PDF de programación - Seguridad de la Información en la Cadena de Suministro y en las Infraestructuras Críticas

Seguridad de la Información
en la Cadena de Suministro y
en las Infraestructuras Críticas

e• FERIA INTERNACIONAL DE LoclSTICAS
liSPECIALIZADAS , TRANSPORTE Dli
MERCANCIAS Y POLICONOS INDUSTRIALES

t l1 9 IHTERNATIONAL SPECl.ALIST
LOGlSTH::S , QOOD HAULAQE AND
BUSINESS PARKS EXHlBITION

4* FEllA INTERNACIONAL DE
MANUT'1tCION Y ALMACliNAJli

-

4 1 9 IHTliRNATIOH.Al HANOUNQ
AMO WAAEHOUSINCi EXHlBITION

Agenda – 11:00 a 13:00

 Presentación de ponentes: Ramón García y Rafael
Rodríguez de Cora


 12:00–12:20: El Centro Español de Logística


 12:20-13:20: Presentación CALS - El ISF
Gobierno de Seguridad – Seguridad 360º



 La Cadena de Suministro.- Vulnerabilidad y Objetivo

de los ciberdelincuentes



 ¿Conoce el nivel de seguridad de su Empresa?.-

Benchmark as a Service



 ¿Sabe que puede incurrir en responsabilidades a

nivel personal?.- Buenas Prácticas corporativas



 ¿Conoce el impacto en su negocio de los Riesgos de

Seguridad de la Información?

2

Agenda – 12:00 a 14:00

 ¿Está implicada la Alta Dirección de su empresa en la

Seguridad?



 13:20–13:50: La Cadena de Suministro como
Infraestructura Crítica


 ¿Evalúa el estado de la seguridad en sus empresa y

en terceros?



 13:50-14:00: Conclusiones y Cierre

3

El Centro Español de Logística
y su Compromiso con el Sector

Presentación CALS

CALS es una compañía especializada en proporcionar herramientas para implantaciones
GRC (Governance, Risk & Compliance) y Seguridad de las TIC. Además con los acuerdos
nacionales e internacionales ofrece soluciones para los siguientes entornos:



 Sistemas de Información y Comunicaciones: Análisis y Gestión del Riesgo para

toda la organización, Auditoría y Seguridad de los Sistemas de Información y
Comunicaciones, incorporando los estándares, las metodologías, las herramientas
y las buenas prácticas aceptadas internacionalmente.



 Consultoría y Formación: Cursos estándar y a medida. Proyectos para

sensibilización


En CALS estamos comprometidos con la Evolución de la Tecnología, la Seguridad de los
Sistemas y el Futuro de nuestros Clientes, para que éstos puedan contemplar las Nuevas
Tecnologías como el factor estratégico para el desarrollo de su negocio.

La Compañía se constituye en mayo de 1997, con la idea básica de presentar al mercado
una alternativa claramente diferenciada en aquellos servicios y productos que puedan
considerarse estratégicos para las empresas, con un alto nivel de Retorno de la Inversión
(ROI)

5

Alianzas Estratégicas - GRC

 Proporcionamos soluciones

orientadas a la Gestión de
Riesgos y a la Seguridad
Informática, que responden a
las metodologías y mejores
prácticas internacionales
existentes en esta materia.

 CALS es Agente para España,

Portugal y América Latina del
Information Security Forum y
tiene la representación en
España y Portugal de productos
para la Gestión de Riesgos, y
Auditoría de Sistemas de
Información, tales como
Pentana así como la
colaboración con otras
empresas, para desarrollos
específicos de movilidad y otros.

UPM

6

Agente para España, Portugal y LATAM

Asociación Internacional con más de 360 organizaciones de primer

orden para la Seguridad de la Información

Metodologías, Proyectos de Investigación y Desarrollo, Gobierno,

Gestión de Riesgos, Cumplimiento

The leading, global authority on cyber security

and information risk management

7

7

An unrivalled portfolio of automated risk
management tools, which allow Members t o :

• Measure the strength of their information security

arrangements

• Benchmark t heir security arrangements against

those of other Member o rganisations

• Determine the extent t o which t hey

comply with leading international
standards for information security

• Perform comprehensive
information risk analysis

• Calculate return on security

investment (RoSI)

Knowledge Exchange
Members benefit from global
participation in:

• Work groups / workshops o n topical

issues in information security
• Regional meetings I summits
• Online 'webcasts'
• MX2, a Member-only secure extranet
• Special interest groups o n common areas

of interest

A comprehensive library of :

lmplementat ion guides

• Executive summaries
•
• Briefin g papers
• Technical checklists
• Quick reference quides
• Workshop reports
• Fully worked methodologies

ISF An nual W o r ld
Congress

The leading international conference
for information security professiona ls.
Key features include:

• Exclusive t o ISF Members
• Two places fully funded out

of Membership

• Access t o latest thinking in

information security

• High profile keynote speakers
• Presentations from Members
• Opportunity far Memblrs t o

8

Miembros del ISF en España

BBVA Bank
Bankia
Caixabank
Gas Natural
Fenosa Telefónica
España

9

Los servicios del ISF ayudan a los implicados en la
Seguridad de la Información a resolver problemas de
seguridad del negocio en la organización

¿Cuáles son los problemas de:?




Chief Information Security Officers





























Information security managers

Business managers

IT managers and technical staff

Internal and external auditors

IT service providers

Procurement and vendor management
teams

Internal and external auditors

• Mounting volumes of critical and

sensitive information

•

Increasing economic, legal and
regulatory pressures

• Greater focus on privacy and data

protection

•

Increased dependency on the supply
chain

• Need to be agile and competitive

• Changing culture of end users

•

•

•

Increased use of diverse technology

Business impact of incidents

Emerging and changing threats

• Globalisation and cyber security

10

Un programa continuo de investigación orientado a los
miembros

•

•

•
•
•
•

•
•
•
•

•
•
•
•

You Could be Next: Learning from incidents to
improve resilience
The 2013 Standard of Good Practice for
Information Security
Data Privacy in the Cloud
Data Analytics for Information Security
Threat Horizon 2014/5/6
Cyber Security Strategies: Achieving cyber
resilience
Federated Identity Access Management
Cyber Citizenship
Hacktivism
Information Security Governance – Raising
the game
Securing Consumer Devices
Securing Cloud Computing
Beyond the clear desk policy
Securing the Supply Chain

•
•
•
•

•
•
•
•
•
•
•

Securing the information lifecycle
Information security for external suppliers
Information security maturity models
Protecting information in the end user
environment
Information security assurance
Security audit of business applications
Information security governance (Briefing)
Reporting information risk
Network convergence
Information security assurance
Benchmark reports:

– Critical Business Applications
–

The impact of information security
investment

– Consolidated benchmark results
– Cross reference to ISO/IEC 27002,

Briefing Papers and Opinion Insights covering:
Cyber Insurance, Protecting the Brand, Security vs Business Strategies, Internet of Things, BYOx, and more…

CObIT version 5

11

12

“La seguridad de la Cadena de Suministro,
será igual a la del eslabón mas débil”

13

Evolución en el tratamiento de la Información

 Primero se protegían los documentos físicamente


 Después se protegieron los sistemas


 Mas tarde se protegía la Información en los centros de proceso



 Con la proliferación de las comunicaciones, se protegió el acceso a

los sistemas y la Información que circulaba por las redes.

 Con el uso generalizado de Internet, se intenta proteger la

información, aunque no sepamos donde está almacenada, qué

caminos sigue, como llegamos a ella y quien mas puede obtenerla.

14

La Cadena de Suministro.

Vulnerabilidad y Objetivo de delincuentes

La Ciberdelincuencia se ha convertido en una industria



Es tan lucrativa que se han creado mafias

La Ciberdelincuencia ha dado paso al Ciberterrorismo.

El ciberterrorismo da paso a la ciberguerra



Uno de cada veinte ordenadores domésticos y de PYME está

infectados (Karspersky Lab) en todo el mundo



España ocupa el 7º lugar entre los países mas

infectados del mundo, el 37,93% (Panda Security)

15

La Cadena de Suministro.

Vulnerabilidad y Objetivo de delincuentes

Tipos de Ciberdelincuencia



 Denegación de servicio (DoS).- Spamhaus bloqueada por Cyberbunker

 Suplantar la identidad (Phising) .-CNP, DGT

 Estafas o fraudes informáticos

 Espionaje industrial

 Delitos contra la propiedad industrial

 Accesos ilícitos (hacking)



 Daños informáticos o sabotajes informáticos (cracking)

 Revelación de secretos

Interceptaciones ilícitas

16

Norma de Buenas Prácticas

La Norma de buenas prácticas en
Seguridad de la Información debe abarcar seis apartados
clave:



 Gestión de la Seguridad
 Aplicaciones fundamentales de negocio
 Instalaciones informáticas
Redes
 Desarrollo de Sistemas
Entornos de usuario final

17

Responsabilidades

La “Ciberinseguirdad” implica responsabilidades tanto
al nivel corporativo como personal



Al operar en el Ciberespacio, tenemos que ser conscientes de los riesgos
comerciales, reputacionales y financieros que estamos asumiendo, con las
responsabilidades derivadas tanto al nivel corporativo como personal

18

Responsabilidades

Las empresas deben tener implantada una
Norma (estándar) de Buenas Prácticas, que cumpla las
políticas y prácticas corporativas y la normativa vigente
en cada país y estar complementada con herramientas
que midan el rendimiento de las medidas de seguridad
implantadas contrastado con la Norma (estándar)

19

Benchmark de Seguridad

“ Es la comparación de nuestro nivel de Seguridad contra el ni