La necesidad de campañas de concienciación en Ciberseguridad
En nuestra misión constante de proteger la infraestructura digital y la información contenida en la misma. La concienciación en ciberseguridad es esencial para no pasar por alto un componente crítico en la cadena de seguridad: el factor humano. A menudo, las amenazas más grandes a las que se enfrentan las empresas no provienen de sofisticados ciberataques, sino de errores humanos que podrían haberse evitado con una formación adecuada. ¿Por qué concienciar en ciberseguridad? El eslabón más débil: Aunque nuestras soluciones tecnológicas pueden ser muy efectivas, si los usuarios fin ales no están informados y educados sobre las mejores prácticas de seguridad, siguen siendo vulnerables. Un error humano, como hacer clic en un enlace malicioso, puede comprometer sistemas enteros. Evolución constante de amenazas: El panorama de ciberamenazas está en constante evolución. Lo que era seguro ayer, puede no serlo hoy. Los usuarios deben estar al día con las últimas amenazas y saber cómo identificarlas. Cumplimiento normativo: En muchos sectores, hay regulaciones que exigen formación regular en ciberseguridad para empleados. Una campaña de concienciación ayudará a las empresas a cumplir con estos requisitos. Beneficios de una campaña de concienciación en ciberseguridad Reducción de incidentes: Las campañas de concienciación han demostrado reducir significativamente el número de incidentes relacionados con el error humano. Esto se traduce en menos interrupciones del servicio, menos tiempo y recursos gastados en la respuesta a incidentes y una mayor confianza de los clientes. Cultura de seguridad: Fomentar una cultura en la que la ciberseguridad es una responsabilidad compartida mejora, no solo la postura de seguridad de la organización, sino también fideliza al empleado. Retorno de inversión (ROI): Aunque puede haber un coste asociado con la implementación de una campaña de concienciación, el impacto económico de no hacerlo (brechas de datos, multas por no cumplir, daño a la reputación, etc.) es significativamente más alto. Mejora de la reputación: En un mundo donde la ciberseguridad es una creciente preocupación, las empresas que toman medidas proactivas para educar a sus empleados y clientes son vistas de manera más favorable. Esto puede traducirse en más negocios y mayor lealtad del cliente. Impacto en controles de ISO/IEC 27002 La norma ISO/IEC 27002:2013 proporciona directrices para la implementación de controles de seguridad de la información. La realización de campañas de concienciación y formación al usuario incide directamente en varios de estos controles. A continuación, identificamos los controles más relevantes que se verían afectados o reforzados por dichas campañas: Información sobre responsabilidades durante el empleo (7.2.2): Este control estipula que la dirección debe asegurarse de que los empleados y contratistas sean informados de las responsabilidades de seguridad de la información. Las campañas de concienciación pueden ayudar a comunicar estas responsabilidades de manera efectiva. Concienciación, formación y evaluación de la formación (7.3.1): Este es el control más directamente relevante. Establece la necesidad de implementar programas de concienciación y formación para garantizar que los empleados tengan la conciencia, los conocimientos y las habilidades necesarias para cumplir con las políticas y procedimientos de seguridad. Gestión del uso inaceptable de activos (9.2.3): Las campañas educativas pueden ayudar a destacar los usos inaceptables de la información y otros activos. Permitiendo una mejor gestión y reducción de este tipo de comportamientos. Políticas de clasificación de la información (12.2.1): Una correcta formación puede asegurar que los empleados entiendan y sigan correctamente las políticas de clasificación. Lo que reduce el riesgo de filtraciones de información o su incorrecta manipulación. Control de acceso del usuario (12.7.1): La formación y concienciación pueden enfocarse en la importancia de las políticas y procedimientos de control de acceso. Incluyendo la importancia de las contraseñas fuertes, el bloqueo de estaciones de trabajo y la autenticación multifactor. Política de uso aceptable de redes y servicios (13.2.1): Las campañas pueden reforzar la comprensión y adherencia a las políticas de uso aceptable. Reduciendo el riesgo asociado con comportamientos no deseados en la red. Es esencial que cualquier campaña de concienciación o formación que lancemos esté alineada con los controles y requerimientos de la ISO/IEC 27002, asegurando así su efectividad y pertinencia en el contexto de estándares internacionales de seguridad de la información. Conclusión A medida que los entornos digitales se vuelven más complejos y la información que almacenamos en ellos más importante. Los usuarios deben fortalecer sus conocimientos en materia de ciberseguridad. Una campaña de concienciación en ciberseguridad no es simplemente una buena idea, es una necesidad crítica para organizaciones de todos los tamaños. Desde Global Technology podemos ayudarte Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Discovery y ZeroTrust el modelo de seguridad infalible
En el actual panorama de la ciberseguridad, las organizaciones se enfrentan a retos sin precedentes debido a la creciente complejidad de sus infraestructuras tecnológicas y a la sofisticación de las amenazas cibernéticas. En este contexto, la adopción de soluciones de discovery y del modelo ZeroTrust se presenta como una estrategia esencial para garantizar una protección robusta y eficiente. ¿Por qué implementar Discovery y ZeroTrust? Complejidad de la Infraestructura Moderna: Las redes corporativas de hoy día ya no están limitadas a un conjunto estático de dispositivos y servidores. Con la adopción masiva de dispositivos IoT, soluciones móviles y aplicaciones en la nube, es crucial para las organizaciones conocer y controlar quién y qué está conectado a su red en todo momento. Visibilidad en Tiempo Real: Las soluciones convencionales de gestión de redes a menudo no proporcionan una perspectiva completa ni actualizada de la infraestructura tecnológica. Un sistema de discovery eficaz ofrece visibilidad continua, permitiendo a las organizaciones identificar cada dispositivo o usuario tan pronto como se conecta a la red. Reducir la Superficie de Ataque: Implementando el principio de menor privilegio, que es fundamental en el modelo ZeroTrust, se garantiza que los dispositivos y usuarios solo tengan acceso a los recursos estrictamente necesarios para realizar sus funciones. Esta restricción limita las oportunidades que los actores maliciosos podrían tener para comprometer sistemas y datos. Beneficios adicionales de estas soluciones Automatización y Orquestación: Más allá del mero descubrimiento, las soluciones avanzadas pueden automatizar respuestas a determinados eventos o comportamientos, permitiendo a las organizaciones actuar rápidamente ante posibles amenazas, ya sea aislando dispositivos sospechosos o aplicando políticas específicas de seguridad. Integración con Herramientas Existentes: Las soluciones de discovery y ZeroTrust son compatibles e integrables con otras herramientas de seguridad, lo que permite a las organizaciones potenciar sus inversiones actuales y establecer una estrategia de seguridad holística y cohesiva. Cumplimiento y Regulaciones: Implementar estas soluciones facilita el cumplimiento de diversas normativas y estándares de seguridad, asegurando que las organizaciones no solo estén protegidas, sino que también estén preparadas para auditorías y revisiones regulatorias. Impacto en controles de la ISO/IEC 27002 Estas soluciones afectan a varios controles definidos en la norma ISO/IEC 27002, entre ellos: Acceso a la Red (D.13.1): Se establece un control sobre los puntos de acceso a las redes, evitando conexiones no autorizadas. Gestión de Dispositivos Móviles (D.6.2): Se garantiza que solo dispositivos autorizados puedan acceder a recursos corporativos. Segmentación en Redes (D.13.2): A través del principio de menor privilegio, se pueden definir segmentos de red específicos para diferentes funciones y usuarios. Gestión de la Configuración (D.12.5): Al tener visibilidad total de la red, es más sencillo identificar y controlar los cambios en la configuración de dispositivos y sistemas. Conclusión Adoptar soluciones de Discovery junto con el modelo ZeroTrust es una decisión estratégica que toda organización moderna debe considerar para mantener sus activos digitales seguros y garantizar la continuidad de sus operaciones. En un mundo donde la ciberseguridad es una prioridad, estas soluciones emergen como pilares fundamentales en la defensa y gestión de la infraestructura tecnológica. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
TEST DE INTRUSIÓN vs ANÁLISIS DE VULNERABILIDADES: ¿Cómo elegir la mejor opción?
Cuando se trata de evaluar la seguridad de un sistema y/o red, existen diferentes servicios que pueden ayudar a identificar posibles brechas de seguridad y debilidades. Dos de los servicios más comunes son el test de intrusión y el análisis de vulnerabilidades. Aunque estos dos servicios comparten objetivos similares, hay diferencias significativas entre ellos que pueden afectar la decisión de cuál es la mejor opción para una organización en particular. Test de intrusión: la simulación de un ciberataque real El test de intrusión es un servicio de evaluación de ciberseguridad más detallado y personalizado que el análisis de vulnerabilidades. A diferencia del análisis de vulnerabilidades, que se enfoca en identificar vulnerabilidades conocidas, el test de intrusión busca simular un ciberataque real para identificar brechas de seguridad específicas que pueden ser explotadas por atacantes reales. Se podría decir, que el test de intrusión completa al análisis de vulnerabilidades añadiendo una fase más; la fase de explotación de vulnerabilidades. Los tests de intrusión son realizados por especialistas en seguridad que utilizan herramientas y técnicas manuales para identificar vulnerabilidades en el sistema y evaluar el riesgo de explotación. Estos especialistas intentan explotar las vulnerabilidades identificadas y evalúan la respuesta del sistema o red, lo que permite una identificación del riesgo general más completa e identificar los falsos positivos propios del análisis de vulnerabilidades. El test de intrusión es más invasivo y costoso que el análisis de vulnerabilidades, pero también proporciona información más detallada y precisa. Análisis de vulnerabilidades: la búsqueda de vulnerabilidades conocidas El análisis de vulnerabilidades es una evaluación automatizada y exhaustiva de sistemas o redes en busca de posibles vulnerabilidades y debilidades de seguridad. Los análisis de vulnerabilidades están basados en herramientas automáticas, que con un poco de parametrización, consiguen encontrar vulnerabilidades conocidas en los activos tecnológicos, y generan informes de los resultados. El análisis de vulnerabilidades es menos invasivo que el test de intrusión, ya que se enfoca en buscar vulnerabilidades conocidas sin intentar explotarlas. Sin embargo, esta evaluación puede proporcionar una visión general útil del riesgo asociado a los activos tecnológicos, especialmente si se realiza regularmente para identificar vulnerabilidades nuevas y actualizaciones pendientes de seguridad. ¿Cómo decidir entre el test de intrusión y el análisis de vulnerabilidades? Para decidir entre el test de intrusión y el análisis de vulnerabilidades, es importante considerar la naturaleza de los sistemas o redes que se están evaluando y los objetivos de seguridad de la organización. Si la organización maneja información crítica y sensible, como datos personales de clientes o información financiera, un test de intrusión puede ser la mejor opción para evaluar y planificar la mejora de tus sistemas. El test de intrusión es especialmente útil si la organización ha sufrido ataques en el pasado y desea identificar y solucionar vulnerabilidades antes de que sean explotadas por atacantes reales. Por otro lado, si la organización busca satisfacer los requisitos de seguridad de sus clientes o desea cumplir con un requisito de una certificación de seguridad, un análisis de vulnerabilidades puede ser suficiente. Además, el presupuesto y la disponibilidad de recursos también pueden influir en la decisión. Si la organización tiene un presupuesto limitado y desea obtener una evaluación rápida y automatizada, un análisis de vulnerabilidades puede ser la mejor opción. Por otro lado, si la organización tiene recursos y tiempo para una evaluación más detallada y personalizada, el test de intrusión puede ser más preciso y completo. Conclusión El test de intrusión y el análisis de vulnerabilidades son servicios de evaluación de ciberseguridad con diferentes enfoques y resultados. La elección entre uno u otro depende de la naturaleza de los sistemas o redes que se están evaluando, los objetivos de seguridad de la organización, el presupuesto y la disponibilidad de recursos. En mi opinión, lo más importante para tomar esta decisión es apoyarte en un especialista en ciberseguridad que pueda asesorarte de manera personalizada. Recuerda, empezar a evaluar el estado de la seguridad de tus sistemas y redes es vital para desarrollar una estrategia de ciberseguridad eficiente, y sobre todo, efectiva. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Concienciación en Ciberseguridad, la mejor defensa frente a ciberataques
¿Por qué debemos potenciar esa concienciación de los usuarios en Ciberseguridad? Muchos, sobre todo los que tenemos formación técnica, tendemos a echarle la culpa de los problemas informáticos al usuario final. Al fin y al cabo, ese trabajador, que lo único que quiere es terminar cuanto antes un informe urgente para su jefe, es la persona que ha hecho click donde no debía, desatando una cadena de infecciones por toda la red. Pero… ¿Tienen los usuarios la culpa de que un equipo sea vulnerable a una nueva variante de ransomware? ¿Podrían haber hecho algo para evitar que los sistemas de toda la compañía queden inutilizados? Durante este artículo intentaré responder a estas preguntas desde 2 puntos de vista: La tecnología y el usuario. Primera línea de defensa: La tecnología Si intentamos comparar la edad de el sector informático con otros sectores, como por ejemplo el de la automoción, la informática es un bebé. Llevamos pocos años fabricando y trabajando con PCs, redes, firewalls, antivirus… Todo es razonablemente nuevo, y en algunos casos, distan mucho de la perfección. Seamos realistas, un PC no sale de fábrica siendo seguro. Pero, antes de llevarnos las manos a la cabeza, volvamos al sector de la automoción. Los primeros vehículos volcaban con facilidad y no llevaban cinturón de seguridad. Tener un accidente o no dependía de la pericia del piloto. Hoy nos parecería impensable que se concibiera un coche sin cinturón de seguridad, sin airbags, o sin ABS. Por ejemplo, este último, a pesar de que se estrenó en un Mercedes-Benz en 1978, sólo es obligatorio en coches a partir del 2003. Tardamos 25 años en asegurarnos de que todos los vehículos salieran de fábrica con este sistema de seguridad. Ahora, en el año 2020, ¿es obligatorio que un PC salga de fábrica con cinturones de seguridad, airbags, o ABS?. Es muy probable que un equipo de usuario comprado hoy no lleve medidas de seguridad eficaces, como, por ejemplo: Sistemas contra ataques de día 0 Anti-ransomware Cifrado completo del disco duro Con esto no quiero decir que vengan totalmente “desnudos”, alguna medida de seguridad básica implementan de fábrica, pero si echamos un ojo a las noticias sobre los últimos ciberataques, no parecen suficientes para evitar accidentes graves. La tecnología para proteger nuestra información existe, y es razonablemente eficaz, pero es voluntaria. Alguien ha de ocuparse de diseñar, instalar y mantener medidas de ciberseguridad probadas y eficaces. Segunda y última de línea de defensa: El usuario Una vez asumido que, aunque hayamos implementado los sistemas de protección más avanzados del mercado, podemos ser víctimas de un ciberataque… ¿Qué más podemos hacer? Aquí entra en juego el usuario, nuestra última línea de defesa. Eso es, aquel humano que estaba intentando terminar un informe urgente para su jefe, que no tiene experiencia con nada relacionado con la ciberseguridad. Estamos pidiendo a un contable, un abogado, o un médico que luche contra auténticos expertos en técnicas de hacking (no ético precisamente). Suena un poco desesperado, ¿verdad? Aunque a mi modo de entender la ciberseguridad, no deberíamos cargar a los usuarios con esta responsabilidad, la realidad es que la batalla se suele ganar o perder en un solo click. Si hemos dicho que el usuario es nuestra última línea de defensa, que menos que darles armas contundentes, armas eficaces que les ayuden a proteger la información con la que trabajan. A través de píldoras de concienciación, debemos ayudar a que todos los integrantes de una organización sean capaces de discernir entre un correo bueno o uno malo, entre un fichero sospechoso y otro legítimo. Estas píldoras han de responder a un proceso de concienciación estructurado, no sólo acciones aisladas. Dicho proceso debe estar basado en emails recordatorio, charlas presenciales/online, herramientas automáticas, etc. Estas y otras muchas técnicas de concienciación, convertirán a la última (y a veces desesperada) línea de defensa, en nuestra mejor defensa. Conclusión Como no podría ser de otra forma, la conclusión ha de responder la pregunta que he utilizado con título de este artículo: ¿Por qué debemos potenciar la concienciación de los usuarios en ciberseguridad? Seguro que podemos encontrar más razones, pero aquí tenéis 2: Aunque los sistemas de protección eficaces existen y son vitales para mitigar los riesgos a los que nos enfrentamos, no son perfectos. La tecnología no es perfecta, y necesita ayuda para no ser vulnerada. Sea justo o no, una parte de la responsabilidad de la defensa de nuestros sistemas de información recae en el usuario final. Debemos darle armas suficientes a través de formación, concienciación y capacitación en materia de Ciberseguridad. Y para reforzar el contenido de mi artículo, os dejo el resúmen del webinar sobre concienciación en ciberseguridad dedicado al phishing que emitimos en Global Technology el pasado 7 de Mayo.https://globalt4e.com/eventos/ Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
5 razones para contratar un sistema de monitorización
Si estás leyendo este artículo es que te has planteado implementar un sistema de monitorización de Ciberseguridad para tu infraestructura tecnológica, pero… ¿Para qué lo necesitas? Aquí tenéis 5 razones por las que necesitas un sistema de monitorización de Ciberseguridad: 1. Volumen de información inmanejable A la hora de establecer contramedidas efectivas, una de las barreras que encuentran CISOs y CIOs, es el volumen de datos que deben manejar. Simplemente es demasiada información, demasiados equipos generando logs, demasiadas alertas, demasiados falsos positivos… Demasiado de todo. Los sistemas de monitorización, basados en herramientas de correlación de eventos, nos ayudan a: Ordenar toda esa información, todos esos logs. Presentar la información en un formato más entendible, un formato más humano. Cuadros de mando, indicadores, etc. Tener accesible la información relevante en caso de tener que realizar una investigación forense o un simple troubleshooting. A modo de broma, pero con un poco de verdad entre líneas: Quien sabe, igual, entre los 1.743 emails que te ha mandado esta semana tu firewall, hay 1 que te alertaba de un ataque persistente dirigido a tu CEO. 2. Es difícil poner puertas al campo Cuando pensamos en cómo proteger nuestros sistemas de información, lo primero que nos viene a la cabeza es desplegar alguna solución o herramienta, quizás un firewall de última de generación, un WAF, o cualquier otra tecnología. Todo esto está muy bien, y seguro que son contramedidas que nos hacen falta, pero… ¿Es suficiente? Yo creo que no. La experiencia nos ha demostrado que por muchos sistemas de protección de los que dispongamos, siempre hay alguna variable que no hemos contemplado, un “check” que no está habilitado, o una actualización que no hemos instalado. Proteger la información es algo parecido a poner puertas al campo, es difícil, el escenario sobre el que trabajamos es muy grande. Dicho esto, en el mundo de la protección física, ya dieron con una solución parecida a la monitorización de Ciberseguridad: la videovigilancia. Cuando no podemos levantar un muro impenetrable, lo mejor es conocer y alertar que alguien o algo se lo está saltando. Planteado de otra manera, como no podemos proteger todos nuestros sistemas al 100%, lo mejor es monitorizarlos en busca posibles amenazas. 3. Falta de personal cualificado En el sector de la Ciberseguridad, especialmente en los últimos años, hemos detectado una gran dificultad a la hora de encontrar personal cualificado. ¿Cómo salvar esta dificultad? Propongo 3 soluciones: Formar a nuestro equipo. Automatizar procesos con herramientas como, por ejemplo, un SIEM. Contratar un Centro de Operaciones de Seguridad (SOC) 24×7. Además, hay que tener en cuenta que un sistema de monitorización basado en una buena herramienta, simplifica la detección y gestión de incidentes. Esto quiere decir que no dependeremos (tanto) de la formación y experiencia de nuestro equipo técnico. 4. Necesitamos medir Para mejorar, necesitamos medir. ¿Cómo podemos medir la eficiencia y eficacia de nuestros sistemas de protección? Monitorizando. Una vez tengamos en marcha nuestro servicio de monitorización, y hayamos configurado unos cuadros de mando seremos capaces de medir muchas cosas: Número de ataques recibidos Intentos de autenticación fallidos Vulnerabilidades descubiertas Malware en la red, equipos y servidores Usuarios con comportamiento anómalo … Todos estos indicadores podremos presentarlos en un cuadro de mando, y presentarlo a todos los niveles de la organización: técnico, responsable o ejecutivo. ¿Y si nos preguntan en que estamos gastando el presupuesto de Ciberseguridad? Si tenemos un sistema de monitorización bien configurado, seremos capaces de generar informes entendibles y fáciles de leer, que demuestren la efectividad de las soluciones implementadas mediante indicadores de rendimiento. A todos nos gustan los gráficos bonitos. 5. Cumplimiento normativo Si hablamos de medir, no podemos obviar el cumplimiento normativo. Muchos de los controles que definen las normas (ISO 27001, GDPR, PCI DSS,…) nos instan a medir, y sobe todo a que nuestros procesos críticos participen en el ciclo de mejora continua. Debemos ser capaces de responder preguntas como: ¿Cuántos incidentes has tenido el último mes?, ¿Cuál ha sido tu tiempo de respuesta?, ¿tienes más o menos ataques que el mes pasado? Por supuesto, todas estas preguntas pueden ser respondidas en minutos si tenemos un sistema de monitorización. Son muchas las herramientas (AlienVault, Splunk, LogRhythm, etc) que integran cuadros de mando específicos para el cumplimiento normativo. Conclusión Hoy por hoy los sistemas de monitorización son una pieza muy importante del puzzle de la Ciberseguridad, sobre todo si están integrados en un SOC. Sin ellos nos resultará muy difícil: Manejar el volumen de información que generan nuestros sistemas de protección. Identificar amenazas antes de que se materialicen. Ayudar a nuestro equipo técnico a ser más eficiente, y sobre todo, más efectivo. Medir para mejorar Dar soporte al cumplimiento normativo Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Test de Intrusión para estar libres de ciberataques
La empresa Global Technology realiza un test de intrusión, que permite detectar vulnerabilidades en la seguridad de las empresas para evitar ataques en la red y poner soluciones. Tener un antivirus o un firewall no significa estar protegido frente a posibles ciberataques, sobre todo, ante las amenazas globales que se están produciendo en los sistemas de información de empresas y que cada vez son más sofisticadas, lo que dificulta disponer de soluciones que se adapten rápidamente a esos nuevos riesgos. “Con todas las amenazas que suceden, vemos que es imposible ponerle puertas al campo. Es mejor detectar posibles vulnerabilidades”, explica Enrique Polanco, socio director de Global Technology, consultora de ciberseguridad, que ha desarrollado un test de intrusión con el que se detectan ‘agujeros’ en los sistemas de seguridad de las empresas con el fin de poner medidas para solucionarlo. El test de intrusión se desarrolla en cinco fases. Las dos primeras son de detección –una más agresiva y otra menos agresiva-, para “ver qué hay” en la red tanto interna como externa de una empresa, mientras que la tercera se centra en el análisis de vulnerabilidades para lo que se emplean tecnologías como Nessus de Tenable o Retina. A continuación, se pasa a una cuarta fase, de explotación de vulnerabilidades. El equipo técnico selecciona las “más golosas” o “más grandes” por las que se empezaría. “Se consigue siempre acceso a los sistemas de información del cliente”. Ya, en la quinta fase, se genera el informe de un ataque externo (simulado desde fuera) y otro interno (a la red interna de la empresa), además de diseñarse el plan director de seguridad con las indicaciones de lo que la compañía debe hacer para evitar las vulnerabilidades. Este test, aunque se apoya en tecnología, es realizado en parte de forma manual por los técnicos. Los profesionales que lo realizan (tienen certificados CEH –Certified Ethical Hacking), son capaces con sus conocimientos y práctica de detectar todas las vulnerabilidades de la empresa. Con la realización de una parte del test de intrusión de forma manual, se evitan los problemas de los test totalmente informatizados, que pueden llegar a parar el sistema de información de la empresa y a paralizar su actividad, generando pérdidas importantes no solo por el cese del trabajo, sino también por las penalizaciones de no entregar los productos a sus clientes, entre otros costes generados. Problemas más comunes Entre los problemas de seguridad más comunes que se detectan en las compañías están la gestión de parches porque hay empresas en las que las máquinas se actualizan cada cuatro meses –“lo que es un error”-, así como la falta de capacidad de los sistemas para detectar un ataque. También se observa una demanda de protecciones específicas por inquietudes propias de los clientes como, por ejemplo, para hacer frente al ‘ransomware’ (secuestro y cifrado de la información de la empresa). Aparte del test de intrusión, las soluciones de seguridad de Global Technology también comprenden la monitorización y correlación de eventos. El objetivo es recolectar los ‘logs’ de la red (los que proceden de usuarios, los equipos, elementos de red…) y recibirlos en un correlador de eventos en el que se añade inteligencia para detectar incidencias. Este proceso se realiza a través de sistemas SIEM (Sistema de Gestión de Eventos e Información de Seguridad), que opera la propia compañía o bien del departamento de Seguridad de la empresa en la que se instale. Entre sus ventajas, destacan la recepción de alertas en tiempo real para su gestión y la “orquestación de las respuestas. Si tenemos definidos los patrones de lo que hay que hacer cuando ocurre ‘x’, se puede automatizar”. La actividad de la consultora de ciberseguridad comprende a su vez el análisis forense con el que se permite saber “qué es lo que ha sucedido para convertirlo en pruebas judiciales. Se genera un informe que se va a trasladar en denuncia” y que es validado por un notario. Un análisis que se realiza sin que la empresa tenga que parar su actividad. Global Technology – que comenzó su andadura en 2010 y que ofrece sus servicios desde Zaragoza a Aragón, Navarra, País Vasco y Cataluña-, también imparte talleres y charlas para formar al personal técnico y concienciar sobre la importancia de la seguridad a todos los usuarios del sistema de la empresa y sepan cómo actuar en el día a día. Además, ayuda a las empresas a obtener certificaciones de seguridad como la ISO 27001 (Sistema de Gestión de la Seguridad de la Información), que necesita una compañía para garantizar la protección de la información. VER ARTÍCULO PUBLICADO. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Risk management, SIEM (Security Information Events Management) and ISO27002 compliance are 3 of the hot topics of Information security management
Every one, whatever is his ground or level of expertise, is able, using tools, training, and time to obtain results, with a minimum dedication and effort. It means that a perfect security specialist may achieve good technical results on vulnerability identification and resolution. A good event manager may register full of events and presents very different and interesting diagrams and reports. By the same way, a risk analyser may spend hours trying to prevent or anticipate the future, by using complete or complex risk methodology, having “good” appetite on Risks. On the other hand, an auditor or compliance manager may identify the level of compliance for a set of controls (ISO27002, PCI-DSS, etc.). Several issues occur when you try to fulfil all those expertise and experts together. And raise the following problems: No common objectives: each one has their own objectives but they are not shared (i.e: Audit wants to achieve 0 No conformity, SIEM to register and solve ASAP incidents) Vocabulary misunderstanding: Vulnerability may be assumed or understood as a risk, even if there is no risk. A No-Conformity may be treated as a problem or as vulnerability. Security breach due to bad Priorities: The common security objectives may be hidden or under-prioritize beyond the individual experts priorities (i.e: effort will be done to apply a patch to a level 5 scoring vulnerability, instead of focusing on a higher level as the IP impact on Confidentiality, Availability or Integrity is not enter in the CVSS scoring) Technical no-integration or overlapping: Each aspect may have their own tools, but cannot work together and therefore the tools functions overlap (i.e.: a tool of Vulnerability, or SIEM, or ISO27002 compliance may have each one a Risk analyser function, but not compatible) Time scale problem: Each process does not have the same Time scales for actions or priorities (i.e: audit by year plan, vulnerability by weeks, events by immediate scale, norms change every 3 or 5 years…) To overcome those problems, it is clear that those 3 hot aspects need an Integration effort, and this effort consists of 4 lines of actuation, 3 ones for the pair (Integration 1 to1) and a forth working for all together, as represented in figure 1. All the topics described in Figure 1 will be commented in this article. HOT 3 SECURITY ASPECTS Before entering the Integration solution, it is important to know the current state of art or issue of each aspect. All what I may expose may be obsolete in one month, when appears on the market new tools or new services to address those aspects; therefore I will stay quite superficial or focus on what I think are the main issues for a global or standards point of view. RISK MANAGEMENT The risk management is a very new process, from a standard or global point of view, less than 5 years. At the time of the article there are 2 main international standards: ISO/IEC 31000:2009, Risk management – Risk assessment techniques: which focuses on risk assessment in general ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management: which focus on Risk for Information technology but compatible with ISO 31000. Both norms explain that a Risk management has two main phases: 1-Assesment and 2-Treatment, well explained in the new ISO/IEC ISO27001:2013. The information security risk assessment consists in identifying and evaluating risks in comparison with the defined risks criteria to acknowledge the accepted risks and priorities. The information security risk treatment consists in selecting appropriate information security risk treatment options and determining all controls that are necessary to implement the information security risk treatment option(s) chosen. The new ISO27001 does not specify what the components of a risk are, but generally speaking, the identification and evaluation of a risk is based on 2 components (Cause and Consequence). In reference with the ISO/IEC 27005, the purpose of risk identification is to determine what could happen to cause a potential loss, and to gain insight into how, where and why the loss might happen. Consequences: the value of the Asset (usually impact analysis) within the scope or the Risk management context Cause: the probability of occurrence of the threat to produce those consequences There are different methods and tools to support the complexity of the risk models (relational model between Information Asset layers: i.e Invoice<->-SW ERP<->HW Server<->IP …). Whatever is the model, the objective of Risk management is not to obtain an accuracy of 99% on risk calculation (nobody can predicts the future), but to define priority and treatment proportionality, depending on the level of risks. An example of Risk Matrix (Table 1) For this matrix the treatment depends on the level of risks: SIEM Security Information and Event Management (definition extracted of SIEM from Wikipedia) is a term for software and products services combining security information management (SIM) and security event manager (SEM). SIEM technology provides real-time analysis of security alerts generated by network hardware and applications. SIEM is sold as software, appliances or managed services, and are also used to log security data and generate reports for compliance purposes We can appreciate in Figure 3, an online report on Alert produce by the Tool Alienvault. Something clear is that SIEM manage EVENTS, and those events are past or present, but not future. Someone may argue that, depending on the confidence of the prevision, the occurrence of a future event may be evaluated, but this falls into the Risk Management process. The only sure issue is that, if there is vulnerability or an incident detected (Event), a way of eliminating a risk in the future due to this vulnerability is to supress the vulnerability itself. A SOC (Security Office Center) is a set of internal or external resources (People, Tools, Processes) trying to minimize the Elapse Time between the present Events and the possible future Eventsto reduce the possibility of having negative Event, or to reduce as quickly as possible the detected events, like Figure 4. ISO27002 Compliance The ISO/IEC 27002:2013 “Information