Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Buenas prácticas en protección de datos y seguridad durante el teletrabajo - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 18 de enero de 2021 por Tic cf segurosyfinanzas

80 visualizaciones

Javier Caoxxxx

Más información Transcripción

Descargar la transcripción

Hola de nuevo, buenas tardes. Bienvenidos a los que os hayáis incorporado desde cero como nuevas presentaciones y a los demás, pues muchísimas gracias por continuar con nosotros, que sabemos que la presentación está teniendo un éxito tanto por e-mails que están llegando directamente al centro como por mensajes que estáis mandando a través de YouTube. 00:00:04
Entonces, bueno, sin más, para no extendernos más, voy a presentar al siguiente ponente, que es don Javier Cava Villanera, Cyber Security Privacy and IT Rigs Leader en Governess Advisor Service. 00:00:26
Él se va a encargar de la presentación de la ponencia relacionada con buenas prácticas en protección de datos y seguridad durante el teletrabajo. Así que nada, Javier, cuando quieras, te cedo la pantalla. 00:00:39
Vale, buenas tardes. Bueno, pues el objetivo de esta hora que vamos a estar juntos va a ser sobre todo plantear cuál es la problemática que estamos detectando durante esta nueva situación laboral, que es el trabajar a distancia, en remoto, en teletrabajo, y bueno, sobre todo ver también para estas situaciones cuáles pueden ser unas recomendaciones o posibles soluciones que hay que contemplar. 00:00:51
En cuanto a lo que va a ser el objetivo de la charla, vamos a hablar en primer lugar de cómo se plantea desde la perspectiva siempre de la toma de decisiones la gestión de riesgos tecnológicos. 00:01:19
Para eso yo siempre me gusta plantear que esto es como una partida de ajedrez en donde nosotros solo llevamos las piezas que defienden y no sabemos cuáles son las piezas negras que están al otro lado ni en qué momento nos pueden sorprender. 00:01:34
Teniendo eso como contexto, bueno, pues, digamos, tenemos herramientas y tenemos armamento para poder, en la medida de lo posible, establecer nuestra estrategia de defensa, ¿no? 00:01:48
Cuando hablamos de gestión de la seguridad, bueno, pues, siempre la normativa de referencia va a ser la norma 27.001 de gestión de la seguridad y, bueno, pues, digamos que este problema, las piezas que tiene que contemplar es, básicamente, bueno, pues, la toma de decisiones respecto a los niveles de riesgo. 00:02:00
En nuestro caso, en cualquier organización que tiene que tomar una decisión respecto a proteger sus activos, lo que va a tener que hacer es identificar en primer lugar cuáles van a ser esos activos que quiere proteger. Necesitamos saber qué es lo que para nosotros tiene valor. 00:02:16
Nos tenemos que plantear para cada uno de esos activos qué puede suceder, cuáles son las amenazas potenciales que podrían hacernos daño, de qué manera se pueden manifestar. 00:02:30
Podemos tener debilidades, vulnerabilidades, situaciones que nos hacen susceptibles de sufrir estas amenazas y debemos de estimar cuáles pueden ser los daños que nos pueden causar. 00:02:39
de la lógica o de la, digamos, la valoración ponderada de qué puede ocurrir, 00:02:50
cómo de grave puede ser lo que me acabe impactando, pues tomaremos decisiones 00:02:55
respecto a qué medidas vamos a utilizar para protegernos. 00:02:59
Esto es algo que es, digamos, natural en el ser humano. 00:03:02
Estamos constantemente, por nuestro instinto de supervivencia, tomando decisiones respecto al riesgo 00:03:06
y siempre utilizamos los mismos factores. 00:03:10
¿Qué puede pasar? ¿Qué consecuencias puedo sufrir? 00:03:12
Y, bueno, pues de ahí decidimos qué estrategias o qué acciones tomamos para evitar esas situaciones de riesgo. De esta, digamos, partida, pues, bueno, nosotros controlamos, como vemos, bastantes factores. 00:03:14
No sabemos quién nos puede sorprender o qué nos puede sorprender. No siempre van a ser amenazas intencionadas que vayan a por nosotros, sino que a veces el factor humano, un descuido, un despiste, el error a la hora de gestionar un entorno puede ser el que puede acabar produciendo esos daños. 00:03:28
Pero, bueno, en cualquier caso, nosotros lo que tenemos que es estar preparados ante este tipo de situaciones. 00:03:46
¿Lo que serán para nosotros activos? Bueno, pues cada organización, grande o pequeña, en función de sus objetivos de negocio, pues tendrá una serie de cuestiones que sean importantes. 00:03:52
Fundamentalmente, los activos tecnológicos que manejamos, pues tienen que ver, obviamente, con la información. 00:04:01
En segundo lugar, pues estarían los entornos tecnológicos donde se gestiona esta información, los elementos de comunicaciones, las personas, que son un activo también, 00:04:06
tanto los usuarios como las personas de perfil técnico que gestionan y administran todo ese tipo de infraestructuras, 00:04:15
las aplicaciones informáticas donde están los datos que procesamos y las que utilizamos para el desarrollo de nuestras actividades 00:04:20
y, bueno, pues también es necesario considerar los proveedores, ¿no?, los servicios externos porque, bueno, 00:04:26
a nivel tecnológico cada vez más una tendencia el uso de la externalización de servicios y de aplicaciones que están en nube 00:04:31
y, bueno, pues ellos pueden tener el problema, pero al final nos va a afectar a nosotros. 00:04:37
Luego también son elementos que tenemos que considerar. 00:04:41
Entonces, los sistemas de información, desde la perspectiva de la seguridad, los podemos ver como una torre de naipes. Al final, lo que vamos a intentar es garantizar la continuidad y el buen funcionamiento de nuestras actividades, pero esta torre de naipes, donde estarían arriba los procesos y la información, pues se puede ver afectada por cualquier pieza que tenga un problema de las capas inferiores. 00:04:43
Las capas inferiores pueden ser las herramientas informáticas, las infraestructuras, los equipos de comunicaciones o incluso las sedes físicas donde todo este tipo de infraestructura se aloja o se alberga. 00:05:03
En cualquier caso, cuando hacemos un ejercicio de análisis de riesgos, precisamente lo que tratamos de ver es cuáles son todos estos elementos y cuáles son sus interdependencias. 00:05:16
Y de esa manera podemos estimar cuál es la importancia de cada pieza en función de las consecuencias que puede acabar derivándole a los procesos de negocio. 00:05:24
En este caso, pues el valor material es irrelevante. Lo importante es que si determinada infraestructura o determinado servidor deja de funcionar, bueno, pues que nos va a impedir desarrollar determinadas actividades y ese sería el impacto que tendría ese servidor o el valor que tenía ese servidor para esa organización. 00:05:33
Bueno, pues esto sería, digamos, el análisis que hacemos de lo que queremos proteger o intentando identificar lo que para nosotros tiene valor y, bueno, pues como segunda parte lo que tenemos que plantearnos es qué puede suceder. 00:05:49
Respecto a qué puede suceder, bueno, vamos a tener amenazas que van a estar intencionadas con ánimo de hacer daño y otras que, bueno, van a ser fortuitas o accidentales. 00:06:02
Atendiendo a estas que puedan ser intencionadas, bueno, pues aquí digamos que al otro lado tenemos diferentes tipos de actores y de diferente magnitud y con diferentes capacidades. 00:06:12
Todos ellos nos pueden afectar. Por el hecho de ser una empresa pequeña o mediana, no hay que descartar que podamos ser víctimas de un ataque de un Estado, porque muchas veces este tipo de armamento, de herramientas de ciberataque se lanzan de forma indiscriminada y no diferencian o no focalizan en un objetivo, sino que son campañas que de repente pueden afectar a diferentes tipos de organizaciones. 00:06:21
En cuanto al nivel de conocimiento de los perfiles que generan este tipo de problemas, pues tenemos también un poco de todo, pero lo que sí que es una tendencia en general es que se está profesionalizando el tema de los cibercriminales y cada vez más son frecuentes las noticias de secuestros de sistemas de información, de robos y espionaje industrial. 00:06:46
Y, bueno, pues digamos que, igual que ahora, todo el mundo ha tenido que saltar a escenarios de teletrabajo, los criminales del mundo físico, que ya no pueden operar con tanta facilidad, pues también están campando a sus anchas a través de la red, ¿no? 00:07:08
Y, bueno, pues en ese sentido las tendencias que estamos detectando son el incremento de la actividad cibercriminal. 00:07:22
Así lo reportan los diferentes informes que se van publicando. 00:07:29
Hay uno muy conocido que todos los años publica la empresa americana Verizon, que precisamente hace un análisis de causa. Intenta averiguar qué es lo que está ocurriendo, cuáles son los motivos por los que se están produciendo los incidentes y, bueno, también intenta atribuir o identificar quién es el actor o actores que puedan estar detrás de ese tipo de incidentes. 00:07:32
Y vemos que, de manera destacada, en primer lugar está el mundo del crimen organizado. El crimen organizado como elemento que suele estar vinculado a la extorsión, robo o hackeo de sistemas de información. 00:07:50
Si nos venimos para casa, si particularizamos estas cuestiones a nuestro ámbito nacional, si analizamos las estadísticas que está publicando la Agencia de Protección de Datos respecto a las brechas que se van notificando, que son informes que de manera mensual la agencia cuelga en su página web y graficamos porque ellos cuelgan los datos estadísticos, pero los pintamos a nivel de gráfico, 00:08:04
estamos viendo que, en general, el número de brechas es muy variable, es decir, hay meses con menor número de incidencias y otros donde se multiplican por dos y, en general, afectan más o se notifican más desde el ámbito privado que desde el ámbito público. 00:08:27
Si analizamos las dimensiones que se ven afectadas, en general todas las brechas suelen tener una componente de fuga o filtración de información como elemento principal, aunque también son brechas errores en tratamiento de datos, datos incorrectos o la ausencia de consultar un dato cuando hace falta, que serían los incidentes de disponibilidad. 00:08:41
Y si atendemos al origen de los incidentes, bueno, pues como vemos, destaca en general en las diferentes evaluaciones mensuales, pues que el mundo del malware y del hacking son los que acumulan un mayor volumen de brechas notificadas y luego, pues la pérdida de dispositivos o de información que, bueno, que aunque tiene una fluctuación variable, pues también sería, en tercer lugar, pues la causa más frecuente de la notificación de brechas de seguridad. 00:09:02
Respecto al análisis de esos actores que puedan estar detrás, ahora nos encontramos con que esto del ciberespacio es un ámbito competitivo y los Estados entienden ahí también el despliegue de herramientas que les permitan posicionarse geoestratégicamente de forma privilegiada. 00:09:28
Y hemos visto campañas de diferentes gobiernos en donde, bueno, pues robos de información a las empresas más importantes de, digamos, que puedan ser competencia suya o gobiernos que de manera mascarada atacan a otros. Ha habido evidencias de hackeo muy grande entre el gobierno ruso y los sistemas de información de Estonia y Ucrania. De hecho, en Ucrania provocaron un apagón en medio país con un ciberataque a su sistema de gestión de la energía. 00:09:49
En cuanto a ciberterrorismo, nos estamos encontrando sobre todo con toda la familia vinculada con el ransomware, 00:10:19
las aplicaciones maliciosas que cifran datos y que también se están lanzando, 00:10:25
cuando hablamos de ciberterroristas, a instalaciones denominadas infraestructuras críticas, 00:10:31
con el objetivo de desestabilizar un servicio esencial y provocar problemas físicos ya del mundo real a países o empresas. 00:10:35
En cuanto a cibercriminales, aquí hay también multitud de perfiles. Cabe destacar como caso más relevante la persona de Rob William que tenía montada en la web profunda, en la deep web, un sitio para el Amazon del cibercrimen. 00:10:44
Ahí podías comprar y vender cualquier cosa ilegal y ha sido condenado a cadena perpetua porque era un entorno donde se intercambiaban todo tipo de actos delictivos. 00:11:03
En cuanto a incidentes a nivel de corporaciones, también se han detectado campañas de ciberespionaje. Al final, las empresas invierten en investigación y desarrollo y, cuando alguien va por detrás, puede intentar hacer trampas y obtener una ventaja cuando puede robar la información más sensible de su competencia. 00:11:15
De hecho, este tipo de situaciones siempre se han sospechado y hay evidencias de que ha sido el modus operandi del Gobierno chino con respecto a Europa y a Estados Unidos, porque las similitudes en los diseños de los productos son demasiado casuales como para que no sean originadas por algún conocimiento privilegiado de información sensible. 00:11:36
En cuanto a otro perfil de atacantes que pueda generar este tipo de incidentes, tendríamos también el hacktivismo. Normalmente, este tipo de perfiles lo que van a hacer es buscar la notoriedad y el daño reputacional de la organización a la que afectan. 00:11:59
Normalmente se manifiestan modificando la página web, poniendo mensajes que defiendan la ideología en la que ellos se pretenden atribuir el incidente y hemos visto administraciones públicas y algunas empresas que se ven afectadas por este tipo de incidentes. 00:12:15
No causan tanto un daño operativo, no buscan la interrupción de actividades, pero sí un daño reputacional bastante relevante. 00:12:32
Y, bueno, pues, por último también, pues, como esto de la ciberseguridad es una moda, pues, gente que, bueno, que quiere ser hacker o juega a ser hacker y se pone a utilizar herramientas y para hacer pruebas, pues, las lanza contra internet y, a lo mejor, sin saberlo, está generando problemas en servidores o infraestructuras que están recibiendo esas pruebas, pero que pueden no soportarlas y acabar produciendo este tipo de averías o de caídas de servicios. 00:12:40
De hecho, uno de los que ahí menciono fueron gente que se pone a jugar, a intentar diseñar virus y se le fue la mano y creó un ataque de negación de servicio que afectó a compañías muy relevantes. 00:13:07
Y, bueno, por último, también tendríamos personas que, por diferentes motivos, arremeten contra la organización para la que trabajan y filtran o fugan información sensible que luego pueda causar daños importantes, o bien económicos o bien en la reputación. 00:13:21
Bueno, pues estos son un poco todos los actores que pueden estar detrás de un incidente intencionado. 00:13:39
Al final, todos ellos están fuera de nuestra organización, van a interactuar a través de la red 00:13:45
y lo que van a intentar buscar siempre va a ser cuál es nuestro eslabón más débil. 00:13:50
Al final, este tipo de situaciones, por muchas medidas que tratemos de establecer, 00:13:55
siempre decimos que la máxima seguridad que vamos a obtener va a ser tan fuerte como el más débil de los eslabones. 00:14:01
Y en materia sobre todo de protección de infraestructuras, para que se pueda dar una intrusión, digamos que se tienen que dar tres factores que lo faciliten. Igual que para que haya un incendio tiene que haber tres factores que facilitan la combustión, pues en el caso de la intrusión necesitamos, por un lado, el atacante tener una motivación, irá por un objetivo que serán los datos, pero para ello va a necesitar una puerta de entrada, que serán las vulnerabilidades, 00:14:07
Y lo que haga lo va a realizar desde Internet. Luego, tanto los tráficos de red de nuestra organización hacia Internet como la presencia de vulnerabilidad en nuestra infraestructura son cuestiones que están, digamos, que en nuestro lado de tomar decisiones y tratar de evitar que ese tipo de posibilidades existan. 00:14:33
Con lo cual, bueno, pues al final hay que ser optimistas y tratar de reducir en la medida de lo posible todos estos puntos de entrada para complicarle mucho la vida a quien pretenda tener o realizar este tipo de intrusiones. 00:14:54
En relación a la típica pregunta que suele surgir, bueno, yo soy una empresa pequeña, una organización irrelevante, ¿y para qué van a querer mi equipo? ¿Para qué van a querer entrar en mi web o para qué van a querer entrar en mis infraestructuras? 00:15:08
Bueno, al final un equipo vulnerado se utiliza para miles de finalidades. Puede ser un punto intermedio para luego desde ese equipo intentar atacar a otro y de alguna forma que aparezca las direcciones IP de mi organización envueltas en un incidente, o pueden utilizarlo para albergar contenidos delictivos y luego compartir nuestra dirección y que seamos nosotros quienes están suministrando o ofreciendo a la red ese tipo de contenidos. 00:15:21
O puede ser para robar información, es decir, que el atacante normalmente va a buscar dos finalidades. O bien pretende acceder a información que para él sea valiosa y va por nosotros porque pretende robarla, o bien pretende abusar de nuestras capacidades o nuestra infraestructura. 00:15:46
Y, bueno, pues últimamente ahora también nos encontramos con la versión de secuestrar nuestro sistema de información para solicitar un rescate. Es decir, que, como vemos, las finalidades suelen ser este tipo de objetivos y no nos libramos nadie de ser víctima de una situación de esta naturaleza. 00:16:04
Lo que sí también es importante destacar es que igual que los que tomamos decisiones tenemos una metodología, pues los atacantes también tienen su proceso de preparación y de diseño de lo que van a lanzar como campaña. 00:16:24
Y de hecho, ellos de alguna forma cuando identifican un objetivo o identifican una situación que les permita lograr tener éxito con una campaña de ransom, lo que hacen en primer lugar es estudiar qué van a hacer y dónde lo van a lanzar. 00:16:39
De manera rápida dispersan ese correo electrónico con el adjunto, con el enlace que va a ser el cebo y cuando consiguen tener éxito lo que hacen es permitirse una conexión a la organización vulnerada y a partir de ahí ir entrando hacia adentro hasta encontrar lo que van buscando o tener capacidad de poder lanzar, por ejemplo, una aplicación de cifrado y bloquear la organización y entonces pedir el rescate. 00:16:54
O sea, que ellos tienen una metodología y van dejando pistas. Y la cuestión es que quien administra y vigila los sistemas de información sea capaz de detectar que eso está ocurriendo antes de que lleguen al final de su objetivo, que es cuando bloquean nuestra organización. 00:17:20
Bueno, analizando las estadísticas de incidentes que se van publicando, sobre todo en Europa, tenemos a ENISA, la Agencia de Ciberseguridad Europea, como nuestra institución de referencia. Las casuísticas más comunes que generan incidentes están relacionadas con el ataque a páginas web, el ataque por aplicaciones malware. 00:17:35
Y luego, muchas veces estos ataques tienen éxito porque han conseguido engañar a alguien con o bien técnicas de phishing, de enlaces que te llevan a un sitio que aparentemente es legítimo, pero que realmente te están instalando algo no autorizado, o mediante correos electrónicos que engañan al usuario. 00:17:53
Es decir, que aunque las primeras, segundas y terceras posiciones las ocupen determinados tipos de ataques, para que esos tengan éxito, previamente en fases anteriores han tenido que tener éxito ataques de menor relevancia. 00:18:12
Y bueno, pues como estamos en una situación anómala y las organizaciones han tenido que saltar al mundo del teletrabajo, Microsoft ha publicado un informe de análisis de los incidentes de seguridad este año y vemos cómo justo con los picos de mayor incidencia de la pandemia también se detectaban simultáneamente grandes campañas de correos electrónicos maliciosos para intentar engañar a la gente. 00:18:25
Y, bueno, aprovechándose de que la gente estaba, de alguna forma, acostumbrándose a este nuevo escenario del teletrabajo, pues, aprovecharse de esa coyuntura y tratar de, bueno, pues, aprovecharse de la situación y tener o lograr beneficios económicos de esas circunstancias, ¿no? 00:18:51
Al final, como vemos, el cibercrimen siempre persigue una finalidad que suele ser lucrativa y da igual el contexto, no cejan en el intento y van a aprovechar aquellos momentos en donde podamos ser más frágiles o más vulnerables. 00:19:11
incluso ahora que estamos en una situación de crisis sanitaria yendo a por infraestructuras 00:19:26
que saben que, bueno, que como haya un problema y que pueda suponer una parada operativa, 00:19:31
pues van a hacer lo que sea con tal de salir de esa situación de crisis y, por lo tanto, 00:19:37
pues sea más probable que cedan a su chantaje y acaben pagando el rescate que se les pide 00:19:43
cuando no tienen la capacidad de restaurar los sistemas que se han visto afectados. 00:19:49
Bueno, pues teniendo en cuenta todo este contexto, la gestión de riesgos tecnológicos lo que va a hacer es básicamente plantear qué es lo que para nosotros tiene valor, qué es lo que queremos proteger, qué cosas pueden suceder. 00:19:54
Nosotros habíamos pensado probablemente en muchas de estas amenazas y tendremos nuestros escudos, nuestras medidas de seguridad y, bueno, lo que tenemos que asegurar es que no tenemos huecos por los que las amenazas nos puedan acabar haciendo daño. 00:20:09
Esos huecos pueden deberse o bien a que no hemos pensado en medidas de seguridad para algunas de las amenazas, 00:20:21
o bien las medidas de seguridad no funcionan bien o no hemos comprobado su eficacia. 00:20:27
Con los temas de ransom, pues en muchos casos, digamos que el daño ha sido grave 00:20:31
porque cuando han ido a tirar de copias de seguridad, pues las copias de seguridad no funcionaban 00:20:36
o las copias de seguridad también estaban infectadas, con lo cual la medida de seguridad estaba funcionando, 00:20:40
pero como no se comprobaba su eficacia, pues cuando ha hecho falta se han dado cuenta 00:20:46
Y, bueno, pues el desastre es mucho mayor. La gestión de riesgo básicamente es intentar establecer o decidir qué cuestiones son más relevantes o más importantes y tomar decisiones en función de la posibilidad de que algo ocurra y el daño que me va a causar. 00:20:49
En cuanto a los catálogos de amenazas que puedan suceder, si atendemos a su naturaleza nos vamos a encontrar con incidentes físicos, incidentes fortuitos, problemas causados por gente con ánimo de hacer daño y también tenemos que contemplar problemas legales, problemas con proveedores, con terceros que puedan generar algún tipo de incidente que acabe afectando a nuestra organización. 00:21:05
Y, bueno, pues este tipo de situaciones, para cada elemento que queremos protegernos, planteamos si es posible que pueda ocurrir o no pueda ocurrir. Teniendo todo esto en consideración, bueno, pues lo que hacemos es pensar cada tipo de incidente a qué va a afectar en materia de seguridad, si va a ser un daño en la disponibilidad de los datos, en la integridad o corrección de la información o en la confidencialidad. 00:21:32
Y, bueno, pues cada organización también, en función de sus procesos de negocio, pues puede ser más importante una dimensión que otra. Si soy una tienda online que vende en internet, lo que voy a querer es tener disponible la página web para que, digamos, pueda captar el mayor número de compradores y la disponibilidad para mí sería muy importante. 00:21:54
Si soy una entidad del ámbito sanitario, lo que voy a querer con mayor importancia es que la información sea correcta, que cuando vaya a tomar una decisión sobre un paciente tenga la absoluta certeza de que los datos son exactos y que no han sido alterados por nadie y que el historial clínico que estoy leyendo no contiene ningún error y, por lo tanto, me permite un diagnóstico correcto. 00:22:13
Si soy una empresa de selección de recursos humanos, pues a lo mejor lo que tengo que velar es por la confidencialidad de mis candidatos para que no se sepa, a lo mejor, que están buscando trabajo cuando ya, digamos, disponen de uno y, bueno, pues puede causarle algún tipo de problema el hecho de saber que están intentando cambiar de empresa. 00:22:35
Cada amenaza puede afectar a una o varias de estas dimensiones y, bueno, pues la toma de decisiones respecto al riesgo es o bien intentamos evitar las causas que dan pie a la amenaza o bien tratamos de reducir los daños que van a generarnos las consecuencias. 00:22:51
Las estrategias serán, básicamente, o centrarnos en la prevención o en la detección o en la respuesta. Y las distintas medidas de seguridad que podamos pensar, antivirus, copias de seguridad, formación, todo lo que hacemos, o se orienta a reducir causas o consecuencias o ambas de forma simultánea. 00:23:04
En cualquier caso, lo que haremos será, con la orientación a riesgo, bueno, pues que las decisiones que tomemos serán aquellas que generen un mayor beneficio. Entendido este como que reducen aquellos riesgos de mayor impacto o reducen aquellos riesgos de mayor probabilidad. 00:23:22
Y para nosotros las zonas, digamos, prioritarias a la hora de solucionar problemas será la zona 3, que es donde puede ocurrir muy frecuentemente y me va a hacer mucho daño o donde pueda ocurrir de forma casual, pero el daño también sería muy importante, ¿no? 00:23:37
Lo que estamos sufriendo, la pandemia, el COVID-19, sería una situación que se sitúa en una zona de era poco probable que ocurriera, pero si ocurría tenía un alto impacto. Es una situación que se denomina a veces cine negro porque son situaciones altamente improbables, pero de alto impacto y, bueno, pues se tienen que tener en consideración y se tienen que saber gestionar. 00:23:51
Y en cuanto a las decisiones para las medidas de seguridad, cuando estamos evitando situaciones que nos van a hacer daño estamos gestionando riesgos y cuando ya estamos siendo capaces de detectar que está produciéndose hablamos de la gestión de incidentes y todas las medidas que podamos hacer a posteriori para reducir daño, todas las que utilicen una estrategia de corrección, recuperación o contención, lo que van a hacer es intentar minimizar en la medida de lo posible las consecuencias. 00:24:10
Y, bueno, todo lo que a efectos de toma de decisiones, cuando alguien se plantea cómo proteger una organización va a hacer, será, como hemos visto, ver qué tengo que proteger, ver qué puede pasar, ver qué puedo hacer para cada una de esas amenazas. 00:24:37
En función de esa priorización atendiendo a riesgo, pues poner en orden todo eso y dotar las inversiones de forma proporcional a los problemas que tratamos de gestionar. 00:24:50
Y bueno, ordenar todo eso para tener mecanismos que nos iban sobre todo para prevenir, detectar y responder. Básicamente esas serían las tres grandes acciones que podemos hacer. Ahí vamos a tener que implicar tanto a las personas como dotarnos de capacidades tecnológicas como a veces algo tan sencillo como establecer procesos o procedimientos. 00:25:01
En muchos casos, pues no es una cuestión de adquirir material o tecnología, sino de definir procesos de forma correcta para tener garantías de que las cosas se hacen de forma ordenada y, bueno, no dejamos ninguna cuestión sin atender, ¿no? 00:25:20
En cualquier caso, bueno, pues estas son nuestras herramientas y la orientación a riesgo será la forma de priorizarla. 00:25:35
Y, bueno, ya entrando en materia del contexto del teletrabajo, bueno, pues lo que vamos a hacer es algo parecido. Vamos a ver qué escenarios se han planteado de teletrabajo en las organizaciones y vamos a ver en cada uno de ellos, pues, bueno, cuáles son posibles soluciones o qué mecanismos de seguridad podemos plantearnos que van a permitirnos mitigar los riesgos que se puedan producir. 00:25:43
En cuanto a las primeras cuestiones que hay que tener en cuenta es que cuando hablamos de teletrabajo tenemos que diferenciar diferentes piezas que van a formar parte de esa funcionalidad que nos permite el acceso remoto. 00:26:04
Por un lado vamos a tener el dispositivo con el que accedemos, que va a ser nuestro puesto de trabajo, un smartphone, una tableta, o sea, lo que llamamos el punto de conexión o el dispositivo de acceso. Por otro va a ser el canal de comunicación, que en este caso solemos utilizar la conexión a internet de diferentes proveedores. 00:26:18
Y luego, en el extremo de la organización, ahí tendremos diferentes maneras de conectar, diferentes maneras de verificar que la autorización de ese puesto de trabajo es correcta o no y, además, utilizaremos aplicaciones corporativas del entorno empresarial. 00:26:35
Entonces, vemos que las piezas que hay que proteger tienen diferente naturaleza y vamos a ir viendo para cada uno de estos tipos de piezas lo que habría que plantearse. 00:26:53
En materia de teletrabajo, también aquí depende de cómo es el punto de acceso o el equipo que tiene el empleado y hasta dónde la organización puede tomar decisiones respecto a su control. 00:27:03
Aquí tenemos diferentes siglas que nos sirven para identificar las diferentes versiones que hay de acceder al mundo del teletrabajo. Desde la más básica, que es donde el empleado pone su propio dispositivo, es decir, que la empresa le da un acceso y es el empleador que pone su puesto de trabajo. 00:27:15
En este escenario, por ejemplo, la organización, la empresa no puede aplicar configuraciones sobre ese equipo por propiedad privada del empleado. Hay otras opciones donde la empresa tiene diferentes tipos de dispositivos y el empleado elige uno de ellos. 00:27:34
algunas organizaciones lo que están es estableciendo 00:27:49
que hay un determinado tipo de dispositivo que es corporativo 00:27:52
pero en el que se permite el uso personal 00:27:56
de esa manera la organización sí puede establecer y decidir 00:27:58
políticas de seguridad sobre ese dispositivo 00:28:01
porque es de su propiedad aunque le permite el uso personal al empleado 00:28:04
y bueno pues la más restrictiva en donde la organización 00:28:07
no pierde el control de ninguna de las piezas sería cuando 00:28:10
pone los medios de conexión además de la propia conexión 00:28:13
y la infraestructura a la que se conecta 00:28:17
Estas serían, digamos, las cuatro opciones de puntos de acceso que un empleado, pues, puede utilizar. En cuanto a cuestiones que hay que tener en cuenta, bueno, por un lado, este nuevo contexto requiere de ajustes en materia de privacidad, es decir, que sobre el empleado vamos a tener una nueva información que está relacionada con el desarrollo de su actividad laboral en un lugar a distancia. 00:28:19
Y, luego, también es necesario que el empleado tenga conocimiento de cuáles son, digamos, las normas permitidas de uso de los sistemas que se le están facilitando para que, bueno, pues tenga claro cuáles son las medidas de seguridad corporativas que se tienen que respetar en este nuevo contexto. Esto es la formalización, pues, bueno, de los temas relacionados con sentimientos necesarios y la firma también de, pues, normativa de uso de los sistemas de información. 00:28:44
En cuanto a los escenarios de teletrabajo, las empresas que han tenido que dotarse de estas nuevas infraestructuras o que han tenido que abrir sus infraestructuras a este tipo de modalidad de conexión han centrado la respuesta a esta situación en base a tres grandes escenarios. 00:29:11
Había organizaciones que ya estaban trabajando en nube, es decir, que ya estaban utilizando aplicaciones virtuales de ofimática, como por ejemplo Office 365 o Google Apps. 00:29:34
Y en este caso, digamos que los cambios, lo único que han supuesto es que el empleado, en vez de entrar desde la red corporativa, entra desde Internet, pero tiene las mismas medidas de seguridad que ya tenían estos entornos ofimáticos cuando accede desde el mundo corporativo. 00:29:45
Hay una segunda opción que es donde al empleado se le ha creado un puesto de trabajo virtual. Esto es que el empleado se conecta a la red de la empresa y arranca un PC que es virtual, es decir, que es donde tiene las aplicaciones corporativas que va a utilizar y cuando apaga el equipo, pues el equipo desaparece y todo el trabajo queda en el entorno de infraestructura de la organización. 00:30:00
Y hay una tercera que también se ha utilizado, que es que lo que ha hecho la organización ha sido tener una infraestructura en sus instalaciones y permitir la conexión remota de empleados a esa infraestructura. 00:30:23
En este caso, bueno, lo que ha habido es eso, la configuración de conexiones remotas que conectan o bien a los propios servidores que ya asistían o bien al puesto de trabajo que tiene ese empleado que lo han dejado encendido para que pueda utilizar, pues bueno, digamos que desde casa es como si estuviera físicamente sentado en la silla que tiene en su oficina. 00:30:36
Bueno, pues estos escenarios plantean diferentes cuestiones desde la perspectiva de seguridad. Cuando hablamos de entornos ofimáticos de nube, en este caso la empresa que gestiona esta infraestructura controla a quién le da acceso, controla el puesto de trabajo y controla también la configuración de toda esta infraestructura. 00:30:58
Es decir, que puede establecer y tomar decisiones respecto a estos tres parámetros. Cuando hablamos de escenarios en donde lo que ha habido es la creación de un puesto virtual, bueno, pues en este caso lo que se ha hecho ha sido dotar al empleado de un medio de conexión segura a través de configuraciones de lo que llamamos redes privadas virtuales que le permiten tener una visión de un equipo PC virtual que tiene las aplicaciones corporativas. 00:31:18
A efectos prácticos, lo único que ocurre en este tipo de situaciones es que tú tienes un PC que físicamente está en tu casa, que se conecta, o digamos que desde tu pantalla eres capaz de ver la pantalla de ese puesto de trabajo virtual, que es el que realmente está trabajando contra las infraestructuras de la organización, el que realmente interacciona con los servidores. 00:31:48
Aquí, en este caso, pues tenemos que controlar, o sea, nosotros controlamos tanto ese puesto de trabajo virtual como los entornos de conexión y también la propia configuración de los entornos corporativos. 00:32:10
Y el tercer escenario sería cuando, bueno, pues lo que hemos hecho ha sido que el empleado se conecte en remoto con su PC a nuestra organización y a partir de ahí que pueda utilizar las herramientas corporativas a las que tenga que tener acceso. 00:32:21
Aquí vemos que, por ejemplo, con respecto al puesto de trabajo ya la organización no tiene control, ya no puede decidir si tiene que tener antivirus, si tiene o no que tener capacidades de filtrado de conexión, es decir, vemos que en este tipo de escenarios la empresa lo único que gestiona es el extremo que ella controla, porque el punto de acceso está bajo la custodia del empleado que lo proporciona. 00:32:38
Bueno, pues viendo estas tres situaciones, vamos a ver ahora, desde el punto de vista de las soluciones, cuáles son las cuestiones que vamos a tener que atender. 00:33:03
Bueno, como hemos visto, como el problema es complejo, pues lo dividimos en diferentes trozos y en cada trozo veremos a ver qué se puede hacer. 00:33:17
Al final, un entorno de teletrabajo tiene, por un lado, a las personas que lo van a utilizar, que también, como vemos, son un elemento sobre el que hay que desplegar medidas de seguridad porque pueden ser víctimas de determinado tipo de ataques. 00:33:26
Tenemos que controlar el puesto de trabajo desde el que se va a interactuar, tenemos que asegurar también la seguridad del canal de acceso y, luego, por último, la seguridad de la infraestructura o de los equipos corporativos que dan servicio a estos empleados. 00:33:39
Cada uno de ellos tiene diferentes peligros y lo que vamos a ir viendo es, para cada uno de estos elementos, cuáles son los peligros y cuáles son las soluciones que podemos plantear. 00:33:54
Bueno, en cuanto al propio puesto de trabajo, las amenazas que le pueden afectar son las más frecuentes, ¿no? Las de aplicaciones maliciosas o que el equipo pueda tener aplicaciones sin parchear o que pueda, bueno, al estar conectado a la red y tener una dirección IP, que pueda ser víctima de algún tipo de intrusión. 00:34:02
Como solución que aplicamos a los puestos de trabajo, las reglas básicas de que el equipo esté lo más actualizado posible, porque al final una actualización lo que hace es cerrar puertas de posibles agujeros y cuanto menos agujeros tenga un equipo en sentido de menos fallos o vulnerabilidades, más difícil se lo pondremos a quien intente utilizarla. 00:34:21
Y luego, bueno, pues también tener una herramienta antivirus que detecta comportamientos maliciosos y, en la medida de lo posible, que el usuario tenga permiso solo para hacer aquellos cambios que sean pertinentes en relación a su puesto de trabajo. 00:34:42
Aquí hablamos del principio de mínimos privilegios cuando, por ejemplo, al usuario no le permitimos cambiar configuraciones de seguridad del equipo, que no pueda deshabilitar el antivirus, que no pueda deshabilitar los sistemas de protección de comunicación. Es decir, lo dotamos de unas capacidades de seguridad que el propio usuario no va a poder deshabilitar. 00:34:56
En relación al canal de comunicación, aquí lo que tenemos sobre todo es que evitar problemas en los extremos de comunicación, es decir, al final el equipo conectará contra un punto de entrada de nuestra organización que al ser visible en Internet puede recibir también todo tipo de ataques. 00:35:15
Entonces, de igual manera, tenemos que hacer que esos equipos visibles desde Internet tengan las menores vulnerabilidades posibles y, sobre todo, el tráfico de información que vaya desde los puntos de conexión a nuestra organización, que vaya cifrado, que no sea capturable y no sea analizable esa información. 00:35:31
porque en esa información, si alguien estuviera escuchando los intercambios de información, 00:35:50
pues podían encontrar, por ejemplo, credenciales de usuario y luego suplantar a usuarios. 00:35:55
En este caso, pues digamos que las medidas de seguridad son las que normalmente no solemos encontrar. 00:36:01
Dispositivos de seguridad perimetral, los famosos firewall, que lo que están haciendo es vigilar 00:36:06
que las conexiones son correctas y que se permiten y se autorizan determinados equipos 00:36:10
que se conoce que los usuarios son legítimos y, bueno, pues también en la medida de lo posible 00:36:18
que tengamos hacia afuera una visibilidad de lo mínimo posible 00:36:23
para que el atacante encuentre muy pocas cosas sobre las que poder hacer pruebas 00:36:28
o intentar la intrusión. En cuanto a los entornos de nube, bueno, aquí realmente 00:36:33
el propio proveedor ya nos da un montón de servicios y ellos tienen 00:36:38
incluso medidas de seguridad sobre infraestructura, lo que puede gestionar 00:36:43
o se tiene que tratar de garantizar es que el acceso sea el correcto. 00:36:48
Entonces, en estos casos, en estos entornos, lo importante es asignar a los usuarios los permisos correctos 00:36:52
y, en la medida de lo posible, empezar a sustituir el usuario y contraseña por mecanismos de doble factor de autenticación. 00:36:58
Estos mecanismos de doble factor son aquellos que plantean un reto sobre algo que normalmente el empleado va a tener, 00:37:05
como pueda ser el dispositivo móvil. 00:37:12
Es decir, que además de poner el login y la contraseña, cuando se produce el primer acceso o bien manda un SMS al móvil o bien hay una aplicación instalada en el móvil que cuando intentas acceder te va a informar de que lo estás haciendo para que confirmes y, de esa manera, si alguien te roba las credenciales y te roban el usuario y contraseña, como no te van a robar o no tienen tu dispositivo de autenticación, pues no van a conseguir suplantarte. 00:37:14
Y, bueno, pues todos estos entornos como medida de seguridad vigilar su uso para detectar cualquier comportamiento anormal. Y en relación con las soluciones basadas en nube, en donde nosotros lo que hacemos es poner al usuario un punto de trabajo virtual, pues aquí de nuevo tenemos que aplicar mecanismos de protección de malware, de nuevo controlar el acceso y también minimizar o aplicar parches. 00:37:37
Y en cuanto a las soluciones tradicionales, donde lo que hace el empleado es conectarse en remoto, pues aquí sí que es importante que ese acceso que se va a producir en remoto, que tengamos garantías de autorización y que habilitemos también el doble factor de autenticación. 00:38:02
Es decir, que cuando alguien vaya a conectar a esa red privada virtual, pues que lo haga demostrando su identidad de forma sólida, ¿no?, mediante estos mecanismos de doble factor y luego limitar las conexiones y los accesos a las aplicaciones a aquello que sea lo mínimo necesario. 00:38:19
Y, por último, porque todo esto, digamos, son medidas de seguridad que aplicamos a la infraestructura con respecto a las personas, bueno, pues como son, digamos, que normalmente el punto donde se produce el mayor número de ataques, porque se basa casi siempre el ataque en tratar de engañarlo, pues aquí, aparte de las medidas de seguridad que aplicamos al puesto de trabajo, pues formación para que sea capaz de identificar cuándo puede ser víctima de este tipo de engaños. 00:38:36
Y ya para acabar, bueno, pues las campañas de ransom que estamos viendo más sofisticadas, lo que están haciendo inicialmente es te mandan un email con un archivo malicioso o un Word que tenga habilitadas macros o algún tipo de ejecutable en donde te meten algún tipo de prisa para que proceses rápido eso y le des a ejecutar rápido. 00:39:01
Lo que hacen es, una vez que se ejecuta esta primera parte, digamos que el archivo malicioso que no es detectado, lo que hace es descargarse de Internet el verdadero aplicativo Ransom y, bueno, pues lo que hacen es se van moviendo por la infraestructura de la organización hasta conseguir robar las credenciales de los administradores de la infraestructura. 00:39:22
Y cuando tienen esa capacidad de tomar decisiones y de configurar el entorno, lo que hacen es distribuyen la aplicación maliciosa a todos los puestos de trabajo y a una hora terminada lanzan la aplicación para que de repente todos arranquen y cifren el puesto. Y eso es lo que acaba bloqueando. 00:39:44
Entonces, bueno, en la medida de lo posible tenemos que tratar de reducir lo que llamamos la superficie de exposición, es decir, que la información que demos de nuestra organización desde Internet sea la menor posible, que el número de equipos visibles sea el menor posible y a veces, de hecho, ha pasado durante la pandemia, bueno, pues en esas prisas de configuración de las cosas para que todo el mundo pueda trabajar en remoto, pues no nos estamos dando cuenta desde que Internet se está pudiendo ver la ventana de inicio de sesión del usuario, 00:40:00
Con lo cual, bueno, podrían provocar o podrían intentar aquí, intentar adivinar las contraseñas o empezar a hacer pruebas de ese estilo. Y para acabar, bueno, pues hay una serie de cuestiones básicas que denominamos de ciberhigiene, que hemos visto que son medidas que tienen sentido en muchos contextos. 00:40:29
El doble factor de autenticación como un mecanismo que ya no nos hace vulnerables a que nos roben las contraseñas. El parchear tanto el sistema operativo como las aplicaciones. El tener un antivirus actualizado. El tener conocimientos básicos de este tipo de situaciones y de engaños que se producen. Y luego, en cuanto a lo que tiene que ver con la administración de los entornos, pues vigilar, parchear y tener copias de seguridad por si las cosas fallan. 00:40:46
Y en cuanto a consejos como usuario, bueno, pues aquí también en Govertis hicimos una infografía sencilla en donde dábamos una serie de pautas muy elementales, pero como veis insisten siempre en lo mismo. Prevención ante correos maliciosos que puedan intentar buscar que hagamos doble clic en algún archivo o enlace, el doble factor de autenticación y, bueno, pues en la medida de lo posible que los mantenimientos y actualizaciones de las herramientas, 00:41:10
pues traten de mantener al día toda la infraestructura. 00:41:40
Y de igual manera, el event path de Telefónica también resumía en una infografía sencilla 00:41:44
todas estas cuestiones que insisten en lo mismo. 00:41:50
Normalmente, digamos que el punto de entrada va a ser que son capaces de engañar a un usuario. 00:41:53
El nivel de sofisticación cada vez es mayor. 00:41:59
De hecho, ya empiezan a sustituirse incluso los correos electrónicos por llamadas, 00:42:01
en donde alguien te está diciendo que es un servicio técnico que trata de ayudarte 00:42:06
y, bueno, pues la sofisticación, obviamente, conforme vamos siendo más capaces de detectar este tipo de cosas 00:42:10
y no les funciona o no tienen tanto éxito, pues van cambiando su modus operandi 00:42:17
para seguir intentando robar credenciales, que es la manera inicial por la que consiguen entrar en las organizaciones. 00:42:22
Incide como el Instituto de Seguridad Española, pues tiene de todo este tipo de cosas, 00:42:30
tanto formación como guías que ayudan, sobre todo a empresas y ciudadanos, a estar bien protegidos. 00:42:35
Y, bueno, para acabar, al final yo siempre hago el símil con el cuento de los tres cerditos. 00:42:44
Es decir, la inversión en la protección tiene que ser proporcional a lo que podamos perder en caso de tener un incidente. 00:42:49
Con lo cual, bueno, pues cada cual necesitará valorar ese nivel de garantías y, sobre todo, bueno, que si tiene un incidente severo, que pueda ser capaz de volver a la normalidad en el menor tiempo posible, ¿no? 00:42:56
Y, como última reflexión, lo peor que puede ocurrir es que te des cuenta de que creías que tenías muchísimos mecanismos de protección y todos fracasen en el momento que tienes el incidente y que sea cuando te das cuenta de que no eran eficaces, ¿no? 00:43:09
Entonces, bueno, pues siempre cualquier medida de seguridad tiene que ser probada o tenemos que preocuparnos de verificar que cumple con su objetivo. Pues creo que me he pasado a lo mejor un poquito en tiempo, pero hasta aquí. 00:43:23
Muchas gracias Javier. Creo que es muy representativo el símil con los tres cerditos y el rey desnudo. Creo que si había algo que no habíamos entendido a partir de ahí creo que estaba clarísimo. Pues mira Javier, si quieres te hago, te realizo varias preguntas que nos han hecho los usuarios. ¿Recomiendas algún estándar para proteger a las empresas de los riesgos de ciberseguridad? 00:43:37
Sí, aquí la norma de referencia es la 27001, que es la norma que se preocupa por la seguridad de la información. En materia de protección de datos, la Agencia de Ciberseguridad Europea, ENISA, ha publicado una guía que es fácilmente localizable en internet porque se llama el Data Protection Handbook, el manual de seguridad en protección de datos. 00:44:01
Y lo que han hecho ha sido una aproximación más sencilla del estándar. Lo que plantean es, bueno, hay una serie de áreas de seguridad que se tienen que contemplar y lo que haces es, para poder saber, dada la naturaleza de tus tratamientos, qué nivel de garantías tienes que dar, hay un proceso sencillo, una metodología muy básica de valorar esos tratamientos, qué tipo de consecuencias les pueden generar al interesado. 00:44:24
Y por otro lado, te preguntan en qué entorno tecnológico están esos tratamientos, qué tipo de relación tienes con terceros, si tienes encargados. Hay un cuestionario basado en cuatro grandes apartados y te va a dar un nivel de riesgo del tratamiento bajo, medio o alto. Y en función de ese nivel, pues te plantean que cumplan más o menos medidas. 00:44:50
Todo eso, además, en su página web, pues tiene, digamos, un apoyo en una herramienta online, donde tú puedes ir contestando todas estas preguntas y te va a sugerir cuáles son las medidas de seguridad que tienes que aplicar. 00:45:07
Lo bueno de ese enfoque es que además esas medidas ellos también te las relacionan con el estándar, con lo cual el estándar son 114 medidas las que plantea, pues en ISA recomienda en torno a un 60 o 70% cuando tienes el nivel más alto, con lo cual, bueno, pues a empresas que no tengan ese nivel de complejidad les está, digamos, metiendo en el camino de las buenas prácticas, pero digamos que inicialmente no les plantea tener que poner en marcha todos los mecanismos. 00:45:20
Y eso la agencia, en algún informe que he visto en relación a brechas de seguridad y el procedimiento de inspección, lo ha valorado como una buena aproximación. Es decir, que si no puedes, entre comillas, ir a por la norma de referencia, al menos que estés haciendo cosas que están alineadas con esas buenas prácticas. 00:45:46
En el caso de pequeñas organizaciones, por ejemplo, para poder empezar con algo relacionado con cultura interna de seguridad, ¿empezarían por la norma que acabas de comentar o lo básico, lo mínimo que pueden aplicar? 00:46:04
Sí, ahí siempre más o menos tenemos que cubrir tecnología, personas, proceso. Entonces, sí que es cierto que los puntos que causan problemas están siendo sobre todo orientados hacia las personas. A nivel de estadísticas vemos que la manera con la que consiguen tener éxito muchos de estos incidentes son porque son capaces de engañar a alguien y a veces también porque hay malas configuraciones o no se está vigilando y no se detecta a tiempo lo que está ocurriendo. 00:46:17
Pero en cualquier caso, sí, lo básico estaría ahí. 00:46:44
De acuerdo. ¿Y sería para minimizar los riesgos de seguridad? ¿Sería suficiente disponer de planes de directores de seguridad que fueran evaluados regularmente y se hicieran pruebas periódicas? ¿Eso sería suficiente? 00:46:50
Sí, eso sería, digamos, una aproximación en donde, digamos, vas a invertir en lo que consideras importante atendiendo a estas necesidades que se han planteado. Es la orientación del reglamento. O sea, en el reglamento de protección de datos, que nos vamos a una cultura de la responsabilidad proactiva, digamos que no hay establecido un conjunto mínimo de medidas. 00:47:01
Teníamos en la Ley de Protección de Datos y su desarrollo reglamentario antes una serie de artículos que explícitamente indicaban cuáles eran todas las medidas de seguridad que había que contemplar, atendiendo al tipo de datos y, bueno, las establecían para la categoría básica, media o alta. 00:47:22
Ahora, digamos que lo que se ha hecho ha sido eliminar restricciones, que cada organización pueda tomar libremente las decisiones de considerar aquello que para ella son medidas mínimas y cuando tenga un incidente, que es cuando puedes ver que es lo que has hecho mal, pues tendrás que justificar que ese nivel de riesgo era el adecuado. 00:47:36
Ahí es donde digo que, bueno, que la metodología que plantea ENISA en procedimientos sancionadores, la agencia entiende que es una buena práctica. Es decir, que no has, entre comillas, hecho nada que, bueno, que pueda de alguna manera haber descuidado o desatendido algún aspecto de la seguridad, sino que has tenido esa visión holística de todo, ¿no? 00:47:54
Muy bien. Y última pregunta. ¿Qué salvaguardas se pueden aplicar a las bases de datos en CPD propia y base de datos alojadas en remoto con encargados de tratamiento? 00:48:14
Pues cuando hay terceros, la medida de seguridad única que existe es la relación contractual que hayas establecido 00:48:26
y las cláusulas que hayas firmado con ellos en cuanto a, bueno, pues tanto las medidas que ellos tengan que aplicar en tu nombre 00:48:33
como cuando hay un incidente, que eso es importante también que se determine, quién va a hacer qué y cómo se va a avisar 00:48:40
y sobre todo, bueno, qué tiempos máximos ellos tienen estimados de vuelta a la normalidad. 00:48:46
Y en cuanto a las medidas propias, bueno, ahí hablamos de tener planes de continuidad de negocio, contingencia, que es que si todo va mal, yo tengo que tener por escrito qué voy a hacer para conseguir restaurar o levantar todo desde cero. 00:48:51
Entonces, normalmente, también depende de la estrategia que se utilice, si partimos de las copias de seguridad, bueno, pues que se sepa cómo desde las copias se vuelve a recuperar la infraestructura. 00:49:06
Estas son medidas que son organizativas, que en el fondo son escribir procedimientos de cómo se hacía o se haría todo ese proceso, 00:49:17
pero a veces, por desgracia, pues no está escrito y lo tienen en la cabeza determinadas personas 00:49:25
y si el incidente afecta a la instalación y además no están estas personas, pues la organización se para, ¿no? 00:49:29
Entonces, pues eso. Y luego que todo ese tipo de planes se prueben, como hacemos con prevención de emergencias, 00:49:35
que hay evacuaciones y simulacros, pues igual a nivel tecnológico. 00:49:42
Claro. Muy bien, Javier, pues no hay más preguntas, así que muchísimas gracias por tu presentación, por tu ponencia y pues sigo diciendo lo mismo que al resto de compañeros, muy interesante todo y está claro que es un tema que os gusta y que nosotros seguiremos trabajando para llegar a nuestros usuarios y que tengan conocimiento sobre estos temas gracias a vosotros. Así que muchísimas gracias, Javier. 00:49:47
Valoración:
  • 1
  • 2
  • 3
  • 4
  • 5
Eres el primero. Inicia sesión para valorar el vídeo.
Idioma/s:
es
Autor/es:
CRN de Administración, seguros y finanzas
Subido por:
Tic cf segurosyfinanzas
Licencia:
Reconocimiento - No comercial - Compartir igual
Visualizaciones:
80
Fecha:
18 de enero de 2021 - 15:21
Visibilidad:
Público
Centro:
CF CENTRO DE FORMACIÓN EN SEGUROS Y FINANZAS
Descripción ampliada:
Somos ASyF, el Centro de Referencia Nacional de Administración Seguros y Finanzas.
Centro de innovación y experimentación al servicio de los sistemas de formación profesional.
Estamos catalogados en las áreas: Finanzas y seguros, y Administración y auditoría.
Duración:
50′ 13″
Relación de aspecto:
1.78:1
Resolución:
1280x720 píxeles
Tamaño:
302.17 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid