Post on 20-Jan-2021
Jornada Ciberatacs
Planificant el caos
Evitar l'inevitable i saber com sobreviure
Jordi Iparraguirre
CanalSegur.com
COEIC – 2 juny 2016
CanalSegur.com
Mai no passa res ....
... fins que passa
CanalSegur.com
Això no va per mi, oi?
● La meva empresa no és un objectiu● No tinc res a amagar● Jo controlo● Tinc un antivirus● El meu password és «S0cLl3st!»● La prevenció és molt cara
CanalSegur.com
El cibercrim pesca amb canya ...
CanalSegur.com
... i amb xarxa
CanalSegur.com
No importa si som o no un objectiu
● Som la porta d'entrada a una altra víctima● Caiem en la xarxa d'un phishing indiscriminat● Factor humà● Mala praxis● Accident● ...● Murphy rules!
Foto: Mr Robot
CanalSegur.com
No importa si som o no un objectiu
Cal educar i prevenir
CanalSegur.com
... perquè estem preparats, oi?
● Sí, tots en podem ser víctimes, però ...
● Preparem-nos per reduir-ne les probabilitats ...
– Pla d'anàlisi de riscos
● ... i poder respondre ràpidament si mai passa
– Pla de contingència o continuïtat
Igual que en altres entorns (cotxe, manipulació aliments, altres riscos o seguretat i higiene laboral: Cal prevenció i formació prèvia: Higiene digital.
CanalSegur.com
La seguretat informàtica no és
un tema «dels informàtics».
És una tema de direcció.
CanalSegur.com
Com ens preparem?
Quina és la diferència entre amenaça, vulnerabilitat i risc?
«Tanca la porta oberta (vulnerabilitat) per parar l'ós (amenaça). Si entra, se'ns cruspeix (risc)»
Text i fotos: web de @JGamblin , Maig 2016
CanalSegur.com
Tipus d'amenaça
Qui o què ens pot «fer mal» --> i.e. on són els óssos
● Entendre per on poden venir els problemes i preparar-nos
● Què és probable, què és possible. Anàlisi de riscos.
CanalSegur.com
Tipus d'amenaça
Què volem protegir ● Mapa dels actius digitals
● Processos, persones, polítiques d'accés
● Hardware i software
● Dades, documents, etc
● Rols i responsabilitats
CanalSegur.com
Tipus d'amenaça
Cau un meteorit, s'inunda l'oficina, tall electricitat, terratrèmol, ...
Pèrdua/robatori d'un telèfon, tauleta o ordinador (BYOD!)
Intercepció de comunicacions (mòbil, xat, correu, ...)
Robatori de passwords, suplantació digital
Accés indegut (accidental o deliberat?) a informació/documents
Filtració d'informació reservada
Destrucció o pèrdua (accidental o deliberada?) d'informació
Còpies de seguretat mal fetes o no funcionals
Etc ...
CanalSegur.com
Tipus d'amenaça
● Què volem protegir?
● De què o qui ho volem protegir?
● Quin impacte té si passa?
● Com es pot produir l'amenaça?
● Com podem reduir el risc?
● Amb quina probabilitat pot passar?
CanalSegur.com
Tipus d'amenaça
● Què volem protegir?
● De què o qui ho volem protegir?
● Quin impacte té si passa?
Ens volem protegir del'ós per a que no entria casa
● Com es pot produir l'amenaça?
● Com podem reduir el risc?
● Amb quina probabilitat pot passar?
Caldrà tancar sempre la porta o posar una molla doble que la tanqui automàticament (i un sensor de moviment!)
CanalSegur.com
Prioritzem amenaces (óssos)Impacte
Alt Mitjà Baix Alta Mitja Baixa Prioritat
Amenaça 1 X X X
Amenaça 2 X X X
Amenaça 3 X X X
Amenaça 4 X X X
Amenaça 5 X X X
... etc ...
Probabilitat
CanalSegur.com
Pla de prevenció de riscos
● Impacte (€, temps, reputació, ...)● Probabilitat● Prioritat● Solucions● Cost d'implementació
CanalSegur.com
Protecció
● Implementar solucions del Pla de Riscos● Formació i comunicació● Assignar responsabilitats clares● Canvis de rols, permisos, accessos, ...● Provar i refinar els nous processos
CanalSegur.com
Resposta
Pla de continuïtat de negoci ● Amb el Pla de prevenció de Riscos hem:
– Reduït vulnerabilitats (tancat portes)
– Entès les amenaces més probables (identificat els ossos)
– Reduït alguns riscos
● Tot i això, no tot es pot evitar al 100% i haurem identificat possibles riscos «inevitables»
● Com reaccionem si mai passen?
CanalSegur.com
CanalSegur.com
Siniestro total
Ante todo mucha calma
CanalSegur.com
Resposta
Com reaccionem davant una crisi?
● Cal tenir un pla de resposta i continuïtat de negoci :
– Què fer i què no
– Qui fa què i qui és el responsable de cada punt
– Documentar processos a seguir, RACI
– Disponibilitat, còpies i responsables de l'execució del pla
● Simulacre de catàstrofe i millorar els processos
CanalSegur.com
Cas d'exemple
Amenaça: ens quedem sense internet a l'oficina
● Vulnerabilitat: només tenim un proveïdor d'Internet (ISP)
● Risc: no poder treballar fins que torni la connectivitat
● Probabilitat: Baixa
● Impacte: Alt
● Solucions:
– Contractar una 2a línia independent
– Alternativa 3G
– Anar a un Starbucks
– Altres ...
CanalSegur.com
Cas d'exemple
Amenaça: ens quedem sense internet a l'oficina
● Documentarem les solucions escollides
● Definirem el procediment a seguir per a cadascuna
● QUI fa QUÈ, QUAN i COM --> model RACI
Responsable Aprovador Consultats Informats
Comprovar router
Anna Maria Pau, Pere Berenguera
Trucar suport
Pau Maria Ningú Tothom
Repartir 3G Maria, Pau Marta Ningú Tothom
Etc...
CanalSegur.com
Resposta
● Un cop definit el Pla de continuïtat de negoci, cal:
● Fer un simulacre de «catàstrofe»
● i millorar els processos, el pla de continuïtat i el de riscos
● Revisar plans i fer simulacres regularment
CanalSegur.com
Resumint
● Formació per a la prevenció: Higiene digital● Identificar amenaces més importants● Definir el pla de prevenció de riscos digitals● Implementar canvis i millores● Definir pla de continuïtat de negoci● Fer simulacres● PDCA --> Plan, Do, Check, Act/Adjust
CanalSegur.com
Gràcies!
Jordi Iparraguirre
+34. 656.89.21.44
info@CanalSegur.com
Serveis de protecció de la informació empresarial