El paradigma del robo de datos empresariales y su protección: la principal preocupación de las empresas
Este artículo sobre el paradigma del robo de datos empresariales y su protección, da continuidad al anterior escrito por mi compañero de GT acerca de las diferencias entre seguridad de la información y de los datos. La creciente dependencia de la tecnología y la digitalización ha hecho que las empresas enfrenten desafíos sin precedentes en términos de robo de datos y protección de datos empresariales. La vulnerabilidad a ataques cibernéticos y el robo de datos no solo pone en riesgo la privacidad de la empresa, sino también la de sus clientes, lo que puede resultar en pérdidas financieras significativas y daños a la reputación. La principal preocupación hoy en día es cómo asegurar que los datos empresariales estén protegidos frente a estas amenazas. Esto incluye no solo implementar medidas de seguridad robustas, sino también mantenerse al tanto de las últimas tácticas utilizadas por los ciberdelincuentes y adaptar las estrategias de protección en consecuencia. ¿Qué opinas? Principales amenazas del robo de datos y principios fundamentales de la ciberprotección de los datos empresariales Las principales amenazas de robo de datos incluyen ataques de ransomware, phishing, malware, y accesos no autorizados. Estos ataques pueden resultar en la pérdida de datos sensibles, interrupción de operaciones y obligaciones legales por violaciones de privacidad. Para combatir estas amenazas, es crucial entender los principios fundamentales de la ciberprotección de los datos empresariales: Confidencialidad: Asegurar que solo personas autorizadas tengan acceso a los datos. Integridad: Mantener la exactitud y consistencia de los datos a lo largo de su ciclo de vida. Disponibilidad: Garantizar que los datos estén disponibles para su uso cuando sea necesario. Cómo protegerse del robo de datos con estrategias para la protección de los datos empresariales Para protegerse eficazmente del robo de datos, las empresas deben adoptar un enfoque multifacético que incluya: Cifrado de datos: Asegurar que los datos estén cifrados tanto en tránsito como en reposo. Autenticación multifactor: Implementar sistemas que requieran múltiples formas de verificación para acceder a los datos sensibles. Formación y concienciación: Educar a los empleados sobre las amenazas de seguridad y las mejores prácticas para mitigarlas. Monitoreo y auditoría: Utilizar herramientas avanzadas para monitorear el acceso y uso de los datos, identificando actividades sospechosas en tiempo real. Implementación de políticas de seguridad: Desarrollar y mantener políticas claras y estrictas sobre el manejo y protección de datos. Soluciones de ciberseguridad para las empresas y beneficios de la ciberseguridad en la protección de datos Las soluciones de ciberseguridad para empresas abarcan un amplio espectro de tecnologías y prácticas diseñadas para proteger los datos contra robos y accesos no autorizados. Estas soluciones incluyen: Firewalls y sistemas de detección de intrusos (IDS/IPS): Para vigilar y bloquear actividades sospechosas. Software antimalware: Para detectar y eliminar software malicioso que podría comprometer la seguridad de los datos. Sistemas de gestión de identidad y acceso (IAM): Para controlar quién tiene acceso a la información crítica y en qué condiciones. Backup y recuperación de datos: Para garantizar que los datos puedan ser recuperados rápidamente en caso de un incidente de seguridad. Los beneficios de implementar una sólida estrategia de ciberseguridad incluyen: Protección contra pérdidas financieras: Al evitar incidentes de seguridad que pueden resultar en costosas recuperaciones y multas. Cumplimiento de regulaciones: Asegurando que la empresa cumpla con las normativas y estándares de protección de datos. Reputación mejorada: Proyectando una imagen de responsabilidad y confiabilidad hacia clientes y socios comerciales. Continuidad del negocio: Minimizando las interrupciones operativas causadas por incidentes de seguridad. Cómo puede ayudarte Global Technology? En Global Technology, ofrecemos soluciones integrales de ciberseguridad que incluyen: DSPM (Data Security Posture Management): Gestión de la postura de seguridad de los datos para identificar y mitigar riesgos. CASB (Cloud Access Security Broker): Control y cifrado de datos en la nube para asegurar el acceso y proteger la información. IRM (Information Rights Management): Protección de los datos internos y externos, controlando cómo se utilizan y comparten. Nuestro enfoque incluye el diseño, implementación y mantenimiento de estas soluciones, asegurando que tu empresa esté siempre protegida frente a las amenazas actuales y emergentes. En Global Technology, trabajamos contigo para desarrollar una estrategia de seguridad personalizada que no solo protege tus datos, sino que también te guía en el cumplimiento de normativas y estándares de ciberseguridad. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Seguridad de la información VS Seguridad de los datos
En el mundo digital de hoy, entender las diferencias entre seguridad de la información y seguridad de los datos es crucial para cualquier organización que busque proteger sus activos digitales. La seguridad de la información abarca un marco más amplio, que incluye la protección de todos los tipos de información, no solo los datos digitales. Esto puede incluir documentos físicos, propiedad intelectual y cualquier otro tipo de información sensible. Por otro lado, la seguridad de los datos se enfoca específicamente en la protección de los datos digitales, asegurando que se almacenen, procesen y transmitan de manera segura. Sencillo, ¿no? Vamos a profundizar algo más. Diferencias clave entre seguridad de la información y de los datos Aunque los términos pueden parecer similares, sus enfoques y ámbitos de aplicación son distintos. La seguridad de la información incluye políticas, procedimientos y controles que protegen la confidencialidad, integridad y disponibilidad (CIA) de toda la información, independientemente de su forma. De hecho, seguro que os suenan los estándares como ISO/IEC 27001, NIST SP 800-53, GDPR, PCI DSS, COBIT… Estos estándares y normativas ayudan a proteger la información, cumplir con las regulaciones legales y normativas, y gestionar los riesgos asociados con la seguridad de la información además de abarcar desde la gestión de acceso hasta la formación del personal en prácticas seguras. La seguridad de los datos, sin embargo, se centra en técnicas específicas para proteger los datos digitales, como el cifrado, la autenticación de usuarios y la protección contra el acceso no autorizado. Una estrategia de seguridad de los datos bien definida y alineada con los objetivos de la empresa no solo protege los datos en sí, sino que también fortalece la seguridad de la información global de la organización, asegurando un control integral sobre todos los aspectos de la información. De hecho, dentro de este ámbito, existen diferentes soluciones dependiendo de las necesidades de cada empresa, desde una auditoria y gobierno del dato hasta la protección dentro o fuera de la propia infraestructura. ¿Cómo se complementan la seguridad de la información y de los datos? La seguridad de la información y la seguridad de los datos son dos caras de la misma moneda. Mientras que la seguridad de la información proporciona el marco general y las políticas necesarias, la seguridad de los datos ofrece las herramientas y técnicas específicas para proteger los activos digitales. Juntas, estas disciplinas crean una defensa robusta contra amenazas internas y externas. Por ejemplo, una política de seguridad de la información puede establecer desde el requerimiento de tener una clasificación de la información, como la necesidad de cifrar todos los datos sensibles. La seguridad de los datos, a su vez, implementa diferentes soluciones desde clasificación manual o automática de los datos, reconocimiento automatizado de los datos dependiendo de patrones propios del documento, como mediante el uso de tecnologías de cifrado avanzadas. De esta manera, ambas áreas se complementan y refuerzan mutuamente, ofreciendo una protección más completa. Estrategias clave de ciberprotección: Enfoque desde la seguridad de la información Evaluación de Riesgos: Realizar evaluaciones exhaustivas para identificar riesgos potenciales que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. Esto incluye evaluar todos los tipos de información, independientemente de su formato. Políticas y Procedimientos: Establecer políticas claras y procedimientos rigurosos para la gestión y protección de la información. Estas políticas deben abarcar desde el uso adecuado de la información hasta la gestión de incidentes de seguridad. Gestión de Accesos: Implementar controles estrictos para asegurar que solo el personal autorizado tenga acceso a la información crítica. Esto incluye el uso de autenticación multifactor (MFA) y la gestión de identidades. Concienciación y Formación: Capacitar a todos los empleados sobre las mejores prácticas de seguridad de la información. La formación debe ser continua y adaptarse a las nuevas amenazas y tecnologías. Monitoreo y Auditoría: Establecer sistemas de monitoreo continuo para detectar y responder a posibles incidentes de seguridad. Las auditorías periódicas son esenciales para asegurar el cumplimiento de las políticas de seguridad y para identificar áreas de mejora. Enfoque desde la seguridad del dato Auditoría de los Datos: Conocer en todo momento cómo el dato es tratado en su organización, desde el origen, destino, creación, eliminación, hasta los permisos, con el fin de tener una evaluación de los datos sensibles y ver cómo protegerlos. Cifrado de Datos: Implementar el cifrado tanto en tránsito como en reposo para proteger los datos sensibles contra accesos no autorizados. Utilizar algoritmos de cifrado robustos que cumplan con los estándares internacionales. Control de Acceso Basado en Roles (RBAC): Definir y gestionar los permisos de acceso a los datos en función de los roles y responsabilidades de los empleados. Asegurar que solo las personas que realmente necesitan acceso a ciertos datos lo tengan. Copias de Seguridad y Recuperación de Datos: Realizar copias de seguridad regulares y probar los procedimientos de recuperación para asegurar que los datos puedan ser restaurados rápidamente en caso de pérdida o corrupción. Protección contra Malware y Ransomware: Implementar soluciones avanzadas de seguridad que incluyan detección y prevención de malware y ransomware. Mantener actualizados todos los sistemas y software para proteger contra vulnerabilidades conocidas. Data Loss Prevention (DLP): Utilizar tecnologías de prevención de pérdida de datos para monitorear, detectar y bloquear la transmisión de información sensible fuera de la organización. Esto ayuda a prevenir fugas de datos intencionales o accidentales. Global Technology, tu aliado en la ciberseguridad empresarial En la era digital actual, los datos se han convertido en el principal objetivo de los atacantes. La cantidad de incidentes de ciberseguridad ha aumentado significativamente, con amenazas cada vez más sofisticadas y persistentes. Los atacantes buscan aprovechar las vulnerabilidades para acceder a datos sensibles, robar información y causar daño a las organizaciones. ¿En este contexto, no crees que es necesario dedicar tiempo y recursos a la evaluación y protección de tus datos? En Global Technology, entendemos que los datos son el activo más valioso de cualquier empresa. Por ello, ofrecemos una gama de servicios diseñados para analizar, evaluar y solucionar brechas de seguridad, minimizando así el impacto
¿Cómo las filtraciones de datos pueden afectar a tu negocio?
El vertiginoso desarrollo de las tecnologías de la información y su incorporación a la empresa conlleva que la generación de datos esté sujeta a un crecimiento continuo. La cantidad de datos en diferentes formatos que se manejan en las empresas no deja de aumentar, al igual que lo hacen los medios a través de los cuales se pueden compartir. El lanzamiento de los primeros sistemas operativos de Microsoft con una interfaz gráfica amigable en la década de los 90, precursores de los que utilizamos actualmente, facilitó la tarea de creación, acceso y difusión de información. En los puestos de trabajo de los usuarios se sustituyeron los terminales por PCs que, entre otros dispositivos, disponían de una disquetera. Éste fue, quizás, uno de los primeros medios tecnológicos a través de los cuales se propiciaba la fuga de información. Los menos jóvenes recordarán cómo en algunas empresas se daba la orden de desconectar esos dispositivos para evitar que los usuarios grabasen información en disquetes y se la pudieran llevar fuera de la compañía con fines no autorizados. Posteriormente, la irrupción del correo electrónico, la transformación digital y el viaje a la nube han ido multiplicando las facilidades para compartir información y, como consecuencia, la posibilidad de abrir puertas a filtraciones no controladas. Qué es una filtración de datos Suele ser habitual considerar siempre la filtración de datos como un ciberataque. Sin embargo, esto no siempre tiene que ser así. Como en el caso citado, la filtración puede tener su origen en un comportamiento indebido o, incluso, accidental de un empleado. De forma general, se considera una filtración de datos cualquier incidente de seguridad en el que terceros no autorizados obtienen acceso a datos o a información de una organización. La gravedad del incidente no dependerá tanto del volumen de información sustraída en la filtración sino por el tipo de información. Así, la filtración de datos de carácter personal con un nivel de protección alto (por ejemplo, informes médicos) podrá acarrear severas consecuencias para la organización. Cuando nos referimos a la filtración de datos estamos pensando en una sustracción que se realiza utilizando software malicioso y técnicas propias del ámbito tecnológico (ransomware, phishing, etc.) Sin embargo, una filtración de información también se puede acometer por métodos tradicionales: robo de documentos en papel, sustracción de dispositivos USB, robo de ordenadores portátiles, etc. Tipos y motivaciones de filtración de datos Desde el punto de vista de las causas que pueden provocar una filtración se pueden distinguir dos tipos: Accidental: el trabajo diario de los empleados está sujeto a numerosas vicisitudes. Así, con relativa frecuencia se realizan envíos de correos electrónicos a destinatarios equivocados o se comparte información en un repositorio incorrecto. Estas situaciones que parecen inocentes, sin embargo, dependiendo del tipo de información compartida, puede derivar en sanciones o en situaciones incómodas para la compañía. Maliciosa: se trata de filtraciones provocadas de forma intencionada con fines diversos. Los actores que las ejecutan pueden ser empleados internos, conocidos como “insiders”, o terceros ajenos a la compañía (ciberdelincuentes). Los empleados internos que provocan una filtración suelen estar alentados por dos tipos de motivaciones a la hora de ejecutar estas acciones. La más habitual es la del descontento con la empresa, el afán de venganza ante una situación que consideran injusta. Por otro lado, están aquellos que buscan un beneficio económico con su acción, que habitualmente se traduce en la entrega de información a la competencia. Por su parte, en las filtraciones de datos en las que intervienen ciberdelincuentes, generalmente, es la búsqueda de ingresos económicos el móvil que de manera recurrente está detrás de la ejecución de estas acciones, si bien hay otras claves no menos importantes. Así, dependiendo de los sectores productivos, se deben tener en cuenta estas otras: Espionaje industrial: aquí se incluye el robo de documentos relativos a patentes, diseños de productos o planes de desarrollos futuros e investigaciones realizadas por laboratorios y universidades. Acciones promovidas por estados: los objetivos que persiguen los grupos sostenidos por estados van desde el causar afecciones al funcionamiento de las organizaciones hasta dañar la imagen y la reputación de éstas. Principales amenazas Una vez determinadas las causas y las motivaciones, es necesario conocer que amenazas son las que, si se materializan, desencadena la filtración de información. Aquí nos fijaremos en las tres amenazas que con mayor frecuencia son identificadas por nuestro Centro de Operaciones de Seguridad: Ransomware: mediante este tipo de malware, los actores maliciosos cifran toda o parte de los datos de la empresa víctima del ataque. Para evitar vender o exponer la información en Internet y, por tanto, que se filtre la información, solicitan un rescate. Malware de tipo stealer: se trata de software malicioso desarrollado para ejecutarse en los equipos de los usuarios y robar información confidencial de todo tipo: números de tarjetas de crédito, credenciales de acceso, documentos, etc.…). Los actores maliciosos se sirven de la ingeniería social, fundamentalmente de campañas de phishing, para lograr sus objetivos. Robo de credenciales: conseguir credenciales que faciliten el acceso a los servicios de las compañías es uno de los principales objetivos de los ciberdelincuentes. Una vez logrado, les resulta muy fácil acceder a información y sacarla fuera de la organización. Coste de las filtraciones Una amenaza de filtración de datos provocada por la ejecución de un ransomware tiene unas evidentes consecuencias económicas. Dado que puede llegar a provocar la interrupción de las operaciones de la empresa. Más allá de esto, el perjuicio económico se puede ver incrementado a raíz de las sanciones en las que se hayan podido incurrir al incumplir determinada normativa de protección de datos. A esta circunstancia, se añadirá el consiguiente daño reputacional y de confianza que deberá soportar la empresa, lo cual también se traduce en un perjuicio económico. A todo ello hay que sumar el impacto legal que puede tener la filtración si con ella se pueden ver afectadas las relaciones con terceros, fundamentalmente con clientes y proveedores. Protección de los datos En otras ocasiones hemos hablado de las medidas de
La madurez es la clave en la seguridad integral corporativa
En el entorno empresarial actual, la seguridad integral es un factor crítico para el éxito y la sostenibilidad de cualquier organización. Sin embargo, alcanzar una seguridad efectiva no es un proceso instantáneo; requiere de un desarrollo progresivo conocido como «madurez en seguridad corporativa». Este concepto es fundamental para crear un entorno seguro, resiliente y capaz de enfrentar las amenazas emergentes. ¿Qué es la madurez en seguridad corporativa? La madurez en seguridad corporativa se refiere al grado de desarrollo y eficacia de las políticas, procedimientos y prácticas de seguridad dentro de una organización. Es un indicador de cuán bien una empresa ha integrado la seguridad en su cultura, procesos y operaciones diarias. Una organización madura en seguridad no solo implementa medidas de protección, sino que también evalúa, adapta y mejora continuamente sus estrategias de seguridad en respuesta a nuevos riesgos y cambios en el entorno. Niveles de la madurez en la seguridad integral La madurez en la seguridad integral se suele medir en varios niveles, que reflejan el progreso y la sofisticación de las prácticas de seguridad en una empresa: Inicial: la seguridad es reactiva y se implementa de manera ad hoc. No existen políticas ni procedimientos formalizados. Gestionada: se han establecido políticas básicas y procedimientos, pero su aplicación es inconsistente y no están bien integrados en las operaciones diarias. Definida: las políticas y procedimientos están formalizados y documentados. La seguridad comienza a integrarse en los procesos empresariales, y se realizan evaluaciones periódicas. Gestionada y medida: la organización monitoriza y mide de manera sistemática la efectividad de sus controles de seguridad, utilizando métricas para guiar las mejoras continuas. Optimizada: la seguridad es proactiva y está completamente integrada en la cultura y los procesos de la empresa. La organización utiliza tecnologías avanzadas y prácticas de vanguardia para anticipar y mitigar riesgos. Marco normativo en la seguridad integral Un marco normativo robusto es esencial para la madurez en la seguridad integral. Este marco proporciona las directrices y estándares que guían las prácticas de seguridad dentro de la organización. Algunas de las normativas más relevantes incluyen: ISO/IEC 27001: proporciona los requisitos para un sistema de gestión de la seguridad de la información (SGSI). NIST Cybersecurity Framework: ofrece un enfoque basado en prácticas recomendadas para gestionar y reducir el riesgo cibernético. RGPD (Reglamento General de Protección de Datos): regula la protección de los datos personales en la Unión Europea. Cumplir con estos y otros estándares no solo es una obligación legal, sino que también ayuda a las empresas a estructurar y mejorar continuamente sus estrategias de seguridad. Perfiles que intervienen en la madurez de la seguridad corporativa La madurez en seguridad corporativa es un esfuerzo colaborativo que involucra a múltiples perfiles dentro de la organización: Directores de Seguridad de la Información (CISO): responsables de desarrollar e implementar la estrategia de seguridad. Auditores de Seguridad: evalúan la efectividad de los controles de seguridad y aseguran el cumplimiento normativo. Ingenieros de Seguridad: diseñan y mantienen las infraestructuras de seguridad técnicas. Analistas de Riesgos: identifican y evalúan los riesgos potenciales para la organización. Personal de TI: implementan y gestionan las soluciones tecnológicas necesarias para proteger los activos de información. Cada uno de estos roles aporta una perspectiva y habilidades únicas que son cruciales para alcanzar y mantener un alto nivel de madurez en seguridad. ¿Cómo puede madurar tu empresa en su seguridad empresarial? Para avanzar en la madurez de la seguridad empresarial, las organizaciones deben seguir varios pasos clave: Evaluación inicial: realizar una auditoría completa de las actuales prácticas y políticas de seguridad para identificar las brechas y áreas de mejora. Desarrollo de una estrategia: crear una estrategia de seguridad alineada con los objetivos empresariales y los requisitos normativos. Capacitación y concienciación: educar a todos los empleados sobre la importancia de la seguridad y sus roles específicos en mantener un entorno seguro. Implementación de controles de seguridad: desplegar soluciones tecnológicas y procedimientos que aborden las vulnerabilidades identificadas. Monitoreo y mejora continua: establecer un sistema de monitoreo continuo y retroalimentación para ajustar y mejorar las prácticas de seguridad regularmente. En conclusión, la madurez en seguridad corporativa es un proceso continuo y esencial que permite a las empresas protegerse de manera efectiva contra las amenazas modernas. Al adoptar una cultura de mejora continua y cumplir con los marcos normativos establecidos, las organizaciones pueden asegurar un entorno más seguro y resiliente. María Teresa Vallés BoriConsultora de GRC
CYBERSOC PARA EL CUMPLIMIENTO NORMATIVO DE LAS EMPRESAS
La digitalización es un hecho irrenunciable para cualquier organización pública o privada. La tecnología está permitiendo abordar la transformación de numerosos procesos, alcanzando una significativa mejora de competitividad y de eficiencia, así como una notable reducción de costes. Sin embargo, la incorporación de la tecnología y, muy especialmente, la utilización de Internet, han obligado a las organizaciones a hacer frente a nuevos desafíos. Las organizaciones están dedicando numerosos esfuerzos para salvaguardar los sistemas de información de las amenazas cibernéticas. Las entidades públicas y privadas se están viendo obligadas a adoptar un conjunto de medidas de seguridad para proteger la información sensible, con el fin de garantizar su disponibilidad, integridad y confidencialidad. Esta es una labor de enorme transcendencia como se desprende del hecho de que son muchos los sectores en los que son de aplicación normas que exigen el cumplimiento de determinados controles de seguridad informática. Reglamento Europeo de protección de datos. Uno de los aspectos fundamentales que tienen que observar las organizaciones es el tratamiento de los datos personales que puedan almacenar. Para regular este proceso se ha desarrollado en Europa el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés), convirtiéndose en norma de referencia y de obligado cumplimiento para todas las organizaciones. El GDPR establece que se deben implementar controles de seguridad adecuados para proteger los datos personales contra posibles violaciones o brechas de seguridad. El GDPR exige, igualmente, que las organizaciones implementen medidas técnicas y organizativas apropiadas para este fin. ISO/IEC 27001. La ISO/IEC 27001 es un estándar internacional emitido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Este estándar proporciona un marco para gestionar de manera efectiva y sistemática la seguridad de la información, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información. La /IEC 27001 es ampliamente reconocida y utilizada por organizaciones de todo tipo y tamaño en todo el mundo, y su implementación puede ser certificada por organismos de certificación acreditados. Esquema nacional de seguridad. En España, se ha desarrollado el Esquema Nacional de Seguridad (ENS) como marco regulatorio para garantizar la protección de la información y los servicios electrónicos en el sector público. De manera muy similar a lo establecido por la ISO-27001, entre los objetivos del ENS están el asegurar que la información manejada y los servicios prestados por las administraciones públicas estén adecuadamente protegidos. Para ello, en la norma se definen un conjunto común de medidas de seguridad que deben implementarse en todas las administraciones públicas. Todo ello encaminado a promover la evaluación y mejora continua de la seguridad de la información. Otras normas sectoriales. Junto con estas normas de ámbito generalista, existen otras que son de aplicación en sectores concretos que dada su relevancia económica y social requieren de un control exhaustivo de los procesos que implementan. Estos son algunos ejemplos: PCI-DSS (Payment Card Industry Data Security Standard): esta norma fija un conjunto de estándares de seguridad definidos para proteger la información de las tarjetas de pago y prevenir el fraude asociado con su uso. Esto se traduce en un grupo de requisitos que las organizaciones deben implementar para asegurar el adecuado tratamiento de la información. HIPAA (Health Insurance Portability and Accountability Act): es una ley federal de los Estados Unidos, que establece estándares para proteger la información médica y de salud personal. La HIPAA se diseñó para asegurar la portabilidad y continuidad de la cobertura del seguro de salud, así como para reducir el fraude y el abuso en el sector de la salud. También incluye disposiciones para la protección de la privacidad y la seguridad de la información de salud. TISAX (Trusted Information Security Assessment Exchange): es una norma de seguridad de la información específica para la industria de la automoción. Fue desarrollada por la Asociación Alemana de la Industria Automotriz. Su objetivo principal es proporcionar un estándar común de seguridad de la información para todos los que participan en la cadena de suministro de la industria de este sector. Como se puede observar, todas estas normas tienen como nexo común la protección de la seguridad de la información a través del establecimiento de mecanismos adecuados. La correcta implementación se verifica en las auditorías periódicas a las que están sometidas las organizaciones sujetas a este cumplimiento normativo. Durante el desarrollo de las auditorías es habitual que los auditores soliciten evidencias que demuestren la correcta implementación de estos mecanismos de seguridad como, por ejemplo: la política de cambio de contraseñas, la gestión de usuarios, la gestión del acceso a los servicios, la actividad registrada en el firewall, los registros de la herramienta antimalware, la retención de los eventos de seguridad, la detección de ciberataques, etc. Contribución clave del CyberSOC. establecer numerosos mecanismos de seguridad. Esta circunstancia desencadena nuevos Para alcanzar el grado de cumplimiento exigido en las distintas normas, las organizaciones deben procesos que deben atender las organizaciones como, por ejemplo, la revisión de los eventos de seguridad que registran las herramientas de seguridad. La realización de esta tarea de manera independiente resulta prácticamente imposible de abordar de manera continuada. Suplir esta carencia ha sido posible gracias al desarrollo de los Centros de Operaciones de Cibereguridad, más conocidos a través de sus siglas en inglés como CYBERSOC o SOC. Éstos contribuyen de manera esencial al cumplimiento normativo a través de las tareas que tiene encomendadas: Monitorización continua y registro de eventos de seguridad: el SOC se apoya en el SIEM (Sistema de Gestión de Información y Eventos de Seguridad) para monitorizar de forma continua la actividad que se genera alrededor de los activos de los sistemas de información. El SIEM centraliza los eventos de seguridad de las diferentes fuentes de eventos y, tras su tratamiento, puede generar alertas de seguridad. El SIEM, además, cumple con la función de almacenar y retener estos eventos durante el tiempo exigido por los estándares normativos. De esta manera, se asegura que los datos
IA generativa: La clave en la eficiencia de la ciberseguridad
En la constante lucha contra las ciberamenazas, las organizaciones nos encontramos en una carrera perpetua para fortalecer nuestras defensas y proteger nuestros datos más sensibles. En este escenario, la Inteligencia Artificial (IA) ha emergido como un aliado indispensable, destacando a la IA generativa como una herramienta crucial en la ciberdefensa. 1. ¿Qué es la IA generativa? La IA generativa es una rama de la inteligencia artificial que se centra en la creación de datos nuevos, ya sean imágenes, texto, música o incluso código, imitando patrones y características de conjuntos de datos existentes. A diferencia del resto de ramas de la inteligencia artificial más tradicionales, que se basan en datos existentes para tomar decisiones, la IA generativa tiene la capacidad única de crear contenido nuevo y original. Seguramente hayas utilizado o hayas visto en uso alguna IA generativa. Un ejemplo del que todo el mundo habla es el modelo GPT-3 de OpenAI que crea texto y podemos mantener una conversión con él a través de un chat. Modelo que, por cierto, ya tiene una reciente actualización con GPT-4o. Pero este no es el único, también hay disponibles otros modelos muy variados como DALL-E para generar imágenes o incluso otros modelos como MusicLM que están diseñados para componer música. 2. Beneficios de la IA generativa para la ciberseguridad ¿Por qué decimos que la IA generativa se ha vuelto un aliado indispensable? Esta tecnología nos ofrece una serie de beneficios significativos para mejorar la eficiencia de la ciberseguridad: Generación de datos de entrenamiento: Una de las aplicaciones más importantes de la IA generativa en ciberseguridad es la generación de datos de entrenamiento. Con la capacidad de crear datos sintéticos (datos generados artificialmente) que imitan las características de los datos reales, la IA generativa puede ayudar a mejorar los modelos de detección de amenazas al proporcionar conjuntos de datos más diversos y completos. Simulación de ataques: Mediante la creación de escenarios realistas de ciberataques, la IA generativa permite a los equipos de seguridad probar y mejorar sus defensas en un entorno controlado. Esto ayuda a identificar vulnerabilidades y desarrollar estrategias de respuesta más efectivas. Detección de anomalías: Al analizar el comportamiento normal de los sistemas y usuarios, la IA generativa puede detectar anomalías sutiles que podrían indicar un ataque en curso. Esto permite una detección más rápida y precisa de las amenazas, reduciendo el tiempo de respuesta y mitigando el impacto de los ataques. 3. Desafíos de la inteligencia artificial en ciberseguridad A pesar de sus beneficios, la implementación de la IA en ciberseguridad no está exenta de desafíos. Algunos de los principales retos que lleva el uso de la IA generativa incluyen: Interpretación de Resultados: La IA generativa puede producir resultados sorprendentes, pero interpretar y validar estos resultados puede resultar complicado. Es fundamental contar con expertos en ciberseguridad que puedan analizar, contextualizar y evaluar los datos generados por la IA. Privacidad y Ética: La generación de datos sintéticos plantea preocupaciones éticas y de privacidad. Es crucial garantizar que esta generación de datos respete los principios de privacidad y no infrinja los derechos de los individuos. Adversarios Inteligentes: A medida que la IA se vuelve más sofisticada, también lo hacen las tácticas de los adversarios. Los atacantes pueden aprovechar la IA para desarrollar ataques más avanzados y difíciles de detectar, lo que subraya la necesidad de una constante innovación en la ciberdefensa. 4. Global Technology apuesta por la inteligencia artificial Desde Global Technology, reconocemos el papel fundamental que juega la IA generativa en la protección, tanto de nuestros clientes como de la nuestra propia, contra las ciberamenazas. Estamos comprometidos con la innovación continua y la adopción de tecnologías de vanguardia para fortalecer las defensas y garantizar la seguridad de los datos de las personas que confían en nosotros. Invertimos en investigación y desarrollo para mejorar nuestras capacidades de detección de amenazas. Desde nuestro equipo multidisciplinar que fomenta la estrecha colaboración de expertos en ciberseguridad y expertos en IA queremos aprovechar al máximo el potencial de esta tecnología. Además, nos comprometemos a abordar los desafíos éticos y de privacidad asociados con la IA generativa, asegurando que nuestras prácticas sean transparentes y respeten los más altos estándares. En definitiva, la IA generativa está transformando el panorama de la ciberseguridad, ofreciendo nuevas oportunidades para mejorar la eficiencia y la efectividad de nuestras defensas. Con un enfoque centrado en la innovación y el compromiso con la seguridad, nuestra empresa está preparada para enfrentar los desafíos del futuro de la ciberseguridad. Ines Aldea BlascoCoordinadora de ciber IA y gestión del dato
Ciberinteligencia en infraestructuras críticas
Los ciberataques son una de las amenazas más significativas que pueden afectar a cualquier organización a través de la ciberinteligencia y, por ende, a una infraestructura crítica. Hoy en día, estos ataques son cada vez más sofisticados, con múltiples vectores y menos predecibles, lo que convierte su detección en una tarea más desafiante. Si bien detrás de la mayoría de los ciberataques están personas o grupos guiados por una motivación económica (un claro ejemplo son los ataques basados en ransomware), en el caso de las infraestructuras críticas, se deben tener en cuenta, además, otro tipo de motivaciones. El impacto que la materialización de un ciberataque puede tener sobre una infraestructura crítica las convierte en objetivo prioritario de ataque de los grupos afines o patrocinados por Estados. Estos ataques están diseñados, no sólo para causar afecciones directas en el funcionamiento de las infraestructuras, sino también para desencadenar campañas de desprestigio y movilizaciones sociales en los países afectados. A qué amenazas se enfrentan las infraestructuras críticas En el ámbito de las infraestructuras críticas, se debe prestar especial atención a los ciberataques en los que se vislumbre la influencia de los Estados. Estos ciberataques suelen encuadrarse dentro de las amenazas conocidas como APT (Amenaza Persistente Avanzada), diseñadas para atacar mediante procesos sofisticados y permanecer ocultos dentro de la organización con el fin de desencadenar acciones de manera sigilosa. Los ataques dirigidos contra infraestructuras críticas tienen por objeto, en la mayoría de los casos, causar afecciones a la operación de los servicios que prestan más que a robar datos. No obstante, estas organizaciones no son ajenas a las amenazas que impactan sobre las infraestructuras IT. El malware, el ransomware, el phishing y los ataques de denegación de servicio distribuidos (DDoS) son, igualmente, una amenaza a tener en cuenta por las infraestructuras críticas. La evolución tecnológica esta promoviendo que infraestructuras críticas que hasta hace poco operaban de forma aislada se vayan incorporando a un escenario en el que predomina la interconexión entre dispositivos e, incluso, entre entidades de diferentes sectores. Esta circunstancia está exponiendo elementos de su infraestructura que hasta ahora permanecían ocultos. La caída de una de estas infraestructuras críticas podría causar una reacción en cadena que afectase a otras organizaciones. Muchas de estas infraestructuras críticas pertenecen a sectores donde su operación depende en gran medida de los sistemas de control industrial (ICS) que integran la infraestructura OT. La protección de estos dispositivos genera gran preocupación dado que la seguridad que se aplica no alcanza el nivel que sí se observa en los entornos IT. Es por ello qué los ciberatacantes están centrando sus esfuerzos en alterar el funcionamiento de sistemas fundamentales para la operación, como los SCADA. Por todo ello, las infraestructuras críticas necesitan dotarse de nuevos recursos defensivos que permitan hacer frente a estas amenazas. Es aquí donde entra en juego la ciberinteligencia o inteligencia de amenazas, también denominada CTI por sus siglas en inglés (Cyber Threat Intelligence). Información de ciberinteligencia Entre las muchas definiciones que podemos encontrar sobre el termino ciberinteligencia, una de las que mejor lo describe es la que propone el prestigioso SANS Institute al considerar la CTI como la información relativa a amenazas activas que puede ser aprovechada por la organización tanto para prevenir ataques futuros como para detectar aquellos que no se pueden revenir de una forma más rápida. Así pues, una estrategia de ciberseguridad que dé cabida a la ciberinteligencia pretende recopilar información sobre las amenazas que pueden acechar a una organización, analizarla, procesarla y entregarla a los diferentes grupos de interés para adoptar medidas de prevención o respuesta. La ciberinteligencia se posiciona como un recurso defensivo proactivo que permite anticipar y detectar ciberataques facilitando información tanto de amenazas existentes como de aquellas consideradas potenciales. En el proceso de generación de información de inteligencia, la primera tarea a realizar es la de identificar quiénes van a ser los consumidores principales de esa información. En base a ello, se puede clasificar la información de inteligencia en tres categorías: Inteligencia táctica: Se trata de información de uso inmediato, generalmente utilizada por parte del Centro de Operaciones de Seguridad (SOC) o por el Equipo de Respuesta a Incidentes (CSIRT) para detectar y responder a ciberataques en curso. La inteligencia táctica se centra, fundamentalmente, en el siguiente tipo de información: Indicadores de Compromiso (IoCs). Direcciones IP pertenecientes a activos maliciosos. Hashes de archivos involucrados en ataques de malware y ransomware. Inteligencia operativa: Se trata de información que permite adoptar medidas proactivas frente a posibles amenazas. Los consumidores de esta información son los responsables de la toma de decisiones en materia de ciberseguridad. La inteligencia operativa identifica actores maliciosos, vulnerabilidades, vectores de ataque y TTPs que puede afectar a la organización. En base a esta información se pueden establecer controles y adoptar medidas que frustren los ataques. Inteligencia estratégica: Se trata de información de alto nivel orientada a la toma de decisiones por parte de los equipos directivos de las organizaciones. Aquí, se suele encontrar información sobre el estado de la ciberseguridad en el sector y la coyuntura geopolítica. Esta información sirve para justificar inversiones y validar las estrategias de ciberseguridad. Fuentes de inteligencia El hecho de que las infraestructuras críticas sean un elemento esencial para el desarrollo de la actividad diaria de las personas y, en algunos casos, de la operación de los Estados, hace necesario ampliar la obtención de información más allá de los cauces habituales. El esfuerzo conjunto de los equipos de ciberseguridad para hacer frente a las amenazas que se ciñen sobre las infraestructuras críticas es una herramienta muy efectiva que se debe considerar. Un claro ejemplo es la iniciativa abanderada en España por el Centro Criptológico Nacional que se ha concretado en la creación de la Red Nacional de SOC. Aquí, los equipos de ciberseguridad públicos y privados comparten información de inteligencia a través de una plataforma de ciberinteligencia (TIP). La información aportada por los miembros sirve para anticipar posibles ciberataques y tomar medidas de prevención. Otra fuente de información de ciberinteligencia muy valiosa
Concienciación del papel del CISO en gobernanza y gestión de riesgo
¿Alguna vez te has preguntado quién es el responsable de los datos en tu organización? ¿Quién toma las riendas cuando surge un riesgo relacionado con las amenazas de ciberseguridad? La respuesta a estas preguntas es más compleja de lo que parece y subraya la importancia de comprender el papel crítico que desempeña el Chief Information Security Officer (CISO) en la gobernanza y gestión de riesgos dentro de las empresas. 1. ¿Qué es la gobernanza y gestión del riesgo? La gobernanza y gestión de riesgos es un marco esencial dentro de las organizaciones que busca identificar, evaluar y mitigar los riesgos que podrían afectar negativamente la realización de los objetivos de la empresa. Esta práctica no solo se enfoca en los riesgos financieros u operativos. Sino que también incluye aquellos relacionados con la ciberseguridad. Una gestión de riesgos efectiva es crucial para salvaguardar la integridad, la disponibilidad y la confidencialidad de la información crítica de la organización. 2. Funciones del CISO dentro de la organización Es aquí donde nos encontramos con el rol del CISO, que juega un papel fundamental en la estructura organizacional, siendo el responsable de establecer y mantener el programa de seguridad de la información de la empresa. Esto incluye la definición de políticas y procedimientos de seguridad, la supervisión de la evaluación de riesgos y la implementación de estrategias de mitigación. No solo esto, si no que el CISO es el encargado de comunicar los riesgos de ciberseguridad al resto de la dirección, asegurando que estén informados para tomar decisiones estratégicas basadas en el riesgo. Y es aquí donde surgen las dudas. 3. Liderazgo de la gobernanza y gestión del riesgo El riesgo, en el contexto de la seguridad de la información y ciberseguridad, se refiere a la posibilidad de que se materialice una amenaza, explotando una vulnerabilidad específica, lo que resultaría en un impacto negativo para la organización. Es decir, es una medida de la extensión del daño o pérdida que podría ocurrir debido a una brecha de seguridad o incidente. Y es aquí donde el CISO para liderar en la gobernanza y gestión de riesgos no solo tiene que entender las amenazas y sus posibles impactos, sino que tiene que ser capaz de guiar a la organización en la toma de decisiones informadas respecto a la seguridad. El CISO debe ser un líder que trabaje en conjunto con otros departamentos y funciones dentro de la empresa. Principalmente porque no puede ser conocedor de toda la información acerca de los impactos negativos que puede acarrear en todas áreas o departamentos y lo segundo, para asegurar una estrategia de seguridad integrada y coherente. ¿Esto es habitual? Menos de lo que tú te creerías… 4. Ventajas de contar con un Chief Information Security Officer Tener un CISO dentro de la organización aporta numerosas ventajas. Esta figura no solo ayuda a proteger contra las amenazas de ciberseguridad, sino que también contribuye al éxito empresarial al asegurar que los riesgos se gestionen de manera proactiva. El CISO facilita la alineación de las estrategias de seguridad con los objetivos de negocio, promueve una cultura de seguridad entre los empleados y garantiza el cumplimiento de las regulaciones vigentes en materia de protección de datos. Es por ello donde se intenta buscar una visión del riesgo global. Donde cada individuo, responsable, o rol se responsabilice de los datos que a él le corresponda siendo estos figuras clave para entender el impacto al que se tiene que atener la empresa en caso de que esa amenaza vulnere la brecha o incidencia identificada. 5. Mi punto de vista. Desde mi perspectiva, existe una confusión generalizada respecto a las responsabilidades asignadas al CISO. A menudo, se le atribuye la responsabilidad total de los datos de la organización, lo cual es una simplificación excesiva de su rol. Aunque el CISO entiende las amenazas y puede guiar al CEO o a la empresa en la toma de decisiones estratégicas, no debe ser visto como el único conocedor del riesgo de cada amenaza. En cambio, debería ser parte de un equipo multifuncional que apoye a la dirección, contribuyendo a la definición de estrategias y orientando las decisiones de la empresa. La gestión de riesgos, especialmente en el ámbito de la ciberseguridad, debe ser un esfuerzo colaborativo que trascienda la responsabilidad individual del CISO. En conclusión, la concienciación sobre el papel del CISO en la gobernanza y gestión de riesgos es crucial para el éxito organizacional. Comprender este papel no solo ayuda a mejorar la postura de seguridad de la empresa, sino que también asegura una gestión de riesgos más efectiva y alineada con los objetivos empresariales. ¿Qué opináis vosotros? Ladix CaballeroIngeniero Preventa de Global Technology
Desafíos actuales en ciberseguridad: Normativa Europea en Inteligencia Artificial
En el vertiginoso avance de la tecnología, la inteligencia artificial (IA) ha emergido como una fuerza transformadora en diversos sectores, desde la atención médica hasta las finanzas. Sin embargo, a medida que estas soluciones se vuelven omnipresentes, se ha establecido una nueva normativa Europea en inteligencia artificial para abordar aspectos cruciales como el cumplimiento normativo, la protección de datos y los temas de propiedad intelectual. Novedades regulatorias: la primera normativa Europea en inteligencia artificial El pasado mes de diciembre el Consejo y el Parlamento Europeo lograron un acuerdo provisional sobre el primer Reglamento de Inteligencia Artificial (IA). Este acontecimiento se origina en la propuesta de la Comisión Europea en 2021, que buscaba crear el primer marco regulador de la Unión Europea para la IA. Objetivos claves: seguridad, derechos ciudadanos e innovación La nueva ley de IA tiene dos objetivos fundamentales: garantizar la seguridad y el respeto de los derechos de los ciudadanos en el uso de sistemas de inteligencia artificial en la Unión Europea y fomentar la inversión y la innovación en este ámbito en Europa. Según el acuerdo, el reglamento entrará en vigor dos años después de su aplicación. Este reglamento se posiciona como la primera propuesta legislativa mundial sobre inteligencia artificial, potencialmente estableciendo un estándar global para la regulación de la IA en otras jurisdicciones. La ley clasificará los sistemas de IA en función de sus riesgos, imponiendo normas más estrictas a medida que aumenta el nivel de riesgo asociado. Principales aspectos de la normativa Europea en inteligencia artificial: definiciones y exclusiones claras El acuerdo provisional adopta la definición de sistema de IA propuesta por la OCDE, estableciendo criterios claros para distinguir estos sistemas de otros softwares más simples. Además, se especifica que el reglamento no se aplicará a áreas fuera del ámbito de aplicación del Derecho de la UE y no interferirá con las competencias de los Estados miembros en seguridad nacional, ni afectará a sistemas utilizados con fines militares o de defensa, investigación e innovación. Sistemas de IA de alto riesgo y prácticas prohibidas Se han establecido criterios horizontales de protección para determinar cuándo los sistemas de IA pueden causar daños significativos a la sociedad. Aquellos que presenten riesgos elevados estarán sujetos a requisitos y obligaciones específicos para acceder al mercado de la UE, mientras que el uso de sistemas con riesgos inaceptables quedará totalmente prohibido. Ejemplos de prácticas prohibidas incluyen la manipulación cognitiva conductual y el rastreo indiscriminado de imágenes faciales de internet. Protección de derechos fundamentales y transparencia El reglamento subraya la importancia de evaluar el impacto en los derechos fundamentales antes de introducir nuevos sistemas de IA en el mercado. Los modelos funcionales, sistemas de gran magnitud que abarcan diversas tareas, deben cumplir con obligaciones más específicas en términos de transparencia. Además, se destaca la obligación de los usuarios de sistemas de reconocimiento de emociones de informar a las personas expuestas a dicho sistema. Propiedad intelectual y patentes en IA La UE reconoce la importancia de abordar la propiedad intelectual en el contexto de la inteligencia artificial, especialmente cuando se trata de la creación de algoritmos avanzados y sistemas autónomos. La legislación busca clarificar y definir los derechos de propiedad intelectual en situaciones donde la contribución de sistemas de IA es significativa. En particular: Titularidad de las invenciones: se establecen directrices claras sobre quién posee los derechos de propiedad intelectual cuando se trata de invenciones generadas por sistemas de IA. La legislación fomenta un equilibrio justo entre los derechos de los creadores humanos y las contribuciones de la IA. Colaboración entre humanos y sistemas de IA: la normativa aborda específicamente los casos en los que la creación intelectual es el resultado de la colaboración entre humanos y sistemas de IA. Se busca garantizar una asignación adecuada de los derechos, incentivando la colaboración y la innovación conjunta. Protección de Datos en Conformidad con el RGPD En cuanto a la protección de datos, la UE refuerza las disposiciones existentes bajo el Reglamento General de Protección de Datos (RGPD) y las adapta para abordar los retos que plantea la inteligencia artificial. Las regulaciones incluyen: Transparencia y explicabilidad: se exige una mayor transparencia en el uso de algoritmos de IA, especialmente en situaciones que afectan a los derechos y libertades individuales. Además, se establecen requisitos para garantizar la explicabilidad de las decisiones automatizadas, permitiendo a las personas comprender y cuestionar las decisiones tomadas por sistemas de IA. Evaluaciones de impacto en la protección de datos: se insta a las organizaciones a realizar evaluaciones de impacto en la protección de datos cuando implementan sistemas de IA que pueden implicar un riesgo significativo para los derechos y libertades de las personas. Esto ayuda a anticipar y abordar posibles riesgos antes de la implementación completa. Normativas Globales y Coherentes para un Futuro Sostenible La UE ha destacado la importancia de una cooperación internacional sólida en el ámbito normativo de la IA. Busca trabajar de la mano con otros actores globales para establecer estándares comunes que fomenten la innovación, protejan los derechos individuales y aborden los desafíos éticos y de seguridad asociados con la inteligencia artificial. Global Technology y la normativa Europea en inteligencia artificial Global Technology puede ayudarte a cumplir con las normativas utilizando inteligencia artificial, gracias a nuestra experiencia especializada y profundo conocimiento de las regulaciones, en particular, las establecidas por la nueva normativa Europea en inteligencia artificial . Destacamos por la capacidad de integrar de manera efectiva tecnologías emergentes, garantizando soluciones flexibles y a la vanguardia de las exigencias regulatorias en constante evolución. Nos centramos en un enfoque transparente y ético, enfocado en la comprensión y explicabilidad de las decisiones automatizadas, así como nuestro compromiso firme con la privacidad y protección de datos conforme al RGPD. Estamos comprometidos con la excelencia y ofrecemos una colaboración proactiva con entidades regulatorias, asegurando que tu empresa esté a la vanguardia de la innovación cumpliendo con los más altos estándares normativos. María Teresa Vallés BoriConsultora de GRC
Visión global de la sostenibilidad y gobernanza de la ciberseguridad
La sostenibilidad y la gobernanza de la ciberseguridad, se han vuelto imprescindibles en la era en la que las tecnologías avanzan a un ritmo imparable. Vamos a descubrir cómo implementarlas de forma eficaz en cualquier ámbito o canal. ¿Qué es ESG? ESG son las siglas de «Ambiental, Social y Gobernanza» en inglés, que se refieren a los criterios utilizados para evaluar el desempeño de una empresa en áreas más allá de simplemente sus resultados financieros. Estos criterios se utilizan para medir el impacto y la sostenibilidad de una empresa en tres dimensiones clave: Ambiental (E – Environmental): se refiere a cómo una empresa gestiona sus impactos ambientales. Esto incluye prácticas relacionadas con la gestión de residuos, la eficiencia energética, las emisiones de gases de efecto invernadero. También la conservación de recursos naturales y la gestión de riesgos ambientales. Social (S – Social): se centra en cómo una empresa gestiona sus relaciones con empleados, clientes, proveedores y la comunidad en general. Incluye aspectos como la equidad laboral, la diversidad e inclusión, la salud y seguridad ocupacional, el respeto de los derechos humanos y las prácticas éticas en general. Gobernanza (G – Governance): se refiere a la estructura y procesos de toma de decisiones dentro de una empresa. Incluye la transparencia, la ética empresarial, la independencia del consejo, la gestión de riesgos y la rendición de cuentas. Una gobernanza de la ciberseguridad sólida asegura que la empresa sea gestionada de manera responsable y ética. GOBERNANZA DE LA CIBERSEGURIDAD: BENEFICIOS Las empresas que adoptan y cumplen con los criterios ESG pueden esperar una serie de beneficios significativos, incluyendo: Mejora de la reputación y la marca, atrayendo a consumidores y empleados que valoran la sostenibilidad. Acceso a capital a menores costos, ya que los inversores están cada vez más inclinados hacia empresas con sólidos desempeños ESG. Reducción de riesgos operativos y regulatorios a través de prácticas de gobernanza mejoradas. Oportunidades de innovación y acceso a nuevos mercados mediante la adopción de prácticas sostenibles. Mejora en la retención y atracción de talento, gracias a un fuerte compromiso con cuestiones sociales. Inversión sostenible: los inversores están cada vez más interesados en invertir en empresas que demuestren un fuerte desempeño en criterios ESG. La inversión sostenible busca no solo rendimientos financieros, sino también impactos positivos en el medio ambiente y la sociedad. Ciberseguridad y Gobernanza (G) La gobernanza empresarial incluye la toma de decisiones, la supervisión de la administración y la rendición de cuentas. La ciberseguridad es esencial para la gestión de riesgos en este ámbito, ya que las amenazas cibernéticas pueden tener impactos significativos en la gobernanza si no se gestionan adecuadamente. Resiliencia empresarial: la capacidad de una empresa para resistir y recuperarse de incidentes cibernéticos forma parte de su resiliencia empresarial. Ciberseguridad Y Social (S) La seguridad cibernética es fundamental para proteger los datos y la privacidad de los empleados, clientes y otras partes interesadas. La gestión efectiva de la seguridad cibernética contribuye a salvaguardar los derechos y la privacidad de las personas, aspectos sociales fundamentales en el marco ESG. Los incidentes de ciberseguridad pueden dañar la reputación de una empresa y la confianza de los clientes. Una gestión efectiva de la ciberseguridad contribuye a mantener la integridad y la reputación de la empresa, aspectos sociales clave en el contexto ESG. Efectos ambientales de las tecnologías (A) Si bien es menos evidente, las prácticas de ciberseguridad también pueden afectar los aspectos ambientales. A continuación, se desarrollan diversas dimensiones donde la ciberseguridad tiene un gran impacto sobre las cuestiones ambientales: Consumo de recursos energéticos: Centros de Datos: las operaciones de ciberseguridad a menudo dependen de centros de datos que consumen grandes cantidades de energía para su funcionamiento y refrigeración. La gestión eficiente de la ciberseguridad puede contribuir a reducir la demanda energética de los centros de datos, apoyando así prácticas más sostenibles. Impacto de incidentes cibernéticos en la cadena de suministro: los ataques cibernéticos exitosos a empresas y organizaciones pueden tener un impacto significativo en la cadena de suministro. Si los sistemas críticos que respaldan la producción y distribución de bienes y servicios se ven comprometidos, podría haber interrupciones que conduzcan a un uso ineficiente de recursos y una huella ambiental más grande. Tecnologías sostenibles y ciberseguridad: a medida que las organizaciones adoptan tecnologías más sostenibles, como la Internet de las cosas (IoT) para la gestión eficiente de recursos, la ciberseguridad se vuelve esencial. Asegurar estas tecnologías sostenibles es crucial para evitar posibles ataques que podrían tener consecuencias ambientales negativas. PRINCIPIOS BÁSICOS DE ACTUACIÓN Normas ISO: Algunos de los estándares reconocidos internacionalmente ayudan a establecer prácticas que respaldan los objetivos ESG: ISO 14001 – Gestión Ambiental: esta norma se centra en sistemas de gestión ambiental y puede ayudar a las organizaciones a identificar, gestionar, monitorear y mejorar sus impactos ambientales. ISO 26000 – Guía sobre Responsabilidad Social: proporciona directrices sobre cómo las organizaciones pueden operar de manera socialmente responsable, abordando aspectos como derechos humanos, prácticas laborales, medio ambiente, prácticas leales, y participación en el desarrollo de la comunidad. ISO 45001 – Seguridad y Salud Ocupacional: aborda la salud y seguridad en el trabajo, un componente importante de la responsabilidad social empresarial. ISO 37001 – Sistema de Gestión Antisoborno: ayuda a las organizaciones a establecer, implementar, mantener y mejorar un sistema de gestión antisoborno. ISO 22301 – Gestión de la Continuidad del Negocio: aborda la resiliencia organizativa y puede contribuir a la gestión de riesgos, lo cual es relevante para los criterios de gobernanza. ISO 27001 – Seguridad de la Información: contribuye a los criterios ESG mediante la gestión integral de riesgos, cultura de seguridad, cumplimiento legal y mejora continua. ESQUEMA NACIONAL DE SEGURIDAD: El Esquema Nacional de Seguridad (ENS) puede contribuir al cumplimiento de los criterios ESG (ambientales, sociales y de gobernanza) a través de diversas medidas y prácticas. Gobernanza: Transparencia y Ética: el ENS puede promover la transparencia en la gestión de la seguridad, asegurando que las instituciones y organizaciones operen éticamente y con responsabilidad. Participación: involucrar a partes interesadas en la definición y