Estrategia de Ciberinteligencia para las empresas
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Gestión avanzada de la seguridad
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Monitorización redes OT
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Modificación de la ley PIC, primera actualización en más de diez años.
La recientemente publicada Ley Orgánica 9/2022, de 28 de julio, que entra en vigor a partir del 29 de agosto del presente año, viene a establecer la primera modificación a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Comúnmente conocida como «Ley PIC«), desde su entrada en vigor el 30 de abril de 2011. Dicha Ley Orgánica, por medio de su disposición final segunda, modifica el Artículo 13 de la mencionada Ley 8/2011, relativo al deber de colaboración de los Operadores Críticos con las autoridades competentes del Sistema de Protección de Infraestructuras Críticas para optimizar la seguridad de las mismas, y las obligaciones de dichos Operadores para dicho fin. En concreto, mediante la modificación de los apartados c) y d) de dicho artículo viene a determinar la obligación de los Operadores Críticos a acreditar tanto en el Plan de Seguridad del Operador, cómo en sus Planes de Protección Específicos la implantación de las medidas exigidas por la autoridad competente a través de la certificación oportuna. Es decir, viene a realzar la importancia de la certificación de las medidas de seguridad implementadas tanto como la de la elaboración de los mismos planes. De este modo, se afianza la obligación de los Operadores Críticos a certificar sus Infraestructuras en aquellos estándares de referencia para la seguridad integral de estas. Con ello, la Ley PIC, se alinea con otras normativas legales que ya preconizan dicha obligatoriedad, tales como el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Ambos en materia de seguridad de la información. Actualmente desconocemos cuál será el sistema de certificación o método aceptado para dar cumplimiento a estos requisitos legales, por lo que deberemos estar pendientes de las futuras indicaciones normativas y/o reglamentarias, al respecto. Además de las modificaciones anteriores, se añade una nueva obligación para los Operadores Críticos a través de la inclusión, en el mencionado Artículo 13, del nuevo apartado h) el cual establece la necesidad de … «Constituir un Área de Seguridad del Operador, de la manera que reglamentariamente se determine»…; de lo que se deduce la obligación de adecuación de sus estructuras organizativas al criterio de la seguridad integral establecido para las instalaciones de los Operadores Críticos. A nuestro entender, esta primera modificación de la Ley PIC vaticina la próxima y realmente necesaria, llegada de una actualización normativa para la seguridad de las Infraestructuras Críticas. Tal vez, con unos mayores niveles de exigencias en los criterios y requisitos de seguridad de estas y más orientada a procesos de certificación como lo es el caso del ENS. Desde el equipo técnico y comercial de Global Technology, manteniendo nuestro compromiso de servicio, realizamos seguimiento permanente de las actualizaciones legales y reglamentarias, con el objetivo de mantener informados a nuestros clientes y al público en general, sobre los cambios que puedan afectar la gestión de su instalación y organización. Del mismo modo, nos mantenemos al día de las exigencias y requisitos normativos para desarrollarlos en nuestros servicios; y asesorar así a nuestros clientes, incorporando soluciones de mejora, eficaces y eficientes, en beneficio de la gestión de su seguridad integral. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Auditoría de seguridad
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
¿Qué es la vigilancia digital?
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Esquema Nacional de Seguridad (ENS): necesidad, obligatoriedad, peculiaridades y beneficios
La Importancia de la información y los sistemas TI En la actualidad, la información es una pieza clave e incluso vital para toda organización por ello hay que protegerla como un activo crítico para el desarrollo y la continuidad de la actividad empresarial. Es de vital importancia asegurar que la información esté disponible, actualizada, sea veraz y accesible para el personal autorizado siempre que se necesite. Un fallo en la seguridad que comprometa la información sensible de una empresa puede suponer graves perjuicios para esta y la seguridad de sus instalaciones. Como ejemplo, pensemos en una instalación portuaria, la filtración de algo tan simple como un cuadrante de turnos de guardias de seguridad y relevos, o del posicionamiento o estado de las cámaras de videovigilancia, puede suponer una enorme brecha para la seguridad física de la instalación, ya que proporciona pistas a los delincuentes que facilitan la intrusión sin ser detectados. Con la digitalización de la industria, y la evolución de las denominadas tecnologías de la información, los sistemas informáticos se han convertido en el motor que sustentan la gran mayoría de los servicios y cadenas de producción actuales y un fallo de disponibilidad en estos puede llegar a inutilizar la operativa de una gran organización e incluso hacerla colapsar. En este caso, no tenemos que pensar en sistemas críticos y complejos de alta seguridad de los que nos muestran en películas de acción en las que un fallo informático genera el fin del mundo. Siguiendo con el ejemplo anterior, pensemos en la cantidad de vehículos que acceden a un puerto a lo largo del día, un simple fallo en la gestión de accesos de vehículos a una instalación portuaria, que dificulte la circulación del tráfico, puede suponer un colapso de las vías de comunicación, no sólo de la instalación sino incluso de toda la ciudad que la alberga. A todo ello se suma el aumento exponencial de la ciberdelincuencia año tras año, y el desarrollo del cibercrimen y los ataques dirigidos a infraestructuras tanto públicas como privadas. Que además en los últimos meses se ha disparado en base al conflicto bélico entre Rusia y Ucrania, ya que las corporaciones organizadas del cibercrimen y los ciberdelincuentes aislado han utilizado la tesitura para enmascarar y aumentar en gran medida sus actividades delictivas. Necesidad y obligatoriedad En este contexto, la preocupación por los sistemas de información y la seguridad de los mismos es de vital importancia. En particular en el Sector Público y los organismos que lo componen como garante del bienestar de todos los españoles. En base a dicha preocupación, se hace necesaria una estandarización de los requisitos y pautas de seguridad para los sistemas de información y en virtud de ello una unificación normativa para la adecuación de este sector a unos adecuados niveles de seguridad. Por ello, tal y como establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Esquema Nacional de Seguridad, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público. Esta la constituyen los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada; y como finalidad, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos mediante la aplicación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Dicha Ley es de obligado cumplimiento para los organismos que conforman el Sector Público. ¿Cuáles son los organismos que conforman el sector público? El artículo 2 de la mencionada Ley identifica los organismos que forman parte del sector público, entre los que se incluye el sector público institucional, según la cual, “tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público” …;y aquellas de derecho privado… “vinculados o dependientes de las Administraciones Públicas”. Por ello, con carácter genérico, a excepción de los casos con legislación específicas excluyente, toda entidad perteneciente al sector público y aquellas de derecho privado vinculadas o dependientes, bajo la aplicabilidad de la Ley 40/2015 tiene la obligación de adecuarse al ENS en base al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (mod. 04/11/2015). Siguiendo con nuestro ejemplo, en el Sector Portuario, las 28 Autoridades Portuarias que gestionan los 46 puertos de interés general, pertenecientes al Sistema Portuario español de titularidad estatal, como entidades vinculadas al Organismo Público Puertos del Estado, el cual se rige por su normativa específica, por las disposiciones de la Ley General Presupuestaria que le sean de aplicación y, supletoriamente por la Ley 40/2015; tienen la obligatoriedad de adecuarse al ENS. ¿Qué aporta el ENS? El ENS aporta un marco de gestión para la seguridad de la información a través de un enfoque integral y holístico, bajo la premisa de que la debilidad de un sistema la determina su punto más frágil. La adecuación de las organizaciones a la implementación de las medidas de seguridad preconizadas en este proporciona un aumento de los niveles de seguridad de la información desde el primer momento y un marco de trabajo para la mejora continua de la misma. Además, su certificación es una prueba de que la organización cumple con unos criterios mínimos de seguridad de la información y se adecúa a los requisitos legales, pudiendo ser, a parte de una mejora en el ámbito de la seguridad, una defensa ante posibles sanciones legales en caso de producirse incidentes de seguridad. Por otra parte, su cumplimento y certificación, también aporta un aumento de la confianza de partners, proveedores y clientes en la organización y mejora la imagen corporativa. La necesidad de proveer a las Administraciones Públicas de un Sistema de Gestión de la Seguridad de la Información estandarizado como lo es el ENS, viene determinada
Entrevista con Enrique Polanco, en Red Seguridad
En el último número de la revista Red Seguridad se publica la entrevista que le han realizado a Enrique Polanco Abarca, Director General de Global Technology, con motivo de presentar qué tendencias en tecnologías y servicios de ciberseguridad predominarán a lo largo del 2022 y las principales ciberamenazas a las que tendrán que hacer frente las organizaciones. En la misma, Enrique Polanco destaca, como servicios predominantes para 2022, el análisis del comportamiento y las alertas en tiempo real, el despliegue de sistemas de protección que utilicen modelos predictivos basados en Inteligencia Artificial y, para cuando lo anterior no sea suficiente (o no exista), el servicio de respuesta ante incidentes. En su opinión, se prevé un aumento considerable de la demanda de servicios de ciberseguridad complejos. Por lo que, ha comentado, «nuestro objetivo para 2022 es aumentar las capacidades operativas, principalmente en estas tres áreas: vigilancia del fraude y fuga de información, despliegue de soluciones con capacidades predictivas (Inteligencia Artificial) y análisis y representación del dato para simplificar la toma de decisiones«. Hemos dejado la entrevista en PDF en este enlace. Si estás interesado en saber más sobre ciberseguridad, nuestros especialistas en seguridad, ciberseguridad e inteligencia empresarial estarán encantados en asesorar en lo necesario. Además, en nuestro blog puedes encontrar todo tipo de consejos de ciberseguridad y seguridad corporativa. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Seguridad y Cumplimiento Normativo, simbiosis para un enfoque holístico de la seguridad
El presente artículo está dirigido a personal técnico y responsables en materia de seguridad que quieran dedicar unos minutos a reflexionar sobre el creciente peso del cumplimiento normativo en la gestión de riesgos y la resiliencia organizacional; y como este, afectan a la imagen corporativa y el desarrollo del negocio independientemente del sector en que se desempeñe la actividad profesional. Por ello, si no está familiarizado con los conceptos anteriormente expuestos, y es de su interés indagar en las necesidades de cumplimiento normativo para su negocio y sus interacciones con la seguridad del mismo, se le recomienda el artículo “Seguridad y cumplimiento normativo, juntos y necesariamente revueltos”, el cual aborda los temas que se exponen a continuación desde una perspectiva menos técnica y reflexiva, y con un carácter mayoritariamente explicativo. El objeto del presente artículo es profundizar, de la forma más escueta y somera posible, en la cada vez más evidente y necesaria interrelación entre la seguridad de las organizaciones y el cumplimiento normativo. A través de una breve introducción al desarrollo de la transformación conceptual que ha sufrido la seguridad en las últimas décadas, y cómo esta trasformación ha llevado a la concepción de la seguridad bajo un enfoque holístico que aglomera multitud de frentes de actuación en base a la demanda social y legal. Centrándonos posteriormente, en la preocupación por la seguridad de las corporaciones empresariales, y el cómo debe ser entendida la misma, analizando parte del conjunto de este enforque holístico de la seguridad, incluyendo, la seguridad física, la ciberseguridad y el cumplimiento normativo. Para ello, a través de algunos ejemplos, evidenciaremos cómo dicho enfoque, o la falta de este, puede influir de cara a minimizar los riesgos, mejorar la resiliencia organizacional y asegurar la continuidad del negocio. A lo largo de los años el concepto de la seguridad ha sufrido una importante evolución, en base principalmente a tres factores, el desarrollo tecnológico, la apreciación de los riesgos y su globalización; y la creciente preocupación social por la gestión de riesgos en demanda de su seguridad. Dichos factores han derivado en que la seguridad abarque cada vez más áreas de desarrollo, puesto que, se ha pasado de una concepción de la seguridad preocupada principalmente por la gestión de riesgos locales y el desarrollo e implementación de medidas de protección físicas a las instalaciones; a una visión de la seguridad, enfocada en la responsabilidad social. Tras la evidente globalización de los riesgos y su afección a la sociedad como conjunto, apoyado en el desarrollo del enfoque de la seguridad humana (Informe sobre el desarrollo Humano, PNUD, 1994). Este desarrollo conceptual y cambio de paradigma se refleja a su vez en un continuo desarrollo legal y normativo que exige a las organizaciones una mayor preocupación por la gestión de riesgos y la seguridad. Podríamos decir entonces que la seguridad de las organizaciones, entendida como la correcta gestión de sus riesgos es, mayoritariamente, una demanda social reflejada en parte a través de la normativa legal y regulatoria. Esta es evidente cuando se ponen sobre la mesa conceptos tales como riesgo reputacional, imagen corporativa o reputación de marca, y cómo los incidentes de seguridad afectan considerablemente a estos generando un impacto directo sobre el desarrollo de negocio y, por ende, en la facturación de las organizaciones. Pues la merma de confianza en la organización hace que, desde una perspectiva puramente económica, el impacto de un incidente de seguridad no se limite únicamente al valor monetario de la recuperación de los activos afectados por el incidente, si no también, a los perjuicios a la facturación durante el mismo, y la perdida de beneficios derivados del detrimento la cuota de mercado a consecuencia de este. Además, de las repercusiones económicas derivadas de las posibles sanciones por incumplimiento legal, en caso de demostrarse que dicho incidente ha sido derivado de una falta de medidas de seguridad o, una mala aplicación de las misas. Cabe destacar, en materia de seguridad de la información y ciberseguridad, cómo desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las repercusiones del incumplimiento legal y regulatorio se han multiplicado considerablemente. Así pues, si analizamos los datos de las sanciones emitidas por la AEPD en los últimos tres años, vemos como ha habido un creciente aumento en el número de sanciones y un importante endurecimiento en el importe económico de estas. Durante 2021 ha habido sanciones con importes mayores a la suma de los importes de las sanciones totales de los dos años anteriores. Tendencia que, realizando una breve comparativa con el contexto europeo en la materia, no cabe duda continuará aumentado. Por todo ello, se hace necesario para las organizaciones preocuparse por la seguridad para asegurar su continuidad de negocio y su posicionamiento en el mercado, en base a la gestión de sus riesgos, disminuyendo su vulnerabilidad y aumentando su resiliencia ante la afección de incidentes de seguridad y crisis reputacionales. Y es en base a asegurar dicha continuidad y posicionamiento empresarial en la que una concepción integral de la seguridad, desde una perspectiva holística, es primordial para la identificación y gestión de riesgos. Una perspectiva holística de seguridad significa proveer a la organización de los mecanismos necesarios para enfocar las distintas áreas de la seguridad como un todo, proveerla de una visión de conjunto que consiga identificar los riesgos que le afectan y sus interrelaciones, incluir la gestión de riesgos desde el diseño en cada uno de los proyectos de la organización; y mantener un equilibrio constante entre las medidas de seguridad físicas, la ciberseguridad y el cumplimiento normativo. Todo ello desde una perspectiva tanto económica, preocupándose por los beneficios para la organización; como ética, preocupándose por mantener los niveles de seguridad y el compromiso demandados por la sociedad. A priori, se puede pensar que este enfoque requiere una mayor inversión, pero lo que realmente requiere es un mayor análisis en el diseño de la seguridad, las medidas a implementar, su
Seguridad y Cumplimiento Normativo, juntos y necesariamente revueltos
El objetivo del presente artículo no es otro que explicar de forma simple, resumida y para todos los públicos la cada vez mayor relación entre la seguridad y el cumplimiento normativo de cualquier empresa o negocio. Así que, si está familiarizado con conceptos como resiliencia organizacional, desarrollo de negocio, continuidad, posicionamiento e imagen corporativa, le recomiendo el artículo “seguridad y cumplimiento normativo, simbiosis para un enfoque holístico de la seguridad” que trata estos temas de una manera más técnica y profunda. Si, por el contrario, ha escuchado alguna vez estos conceptos, pero no los tiene del todo claros, está usted en el lugar indicado. Para entender la creciente relación entre cumplimiento normativo, seguridad y el beneficio económico de nuestro negocio debemos comprender mejor qué abarca la seguridad, cómo se relaciona con el cumplimiento normativo y cómo afectan estos a nuestra empresa. Para ello, debemos hacernos una pequeña idea sobre a qué nos referimos cuando nos referimos a imagen corporativa, posicionamiento, continuidad del negocio o resiliencia organizacional de cualquier empresa. De una manera simple, se podría decir que la imagen corporativa es la idea que tienen los clientes, o posibles clientes, de un negocio y lo que hace, la calidad que perciben de sus productos o servicios. Esa imagen influye en la confianza que tienen las personas en cualquier empresa y definirá el valor que le dan respecto al de sus competidores o, dicho de otra forma, su posicionamiento en el mercado o en el sector que desarrolla la actividad empresarial. La imagen corporativa influye directamente en el valor de un negocio y sus servicios. Generalmente, una empresa que se percibe con mayor calidad de productos o mejores servicios vende mucho más. Por otra parte, cuando se habla de continuidad del negocio, se habla de la capacidad de las empresas para asegurar que su actividad se realizará de manera continuada en el tiempo; y para asegurar esa continuidad, las empresas necesitan diseñar estrategias e implementar medidas de seguridad frente a los imprevistos, incidentes o cualquier circunstancia que amenace esta, así como, estar preparadas para adaptarse a los cambios y retos que puedan surgir en su entorno. Dicho de otro modo, ser resiliente, es decir, tener la capacidad para enfrentarse a los riesgos, y adaptarse a los imprevistos y/o cambios del entorno de la mejor y más rápida forma posible para asegurar la continuidad de la actividad. El cumplimiento normativo en las empresas muchas veces es visto como algo secundario, de menor importancia, que genera gastos, acapara recursos y tiempo, y que aporta poco valor. Pero, es cada vez más evidente el impacto que tiene en las empresas y los beneficios que aporta. Se debe cambiar la percepción del cumplimiento normativo y pasar de verlo como un gasto a verlo como una inversión. Para ello, debemos tener clara, sin lugar a duda, la importancia y el impacto de este en el desarrollo del negocio y, por qué influye en su seguridad. Cuando se habla de seguridad, tradicionalmente se piensa en la seguridad física. En lugares y ubicaciones seguras frente al accesos de ladrones, en poner puertas seguras, barreras, alarmas, cámaras y todo para prevenir robos en el interior de un local. Pero la realidad, es que la visión de la seguridad ha cambiado considerablemente. Desde hace ya algunos años, la seguridad abarca muchas más acciones, preocupaciones y necesidades de las que se consideraban de manera tradicional. La seguridad de las empresas va mucho más allá de proteger sus bienes frente al robo, la manipulación o, la destrucción de estos. Ahora, el objetivo de la seguridad pasa de centrarse en la búsqueda de la protección a, preocuparse por la implementación de todas las medidas necesarias para tratar los riesgos que amenazan el correcto funcionamiento de la actividad diaria de las empresas, para asegurar la continuidad del negocio. Entre las múltiples preocupaciones actuales de la seguridad, además de las medidas de seguridad física, se encuentran: la protección de la información relevante para la empresa, entendida como aquella información que si se conociese por personas ajenas a la empresa podría causar un daño a la misma; la protección de los sistemas y equipos informáticos o ciberseguridad, la protección frente a los cambios imprevistos que puedan ocasionar daños a la organización, la protección de la reputación de la empresa o imagen corporativa; y el cumplimiento normativo entre otros. Todas estas preocupaciones se entremezclan e interactúan de manera que, los riesgos que afectan a alguna de ellas causan a su vez repercusiones graves en las otras, afectando al correcto desarrollo de la actividad y causando daños o perdidas de oportunidades, que a su vez se traducen en pérdidas económicas. Uno de los factores que cada día más influye en la seguridad y el desarrollo de negocio de las empresas es el cumplimiento normativo. Independientemente del sector de actividad o el tamaño del negocio, el cumplimiento normativo está presente siempre en mayor o menor medida y puede marcar la diferencia entre el crecimiento empresarial o el cierre total de la actividad. Bien estructurado, el cumplimiento normativo puede ser un escudo que proteja a la empresa ante muchos riesgos y un salvavidas para el desarrollo de cualquier negocio. Por el contrario, mal gestionado, puede ser el arma que lo hiera y el ancla que lo frene o incluso lo hunda. A las empresas se les exige el cumplimiento de unas determinadas leyes para el desarrollo de su actividad, la mayoría de estas leyes cuentan con régimen sancionador en caso de incumplimiento. que se traducen en multas considerables, retirada de licencias, e incluso, cese de actividad, etc. Además, la competencia empresarial, y en muchos casos los clientes, exigen que las empresas cumplan con determinadas normas y buenas prácticas reconocidas que avalen y certifiquen que realizan su actividad de la mejor manera posible. Siendo percibidas las empresas con una mayor implicación y desarrollo del cumplimiento normativo, como aquellas de mayor calidad, los que les proporciona una mejor imagen corporativa, ofreciéndoles una ventaja competitiva frente al resto de empresas de su