Seguridad TIC en la PYME Semana sobre Seguridad Informática€¦ · Seguridad TIC en la PYME...

Seguridad TIC en la PYMESemana sobre Seguridad Informática

Iñigo Tomé Bermejo

Centro Demostrador de Seguridad para la PYME

Versión 0.e

2

1. La PYME y el reto de la seguridad

2. Nuevos modelos de negocio: Objetivo PYME

3. ¿Seguridad Informática o Seguridad de la Información?

4. Soluciones: ¿Cuál es la adecuada para mi empresa?

5. El mercado de la seguridad: hacía una taxonomía de

referencia

6. El catálogo de Soluciones y Proveedores de seguridad

TIC de INTECO

Índice de la Jornada – Parte 1

40’

3

1. Seguridad TIC. Un escenario real

2. Seguridad orientada al NEGOCIO

3. Problemáticas y soluciones: la lista de la compra


80’

1- La PYME y el reto de la seguridad

5

¿Por qué es necesaria?

Riesgos: Derivados del entorno y la tecnología

Buenas prácticas: Productividad, eficiencia, cumplimiento,

continuidad de negocio, etc.


6

Hay nuevas reglas y nuestro entorno cambia

LEGAL Normativa y cumplimiento

DE NEGOCIO Gestión, Productividad, Continuidad, (…)

AMENAZAS TI Ingeniería social, malware, robo de información, (…)


7

Una mirada a la EMPRESA en España

Es un mercado enorme, pero complejo, y también necesita seguridad

El 78,9% son PYME de 3 o menos trabajadores

2.8 millones de PYMES, la mitad autónomos

En seguridad, PYMES = Ciudadano

Pocos recursos económicos, de tiempo, de personal

“Poca concienciación”Falta de soluciones adaptadas a la PYME


2 - Nuevos modelos de negocio: objetivo PYME

9

Debe dedicar personal

Debe dedicar tiempo

Debe de invertir en equipamiento

PYME y seguridad, ¿un hueso duro de roer?

La respuesta será, NO


10

¿Qué debemos ofrecer a la PYME?

PYMELos modelos tradicionales no sirven en la PYME, debemos orientarnos a servicio y hacía la externalización de dichos servicios.

Servicios + productos Externalización Con enfoque PYME


3 - Seguridad Informática o Seguridad de la Información

12

Dos conceptos distintos

3- Seguridad informática o…()

Seguridad Informática Protección de las infraestructuras TIC que soportan nuestro negocio

Seguridad de la InformaciónRelativa a la protección de los activos de información de cualquier amenaza

La Seguridad Informática es parte de la Seguridad de la Información

13

Debemos de tener una visión más amplia

Recuperación, continuidad, supervivencia

Valor añadido para el cliente, imagen y marca

Gestión, organización, productividad, procedimientos,

eficacia, etc.

3- Seguridad informática o…()

4- Soluciones de seguridad, ¿Cuál es la adecuada para mí empresa?

15

El problema de saber elegir…

Seguridad gestionada

Malware

4 - Soluciones de seguridad: elegir

LOPD

Robo de información

Anti-Spam

Filtro de contenidos

UTM’s

Cifrado de información

Tecnologías ILM

Firewalls

Control de acceso

IDS e IPS

La PYME necesita una guía

16

¿En que contexto se encuentra mi negocio?

La motivación económica implica que TODOS somos OBJETIVO

Todos tenemos algo valioso

Existen cientos de herramientas

Mucha información y fácil de localizar

Se puede causar mucho daño con poco esfuerzo

El enemigo está dentro

No hace falta poseer conocimientos


17

Hoja de ruta

Iniciativa de empresa

Informarse y asesorarse

Consultoría externa

DEBEMOS DE CONTAR CON PROFESIONALES DEL SECTOR


Análisis del problema

18

¿Por qué es importante la SEGURIDAD de la INFORMACIÓN para mi empresa?

¿Qué debo hacer para alcanzar un NIVEL ADECUADO de seguridad TIC en mi empresa?

Cuestiones fundamentales


5 - El mercado de la seguridad: hacía una taxonomía de referencia

20

Es necesario poner orden

Es complejo decidir que solución es adecuada para un problema

Se buscan tanto productos, como servicios o soluciones completas

Se quiere encontrar un proveedor geográficamente cercano

5 - Hacía una taxonomía de referencia

No existe una clasificación de productos aceptada por todos los actores del mercado

Es difícil comparar productos y servicios, las características varían enormemente

EL GRAN PERJUDICADO ES EL USUARIO Y LA EMPRESA QUE DEMANDA SOLUCIONES

21

Taxonomía de productos y servicios

Productos

o Anti-phishing

o Control de acceso a la red corporativa

o Encriptación de mensajería

o Filtro de contenidos web

o Firewall personal

o Gestión unificada de amenazas (UTM)

o Auditoría forense

o Sistemas de detección de intrusión

o Gestión de parches y vulnerabilidades

o Gestión de políticas

o Certificación digital

o ….


Servicios

o Certificación y acreditación

o Cumplimiento con la legislación

o Servicios de detección de intrusiones

o Formación

o Gestión de incidentes

o Politicas de seguridad

o Pruebas (auditoría técnica)

o Seguridad gestionada

o Gestión de riesgos

o Formación

o ….

El objetivo es contar con una clasificación de referencia, útil y aceptada por todos

22

Con características definidas y comunes

Anti-phishing – Empresa 1

o Formato del dispositivo

o Producto Software

o Licencia

o Soporte

o Opciones de configuración

o Amenazas a las que se opone

o….


Anti-phishing – Empresa 2

o Formato del dispositivo

o Producto Software

o Licencia

o Soporte

o Opciones de configuración

o Amenazas a las que se opone

o ….

o Otras propias del fabricante

El usuario puede “comparar” y elegir de una forma más racional

23

¿Qué necesito realmente?

¿Necesito un servidor?

Disponer de un conjunto de criterios de guía


¿Que formato de dispositivo?

¿Cuántos usuarios?

¿Externalizado?

¿es una inversión adecuada?

6 – El Catalogo de Soluciones y Proveedores de Seguridad TIC de INTECO

25

Fin de la primera parte

continuará…

26

1. Seguridad TIC. Un escenario real

2. Seguridad orientada al NEGOCIO

3. Problemáticas y soluciones: la lista de la compra


80’

1 - Seguridad TIC: un escenario real

28

La empresa de Juan López, Sorento S.A.


Juan López, es el gerente de una gestoría, Sorento S.A., una empresa joven, fundada en el año 2004, con sede central en León, y con dos oficinas situadas en otras dos localidades de la provincia.

La oficina de León, cuenta con 4 empleados, 1 contable y 3 gestores, además de Juan como Gerente. Además, hay un comercial, que casi nunca está en la oficina.

En las otras dos oficinas, hay un total de 4 empleados, dos en la sede de Ponferrada, y otras dos en la sede de Salamanca.

Con un total de 1200 pequeños clientes, Sorento S.A. sigue creciendo, y tienen previsto abrir mas oficinas en los próximos meses, ampliando a su vez la plantilla de las ya existentes.

Sorento S.A. provee a sus clientes de diversos servicios, y en los últimos meses, Juan López está llevando a cabo una importante inversión para potenciar sus servicios a través de INTERNET, agilizando los tramites con sus clientes, y potenciando su imagen en la red.

29

La empresa de Juan López, Sorento S.A.


Desde el momento de su creación, Sorento S.A. ha sido una empresa que ha apostado por la innovación, y las tecnologías de la información, pero como toda empresa que comienza, primero tiene que poder trabajar, y luego “hacer las cosas bien” en la medida de sus posibilidades.

Cuando comenzó, no disponían de página web, y no ofrecían servicios on-line, pero esto ha cambiado, y el pasado año, decidieron dar el salto a INTERNET.

NORA S.A es su proveedor de servicios de INTERNET, tanto de alojamiento, soporte y desarrollo del portal web de Sorento S.A.

Por otro lado, disponen de un servidor de ficheros y de aplicaciones de gestión, en la oficina principal de León, desde el cual se gestionan todas los procesos y tramitacionesde sus clientes.

Las otras dos oficinas, trabajan con el mismo software de gestión, pero en “local” y cada semana envían los datos a través de INTERNET, a la sede de León.

30

Aplicar seguridad: un enfoque adecuado

No se trata de poner más seguridad, hay que hacerlo con calidad y donde hace falta

Seguridad orientada a mi negocio y mis procesos

¿Sabemos cual es el objetivo?


¿Donde están nuestros puntos críticos?, ¿Qué es fundamental para mí negocio?

¿Quienes son nuestros proveedores?, ¿Conocemos los contratos de servicio?

Poner seguridad sin más no sirve

2 - Seguridad orientada al NEGOCIO

32

¿Cuál es mi oficio?


Para particulares

o Registro de la propiedad

o Vivienda

o Tráfico

o Seguridad Social

o Impuestos

o Patentes

o ….

Para empresa

o Registro mercantil

o Registro de la propiedad

o Escrituras

o Tráfico

o Patentes, marcas

o Otros trámites a medida

o ….

Tramitación de todo tipo, por canales ordinarios o electrónicos, tanto con administración, como con otras empresas.

Rapidez, plazos ajustados, mis clientes necesitan un servicio de calidad.

Gran cantidad de documentos, y datos “de importancia” de las empresas clientes, es necesario transmitir confianza y seguridad

33

La empresa de Juan, Sorento S.A.

El esquema general y básico de Sorento S.A podría ser el siguiente:

Oficina CentralLeón

1 Gerente1 Contable3 Gestores1 Comercial

4 Ordenadores1 Servidor2 portátiles

2 Smartphone1 Impresora

1 Destructora de papelConexión a INTERNET

….

OficinaPonferrada

2 Gestores2 ordenadores1 Impresora

Conexión a INTERNET….

OficinaSalamanca

2 Gestores2 ordenadores1 Impresora

Conexión a INTERNET….

Proveedor de servicios de Internet NORA S.A

Servidor de aplicacionesCuentas de correo electrónico

….

Proveedor de soporte técnico informático

Averías e incidenciasRecambios y fungibles

….

Otros proveedoresElectricidad

Aire acondicionadoAlmacén

….


34

Organización de T.I en la empresa Sorento S.A.


3 - La lista de la compra

36

Soluciones TIC y otras medidas

Copias de seguridad

Tecnología VPN

Cifrado de datos almacenados

3 - La lista de la compra

Cifrado de datos en tránsito

Protección contra malware

Fuga de información

SLA’s y contratos

Cumplimiento y Normativa

Completar…

Recuperación y contingencias

37

Fin de la presentación

¿Preguntas?

38

Fin de la presentación

Muchas gracias

www.inteco.es

Seguridad TIC en la PYME Semana sobre Seguridad Informática€¦ · Seguridad TIC en la PYME...

Documents

Transcript of Seguridad TIC en la PYME Semana sobre Seguridad Informática€¦ · Seguridad TIC en la PYME...