Ciberseguridad en empresas

¡Hola!Pedro José De La Torre

Rodríguez• CEO de INDALICS• Perito informático

colegiado.• Decano CPITIA.• Master en Desarrollo

de Software.• Master en Gestión de la

Innovación.• EMBA Dirección

General - ESIC

CIBERSEGURIDAD¿ESTÁ TU EMPRESA PREPARADA?

QUÉ VAMOS A VER• Situación actual de la

ciberseguridad.• Responsabilidad penal de las

empresas.• Seguridad en el ámbito

empresarial. • Impacto de ciberataques.• Casos reales.• Autodiagnóstico.• Mesa redonda.

CIBERSEGURIDAD: SITUACIÓN ACTUAL

¿Qué es la ciberseguridad?

Conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y la información de los usuarios en el entorno digital.

Factores de auge• Nuevos modelos de

pago.• Generación masiva de

datos.• Economía digital.• Aumento de

innovaciones disruptivas.

• Ciudades inteligentes.• Hiperconectividad.• Almacenamiento en la

Nube.• Aumento del cibercrimen.

Cibercrimen en cifras

• Billones de €• 556 millones de

víctimas.• 150€ de coste por

víctima• 15% de usuarios

suplantados en Redes Sociales.

• 2/3 de usuarios móviles no usan ni antivirus.

Entorno legal

• Normas de Seguridad Nacional.• Normas de infraestructuras

críticas.• Normas de Seguridad

Ciudadana.• Telecomunicaciones y usuarios.• Normas relativas a

ciberdelincuencia.• Protección de datos personales.• Nueva directiva Europea de

Protección de Datos.• Nueva directiva europea de

ciberseguridad.

CIBERSEGURIDAD: RESPONSABILIDAD PENAL DE LAS EMPRESAS

Responsabilidad penal

Se sanciona a la persona jurídica por los delitos cometidos por las personas que estén sometidas a la autoridad de los anteriores siempre que hayan podido realizar su acción por no haberse ejercido sobre ellos el debido control, atendidas las circunstancias de cada caso

Responsabilidad penal

Las empresas son penalmente responsables de los delitos que puedan cometer sus empleados si no implementan medidas adecuadas y proporcionadas de control sobre la actividad de los mismos.

Exención de responsabilidad

“Si antes de la comisión del delito se ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión”

SEGURIDAD INFORMÁTICA EN EL ÁMBITO EMPRESARIAL

Plan de seguridad de la información

Conjunto de herramientas y procedimientos para controlar, supervisar y evaluar los mecanismos de gestión, uso y seguridad de la información

Protección de datos

Mucho más que un proceso “quitamultas” si se hace correctamente.

Barreras

• Escasa conciencia de la ciberseguridad.

• Poco compromiso de dirección y empleados.

• Escasez de personal cualificado.

• Poca formación en seguridad de la información.

• Escasez de recursos.• Poca cultura de gestión.

Áreas a controlar

• Entrada y salida de información hacia o desde la organización.

• Adecuación de la información a los fines de la organización.

• Acceso y uso interno de la información por parte de empleados.

• Uso de dispositivos por parte de empleados.

• Uso de software por parte de los empleados.

• Cesión de información hacia o desde terceros.

• Almacenamiento de la información.• Gestión de incidencias.• Recuperación ante desastres.

Razones para controlar

• Por control organizativo.• Por eficiencia estructural.• Por garantía jurídica propia

y de terceros.• Para evitar robos y

escándalos.• Como protección ante el

espionaje empresarial.• Protección de I+D• Por capacidad de absorber

potenciales desastres.

Impacto de controlar

• Ahorro de costes.• Eficiencia operacional.• Reducción de primas de seguro.• Mejora de la valoración

económica de la empresa.• Máximo aprovechamiento de la

información disponible.• Aseguramiento de procesos de

I+D.• Mejora de imagen de marca.• Conocimiento real de la

organización.

Impacto de no controlar

• Notificación a clientes de fallos de seguridad.

• Parones operacionales.• Aumento de las primas de seguro.• Reducción del valor económico de la

empresa.• Daño a la imagen de marca.• Tarifas de abogados y litigios.• Valor perdido en las relaciones con

clientes y proveedores.• Relaciones públicas y gestión de

crisis.• Pérdidas de información sensible

para el negocio.• Costes financieros añadidos.

CIBERATAQUES E INCIDENCIAS INFORMÁTICAS:

IMPACTO EN LAS EMPRESAS

Sois un objetivo prioritario

El 70% de los ciberataques los sufren las PYMEs

Impacto

Parálisis operativa y daños en infraestructura corporativa

Impacto

Sustracción, divulgación y/o destrucción de información confidencial

Impacto

Sustracción y/o sabotaje de activos de la empresa

Impacto

Daño a la imagen de marca: pérdida de valor ante clientes y proveedores

Impacto

Daño a la imagen de marca: procesos judiciales

Impacto

Daños en la red comercial

Impacto

Reducción del valor económico de la compañía

Impacto

Aumento de necesidades de financiación: primas de seguro, abogados, daños propios y a terceros…

Impacto

Corresponsabilidad en actos delictivos efectuados con medios corporativos

Impacto

Paranoia corporativa: “Todos son el enemigo”

INCIDENCIAS DE SEGURIDAD: CASOS REALES

Caso real

Ataque a cajeros automáticos (24/11/2016)

Caso real

Ataque a cajeros automáticos (24/11/2016)

Caso real

Bloqueo de sistemas sanitarios (05/11/2016)

Caso real

Error informático en la Real Casa de la Moneda (10/10/2016)

Caso real

Las denuncias de delitos informáticos suben 76% (26/09/2016)

Caso real

USB que destruye computadoras (11/09/2016)

Caso real

USB que destruye computadoras (11/09/2016)

Caso real

Atraco electrónico a un pequeño comercio

Caso real

Robo de información corporativa y venta a terceros

Caso real

Hackean un coche en marcha

AUTODIAGNÓSTICO: ¿ESTÁ MI EMPRESA PREPARADA?

Autodiagnóstico

¿Implementa su empresa un plan de seguridad de la información?

Autodiagnóstico

¿Existe en su empresa un procedimiento de uso de herramientas corporativas?

Autodiagnóstico

¿Existen en su empresa procedimientos de acceso a la información?

Autodiagnóstico

¿Otras personas conocen su usuario y contraseña en la compañía?

Autodiagnóstico

¿Puede instalar programas libremente en el ordenador de su empresa?

Autodiagnóstico

¿Usa correo electrónico personal en su puesto de trabajo?

Autodiagnóstico

El documento de seguridad de protección de datos, ¿lo han implementado o duerme en un cajón? ¿Lo

tienen siquiera?

Autodiagnóstico

¿Hace copias de seguridad de su información en la empresa? ¿Existe un procedimiento?

Autodiagnóstico

¿Dónde está físicamente la información de su empresa? ¿La custodia de algún modo?

MESA REDONDA: HABLEMOS

Conclusión

No se tome a la ligera la seguridad de su información corporativa

Agradecimientos

Gracias por su atención

• Mail: [email protected]

• Web: www.indalics.com

• Twitter: @pedrodelatorre , @Indalics