Seguridad y Cumplimiento Normativo, simbiosis para un enfoque holístico de la seguridad
El presente artículo está dirigido a personal técnico y responsables en materia de seguridad que quieran dedicar unos minutos a reflexionar sobre el creciente peso del cumplimiento normativo en la gestión de riesgos y la resiliencia organizacional; y como este, afectan a la imagen corporativa y el desarrollo del negocio independientemente del sector en que se desempeñe la actividad profesional. Por ello, si no está familiarizado con los conceptos anteriormente expuestos, y es de su interés indagar en las necesidades de cumplimiento normativo para su negocio y sus interacciones con la seguridad del mismo, se le recomienda el artículo “Seguridad y cumplimiento normativo, juntos y necesariamente revueltos”, el cual aborda los temas que se exponen a continuación desde una perspectiva menos técnica y reflexiva, y con un carácter mayoritariamente explicativo. El objeto del presente artículo es profundizar, de la forma más escueta y somera posible, en la cada vez más evidente y necesaria interrelación entre la seguridad de las organizaciones y el cumplimiento normativo. A través de una breve introducción al desarrollo de la transformación conceptual que ha sufrido la seguridad en las últimas décadas, y cómo esta trasformación ha llevado a la concepción de la seguridad bajo un enfoque holístico que aglomera multitud de frentes de actuación en base a la demanda social y legal. Centrándonos posteriormente, en la preocupación por la seguridad de las corporaciones empresariales, y el cómo debe ser entendida la misma, analizando parte del conjunto de este enforque holístico de la seguridad, incluyendo, la seguridad física, la ciberseguridad y el cumplimiento normativo. Para ello, a través de algunos ejemplos, evidenciaremos cómo dicho enfoque, o la falta de este, puede influir de cara a minimizar los riesgos, mejorar la resiliencia organizacional y asegurar la continuidad del negocio. A lo largo de los años el concepto de la seguridad ha sufrido una importante evolución, en base principalmente a tres factores, el desarrollo tecnológico, la apreciación de los riesgos y su globalización; y la creciente preocupación social por la gestión de riesgos en demanda de su seguridad. Dichos factores han derivado en que la seguridad abarque cada vez más áreas de desarrollo, puesto que, se ha pasado de una concepción de la seguridad preocupada principalmente por la gestión de riesgos locales y el desarrollo e implementación de medidas de protección físicas a las instalaciones; a una visión de la seguridad, enfocada en la responsabilidad social. Tras la evidente globalización de los riesgos y su afección a la sociedad como conjunto, apoyado en el desarrollo del enfoque de la seguridad humana (Informe sobre el desarrollo Humano, PNUD, 1994). Este desarrollo conceptual y cambio de paradigma se refleja a su vez en un continuo desarrollo legal y normativo que exige a las organizaciones una mayor preocupación por la gestión de riesgos y la seguridad. Podríamos decir entonces que la seguridad de las organizaciones, entendida como la correcta gestión de sus riesgos es, mayoritariamente, una demanda social reflejada en parte a través de la normativa legal y regulatoria. Esta es evidente cuando se ponen sobre la mesa conceptos tales como riesgo reputacional, imagen corporativa o reputación de marca, y cómo los incidentes de seguridad afectan considerablemente a estos generando un impacto directo sobre el desarrollo de negocio y, por ende, en la facturación de las organizaciones. Pues la merma de confianza en la organización hace que, desde una perspectiva puramente económica, el impacto de un incidente de seguridad no se limite únicamente al valor monetario de la recuperación de los activos afectados por el incidente, si no también, a los perjuicios a la facturación durante el mismo, y la perdida de beneficios derivados del detrimento la cuota de mercado a consecuencia de este. Además, de las repercusiones económicas derivadas de las posibles sanciones por incumplimiento legal, en caso de demostrarse que dicho incidente ha sido derivado de una falta de medidas de seguridad o, una mala aplicación de las misas. Cabe destacar, en materia de seguridad de la información y ciberseguridad, cómo desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las repercusiones del incumplimiento legal y regulatorio se han multiplicado considerablemente. Así pues, si analizamos los datos de las sanciones emitidas por la AEPD en los últimos tres años, vemos como ha habido un creciente aumento en el número de sanciones y un importante endurecimiento en el importe económico de estas. Durante 2021 ha habido sanciones con importes mayores a la suma de los importes de las sanciones totales de los dos años anteriores. Tendencia que, realizando una breve comparativa con el contexto europeo en la materia, no cabe duda continuará aumentado. Por todo ello, se hace necesario para las organizaciones preocuparse por la seguridad para asegurar su continuidad de negocio y su posicionamiento en el mercado, en base a la gestión de sus riesgos, disminuyendo su vulnerabilidad y aumentando su resiliencia ante la afección de incidentes de seguridad y crisis reputacionales. Y es en base a asegurar dicha continuidad y posicionamiento empresarial en la que una concepción integral de la seguridad, desde una perspectiva holística, es primordial para la identificación y gestión de riesgos. Una perspectiva holística de seguridad significa proveer a la organización de los mecanismos necesarios para enfocar las distintas áreas de la seguridad como un todo, proveerla de una visión de conjunto que consiga identificar los riesgos que le afectan y sus interrelaciones, incluir la gestión de riesgos desde el diseño en cada uno de los proyectos de la organización; y mantener un equilibrio constante entre las medidas de seguridad físicas, la ciberseguridad y el cumplimiento normativo. Todo ello desde una perspectiva tanto económica, preocupándose por los beneficios para la organización; como ética, preocupándose por mantener los niveles de seguridad y el compromiso demandados por la sociedad. A priori, se puede pensar que este enfoque requiere una mayor inversión, pero lo que realmente requiere es un mayor análisis en el diseño de la seguridad, las medidas a implementar, su
Seguridad y Cumplimiento Normativo, juntos y necesariamente revueltos
El objetivo del presente artículo no es otro que explicar de forma simple, resumida y para todos los públicos la cada vez mayor relación entre la seguridad y el cumplimiento normativo de cualquier empresa o negocio. Así que, si está familiarizado con conceptos como resiliencia organizacional, desarrollo de negocio, continuidad, posicionamiento e imagen corporativa, le recomiendo el artículo “seguridad y cumplimiento normativo, simbiosis para un enfoque holístico de la seguridad” que trata estos temas de una manera más técnica y profunda. Si, por el contrario, ha escuchado alguna vez estos conceptos, pero no los tiene del todo claros, está usted en el lugar indicado. Para entender la creciente relación entre cumplimiento normativo, seguridad y el beneficio económico de nuestro negocio debemos comprender mejor qué abarca la seguridad, cómo se relaciona con el cumplimiento normativo y cómo afectan estos a nuestra empresa. Para ello, debemos hacernos una pequeña idea sobre a qué nos referimos cuando nos referimos a imagen corporativa, posicionamiento, continuidad del negocio o resiliencia organizacional de cualquier empresa. De una manera simple, se podría decir que la imagen corporativa es la idea que tienen los clientes, o posibles clientes, de un negocio y lo que hace, la calidad que perciben de sus productos o servicios. Esa imagen influye en la confianza que tienen las personas en cualquier empresa y definirá el valor que le dan respecto al de sus competidores o, dicho de otra forma, su posicionamiento en el mercado o en el sector que desarrolla la actividad empresarial. La imagen corporativa influye directamente en el valor de un negocio y sus servicios. Generalmente, una empresa que se percibe con mayor calidad de productos o mejores servicios vende mucho más. Por otra parte, cuando se habla de continuidad del negocio, se habla de la capacidad de las empresas para asegurar que su actividad se realizará de manera continuada en el tiempo; y para asegurar esa continuidad, las empresas necesitan diseñar estrategias e implementar medidas de seguridad frente a los imprevistos, incidentes o cualquier circunstancia que amenace esta, así como, estar preparadas para adaptarse a los cambios y retos que puedan surgir en su entorno. Dicho de otro modo, ser resiliente, es decir, tener la capacidad para enfrentarse a los riesgos, y adaptarse a los imprevistos y/o cambios del entorno de la mejor y más rápida forma posible para asegurar la continuidad de la actividad. El cumplimiento normativo en las empresas muchas veces es visto como algo secundario, de menor importancia, que genera gastos, acapara recursos y tiempo, y que aporta poco valor. Pero, es cada vez más evidente el impacto que tiene en las empresas y los beneficios que aporta. Se debe cambiar la percepción del cumplimiento normativo y pasar de verlo como un gasto a verlo como una inversión. Para ello, debemos tener clara, sin lugar a duda, la importancia y el impacto de este en el desarrollo del negocio y, por qué influye en su seguridad. Cuando se habla de seguridad, tradicionalmente se piensa en la seguridad física. En lugares y ubicaciones seguras frente al accesos de ladrones, en poner puertas seguras, barreras, alarmas, cámaras y todo para prevenir robos en el interior de un local. Pero la realidad, es que la visión de la seguridad ha cambiado considerablemente. Desde hace ya algunos años, la seguridad abarca muchas más acciones, preocupaciones y necesidades de las que se consideraban de manera tradicional. La seguridad de las empresas va mucho más allá de proteger sus bienes frente al robo, la manipulación o, la destrucción de estos. Ahora, el objetivo de la seguridad pasa de centrarse en la búsqueda de la protección a, preocuparse por la implementación de todas las medidas necesarias para tratar los riesgos que amenazan el correcto funcionamiento de la actividad diaria de las empresas, para asegurar la continuidad del negocio. Entre las múltiples preocupaciones actuales de la seguridad, además de las medidas de seguridad física, se encuentran: la protección de la información relevante para la empresa, entendida como aquella información que si se conociese por personas ajenas a la empresa podría causar un daño a la misma; la protección de los sistemas y equipos informáticos o ciberseguridad, la protección frente a los cambios imprevistos que puedan ocasionar daños a la organización, la protección de la reputación de la empresa o imagen corporativa; y el cumplimiento normativo entre otros. Todas estas preocupaciones se entremezclan e interactúan de manera que, los riesgos que afectan a alguna de ellas causan a su vez repercusiones graves en las otras, afectando al correcto desarrollo de la actividad y causando daños o perdidas de oportunidades, que a su vez se traducen en pérdidas económicas. Uno de los factores que cada día más influye en la seguridad y el desarrollo de negocio de las empresas es el cumplimiento normativo. Independientemente del sector de actividad o el tamaño del negocio, el cumplimiento normativo está presente siempre en mayor o menor medida y puede marcar la diferencia entre el crecimiento empresarial o el cierre total de la actividad. Bien estructurado, el cumplimiento normativo puede ser un escudo que proteja a la empresa ante muchos riesgos y un salvavidas para el desarrollo de cualquier negocio. Por el contrario, mal gestionado, puede ser el arma que lo hiera y el ancla que lo frene o incluso lo hunda. A las empresas se les exige el cumplimiento de unas determinadas leyes para el desarrollo de su actividad, la mayoría de estas leyes cuentan con régimen sancionador en caso de incumplimiento. que se traducen en multas considerables, retirada de licencias, e incluso, cese de actividad, etc. Además, la competencia empresarial, y en muchos casos los clientes, exigen que las empresas cumplan con determinadas normas y buenas prácticas reconocidas que avalen y certifiquen que realizan su actividad de la mejor manera posible. Siendo percibidas las empresas con una mayor implicación y desarrollo del cumplimiento normativo, como aquellas de mayor calidad, los que les proporciona una mejor imagen corporativa, ofreciéndoles una ventaja competitiva frente al resto de empresas de su
Soluciones CASB (Cloud Access Security Brokers)
Un Cloud Access Security Brokers (CASB) es una aplicación de seguridad que ayuda a las organizaciones a gestionar y proteger los datos almacenados en la nube. Las soluciones CASB podríamos decir que son un mix entre filtro, proxy y firewall entre los usuarios y los sistemas cloud. Tienen capacidades para detectar aplicaciones en la nube no sancionadas así como datos sensibles en tránsito. Constituyen un punto de visibilidad y control de políticas que se sitúa entre los usuarios y los proveedores de la nube; proporcionan visibilidad de los usuarios no autorizados en la red y bloquean accesos malintencionados a los recursos de la red. Los Cloud Access Security Brokers o CASBs son una de las capacidades clave que conforman una solución SASE completa (Secure Access Service Edge, arquitectura de seguridad en la nube para la convergencia entre las distintas tecnologías de seguridad y de conectividad de una organización). Al servir como puntos de aplicación de políticas de seguridad que se sitúan entre un proveedor de servicios en la nube y sus usuarios, los CASB ayudan a una organización a descubrir dónde se encuentran sus datos a través de las distintas aplicaciones de software como servicio (SaaS) en entornos en la nube, centros de datos locales y trabajadores en movilidad. Un CASB también aplica las políticas de seguridad, gobernanza y cumplimiento de una organización, permitiendo a los usuarios autorizados acceder y consumir recursos en la nube, al tiempo que les permite proteger sus datos de forma eficaz y coherente en múltiples ubicaciones. Puntos fuertes de una solución CASB Podemos decir que los CASB tienen 4 pilares fundamentales: Visibilidad: Proporcionan una ventana al tráfico entre las organizaciones y sus proveedores de la nube. Con CASB, puede ver a qué sistemas en la nube sancionados y no sancionados acceden los usuarios. El ejemplo clásico de cómo un CASB puede ayudar a los CIO es informándoles del número de GB de datos de la empresa que los usuarios suben a la nube a repositorios no supervisados. Cumplimiento de la normativa: Las soluciones CASB tienen algunas funcionalidades para clasificar los datos que permiten apoyar los programas de cumplimiento relacionados con el RGPD. Seguridad de los datos: Relacionado con el punto anterior, muchas soluciones CASB tienen capacidades para detectar datos sensibles, encriptar o tokenizar datos y controlar el acceso a los mismo. (aunque no son sistemas completos de seguridad, sino una pieza más para complementar a otras soluciones de seguridad). Detección de amenazas: Los CASB tienen capacidades de análisis de comportamiento de los usuarios (UEBA, User and Entity Behavior Analytics) para detectar amenazas internas y cuentas comprometidas. ¿Otras ventajas de una solución CASB? Descubrimiento de aplicaciones en la nube y clasificación de riesgos Control de acceso adaptable Prevención de pérdida de datos Análisis del comportamiento de usuarios y entidades Protección contra amenazas Cifrado de cara al cliente (incluida la integración con la gestión de derechos digitales) Cifrado previo a la nube y tokenización Gestión de claves de cifrado Supervisión y gestión de registros Gestión de las políticas de seguridad en la nube ¿Cómo se despliega un CASB? Además de la facilidad de uso, una de las principales ventajas del CASB es la sencillez de su despliegue. Sin embargo, hay que tener en cuenta, por un lado, si se realizará on-premise o en la nube. Actualmente, la versión SaaS es la más popular, y la mayoría de las implementaciones de CASB están basadas en ella. Por otra parte, se deben considerar los 3 modelos diferentes de despliegue de CASB a tener en cuenta: Control de la API: Ofrece visibilidad de los datos y las amenazas en la nube, así como un despliegue más rápido y una cobertura completa. Proxy inverso: Ideal para dispositivos generalmente fuera del ámbito de la seguridad de la red. Proxy directo: Suele funcionar junto con clientes VPN o protección de puntos finales. Gartner sugiere a las empresas que consideren productos CASB que ofrezcan una variedad de opciones de arquitectura para cubrir todos los escenarios de acceso a la nube. La flexibilidad que ofrece un CASB multimodo garantiza que las empresas puedan ampliar su seguridad en la nube a medida que sus necesidades sigan evolucionando. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Planes de Seguridad en Infraestructuras Criticas: el CPD
De acuerdo con la Ley 8/2011, de 28 de abril, que establece las medidas para la protección de las infraestructuras críticas, el operador designado como crítico se integrará como agente del sistema de protección, debiendo cumplir con una serie de responsabilidades entre los que se encuentra la redacción de una serie de planes de seguridad. Se deberá elaborar un Plan de Protección Específico (PPE) por cada una de las infraestructuras críticas de las que sea propietario o gestor. En el PPE, el Operador Crítico recopilará las directrices incluidas en su Plan de Seguridad del Operador (PSO), que afectan de manera específica a esa instalación. Se debe realizar una descripción detallada de los activos que soportan la infraestructura crítica, diferenciando aquellos que son vitales de los que no lo son y detallando las dependencias existentes entre ellos. La información deberá incluir, entre otros, los medios materiales y recursos necesarios para la prestación del servicio esencial, cuáles son los componentes de la Infraestructura Crítica, la ubicación de los centros de procesamiento de datos (CPD) así como los sistemas informáticos (hardware y software) utilizados. ¿Cuál es la legislación y normativa aplicable a las infraestructuras críticas? Por lo que respecta a normativa europea, la Directiva 2008/114/CE de 8 de diciembre de 2008, que identifica las infraestructuras críticas europeas y evalúa la necesidad de mejorar su protección. En cuanto a la normativa española, la Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y el Real Decreto 704/201, de 20 de mayo por el que se aprueba el Reglamento de protección de las Infraestructuras Críticas, para concretar y ampliar los aspectos contemplados en la ley. En esa normativa se establece la necesidad y obligatoriedad de redactar y presentar en el CNPIC para su aprobación los siguientes documentos: El Plan de Seguridad del Operador (PSO) es el documento por el que se establecen las acciones que debe llevar a cabo el operador designado como crítico para cumplir con el Real Decreto 704/2011. El Plan de Protección Específico (PPE) que, complementando el PSO, establece las medidas concretas a poner en marcha por los operadores críticos para garantizar la seguridad integral (seguridad física y ciberseguridad) de sus infraestructuras. Ya hemos detallado en otras secciones de la web lo que debe contener un Plan de Seguridad del Operador (PSO) y un Plan de Protección Específico (PPE) y su utilidad (y obligatoriedad) a la hora de marcar las pautas que debe seguir una IICC para garantizar su seguridad. Respecto a los plazos, a los seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador (PSO) y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede. Los Planes de Seguridad del Operador deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios, y deberán definir los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las distintas amenazas (tanto físicas como lógicas) identificadas. Una vez aprobado el PSO por el CNPIC, el plazo para presentar el PPE es de 4 meses desde dicha aprobación. En él se definirán las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral de sus infraestructuras críticas. Y, ¿qué pasa si la Infraestructura Crítica es un CPD? Un Centro de Procesamiento de Datos (o CPD) es la instalación que almacena, procesa, trata e intercomunica los datos y aplicaciones que necesita una organización para poder funcionar. Los centros de datos son una parte fundamental de las empresas. Entre sus múltiples funciones están: Almacenamiento (copias de seguridad) y backup Aplicaciones de ofimática (correo electrónico) Transacciones de comercio electrónico de gran volumen Custodia y almacenamiento seguro de datos personales Todas las aplicaciones y los datos críticos para el negocio están alojados en los CPD, con lo que es lógico pensar que deben contar con importantes medidas de seguridad y protección, tanto físicas como contra ciberataques. A la hora de construirlos, se debe de tener en cuenta la localización, ya que debe cumplir una serie de requisitos técnicos y geográficos. El estándar TIA942, que contiene propuestas y recomendaciones para su redacción debería ser el documento base para su diseño. Los CPD deben tener un soporte que garantice que, ante cualquier eventual contingencia, los sistemas van a seguir funcionando. Por tanto, dada su importancia y necesidad de protección, los Centros de Proceso de Datos necesitan un PSO y un PPE que dicten las medidas de seguridad a implementar y garanticen que los datos alojados en su interior van a permanecer a salvo de ataques y posibles alteraciones. Es más, de cara a mejorar la resiliencia a la hora de afrontar un (ciber)ataque, la elaboración de un Plan de Contingencia y Continuidad de Negocio es una herramienta clave que nos permitirá estar preparados y contar con las medidas necesarias implementadas para resistir y salir reforzados de esa situación. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Esquema Nacional de Seguridad, ¿obligatoriedad o buena práctica?
¿Qué es el Esquema Nacional de Seguridad?, ¿Tengo la obligación de implementar el Esquema Nacional de Seguridad en mi organización?, ¿Me aplica?; y si me aplica, ¿Qué plazos tengo?; y si no estoy obligado, ¿Lo necesito realmente?, ¿Me interesa implementarlo? En el día a día de nuestro trabajo como consultores, cada vez más, nos encontramos con diversas organizaciones de múltiples tamaños y sectores, que se hacen este tipo de preguntas. Las siguientes líneas están destinadas a solventar algunas de estas cuestiones, a través de un escueto análisis sobre la normativa legal y regulatoria que gira en torno al Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad (en adelante ENS) tiene su origen en el ámbito de la regulación normativa de las Administraciones Públicas. nace con el art. 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos; y se materializó con la aprobación del RD. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, posteriormente modificado por el RD. 951/2015. El ENS constituye los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, es decir, establece las directrices para la correcta gestión de la seguridad de la información en su ámbito de aplicación. El ENS centra dicho ámbito de aplicación en las entidades del Sector Público, tal y como definía el art. 2 de la Ley 11/2007 las entidades y organismos que integraban el sector público. No obstante, dicha ley ha sido derogada en virtud de la vigente Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Tanto está ultima, como la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recogen en su artículo 2. La definición y clasificación de los organismos que forman parte del sector público, ampliando esta definición al incluir como parte de este, al denominado sector público institucional, compuesto por cualesquiera organismos públicos y entidades de derecho, tanto público como privado, vinculadas o dependientes de las Administraciones Públicas; y las Universidades públicas. A su vez, el art. 156 de la Ley 40/2015 expresa la obligatoriedad por parte de las Entidades y Organismos Públicos que integran el Sector Público Estatal, de adopción y adecuación al Esquema Nacional de Seguridad y establece mediante su disposición adicional cuarta un plazo de tres años para la adecuación a esta normativa. Plazo que finalizó el 1 de octubre de 2018. Por otra parte, en el ámbito de la Protección de las Infraestructuras Estratégicas el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece para los Operadores de Servicios Esenciales una serie de obligaciones de seguridad. Los requisitos para cumplir dichas obligaciones se desarrollan en el capítulo III del RD 43/2021. Así pues, concretamente en su Art. 6.5. Establece que, dichas medidas de seguridad tomarán como referencia las recogidas en el Anexo II del Real Decreto 3/2010, que desarrolla el ENS. Estando su plazo de desarrollo, adecuación y aplicabilidad supeditado a las exigencias de las autoridades competentes, designadas en función de cada sector estratégico. Entre los beneficios de que aporta la implementación del ENS para las Infraestructuras Estratégicas destaca la gran versatilidad que obtienen estas para la integración normativa con otros requisitos legales de obligado cumplimiento. Así pues, por ejemplo, en el ámbito de las Infraestructuras Críticas, el tener implementado un Sistema de Gestión de Seguridad de la Información (SGSI) en base al ENS, facilita enormemente la elaboración de los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) requeridos en el Art.13 apartados c) y d) de la Ley 8/2011, por la que se establecen medidas para la protección de las Infraestructuras Crítica. De igual modo, en el ámbito del Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, el ENS cumple con los criterios y requisitos establecidos en dicha norma, facilitando la adecuación a sus requisitos. A su vez, también facilita el cumplimiento del Art. 32 del Reglamento (UE) 2016/ 679, de Protección de Datos Personales y su normativa de desarrollo. Todo ello se ve reflejado en una disminución drástica en los tiempos de adecuación y los costes de implementación de estos y otros requisitos normativos. Independientemente de su obligatoriedad, las organizaciones a las que le es de aplicabilidad el ENS también tienen la obligación de exigir a sus proveedores de servicios que cumplan con al menos los mismos niveles de seguridad que se les exige a estas. Por tanto, la tendencia actual es exigir a dichos proveedores el cumplimiento de lo establecido en el ENS en materia de seguridad de la información e incluso su certificación. hecho que se hace cada vez más presentes en las licitaciones de las Administraciones Públicas. Por último, y no menos importante, cabe destacar que el cumplimiento del ENS corrobora el compromiso de las organizaciones con la seguridad de la información, y su certificación marca un valor diferencial respecto a la competencia. En la actualidad, dado el avance tecnológico, el desarrollo de la delincuencia y la constante preocupación por la ciberseguridad, está cada vez más presente el cumplimiento normativo en materia de seguridad de la información, siendo un símbolo de confianza y considerándose un valor añadido para cualquier tipo de organización. En resumen, el ENS es de obligado cumplimiento para las Administraciones Públicas, inclusive el denominado sector público institucional; de especial interés para las Infraestructuras Críticas y los Operadores estratégicos; y proporciona una gran ventaja táctica y competitiva para las organizaciones del sector privado. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Orquestación de políticas de seguridad en firewalls
Cuando hablamos de orquestación de políticas de seguridad nos referimos a la automatización inteligente de los cambios en una red. No es tan solo una simple automatización de tareas, sino que, mediante el uso de inteligencia artificial y el machine learning, la simulación y el análisis se llega a comprender verdaderamente la red. En general, hablamos de políticas de seguridad como políticas de firewall, pero también puede aplicarse a las listas de control de acceso (ACL), a las configuraciones de routers o a los balanceadores de carga. La gestión de las políticas de seguridad es una tarea compleja que, para que sea óptima, requiere de un alto nivel de automatización. La orquestación de políticas de seguridad ha surgido como respuesta a numerosos factores que se dan a la vez. La gestión de los firewalls corporativos es cada vez más compleja debido a la expansión del perímetro de la red y a la proliferación de los servicios en la nube. La cada vez más presente agilidad empresarial está ganando importancia como factor competitivo clave y está creando una mayor demanda de automatización de los departamentos de IT y, más concretamente, en la capa de red. El hecho de que pueda haber lagunas en la gestión eficaz de los firewalls derivará en retrasos y provocará problemas de seguridad y cumplimiento. VENTAJAS DE LA ORQUESTACIÓN DE POLITICAS Una solución de orquestación de políticas de firewalls va a proporcionar a la empresa numerosas ventajas: Gestión centralizada de la infraestructura de firewalls (tanto locales como en cloud). En el actual entorno de TI, complejo y heterogéneo, es esencial tener una visión centralizada de las políticas de seguridad de todas las plataformas, físicas, virtuales y en cloud, permitiendo que el usuario controle y gestione las políticas de seguridad en todas estas plataformas a través de un único panel. Visibilidad unificada de todos los dispositivos y plataformas compatibles, creando automáticamente un mapa de toda la red. La mayoría de las empresas han visto aumentar su complejidad que obliga a los equipos de seguridad a comprender muy bien la topología de la red para poder gestionar sus redes de forma segura y sin contratiempos. Reducción de los tiempos de gestión de los cambios de políticas, las reglas y las listas de control de acceso de los firewalls automatizando el proceso de extremo a extremo. Esta automatización de cambios se basa en el mapa de topología de red para identificar qué firewalls son relevantes y priorizar los cambios. A continuación, se determina si un cambio es necesario e implementarlo con un solo clic. Mejora en la preparación de auditorías, seguimiento de cambios e informes de violación de políticas. Permite que las organizaciones consigan cumplir las políticas corporativas y estándares normativos como SOC o PCI DSS, además de permitir seguir marcos de gestión de seguridad como puedan ser ITIL, COBIT o ISO 27001 Aplicación coherente y continua de la política de seguridad de la red, especialmente útil en entornos de diferentes proveedores y plataformas. Mejora de la eficiencia gracias al proceso automatizado de control de cambios y a la optimización de las políticas de firewalls, que se traduce en una reducción del área expuesta a ataques. Además, al identificar reglas que no se utilizan, ocultas o caducadas se pueden eliminar sin afectar al negocio. Adicionalmente, permite marcar aquellas reglas que son peligrosas, que infringen las políticas de segmentación de zonas o que no son compatibles con unas buenas prácticas. La orquestación de políticas de seguridad, como vemos, es especialmente útil para que los equipos de SecOps puedan seguir el ritmo de las demandas del negocio al tiempo que garantizan la seguridad y evitan una interrupción. La capacidad de generar, aprovisionar y sincronizar automáticamente los cambios de las distintas políticas de seguridad en un conjunto creciente de sistemas (teniendo siempre como premisas la seguridad, el cumplimiento y la gestión empresarial) es una herramienta de gran ayuda para los CISOs, CIOs y CTOs, que les permitirá evitar cuellos de botella en el proceso de gestionar la seguridad integral de cualquier organización y adaptarse con agilidad a los cambios que requiere el mercado. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Consecuencias de un ciberataque
Los ciberataques han tenido un crecimiento exponencial en los últimos tiempos siguiendo la progresión de la implantación de la tecnología en nuestro día a día. Y todo el mundo, en mayor o menor medida, es consciente de lo peligrosos que pueden ser. Aunque en la mayoría de los casos infravaloramos la extensión del daño que infligen. Por eso hoy vamos a profundizar sobre este tema al detalle para comprobar cómo afectan a las empresas y en qué frentes. Los daños propios: primeras consecuencias de un ciberataque Los daños propios son, sin duda, la más evidente consecuencia de un ciberataque. Es la cara más visible en un ataque, independientemente de si es más o menos invasivo. Sus efectos repercuten en toda la infraestructura empresarial bloqueando sus sistemas e, incluso, pudiendo paralizar su proceso de producción. El funcionamiento normal de la empresa es imposible en estos casos lo que puede generar graves repercusiones económicas. Unas repercusiones económicas que se agravan con los secuestros de datos y la petición de rescates por parte de los ciberdelincuentes. Estas extorsiones son cada vez más populares y las sumas solicitadas pueden llegar a ser inasumibles por las compañías. Daños a terceros y sus efectos legales Sin embargo, los daños propios no son los únicos que afectan a una empresa en un ciberataque. Sus clientes y proveedores también se ven afectados. Los datos personales que manejan las compañías, independientemente de su tamaño y actividad, son uno de los activos más valiosos para los hackers. Por eso es uno de los elementos que más peligro corren en un ciberataque. Una correcta protección y tratamiento de esos datos es crucial en dichas circunstancias y puede ser determinante a nivel legal. Ya que hay que tener en cuenta que la ley ampara esos datos personales de los que la empresa es responsable a través del Reglamento General de Protección de Datos de la Unión Europea. Pero, además, las compañías también están sujetas a otras obligaciones legales que pueden verse vulneradas en un ciberataque. Una de ellas es el deber del secreto que afecta también al tratamiento de datos. Por lo que, en caso de ataque y si se demostrara negligencia en su protección por parte de la empresa, podría llegar a incurrir en un delito de revelación de secretos. La responsabilidad contractual que la empresa asume tanto con sus clientes como con sus proveedores también se ve afectada en caso de ciberataque. Lo que supone otro frente legal que la empresa tenga que asumir. En estos casos la proactividad y la honestidad pueden ayudar a mitigar sus efectos. En referencia a la protección de datos, es de obligado cumplimiento comunicar las brechas de seguridad en el plazo de 72 horas desde que se tenga conocimiento de las mismas. De lo contrario incurriría en delito. Además, la empresa también debe considerar la obligación que tiene con sus clientes y proveedores. Por lo que notificar la situación a los afectados en el menor tiempo posible puede ayudar a paliar la situación desde el punto de vista de la reputación. Marketing y reputación, los grandes olvidados en un ciberataque Se podría pensar que los daños acaban en este punto, pero las ramificaciones un ciberataque se expanden a todos los estamentos de la organización. Uno de los que generalmente suele quedarse en el tintero es la estrategia de marketing y de marca. Y, sin embargo, jamás deberíamos olvidarnos de ella ya que juega un papel fundamental. El marketing abarca gran cantidad de acciones dentro de la compañía que no solamente se ocupan de la comunicación. Una correcta estrategia de marketing tiene en cuenta posibles escenarios de crisis a los que puede enfrentarse una organización, como un ciberataque, y cómo debe afrontarlos para salir airosa. Tampoco nos podemos olvidar de la reputación de la compañía, que es otro de los grandes elementos que se ven afectados en un ataque. Este bien intangible está basado en la confianza que transmite de cara al exterior y cualquier tipo de asalto a sus sistemas puede romper esa confianza. Esa confianza es muy difícil de reparar una vez rota. Y sin ella recuperar la reputación de marca es prácticamente imposible. Dadas las graves consecuencias que implican los ciberataques es vital para cualquier organización prepararse para ellos. Y, mejor aún, implementar sistemas de protección que eviten cualquier posible ataque a cualquier nivel. Desde Global Technology te ayudamos para proteger tu empresa con nuestro equipo de profesionales ampliamente cualificado en todos los ámbitos de la seguridad. ¡Contacta con nosotros para más información! Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Red Team y Blue Team
En Global Technology arrancamos con un nuevo evento en el Circuito Internacional de Zuera, organizado por Marketing P1, y con la colaboración de EON Transformación Digital y BMW Goya Automoción. Una jornada para disfrutar del mundo del motor y, sobre todo, para conocer todas las ventajas de contar con un Red Team y un Blue Team en las organizaciones. Adrenalina en estado puro de la mano de BMW Goya Automoción Somos unos apasionados del mundo del motor y, por eso, nos gusta contar con la colaboración de BMW Goya Automoción en nuestros eventos. Sus vehículos BMW son la mejor opción para divertirse en el circuito y, gracias sus monitores, aprender a realizar ejercicios de conducción segura. Nuestros clientes pudieron probar los mejores modelos BMW en diversas pruebas para quemar adrenalina a fondo. Una curva deslizante para aprender a hacer derrapajes y trompos. El circuito de slalom en la pista pequeña del circuito para aprender a manejar los vehículos con dexteridad. Y, por supuesto, no pudimos dejar de deleitarnos en la pista principal poniendo los vehículos al límite en nuestra prueba cronometrada. Donde poder descubrir mano a mano todas las emociones de las carreras. Además, en Global Technology y BMW Goya Automoción estamos muy concienciados con el medioambiente. Y pudimos conocer in situ todas las ventajas del Modo ECO de BMW en nuestra “Vuelta eficiente”. Red Team y Blue Team con Global Technology y EON Transformación Digital Tras la diversión en la mañana llegó el momento de conocer qué son exactamente un Red Team y un Blue Team. Y, sobre todo, cómo trabajan para mejorar la ciberseguridad de las empresas. Todo ello a través del ejercicio práctico de hackeo realizado por nuestro compañero Pedro Benito Durán. En él representó a un Red Team y demostró lo fácil que puede resultar para los atacantes realizar acciones maliciosas sin alertar a los antivirus e infiltrarse en los sistemas de seguridad de una empresa para tomar el control. Por su parte, Alberto Calvete, compañero de EON Transformación Digital, expuso cómo un Blue Team actúa para paralizar los ataques de un ciberdelincuente y todas las acciones y procesos que toman los profesionales de seguridad de las empresas para evitar ataques. Una charla muy importante en los tiempos que corren donde los hackeos y ciberataques están tan en boca de todos y son cada vez más complejos y masivos. Motivo por el que contamos con la presencia de Aragón Televisión que entrevistó a Enrique Polanco, Director General de Global Technology. La jornada terminó con una pequeña entrega de premios para cada una de nuestras pruebas del día. En la “Curva Deslizante” Isabel Sesma de Intercol Detectives se hizo con el premio al mejor derrapaje. Por su parte, Antonio Galán de Hierros Alfonso realizó la mejor vuelta con menor consumo en nuestra “Vuelta Eficiente”. Y el mejor tiempo de nuestra “Prueba Cronometrada” corrió a cargo de Eduardo Arconada de El Confidencial, que se alzó con el último premio. Como premio unos magníficos relojes de BMW, cedidos por BMW Goya Automoción junto con unas gorras de la marca como obsequio para todos los asistentes. Una jornada inolvidable que esperamos repetir muy pronto junto a todos nuestros clientes y colaboradores. Disfruta de los mejores momentos con nuestro vídeo recopilatorio: Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Red Team y Blue Team en las organizaciones
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Políticas de Seguridad en un sistema SGSI (ISO27001)
Cuando hablamos de Seguridad de la Información, la entendemos como el proceso que nos ayuda a prevenir, gestionar y superar riesgos, con el objetivo de minimizar daños y permitir la continuidad de los servicios que presta una organización. A la hora de implementar un Sistema de Seguridad de la Información, el modelo de gestión aplicado se basa en el ciclo de Deming: Planear, Hacer, Comprobar y Actuar (PDCA por sus siglas en inglés), aplicándolo sobre cada uno de los objetivos que comprenden las distintas Políticas de Seguridad. Vamos a ver cómo se gestionan en cada una de las fases del ciclo. Planear: En primer lugar, se deberán confeccionar los planes de seguridad prescritos por la normativa vigente que afecte a la organización. En el caso de Infraestructuras Críticas (IICC) se deberá prestar especial atención dados los más exigentes requerimientos que deben cumplir. Se realizarán análisis de riesgos (tanto físicos como cibernéticos) con los que evaluar las amenazas y vulnerabilidades y determinar las contramedidas necesarias para mitigar o corregir los riesgos detectados. El Comité de Seguridad Integral realizará la planificación necesaria en materia de seguridad. Los jefes y directores de cada Departamento o División pertenecientes a este Comité y que tengan atribuidas alguna función en materia de seguridad, expondrán sus necesidades al respecto para añadirlas a la planificación general si se estima procedente. La planificación en materias de ciberseguridad se realizará teniendo como base las indicaciones tanto del departamento de informática como las políticas de ciberseguridad existentes y el Esquema Nacional de Seguridad. Hacer: En esta fase se implementarán las medidas correctoras necesarias para corregir las vulnerabilidades determinadas en la fase anterior, ponderándolas según su urgencia y criticidad. Además deberán establecerse los controles necesarios para poder realizar el seguimiento de la eficacia de dichas contramedidas implementadas. Finalmente, deberían establecerán los procesos adecuados que garanticen una gestión eficaz de las actuaciones a realizar ante una posible materialización de cualquier amenaza. Comprobar: Una vez completada la fase anterior, se procederá a evaluar el eficaz funcionamiento de los sistemas de seguridad instalados. Esta evaluación deberá hacerse de forma periódica en forma de auditorías, tanto internas como externas. Es recomendable, además, realizar ejercicios para comprobar la eficacia y el nivel de implantación de la Políticas de Seguridad y los procedimientos establecidos. Actuar: En esta última fase, se revisarán y actualizarán las Políticas de Seguridad, así como los procedimientos, en función de los resultados obtenidos en las evaluaciones y ejercicios, abordando las acciones correctivas que sean necesarias. Cuando las circunstancias así lo aconsejen, ya sea por motivos económicos, de índole operativa, contractual o cualquier otra, se realizará la transferencia de riesgos que se estime necesaria para adaptarlos a ese nuevo escenario. Políticas de Seguridad en ISO27001 Las políticas de seguridad son preceptos que debe cumplir todo el personal de una compañía, de manera que se asegure su: Integridad, garantizando que la información y sus métodos de proceso son exactos y completos Disponibilidad, garantizando que los usuarios autorizados tengan acceso a información y a sus activos asociados cuando lo requieran Privacidad, garantizando que solamente los usuarios autorizados acceden a la información que precisan dentro de su ámbito de trabajo. A grandes rasgos podemos distinguir entre dos tipos de políticas de Seguridad: Las que nos indican que no debemos hacer Las que nos indican lo que tenemos que hacer siempre Es importante que todas las Políticas de Seguridad definidas estén alineadas con los objetivos del negocio de la organización y acordes con la estrategia de seguridad de la organización. Para finalizar, repasaremos algunas de las Políticas de Seguridad a las que deben prestarse especial atención dentro de la ISO 27001. Clasificación de la información La información es uno de los activos principales de cualquier compañía y debe ser protegida correctamente. Se deberá realizar un inventario de todos los activos de información (tanto físicos como lógicos) y clasificarlo en función del impacto de su pérdida, difusión, destrucción, alteración o acceso no autorizado. Teniendo en cuenta su ciclo de vida en función de la vida útil del soporte y de la vigencia de su contenido. Una vez realizado sabremos las medidas de seguridad que debemos aplicar a cada activo. Es importante, realizar periódicamente auditorias de seguridad de forma que se certifique que se aplican los tratamientos que hemos estipulado anteriormente. Continuidad de negocio Todas las empresas deberían diseñar y probar un plan de continuidad de negocio que les permita, en caso de materializarse un incidente, recuperar en un periodo de tiempo razonable la operativa de la compañía y garantizar la continuidad de negocio. Para ello, se decidirá cuales son los activos para los que queremos garantizar esa continuidad, basándonos en la clasificación de activos críticos de la información. Se realizará un Business Impact Analysis, BIA, para calcular el riesgo al que estamos sometidos y se definirá una estrategia de continuidad. Deberá tenerse en cuenta qué personas se harán cargo de la situación en caso de desastre y a quien corresponde su notificación. Como en otras Políticas, periódicamente se evaluarán los procedimientos y controles que la componen, y se revisará para mantenerla constantemente actualizada. Uso aceptable de los activos/equipos Todos los activos de información de la organización deberán estar claramente identificados, confeccionando un inventario en el que se identifique el propietario a los que son asignados. Además, se clasificarán en función de la sensibilidad y criticidad de la información que contienen con el objetivo de señalar como debe ser tratada y protegida. En caso de finalización de contrato del usuario/propietario se deberá proceder a la devolución de los activos que estén en su posesión o bajo su responsabilidad. Gestión documental La información confidencial es aquella información a proteger, independientemente del soporte en el que se encuentre. Su divulgación supone un impacto para cualquier compañía, por lo que se su protección debe ser prioritaria. El objeto de esta política es establecer la metodología para la elaboración, etiquetado, manejo y control de toda documentación corporativa. Copias de seguridad Su objeto es plasmar los procedimientos establecidos para la obtención de copias de