SlideShare une entreprise Scribd logo

Jornada ciberseguretat base CiberTECCH cat

Jordi Garcia Castillon
Jordi Garcia Castillon

Desenvolupament de la jornada formativa bàsica en Ciberseguretat per a empreses dels territoris i entorns de parla catalana.

Technologie
1  sur  29
CIBERSEGURETAT BÀSICA DIRIGIDA A EMPRESES Jornades #CatTECCH Per JORDI GARCIA I CASTILLÓN Tècnic en Ciberseguretat i Compliance legal
Qui sóc? • Tècnic en Ciberseguretat i Compliance legal. Especialització en ciberintel·ligència d’alertes i de xarxes • Professional amb 10 anys d’experiència (2005-2015) duent empreses, especialment les de base tecnològica, catalanes i d’altres territoris als EEUU. Amb relacions amb la UCF i altres organismes • Ara centrat a oferir serveis i soluciones tècniques i legals en matèria de Ciberseguretat a les empreses catalanes de tota mena, i molt especialment a tot el teixit empresarial de la zona del Baix Camp i entorns relacionats
Què veurem avui? • Introducció als aspectes essencials relacionats amb la Ciberseguretat • Les persones com a factor clau del risc i no els atacs mediàtics • El valor d’estar sempre actualitzat, i ben informat • Amenaces generals principals i mesures destacades per mitigar-les • Les amenaces més enllà del PC i mòbils. Quan tot és una amenaça • Amenaces que transcendeixen el cablejat i el WiFi. L’espectre RF • Qüestions legals i lleis relacionades amb la Ciberseseguretat • Cloenda. L’empresa és motor de l’adaptació digital, també la ciutadania • Torn obert de preguntes relacionades amb aquesta jornada
Introducció als aspectes essencials relacionats amb la Ciberseguretat
Què és estar cibersegur? La Ciberseguretat té moltes definicions i moltes diferents imbricacions i interrelacions però a mi m’agrada entendre el fet “d’estar cibersegur” com un camí permanent a seguir més que com un objectiu inassolible a assolir, i m’agrada entendre la Ciberseguretat i el fet d’apropar-se al màxim possible a “estar cibersegur” com la persecució constant de tres finalitats bàsiques, els pilars CIA (per les seves sigles en anglès) del SGSI (Sistema General de la Seguretat de la Informació i tot el concernent, entre altres, a la ISO 27001) : • Confidencialitat • Integritat • Disponibilitat Qui pensi que els pilars CIA apliquen només a la seguretat de la informació clàssica va ben errat. Aquests pilars apliquen (i multiplicats per molt) a tot el que aplica i aplicarà a tots els entorns i dispositius connectats!
Què engloba la Ciberseguretat? Quan parlem de Ciberseguretat estem parlant de molt més que de la mera amenaça d’un “virus” que pot espatllar el nostre ordinador. Quan parlem de Ciberseguretat parlem d’un aspecte que transcendeix als mateixos dispositius i que, de no gestionar la mateixa adequadament, pot tindre greus implicacions. Entre elles destaquen: • Implicacions greus per a la nostra privacitat • Riscos importants per a la nostra seguretat i la del nostre entorn • Greus danys i pèrdues patrimonials • En els casos més extrems fins i tot es pot ficar en risc la mateixa vida de les persones Com veurem més endavant no es tracta només de protegir un ordinador, però al cap i a la fi sempre es tracta de protegir molt més que uns dispositius. En realitat del que es tracta és de protegir la nostra vida, la nostra empresa, el nostre patrimoni, les persones que estimem, etc.
Les persones com a factor clau del risc i no els atacs mediàtics
És més risc vostè que no un “hacker” Encara que l’encapçalament d’aquesta diapositiva pugui semblar xocant i fins i tot provocatiu el cert es que, encara que sembli el contrari, les dades demostren que les persones son les principals fonts de risc : • Més d’un 80% dels atacs que tenen èxit són deguts a “errors humans” més que a sofisticats sistemes d’atac que s’hagin emprat • Encara que sembli mentida més d’un 3% de persones cauen en els eMails de “Phishing” L’anterior ens demostra que ningú està lliure de caure en el parany. I resulta molt perillós pensar-se que només persones sense coneixements poden caure en les trampes. A vegades fins i tot les persones més preparades també cauen. No es tracta de tindre por, ni tampoc vergonya de reconèixer que tots som vulnerables. La psicologia, la confiança, la comoditat, etc., entren en joc i els “dolents” ho saben i ho exploten mitjançant enginyeria social i moltes altres tècniques (molts cops molt més fàcils i simples del que sembla).
El risc dels treballadors, i dels proveïdors i clients Com ja s’ha vist, per a l’empresa, les persones suposen el principal factor de risc en els assumptes relacionats amb la Ciberseguretat. Dins d’aquesta màxima s’hauria de diferenciar entre 2 grans grups: • Riscos per atacs provocats intencionadament (treballadors enfadats, persones amb interessos criminals, etc.) • Riscos per atacs producte d’errades involuntàries (passwords anotats indegudament, dispositius deixats sense protegir, etc.). Afortunadament, però també perillosament, aquests casos són la majoria I dit l’anterior cabria afegir una doble màxima molt important: • El risc no ve sempre de nosaltres o dels nostres treballadors, també pot provindré de qualsevol persona que entri a la nostra empresa (clients, visitants, etc.) • A vegades el risc escapa de la nostra “jurisdicció”. Podem ser víctimes d’un atac per un atac que no s’hagi dirigit a nosaltres. Podem ser víctimes, per exemple, a través d’un proveïdor nostre. Per això cal seleccionar adequadament els nostres proveïdors a més de prendre sempre mesures preventives, ja que fins i tot els proveïdors més coneguts poder ser víctimes d’un atac que ens fiqui en risc
El valor d’estar sempre actualitzat i ben informat
Quan la mandra ens pot fer perdre molt… Les actualitzacions dels nostres dispositius (i de tot el nostre entorn digital) són habitualment un fet que no ens agrada gens. Molts cops no ens resulten còmodes, a vegades (poques) no són intuïtives, ens poden “tallar” en el pitjor moment de la nostra activitat o, fins i tot, les podem considerar prescindibles, però resulten una eina essencial per a la nostra seguretat. • Les actualitzacions no són un caprici del fabricant, són la millor manera de tindre un dispositiu d’entrada segur contra vulnerabilitats. Cada dia es descobreixen una gran quantitat de vulnerabilitats i cada actualització de qualsevol element de software o hardware ve a solucionar les vulnerabilitats conegudes fins aquell moment • Un aplicatiu vulnerable o un dispositiu no actualitzat pot ficar en risc tot el nostre ecosistema digital Que la mandra i una perillosa deixadesa no ens posi en risc. I recordi, la majoria de sistemes moderns o faran gairebé tot per vostè, les actualitzacions automàtiques serveixen per a alguna cosa. Ara bé, no es deslligui de la seva responsabilitat i segueixi i comprovi per vostè mateix que tot està correctament actualitzat.
Quan la informació és poder i seguretat… Disposar de la informació adient és indispensable per a estar segur, però en un món on els rius d’informació són norma el perill de la desinformació és un risc ben real: • Cada cop disposem de més dispositius connectats a la xarxa. Cada un d’aquests elements té les seves característiques i riscos particulars. A escala domèstica controlar “el dia a dia” dels dispositius i les novetats d’aquests, així com les seves vulnerabilitats, pot ser relativament fàcil, en canvi per als entorns empresarials pot ser molt difícil de gestionar individualment. • El problema actual no és tindré accés a la informació. Tot es troba i tot resulta accessible, el problema es troba en saber interpretar i seleccionar aquesta informació per prendre les decisions encertades • Cada empresa és un món i tractar tots els ecosistemes sota un sistema de monitoratge i de gestió no personalitzat un error. S’ha d’aprofitar el millor del conjunt, però s’han de tractar les especificitats
Amenaces generals principals i mesures destacades per mitigar-les
Amenaces principals Sense ànim de fer un enllistat exhaustiu aquestes són les principals fonts d’amenaces a tindre en compte: • Introducció de “malware” (en les seves diverses formes i accepcions) que permeti a l’atacant prendre el control de “la vida digital” de la persona física o empresa víctima • Intercepció de les comunicacions (amb finalitats d’espionatge, criminals per entrar a robar, etc., etc., etc.) o alteració de l’espai radioelèctric de la víctima objectiu L’anterior és un còctel perfecte per a: EXTORSIÓ – ROBATORIS – PARALITZACIÓ DEL NEGOCI – ETC Reiterar un cop més que la majoria de vegades el desplegament de les amenaces anteriors té com a vector facilitador la deixadesa o les errades involuntàries de les víctimes, del seu entorn o directament la mala fe de les persones de l’entorn de la víctima.
Mesures contra les amenaces Un cop més sense ànim de fer un enllistat exhaustiu aquestes són les principals mesures contra les amenaces (entenent que el sentit comú és la primera de les mesures a tindre ben presents): • Mantindré tot actualitzat, paraules de pas segures i les recomanacions bàsiques gravades a foc • Control de l’espai radioelèctric de l’empresa com un “actiu” més de la mateixa. Monitoratge constant. Actualment el “cable” queda en segon terme, les tecnologies sense fils ho impregnen tot i tot forma part del mateix esquema. Entre elles les RFID, WiFi, Bluetooth, 3G-4G-5G i les seves variants, LPWAN (Low Power Wide Area Network), etc. • Navegació segura i utilització de mecanismes de privacitat (VPN’s, TOR, etc.) • Seguretat per capes i seguretat integral de tots els dispositius i de tot l’entorn (punts d’accés, voltants de l’empresa en la mesura del possible, etc.)
Les amenaces més enllà del PC i mòbils. Quan tot és una amenaça
PC, smartphones, eMails,... Coses del passat! Les tecnologies avancen a una velocitat i profunditat com no ho havien fet mai abans al llarg de tota la història de la humanitat, això comporta grans avenços però també nous reptes i canvis constants als quals ens hem d’acostumar, adaptar i saber utilitzar-los i viure d’una forma segura (en la mesura del possible). Tres premisses clau: 1- Potser la privacitat ja no existeix tal com la coneixíem, però la intimitat (i la seguretat) s’ha de preservar 2- Adaptació digital no és adaptar-se tan sols al que tenim sinó al que ve (IoT, IA, etc.) 3- La seguretat és un element viu i dinàmic que s’ha d’adaptar constantment i que ja no pertany només a la “seguretat informàtica”, la Ciberseguretat ja és una realitat de seguretat transversal Avui en dia molt del que era vàlid fa només 5 anys actualment ja no serveix. I tot el que serveix ens ajuda i és una potencial amenaça. Noves tecnologies apareixen, evolucionen i es desenvolupen cada dia. Nous dispositius, noves xarxes, tot canvia menys una cosa: la necessitat d’estar segurs.
Amenaces que transcendeixen el cablejat i el WiFi. L’espectre RF
Les connexions i comunicacions sense fils són la clau Fins aquí s’ha parlat de “malware”, de correus electrònics i de moltes coses més, i evidentment que tot això és important i que d’una manera o altra interactua amb els sistemes de connexió o comunicacions sense fils, però el primer que s’ha de tindre present és el següent: • Si, com dèiem, només entenem la Ciberseguretat com a instal·lar un antivirus o no obrir un correu electrònic sospitós de poc ens protegirem. Això és necessari, però mai suficient • Fins ara el món s’ha centrat molt en la seguretat dels dispositius i seguirà així, però l’amenaça ja no és només directament als dispositius i ni tan sols a les xarxes cablejades. Les amenaces i la seguretat s’ha de bolcar en les xarxes sense fils en general i en l’espai radioelèctric intern en particular
Un nou món amb noves necessitats i noves solucions El món actual, com s’ha vist, ja transcendeix a un ordinador connectat, a unes impressores o a uns telèfons. Avui tot està connectat i cada cop estarà tot més connectat a la xarxa i entre dispositius mateixos. Milions de dispositius s’incorporen diàriament al “món connectat” i tots ells sempre han de plantejar-se des del següent doble repte: 1- Han de ser segurs, i oferir seguretat, des de la seva fase conceptual 2- Les xarxes que els comuniquen han de ser també segures i oferir seguretat
Controlar l’espectre i l’espai Mantenir l’espectre electromagnètic en general i l’espai radioelèctric en particular sota control Amb el “Jamming” es pot inutilitzar el funcionament d’una empresa, però també obrir totes les portes o desactivar les alarmes. I molt més!
Noves solucions per a resoldre velles necessitats Implementar noves solucions que resolguin vells (i nous) reptes és essencial: La seguretat de tot l’entorn RF de l’empresa esdevé important, però el tractament dels dispositius que operen en bandes ISM (Industrial, Scientific, Medical) (433 MHz, 868 MHz, etc.) resulta clau.
La millor resposta a les interferències és... La millor resposta contra les interferències seria viure en un entorn ideal sense interferències o mitjançant la utilització de sistemes que no resulten legals a la nostra jurisdicció, per tant l’única mesura viable legalment és disposar del dispositiu adequat i de la xarxa adequada amb els paràmetres ideals següents: 1- Ús reduït de l’amplada de banda 2- Alta densitat espectral (emissió tipus làser) 3- Localització espectral intel·ligent (recepció de la comunicació cercant l’energia) 4- Comunicació multiantena (recepció dels “paquets” de dades per diferents vies) 5- Freqüències no uniformes (capacitat de treball en diferents bandes aleatòries) Qui digui el contrari menteix, NO hi ha (per al comú dels mortals) solució TOTAL contra el “Jamming”, però sí que es pot reduir molt la seva existència i mitigar el seu impacte.
Qüestions legals i lleis relacionades amb la Ciberseseguretat
La ciberseguretat i les lleis, el món virtual és real Sembla existir la falsa creença del fet que les lleis “a Internet” van per un costat i les lleis “a la vida real” van per un altre, i això no és cert. Cert és que les tecnologies (no m’agrada dir “noves”) han fet aparèixer nous tipus delictius i noves realitats socials i, per tant, legals a diferents àmbits i amb diferents implicacions. Però cert resulta també que en la majoria dels casos estem parlant senzillament de delictes o de conflictes i relacions de tota mena d’ordre que ja existien. En tot cas només ha canviat la forma de cometre molts delictes, o de fer coses, però no el fons. Una cosa és ben certa, els canvis socials sempre van per davant dels canvis legals, de la mateixa manera que els delinqüents sempre van per davant de qui els persegueix. Una cosa fa evolucionar l’altre i això és així històricament.
La Ciberseguretat i les lleis, realitats concretes No és objectiu d’aquesta jornada fer un esment exhaustiu de les lleis ni oferir assessorament específic sobre cap assumpte concret, però cert resulta que encara que les lleis del “món real” i del “món connectat” siguin, en essència, les mateixes, existeixen algun tipus d’assumptes, de conflictes i de fets delictius que s’han vist alterats, i molt, amb l’eclosió, desenvolupament i consolidació del “món digital”. Entre ells i especialment rellevant per a l’àmbit que aquí ens ocupa: 1- Tot el que té a veure amb la propietat intel·lectual i la propietat industrial 2- Protecció de dades (assumpte important però, a parer meu, sobredimensionat mediàticament) 3- Intercepció de les comunicacions 4- Danys informàtics I, per descomptat, tot el que té relació amb amenaces, usurpació d’identitat, estafes, delictes sexuals de diferent caire, etc., etc., etc.
Cloenda
La Ciberseguretat és cosa de les empreses, però també de les administracions públiques, de les entitats, dels professionals i de la ciutadania en general. La Ciberseguretat és cosa de tots.
TORN OBERT DE PREGUNTES - GRÀCIES ! INFO@JORDIGARCIA.EU Tel. (+34) 636714253

Recommandé

Seguretat
SeguretatSeguretat
SeguretatFèlix Sacristan Solano
 
Seguretat
SeguretatSeguretat
SeguretatVicente Fernández
 
QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016Festibity
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...CSUC - Consorci de Serveis Universitaris de Catalunya
 
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxaXerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxatamorques
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Biskategat
 

Recommandé

Seguretat
SeguretatSeguretat
SeguretatFèlix Sacristan Solano
 
Seguretat
SeguretatSeguretat
SeguretatVicente Fernández
 
QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016Festibity
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...CSUC - Consorci de Serveis Universitaris de Catalunya
 
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxaXerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxatamorques
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Biskategat
 
guia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfguia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfPatrciaAdan
 
Presetació final
Presetació finalPresetació final
Presetació finaljuditsimonsantjust
 
Presentació PowerPoint Seguretat Informàtica
Presentació PowerPoint Seguretat InformàticaPresentació PowerPoint Seguretat Informàtica
Presentació PowerPoint Seguretat Informàticaalbertruiz19
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
Seguretat
SeguretatSeguretat
SeguretatCati Oliver
 
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13Roger Casero Gumbau
 
Powerpont Informàtica
Powerpont InformàticaPowerpont Informàtica
Powerpont Informàticajordibes_99
 
Presentacio informatica
Presentacio informaticaPresentacio informatica
Presentacio informaticamartimm
 
Presentacio informatica
Presentacio informaticaPresentacio informatica
Presentacio informaticajoanaclemares15
 
Software y seguretat informàtica
Software y seguretat informàticaSoftware y seguretat informàtica
Software y seguretat informàticablanqui23
 
Seguretat: com puc millorar la seguretat del meu ordinador?
Seguretat: com puc millorar la seguretat del meu ordinador?Seguretat: com puc millorar la seguretat del meu ordinador?
Seguretat: com puc millorar la seguretat del meu ordinador?La Borrassa rural lab
 
Presentació Informàtica: VIRUS
Presentació Informàtica: VIRUSPresentació Informàtica: VIRUS
Presentació Informàtica: VIRUSadrianaromeroaloma
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
Els perills d'internet
Els perills d'internetEls perills d'internet
Els perills d'internetmartaudina24
 
Els perills d'internet
Els perills d'internetEls perills d'internet
Els perills d'internetmartaudina24
 
Seguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaSeguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaXarxa Punt TIC
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
Presentacio
PresentacioPresentacio
Presentaciomarc7161
 

Contenu connexe

Similaire à Jornada ciberseguretat base CiberTECCH cat

guia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfguia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfPatrciaAdan
 
Presentació PowerPoint Seguretat Informàtica
Presentació PowerPoint Seguretat InformàticaPresentació PowerPoint Seguretat Informàtica
Presentació PowerPoint Seguretat Informàticaalbertruiz19
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13Roger Casero Gumbau
 
Powerpont Informàtica
Powerpont InformàticaPowerpont Informàtica
Powerpont Informàticajordibes_99
 
Presentacio informatica
Presentacio informaticaPresentacio informatica
Presentacio informaticamartimm
 
Software y seguretat informàtica
Software y seguretat informàticaSoftware y seguretat informàtica
Software y seguretat informàticablanqui23
 
Seguretat: com puc millorar la seguretat del meu ordinador?
Seguretat: com puc millorar la seguretat del meu ordinador?Seguretat: com puc millorar la seguretat del meu ordinador?
Seguretat: com puc millorar la seguretat del meu ordinador?La Borrassa rural lab
 
Presentació Informàtica: VIRUS
Presentació Informàtica: VIRUSPresentació Informàtica: VIRUS
Presentació Informàtica: VIRUSadrianaromeroaloma
 
Els perills d'internet
Els perills d'internetEls perills d'internet
Els perills d'internetmartaudina24
 
Els perills d'internet
Els perills d'internetEls perills d'internet
Els perills d'internetmartaudina24
 
Seguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaSeguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaXarxa Punt TIC
 
Presentacio
PresentacioPresentacio
Presentaciomarc7161
 

Similaire à Jornada ciberseguretat base CiberTECCH cat (20)

guia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfguia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdf
 
Presetació final
Presetació finalPresetació final
Presetació final
 
Presentació PowerPoint Seguretat Informàtica
Presentació PowerPoint Seguretat InformàticaPresentació PowerPoint Seguretat Informàtica
Presentació PowerPoint Seguretat Informàtica
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digital
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digital
 
Seguretat
SeguretatSeguretat
Seguretat
 
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
Sarrià de Ter en Xarxa. Càpsula 16. 5jul13
 
Powerpont Informàtica
Powerpont InformàticaPowerpont Informàtica
Powerpont Informàtica
 
Presentacio informatica
Presentacio informaticaPresentacio informatica
Presentacio informatica
 
Presentacio informatica
Presentacio informaticaPresentacio informatica
Presentacio informatica
 
Software y seguretat informàtica
Software y seguretat informàticaSoftware y seguretat informàtica
Software y seguretat informàtica
 
Seguretat: com puc millorar la seguretat del meu ordinador?
Seguretat: com puc millorar la seguretat del meu ordinador?Seguretat: com puc millorar la seguretat del meu ordinador?
Seguretat: com puc millorar la seguretat del meu ordinador?
 
Presentació Informàtica: VIRUS
Presentació Informàtica: VIRUSPresentació Informàtica: VIRUS
Presentació Informàtica: VIRUS
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
Els perills d'internet
Els perills d'internetEls perills d'internet
Els perills d'internet
 
Els perills d'internet
Els perills d'internetEls perills d'internet
Els perills d'internet
 
Seguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaSeguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadania
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
Presentacio
PresentacioPresentacio
Presentacio
 

Jornada ciberseguretat base CiberTECCH cat

  • 1. CIBERSEGURETAT BÀSICA DIRIGIDA A EMPRESES Jornades #CatTECCH Per JORDI GARCIA I CASTILLÓN Tècnic en Ciberseguretat i Compliance legal
  • 2. Qui sóc? • Tècnic en Ciberseguretat i Compliance legal. Especialització en ciberintel·ligència d’alertes i de xarxes • Professional amb 10 anys d’experiència (2005-2015) duent empreses, especialment les de base tecnològica, catalanes i d’altres territoris als EEUU. Amb relacions amb la UCF i altres organismes • Ara centrat a oferir serveis i soluciones tècniques i legals en matèria de Ciberseguretat a les empreses catalanes de tota mena, i molt especialment a tot el teixit empresarial de la zona del Baix Camp i entorns relacionats
  • 3. Què veurem avui? • Introducció als aspectes essencials relacionats amb la Ciberseguretat • Les persones com a factor clau del risc i no els atacs mediàtics • El valor d’estar sempre actualitzat, i ben informat • Amenaces generals principals i mesures destacades per mitigar-les • Les amenaces més enllà del PC i mòbils. Quan tot és una amenaça • Amenaces que transcendeixen el cablejat i el WiFi. L’espectre RF • Qüestions legals i lleis relacionades amb la Ciberseseguretat • Cloenda. L’empresa és motor de l’adaptació digital, també la ciutadania • Torn obert de preguntes relacionades amb aquesta jornada
  • 4. Introducció als aspectes essencials relacionats amb la Ciberseguretat
  • 5. Què és estar cibersegur? La Ciberseguretat té moltes definicions i moltes diferents imbricacions i interrelacions però a mi m’agrada entendre el fet “d’estar cibersegur” com un camí permanent a seguir més que com un objectiu inassolible a assolir, i m’agrada entendre la Ciberseguretat i el fet d’apropar-se al màxim possible a “estar cibersegur” com la persecució constant de tres finalitats bàsiques, els pilars CIA (per les seves sigles en anglès) del SGSI (Sistema General de la Seguretat de la Informació i tot el concernent, entre altres, a la ISO 27001) : • Confidencialitat • Integritat • Disponibilitat Qui pensi que els pilars CIA apliquen només a la seguretat de la informació clàssica va ben errat. Aquests pilars apliquen (i multiplicats per molt) a tot el que aplica i aplicarà a tots els entorns i dispositius connectats!
  • 6. Què engloba la Ciberseguretat? Quan parlem de Ciberseguretat estem parlant de molt més que de la mera amenaça d’un “virus” que pot espatllar el nostre ordinador. Quan parlem de Ciberseguretat parlem d’un aspecte que transcendeix als mateixos dispositius i que, de no gestionar la mateixa adequadament, pot tindre greus implicacions. Entre elles destaquen: • Implicacions greus per a la nostra privacitat • Riscos importants per a la nostra seguretat i la del nostre entorn • Greus danys i pèrdues patrimonials • En els casos més extrems fins i tot es pot ficar en risc la mateixa vida de les persones Com veurem més endavant no es tracta només de protegir un ordinador, però al cap i a la fi sempre es tracta de protegir molt més que uns dispositius. En realitat del que es tracta és de protegir la nostra vida, la nostra empresa, el nostre patrimoni, les persones que estimem, etc.
  • 7. Les persones com a factor clau del risc i no els atacs mediàtics
  • 8. És més risc vostè que no un “hacker” Encara que l’encapçalament d’aquesta diapositiva pugui semblar xocant i fins i tot provocatiu el cert es que, encara que sembli el contrari, les dades demostren que les persones son les principals fonts de risc : • Més d’un 80% dels atacs que tenen èxit són deguts a “errors humans” més que a sofisticats sistemes d’atac que s’hagin emprat • Encara que sembli mentida més d’un 3% de persones cauen en els eMails de “Phishing” L’anterior ens demostra que ningú està lliure de caure en el parany. I resulta molt perillós pensar-se que només persones sense coneixements poden caure en les trampes. A vegades fins i tot les persones més preparades també cauen. No es tracta de tindre por, ni tampoc vergonya de reconèixer que tots som vulnerables. La psicologia, la confiança, la comoditat, etc., entren en joc i els “dolents” ho saben i ho exploten mitjançant enginyeria social i moltes altres tècniques (molts cops molt més fàcils i simples del que sembla).
  • 9. El risc dels treballadors, i dels proveïdors i clients Com ja s’ha vist, per a l’empresa, les persones suposen el principal factor de risc en els assumptes relacionats amb la Ciberseguretat. Dins d’aquesta màxima s’hauria de diferenciar entre 2 grans grups: • Riscos per atacs provocats intencionadament (treballadors enfadats, persones amb interessos criminals, etc.) • Riscos per atacs producte d’errades involuntàries (passwords anotats indegudament, dispositius deixats sense protegir, etc.). Afortunadament, però també perillosament, aquests casos són la majoria I dit l’anterior cabria afegir una doble màxima molt important: • El risc no ve sempre de nosaltres o dels nostres treballadors, també pot provindré de qualsevol persona que entri a la nostra empresa (clients, visitants, etc.) • A vegades el risc escapa de la nostra “jurisdicció”. Podem ser víctimes d’un atac per un atac que no s’hagi dirigit a nosaltres. Podem ser víctimes, per exemple, a través d’un proveïdor nostre. Per això cal seleccionar adequadament els nostres proveïdors a més de prendre sempre mesures preventives, ja que fins i tot els proveïdors més coneguts poder ser víctimes d’un atac que ens fiqui en risc
  • 10. El valor d’estar sempre actualitzat i ben informat
  • 11. Quan la mandra ens pot fer perdre molt… Les actualitzacions dels nostres dispositius (i de tot el nostre entorn digital) són habitualment un fet que no ens agrada gens. Molts cops no ens resulten còmodes, a vegades (poques) no són intuïtives, ens poden “tallar” en el pitjor moment de la nostra activitat o, fins i tot, les podem considerar prescindibles, però resulten una eina essencial per a la nostra seguretat. • Les actualitzacions no són un caprici del fabricant, són la millor manera de tindre un dispositiu d’entrada segur contra vulnerabilitats. Cada dia es descobreixen una gran quantitat de vulnerabilitats i cada actualització de qualsevol element de software o hardware ve a solucionar les vulnerabilitats conegudes fins aquell moment • Un aplicatiu vulnerable o un dispositiu no actualitzat pot ficar en risc tot el nostre ecosistema digital Que la mandra i una perillosa deixadesa no ens posi en risc. I recordi, la majoria de sistemes moderns o faran gairebé tot per vostè, les actualitzacions automàtiques serveixen per a alguna cosa. Ara bé, no es deslligui de la seva responsabilitat i segueixi i comprovi per vostè mateix que tot està correctament actualitzat.
  • 12. Quan la informació és poder i seguretat… Disposar de la informació adient és indispensable per a estar segur, però en un món on els rius d’informació són norma el perill de la desinformació és un risc ben real: • Cada cop disposem de més dispositius connectats a la xarxa. Cada un d’aquests elements té les seves característiques i riscos particulars. A escala domèstica controlar “el dia a dia” dels dispositius i les novetats d’aquests, així com les seves vulnerabilitats, pot ser relativament fàcil, en canvi per als entorns empresarials pot ser molt difícil de gestionar individualment. • El problema actual no és tindré accés a la informació. Tot es troba i tot resulta accessible, el problema es troba en saber interpretar i seleccionar aquesta informació per prendre les decisions encertades • Cada empresa és un món i tractar tots els ecosistemes sota un sistema de monitoratge i de gestió no personalitzat un error. S’ha d’aprofitar el millor del conjunt, però s’han de tractar les especificitats
  • 13. Amenaces generals principals i mesures destacades per mitigar-les
  • 14. Amenaces principals Sense ànim de fer un enllistat exhaustiu aquestes són les principals fonts d’amenaces a tindre en compte: • Introducció de “malware” (en les seves diverses formes i accepcions) que permeti a l’atacant prendre el control de “la vida digital” de la persona física o empresa víctima • Intercepció de les comunicacions (amb finalitats d’espionatge, criminals per entrar a robar, etc., etc., etc.) o alteració de l’espai radioelèctric de la víctima objectiu L’anterior és un còctel perfecte per a: EXTORSIÓ – ROBATORIS – PARALITZACIÓ DEL NEGOCI – ETC Reiterar un cop més que la majoria de vegades el desplegament de les amenaces anteriors té com a vector facilitador la deixadesa o les errades involuntàries de les víctimes, del seu entorn o directament la mala fe de les persones de l’entorn de la víctima.
  • 15. Mesures contra les amenaces Un cop més sense ànim de fer un enllistat exhaustiu aquestes són les principals mesures contra les amenaces (entenent que el sentit comú és la primera de les mesures a tindre ben presents): • Mantindré tot actualitzat, paraules de pas segures i les recomanacions bàsiques gravades a foc • Control de l’espai radioelèctric de l’empresa com un “actiu” més de la mateixa. Monitoratge constant. Actualment el “cable” queda en segon terme, les tecnologies sense fils ho impregnen tot i tot forma part del mateix esquema. Entre elles les RFID, WiFi, Bluetooth, 3G-4G-5G i les seves variants, LPWAN (Low Power Wide Area Network), etc. • Navegació segura i utilització de mecanismes de privacitat (VPN’s, TOR, etc.) • Seguretat per capes i seguretat integral de tots els dispositius i de tot l’entorn (punts d’accés, voltants de l’empresa en la mesura del possible, etc.)
  • 16. Les amenaces més enllà del PC i mòbils. Quan tot és una amenaça
  • 17. PC, smartphones, eMails,... Coses del passat! Les tecnologies avancen a una velocitat i profunditat com no ho havien fet mai abans al llarg de tota la història de la humanitat, això comporta grans avenços però també nous reptes i canvis constants als quals ens hem d’acostumar, adaptar i saber utilitzar-los i viure d’una forma segura (en la mesura del possible). Tres premisses clau: 1- Potser la privacitat ja no existeix tal com la coneixíem, però la intimitat (i la seguretat) s’ha de preservar 2- Adaptació digital no és adaptar-se tan sols al que tenim sinó al que ve (IoT, IA, etc.) 3- La seguretat és un element viu i dinàmic que s’ha d’adaptar constantment i que ja no pertany només a la “seguretat informàtica”, la Ciberseguretat ja és una realitat de seguretat transversal Avui en dia molt del que era vàlid fa només 5 anys actualment ja no serveix. I tot el que serveix ens ajuda i és una potencial amenaça. Noves tecnologies apareixen, evolucionen i es desenvolupen cada dia. Nous dispositius, noves xarxes, tot canvia menys una cosa: la necessitat d’estar segurs.
  • 18. Amenaces que transcendeixen el cablejat i el WiFi. L’espectre RF
  • 19. Les connexions i comunicacions sense fils són la clau Fins aquí s’ha parlat de “malware”, de correus electrònics i de moltes coses més, i evidentment que tot això és important i que d’una manera o altra interactua amb els sistemes de connexió o comunicacions sense fils, però el primer que s’ha de tindre present és el següent: • Si, com dèiem, només entenem la Ciberseguretat com a instal·lar un antivirus o no obrir un correu electrònic sospitós de poc ens protegirem. Això és necessari, però mai suficient • Fins ara el món s’ha centrat molt en la seguretat dels dispositius i seguirà així, però l’amenaça ja no és només directament als dispositius i ni tan sols a les xarxes cablejades. Les amenaces i la seguretat s’ha de bolcar en les xarxes sense fils en general i en l’espai radioelèctric intern en particular
  • 20. Un nou món amb noves necessitats i noves solucions El món actual, com s’ha vist, ja transcendeix a un ordinador connectat, a unes impressores o a uns telèfons. Avui tot està connectat i cada cop estarà tot més connectat a la xarxa i entre dispositius mateixos. Milions de dispositius s’incorporen diàriament al “món connectat” i tots ells sempre han de plantejar-se des del següent doble repte: 1- Han de ser segurs, i oferir seguretat, des de la seva fase conceptual 2- Les xarxes que els comuniquen han de ser també segures i oferir seguretat
  • 21. Controlar l’espectre i l’espai Mantenir l’espectre electromagnètic en general i l’espai radioelèctric en particular sota control Amb el “Jamming” es pot inutilitzar el funcionament d’una empresa, però també obrir totes les portes o desactivar les alarmes. I molt més!
  • 22. Noves solucions per a resoldre velles necessitats Implementar noves solucions que resolguin vells (i nous) reptes és essencial: La seguretat de tot l’entorn RF de l’empresa esdevé important, però el tractament dels dispositius que operen en bandes ISM (Industrial, Scientific, Medical) (433 MHz, 868 MHz, etc.) resulta clau.
  • 23. La millor resposta a les interferències és... La millor resposta contra les interferències seria viure en un entorn ideal sense interferències o mitjançant la utilització de sistemes que no resulten legals a la nostra jurisdicció, per tant l’única mesura viable legalment és disposar del dispositiu adequat i de la xarxa adequada amb els paràmetres ideals següents: 1- Ús reduït de l’amplada de banda 2- Alta densitat espectral (emissió tipus làser) 3- Localització espectral intel·ligent (recepció de la comunicació cercant l’energia) 4- Comunicació multiantena (recepció dels “paquets” de dades per diferents vies) 5- Freqüències no uniformes (capacitat de treball en diferents bandes aleatòries) Qui digui el contrari menteix, NO hi ha (per al comú dels mortals) solució TOTAL contra el “Jamming”, però sí que es pot reduir molt la seva existència i mitigar el seu impacte.
  • 24. Qüestions legals i lleis relacionades amb la Ciberseseguretat
  • 25. La ciberseguretat i les lleis, el món virtual és real Sembla existir la falsa creença del fet que les lleis “a Internet” van per un costat i les lleis “a la vida real” van per un altre, i això no és cert. Cert és que les tecnologies (no m’agrada dir “noves”) han fet aparèixer nous tipus delictius i noves realitats socials i, per tant, legals a diferents àmbits i amb diferents implicacions. Però cert resulta també que en la majoria dels casos estem parlant senzillament de delictes o de conflictes i relacions de tota mena d’ordre que ja existien. En tot cas només ha canviat la forma de cometre molts delictes, o de fer coses, però no el fons. Una cosa és ben certa, els canvis socials sempre van per davant dels canvis legals, de la mateixa manera que els delinqüents sempre van per davant de qui els persegueix. Una cosa fa evolucionar l’altre i això és així històricament.
  • 26. La Ciberseguretat i les lleis, realitats concretes No és objectiu d’aquesta jornada fer un esment exhaustiu de les lleis ni oferir assessorament específic sobre cap assumpte concret, però cert resulta que encara que les lleis del “món real” i del “món connectat” siguin, en essència, les mateixes, existeixen algun tipus d’assumptes, de conflictes i de fets delictius que s’han vist alterats, i molt, amb l’eclosió, desenvolupament i consolidació del “món digital”. Entre ells i especialment rellevant per a l’àmbit que aquí ens ocupa: 1- Tot el que té a veure amb la propietat intel·lectual i la propietat industrial 2- Protecció de dades (assumpte important però, a parer meu, sobredimensionat mediàticament) 3- Intercepció de les comunicacions 4- Danys informàtics I, per descomptat, tot el que té relació amb amenaces, usurpació d’identitat, estafes, delictes sexuals de diferent caire, etc., etc., etc.
  • 28. La Ciberseguretat és cosa de les empreses, però també de les administracions públiques, de les entitats, dels professionals i de la ciutadania en general. La Ciberseguretat és cosa de tots.
  • 29. TORN OBERT DE PREGUNTES - GRÀCIES ! INFO@JORDIGARCIA.EU Tel. (+34) 636714253