ANTES Y DESPUÉS DE LA CRISIS · parece buena idea 2. continuidad de negocio no solo afecta a...
Transcript of ANTES Y DESPUÉS DE LA CRISIS · parece buena idea 2. continuidad de negocio no solo afecta a...
CONTINUIDAD DE NEGOCIO
ANTES Y DESPUÉS DE LA CRISIS
SUMARIO
1. ¿Qué es lo que queremos proteger?
2. ¿De qué lo queremos proteger?
3.Gestión de la crisis: por qué gritar "¡vamos a morir todos!” dentro de un avión no parece buena idea
4. El tamaño no importa (en este caso)
5. Auditoría
CONTINUIDAD DE NEGOCIO
¿CUÁNTO VALE UN CABLE DE RED?
CONTINUIDAD DE NEGOCIO:ANTES Y DESPUÉS DE LA CRISIS
¿Qué es lo que queremos proteger?
1.
CONTINUIDAD DE NEGOCIO
¿QUÉ ES LO QUE QUEREMOS PROTEGER?
CONTINUIDAD DE NEGOCIO
¿QUÉ ES UN DATO?
Esto es lo que ocurre en internet en un solo minuto:
CONTINUIDAD DE NEGOCIO
¿QUÉ ES LO QUE QUEREMOS PROTEGER?
ACTIVO AMENAZA VULNERABILIDAD
CONTINUIDAD DE NEGOCIO
¿QUÉ ES LO QUE QUEREMOS PROTEGER?
No se puede mostrar la imagen.
CONTINUIDAD DE NEGOCIO:ANTES Y DESPUÉS DE LA CRISIS
¿De qué lo queremos proteger?
2.
CONTINUIDAD DE NEGOCIO
¿DE QUÉ LO QUEREMOS PROTEGER?
CONTINUIDAD DE NEGOCIO
¿DE QUÉ LO QUEREMOS PROTEGER?
CONTINUIDAD DE NEGOCIO
¿DE QUÉ LO QUEREMOS PROTEGER?
Manipulation of information
AS manipulationAS hijacking
Falsification of configurations
DNS manipulationsDNS spoofingDNS poisoning
Routing table manipulationsAddress space hijacking BIP prefixesG
Falsification of records
Manipulation of hardware and software
Generation and use of rogue certificatesImproperly issued SSL certificatesNational Informatics Center BIndiaG
SSL CA infiltrationDigiNotar
Compromising confidential information Bdata breachesG
Abuse of information leakages
Potentially unwanted softwareGreyware
Adware
Malware and viruses
Rogueware
Scareware
Spyware
Botnets
Rootkits
Trojans
Worms
Viruses
Unsolicited e-mail
Identity theft Bidentity fraud)account or service-session hijackingG
Unintentional damages BaccidentalG
Inadequate designs and planning or lack of adaptions
Policy)procedure flaws
Insecure interfaces BAPIsG
Inadequate usability
Inadequate specifications
Unintentional changes of data in an information systems
Using information from unreliable sources
Erroneous use or administration of devices and systems
Information leakage)sharing
Failures)Malfunctions
Configuration errors Misconfigurations
Software bugs
Malfunctions of devices or systems
Data centers
Servers
Network devices
Malfunctions of parts of devicesConnectors
Linecards
Failures or disruptions of the power supply
Failures of disruptions of service providers Bsupply chainG
Failures or disruptions of main supply
Water
Cooling
Power
Failures or disruptions of communication links Bcommunication networksGCable cuts
Cable breaks
Failures of devices or systems
Data centers
Servers
Network devices
Failures of parts of devicesConnectors
Linecards
Outages
Network outages
Cooling outages
Loss of support services
Strikes
Absence of personnel
Power surges
Loss of powerPower cut
Fuel exhaustions
Lack of resources
Lack of physical resources
Cooling
Water
Power
Lack of storage capabilities
Lack of network capacities
Lack of processing power
Lack of human resources
Disasters
Environmental disasters
Explosions
Major events in the environment
Unfavourable climatic conditions
Corrosions
Dusts
Pollutions
Dangerours radiation leaks
Fires
Natural disasters
Electromagnetic storm
Wildfire
Heavy winds
Heavy snowfalls
Heavy rains
Lightning strike
Landslides
Tsunamis
Floods
Earthquakes
Physical attacks
Briberies)corruptions
CoercionsD extortions or corruptions
Unauthorised physical access)unauthorised entry to premises
Information leakages)sharing
Thefts
Documents
Cables
Storage media
Devices
Vandalisms
SabotageDivers manipulated sea cable in Egypt
Frauds
Bomb attacks)threats
Threats
Threat Landscape and Good Practice Guide for Internet Infrastructure
Threat Mind Map
Legal
Failure to meet contractual requirements
Judiciary decisions)court orders No-IP Microsoft domains seizure
Violation of laws or regulations)breach of legislation
Eavesdropping)Interception)Hijacking
Repudiation of actions
Man in the middle)session hijacking
Network injection
BGP sessions
Route leaks
Replay of messages
Interfering radiations
Interception of information
Software interceptions
Rogue hardware
EspionageCorporate espionage
Nation state espionage
Interception compromising emissions
Damage)Loss BIT assetsG
Wildlife
Mice
Sharks
Rats
Power surges
Destruction of recordsD devices or storage media
Loss
Documents
Cables
Storage media
Devices
Loss of reputation
Value imbalance exploitations
Re-entries
Reputation lag exploitations
Proliferation
Collusions
Discriminations
Playbooks
Unfair ratings
Sybil attacks
Loss of Bintegrity ofG sensitive information
Loss of information
Damages resulting from penetration testing
Damage caused by a third partyExternal cases Ship collides with cable
Internal cases
Nefarious activity)Abuse
Brute force
Exploitation of software bugs
Validation
AuthenticationCross site request forgery
InputCross site scripting BXSSG
SQL injections
Race conditions
Buffer overflows
Design flaws
Kernel flaws
Remote activities BexecutionG
Intended similarity of identifiersTyposquatting
Domain name collision
Social engineeringPhishing
Baiting
Whaling
Spear phishing
Pretexting)hoax
TimescalesTargeted attacks)advanced persistent threats
Large scale scans)probes
Denial of service attacks BDoS)DDoSG
Malformed packet attacksIP address options
Protocol exploitationsPushCAck
TCP-SYN
Applications
WinNuke
XDoS
Ping of Death
Volume
Flooding
Slowloris
ICMP BPingG
UDP
Spoofing
Amplification)reflection
ZAvx
Quake Network Protocol
Steam
Kad
BitTorrent
QOTD
CharGen
SSDP
NetBios
SNMP
DNS
NTP
Unauthorised activities
Unauthorised use of software
Unauthorised installation of software
Unauthorised changes of records
Unauthorised access to information systems)networksDNS Registrar Hijacking
IMPI Protocol
Unauthorised use of administration of devices and systems
Abuse of personal data
Abuse of authorizations
Misuse of information)information systems
AS manipulationAS hijacking
Design errors
Policy)procedure flaws
CONTINUIDAD DE NEGOCIO
LAS AMENAZAS VAN CAMBIANDO
CONTINUIDAD DE NEGOCIO
GESTIÓN DEL RIESGO
CONTINUIDAD DE NEGOCIO
RIESGOS EN CONTINUA EVOLUCIÓN
CONTINUIDAD DE NEGOCIO
CONTROLES EN CONTINUA EVOLUCIÓN
CONTINUIDAD DE NEGOCIO
LA SEGURIDAD COMO PRINCIPAL PREOCUPACIÓN
1. Confidencialidad
2. Integridad
3. Disponibilidad
4. Trazabilidad
CONTINUIDAD DE NEGOCIO
¿QUÉ ES LA RESILIENCIA? CAPITÁN GINYU
La resiliencia se define como la capacidad
para adaptarse positivamente a situaciones
adversas.
Fuente: https://es.wikipedia.org/wiki/Resiliencia
CONTINUIDAD DE NEGOCIO
DUDAS CON LOS SERVICIOS EN NUBE
• Falta de claridad en el
servicio
• Falta de roles y
responsabilidades
• Desarrollar una gestión del
riesgo apropiada
• SLA’s y monitores de
rendimiento
CONTINUIDAD DE NEGOCIO
DEPENDENCIA DE UN TERCERO
CONTINUIDAD DE NEGOCIO
MALICIOUS INSIDERS
• ¿Disponen los empleados de nuestro
proveedor de Cloud de acceso a los
sistemas físicos o virtuales?
• ¿Se monitorizan las acciones de dichos
técnicos?
• ¿Podemos monitorizar si los empleados
cumplen con la política de Seguridad
Interna?
CONTINUIDAD DE NEGOCIO
¿Y SI ALGUIEN ATACA A NUESTRO PROVEEDOR?
DENEGACIÓN DE SERVICIO DENEGACIÓN DE SERVICIO DISTRIBUIDA
DoS DDoS
CONTINUIDAD DE NEGOCIO
¿NECESITAMOS AYUDA?
La evaluación de riesgos requiere que se incluya un oficial o
Director de Seguridad de la Información (CISO) que se
encuentre alineado con la Dirección.
En algunas ocasiones, suele ser más práctico un socio
tecnológico.
CONTINUIDAD DE NEGOCIO
¿QUÉ METODOLOGÍA UTILIZAR?
Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información de las administraciones
públicas.
MAGERIT
Desarrollado por la Agencia Central de Comunicación y
Telecomunicación del gobierno británico.
CRAMM
Operationally Critical Threat, Asset and Vulnerability
Evaluation.
OCTAVE
CONTINUIDAD DE NEGOCIO
¿Y SI ALGUIEN ATACA A NUESTRO PROVEEDOR?
• Mejorar de forma proactiva la eficacia operativa y la
gobernanza
• Generar confianza entre las partes interesadas con el
uso de técnicas de riesgos
• Aplicar controles de sistemas de gestión para analizar
riesgos y minimizar posibles pérdidas
• Mejorar el desempeño y resiliencia de los sistemas de
gestión
• Responder a los cambios de forma eficaz y proteger su
empresa mientras crece
CONTINUIDAD DE NEGOCIO:ANTES Y DESPUÉS DE LA CRISIS
Gestión de la crisis: por qué gritar “¡vamos
a morir todos!” dentro de un avión no
parece buena idea
2.
CONTINUIDAD DE NEGOCIO
NO SOLO AFECTA A NUESTRO SECTOR
CONTINUIDAD DE NEGOCIO
MUCHAS EMPRESAS NO LO HACEN
• No aporta valor
• Si pensamos solo en lo malo,
no hacemos nada.
• Hay suficientes controles
• Pensamos en metas, no en
riesgos
• No hay tiempo para evaluar
riesgos, ¡necesitamos vender!
• Si ocurre algo, ya lo
arreglaremos
CONTINUIDAD DE NEGOCIO
¿POR DÓNDE EMPEZAMOS?
CONTINUIDAD DE NEGOCIO
NO SOLO AFECTA A NUESTRO SECTOR
CONTINUIDAD DE NEGOCIO
¿DÓNDE QUEREMOS LLEGAR?
REVISIÓNY mejora continua
ANÁLISISY comprensión
de la organización
ESTRATEGIADe continuidad
de la organizaciónDESARROLLOY ejecución del
plan de continuidad
SGCN
El Ciclo de Vida de la Continuidad de su Negocio
CONTINUIDAD DE NEGOCIO
¿DÓNDE QUEREMOS LLEGAR?
CONTINUIDAD DE NEGOCIO
MEJORA CONTINUA
CONTINUIDAD DE NEGOCIO
MEJORA CONTINUA
CONTINUIDAD DE NEGOCIO
MEJORA CONTINUA
CONTINUIDAD DE NEGOCIO
¿DÓNDE VAMOS A LLEGAR REALMENTE?
CONTINUIDAD DE NEGOCIO
GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
La continuidad del negocio (Business Continuity)
describe los procesos y procedimientos que una
organización pone en marcha para garantizar que
las funciones esenciales puedan continuar
durante y después de un desastre.
La Planificación de la Continuidad del Negocio
(BCP) trata de evitar la interrupción de los servicios
de misión crítica y restablecer el pleno
funcionamiento de la forma más rápida y fácil que
sea posible.
El BCP de la organización debe incluir los planes necesarios para mantener el negocio.
CONTINUIDAD DE NEGOCIO
LAS PRIORIDADES DEBERIAN ESTAR CLARAS
CONTINUIDAD DE NEGOCIO:ANTES Y DESPUÉS DE LA CRISIS
El tamaño no importa (en este caso)
2.
CONTINUIDAD DE NEGOCIO
ELEMENTO DIFERENCIADOR
Cualquier empresa de cualquier tamaño puede
mejorar las posibilidades de superar un incidente
de interrupción de la actividad y quedar en una
pieza (con la marca intacta y sin merma en los
ingresos) si sigue ciertas estrategias probadas y de
confianza, más allá de que desee obtener la
certificación ISO 22301 o no.
CONTINUIDAD DE NEGOCIO
LA CASILLA DE SALIDA
• ¿Qué tienen en común todas estos Sistemas de Gestión?
• Políticas, procedimientos, simulacros, normativas,...
• ISO 27001: Sistema de Gestión de la Seguridad de la
Información
• ISO 9001: Sistema de Gestión de la Calidad
• ISO 14001: Sistema de Gestión Ambiental
• ISO 45001 (actualmente OHSAS 18001): Sistemas de
Gestión de Seguridad y Salud en el Trabajo.
• GMP EU: Fabricación de medicamentos estériles.
• ISO 14644: Clasificación de salas limpias.
• …
CONTINUIDAD DE NEGOCIO
ELEMENTO DIFERENCIADOR
CONTINUIDAD DE NEGOCIO:ANTES Y DESPUÉS DE LA CRISIS
Auditoría
2.
CONTINUIDAD DE NEGOCIO
PLAN DIRECTOR
Tener criterio informado sobre:
• Identificar los procesos
críticos de negocio
• Conformidad
• Efectividad del sistema
• Distribuir recursos