Internet de las Cosas … Inseguras · Servidores Accesos Usuario Analitica y Big Data Sensores...

Post on 08-Oct-2020

0 views 0 download

Preview:

Click to see full reader
Report this document
SHARE

transcript

CIBERSEGURIDAD CORPORATIVA. II Jornadas sobre Inteligencia EconómicaAlberto P. Urosa Herrero

Internet de las Cosas … Inseguras

2

Objetivos

Saber de que hablamos cuando mencionamos IoT

Por qué está tan relacionado con el

Big Data

Identificar las buenas prácticas desde el punto de

vista de la seguridad

Conocer las mejores peores

prácticas

3

Que es el IoT?

4

5

6

7

8

Monitorización de explotaciones agrícolas

9

IoE – Internet of Everything

10

11

Quien paga la fiesta?

Pago por dispositivos

Pago por uso

Venta de datos

12

Arquitecturas IoT

13

14

Cosas

Backend

Orientado al Cloud

Dispositivo Movil

Red Local

Arquitecturas IoT

Servidores

Accesos Usuario

Analitica y Big Data

SensoresActuadores

Procesadores

Conexión

Internet

15

Datos, Datos, Datos

16

17

18Fuente: Big Data Analysis SAP

19

IoT + Big Data

20

Vidas ConectadasMovilidad en tiempo real

21

Vidas ConectadasLa compra en la era de Internet

22

Vidas ConectadasEl coche, la maleta, el perro, el niño…

23

Vidas ConectadasRecetas para automatizar tu vida

24

Seguridad IoT

25

Seguridad IoT

26

Seguridad de la InformaciónTriada CIA

Seguridad de la

información

Integridad

DisponibilidadConfidencialidad

27

Seguridad de la InformaciónDominios de la Seguridad

P

G

D

R

Gobierno de la Organización para gestionar los riesgosimplantando estructuras de gobierno que permitanmantener y evolucionar sus capacidades de-seguridad.

Detección de las amenazas mediante el uso de lasmúltiples fuentes de ciber-inteligencia con el fin de podergestionarlas proactivamente.

Prevención frente a ciberataques manteniendo lasinversiones y mejorando las medidas para proteger susactivos de información digitales.

Respuesta y Recuperación adecuadas ante unciberataque exitoso, con el fin de poder limitar su impactosobre la Organización.

Procesadores

28

Buenas Prácticas Seguridad

29

Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas de seguridad en el diseño y la instalación

•Asegurar que sus dispositivos sean parcheables, que dependan de los protocolos estándar de la industria, que no utilicen contraseñas embebidas en el código o “hardcodeadas” y que no contengan vulnerabilidades de seguridad previamente conocidas, así como desarrollar iniciativas que protejan la privacidad de los usuarios de los dispositivos IoT.

Obligaciones de los proveedores

•desarrollar un conjunto de procedimientos que garanticen la instalación y configuración de forma segura. Obligar a los usuarios a modificar los ajustes de seguridad predeterminados, como por ejemplo la contraseña con la que inicialmente se distribuyen losdispositivos.

Instalación y configuración

•verificar los ajustes de red innecesarios, tales como los puertos de servicios abiertos. Establecer la obligatoriedad del cifrado en todos los tipos de comunicaciones.

Conectividad y servicios

•Seleccionar una suite de cifrado probada o verificar posibles debilidades (tales como los generadores de números pseudoaleatorios), si ha de usarse cifrado de desarrollo propio.

Cifrado

30

Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas de seguridad en el diseño y la instalación

•garantizar la protección de los datos privados y confidenciales. Habilitar mecanismos de destrucción de datos y almacenamiento cifrado en dispositivos y puntos terminales donde almacenar estos datos de forma segura.

Cuestiones de privacidad

•adoptar mecanismos seguros para interactuar y establecer conexiones con dispositivos y servicios tales como los servicios en nube.

Autenticación y autorización

•Se recomienda contar con procedimientos de seguridad para garantizar las copias de seguridad y la recuperación total de los datos y del sistema operativo en caso de desastre. El almacenamiento de las copias de seguridad debe estar cifrado.

Copias de seguridad y recuperación ante desastres

•una vez creado el producto y aplicadas las prácticas expuestas en los puntos anteriores, se deben poner a prueba realizando procesos de análisis y verificación que garanticen su eficacia (revisión de hardware, análisis de tráfico de red, verificación de la autenticación, etc).

Verificaciones y pruebas

31

Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas de seguridad en la operación y el mantenimiento

•facilitar la desactivación de funciones y servicios que no se usen o no sean necesarios para el funcionamiento concreto que determine el usuario.

Desactivación de funciones innecesarias

•mantener el dispositivo actualizado y bien configurado.

Configuración

•usar contraseñas robustas y modificarlas con regularidad.

Uso de contraseñas

•si los dispositivos de IoT se deben integrar con otra infraestructura, se deben evaluar la conectividad de red y las interacciones de esta con el entorno. De esta manera se evitarán interferencias y exposiciones no deseadas.

Integración ente dispositivos

•hacer un seguimiento de dispositivos IoT que no estén en uso y borrar los datos de aquellos que no volverán a utilizarse.

Borrado de información

32

Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas específicas de protección de la privacidad

•las evaluaciones sobre la privacidad (EIP) deben realizarse con anterioridad al lanzamiento de cualquier aplicación nueva en IoT.

Evaluaciones de impacto

•cada parte involucrada en el mundo del IoT debe aplicar los principios de la privacidad desde el diseño y la privacidad por defecto.

Privacidad por diseño

•las partes interesadas del mundo del IoT deben borrar los datos sin procesar inmediatamente después de haber extraído los datos necesarios para el procesamiento.

Información no procesada

• los fabricantes de dispositivos deben informar a los usuarios sobre los tipos de datos que los dispositivos obtienen y después procesan, los tipos de datos que reciben y el modo en que estos serán procesados y combinados. Los dispositivos de IoT deberían brindar una opción de "no obtener datos" para programar o desactivar rápidamente los sensores.

Tratamiento de los datos del usuario

33

Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas específicas de protección de la privacidad

• para evitar el rastreo de la ubicación, los fabricantes de dispositivos deberían limitar el uso de huellas digitales deshabilitando las interfaces inalámbricas cuando no estén en uso. Opcionalmente, deberían usar identificadores aleatorios (tales como direcciones MAC aleatorias para escanear redes Wi-Fi) a fin de evitar que se use un identificador persistente para rastrear la ubicación.

Rastreo de ubicación

•es necesario proporcionar al usuario herramientas que les permitan exportar sus datos fácilmente en un formato estructurado común.

Herramientas de exportación

•debería existir un ajuste para diferenciar los distintos usuarios que utilizan un mismo dispositivo, de modo que ninguno pueda obtener información sobre las actividades de los otros.

Diferenciación de usuarios

•los ajustes predeterminados de las aplicaciones sociales basadas en dispositivos IoT deberían solicitar a los usuarios que revisen la información generada, que la editen y que tomen decisiones al respecto antes de la publicación en plataformas sociales.

Redes sociales

•el permiso para usar un dispositivo conectado y para el consecuente procesamiento de datos debe ser expuesto de forma transparente para el usuario.

Recabar consentimiento

34

Hall of Fame Shame

35

Las mejores peores prácticasVtech

36

Las mejores peores prácticasFitbit

37

Las mejores peores prácticasFitbit

38

Las mejores peores prácticasAlarma Simplisafe

39

Las mejores peores prácticasAirbus A380

40

Las mejores peores prácticasJeep

41

Las mejores peores prácticasDispositivos Médicos

42

Las mejores peores prácticasMirai

43

Let’s Play

44

45

Consideraciones FinalesPreocupaciones y Protecciones

46

Consideraciones | Internet of ThingsTendencias tecnológicas y mecanismos de protección

Preocupaciones Protecciones

• Los dispositivos IoT almacenan y transmiten multitud de datos personales

• Los hábitos de consumo de las personas quedan reflejados en sus dispositivos IoT

• Dispositivos de vigilancia (CCTV, micrófonos, controles de acceso…)

• Ausencia de medidas de ciberseguridad en industrias no acostumbradas

• Cifrado / codificación de comunicaciones y almacenamiento

• Protocolos que permitan el control de acceso y la identificación unívoca de dispositivos

• Segmentación de redes con dispositivos IoT

• Incorporación en pruebas de seguridad

• Gestión de vulnerabilidades

• Añadido de capas adicionales de seguridad

47

Consideraciones | Dispositivos móvilesTendencias tecnológicas y mecanismos de protección

Preocupaciones Protecciones

• Es fácil encapsular el acceso a datos de la empresa, pero no a datos personales

• Multitud de canales con distintas casuísticas (GSM, 4G, wifi, etc.)

• Reticencia de los usuarios por considerarlos “dispositivos personales”

• Compartición de datos entre distintas aplicaciones, generalmente con privilegios excesivos

• Concienciación para conocer los ciberriesgos

• Políticas y herramientas para MDM y BYOD

• Encapsulamiento del acceso a datos personales

• Monitorización y análisis de uso y tráfico

• Software de protección contra malware

48

Consideraciones | Big DataTendencias tecnológicas y mecanismos de protección

Preocupaciones Protecciones

• Gran cantidad de datos (su agregación puede permitir la identificación unívoca)

• Acumulan cantidades ingentes de datos personales, lo cual las convierte en objetivos

• Algunos usos de los datos pueden no contar con consentimiento expreso

• Algunos resultados arrojados pueden tener repercusiones negativas sobre las personas

• Seudonimización / despersonalización / enmascarado de datos

• Controlar el acceso a las herramientas

• Clasificar la información para limitar sus usos en función del tipo

• Análisis de vulnerabilidades sobre las plataformas que soportan los servicios

49

Consideraciones | CloudTendencias tecnológicas y mecanismos de protección

Preocupaciones Protecciones

• Compartición de infraestructura (distintos entornos virtuales, mismo hardware)

• Localización geográfica de los datos

• Acumulan cantidades ingentes de datos personales, lo cual las convierte en objetivos

• Ausencia de control sobre las medidas de seguridad que realmente se implantan (acceso privilegiado, cifrado, monitorización, seguridad en los backups, anti-malware)

• Bastionado de los contenedores para los aplicativos en Cloud (dockers)

• Proxy para cifrado de las comunicaciones en los propios sistemas (CASB)

• Incorporación de cláusulas específicas para la gestión de los ciberriesgos asociados

• Definición y auditoría de mecanismos de seguridad a implantar en el proveedor

50

Consideraciones | BlockchainTendencias tecnológicas y mecanismos de protección

Preocupaciones Protecciones

• Se descubren nuevas aplicaciones cada día

• La información de cada bloque es compartida por todos los nodos

• Algunas implementaciones ofrecen opciones de bloqueo pero no borrado de bloques

• Puede haber nodos que se encuentren o se trasladen a geografías no seguras

• Analizar ciberriesgos en nuevas aplicaciones

• Cifrar a los bloques para controlar el acceso

• Definir los bloques con granularidad suficiente para un control de acceso eficaz

• Implementar protecciones que dependan de la ubicación geográfica de los datos

• Tests de penetración contra los sistemas de cifrado e integridad

51

Consideraciones | Redes socialesTendencias tecnológicas y mecanismos de protección

Preocupaciones Protecciones

• Brecha digital (es difícil transmitir los ciberriesgos a las nuevas generaciones)

• Proporcionan información que los atacantes emplean para enfocar sus ataques

• Acumulan cantidades ingentes de datos personales, lo cual las convierte en objetivos

• Numerosos escándalos por venta de datos personales a terceros

• Concienciación para conocer los ciberriesgos

• Análisis de presencia de marca (y empleados) en redes sociales

• Política de comportamiento de empleados en redes sociales

• Búsqueda de datos personales de los que somos responsables en la DeepWeb

52

53

Muchas gracias

Top related

ACTOS Y CONDICIONES INSEGURAS - Material Educativo
Documents
determinación de riesgos y condiciones inseguras en granjas ...
Documents
Condiciones Inseguras de Trabajo
Documents
Recoger Datos de Sucesos o Condiciones Inseguras Identificación del Peligro Evaluación de Riesgos Tolerabilidad de Riesgos Priorización de Riesgos Adopción.
Documents
Actos y Condiciones Inseguras Actual
Documents
Actos y condiciones inseguras
Documents
Actos y Condiciones Inseguras en El Trabajo
Documents
Actos y Condiciones Inseguras Caesa
Documents
Actos y Condiciones Inseguras
Documents
Protección de Datos Personales en Internet
Technology
Seminario “Protección de datos e Internet"
Documents
Resumen de Condiciones Inseguras
Documents
Actos y Condiciones Inseguras en La Industria Minera
Documents
Condiciones Inseguras y Actos Inseguros
Documents
Datos Internet EGM primera oleada 2014
Marketing
Datos internet
Technology
Areas inseguras de la uft jose
Education
Historia del internet (Algunos datos
Internet
Porqué publicar datos en Internet y fuentes de datos › wp-content › uploads › 2012 › 11 › Fuentes-de-dato… · Porqué publicar datos en Internet y fuentes de datos Francisco
Documents
2.-Actos y Conductas Inseguras
Documents

Copyright © 2018 DOCUMENTOS