El pasado miércoles día 14, nuestro CEO Iago Fortes acudió como ponente al «Obradoiro Tecnologías y Sistemas 4.0: «Data» para la toma de mejores decisiones». Como siempre, os contaremos los temas que se han tratado en las diferentes ponencias, y cómo no, algunas conclusiones.
Ponencia Carlos Prieto (RIA21) – “Eres su objetivo”
La primera ponencia comenzaba a las 10:30 con Carlos Prieto de RIA21 como protagonista. Bajo el título «Si eres su objetivo, te están o te van a atacar», Carlos analizó diversos temas entre los que destacamos.
- Una breve explicación de la evolución de la sociedad.
- CID (Confidencialidad, Integridad y Disponibilidad). Procesos y productos.
- El flujo de la información y vulnerabilidades.
- Buenas prácticas para cada uno de los principales riesgos como: navegación segura, no dejar los dispositivos a los hijos, enlaces desconocidos (URLs), WiFi, USBs.
- Presentación de RIO21 y origen e historia de la matriz SSH Team.
- Presentación de TotalGAC (proyecto Neotec).
Ponencia Iago Fortes (Inprotech) – “La fábrica no puede parar”
Tras la ponencia de Carlos, era turno para Iago Fortes para explicar nuestra experiencia en ciberseguridad industrial bajo el título «La fábrica no puede parar». Destacamos los siguientes aspectos de la ponencia:
- Explicación de casos recientes e históricos de ciberseguridad industrial.
- Caso Stuxnet: el primer ataque dirigido a la industria y mundo OT y la primera ciberarma.
- Los problemas y riesgos y principales vulnerabilidades en el mundo OT (las 7 más importantes): Contraseñas/Configuración por defecto/débil, falta de segregación de redes, Protocolos OT inseguros, sistemas desactualizados,…
- Soluciones: Ámbitos de actuación y las estrategias y áreas más importantes.
- Soluciones, incluyendo InprOTech Guardian
- Presentación del grupo Inprosec, y la línea especializada InprOTech, incluyendo referencias de clientes.
Ponencia Pilar Vila (Forensics and Security) – “Qué pasa cuando todo falla”
La ponencia de Pilar Vila de Forensics and Security bajo el título «Qué pasa cuándo todo falla» explicó diferentes aspectos desde su punto de vista:
- La Gestión de Riesgos.
- El reto y problema del BYOD: Bring Your Own Device.
- La importancia de la políticas y cumplimiento legal, firmado y acordado con el empleado y usuario.
- Detalle del análisis forense: La “pericial informática” y su función legal.
- Objetivo, Proceso, Normas, Criterios, etc.
- Ejemplos habituales: Competencia desleal, además habitualmente desde el equipo de trabajo (y desde la cuenta corporativa se reenvía la información a sus otras cuentas).
- Formateado y almacenamiento.
- Compromiso y garantías de que se accede solo a lo necesario (según alcance) y nada más.
- Presentación de la empresa y de las soluciones: Cambios a raíz del COVID-19 y mayor opción (por parte del cliente) a ser más proactivos, en lugar de tan reactivos.
- Ahora incluso se suelen hacer análisis forenses “preventivos” para verificar si existe un problema/malware ya residente.
Jorge Cebreiros (InfoJC) – “Comunicaciones seguras en entorno de teletrabajo y movilidad”:
La última ponencia del día fue la de Jorge Cebreiros de INFOJC, exponiendo su visión sobre las comunicaciones seguras en una situación nueva para muchos: el teletrabajo. En ella expuso:
- Una introducción a CheckJC y la Seguridad desde el Diseño.
- El reto y problema del BYOD: Bring Your Own Device.
- Seguridad en la arquitectura y almacenamiento de datos.
- Seguridad de la autenticación – evitar suplantación.
- Gestión de Accesos: Roles y Permisos.
- Acceso Remoto y desde Móvil: VPN, Seguridad, Comunicaciones.
- Seguridad jurídica y validez de la información y como prueba.
CONCLUSIONES
Una vez finalizadas las ponencias se hizo un resumen y se puso en común un resumen de todas las intervenciones, de las que se pueden extraer las siguientes conclusiones:
- Gestionar la seguridad desde el diseño, desde el principio y de manera proactiva.
- Hacerlo de manera transversal, en cualquier área, en cualquier proyecto, etc.
- Tener en cuenta que la gestión de riesgos y de la ciberseguridad es necesaria para todo tipo de empresas, desde las más grandes a las más pequeñas.
- Aprovechar la financiación específica y adicional que ya ha llegado y que llegará en los próximos meses y año y medio (fondos Next. Gen.) especialmente destinados a PYMES y a Ciberseguridad.