Seguridad de la

Información y las

Telecomunicaciones

José Ignacio Sánchez

Responsable de Seguridad y Calidad del Servicio de Informática

Excmo Ayto de Toledo Madrid, 18 de Octubre de 2017

Seguridad de la Información y las Telecomunicaciones

1. SEGURIDAD en IT y su EVOLUCIÓN

2. EL SISTEMA DE DEFENSA IT

Recomendaciones

Experiencia de fracaso y éxito

3. NUEVOS RIESGOS ACTUALES

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

El Esquema Nacional de Seguridad (ENS)

5. OPORTUNIDADES DE EMPLEO Y NEGOCIO

Seguridad de la Información y las Telecomunicaciones

1. SEGURIDAD en IT y su EVOLUCIÓN

La Seguridad de un Sistema IT es la CAPACIDAD que tiene para

RESISTIR, con un determinado nivel de confianza, los efectos de actos

malintencionados o de incidentes desconocidos o no previstos que

afecten a los DATOS que contienen.

El OBJETIVO de los ataques al Sistema:

Interceptar Modificar Copiar Borrar

Destruir Sustituir Bloquear …

La FINALIDAD del Sistema de Seguridad es conservar para los Datos:

Disponibilidad Integridad

Autenticidad Confidencialidad

Trazabilidad

Seguridad de la Información y las Telecomunicaciones

1. SEGURIDAD en IT y su EVOLUCIÓN

ANTES:

Reactivo

Contesta

Minimizar

Retomar

Costoso

Parcial

Limitado

AHORA: El Perímetro ha muerto y hay que defender desde el DISEÑO

Inmediato

Prevenir

Activo

Anticipa

Inteligent

Global

Seguridad de la Información y las Telecomunicaciones

1. SEGURIDAD en IT y su EVOLUCIÓN

Si las Circunstancias cambian,

tenemos que cambiar

(Defensa de Móviles, Tajetas SIM,

Correo Electrónico, Redes Sociales,

Almacenamiento, Cloud, Malware,

Teletrabajo, …)

Si antes se protegía el Contenedor,

ahora se protege el DATO donde

quiera que se encuentre. (Fluye sin control)

Hay que mitigar los RIESGOS y

poner CONTROLES para reducir

el IMPACTO en la Organización.

Olvidar marcas Blancas en Seg.

y Prevenir, Educar y Normalizar

el comportamiento del usuario.

Seguridad de la Información y las Telecomunicaciones

2. EL SISTEMA DE DEFENSA IT

Recomendaciones

Experiencia de fracaso y éxito

Todo Sistema de Seguridad IT ha de contar con:

SEGURIDAD FÍSICA (Control de Acceso, Refrigeración, Sistema Antiincendios,

Prev. Humedades, Sistema de Alimentación Ininterrumpida, Redundancia, …)

SEGURIDAD HARDWARE (Contraseñas BIOS, Kensington, Firmware, …)

SEGURIDAD SOFTWARE (Backup, Actualizaciones, Permisos, Directivas de

grupo, Encriptado PGP,Certificados Digitales, Defensa Fugas de información, …)

SEGURIDAD DE RED ( WAN, LAN, WIFI, VPN, SSL, HTTPS, VLAN, Racks,

contraseñas, Redundancia, Firewalls, Control de Intrusos IDS, Monitorización,

Analizadores de red …)

Seguridad de la Información y las Telecomunicaciones

2. EL SISTEMA DE DEFENSA IT

Recomendaciones

Experiencia de fracaso y éxito

- Ayuda y Cooperación de/los Proveedor(es)

. Inv. y Análisis de Activos, Riesgos y Amenazas

. Configuración Reglas y puertos comunicac

. Gestión del Ancho de Banda

. Segmentación de la Red en VLANs

. Recolector de Eventos y Logs de dispositivos y Servidores

. Monitorización de la Red (WAN, LAN, Gestión, Sistemas, …)

. Plan Director de Seguridad (Manual y Procedimientos)

. Plan de Contingencia (Copias, Restauración, Redundancia, …)

. Antivirus Actualizado

. Sistemas Operativos Actualizados (WSUS) <<<<<<

. Gestión de la Continuidad de la Privacidad y de los Activos

. Concienciación a los usuarios

. Gestión de dispositivos móviles, proxy, encriptado

. Control de Seguridad Servicios CLOUD

. Auditorías de Seguridad, test de Intrusión

. Revisión de la Infraestructura

Seguridad de la Información y las Telecomunicaciones

Experiencia de fracaso y éxito

Seguridad de la Información y las Telecomunicaciones

Experiencia de fracaso y éxito

Seguridad de la Información y las Telecomunicaciones

Experiencia de fracaso y éxito

Seguridad de la Información y las Telecomunicaciones

3. NUEVOS RIESGOS ACTUALES

. HACKERS

. CIBERAMENAZAS (Malware, Botnet, Exploit, Phising, Ransomware)

. FRAUDES ONLINE

. SEGURIDAD EN DATA CENTER Y CLOUD

. PROTECCIÓN DE APPS para móviles

. INTERNET DE LAS COSAS

. BIG DATA

. SEGURIDAD EN REDES SOCIALES

. SEGURIDAD INDUSTRIAL E INFRAESTRUCTURAS CRÍTICAS

Seguridad de la Información y las Telecomunicaciones

3. NUEVOS RIESGOS ACTUALES

Seguridad de la Información y las Telecomunicaciones

3. NUEVOS RIESGOS ACTUALES

Seguridad de la Información y las Telecomunicaciones

3. NUEVOS RIESGOS ACTUALES

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

- CNCS (Consejo Nacional de Ciberseguridad)

- DSN (Departamento de Seguridad Nacional)

- CCN (Centro Criptológico Nacional)

- CNPIC (Centro Nacional de Protección de Infraestructuras Críticas)

- INCIBE (Instituto de Ciberseguridad de España)

- CERTSI (Equipo de respuesta ante ataques a la Seguridad e Industria)

- Otras ayudas y herramientas:

. REDIRIS y Metodología MAGERIT (Gestión del Riesgo)

. BUGTRAG (Detección de Vulnerabilidades)

. SECURITYFOCUS (Relación de Vulnerabilidades)

. SANDBOX (Entorno de pruebas de amenazas desconocidas)

. SOCMINT (Soluciones Colectivas Monitoreo de Redes Sociales)

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

Organismos Estatales y Herramientas

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

El Esquema Nacional de Seguridad (ENS)

En el ámbito de la Administración Electrónica:

Real Decreto 951/2015, Modificación del real Decreto 3/2010

Regula el Esquema Nacional de Seguridad

Para que los Ciudadanos CONFÍEN en los Servicios Públicos

disponibles por MEDIOS ELECTRÓNICOS.

Conjunto de Reglas y Principios que ASEGURAN:

el ACCESO, INTEGRIDAD, DISPONIBILIDAD, AUTENTICIDAD,

CONFIDENCIALIDAD, TRAZABILIDAD y CONSERVACIÓN de los

DATOS, INFORMACIONES y SERVICIOS que se gestionen en la

Administración Pública en General.

Seguridad de la Información y las Telecomunicaciones

4. LA UNIÓN HACE LA FUERZA

El Esquema Nacional de Seguridad (ENS)

Seguridad de la Información y las Telecomunicaciones

5. OPORTUNIDADES DE EMPLEO Y NEGOCIO

Fácil adaptación: Jugamos con Ventaja

Ampliando con Cursos Especializados y Certificaciones

Inscripción en Eventos de Seguridad (ENISE, CCN, …)

- Auditoría y Consultoría de Seguridad (ISO, ENS)

. Hacking Ético

. Análisis Informático Forense

. Seguridad de APPS móviles

. Seguridad de Redes Sociales

. Seguridad de CPD y entornos CLOUD

. Seguridad Virtualizada y de entornos Virtuales

. Seguridad de Infraestructuras críticas (Sistemas SCADA)

. Futuro nuevo Delegado de Tratamiento de Ficheros (RLOPD)

Seguridad de la Información y las Telecomunicaciones

No hay un Sistema Seguro, siempre hay algo que Mejorar

Seguridad de la Información y las Telecomunicaciones

MUCHAS GRACIAS

José Ignacio Sánchez (jisanchez@toledo.es)