Professional Documents
Culture Documents
Presentación Ciberseguridad
Presentación Ciberseguridad
Concienciación y buenas
prácticas para proteger tu
negocio
Mikroenpresa Digitala
GLOBAL RISK REPORT 2022
CIBERATAQUES
DEPENDENCIA ALTA
❑ TIC: Es tu negocio (B2B, B2C…)
❑ Productos y servicios on line
❑ Intercambio electrónico de
procesos (contratación,
DEPENDENCIA MODERADA facturación)
INFORMACIÓN ¿DÓNDE?
FONDO DE COMERCIO
MÓVILES
TARIFAS
PORTÁTILES
CONOCIMIENTO COMERCIAL
MEMORIAS USB
PROPIEDAD INTELECTUAL
DISCOS
REPUTACIÓN
CLOUD
INNOVACIÓN EN PROCESOS
IT
SERVIDORES
DATOS PERSONALES
REDES
SECRETOS COMERCIALES
SOFTWARE
APLICACIONES CORPORATIVAS
INTERNET, WEB
¿DE QUIÉN? TIENDA ON LINE
EMPRESA BASES DE DATOS
PROVEEDORES DOCUMENTOS
CLIENTES CONTRATOS DE TRABAJO
EMPLEADOS CONTRATOS DE SUMINISTRO
ASOCIADOS…. 5
Bai/Sí Ez/No
1. Contraseñas seguras para autenticación
2020 2021 10
- Información personal
- Páginas que visitamos
- Aplicaciones a las que accedemos
- Frecuencia
- Geolocalización
https://tosdr.org/ 11
www.muyseguridad.net
12
13
COMPLIANCE PENAL
Eximente de responsabilidad para toda persona jurídica que tenga un
modelo de gestión y organización de prevención de delitos (Art. 31.5 C.Penal)
• Disponer de modelos de gestión adecuados para impedir la comisión de los delitos que
deben ser prevenidos.
16.935
14.311
12.785
8.989
7.772
6.932
5.217
4.274
Suplantación de identidad 15
Ransomware
• Acoso laboral
• Acoso Sexual
• Acceso ilegal informático
• Estafa
• Daños informáticos
• Contra propiedad intelectual
• Acceso ilegal a servicios de
radiodifusión
• Falsificación de documentos
• Hacer uso de documentos falsos
• Falsificación y tráficos de tarjetas
de crédito
16
CIBERSEGURIDAD: Concienciación y buenas prácticas
DELITOS INFORMÁTICOS
Infracciones penales conocidas por la Ertzaintza
17
CIBERSEGURIDAD: Concienciación y buenas prácticas
PROTAGONISTAS
18
▪ CIBERACTIVISTAS O HACKTIVISTAS
▪ ORGANIZACIONES PRIVADAS
▪ CIBERTERRORISTAS, CIBERCRIMINALES
19
20
Mapa de ataques reales:
https://cybermap.kaspersky.com/es
CIBERSEGURIDAD: Concienciación y buenas prácticas
CARACTERÍSTICAS DE LA CIBERDELINCUENCIA
Personas inculpadas por delitos informáticos en Euskadi
21
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
▪ CIBERINVESTIGADORES
▪ HACKERS ÉTICOS
▪ INSTITUCIONES…
22
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
23
https://www.gdt.guardiacivil.es/
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
24
https://www.ertzaintza.eus/
CIBERSEGURIDAD: Concienciación y buenas prácticas
delitosinformaticos@ertzaintza.eus
ACTORES: “LOS BUENOS”
https://www.ertzaintza.eus/ 25
delitosinformaticos@ertzaintza.eus
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
26
https://www.incibe.es/
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
27
https://www.incibe-cert.es/
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
28
https://www.osi.es/es
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
29
http://www.ontsi.red.es/ontsi/
CIBERSEGURIDAD: Concienciación y buenas prácticas
ACTORES: “LOS BUENOS”
30
https://www.basquecybersecurity.eus/es/
CIBERSEGURIDAD: Concienciación y buenas prácticas
RIESGOS,
VULNERABILIDADES,
AMENAZAS
31
TIPOS DE VULNERABILIDADES:
RIESGOS IMPACTOS
33
AMENAZAS VULNERABILIDADES
RIESGOS
disminuimos
Se convierte en real
INCIDENTE
CIBERSEGURIDAD ACTIVOS
PROTECCIÓN
34
https://www.incibe.es/protege-tu-empresa/kit-concienciacion
35
36
Código de software
que puede replicarse y
propagarse de un
ordenador a otro.
https://www.osi.es/es/actualidad/blog/2014/07/18/fauna-y-flora-del-mundo-de-los-virus 37
Obtienen acceso a
un sistema
escondiéndose
dentro de una
aplicación real.
38
Virus auto-replicante,
diseñado para
propagarse a través
de redes informáticas
39
40
41
Software que se
encarga de registrar
las pulsaciones que
se realizan en el
teclado, para
posteriormente
memorizarlas en un
fichero o enviarlas a
través de internet.
42
Vías de contagio:
- Anuncios
- Dispositivos infectados
- Web fraudulentas
- P2P
- Software “gratuito”
43
44
12 DE MAYO DE 2017
CIBERSEGURIDAD: Concienciación y buenas prácticas
RANSOMWARE RYUK
https://www.businessinsider.es/ryuk-ransomware-detras-ataque-sepe-ha-fallado-826459
45
9 DE MARZO DE 2021
CIBERSEGURIDAD: Concienciación y buenas prácticas
RANSOMWARE WANNACRY
46
47
Fuente: https://www.kaspersky.es/blog/que-es-un-botnet/755/
50
https://www.osi.es/es/servicio-antibotnet
CIBERSEGURIDAD: Concienciación y buenas prácticas
MALWARE: EXPLOIT
www.securityfocus.com
www.packetstormsecurity.org
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
NAVEGACIÓN SEGURA
71
CONTROL DE CONTRASEÑAS
https://www.youtube.com/watch?v=kvbYbsGoofo&fea
ture=youtu.be
72
BLOQUEO DE TU ORDENADOR
73
74
https://bit.ly/Clausulas1
75
76
USO DE ANTIVIRUS
Un antivirus es un programa informático que permite detectar
o eliminar virus informáticos, impidiendo que infecten nuestro
ordenador.
• INCIBE
• OSI
CIFRADO DE DATOS
El cifrado de la información es un método que permite aumentar la
seguridad mediante la codificación del contenido, de manera que
sólo pueda leerlo la persona que cuente con la clave de cifrado
adecuada para descodificarlo.
COPIAS DE SEGURIDAD
79
FIREWALL
Sistema que mediante reglas previamente establecidas, bloquea el
acceso no autorizado a nuestra red y permite la salida autorizada de
información de nuestros sistemas.
81
VPN
Las VPN nos garantizan que toda la información que transmitamos
va a estar segura.
▪ Seguridad: El cifrado se aplica a la conexión y a la información
▪ Control: Se conoce quién ha accedido, cuándo, desde dónde y las
acciones que ha realizado
▪ Dispositivos autorizados: La información sólo se transmite
desde ellos.
▪ Confidencialidad: En caso de que fuese interceptada durante la
transmisión, no podría ser decodificada
▪ Integridad: La información viaja cifrada, por lo que no pueden
ser modificada o alterada durante la transmisión.
82
WIFIS PÚBLICAS
POSIBLES AMENAZAS AL CONECTARSE A WIFIS PÚBLICAS
83
WIFIS PÚBLICAS
MEDIDAS DE SEGURIDAD WIFIS PÚBLICAS
CONFIGURACIÓN WIFI
MEDIDAS DE SEGURIDAD PARA CONFIGURAR TU WIFI
86
TIPOS DE CIBERATAQUES
87
MEDIDAS DE SEGURIDAD
• Bloqueo automático del dispositivo pasado cierto tiempo de
inactividad.
• Contraseña para bloquear el acceso al dispositivo.
• Cifrado de información
• Antivirus: para prevenir la infección del malware
• Actualización del software instalado
• Copias de seguridad de la información
• Instalación de aplicaciones sólo de fuentes fiables
• Evitar el uso de las WIFI públicas
89
POSIBLES AMENAZAS
▪ ACCESO NO AUTORIZADO
Controlar los accesos de los empleados a la información de la
organización, (robo de datos, inyección de código
malicioso…etc.
▪ AMENAZAS INTERNAS
Cuando los trabajadores salen de la organización (fin de
contrato o despido) se debe notificar al proveedor de servicios
cloud su baja.
▪ FUGA DE INFORMACIÓN
Si nuestra organización lleva a cabo muchas operaciones con
cliente al cabo del día y éstas no están cifradas.
▪ SUPLANTACIÓN DE IDENTIDAD
▪ DESCONOCIMIENTO DEL ENTORNO
▪ ATAQUES DE HACKING
90
92
93
POSIBLES ATAQUES
ATAQUE DE PHISHING
▪ Cambian nuestra web en nuestro servidor por una web
fraudulenta para capturar datos de clientes de un banco.
94
POSIBLES ATAQUES
INYECCIÓN SQL
▪ Se aprovechan de fallos en la programación de las consultas a
la BD de nuestra web, como formularios o acceso de usuarios
▪ Averiguan contraseñas
▪ Acceden a zonas privadas sin permisos
▪ Robar o alterar información almacenada en la BD
95
POSIBLES ATAQUES
CROSS SITE SCRIPTING (XSS)
Este ataque se aprovecha de que los navegadores de los
visitantes de nuestra web comparten datos entre aplicaciones
y con el servidor, esto permite:
96
POSIBLES ATAQUES
DEFACEMENT
Cibervándalos dañan
nuestra imagen a costa
de su reivindicación
97
POSIBLES ATAQUES
ATAQUE A NUESTRA IDENTIDAD Y REPUTACIÓN ON LINE
98
AL CONTRATAR TU ALOJAMIENTO…
AL CONTRATAR EL ALOJAMIENTO COMPRUEBA:
• Aspectos relativos a la confidencialidad de los datos.
• Copias de respaldo
• Actualizaciones de software
• Interfaces y comunicaciones seguras para el administrador
• Auditorías externas para verificar la seguridad de la web
99
AL CONTRATAR EL DESARROLLO…
AL CONTRATAR EL DESARROLLO COMPRUEBA:
▪ Que se tienen en cuenta los requisitos de seguridad desde el principio
▪ Que utilizan metodologías de desarrollo seguro (OWASP y SAMM)
▪ Si auditan el código
▪ Que desarrollan en sistemas actualizados
▪ Que separan entornos de producción y desarrollo
▪ Que cumplen con la LPI
Antifraude Actualizaciones
Captcha Bloqueo por IP, País
Protección de contenido Autenticación doble factor para el backoffice
Actividad Backoffice Aviso legal
Backup Cookies 100
103
✓ Determinar el alcance
✓ Medidas de protección
104
1. Preparación
▪ Personal que va a realizar la gestión de incidentes.
▪ Documentación de los sistemas y redes que se usan en la empresa
▪ Registrar los contactos de terceras partes. Por ejemplo, si tenemos una
web que la mantiene un proveedor, en caso de incidencia hay que tener
identificado el responsable en el proveedor.
▪ Centros de respuesta ante incidentes de organismos externos en los
que apoyarnos para la gestión de incidentes: CERT/CSIRT.
2. Detección y análisis
Los signos de un incidente pueden ser de dos tipos:
▪ Signos precursores: son los que nos pueden indicar que un incidente
tiene posibilidades de ocurrir en el futuro, por ejemplo:
o La detección de un escáner de puertos
o El resultado del análisis de vulnerabilidades
o Las amenazas de ataque por parte de hackers
106
3. Notificación
▪ Casos de robo o fugas de información de mi negocio relacionada con mis clientes, proveedores (LOPD)
▪ Casos de suplantación de identidad
▪ Uso de herramientas o aplicaciones sin las oportunas licencias (software pirata)
107
4. Registrar incidente
Identificar Clasificar
Priorizar
108
5. Contención y resolución
Actividades de resolución:
▪ Instalación de parches de seguridad
▪ Cambios en el cortafuegos
▪ Cambios en las listas de acceso
Actividades de recuperación:
▪ Restaurar información desde las copias de seguridad (backups)
▪ Reemplazar componentes afectados con otros limpios de infección
▪ Instalar actualizaciones de software
▪ Cambiar contraseñas
▪ Reforzar la seguridad actualizando reglas de cortafuegos.
▪ Valorar contratar un análisis forense digital experto 109
111
112
113
114
115
116
117
118
ESKERRIK ASKO
mikrodigitala@spri.eus
Tel. 690 92 27 52
120
www.spri.eus/euskadinnova/es/portada-euskadiinnova/soluciones-para-micropymes/inscripciones-inplantalariak/589.aspx