Seguridad TIC en la PYMESemana sobre Seguridad Informática
Iñigo Tomé Bermejo
Centro Demostrador de Seguridad para la PYME
Versión 0.e
2
1. La PYME y el reto de la seguridad
2. Nuevos modelos de negocio: Objetivo PYME
3. ¿Seguridad Informática o Seguridad de la Información?
4. Soluciones: ¿Cuál es la adecuada para mi empresa?
5. El mercado de la seguridad: hacía una taxonomía de
referencia
6. El catálogo de Soluciones y Proveedores de seguridad
TIC de INTECO
Índice de la Jornada – Parte 1
40’
3
1. Seguridad TIC. Un escenario real
2. Seguridad orientada al NEGOCIO
3. Problemáticas y soluciones: la lista de la compra
Índice de la Jornada – Parte 2
80’
1- La PYME y el reto de la seguridad
5
¿Por qué es necesaria?
Riesgos: Derivados del entorno y la tecnología
Buenas prácticas: Productividad, eficiencia, cumplimiento,
continuidad de negocio, etc.
1- La PYME y el reto de la seguridad
6
Hay nuevas reglas y nuestro entorno cambia
LEGAL Normativa y cumplimiento
DE NEGOCIO Gestión, Productividad, Continuidad, (…)
AMENAZAS TI Ingeniería social, malware, robo de información, (…)
1- La PYME y el reto de la seguridad
7
Una mirada a la EMPRESA en España
Es un mercado enorme, pero complejo, y también necesita seguridad
El 78,9% son PYME de 3 o menos trabajadores
2.8 millones de PYMES, la mitad autónomos
En seguridad, PYMES = Ciudadano
Pocos recursos económicos, de tiempo, de personal
“Poca concienciación”Falta de soluciones adaptadas a la PYME
1- La PYME y el reto de la seguridad
2 - Nuevos modelos de negocio: objetivo PYME
9
Debe dedicar personal
Debe dedicar tiempo
Debe de invertir en equipamiento
PYME y seguridad, ¿un hueso duro de roer?
La respuesta será, NO
2 - Nuevos modelos de negocio: objetivo PYME
10
¿Qué debemos ofrecer a la PYME?
PYMELos modelos tradicionales no sirven en la PYME, debemos orientarnos a servicio y hacía la externalización de dichos servicios.
Servicios + productos Externalización Con enfoque PYME
2 - Nuevos modelos de negocio: objetivo PYME
3 - Seguridad Informática o Seguridad de la Información
12
Dos conceptos distintos
3- Seguridad informática o…()
Seguridad Informática Protección de las infraestructuras TIC que soportan nuestro negocio
Seguridad de la InformaciónRelativa a la protección de los activos de información de cualquier amenaza
La Seguridad Informática es parte de la Seguridad de la Información
13
Debemos de tener una visión más amplia
Recuperación, continuidad, supervivencia
Valor añadido para el cliente, imagen y marca
Gestión, organización, productividad, procedimientos,
eficacia, etc.
3- Seguridad informática o…()
4- Soluciones de seguridad, ¿Cuál es la adecuada para mí empresa?
15
El problema de saber elegir…
Seguridad gestionada
Malware
4 - Soluciones de seguridad: elegir
LOPD
Robo de información
Anti-Spam
Filtro de contenidos
UTM’s
Cifrado de información
Tecnologías ILM
Firewalls
Control de acceso
IDS e IPS
La PYME necesita una guía
16
¿En que contexto se encuentra mi negocio?
La motivación económica implica que TODOS somos OBJETIVO
Todos tenemos algo valioso
Existen cientos de herramientas
Mucha información y fácil de localizar
Se puede causar mucho daño con poco esfuerzo
El enemigo está dentro
No hace falta poseer conocimientos
4 - Soluciones de seguridad: elegir
17
Hoja de ruta
Iniciativa de empresa
Informarse y asesorarse
Consultoría externa
DEBEMOS DE CONTAR CON PROFESIONALES DEL SECTOR
4 - Soluciones de seguridad: elegir
Análisis del problema
18
¿Por qué es importante la SEGURIDAD de la INFORMACIÓN para mi empresa?
¿Qué debo hacer para alcanzar un NIVEL ADECUADO de seguridad TIC en mi empresa?
Cuestiones fundamentales
4 - Soluciones de seguridad: elegir
5 - El mercado de la seguridad: hacía una taxonomía de referencia
20
Es necesario poner orden
Es complejo decidir que solución es adecuada para un problema
Se buscan tanto productos, como servicios o soluciones completas
Se quiere encontrar un proveedor geográficamente cercano
5 - Hacía una taxonomía de referencia
No existe una clasificación de productos aceptada por todos los actores del mercado
Es difícil comparar productos y servicios, las características varían enormemente
EL GRAN PERJUDICADO ES EL USUARIO Y LA EMPRESA QUE DEMANDA SOLUCIONES
21
Taxonomía de productos y servicios
Productos
o Anti-phishing
o Control de acceso a la red corporativa
o Encriptación de mensajería
o Filtro de contenidos web
o Firewall personal
o Gestión unificada de amenazas (UTM)
o Auditoría forense
o Sistemas de detección de intrusión
o Gestión de parches y vulnerabilidades
o Gestión de políticas
o Certificación digital
o ….
5 - Hacía una taxonomía de referencia
Servicios
o Certificación y acreditación
o Cumplimiento con la legislación
o Servicios de detección de intrusiones
o Formación
o Gestión de incidentes
o Politicas de seguridad
o Pruebas (auditoría técnica)
o Seguridad gestionada
o Gestión de riesgos
o Formación
o ….
El objetivo es contar con una clasificación de referencia, útil y aceptada por todos
22
Con características definidas y comunes
Anti-phishing – Empresa 1
o Formato del dispositivo
o Producto Software
o Licencia
o Soporte
o Opciones de configuración
o Amenazas a las que se opone
o….
5 - Hacía una taxonomía de referencia
Anti-phishing – Empresa 2
o Formato del dispositivo
o Producto Software
o Licencia
o Soporte
o Opciones de configuración
o Amenazas a las que se opone
o ….
o Otras propias del fabricante
El usuario puede “comparar” y elegir de una forma más racional
23
¿Qué necesito realmente?
¿Necesito un servidor?
Disponer de un conjunto de criterios de guía
5 - Hacía una taxonomía de referencia
¿Que formato de dispositivo?
¿Cuántos usuarios?
¿Externalizado?
¿es una inversión adecuada?
6 – El Catalogo de Soluciones y Proveedores de Seguridad TIC de INTECO
25
Fin de la primera parte
continuará…
26
1. Seguridad TIC. Un escenario real
2. Seguridad orientada al NEGOCIO
3. Problemáticas y soluciones: la lista de la compra
Índice de la Jornada – Parte 2
80’
1 - Seguridad TIC: un escenario real
28
La empresa de Juan López, Sorento S.A.
1 - Seguridad TIC: un escenario real
Juan López, es el gerente de una gestoría, Sorento S.A., una empresa joven, fundada en el año 2004, con sede central en León, y con dos oficinas situadas en otras dos localidades de la provincia.
La oficina de León, cuenta con 4 empleados, 1 contable y 3 gestores, además de Juan como Gerente. Además, hay un comercial, que casi nunca está en la oficina.
En las otras dos oficinas, hay un total de 4 empleados, dos en la sede de Ponferrada, y otras dos en la sede de Salamanca.
Con un total de 1200 pequeños clientes, Sorento S.A. sigue creciendo, y tienen previsto abrir mas oficinas en los próximos meses, ampliando a su vez la plantilla de las ya existentes.
Sorento S.A. provee a sus clientes de diversos servicios, y en los últimos meses, Juan López está llevando a cabo una importante inversión para potenciar sus servicios a través de INTERNET, agilizando los tramites con sus clientes, y potenciando su imagen en la red.
29
La empresa de Juan López, Sorento S.A.
1 - Seguridad TIC: un escenario real
Desde el momento de su creación, Sorento S.A. ha sido una empresa que ha apostado por la innovación, y las tecnologías de la información, pero como toda empresa que comienza, primero tiene que poder trabajar, y luego “hacer las cosas bien” en la medida de sus posibilidades.
Cuando comenzó, no disponían de página web, y no ofrecían servicios on-line, pero esto ha cambiado, y el pasado año, decidieron dar el salto a INTERNET.
NORA S.A es su proveedor de servicios de INTERNET, tanto de alojamiento, soporte y desarrollo del portal web de Sorento S.A.
Por otro lado, disponen de un servidor de ficheros y de aplicaciones de gestión, en la oficina principal de León, desde el cual se gestionan todas los procesos y tramitacionesde sus clientes.
Las otras dos oficinas, trabajan con el mismo software de gestión, pero en “local” y cada semana envían los datos a través de INTERNET, a la sede de León.
30
Aplicar seguridad: un enfoque adecuado
No se trata de poner más seguridad, hay que hacerlo con calidad y donde hace falta
Seguridad orientada a mi negocio y mis procesos
¿Sabemos cual es el objetivo?
1 - Seguridad TIC: un escenario real
¿Donde están nuestros puntos críticos?, ¿Qué es fundamental para mí negocio?
¿Quienes son nuestros proveedores?, ¿Conocemos los contratos de servicio?
Poner seguridad sin más no sirve
2 - Seguridad orientada al NEGOCIO
32
¿Cuál es mi oficio?
2 - Seguridad orientada al NEGOCIO
Para particulares
o Registro de la propiedad
o Vivienda
o Tráfico
o Seguridad Social
o Impuestos
o Patentes
o ….
Para empresa
o Registro mercantil
o Registro de la propiedad
o Escrituras
o Tráfico
o Patentes, marcas
o Otros trámites a medida
o ….
Tramitación de todo tipo, por canales ordinarios o electrónicos, tanto con administración, como con otras empresas.
Rapidez, plazos ajustados, mis clientes necesitan un servicio de calidad.
Gran cantidad de documentos, y datos “de importancia” de las empresas clientes, es necesario transmitir confianza y seguridad
33
La empresa de Juan, Sorento S.A.
El esquema general y básico de Sorento S.A podría ser el siguiente:
Oficina CentralLeón
1 Gerente1 Contable3 Gestores1 Comercial
4 Ordenadores1 Servidor2 portátiles
2 Smartphone1 Impresora
1 Destructora de papelConexión a INTERNET
….
OficinaPonferrada
2 Gestores2 ordenadores1 Impresora
Conexión a INTERNET….
OficinaSalamanca
2 Gestores2 ordenadores1 Impresora
Conexión a INTERNET….
Proveedor de servicios de Internet NORA S.A
Servidor de aplicacionesCuentas de correo electrónico
….
Proveedor de soporte técnico informático
Averías e incidenciasRecambios y fungibles
….
Otros proveedoresElectricidad
Aire acondicionadoAlmacén
….
2 - Seguridad orientada al NEGOCIO
34
Organización de T.I en la empresa Sorento S.A.
2 - Seguridad orientada al NEGOCIO
3 - La lista de la compra
36
Soluciones TIC y otras medidas
Copias de seguridad
Tecnología VPN
Cifrado de datos almacenados
3 - La lista de la compra
Cifrado de datos en tránsito
Protección contra malware
Fuga de información
SLA’s y contratos
Cumplimiento y Normativa
Completar…
Recuperación y contingencias
37
Fin de la presentación
¿Preguntas?
38
Fin de la presentación
Muchas gracias
www.inteco.es
Top Related