Cybercamp 2015 INCIBE

Long Hanging Fruit: O cómo ser un Fashion Victim y un Looser a la vez

Chema Alonso
La labor de gestionar la seguridad de una empresa suele ser como bailar sobre el alambre. Hay que permitir que el negocio siga funcionando, estar a la última, proteger lo ya implantado e innovar en cosas nuevas. Eso sí, de forma más eficiente cada año y con menos presupuesto. Todo ello, con el objetivo de no que no pase nada. La conclusión de esto es que al final siempre queda Long Hanging Fruit para que cualquiera se aproveche.

Hack The Future

Keren Elazari
Esta charla inspiracional trata de cómo un entusiasta de la seguridad puede cambiar a los agentes del futuro, con cosas prácticas que todos podemos hacer para crear un impacto positivo. Se trata de ser un buen hacker, mientras hacemos que el mundo sea un lugar mejor. Keren compartirá su propia historia personal y hablará de los hackers que la inspiran.

Operaciones en el ciberespacio

Teniente Coronel Ángel Gómez de Ágreda y Capitán de Navío Enrique Cubeiro Cabello.

21 días

Ruben Santamarta

Seguridad de Comunicaciones móviles 3G

José Picó García y David Pérez Conde

De todos es sabido que las comunicaciones GSM (2G) son totalmente inseguras a día de hoy . En cambio, las comunicaciones UMTS (3G) y LTE (4G) se consideran razonablemente seguras.

JAULA DE FARADAY

Procedimientos de Seguridad

Alta empleado:

-Recogida de datos del empleado

-Creación de pase de acceso identificativo

-creación de usuario con respectivos permisos

-Firmas de hojas de normas y procedimientos de seguridad por parte del empleado:

            -Destruir hoja con contraseñas una vez memorizadas

            -No apuntar contraseñas a modo de recordatorio en el lugar de trabajo

            -No alojar información personal en la red de la empresa.

            -No acceder a correo personal ni redes sociales en la red de la empresa.

-No descargar ningún tipo de archivo que no esté en la intranet de la empresa sin autorización del departamento de informática.

-Las cuentas de usuario son privadas e intransferibles.

-Durante las ausencias del puesto de trabajo el usuario deberá quedar bloqueado.

-Entrega de hoja informativa con puesto y su correspondiente usuario y contraseña 

Baja empleado

-Notificar departamento de informática para retirar disco duro, encriptarlo y almacenarlo durante 1 año para su posterior destrucción.

-El departamento de informática deberá bloquear su usuario y conservarlo durante 1 año.

-Notificar a empleado su baja y requerir entrega de tarjeta identificativa.

Cambio departamento

-El departamento de informática determinara si se requiere de un cambio de los permisos en el usuario del empleado para ejercer su nuevo puesto.

-El departamento de informática determinara si los datos del equipo anterior son de utilidad en el nuevo departamento, de ser así se remplazaría el disco duro del equipo actual por el del ordenador de la nueva localización dejando registro de ello en el acta de incidencias, de no ser necesario el traslado de información con el empleado en disco duro se encriptara y guardara durante un año para su posterior destrucción.

-Creación de nueva tarjeta identificativa y requerimiento de la anterior.

Gestion de la información

Niveles de madurez en la gestión de la seguridad de la información

Etapa nivel de la empresa.

El 90% de las empresas en España no tiene en cuenta la seguridad en los sistemas informáticos hasta que sufren un ataque.

1º Etapa

Implantación de medidas básicas de seguridad “Medidas de sentido común “

·         Copias  de seguridad  y control de acceso a usuarios.

2º Etapa

 Cumplimiento de la legislación vigente, en caso de que se cometiera un delito desde la red el responsable inmediato será el administrador de dicha red.

·         Ley de propiedad intelectual 

·         Ley de protección de dato

3º Etapa  

·         Gestión  global de la seguridad de la información

·         Implantación de planes y procedimientos de seguridad

Análisis y gestión de riesgos. Definición de un plan de respuestas de incidentes y de continuidad del negocio

Fase 3 se desarrollan el plan de contingencias comunes.

Plan de contingencias contra incendios

Definición de la política de seguridad ==> Se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema. Una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.

4º Etapa

 Certificación de la gestión de la seguridad

Verificable por terceros.

 

TEMA 2 “Políticas, planes y procedimientos de seguridad”

 

Política de seguridad  declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones, técnicas y organizativas que se requieran.

Es un conjunto de decisiones que definen acciones  futuras así como los medios que se van a utilizar para conseguirlos.

Procedimiento de seguridad es la definición detallada de los pasos a ejecutar  para llevar a cabo una tarea determinado con los procedimientos de seguridad se aplican e implantan las políticas de seguridad que han sido aprobadas por la organización, que tipo de SAI se va a montar .se detalla cómo hacerlo.

Plan de seguridad Implantar sai , decisiones técnicas ,medidas.