El paradigma del robo de datos empresariales y su protección: la principal preocupación de las empresas
Este artículo sobre el paradigma del robo de datos empresariales y su protección, da continuidad al anterior escrito por mi compañero de GT acerca de las diferencias entre seguridad de la información y de los datos. La creciente dependencia de la tecnología y la digitalización ha hecho que las empresas enfrenten desafíos sin precedentes en términos de robo de datos y protección de datos empresariales. La vulnerabilidad a ataques cibernéticos y el robo de datos no solo pone en riesgo la privacidad de la empresa, sino también la de sus clientes, lo que puede resultar en pérdidas financieras significativas y daños a la reputación. La principal preocupación hoy en día es cómo asegurar que los datos empresariales estén protegidos frente a estas amenazas. Esto incluye no solo implementar medidas de seguridad robustas, sino también mantenerse al tanto de las últimas tácticas utilizadas por los ciberdelincuentes y adaptar las estrategias de protección en consecuencia. ¿Qué opinas? Principales amenazas del robo de datos y principios fundamentales de la ciberprotección de los datos empresariales Las principales amenazas de robo de datos incluyen ataques de ransomware, phishing, malware, y accesos no autorizados. Estos ataques pueden resultar en la pérdida de datos sensibles, interrupción de operaciones y obligaciones legales por violaciones de privacidad. Para combatir estas amenazas, es crucial entender los principios fundamentales de la ciberprotección de los datos empresariales: Confidencialidad: Asegurar que solo personas autorizadas tengan acceso a los datos. Integridad: Mantener la exactitud y consistencia de los datos a lo largo de su ciclo de vida. Disponibilidad: Garantizar que los datos estén disponibles para su uso cuando sea necesario. Cómo protegerse del robo de datos con estrategias para la protección de los datos empresariales Para protegerse eficazmente del robo de datos, las empresas deben adoptar un enfoque multifacético que incluya: Cifrado de datos: Asegurar que los datos estén cifrados tanto en tránsito como en reposo. Autenticación multifactor: Implementar sistemas que requieran múltiples formas de verificación para acceder a los datos sensibles. Formación y concienciación: Educar a los empleados sobre las amenazas de seguridad y las mejores prácticas para mitigarlas. Monitoreo y auditoría: Utilizar herramientas avanzadas para monitorear el acceso y uso de los datos, identificando actividades sospechosas en tiempo real. Implementación de políticas de seguridad: Desarrollar y mantener políticas claras y estrictas sobre el manejo y protección de datos. Soluciones de ciberseguridad para las empresas y beneficios de la ciberseguridad en la protección de datos Las soluciones de ciberseguridad para empresas abarcan un amplio espectro de tecnologías y prácticas diseñadas para proteger los datos contra robos y accesos no autorizados. Estas soluciones incluyen: Firewalls y sistemas de detección de intrusos (IDS/IPS): Para vigilar y bloquear actividades sospechosas. Software antimalware: Para detectar y eliminar software malicioso que podría comprometer la seguridad de los datos. Sistemas de gestión de identidad y acceso (IAM): Para controlar quién tiene acceso a la información crítica y en qué condiciones. Backup y recuperación de datos: Para garantizar que los datos puedan ser recuperados rápidamente en caso de un incidente de seguridad. Los beneficios de implementar una sólida estrategia de ciberseguridad incluyen: Protección contra pérdidas financieras: Al evitar incidentes de seguridad que pueden resultar en costosas recuperaciones y multas. Cumplimiento de regulaciones: Asegurando que la empresa cumpla con las normativas y estándares de protección de datos. Reputación mejorada: Proyectando una imagen de responsabilidad y confiabilidad hacia clientes y socios comerciales. Continuidad del negocio: Minimizando las interrupciones operativas causadas por incidentes de seguridad. Cómo puede ayudarte Global Technology? En Global Technology, ofrecemos soluciones integrales de ciberseguridad que incluyen: DSPM (Data Security Posture Management): Gestión de la postura de seguridad de los datos para identificar y mitigar riesgos. CASB (Cloud Access Security Broker): Control y cifrado de datos en la nube para asegurar el acceso y proteger la información. IRM (Information Rights Management): Protección de los datos internos y externos, controlando cómo se utilizan y comparten. Nuestro enfoque incluye el diseño, implementación y mantenimiento de estas soluciones, asegurando que tu empresa esté siempre protegida frente a las amenazas actuales y emergentes. En Global Technology, trabajamos contigo para desarrollar una estrategia de seguridad personalizada que no solo protege tus datos, sino que también te guía en el cumplimiento de normativas y estándares de ciberseguridad. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Seguridad de la información VS Seguridad de los datos
En el mundo digital de hoy, entender las diferencias entre seguridad de la información y seguridad de los datos es crucial para cualquier organización que busque proteger sus activos digitales. La seguridad de la información abarca un marco más amplio, que incluye la protección de todos los tipos de información, no solo los datos digitales. Esto puede incluir documentos físicos, propiedad intelectual y cualquier otro tipo de información sensible. Por otro lado, la seguridad de los datos se enfoca específicamente en la protección de los datos digitales, asegurando que se almacenen, procesen y transmitan de manera segura. Sencillo, ¿no? Vamos a profundizar algo más. Diferencias clave entre seguridad de la información y de los datos Aunque los términos pueden parecer similares, sus enfoques y ámbitos de aplicación son distintos. La seguridad de la información incluye políticas, procedimientos y controles que protegen la confidencialidad, integridad y disponibilidad (CIA) de toda la información, independientemente de su forma. De hecho, seguro que os suenan los estándares como ISO/IEC 27001, NIST SP 800-53, GDPR, PCI DSS, COBIT… Estos estándares y normativas ayudan a proteger la información, cumplir con las regulaciones legales y normativas, y gestionar los riesgos asociados con la seguridad de la información además de abarcar desde la gestión de acceso hasta la formación del personal en prácticas seguras. La seguridad de los datos, sin embargo, se centra en técnicas específicas para proteger los datos digitales, como el cifrado, la autenticación de usuarios y la protección contra el acceso no autorizado. Una estrategia de seguridad de los datos bien definida y alineada con los objetivos de la empresa no solo protege los datos en sí, sino que también fortalece la seguridad de la información global de la organización, asegurando un control integral sobre todos los aspectos de la información. De hecho, dentro de este ámbito, existen diferentes soluciones dependiendo de las necesidades de cada empresa, desde una auditoria y gobierno del dato hasta la protección dentro o fuera de la propia infraestructura. ¿Cómo se complementan la seguridad de la información y de los datos? La seguridad de la información y la seguridad de los datos son dos caras de la misma moneda. Mientras que la seguridad de la información proporciona el marco general y las políticas necesarias, la seguridad de los datos ofrece las herramientas y técnicas específicas para proteger los activos digitales. Juntas, estas disciplinas crean una defensa robusta contra amenazas internas y externas. Por ejemplo, una política de seguridad de la información puede establecer desde el requerimiento de tener una clasificación de la información, como la necesidad de cifrar todos los datos sensibles. La seguridad de los datos, a su vez, implementa diferentes soluciones desde clasificación manual o automática de los datos, reconocimiento automatizado de los datos dependiendo de patrones propios del documento, como mediante el uso de tecnologías de cifrado avanzadas. De esta manera, ambas áreas se complementan y refuerzan mutuamente, ofreciendo una protección más completa. Estrategias clave de ciberprotección: Enfoque desde la seguridad de la información Evaluación de Riesgos: Realizar evaluaciones exhaustivas para identificar riesgos potenciales que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. Esto incluye evaluar todos los tipos de información, independientemente de su formato. Políticas y Procedimientos: Establecer políticas claras y procedimientos rigurosos para la gestión y protección de la información. Estas políticas deben abarcar desde el uso adecuado de la información hasta la gestión de incidentes de seguridad. Gestión de Accesos: Implementar controles estrictos para asegurar que solo el personal autorizado tenga acceso a la información crítica. Esto incluye el uso de autenticación multifactor (MFA) y la gestión de identidades. Concienciación y Formación: Capacitar a todos los empleados sobre las mejores prácticas de seguridad de la información. La formación debe ser continua y adaptarse a las nuevas amenazas y tecnologías. Monitoreo y Auditoría: Establecer sistemas de monitoreo continuo para detectar y responder a posibles incidentes de seguridad. Las auditorías periódicas son esenciales para asegurar el cumplimiento de las políticas de seguridad y para identificar áreas de mejora. Enfoque desde la seguridad del dato Auditoría de los Datos: Conocer en todo momento cómo el dato es tratado en su organización, desde el origen, destino, creación, eliminación, hasta los permisos, con el fin de tener una evaluación de los datos sensibles y ver cómo protegerlos. Cifrado de Datos: Implementar el cifrado tanto en tránsito como en reposo para proteger los datos sensibles contra accesos no autorizados. Utilizar algoritmos de cifrado robustos que cumplan con los estándares internacionales. Control de Acceso Basado en Roles (RBAC): Definir y gestionar los permisos de acceso a los datos en función de los roles y responsabilidades de los empleados. Asegurar que solo las personas que realmente necesitan acceso a ciertos datos lo tengan. Copias de Seguridad y Recuperación de Datos: Realizar copias de seguridad regulares y probar los procedimientos de recuperación para asegurar que los datos puedan ser restaurados rápidamente en caso de pérdida o corrupción. Protección contra Malware y Ransomware: Implementar soluciones avanzadas de seguridad que incluyan detección y prevención de malware y ransomware. Mantener actualizados todos los sistemas y software para proteger contra vulnerabilidades conocidas. Data Loss Prevention (DLP): Utilizar tecnologías de prevención de pérdida de datos para monitorear, detectar y bloquear la transmisión de información sensible fuera de la organización. Esto ayuda a prevenir fugas de datos intencionales o accidentales. Global Technology, tu aliado en la ciberseguridad empresarial En la era digital actual, los datos se han convertido en el principal objetivo de los atacantes. La cantidad de incidentes de ciberseguridad ha aumentado significativamente, con amenazas cada vez más sofisticadas y persistentes. Los atacantes buscan aprovechar las vulnerabilidades para acceder a datos sensibles, robar información y causar daño a las organizaciones. ¿En este contexto, no crees que es necesario dedicar tiempo y recursos a la evaluación y protección de tus datos? En Global Technology, entendemos que los datos son el activo más valioso de cualquier empresa. Por ello, ofrecemos una gama de servicios diseñados para analizar, evaluar y solucionar brechas de seguridad, minimizando así el impacto
La madurez es la clave en la seguridad integral corporativa
En el entorno empresarial actual, la seguridad integral es un factor crítico para el éxito y la sostenibilidad de cualquier organización. Sin embargo, alcanzar una seguridad efectiva no es un proceso instantáneo; requiere de un desarrollo progresivo conocido como «madurez en seguridad corporativa». Este concepto es fundamental para crear un entorno seguro, resiliente y capaz de enfrentar las amenazas emergentes. ¿Qué es la madurez en seguridad corporativa? La madurez en seguridad corporativa se refiere al grado de desarrollo y eficacia de las políticas, procedimientos y prácticas de seguridad dentro de una organización. Es un indicador de cuán bien una empresa ha integrado la seguridad en su cultura, procesos y operaciones diarias. Una organización madura en seguridad no solo implementa medidas de protección, sino que también evalúa, adapta y mejora continuamente sus estrategias de seguridad en respuesta a nuevos riesgos y cambios en el entorno. Niveles de la madurez en la seguridad integral La madurez en la seguridad integral se suele medir en varios niveles, que reflejan el progreso y la sofisticación de las prácticas de seguridad en una empresa: Inicial: la seguridad es reactiva y se implementa de manera ad hoc. No existen políticas ni procedimientos formalizados. Gestionada: se han establecido políticas básicas y procedimientos, pero su aplicación es inconsistente y no están bien integrados en las operaciones diarias. Definida: las políticas y procedimientos están formalizados y documentados. La seguridad comienza a integrarse en los procesos empresariales, y se realizan evaluaciones periódicas. Gestionada y medida: la organización monitoriza y mide de manera sistemática la efectividad de sus controles de seguridad, utilizando métricas para guiar las mejoras continuas. Optimizada: la seguridad es proactiva y está completamente integrada en la cultura y los procesos de la empresa. La organización utiliza tecnologías avanzadas y prácticas de vanguardia para anticipar y mitigar riesgos. Marco normativo en la seguridad integral Un marco normativo robusto es esencial para la madurez en la seguridad integral. Este marco proporciona las directrices y estándares que guían las prácticas de seguridad dentro de la organización. Algunas de las normativas más relevantes incluyen: ISO/IEC 27001: proporciona los requisitos para un sistema de gestión de la seguridad de la información (SGSI). NIST Cybersecurity Framework: ofrece un enfoque basado en prácticas recomendadas para gestionar y reducir el riesgo cibernético. RGPD (Reglamento General de Protección de Datos): regula la protección de los datos personales en la Unión Europea. Cumplir con estos y otros estándares no solo es una obligación legal, sino que también ayuda a las empresas a estructurar y mejorar continuamente sus estrategias de seguridad. Perfiles que intervienen en la madurez de la seguridad corporativa La madurez en seguridad corporativa es un esfuerzo colaborativo que involucra a múltiples perfiles dentro de la organización: Directores de Seguridad de la Información (CISO): responsables de desarrollar e implementar la estrategia de seguridad. Auditores de Seguridad: evalúan la efectividad de los controles de seguridad y aseguran el cumplimiento normativo. Ingenieros de Seguridad: diseñan y mantienen las infraestructuras de seguridad técnicas. Analistas de Riesgos: identifican y evalúan los riesgos potenciales para la organización. Personal de TI: implementan y gestionan las soluciones tecnológicas necesarias para proteger los activos de información. Cada uno de estos roles aporta una perspectiva y habilidades únicas que son cruciales para alcanzar y mantener un alto nivel de madurez en seguridad. ¿Cómo puede madurar tu empresa en su seguridad empresarial? Para avanzar en la madurez de la seguridad empresarial, las organizaciones deben seguir varios pasos clave: Evaluación inicial: realizar una auditoría completa de las actuales prácticas y políticas de seguridad para identificar las brechas y áreas de mejora. Desarrollo de una estrategia: crear una estrategia de seguridad alineada con los objetivos empresariales y los requisitos normativos. Capacitación y concienciación: educar a todos los empleados sobre la importancia de la seguridad y sus roles específicos en mantener un entorno seguro. Implementación de controles de seguridad: desplegar soluciones tecnológicas y procedimientos que aborden las vulnerabilidades identificadas. Monitoreo y mejora continua: establecer un sistema de monitoreo continuo y retroalimentación para ajustar y mejorar las prácticas de seguridad regularmente. En conclusión, la madurez en seguridad corporativa es un proceso continuo y esencial que permite a las empresas protegerse de manera efectiva contra las amenazas modernas. Al adoptar una cultura de mejora continua y cumplir con los marcos normativos establecidos, las organizaciones pueden asegurar un entorno más seguro y resiliente. María Teresa Vallés BoriConsultora de GRC
IA generativa: La clave en la eficiencia de la ciberseguridad
En la constante lucha contra las ciberamenazas, las organizaciones nos encontramos en una carrera perpetua para fortalecer nuestras defensas y proteger nuestros datos más sensibles. En este escenario, la Inteligencia Artificial (IA) ha emergido como un aliado indispensable, destacando a la IA generativa como una herramienta crucial en la ciberdefensa. 1. ¿Qué es la IA generativa? La IA generativa es una rama de la inteligencia artificial que se centra en la creación de datos nuevos, ya sean imágenes, texto, música o incluso código, imitando patrones y características de conjuntos de datos existentes. A diferencia del resto de ramas de la inteligencia artificial más tradicionales, que se basan en datos existentes para tomar decisiones, la IA generativa tiene la capacidad única de crear contenido nuevo y original. Seguramente hayas utilizado o hayas visto en uso alguna IA generativa. Un ejemplo del que todo el mundo habla es el modelo GPT-3 de OpenAI que crea texto y podemos mantener una conversión con él a través de un chat. Modelo que, por cierto, ya tiene una reciente actualización con GPT-4o. Pero este no es el único, también hay disponibles otros modelos muy variados como DALL-E para generar imágenes o incluso otros modelos como MusicLM que están diseñados para componer música. 2. Beneficios de la IA generativa para la ciberseguridad ¿Por qué decimos que la IA generativa se ha vuelto un aliado indispensable? Esta tecnología nos ofrece una serie de beneficios significativos para mejorar la eficiencia de la ciberseguridad: Generación de datos de entrenamiento: Una de las aplicaciones más importantes de la IA generativa en ciberseguridad es la generación de datos de entrenamiento. Con la capacidad de crear datos sintéticos (datos generados artificialmente) que imitan las características de los datos reales, la IA generativa puede ayudar a mejorar los modelos de detección de amenazas al proporcionar conjuntos de datos más diversos y completos. Simulación de ataques: Mediante la creación de escenarios realistas de ciberataques, la IA generativa permite a los equipos de seguridad probar y mejorar sus defensas en un entorno controlado. Esto ayuda a identificar vulnerabilidades y desarrollar estrategias de respuesta más efectivas. Detección de anomalías: Al analizar el comportamiento normal de los sistemas y usuarios, la IA generativa puede detectar anomalías sutiles que podrían indicar un ataque en curso. Esto permite una detección más rápida y precisa de las amenazas, reduciendo el tiempo de respuesta y mitigando el impacto de los ataques. 3. Desafíos de la inteligencia artificial en ciberseguridad A pesar de sus beneficios, la implementación de la IA en ciberseguridad no está exenta de desafíos. Algunos de los principales retos que lleva el uso de la IA generativa incluyen: Interpretación de Resultados: La IA generativa puede producir resultados sorprendentes, pero interpretar y validar estos resultados puede resultar complicado. Es fundamental contar con expertos en ciberseguridad que puedan analizar, contextualizar y evaluar los datos generados por la IA. Privacidad y Ética: La generación de datos sintéticos plantea preocupaciones éticas y de privacidad. Es crucial garantizar que esta generación de datos respete los principios de privacidad y no infrinja los derechos de los individuos. Adversarios Inteligentes: A medida que la IA se vuelve más sofisticada, también lo hacen las tácticas de los adversarios. Los atacantes pueden aprovechar la IA para desarrollar ataques más avanzados y difíciles de detectar, lo que subraya la necesidad de una constante innovación en la ciberdefensa. 4. Global Technology apuesta por la inteligencia artificial Desde Global Technology, reconocemos el papel fundamental que juega la IA generativa en la protección, tanto de nuestros clientes como de la nuestra propia, contra las ciberamenazas. Estamos comprometidos con la innovación continua y la adopción de tecnologías de vanguardia para fortalecer las defensas y garantizar la seguridad de los datos de las personas que confían en nosotros. Invertimos en investigación y desarrollo para mejorar nuestras capacidades de detección de amenazas. Desde nuestro equipo multidisciplinar que fomenta la estrecha colaboración de expertos en ciberseguridad y expertos en IA queremos aprovechar al máximo el potencial de esta tecnología. Además, nos comprometemos a abordar los desafíos éticos y de privacidad asociados con la IA generativa, asegurando que nuestras prácticas sean transparentes y respeten los más altos estándares. En definitiva, la IA generativa está transformando el panorama de la ciberseguridad, ofreciendo nuevas oportunidades para mejorar la eficiencia y la efectividad de nuestras defensas. Con un enfoque centrado en la innovación y el compromiso con la seguridad, nuestra empresa está preparada para enfrentar los desafíos del futuro de la ciberseguridad. Ines Aldea BlascoCoordinadora de ciber IA y gestión del dato
Ciberinteligencia en infraestructuras críticas
Los ciberataques son una de las amenazas más significativas que pueden afectar a cualquier organización a través de la ciberinteligencia y, por ende, a una infraestructura crítica. Hoy en día, estos ataques son cada vez más sofisticados, con múltiples vectores y menos predecibles, lo que convierte su detección en una tarea más desafiante. Si bien detrás de la mayoría de los ciberataques están personas o grupos guiados por una motivación económica (un claro ejemplo son los ataques basados en ransomware), en el caso de las infraestructuras críticas, se deben tener en cuenta, además, otro tipo de motivaciones. El impacto que la materialización de un ciberataque puede tener sobre una infraestructura crítica las convierte en objetivo prioritario de ataque de los grupos afines o patrocinados por Estados. Estos ataques están diseñados, no sólo para causar afecciones directas en el funcionamiento de las infraestructuras, sino también para desencadenar campañas de desprestigio y movilizaciones sociales en los países afectados. A qué amenazas se enfrentan las infraestructuras críticas En el ámbito de las infraestructuras críticas, se debe prestar especial atención a los ciberataques en los que se vislumbre la influencia de los Estados. Estos ciberataques suelen encuadrarse dentro de las amenazas conocidas como APT (Amenaza Persistente Avanzada), diseñadas para atacar mediante procesos sofisticados y permanecer ocultos dentro de la organización con el fin de desencadenar acciones de manera sigilosa. Los ataques dirigidos contra infraestructuras críticas tienen por objeto, en la mayoría de los casos, causar afecciones a la operación de los servicios que prestan más que a robar datos. No obstante, estas organizaciones no son ajenas a las amenazas que impactan sobre las infraestructuras IT. El malware, el ransomware, el phishing y los ataques de denegación de servicio distribuidos (DDoS) son, igualmente, una amenaza a tener en cuenta por las infraestructuras críticas. La evolución tecnológica esta promoviendo que infraestructuras críticas que hasta hace poco operaban de forma aislada se vayan incorporando a un escenario en el que predomina la interconexión entre dispositivos e, incluso, entre entidades de diferentes sectores. Esta circunstancia está exponiendo elementos de su infraestructura que hasta ahora permanecían ocultos. La caída de una de estas infraestructuras críticas podría causar una reacción en cadena que afectase a otras organizaciones. Muchas de estas infraestructuras críticas pertenecen a sectores donde su operación depende en gran medida de los sistemas de control industrial (ICS) que integran la infraestructura OT. La protección de estos dispositivos genera gran preocupación dado que la seguridad que se aplica no alcanza el nivel que sí se observa en los entornos IT. Es por ello qué los ciberatacantes están centrando sus esfuerzos en alterar el funcionamiento de sistemas fundamentales para la operación, como los SCADA. Por todo ello, las infraestructuras críticas necesitan dotarse de nuevos recursos defensivos que permitan hacer frente a estas amenazas. Es aquí donde entra en juego la ciberinteligencia o inteligencia de amenazas, también denominada CTI por sus siglas en inglés (Cyber Threat Intelligence). Información de ciberinteligencia Entre las muchas definiciones que podemos encontrar sobre el termino ciberinteligencia, una de las que mejor lo describe es la que propone el prestigioso SANS Institute al considerar la CTI como la información relativa a amenazas activas que puede ser aprovechada por la organización tanto para prevenir ataques futuros como para detectar aquellos que no se pueden revenir de una forma más rápida. Así pues, una estrategia de ciberseguridad que dé cabida a la ciberinteligencia pretende recopilar información sobre las amenazas que pueden acechar a una organización, analizarla, procesarla y entregarla a los diferentes grupos de interés para adoptar medidas de prevención o respuesta. La ciberinteligencia se posiciona como un recurso defensivo proactivo que permite anticipar y detectar ciberataques facilitando información tanto de amenazas existentes como de aquellas consideradas potenciales. En el proceso de generación de información de inteligencia, la primera tarea a realizar es la de identificar quiénes van a ser los consumidores principales de esa información. En base a ello, se puede clasificar la información de inteligencia en tres categorías: Inteligencia táctica: Se trata de información de uso inmediato, generalmente utilizada por parte del Centro de Operaciones de Seguridad (SOC) o por el Equipo de Respuesta a Incidentes (CSIRT) para detectar y responder a ciberataques en curso. La inteligencia táctica se centra, fundamentalmente, en el siguiente tipo de información: Indicadores de Compromiso (IoCs). Direcciones IP pertenecientes a activos maliciosos. Hashes de archivos involucrados en ataques de malware y ransomware. Inteligencia operativa: Se trata de información que permite adoptar medidas proactivas frente a posibles amenazas. Los consumidores de esta información son los responsables de la toma de decisiones en materia de ciberseguridad. La inteligencia operativa identifica actores maliciosos, vulnerabilidades, vectores de ataque y TTPs que puede afectar a la organización. En base a esta información se pueden establecer controles y adoptar medidas que frustren los ataques. Inteligencia estratégica: Se trata de información de alto nivel orientada a la toma de decisiones por parte de los equipos directivos de las organizaciones. Aquí, se suele encontrar información sobre el estado de la ciberseguridad en el sector y la coyuntura geopolítica. Esta información sirve para justificar inversiones y validar las estrategias de ciberseguridad. Fuentes de inteligencia El hecho de que las infraestructuras críticas sean un elemento esencial para el desarrollo de la actividad diaria de las personas y, en algunos casos, de la operación de los Estados, hace necesario ampliar la obtención de información más allá de los cauces habituales. El esfuerzo conjunto de los equipos de ciberseguridad para hacer frente a las amenazas que se ciñen sobre las infraestructuras críticas es una herramienta muy efectiva que se debe considerar. Un claro ejemplo es la iniciativa abanderada en España por el Centro Criptológico Nacional que se ha concretado en la creación de la Red Nacional de SOC. Aquí, los equipos de ciberseguridad públicos y privados comparten información de inteligencia a través de una plataforma de ciberinteligencia (TIP). La información aportada por los miembros sirve para anticipar posibles ciberataques y tomar medidas de prevención. Otra fuente de información de ciberinteligencia muy valiosa
Concienciación del papel del CISO en gobernanza y gestión de riesgo
¿Alguna vez te has preguntado quién es el responsable de los datos en tu organización? ¿Quién toma las riendas cuando surge un riesgo relacionado con las amenazas de ciberseguridad? La respuesta a estas preguntas es más compleja de lo que parece y subraya la importancia de comprender el papel crítico que desempeña el Chief Information Security Officer (CISO) en la gobernanza y gestión de riesgos dentro de las empresas. 1. ¿Qué es la gobernanza y gestión del riesgo? La gobernanza y gestión de riesgos es un marco esencial dentro de las organizaciones que busca identificar, evaluar y mitigar los riesgos que podrían afectar negativamente la realización de los objetivos de la empresa. Esta práctica no solo se enfoca en los riesgos financieros u operativos. Sino que también incluye aquellos relacionados con la ciberseguridad. Una gestión de riesgos efectiva es crucial para salvaguardar la integridad, la disponibilidad y la confidencialidad de la información crítica de la organización. 2. Funciones del CISO dentro de la organización Es aquí donde nos encontramos con el rol del CISO, que juega un papel fundamental en la estructura organizacional, siendo el responsable de establecer y mantener el programa de seguridad de la información de la empresa. Esto incluye la definición de políticas y procedimientos de seguridad, la supervisión de la evaluación de riesgos y la implementación de estrategias de mitigación. No solo esto, si no que el CISO es el encargado de comunicar los riesgos de ciberseguridad al resto de la dirección, asegurando que estén informados para tomar decisiones estratégicas basadas en el riesgo. Y es aquí donde surgen las dudas. 3. Liderazgo de la gobernanza y gestión del riesgo El riesgo, en el contexto de la seguridad de la información y ciberseguridad, se refiere a la posibilidad de que se materialice una amenaza, explotando una vulnerabilidad específica, lo que resultaría en un impacto negativo para la organización. Es decir, es una medida de la extensión del daño o pérdida que podría ocurrir debido a una brecha de seguridad o incidente. Y es aquí donde el CISO para liderar en la gobernanza y gestión de riesgos no solo tiene que entender las amenazas y sus posibles impactos, sino que tiene que ser capaz de guiar a la organización en la toma de decisiones informadas respecto a la seguridad. El CISO debe ser un líder que trabaje en conjunto con otros departamentos y funciones dentro de la empresa. Principalmente porque no puede ser conocedor de toda la información acerca de los impactos negativos que puede acarrear en todas áreas o departamentos y lo segundo, para asegurar una estrategia de seguridad integrada y coherente. ¿Esto es habitual? Menos de lo que tú te creerías… 4. Ventajas de contar con un Chief Information Security Officer Tener un CISO dentro de la organización aporta numerosas ventajas. Esta figura no solo ayuda a proteger contra las amenazas de ciberseguridad, sino que también contribuye al éxito empresarial al asegurar que los riesgos se gestionen de manera proactiva. El CISO facilita la alineación de las estrategias de seguridad con los objetivos de negocio, promueve una cultura de seguridad entre los empleados y garantiza el cumplimiento de las regulaciones vigentes en materia de protección de datos. Es por ello donde se intenta buscar una visión del riesgo global. Donde cada individuo, responsable, o rol se responsabilice de los datos que a él le corresponda siendo estos figuras clave para entender el impacto al que se tiene que atener la empresa en caso de que esa amenaza vulnere la brecha o incidencia identificada. 5. Mi punto de vista. Desde mi perspectiva, existe una confusión generalizada respecto a las responsabilidades asignadas al CISO. A menudo, se le atribuye la responsabilidad total de los datos de la organización, lo cual es una simplificación excesiva de su rol. Aunque el CISO entiende las amenazas y puede guiar al CEO o a la empresa en la toma de decisiones estratégicas, no debe ser visto como el único conocedor del riesgo de cada amenaza. En cambio, debería ser parte de un equipo multifuncional que apoye a la dirección, contribuyendo a la definición de estrategias y orientando las decisiones de la empresa. La gestión de riesgos, especialmente en el ámbito de la ciberseguridad, debe ser un esfuerzo colaborativo que trascienda la responsabilidad individual del CISO. En conclusión, la concienciación sobre el papel del CISO en la gobernanza y gestión de riesgos es crucial para el éxito organizacional. Comprender este papel no solo ayuda a mejorar la postura de seguridad de la empresa, sino que también asegura una gestión de riesgos más efectiva y alineada con los objetivos empresariales. ¿Qué opináis vosotros? Ladix CaballeroIngeniero Preventa de Global Technology
Desafíos actuales en ciberseguridad: Normativa Europea en Inteligencia Artificial
En el vertiginoso avance de la tecnología, la inteligencia artificial (IA) ha emergido como una fuerza transformadora en diversos sectores, desde la atención médica hasta las finanzas. Sin embargo, a medida que estas soluciones se vuelven omnipresentes, se ha establecido una nueva normativa Europea en inteligencia artificial para abordar aspectos cruciales como el cumplimiento normativo, la protección de datos y los temas de propiedad intelectual. Novedades regulatorias: la primera normativa Europea en inteligencia artificial El pasado mes de diciembre el Consejo y el Parlamento Europeo lograron un acuerdo provisional sobre el primer Reglamento de Inteligencia Artificial (IA). Este acontecimiento se origina en la propuesta de la Comisión Europea en 2021, que buscaba crear el primer marco regulador de la Unión Europea para la IA. Objetivos claves: seguridad, derechos ciudadanos e innovación La nueva ley de IA tiene dos objetivos fundamentales: garantizar la seguridad y el respeto de los derechos de los ciudadanos en el uso de sistemas de inteligencia artificial en la Unión Europea y fomentar la inversión y la innovación en este ámbito en Europa. Según el acuerdo, el reglamento entrará en vigor dos años después de su aplicación. Este reglamento se posiciona como la primera propuesta legislativa mundial sobre inteligencia artificial, potencialmente estableciendo un estándar global para la regulación de la IA en otras jurisdicciones. La ley clasificará los sistemas de IA en función de sus riesgos, imponiendo normas más estrictas a medida que aumenta el nivel de riesgo asociado. Principales aspectos de la normativa Europea en inteligencia artificial: definiciones y exclusiones claras El acuerdo provisional adopta la definición de sistema de IA propuesta por la OCDE, estableciendo criterios claros para distinguir estos sistemas de otros softwares más simples. Además, se especifica que el reglamento no se aplicará a áreas fuera del ámbito de aplicación del Derecho de la UE y no interferirá con las competencias de los Estados miembros en seguridad nacional, ni afectará a sistemas utilizados con fines militares o de defensa, investigación e innovación. Sistemas de IA de alto riesgo y prácticas prohibidas Se han establecido criterios horizontales de protección para determinar cuándo los sistemas de IA pueden causar daños significativos a la sociedad. Aquellos que presenten riesgos elevados estarán sujetos a requisitos y obligaciones específicos para acceder al mercado de la UE, mientras que el uso de sistemas con riesgos inaceptables quedará totalmente prohibido. Ejemplos de prácticas prohibidas incluyen la manipulación cognitiva conductual y el rastreo indiscriminado de imágenes faciales de internet. Protección de derechos fundamentales y transparencia El reglamento subraya la importancia de evaluar el impacto en los derechos fundamentales antes de introducir nuevos sistemas de IA en el mercado. Los modelos funcionales, sistemas de gran magnitud que abarcan diversas tareas, deben cumplir con obligaciones más específicas en términos de transparencia. Además, se destaca la obligación de los usuarios de sistemas de reconocimiento de emociones de informar a las personas expuestas a dicho sistema. Propiedad intelectual y patentes en IA La UE reconoce la importancia de abordar la propiedad intelectual en el contexto de la inteligencia artificial, especialmente cuando se trata de la creación de algoritmos avanzados y sistemas autónomos. La legislación busca clarificar y definir los derechos de propiedad intelectual en situaciones donde la contribución de sistemas de IA es significativa. En particular: Titularidad de las invenciones: se establecen directrices claras sobre quién posee los derechos de propiedad intelectual cuando se trata de invenciones generadas por sistemas de IA. La legislación fomenta un equilibrio justo entre los derechos de los creadores humanos y las contribuciones de la IA. Colaboración entre humanos y sistemas de IA: la normativa aborda específicamente los casos en los que la creación intelectual es el resultado de la colaboración entre humanos y sistemas de IA. Se busca garantizar una asignación adecuada de los derechos, incentivando la colaboración y la innovación conjunta. Protección de Datos en Conformidad con el RGPD En cuanto a la protección de datos, la UE refuerza las disposiciones existentes bajo el Reglamento General de Protección de Datos (RGPD) y las adapta para abordar los retos que plantea la inteligencia artificial. Las regulaciones incluyen: Transparencia y explicabilidad: se exige una mayor transparencia en el uso de algoritmos de IA, especialmente en situaciones que afectan a los derechos y libertades individuales. Además, se establecen requisitos para garantizar la explicabilidad de las decisiones automatizadas, permitiendo a las personas comprender y cuestionar las decisiones tomadas por sistemas de IA. Evaluaciones de impacto en la protección de datos: se insta a las organizaciones a realizar evaluaciones de impacto en la protección de datos cuando implementan sistemas de IA que pueden implicar un riesgo significativo para los derechos y libertades de las personas. Esto ayuda a anticipar y abordar posibles riesgos antes de la implementación completa. Normativas Globales y Coherentes para un Futuro Sostenible La UE ha destacado la importancia de una cooperación internacional sólida en el ámbito normativo de la IA. Busca trabajar de la mano con otros actores globales para establecer estándares comunes que fomenten la innovación, protejan los derechos individuales y aborden los desafíos éticos y de seguridad asociados con la inteligencia artificial. Global Technology y la normativa Europea en inteligencia artificial Global Technology puede ayudarte a cumplir con las normativas utilizando inteligencia artificial, gracias a nuestra experiencia especializada y profundo conocimiento de las regulaciones, en particular, las establecidas por la nueva normativa Europea en inteligencia artificial . Destacamos por la capacidad de integrar de manera efectiva tecnologías emergentes, garantizando soluciones flexibles y a la vanguardia de las exigencias regulatorias en constante evolución. Nos centramos en un enfoque transparente y ético, enfocado en la comprensión y explicabilidad de las decisiones automatizadas, así como nuestro compromiso firme con la privacidad y protección de datos conforme al RGPD. Estamos comprometidos con la excelencia y ofrecemos una colaboración proactiva con entidades regulatorias, asegurando que tu empresa esté a la vanguardia de la innovación cumpliendo con los más altos estándares normativos. María Teresa Vallés BoriConsultora de GRC
Riesgos de la Inteligencia Artificial en ciberseguridad
En este último año hemos vivido acontecimientos históricos como la publicación de ChatGPT, que han permitido la democratización de la inteligencia artificial. Este hecho ha supuesto un gran paso haciéndola accesible a mucha gente pero, ¿conocemos todos los riesgos que conlleva el uso de la inteligencia artificial? Vulnerabilidades más complejas Con el auge del uso de la inteligencia artificial no podemos dejar de lado las vulnerabilidades que implican la implementación de una IA. Al igual que en el resto de tecnológicas, en la inteligencia artificial también existen vulnerabilidades que nos pueden poner en un compromiso. Las dos vulnerabilidades más destacables son el envenenamiento de datos y los “adversarial attacks”. Ambas relacionadas con la gran dependencia de la inteligencia artificial con los datos. El envenenamiento de datos consiste en inyectar datos maliciosos en el conjunto de entrenamiento del modelo de IA para distorsionar el comportamiento del modelo. Asimismo, los “adversarial attacks” manipulan sutilmente las entradas con cambios sutiles que llevan a la IA a la predicción incorrecta. Pero estas no son las únicas preocupaciones en la implantación de la IA. Otros ejemplos son: La fragilidad de los modelos que implica que pequeños cambios en los datos pueden dar resultados muy dispares. La violación de la privacidad ya que hay muchos modelos que requieren de datos confidenciales o personales. La falta de explicabilidad de los resultados en aplicaciones donde sea crucial entender las decisiones finales y los algoritmos considerados como “cajas negras”. Ciberataques contra la IA Un ciberataque contra la IA es la manipulación intencionada de un sistema con esta tecnología con el fin de provocar un mal funcionamiento. Los ciberataques habituales se benefician de los errores cometidos por los programadores o por los usuarios. Por el contrario, los ataques contra la IA explotan las limitaciones intrínsecas de los algoritmos subyacentes. Como consecuencia, la mitigación tradicional de vulnerabilidades corrigiendo errores, aplicando de parches o educando de los usuarios no servirá completamente. Las propias características de los modelos actuales crean vulnerabilidades explotables para los atacantes. Sin embargo, a pesar de las diferencias, ambos están muy relacionados. Muchos ataques contra la IA se ven favorecidos por el acceso a activos obtenidos a través de los ataques que comprometen la confidencialidad e integridad de los sistemas. Por lo tanto, es muy importante aplicar una ciberdefensa robusta para protegerse. Security-by-design en los sistemas de IA Security-by-design es un enfoque de la ciberseguridad en el cual se integran las medidas de seguridad desde las primeras fases de un proyecto. Es decir, no se toma la seguridad como una característica adicional, sino que se considera uno de los objetivos. En relación con la inteligencia artificial, este enfoque se puede plantear de la siguiente manera: Diseño seguro: es importante hacer énfasis en el modelado de amenazas y su impacto desde el primer momento. Desarrollo e implementación segura: se recomienda crear protocolos para informar sobre las amenazas modelizadas. Mantenimiento y operatividad segura: haciendo una vigilancia constante del sistema de IA. De esta manera, se minimizarán riesgos permitiendo mantener los datos no corruptos para el entrenamiento de la IA, control del acceso a estos o a otros activos del sistema entre otros. Además, este planteamiento permite tener detecciones de posibles amenazas para prevenir riesgos en estos sistemas. Hacktivistas unidos a la Inteligencia Artificial El auge de la inteligencia artificial junto con su democratización ha permitido a los hacktivistas utilizar esta tecnología. La inestabilidad internacional junto a estas herramientas ha derivado en un aumento en el riesgo de la ciberseguridad. La metodología de los ciberdelincuentes ha cambiado. Herramientas como ChatGPT e incluso sus alternativas “malvadas” como WormGPT, permiten el desarrollo de malwares o contenidos maliciosos sin ser un experto. Estas herramientas no solo generan ciberdelincuentes cada vez más preparados. A su vez, hacen que ataques de phishing cada vez sean más realistas y, cada vez menos perceptibles. Falta de regulación de la IA Está claro que el auge de la inteligencia artificial está cambiando nuestras vidas. Al igual que puede ayudarnos y hacer infinitud de cosas buenas, también se puede revertir y causar el efecto contrario. ¿De quién son los derechos de las imágenes creadas? ¿Cuál es el límite? ¿Qué es lo que está permitido y lo qué no? Por el momento no hay normas claras que regulen el uso de esta tecnología para su uso ético y responsable. La unión europea es la primera que presenta un proyecto firme de Ley de Inteligencia Artificial tras su acuerdo de diciembre de 2023. Actualmente, este acuerdo político está sujeto a su aprobación formal por el Parlamento Europeo y del Consejo. Tras esta aprobación estaríamos ante el primer marco jurídico global sobre inteligencia artificial en todo el mundo. Desde Global Technology podemos ayudarte con los riesgos de la Inteligencia Artificial Casi cada día vemos actualizaciones o mejoras de nuestra tecnología y, la inteligencia artificial no se queda atrás en este aspecto. Al igual que las mejoras, los riesgos o las vulnerabilidades también se van actualizando y, es importante conocerlas. Desde el equipo de Global Technology te podemos ayudar en la detección de los riesgos, la implantación de inteligencias artificiales o las dudas que te surjan en este nuevo mundo que está emergiendo. Ines Aldea BlascoCoordinadora de ciber IA y gestión del dato
Conoce por qué la ciberseguridad es esencial para el éxito de tu estrategia digital
En la era digital, donde la información se mueve a gran velocidad y los cambios se realizan en un abrir y cerrar de ojos. La ciberseguridad se ha convertido en un pilar fundamental para cualquier empresa que busque progresar en el mundo digital. Ya sea una pequeña empresa o una multinacional, la protección de los datos y sistemas informáticos es crucial para garantizar la continuidad del negocio y mantener la confianza del cliente. Ciberseguridad la base de cualquier estrategia digital Hoy en día donde la información es lo más valioso y los riesgos relacionados a la ciberseguridad son cada vez más complejos. Los ciberdelincuentes aprovechan cualquier brecha de seguridad para acceder a datos sensibles, comprometer la integridad de los sistemas y ponen en peligro la reputación de la empresa por eso es imprescindible contar con una estrategia digital sólida. Entre los riesgos más comunes se encuentran: Ataques cibernéticos: Hackers, malware, phishing y otras amenazas pueden poner en riesgo tu información y sistemas. Robo de datos: La información confidencial de tus clientes o empleados puede ser robada y utilizada para fines fraudulentos. Paradas del servicio: Los ataques cibernéticos pueden causar caídas del sitio web, aplicaciones o sistemas, lo que afecta tu productividad y ventas. Daños a la imagen: Una brecha de seguridad puede dañar la imagen y la confianza de tus clientes. Elementos esenciales para una estrategia digital segura Para construir una estrategia digital con ciberseguridad sólida, es fundamental considerar los siguientes elementos: Evaluación de Riesgos: Identificar y evaluar los riesgos específicos a los que está expuesta la empresa, tanto internos como externos. Área Consultoría. Implementación de Medidas Preventivas: Instalar firewalls, sistemas de detección de intrusiones, antivirus y otras herramientas de seguridad para proteger los sistemas y redes de la empresa. Área ciberproteccion. Plan de Respuesta ante Incidentes: Desarrollar un plan de acción claro y eficiente para responder rápidamente a posibles incidentes de seguridad y minimizar su impacto. Área SOC. Realiza auditorías y pruebas: Es fundamental evaluar regularmente tu seguridad para identificar y corregir vulnerabilidades. Área Pentesting. Formación y Concienciación: Capacitar a los empleados en prácticas seguras de navegación y manejo de datos, y fomentar una cultura de seguridad cibernética en toda la organización. Área Pentesting. Ventajas de incluir la ciberseguridad en la estrategia empresarial Una buena estrategia digital de seguridad trae unas ventajas que no se limitan solo a proteger la información: Confianza del Cliente: La implementación de medidas de seguridad efectivas ayuda a construir y mantener la confianza del cliente, demostrando un compromiso con la protección de su información personal y financiera. Continuidad del Negocio: Al minimizar la posibilidad de interrupciones en los servicios digitales, la ciberseguridad garantiza la continuidad del negocio y evita pérdidas financieras y de productividad. Cumplimiento Normativo: Muchas industrias están sujetas a regulaciones estrictas en cuanto a la protección de datos. Cumplir con estas normativas no solo evita sanciones legales, sino que también demuestra un compromiso con la ética y la responsabilidad empresarial. Área GRC. Innovación Segura: Una infraestructura digital segura proporciona un entorno propicio para la innovación y el desarrollo de nuevas tecnologías. Cuenta con un partner de confianza para la ciberseguridad global de tu estrategia empresarial Un socio de confianza en ciberseguridad como Global Technology, debe estar al tanto de las últimas tendencias y desarrollos en el campo de la seguridad informática, y ser capaz de adaptarse rápidamente a un entorno digital en constante evolución. Al externalizar las funciones de ciberseguridad a un experto externo, las empresas pueden beneficiarse de una mayor eficiencia y agilidad, así como de un acceso a tecnologías y conocimientos de vanguardia que de otro modo podrían ser difíciles de alcanzar. En última instancia, invertir en ciberseguridad es invertir en la protección y el futuro de la empresa. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Evaluando nuestra ciberseguridad: la metodología C2M2
La ciberseguridad forma parte de nuestro día a día, y cada vez estamos más concienciados de que necesitamos proteger nuestra información y activos lógicos. Así, nos aseguramos de que podremos mitigar o incluso evitar incidentes de seguridad, y de que podremos continuar prestando nuestros servicios y recuperarnos más rápido ante desastres. Pero ¿cómo saber si lo que estamos haciendo es suficiente? ¿Cómo podemos saber que estamos adoptando un enfoque de seguridad adecuado? En este artículo presentamos la metodología C2M2, que nos permite evaluar la madurez de nuestra ciberseguridad de manera sencilla y compartir mejores prácticas. De esta manera, logramos un tejido empresarial y, en última instancia, una sociedad más seguros. ¿Qué es la metodología C2M2? La metodología C2M2, por sus siglas en inglés «Cybersecurity Capability Maturity Model», es un marco desarrollado por el Departamento de Energía de los Estados Unidos. C2M2 nos ofrece una estructura para evaluar la madurez y mejorar la ciberseguridad en infraestructuras críticas y organizaciones de todos los sectores y tamaños. De esta manera, nos aseguramos estar mejor alineados con normativas y estándares internacionales. Por ejemplo, la normativa NIST o la ISO27001. La metodología C2M2 está pensada para activos IT y OT, y los entornos en los que operan. Asimismo, debemos tener en cuenta que no integra o reemplaza otros enfoques, normativas o programas de ciberseguridad. Tampoco es parte de ningún marco legal, ni tiene espíritu regulador. Por el contrario, debemos entenderla como una herramienta corporativa más, destinada a mejorar nuestra resiliencia digital. ¿Cómo se estructura la C2M2? ¿Qué abarca? Este modelo se centra en áreas clave como la gestión de riesgos, la protección de activos, la detección de amenazas, la respuesta a incidentes y la recuperación. A través de sus diferentes apartados, medimos nuestra madurez en 10 grandes dominios: Gestión de activos. Gestión de amenazas. Gestión de riesgos. Gestión de la identidad y acceso. Monitorización y análisis de eventos. Respuesta a incidentes y continuidad. Proveedores y terceros Gestión del personal. Arquitectura de ciberseguridad. Gestión del programa de ciberseguridad. Como resultado, obtenemos un informe detallado del estado actual de nuestra ciberseguridad, que nos permite partir de una base sólida desde la que elaborar un programa de ciberseguridad adaptado a la situación y necesidades específicas de nuestra organización. ¿Cómo nos puede ayudar utilizar la metodología C2M2? El modelo puede usarse por empresas de cualquier sector, tamaño o industria, dentro del ámbito IT y OT. Dentro de éstas, puede resultar especialmente útil para: Guiarnos en la asignación de recursos y la gestión de riesgos. Los primeros son limitados, mientras que los segundos crecen cada año. En este sentido, la metodología C2M2 nos ayuda a priorizar acciones de cara a reducir tanto la posibilidad como el impacto de la materialización de amenazas. Ayudarnos a gestionar recursos organizacionales y controlar operaciones relacionadas con la ciberseguridad. La C2M2 nos dota de un marco de gestión mínimo que nos ayudará tanto en el día a día como ante eventos extraordinarios. ¿Qué beneficios aporta implantar la metodología C2M2 en nuestra organización? Este modelo nos aporta múltiples ventajas, tales como: Fortalecer la ciberseguridad de nuestra organización. Facilitar la evaluación efectiva y consistente de la madurez de nuestra ciberseguridad. Compartir conocimiento, mejores prácticas y referencias relevantes entre organizaciones para mejorar la ciberseguridad, a través de la anonimización y difusión de los resultados. Ello busca incrementar la seguridad del tejido empresarial en conjunto, y también nos permite medir nuestro nivel de madurez frente a nuestros competidores. Facilitar la priorización de acciones de mejora e inversiones en ciberseguridad. ¿Cómo te podemos ayudar desde Global Technology? Desde el departamento de GRC de Global Technology te ayudamos a medir y mejorar tu ciberseguridad basándonos en el modelo de análisis C2M2, tanto si lo que deseas es meramente conocer la robustez de tu seguridad, como si buscas un Plan Director de Seguridad que te ayude a identificar y priorizar acciones de mejora. Te acompañamos durante todo el camino y te asesoramos de forma integral para darte la solución que mejor se adapte a tus necesidades. Si quieres más información sobre cómo te podemos ayudar a implantar la metodología C2M2, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia. Itxaso Iturriaga