Acuerdo de colaboración entre Centro Zaragoza y Global Technology
Acuerdo de colaboración entre Centro Zaragoza y Global Technology Carlos Arregui y Enrique Polanco, en representación de Centro Zaragoza y Global Technology respectivamente, se reunieron el pasado día 10 de septiembre para formalizar una alianza estratégica que consolida a Global Technology como el partner estratégico de ciberseguridad de Centro Zaragoza. En un contexto en el que la protección de la información es clave para la investigación y desarrollo de tecnologías aplicadas al sector de la automoción, este acuerdo representa un paso importante hacia la mejora de la seguridad digital. El objetivo de la alianza no es otro que permitir a Centro Zaragoza continuar su labor de investigación sobre vehículos con la confianza de que las infraestructuras tecnológicas y los datos críticos están protegidos, y a Global Technology aportar soluciones innovadoras y especializadas en ciberseguridad. «En un mundo cada vez más digital, la ciberseguridad es un pilar fundamental para garantizar la continuidad y el éxito de nuestras investigaciones», declaró Carlos Arregui, director general de Centro Zaragoza. «Nuestro instituto debe proteger los datos de sus clientes y socios con los más altos estándares de ciberseguridad». Por su parte, Enrique Polanco, director general de Global Technogy, añadió: «Este acuerdo subraya nuestro compromiso con la protección de la innovación y la seguridad en sectores estratégicos como el de la automoción y las entidades aseguradoras. Estamos orgullosos de aportar nuestras capacidades para proteger a organizaciones como Centro Zaragoza”. Agradecemos la colaboración en este acuerdo entre Centro Zaragoza y Global Technology, a ambos equipos por su compromiso y visión compartida para construir un futuro más seguro y resiliente. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Hackers vs. IA: La Batalla de los Genios
Hackers vs. IA: La Batalla de los Genios ¿Quién ganará la épica batalla por la supremacía cibernética? ¿La inteligencia artificial con sus algoritmos avanzados o el ingenio humano de un hacker ético? Hablamos con Pedro, responsable del área de hacking ético conocido por sus travesuras constructivas e Inés, responsable del área de Ciber IA y gestión del dato que debaten sobre el impacto de la IA en la ciberseguridad y sus vulnerabilidades. ¿Cómo ha transformado la inteligencia artificial el campo de la ciberseguridad en los últimos años? Inés: La IA ha cambiado el paradigma general, no solo en el campo de la ciberseguridad. Los algoritmos avanzados y el aprendizaje automático hacen mucho más fácil la detección de patrones y el análisis de un volumen de datos mucho más grande. Si nos centramos en el campo de la ciberseguridad, la IA permite realizar análisis de comportamientos, reducir los falsos positivos, crear escenarios de simulación de incidentes, … Se está convirtiendo en una herramienta complementaria muy poderosa para el análisis de nuestras infraestructuras. Aunque bien es cierto que ha supuesto una mejora, no debemos de olvidar que en ocasiones los modelos de IA funcionan como los minions, son una ayuda, pero hay veces que responden de manera torpe y no está de más su supervisión. Pedro: La IA mola, no te lo voy a negar, sabe un montón de cosas…pero aquí lamentablemente se aplica la premisa de que el conocimiento no equivale a la sabiduría. También debemos dejar claro que lo que últimamente se ha puesto de moda son los modelos del lenguaje, y precisamente estos ya no requieren saber complejos comandos para hacer que funcionen de forma anómala…basta con saber comerles el tarro como cuando convences a tu sobrina de que suelte el mando de la PS5 “porque no es bueno jugar tanto” para meterte una viciada de 14 horas en cuanto ella deja de mirarte. ¿Cuáles son las vulnerabilidades más críticas en los sistemas de IA y cómo se pueden en enfrentar? Inés: La lista es larga, creo que su democratización ha hecho olvidar que su uso (como el de cualquier tecnología) puede conllevar un riesgo. Por ejemplo, una de las principales vulnerabilidades a la que nos enfrentamos es el sesgo en los datos. Si la IA se entrena con datos sesgados, es decir, que no son completamente representativos del mundo real, puede tomar decisiones erróneas fácilmente. Para enfrentarlo, tenemos que ser muy cuidadosos con la selección y el procesamiento de datos. Además, la seguridad del propio modelo de IA es crucial, si alguien puede manipular el modelo, puede causar estragos. Pedro: Hay vulnerabilidades de toda índole, precisamente los modelos del lenguaje nos permiten jugar con el léxico con el objetivo de alterar su funcionamiento para obtener ciertos comportamientos. Ya sea para que nos de datos que los desarrolladores han intentado ocultar, funcione de una forma absurda inventando datos o adopte la personalidad de un apicultor adicto al fentanilo, las anomalías que podemos aprovechar mediante esa picaresca de las palabras (muy nuestra, por cierto) son bastantes. Parece que la colaboración entre hackers éticos y desarrolladores de IA es crucial. ¿Qué tan importante es esta colaboración para fortalecer la seguridad? ¿Cómo se puede fomentar en la industria? Inés: Es absolutamente esencial. Trabajar juntos en equipos multidisciplinares nos permite identificar y solucionar problemas más fácilmente antes de que los ciberdelincuentes los exploten. Pedro: Siempre es divertido colaborar con otros especialistas. Sobre todo, cuando el trabajo que tiene tu compañero es construir cuidadosos castillos de naipes y el tuyo es darle un manotazo a ver si se cae. Obviamente yo estoy en el lado divertido de los naipes. Por último, pero no menos importante, hablemos del futuro. ¿Qué innovaciones en inteligencia artificial esperáis que redefinan la ciberseguridad en los próximos años? Inés: Creo que el aprendizaje federado tendrá un mayor auge y un papel fundamental en la privacidad de los datos. Este aprendizaje permite entrenar modelos de IA sin compartir datos sensibles, haciendo que no se vea comprometida la privacidad de los datos o al menos, que no sea por el entrenamiento de modelos. Lo que sí que tengo claro, visto el crecimiento que está teniendo la IA en estos últimos años, es que puede aparecer un algoritmo o un modelo nuevo que haga factibles cosas que ahora no nos planteamos. Pedro: El estado del arte está un poco verde todavía como con cualquier tecnología incipiente. No me cabe duda que los modelos evolucionarán y aparecerán sistemas de seguridad que los protejan de una forma más eficiente. En mi opinión el problema no está en los modelos si no en los conjuntos de datos usados para el entrenamiento. Si el modelo no tiene datos de origen adaptados a prevenir estos comportamientos maliciosos, seguiremos pudiendo hackearlos. Es un campo interesante y por mi parte tengo curiosidad por ver en que desemboca todo. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Estrategia de Ciberinteligencia para las empresas
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Gestión avanzada de la seguridad
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Monitorización redes OT
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Modificación de la ley PIC, primera actualización en más de diez años.
La recientemente publicada Ley Orgánica 9/2022, de 28 de julio, que entra en vigor a partir del 29 de agosto del presente año, viene a establecer la primera modificación a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Comúnmente conocida como «Ley PIC«), desde su entrada en vigor el 30 de abril de 2011. Dicha Ley Orgánica, por medio de su disposición final segunda, modifica el Artículo 13 de la mencionada Ley 8/2011, relativo al deber de colaboración de los Operadores Críticos con las autoridades competentes del Sistema de Protección de Infraestructuras Críticas para optimizar la seguridad de las mismas, y las obligaciones de dichos Operadores para dicho fin. En concreto, mediante la modificación de los apartados c) y d) de dicho artículo viene a determinar la obligación de los Operadores Críticos a acreditar tanto en el Plan de Seguridad del Operador, cómo en sus Planes de Protección Específicos la implantación de las medidas exigidas por la autoridad competente a través de la certificación oportuna. Es decir, viene a realzar la importancia de la certificación de las medidas de seguridad implementadas tanto como la de la elaboración de los mismos planes. De este modo, se afianza la obligación de los Operadores Críticos a certificar sus Infraestructuras en aquellos estándares de referencia para la seguridad integral de estas. Con ello, la Ley PIC, se alinea con otras normativas legales que ya preconizan dicha obligatoriedad, tales como el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Ambos en materia de seguridad de la información. Actualmente desconocemos cuál será el sistema de certificación o método aceptado para dar cumplimiento a estos requisitos legales, por lo que deberemos estar pendientes de las futuras indicaciones normativas y/o reglamentarias, al respecto. Además de las modificaciones anteriores, se añade una nueva obligación para los Operadores Críticos a través de la inclusión, en el mencionado Artículo 13, del nuevo apartado h) el cual establece la necesidad de … «Constituir un Área de Seguridad del Operador, de la manera que reglamentariamente se determine»…; de lo que se deduce la obligación de adecuación de sus estructuras organizativas al criterio de la seguridad integral establecido para las instalaciones de los Operadores Críticos. A nuestro entender, esta primera modificación de la Ley PIC vaticina la próxima y realmente necesaria, llegada de una actualización normativa para la seguridad de las Infraestructuras Críticas. Tal vez, con unos mayores niveles de exigencias en los criterios y requisitos de seguridad de estas y más orientada a procesos de certificación como lo es el caso del ENS. Desde el equipo técnico y comercial de Global Technology, manteniendo nuestro compromiso de servicio, realizamos seguimiento permanente de las actualizaciones legales y reglamentarias, con el objetivo de mantener informados a nuestros clientes y al público en general, sobre los cambios que puedan afectar la gestión de su instalación y organización. Del mismo modo, nos mantenemos al día de las exigencias y requisitos normativos para desarrollarlos en nuestros servicios; y asesorar así a nuestros clientes, incorporando soluciones de mejora, eficaces y eficientes, en beneficio de la gestión de su seguridad integral. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Auditoría de seguridad
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
¿Qué es la vigilancia digital?
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Esquema Nacional de Seguridad (ENS): necesidad, obligatoriedad, peculiaridades y beneficios
La Importancia de la información y los sistemas TI En la actualidad, la información es una pieza clave e incluso vital para toda organización por ello hay que protegerla como un activo crítico para el desarrollo y la continuidad de la actividad empresarial. Es de vital importancia asegurar que la información esté disponible, actualizada, sea veraz y accesible para el personal autorizado siempre que se necesite. Un fallo en la seguridad que comprometa la información sensible de una empresa puede suponer graves perjuicios para esta y la seguridad de sus instalaciones. Como ejemplo, pensemos en una instalación portuaria, la filtración de algo tan simple como un cuadrante de turnos de guardias de seguridad y relevos, o del posicionamiento o estado de las cámaras de videovigilancia, puede suponer una enorme brecha para la seguridad física de la instalación, ya que proporciona pistas a los delincuentes que facilitan la intrusión sin ser detectados. Con la digitalización de la industria, y la evolución de las denominadas tecnologías de la información, los sistemas informáticos se han convertido en el motor que sustentan la gran mayoría de los servicios y cadenas de producción actuales y un fallo de disponibilidad en estos puede llegar a inutilizar la operativa de una gran organización e incluso hacerla colapsar. En este caso, no tenemos que pensar en sistemas críticos y complejos de alta seguridad de los que nos muestran en películas de acción en las que un fallo informático genera el fin del mundo. Siguiendo con el ejemplo anterior, pensemos en la cantidad de vehículos que acceden a un puerto a lo largo del día, un simple fallo en la gestión de accesos de vehículos a una instalación portuaria, que dificulte la circulación del tráfico, puede suponer un colapso de las vías de comunicación, no sólo de la instalación sino incluso de toda la ciudad que la alberga. A todo ello se suma el aumento exponencial de la ciberdelincuencia año tras año, y el desarrollo del cibercrimen y los ataques dirigidos a infraestructuras tanto públicas como privadas. Que además en los últimos meses se ha disparado en base al conflicto bélico entre Rusia y Ucrania, ya que las corporaciones organizadas del cibercrimen y los ciberdelincuentes aislado han utilizado la tesitura para enmascarar y aumentar en gran medida sus actividades delictivas. Necesidad y obligatoriedad En este contexto, la preocupación por los sistemas de información y la seguridad de los mismos es de vital importancia. En particular en el Sector Público y los organismos que lo componen como garante del bienestar de todos los españoles. En base a dicha preocupación, se hace necesaria una estandarización de los requisitos y pautas de seguridad para los sistemas de información y en virtud de ello una unificación normativa para la adecuación de este sector a unos adecuados niveles de seguridad. Por ello, tal y como establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Esquema Nacional de Seguridad, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público. Esta la constituyen los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada; y como finalidad, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos mediante la aplicación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Dicha Ley es de obligado cumplimiento para los organismos que conforman el Sector Público. ¿Cuáles son los organismos que conforman el sector público? El artículo 2 de la mencionada Ley identifica los organismos que forman parte del sector público, entre los que se incluye el sector público institucional, según la cual, “tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público” …;y aquellas de derecho privado… “vinculados o dependientes de las Administraciones Públicas”. Por ello, con carácter genérico, a excepción de los casos con legislación específicas excluyente, toda entidad perteneciente al sector público y aquellas de derecho privado vinculadas o dependientes, bajo la aplicabilidad de la Ley 40/2015 tiene la obligación de adecuarse al ENS en base al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (mod. 04/11/2015). Siguiendo con nuestro ejemplo, en el Sector Portuario, las 28 Autoridades Portuarias que gestionan los 46 puertos de interés general, pertenecientes al Sistema Portuario español de titularidad estatal, como entidades vinculadas al Organismo Público Puertos del Estado, el cual se rige por su normativa específica, por las disposiciones de la Ley General Presupuestaria que le sean de aplicación y, supletoriamente por la Ley 40/2015; tienen la obligatoriedad de adecuarse al ENS. ¿Qué aporta el ENS? El ENS aporta un marco de gestión para la seguridad de la información a través de un enfoque integral y holístico, bajo la premisa de que la debilidad de un sistema la determina su punto más frágil. La adecuación de las organizaciones a la implementación de las medidas de seguridad preconizadas en este proporciona un aumento de los niveles de seguridad de la información desde el primer momento y un marco de trabajo para la mejora continua de la misma. Además, su certificación es una prueba de que la organización cumple con unos criterios mínimos de seguridad de la información y se adecúa a los requisitos legales, pudiendo ser, a parte de una mejora en el ámbito de la seguridad, una defensa ante posibles sanciones legales en caso de producirse incidentes de seguridad. Por otra parte, su cumplimento y certificación, también aporta un aumento de la confianza de partners, proveedores y clientes en la organización y mejora la imagen corporativa. La necesidad de proveer a las Administraciones Públicas de un Sistema de Gestión de la Seguridad de la Información estandarizado como lo es el ENS, viene determinada
Entrevista con Enrique Polanco, en Red Seguridad
En el último número de la revista Red Seguridad se publica la entrevista que le han realizado a Enrique Polanco Abarca, Director General de Global Technology, con motivo de presentar qué tendencias en tecnologías y servicios de ciberseguridad predominarán a lo largo del 2022 y las principales ciberamenazas a las que tendrán que hacer frente las organizaciones. En la misma, Enrique Polanco destaca, como servicios predominantes para 2022, el análisis del comportamiento y las alertas en tiempo real, el despliegue de sistemas de protección que utilicen modelos predictivos basados en Inteligencia Artificial y, para cuando lo anterior no sea suficiente (o no exista), el servicio de respuesta ante incidentes. En su opinión, se prevé un aumento considerable de la demanda de servicios de ciberseguridad complejos. Por lo que, ha comentado, «nuestro objetivo para 2022 es aumentar las capacidades operativas, principalmente en estas tres áreas: vigilancia del fraude y fuga de información, despliegue de soluciones con capacidades predictivas (Inteligencia Artificial) y análisis y representación del dato para simplificar la toma de decisiones«. Hemos dejado la entrevista en PDF en este enlace. Si estás interesado en saber más sobre ciberseguridad, nuestros especialistas en seguridad, ciberseguridad e inteligencia empresarial estarán encantados en asesorar en lo necesario. Además, en nuestro blog puedes encontrar todo tipo de consejos de ciberseguridad y seguridad corporativa. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com