticos

afectados y el servicio que preste la empresa.

• En todo caso, aislar los sistemas informáticos afectados y

acudir a especialistas en extracción de información

relevante para esclarecer las causas, la autoría y el alcance

de la brecha de seguridad, siempre tratando de no

modificar las evidencias.






• Notificación:En el caso RGPD, se identifican dos procesos de

notificación:

• una a la autoridad de control (Agencia de Protección de

Datos)

• otra a las personas afectadas, aunque este último

proceso incluye exenciones en el caso de la existencia de

medidas que contrarresten la vulneración de los datos de

los afectados o la imposibilidad de que sean fácilmente

identificables






• Daños causados a terceros como consecuencia de la vulneración, robo o

deterioro de la información.

• Costes de la restauración de los sistemas del software dañado.

• Costes de la restauración, así como de la recuperación de los datos robados.

• Pérdidas económicas derivadas de la paralización de la actividad causada

por un ciberataque.

• Extorsión por parte de los delincuentes.

• Costes de actualización de los sistemas de seguridad, como antivirus,

firewalls, etc.

• Multas impuestas por parte de la Agencia Española de Protección de

Datos derivadas de la vulneración de datos de carácter personal.

• Gastos derivados de la obligación de notificación a terceros por violación de

su privacidad en base a lo establecido en el RGPD.

• Daños de imagen.


Costes del ataque




• El efecto de la HIPERCONECTIVIDAD


El riesgo de los proveedores




… no te engañes... NO ESTÁS AISLADO

• Concienciar a los usuarios

• Definir políticas de seguridad de la empresa y de uso

adecuado de los equipos informáticos

• Diseñar una solución de seguridad a medida

• Construir capacidades preventivas y mitigadoras frente a los

ciberriesgos

• Asegurar una línea base de seguridad que sea sencilla y

suficiente


Las medidas de protección frente a los ciberriesgos.




La seguridad debe ser aplicada desde un punto de vista estratégico

y técnico, que debe abordarse desde diferentes líneas de

acción conjuntas

• Disponer de un inventario de sistemas y aplicaciones

• Aplicar una plantilla de seguridad mínima sobre los equipos

y sistemas informáticos

• Disponer de software antivirus

• Actualización permanente

• Realizar copias de seguridad periódicamente


Línea base de seguridad.




No. Por ejemplo, durante el año 2016 se identificaron 127

millones diferentes de muestras de virus, lo que viene a ser un

virus nuevo cada 4 segundos. Los fabricantes de antivirus

actualizan como mucho entre dos y tres veces al día los ficheros

de detección de virus, por lo que, aunque se diera por hecho que

los antivirus detectaran todos los virus, siempre quedaría una

ventana por la que podrían entrar esos virus y los equipos se

encontrarían desprotegidos


¿Es suficiente medidas aisladas?.




¿Cuáles son sus amenazas? Medidas mitigadoras


¿Es seguro el correo electrónico?



• Información en claro: Toda la información en el

cuerpo, asunto, destinatarios o adjuntos, es accesible

por cada uno de los puntos por los que ese correo

pasa a través de internet.

• Ausencia de mecanismos de control de alteración del

contenido: Un correo electrónico puede ser

manipulado sin conocimiento de ninguna de las

partes en cada uno de los puntos por los que pasa

durante su transmisión.

• Imposibilidad de legitimar la fuente: El campo del

emisor es un texto en claro que puede ser rellenado a

voluntad de la propia persona que envía el correo.

• Envío masivo de correo no deseado o malicioso:

propagación de publicidad no deseada, fraudes e

intentos de estafa, distribución de virus.

• Sistemas de filtrado de

correos

• Sistemas de cifrado de

información

• Sistemas de

comprobación de

identidad del emisor




¿Protección ante la encriptación de archivos?



• La mutación constante de los

virus y la dificultad de detección

hacen que el tratamiento de las

amenazas del ransomware sea

difícil en el ámbito empresarial

• Adicionalmente a las

medidas básicas de

seguridad que se han

comentado

anteriormente:

• Concienciación de los

usuarios

• Copias de seguridad

• Sistemas de detección


Se puede reforzar su seguridad siguiendo las siguientes pautas

mínimas:

• Longitud mínima de 8 caracteres.

• Cambio periódico cada 3 meses.

• Bloqueo tras 3 intentos de uso.

• Combinación de uso de mayúsculas, minúsculas y números u

otros signos de puntuación.


¿Son necesarias las contraseñas?





¿Las webs y conexiones a internet son seguras?



• Todo sistema conectado a Internet

es susceptible de ser ciberatacado

por las innumerables amenazas

existentes

• Publicar sólo lo

estrictamente necesario

• Hacer pruebas sustantivas

de hacking

• Aplicar plantillas de

seguridad para la limitación

de capacidades o accesos a

un sistema

• Proteger las redes internas

• Disponer de medios de

detección




y si me extorsionan ¿qué hago?



• La interposición de una denuncia

• Tener presente: El pago inmediato ante cualquier amenaza

no garantiza la erradicación de la extorsión

• Poner en marcha los protocolos de gestión de incidentes de

seguridad: Realizar un análisis de lo ocurrido lo antes

posible para intentar volver a la normalidad. Proceder a la

restauración de la información y de los sistemas,

garantizando la inexistencia de software no autorizado.

• Soporte de proveedores de seguridad especializados.


1. Nunca uses la misma contraseña en múltiples sitios web o

servicios en línea.

2. Activa la “autenticación de dos factores”. Esto ayuda a evitar

que han robado tu contraseña accedan a tus dispositivos. Alguien

que haya robado tus passwords pero no tenga acceso a tu

dispositivo no podrá hackearte.


Decálogo para protegerse frente a los ciberriesgos



3. Si estas presente en Redes Sociales, además de cambiar tu

contraseña, usa la pantalla de configuración para revisar la lista

de aplicaciones y sitios web con los que compartes tus datos.

Elimina cualquier aplicación o sitio web que no reconozcas y en

el que no confíes.

4. No caigas en las estafas inteligentes de phishing que solicitan

el pago e indican que tienen una contraseña antigua que

reconozcas.





5. Cubre la cámara de tus dispositivos con cinta o usa una

cubierta siempre que no la estés usando. Evita miradas

indiscretas y no sólo por aspectos íntimos.

6. Compra dispositivos IoT sólo de fabricantes y proveedores

acreditados. Cambia la contraseña de administrador tan pronto

como puedas conectarlos. Verifique anualmente las

actualizaciones de seguridad que descargue.

7. Evita dispositivos IoT usados de segunda mano, como routers

o cámaras. Ya podrían tener malware instalado.





8. Verifica con tu proveedor de servicios de Internet la

antigüedad de tu router y solicita su actualización en caso de

tener más de dos años. Pueden estar obsoletos y no tener las

últimas actualizaciones de seguridad. Cambia la contraseña de

WiFi en tu router periódicamente.

9. Realiza copia de seguridad de tus datos: imágenes, contactos y

documentos. Si un equipo está comprometido, puede ser más

fácil simplemente reformatearlo que encontrar el malware.

Nunca perderás información que ha sido respaldada, pero no la

tengas en red.





10. Evalúa la salud de ciberseguridad de tu negocio. Si bien tu

eres relativamente seguro en temas de seguridad tecnológica,

asegúrate de que otros miembros de tu equipo, estén tomando

precauciones similares.





Complementariamente, puede contratarse un seguro con

la cobertura que mejor se adapte a tus riesgos y

necesidades:

Cobertura de Responsabilidad Civil, por los daños y perjuicios causados

a terceros, e incluso a empleados propios de la empresa asegurada,

como consecuencia del daño, robo, pérdida o revelación de los datos de

carácter personal de dichos terceros, y, en ocasiones, de información de

carácter confidencial, causados por un ataque cibernético.


Otras medidas de protección externas



Cobertura de Daños Propios:

• Daños a los sistemas informáticos del asegurado, que englobaría los

costes de restauración o recuperación de datos dañados o robados, los

costes de descontaminación y limpieza del virus malware y la

restauración de los sistemas de control de acceso al sistema informático

del asegurado, etc

• Pérdidas económicas del asegurado derivadas de la interrupción del

negocio provocada por un ciberincidente.

• Gastos de notificación a terceros por violación de la privacidad de los

mismos.

• Garantía de multas y sanciones impuestas por la autoridad competente

en materia de protección de datos derivado de un incumplimiento legal.

• Gastos derivados de restitución de la imagen por sanciones impuestas

por la agencia de protección de datos.


Otras medidas de protección externas



Taller Online, ¿Qué necesita saber de

ciberseguridad el comercio

minorista?

¿Preguntas?


18 de octubre de 2018

Actuaciones Divulgativas sobre Jornadas demostrativas de experiencias

innovadoras



innovadoras Taller Online, ¿Qué necesita saber de Las...

Documents

Transcript of innovadoras Taller Online, ¿Qué necesita saber de Las...