eic-enginyers industrials de catalunya | eic - planificant el ...text i fotos: web de @jgamblin ,...
TRANSCRIPT
![Page 1: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/1.jpg)
Jornada Ciberatacs
Planificant el caos
Evitar l'inevitable i saber com sobreviure
Jordi Iparraguirre
CanalSegur.com
COEIC – 2 juny 2016
![Page 2: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/2.jpg)
CanalSegur.com
Mai no passa res ....
... fins que passa
![Page 3: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/3.jpg)
CanalSegur.com
Això no va per mi, oi?
● La meva empresa no és un objectiu● No tinc res a amagar● Jo controlo● Tinc un antivirus● El meu password és «S0cLl3st!»● La prevenció és molt cara
![Page 4: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/4.jpg)
CanalSegur.com
El cibercrim pesca amb canya ...
![Page 5: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/5.jpg)
CanalSegur.com
... i amb xarxa
![Page 6: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/6.jpg)
CanalSegur.com
No importa si som o no un objectiu
● Som la porta d'entrada a una altra víctima● Caiem en la xarxa d'un phishing indiscriminat● Factor humà● Mala praxis● Accident● ...● Murphy rules!
Foto: Mr Robot
![Page 7: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/7.jpg)
CanalSegur.com
No importa si som o no un objectiu
Cal educar i prevenir
![Page 8: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/8.jpg)
CanalSegur.com
... perquè estem preparats, oi?
● Sí, tots en podem ser víctimes, però ...
● Preparem-nos per reduir-ne les probabilitats ...
– Pla d'anàlisi de riscos
● ... i poder respondre ràpidament si mai passa
– Pla de contingència o continuïtat
Igual que en altres entorns (cotxe, manipulació aliments, altres riscos o seguretat i higiene laboral: Cal prevenció i formació prèvia: Higiene digital.
![Page 9: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/9.jpg)
CanalSegur.com
La seguretat informàtica no és
un tema «dels informàtics».
És una tema de direcció.
![Page 10: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/10.jpg)
CanalSegur.com
Com ens preparem?
Quina és la diferència entre amenaça, vulnerabilitat i risc?
«Tanca la porta oberta (vulnerabilitat) per parar l'ós (amenaça). Si entra, se'ns cruspeix (risc)»
Text i fotos: web de @JGamblin , Maig 2016
![Page 11: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/11.jpg)
CanalSegur.com
Tipus d'amenaça
Qui o què ens pot «fer mal» --> i.e. on són els óssos
● Entendre per on poden venir els problemes i preparar-nos
● Què és probable, què és possible. Anàlisi de riscos.
![Page 12: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/12.jpg)
CanalSegur.com
Tipus d'amenaça
Què volem protegir ● Mapa dels actius digitals
● Processos, persones, polítiques d'accés
● Hardware i software
● Dades, documents, etc
● Rols i responsabilitats
![Page 13: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/13.jpg)
CanalSegur.com
Tipus d'amenaça
Cau un meteorit, s'inunda l'oficina, tall electricitat, terratrèmol, ...
Pèrdua/robatori d'un telèfon, tauleta o ordinador (BYOD!)
Intercepció de comunicacions (mòbil, xat, correu, ...)
Robatori de passwords, suplantació digital
Accés indegut (accidental o deliberat?) a informació/documents
Filtració d'informació reservada
Destrucció o pèrdua (accidental o deliberada?) d'informació
Còpies de seguretat mal fetes o no funcionals
Etc ...
![Page 14: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/14.jpg)
CanalSegur.com
Tipus d'amenaça
● Què volem protegir?
● De què o qui ho volem protegir?
● Quin impacte té si passa?
● Com es pot produir l'amenaça?
● Com podem reduir el risc?
● Amb quina probabilitat pot passar?
![Page 15: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/15.jpg)
CanalSegur.com
Tipus d'amenaça
● Què volem protegir?
● De què o qui ho volem protegir?
● Quin impacte té si passa?
Ens volem protegir del'ós per a que no entria casa
● Com es pot produir l'amenaça?
● Com podem reduir el risc?
● Amb quina probabilitat pot passar?
Caldrà tancar sempre la porta o posar una molla doble que la tanqui automàticament (i un sensor de moviment!)
![Page 16: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/16.jpg)
CanalSegur.com
Prioritzem amenaces (óssos)Impacte
Alt Mitjà Baix Alta Mitja Baixa Prioritat
Amenaça 1 X X X
Amenaça 2 X X X
Amenaça 3 X X X
Amenaça 4 X X X
Amenaça 5 X X X
... etc ...
Probabilitat
![Page 17: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/17.jpg)
CanalSegur.com
Pla de prevenció de riscos
● Impacte (€, temps, reputació, ...)● Probabilitat● Prioritat● Solucions● Cost d'implementació
![Page 18: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/18.jpg)
CanalSegur.com
Protecció
● Implementar solucions del Pla de Riscos● Formació i comunicació● Assignar responsabilitats clares● Canvis de rols, permisos, accessos, ...● Provar i refinar els nous processos
![Page 19: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/19.jpg)
CanalSegur.com
Resposta
Pla de continuïtat de negoci ● Amb el Pla de prevenció de Riscos hem:
– Reduït vulnerabilitats (tancat portes)
– Entès les amenaces més probables (identificat els ossos)
– Reduït alguns riscos
● Tot i això, no tot es pot evitar al 100% i haurem identificat possibles riscos «inevitables»
● Com reaccionem si mai passen?
![Page 20: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/20.jpg)
CanalSegur.com
![Page 21: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/21.jpg)
CanalSegur.com
Siniestro total
Ante todo mucha calma
![Page 22: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/22.jpg)
CanalSegur.com
Resposta
Com reaccionem davant una crisi?
● Cal tenir un pla de resposta i continuïtat de negoci :
– Què fer i què no
– Qui fa què i qui és el responsable de cada punt
– Documentar processos a seguir, RACI
– Disponibilitat, còpies i responsables de l'execució del pla
● Simulacre de catàstrofe i millorar els processos
![Page 23: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/23.jpg)
CanalSegur.com
Cas d'exemple
Amenaça: ens quedem sense internet a l'oficina
● Vulnerabilitat: només tenim un proveïdor d'Internet (ISP)
● Risc: no poder treballar fins que torni la connectivitat
● Probabilitat: Baixa
● Impacte: Alt
● Solucions:
– Contractar una 2a línia independent
– Alternativa 3G
– Anar a un Starbucks
– Altres ...
![Page 24: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/24.jpg)
CanalSegur.com
Cas d'exemple
Amenaça: ens quedem sense internet a l'oficina
● Documentarem les solucions escollides
● Definirem el procediment a seguir per a cadascuna
● QUI fa QUÈ, QUAN i COM --> model RACI
Responsable Aprovador Consultats Informats
Comprovar router
Anna Maria Pau, Pere Berenguera
Trucar suport
Pau Maria Ningú Tothom
Repartir 3G Maria, Pau Marta Ningú Tothom
Etc...
![Page 25: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/25.jpg)
CanalSegur.com
Resposta
● Un cop definit el Pla de continuïtat de negoci, cal:
● Fer un simulacre de «catàstrofe»
● i millorar els processos, el pla de continuïtat i el de riscos
● Revisar plans i fer simulacres regularment
![Page 26: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/26.jpg)
CanalSegur.com
Resumint
● Formació per a la prevenció: Higiene digital● Identificar amenaces més importants● Definir el pla de prevenció de riscos digitals● Implementar canvis i millores● Definir pla de continuïtat de negoci● Fer simulacres● PDCA --> Plan, Do, Check, Act/Adjust
![Page 27: EIC-Enginyers Industrials de Catalunya | EIC - Planificant el ...Text i fotos: web de @JGamblin , Maig 2016 CanalSegur.com Tipus d'amenaça Qui o què ens pot «fer mal» --> i.e](https://reader033.vdocuments.pub/reader033/viewer/2022060915/60a8824fbd88fe15b0790f68/html5/thumbnails/27.jpg)
CanalSegur.com
Gràcies!
Jordi Iparraguirre
+34. 656.89.21.44
Serveis de protecció de la informació empresarial