Conoce por qué la ciberseguridad es esencial para el éxito de tu estrategia digital
En la era digital, donde la información se mueve a gran velocidad y los cambios se realizan en un abrir y cerrar de ojos. La ciberseguridad se ha convertido en un pilar fundamental para cualquier empresa que busque progresar en el mundo digital. Ya sea una pequeña empresa o una multinacional, la protección de los datos y sistemas informáticos es crucial para garantizar la continuidad del negocio y mantener la confianza del cliente. Ciberseguridad la base de cualquier estrategia digital Hoy en día donde la información es lo más valioso y los riesgos relacionados a la ciberseguridad son cada vez más complejos. Los ciberdelincuentes aprovechan cualquier brecha de seguridad para acceder a datos sensibles, comprometer la integridad de los sistemas y ponen en peligro la reputación de la empresa por eso es imprescindible contar con una estrategia digital sólida. Entre los riesgos más comunes se encuentran: Ataques cibernéticos: Hackers, malware, phishing y otras amenazas pueden poner en riesgo tu información y sistemas. Robo de datos: La información confidencial de tus clientes o empleados puede ser robada y utilizada para fines fraudulentos. Paradas del servicio: Los ataques cibernéticos pueden causar caídas del sitio web, aplicaciones o sistemas, lo que afecta tu productividad y ventas. Daños a la imagen: Una brecha de seguridad puede dañar la imagen y la confianza de tus clientes. Elementos esenciales para una estrategia digital segura Para construir una estrategia digital con ciberseguridad sólida, es fundamental considerar los siguientes elementos: Evaluación de Riesgos: Identificar y evaluar los riesgos específicos a los que está expuesta la empresa, tanto internos como externos. Área Consultoría. Implementación de Medidas Preventivas: Instalar firewalls, sistemas de detección de intrusiones, antivirus y otras herramientas de seguridad para proteger los sistemas y redes de la empresa. Área ciberproteccion. Plan de Respuesta ante Incidentes: Desarrollar un plan de acción claro y eficiente para responder rápidamente a posibles incidentes de seguridad y minimizar su impacto. Área SOC. Realiza auditorías y pruebas: Es fundamental evaluar regularmente tu seguridad para identificar y corregir vulnerabilidades. Área Pentesting. Formación y Concienciación: Capacitar a los empleados en prácticas seguras de navegación y manejo de datos, y fomentar una cultura de seguridad cibernética en toda la organización. Área Pentesting. Ventajas de incluir la ciberseguridad en la estrategia empresarial Una buena estrategia digital de seguridad trae unas ventajas que no se limitan solo a proteger la información: Confianza del Cliente: La implementación de medidas de seguridad efectivas ayuda a construir y mantener la confianza del cliente, demostrando un compromiso con la protección de su información personal y financiera. Continuidad del Negocio: Al minimizar la posibilidad de interrupciones en los servicios digitales, la ciberseguridad garantiza la continuidad del negocio y evita pérdidas financieras y de productividad. Cumplimiento Normativo: Muchas industrias están sujetas a regulaciones estrictas en cuanto a la protección de datos. Cumplir con estas normativas no solo evita sanciones legales, sino que también demuestra un compromiso con la ética y la responsabilidad empresarial. Área GRC. Innovación Segura: Una infraestructura digital segura proporciona un entorno propicio para la innovación y el desarrollo de nuevas tecnologías. Cuenta con un partner de confianza para la ciberseguridad global de tu estrategia empresarial Un socio de confianza en ciberseguridad como Global Technology, debe estar al tanto de las últimas tendencias y desarrollos en el campo de la seguridad informática, y ser capaz de adaptarse rápidamente a un entorno digital en constante evolución. Al externalizar las funciones de ciberseguridad a un experto externo, las empresas pueden beneficiarse de una mayor eficiencia y agilidad, así como de un acceso a tecnologías y conocimientos de vanguardia que de otro modo podrían ser difíciles de alcanzar. En última instancia, invertir en ciberseguridad es invertir en la protección y el futuro de la empresa. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Evaluando nuestra ciberseguridad: la metodología C2M2
La ciberseguridad forma parte de nuestro día a día, y cada vez estamos más concienciados de que necesitamos proteger nuestra información y activos lógicos. Así, nos aseguramos de que podremos mitigar o incluso evitar incidentes de seguridad, y de que podremos continuar prestando nuestros servicios y recuperarnos más rápido ante desastres. Pero ¿cómo saber si lo que estamos haciendo es suficiente? ¿Cómo podemos saber que estamos adoptando un enfoque de seguridad adecuado? En este artículo presentamos la metodología C2M2, que nos permite evaluar la madurez de nuestra ciberseguridad de manera sencilla y compartir mejores prácticas. De esta manera, logramos un tejido empresarial y, en última instancia, una sociedad más seguros. ¿Qué es la metodología C2M2? La metodología C2M2, por sus siglas en inglés «Cybersecurity Capability Maturity Model», es un marco desarrollado por el Departamento de Energía de los Estados Unidos. C2M2 nos ofrece una estructura para evaluar la madurez y mejorar la ciberseguridad en infraestructuras críticas y organizaciones de todos los sectores y tamaños. De esta manera, nos aseguramos estar mejor alineados con normativas y estándares internacionales. Por ejemplo, la normativa NIST o la ISO27001. La metodología C2M2 está pensada para activos IT y OT, y los entornos en los que operan. Asimismo, debemos tener en cuenta que no integra o reemplaza otros enfoques, normativas o programas de ciberseguridad. Tampoco es parte de ningún marco legal, ni tiene espíritu regulador. Por el contrario, debemos entenderla como una herramienta corporativa más, destinada a mejorar nuestra resiliencia digital. ¿Cómo se estructura la C2M2? ¿Qué abarca? Este modelo se centra en áreas clave como la gestión de riesgos, la protección de activos, la detección de amenazas, la respuesta a incidentes y la recuperación. A través de sus diferentes apartados, medimos nuestra madurez en 10 grandes dominios: Gestión de activos. Gestión de amenazas. Gestión de riesgos. Gestión de la identidad y acceso. Monitorización y análisis de eventos. Respuesta a incidentes y continuidad. Proveedores y terceros Gestión del personal. Arquitectura de ciberseguridad. Gestión del programa de ciberseguridad. Como resultado, obtenemos un informe detallado del estado actual de nuestra ciberseguridad, que nos permite partir de una base sólida desde la que elaborar un programa de ciberseguridad adaptado a la situación y necesidades específicas de nuestra organización. ¿Cómo nos puede ayudar utilizar la metodología C2M2? El modelo puede usarse por empresas de cualquier sector, tamaño o industria, dentro del ámbito IT y OT. Dentro de éstas, puede resultar especialmente útil para: Guiarnos en la asignación de recursos y la gestión de riesgos. Los primeros son limitados, mientras que los segundos crecen cada año. En este sentido, la metodología C2M2 nos ayuda a priorizar acciones de cara a reducir tanto la posibilidad como el impacto de la materialización de amenazas. Ayudarnos a gestionar recursos organizacionales y controlar operaciones relacionadas con la ciberseguridad. La C2M2 nos dota de un marco de gestión mínimo que nos ayudará tanto en el día a día como ante eventos extraordinarios. ¿Qué beneficios aporta implantar la metodología C2M2 en nuestra organización? Este modelo nos aporta múltiples ventajas, tales como: Fortalecer la ciberseguridad de nuestra organización. Facilitar la evaluación efectiva y consistente de la madurez de nuestra ciberseguridad. Compartir conocimiento, mejores prácticas y referencias relevantes entre organizaciones para mejorar la ciberseguridad, a través de la anonimización y difusión de los resultados. Ello busca incrementar la seguridad del tejido empresarial en conjunto, y también nos permite medir nuestro nivel de madurez frente a nuestros competidores. Facilitar la priorización de acciones de mejora e inversiones en ciberseguridad. ¿Cómo te podemos ayudar desde Global Technology? Desde el departamento de GRC de Global Technology te ayudamos a medir y mejorar tu ciberseguridad basándonos en el modelo de análisis C2M2, tanto si lo que deseas es meramente conocer la robustez de tu seguridad, como si buscas un Plan Director de Seguridad que te ayude a identificar y priorizar acciones de mejora. Te acompañamos durante todo el camino y te asesoramos de forma integral para darte la solución que mejor se adapte a tus necesidades. Si quieres más información sobre cómo te podemos ayudar a implantar la metodología C2M2, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia. Itxaso Iturriaga
El cambio generacional en la era digital: velocidad, tecnología y la imperativa necesidad de ciberseguridad
La era digital ha acelerado de manera sin precedentes el cambio generacional. Las nuevas generaciones, nativas digitales, se adaptan rápidamente a los avances tecnológicos, mientras que las generaciones anteriores se esfuerzan por mantenerse al día. Este artículo explora la velocidad de este cambio generacional, la importancia de la tecnología en nuestra sociedad actual y la necesidad crítica de proteger estas innovaciones y a sus usuarios a través de la ciberseguridad. Velocidad del cambio generacional El cambio generacional se refiere a la transición de una generación a otra, marcada por diferencias en valores, actitudes y comportamientos. En el pasado, este cambio era gradual, permitiendo una adaptación natural y progresiva. Sin embargo, la revolución digital ha acelerado este proceso. La generación del milenio y la Generación Z, han crecido en un mundo donde la tecnología es omnipresente, lo que ha resultado en una brecha generacional más pronunciada en cuanto a la adopción y comprensión de la tecnología. Importancia de la tecnología La tecnología es una fuerza motriz en casi todos los aspectos de la vida moderna. Ha transformado la forma en que nos comunicamos, trabajamos, aprendemos y nos entretenemos. La pandemia de COVID-19 ha evidenciado aún más esta realidad, obligando a personas de todas las edades a adaptarse a herramientas digitales para el trabajo remoto, la educación en línea y el ocio digital. Esto ha acelerado aún más la adopción tecnológica en generaciones que anteriormente eran menos dependientes de estas herramientas. Ciberseguridad: una necesidad imperativa Con el aumento de la dependencia de la tecnología, la ciberseguridad se ha convertido en un campo de vital importancia. La protección de datos personales y empresariales contra ciberataques es crucial. Las generaciones más jóvenes, aunque hábiles en el uso de tecnología, pueden ser a menudo complacientes respecto a los riesgos de seguridad. Por otro lado, las generaciones mayores pueden carecer del conocimiento necesario para protegerse en el entorno digital. Esto destaca la necesidad de educación y concienciación sobre ciberseguridad para todas las edades. Conclusión: la importacia de la concienciación y la formación en la era digital En conclusión, la velocidad del cambio generacional en la era digital presenta tanto oportunidades como desafíos. La educación y la sensibilización sobre ciberseguridad son fundamentales en este contexto. La formación debe ser inclusiva y adaptarse a las diferentes competencias y necesidades de cada generación, asegurando un enfoque continuo y evolutivo acorde con los cambios en el panorama de amenazas cibernéticas. Preparar a todas las generaciones para enfrentar y superar los desafíos de seguridad digital es fundamental para asegurar un futuro digital seguro y próspero. La concienciación y la formación en ciberseguridad deben ser vistas como inversiones esenciales en el capital humano de nuestra sociedad, garantizando así que todos puedan navegar por el cambiante paisaje digital con confianza y seguridad. Si bien el cambio climático ha capturado la atención mundial con campañas intensivas sobre la concienciación y la acción, como el reciclaje y la sostenibilidad, la sociedad aún no ha generado un ruido similar respecto al vertiginoso cambio generacional impulsado por la tecnología. Es crucial que iniciemos un diálogo global igualmente vigoroso para educar y apoyarnos mutuamente en la navegación segura y eficaz de este paisaje digital en constante evolución, al igual que nos unimos en la lucha contra el cambio climático. En este contexto, desde Global Technology, ofrecemos nuestro servicio de concienciación, upskilling y reskilling, un programa diseñado para proporcionar formación en ciberseguridad, accesible a personas de todas las edades. Este enfoque integral es un paso esencial para empoderar a las comunidades en la era digital, equipándolas con las habilidades necesarias para enfrentar desafíos tecnológicos con confianza y seguridad Anna GardoDesarrollo de Negocio en Global Technology
Seguridad en infraestructuras críticas en España
Nuestro día a día está intrínsecamente conectado a las Infraestructuras Críticas. Desde la electricidad que alimenta nuestros hogares hasta el suministro de agua potable, el transporte que tomamos para ir al trabajo o los servicios de salud a los que acudimos al enfermar, dependemos de estas infraestructuras para satisfacer nuestras necesidades básicas y realizar actividades diarias. Ello supone que cualquier disrupción o incidente que éstas sufran tiene un impacto inmediato en nuestra calidad de vida, la economía y la estabilidad social. Por tanto, es esencial que se encuentren debidamente protegidas, de manera que podamos prevenir, evitar y mitigar daños. En el siguiente artículo, exploramos cómo podemos hacerlo, de acuerdo con la legislación vigente y las Guías de buenas prácticas del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). ¿Qué son las infraestructuras críticas? La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas define en su artículo 2 qué debemos entender como “Infraestructura Crítica”: Son “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. En otras palabras, son las instalaciones, redes y sistemas que sustentan los servicios que mantienen las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de un país, o sus instituciones y Administraciones Públicas, y no hay posibilidad de que otra infraestructura las reemplace o cubra sus funciones en caso de interrupción o incidente. Las Infraestructuras Críticas pertenecen o están a cargo de un Operador Crítico designado como tal por la Comisión Nacional para la Protección de las Infraestructuras Críticas, y éste puede pertenecer al sector público o privado. ¿Qué sectores hay con infraestructuras críticas en España? Las Infraestructuras Críticas se clasifican entre 12 posibles sectores estratégicos, los cuales se consideran áreas laborales, económicas o productivas que mantienen las funciones sociales, salubres, de seguridad y bienestar básicas, o respaldan la autoridad estatal o seguridad del país. De acuerdo con el anexo único de la Ley 8/2011, los sectores estratégicos con Infraestructuras Críticas son los siguientes: Administración. Espacio. Industria nuclear. Industria química. Instalaciones de investigación. Agua. Energía. Salud. Tecnologías de la Información y las Comunicaciones (TIC). Transporte Alimentación. Sistema financiero y tributario. ¿Qué obligaciones legales tiene un operador crítico con una o más infraestructuras críticas a su cargo? El art. 13 de la Ley 8/2011 nos dice que los Operadores Críticos deberán, entre otros, elaborar el Plan de Seguridad del Operador (PSO), así como un Plan de Protección Específico (PPE) por cada Infraestructura Crítica bajo su control o propiedad. Esta obligación se repite en el art. 13 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, el cual añade que deberán revisarse cada 2 años y cuando las circunstancias así lo ameriten debido a cambios sustanciales de los datos que contienen. Éstos deberán ser aprobados por el CNPIC. En este sentido, los principales instrumentos regulatorios que deberán tenerse en cuenta son los siguientes: Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos. Guía de buenas prácticas para Plan de Seguridad del Operador (PSO) del CNPIC (voluntario). Guía de buenas prácticas para Plan de Protección Específico (PPE) del CNPIC (voluntario). Sin embargo, ello no obsta para que se deba considerar la normativa sectorial, autonómica o local específicas, y cualesquiera otras que resulten de aplicación. ¿Qué es un plan de seguridad del operador (PSO)? Un PSO es un documento estratégico que define las políticas generales del Operador Crítico para garantizar la seguridad del conjunto de sus instalaciones y sistemas bajo su propiedad o gestión. En este sentido, contiene los siguientes elementos: Política general de seguridad del Operador Crítico. Estructura societaria, administrativa y jerárquica del Operador. Identificación y descripción de los servicios esenciales prestados por Operador. Interdependencias y coordinación del servicio esencial y del Operador con Autoridades y terceros. Metodología de análisis de riesgo integral que se adopta para evaluar riesgos físicos y cibernéticos. Criterios para implementar las medidas de seguridad con las que cuenta el Operador. ¿Qué es un plan de protección específico (PPE)? Un PPE es un documento operativo en el que se definen las medidas concretas ya adoptadas y las que se adoptarán por parte del Operador Crítico con base en una evaluación de riesgos, en aras de garantizar la seguridad física y lógica de una Infraestructura Crítica concreta. Por tanto, contiene los siguientes elementos: Aspectos relacionados con la Política general de seguridad. Medidas organizativas, operacionales y técnicas con las que cuenta el Operador. Resultado del análisis de riesgos y Plan de Acción ¿Qué beneficios aporta contar con un plan de protección robusto? Adoptar planes de protección en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes: Resiliencia operativa: Fortalece la capacidad de la organización para resistir y recuperarse de eventos adversos, asegurando la continuidad de los servicios esenciales. Gestión de riesgos: Facilita la identificación, evaluación y gestión proactiva de riesgos, permitiendo prever, disminuir o evitar la materialización de amenazas potenciales. Coordinación eficiente: Mejora la coordinación y colaboración entre diferentes entidades, incluyendo organismos reguladores, autoridades y otras partes interesadas, para abordar de manera efectiva las amenazas a la seguridad. Optimización de recursos: Permite asignar recursos de seguridad de manera más eficiente, centrándose en las áreas y activos más críticos para la organización. Respuesta rápida y efectiva: Facilita una respuesta rápida y efectiva ante incidentes o emergencias. Cumplimiento normativo: Ayuda a garantizar el cumplimiento de las normativas y regulaciones específicas del sector, evitando sanciones y asegurando la integridad legal de la organización. Protección
Tendencias de ciberseguridad empresarial para 2024
En este artículo, desde Global Technology, queremos aportar nuestra visión sobre cuáles serán los principales ejes que impulsarán la estrategia de ciberseguridad en el ámbito empresarial en tendencias de ciberseguridad 2024, para hacer frente a los retos que deben afrontar resultado de la imparable evolución tecnológica. El rol del SOC, uno de los pilares de las tendencias en ciberseguridad En primer lugar, habrá que estar atentos a la posible continuidad de los conflictos geopolíticos presentes en 2023 y que han tenido una significada réplica en el ciberespacio, donde actores maliciosos de diversa índole han acometido numerosos ataques contra organizaciones públicas y privadas de todo el mundo. La monitorización continua de la actividad que se genera alrededor de los sistemas de información cobra más relevancia, si cabe, ante escenarios de este tipo. Es aquí donde juega un papel fundamental el Centro de Operaciones de Seguridad (SOC). La capacidad que posee de concentrar y analizar todos los eventos que se registran en las distintas herramientas de ciberseguridad le permiten reaccionar de manera inmediata ante cualquier amenaza y coordinar las actuaciones necesarias en la respuesta a incidentes. El SOC seguirá siendo el núcleo central alrededor del cual girará la estrategia de ciberdefensa de la empresa. Ciberseguridad en entornos IoT A lo largo de 2023 se ha observado un creciente número de ciberataques contra sistemas de control industrial (ICS) desplegados en infraestructuras de todo tipo. Esta tendencia se prevé que siga al alza en 2024. La convergencia entre el mundo IT y el OT, que conlleva la necesidad de integrar soluciones de un lado y otro para optimizar la capacidad productiva de las compañías está generando una mayor exposición de los sistemas OT a las ciberamenazas. La repercusión de los ataques contra estas infraestructuras suele ser significativa, llegando a comprometer seriamente a las organizaciones. Por este motivo, la estrategia de ciberseguridad de las empresas contemplará la incorporación de herramientas que permitan mantener actualizado un inventario de todos los dispositivos OT y monitorizarlos para detectar al instante amenazas y vulnerabilidades. Incremento del ransomware La amenaza del ransomware seguirá expandiéndose. Después de dos años creciendo los casos más de un 20%, el número de organizaciones que se verán afectadas por ciberataques basados en este tipo de malware seguirá aumentando. Esta tendencia es consecuencia de la consolidación del modelo de pago por uso de herramientas para la comisión de estos ataques instaurado por actores maliciosos altamente sofisticados. Es el conocido malware-as-a-service. Este modelo permite que actores con menor cualificación accedan al lucrativo negocio de la extorsión a través de este malware. Las empresas deberán seguir reforzando sus sistemas antimalware, implementar o dar continuidad a las acciones de concienciación a los usuarios y adoptar tecnología de análisis del comportamiento para la detección de amenazas complejas. Las soluciones SIEM de última generación con capacidad para analizar el comportamiento del atacante y del usuario serán un arma altamente eficaz para identificar este tipo de amenazas. Inteligencia Artificial Desde el lanzamiento de ChatGPT en noviembre de 2022, la inteligencia artificial (IA) se ha convertido en uno de los principales temas de conversación. El potencial uso de esta tecnología en el ámbito empresarial tendrá un papel relevante, siendo una de las tendencia en ciberseguridad de 2024, al igual que lo hará la preocupación por resolver algunas dudas que esta tecnología suscita en el ámbito de la ciberseguridad. La confiabilidad y la privacidad de los datos será un asunto en el que se deberá seguir evolucionando. Por otro lado, la IA también será adoptada de manera creciente por los actores maliciosos quienes la utilizarán cada vez más para ampliar el alcance de sus actividades y dotarlas de mayor frecuencia y precisión. Probablemente, veremos campañas de phishing más sofisticadas y a mayor escala que se asemejarán cada vez más a la acción de un humano. Para hacer frente a esta amenaza creciente, los equipos de ciberseguridad se servirán de herramientas que incorporarán nuevas funcionalidades basadas en IA. Así mismo, se apoyarán en las capacidades que ofrece la IA para sus flujos de trabajo, lo cual agilizará los procesos de gestión de las amenazas. Protección del dato El cambio de modelo de trabajo que muchas organizaciones han abordado ya y el que otras están valorando afrontar, basado en la implantación del teletrabajo en alguna de sus variantes (híbrida, total) y en la adoptación de la nube como espacio para alojar su información, mantiene viva la preocupación de los responsables de ciberseguridad por la protección del dato. Las empresas necesitan herramientas que les permita clasificar los datos, identificar el potencial riesgo al que están sometidos y alertar de cualquier actividad anómala que pueda generarse entorno a ellos. Estas herramientas deberán integrarse con las plataformas en la nube más extendidas. Gestión de la identidad El robo de credenciales es uno de los botines más deseados por los actores maliciosos. Para unos es un producto con el que poder hacer negocio y para otros la llave que les da acceso a la realización de ciberataques de gran envergadura. Por todo ello, las empresas se esforzarán en implementar procesos que permitan realizar una gestión adecuada de la identidad y del acceso. La adopción de herramientas IAM será una apuesta creciente, siendo las grandes aliadas en este ámbito. Igualmente, se generalizará la presencia del MFA como mecanismo de autenticación. La distinta normativa vigente en materia de ciberseguridad seguirá ejerciendo presión a las organizaciones para implementar este tipo de soluciones. Expansión del ciberseguro La búsqueda de soluciones que faciliten la gestión del riesgo ha encontrado en el ciberseguro una herramienta muy útil para las organizaciones dado que les permite transferir el riesgo y responder de manera efectiva a situaciones que hacen tambalear la continuidad del negocio. Muy probablemente, 2024 será un año de expansión en la contratación de estos productos. No obstante, hacerse con ellos es una tarea que no está exenta de dificultades. Las empresas que quieran optar a una póliza de protección de este tipo deberán cumplir con los rigurosos requisitos que exigirán las aseguradoras. A su vez,
Reglamento de Resiliencia Operativa Digital (DORA)
La normativa sobre Resiliencia Operativa Digital, conocida como reglamento DORA, representa un marco vinculante y completo establecido por la Unión Europea (UE) para la gestión de riesgos en el ámbito de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE. DORA establece normas técnicas que las entidades financieras y sus proveedores de servicios tecnológicos críticos deben implementar en sus sistemas de TIC antes del 17 de enero de 2025. En este sentido las Autoridades Europeas de Supervisión (AES), estarán a cargo de las normas técnicas. Finalmente, serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación del Reglamento. Objetivos del reglamento DORA DORA persigue dos objetivos principales: Abordar de manera integral la gestión de riesgos asociados a las TIC en el sector de los servicios financieros. Armonizar las regulaciones sobre gestión de riesgos de las TIC que ya existen en los diversos Estados miembros de la UE. Antes de la implementación de DORA, la normativa en la gestión de riesgos de entidades financieras de la UE se centraba principalmente en asegurar que las empresas contaran con suficiente capital para cubrir riesgos operativos. Aunque algunos reguladores de la UE emitieron directrices sobre TIC y gestión de riesgos de seguridad, estas no eran aplicables de manera uniforme a todas las entidades financieras y a menudo se basaban en principios generales en lugar de normas técnicas específicas. La carencia de normativas comunitarias generó una complejidad para las entidades financieras al tener que lidiar con distintos requisitos establecidos por los Estados miembros de la UE. Con DORA, la UE busca establecer un marco universal para gestionar y mitigar los riesgos de las TIC en el sector financiero. La armonización de las normas de gestión de riesgos en toda la UE tiene como objetivo eliminar lagunas, superposiciones y conflictos que podrían surgir entre regulaciones dispares de distintos Estados de la UE. Un conjunto común de normas facilitaría el cumplimiento para las entidades financieras, al mismo tiempo que fortalecería la resistencia de todo el sistema financiero de la UE, asegurando que todas las entidades sigan las mismas pautas. Alcance y aplicación de DORA DORA se aplica a todas las instituciones financieras de la UE, abarcando tanto entidades financieras tradicionales como bancos, empresas de inversión y entidades de crédito, como a entidades no tradicionales como proveedores de servicios de criptoactivos y plataformas de crowdfunding. Es importante destacar que DORA también se aplica a algunas entidades normalmente excluidas de regulaciones financieras, como proveedores de servicios externos que suministran sistemas y servicios de TIC a empresas financieras, incluyendo proveedores de servicios en la nube y centros de datos. El reglamento también afecta a empresas que ofrecen servicios esenciales de información, como servicios de calificación crediticia y proveedores de análisis de datos. En resumen, el reglamento DORA será de aplicación a las siguientes entidades financieras: Entidades de crédito. Entidades de pago. Proveedores de servicios de información sobre cuentas. Entidades de dinero electrónico. Empresas de servicios de inversión. Proveedores de servicios de criptoactivos. Depositarios centrales de valores. Entidades de contrapartida central. Centros de negociación. Registros de operaciones. Gestores de fondos de inversión alternativos. Sociedades de gestión. Proveedores de servicios de suministro de datos. Empresas e intermediarios de seguros, reaseguros y seguros complementarios. Fondos de pensiones de empleo. Agencias de calificación crediticia. Administradores de índices de referencia cruciales. Proveedores de servicios de financiación participativa. Registros de titulizaciones. Beneficios de cumplir con el reglamento DORA Mejora de la resistencia frente a amenazas cibernéticas: un reglamento de resiliencia operativa digital puede ayudar a fortalecer las defensas contra ataques cibernéticos, protegiendo así la infraestructura tecnológica y los datos de la organización. Reducción del riesgo de interrupciones operativas: la resiliencia operativa digital implica la capacidad de mantener operaciones esenciales incluso en situaciones de crisis o desastres. Esto reduce la probabilidad de interrupciones en los servicios y contribuye a la continuidad del negocio. Cumplimiento normativo: adoptar prácticas y reglamentos de resiliencia operativa digital puede ayudar a las organizaciones a cumplir con regulaciones y estándares específicos relacionados con la seguridad cibernética y la protección de datos. Protección de la reputación: la implementación de medidas de resiliencia operativa digital puede ayudar a evitar violaciones de seguridad que podrían dañar la reputación de la organización. La confianza del público y de los clientes puede mantenerse mediante la adopción de buenas prácticas de seguridad digital. Eficiencia operativa: la resiliencia operativa implica una planificación proactiva y la capacidad de respuesta rápida ante incidentes. Esto puede mejorar la eficiencia operativa al reducir el tiempo de inactividad y acelerar la recuperación de eventos adversos. Innovación segura: fomentar la resiliencia operativa digital puede permitir que las organizaciones adopten nuevas tecnologías de manera segura. La innovación puede avanzar sin comprometer la seguridad de los sistemas y datos. Protección de la cadena de suministro: la resiliencia operativa digital también puede extenderse a la cadena de suministro, asegurando que los proveedores y socios comerciales cumplan con estándares de seguridad digital, lo que reduce los riesgos asociados con terceros. Requisitos de DORA DORA establece requisitos técnicos en cuatro áreas clave para entidades financieras y proveedores de TIC: Gestión de riesgos y gobernanza de las TIC: DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del Consejo de Administración, líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren activamente en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados personalmente responsables del incumplimiento de una entidad. Respuesta y notificación de incidentes: Las entidades cubiertas deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar incidentes relacionados con las TIC. Dependiendo de la gravedad del incidente, las entidades pueden tener que informar tanto a los reguladores como a los clientes y socios afectados. Se requieren tres tipos de informes en casos de incidentes críticos: un informe inicial de notificación a las autoridades, un informe intermedio sobre los avances hacia la
La necesidad de campañas de concienciación en Ciberseguridad
En nuestra misión constante de proteger la infraestructura digital y la información contenida en la misma. La concienciación en ciberseguridad es esencial para no pasar por alto un componente crítico en la cadena de seguridad: el factor humano. A menudo, las amenazas más grandes a las que se enfrentan las empresas no provienen de sofisticados ciberataques, sino de errores humanos que podrían haberse evitado con una formación adecuada. ¿Por qué concienciar en ciberseguridad? El eslabón más débil: Aunque nuestras soluciones tecnológicas pueden ser muy efectivas, si los usuarios fin ales no están informados y educados sobre las mejores prácticas de seguridad, siguen siendo vulnerables. Un error humano, como hacer clic en un enlace malicioso, puede comprometer sistemas enteros. Evolución constante de amenazas: El panorama de ciberamenazas está en constante evolución. Lo que era seguro ayer, puede no serlo hoy. Los usuarios deben estar al día con las últimas amenazas y saber cómo identificarlas. Cumplimiento normativo: En muchos sectores, hay regulaciones que exigen formación regular en ciberseguridad para empleados. Una campaña de concienciación ayudará a las empresas a cumplir con estos requisitos. Beneficios de una campaña de concienciación en ciberseguridad Reducción de incidentes: Las campañas de concienciación han demostrado reducir significativamente el número de incidentes relacionados con el error humano. Esto se traduce en menos interrupciones del servicio, menos tiempo y recursos gastados en la respuesta a incidentes y una mayor confianza de los clientes. Cultura de seguridad: Fomentar una cultura en la que la ciberseguridad es una responsabilidad compartida mejora, no solo la postura de seguridad de la organización, sino también fideliza al empleado. Retorno de inversión (ROI): Aunque puede haber un coste asociado con la implementación de una campaña de concienciación, el impacto económico de no hacerlo (brechas de datos, multas por no cumplir, daño a la reputación, etc.) es significativamente más alto. Mejora de la reputación: En un mundo donde la ciberseguridad es una creciente preocupación, las empresas que toman medidas proactivas para educar a sus empleados y clientes son vistas de manera más favorable. Esto puede traducirse en más negocios y mayor lealtad del cliente. Impacto en controles de ISO/IEC 27002 La norma ISO/IEC 27002:2013 proporciona directrices para la implementación de controles de seguridad de la información. La realización de campañas de concienciación y formación al usuario incide directamente en varios de estos controles. A continuación, identificamos los controles más relevantes que se verían afectados o reforzados por dichas campañas: Información sobre responsabilidades durante el empleo (7.2.2): Este control estipula que la dirección debe asegurarse de que los empleados y contratistas sean informados de las responsabilidades de seguridad de la información. Las campañas de concienciación pueden ayudar a comunicar estas responsabilidades de manera efectiva. Concienciación, formación y evaluación de la formación (7.3.1): Este es el control más directamente relevante. Establece la necesidad de implementar programas de concienciación y formación para garantizar que los empleados tengan la conciencia, los conocimientos y las habilidades necesarias para cumplir con las políticas y procedimientos de seguridad. Gestión del uso inaceptable de activos (9.2.3): Las campañas educativas pueden ayudar a destacar los usos inaceptables de la información y otros activos. Permitiendo una mejor gestión y reducción de este tipo de comportamientos. Políticas de clasificación de la información (12.2.1): Una correcta formación puede asegurar que los empleados entiendan y sigan correctamente las políticas de clasificación. Lo que reduce el riesgo de filtraciones de información o su incorrecta manipulación. Control de acceso del usuario (12.7.1): La formación y concienciación pueden enfocarse en la importancia de las políticas y procedimientos de control de acceso. Incluyendo la importancia de las contraseñas fuertes, el bloqueo de estaciones de trabajo y la autenticación multifactor. Política de uso aceptable de redes y servicios (13.2.1): Las campañas pueden reforzar la comprensión y adherencia a las políticas de uso aceptable. Reduciendo el riesgo asociado con comportamientos no deseados en la red. Es esencial que cualquier campaña de concienciación o formación que lancemos esté alineada con los controles y requerimientos de la ISO/IEC 27002, asegurando así su efectividad y pertinencia en el contexto de estándares internacionales de seguridad de la información. Conclusión A medida que los entornos digitales se vuelven más complejos y la información que almacenamos en ellos más importante. Los usuarios deben fortalecer sus conocimientos en materia de ciberseguridad. Una campaña de concienciación en ciberseguridad no es simplemente una buena idea, es una necesidad crítica para organizaciones de todos los tamaños. Desde Global Technology podemos ayudarte Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Ciberdefensa: ¿Qué es y por qué es importante?
En la actualidad, vivimos en un mundo cada vez más digitalizado. Esto ha supuesto un gran avance para la sociedad, pero también ha incrementado los riesgos de sufrir ataques cibernéticos. La ciberdefensa es el conjunto de medidas y acciones que se llevan a cabo para proteger los sistemas informáticos y las redes de comunicaciones de los ataques informáticos. ¿Por qué es importante la ciberdefensa? Es importante por dos motivos principales: En primer lugar, porque los ataques informáticos pueden tener un impacto significativo en la economía y la sociedad. Por ejemplo, pueden provocar pérdidas económicas, interrupción de servicios, o incluso daños físicos. En segundo lugar, porque los ataques informáticos pueden poner en riesgo la privacidad y la seguridad de las personas. Por ejemplo, pueden robar datos personales, como números de tarjetas de crédito o contraseñas. ¿Cuáles son los ciberataques más comunes? Los ciberataques más comunes son los siguientes: Ataques de denegación de servicio (DoS): Estos ataques tienen como objetivo impedir que un sistema o servicio esté disponible para sus usuarios legítimos. Ataque de Man in the Middle (hombre en el medio): Estos ataques tienen como objetivo interceptar las comunicaciones entre dos partes. Phishing (suplantación de identidad): Estos ataques tienen como objetivo engañar a las víctimas para que revelen información confidencial. Ataques de malware: Estos ataques tienen como objetivo instalar software malicioso en los sistemas informáticos de las víctimas. Ataque de fuerza bruta para obtener datos y contraseñas: Estos ataques intentan adivinar las contraseñas de las víctimas utilizando métodos automáticos. Ataque de inyección de código SQL: Estos ataques tienen como objetivo ejecutar código malicioso en los sistemas informáticos de las víctimas. Ataque de espionaje y privacidad (interceptar tráfico y mensajes): Estos ataques tienen como objetivo recopilar información confidencial de las víctimas. Ataque de ransomware: Estos ataques tienen como objetivo cifrar los datos de las víctimas y exigir un rescate a cambio de la clave de descifrado. ¿Cómo se puede proteger contra los ciberataques? Existen una serie de medidas que se pueden adoptar para proteger contra los ciberataques, entre las que destacan las siguientes: Implementar medidas de seguridad básicas, como firewalls, antivirus y software de seguridad de la información. Formar a los empleados sobre las amenazas cibernéticas y las medidas de protección que deben adoptar. Implementar un proceso de gestión de incidentes de ciberseguridad para responder de manera efectiva a los ataques cibernéticos. Ciberdefensa defensiva y ofensiva La ciberdefensa se puede dividir en dos grandes categorías: la ciberdefensa defensiva/pasiva y la ciberdefensa ofensiva/activa. Ciberdefensa defensiva La ciberdefensa defensiva se centra en la prevención, detección y respuesta a ataques con el objetivo de minimizar el impacto y proteger la integridad de los sistemas. Algunas de las medidas de ciberdefensa defensiva más comunes son las siguientes: Implementación de firewalls y sistemas de detección de intrusiones (IDS). Utilización de antivirus y antimalware. Implementación de políticas y procedimientos de seguridad. Formación de los empleados sobre seguridad. Ciberdefensa ofensiva La ciberdefensa ofensiva se centra en la capacidad de llevar a cabo operaciones activas para contrarrestar amenazas. Algunas de las medidas de ciberdefensa ofensiva más comunes son las siguientes: Investigación de amenazas. Desarrollo de herramientas y técnicas de ciberdefensa. Operaciones de ciberseguridad ofensivas, como el pentesting. Ventajas de la ciberdefensa La ciberdefensa ofrece una serie de ventajas, entre las que destacan las siguientes: Reduce el riesgo de sufrir ataques informáticos. Minimiza el impacto de los ataques informáticos que se produzcan. Protege la privacidad y la seguridad de las personas. Contribuye a la seguridad de la economía y la sociedad. Conclusión La ciberdefensa es una parte esencial de la seguridad en el mundo digital. Las empresas como Global Technology cuenta con medidas de ciberdefensa para proteger sus sistemas informáticos y sus redes de comunicaciones. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Inversión en ciberseguridad VS costes de un ciberataque
El Instituto Nacional de Ciberseguridad (INCIBE) en su informe “Balance de ciberseguridad 2022” remarca el hecho de que en el año 2022 se gestionaron un 9% más de incidentes de seguridad. La tendencia futura será la de crecimiento continuado por lo que es imprescindible la inversión en ciberseguridad. Los ciberataques afectan tanto a particulares como a empresas, en un porcentaje similar. En el ámbito empresarial se debe desterrar el mito de que no se ejecutan ciberataques contra las pequeñas empresas. Se podría pensar que una pequeña empresa carece de interés para los ciberatacantes. Sin embargo, éstos se aprovechan de que estas organizaciones no suelen contar con las defensas más eficaces en materia de ciberseguridad. Así mismo, esa posible debilidad defensiva atrae a los ciberatacantes noveles para ensayar las técnicas de ataque recién adquiridas. Uno de los ciberataques que prolifera entre las pequeñas y medianas empresas es el conocido como “Fraude del CEO”. Los ciberdelincuentes suplantan la identidad de clientes o proveedores, falsificando facturas con el fin de desviar a sus cuentas bancarias los importes acordados. Así, la apropiación de, por ejemplo, un importe de 50.000€ puede suponer un serio problema para la contabilidad de una pequeña empresa. Además, al evidente perjuicio económico, hay que sumar la problemática derivada de la gestión de estas situaciones que habitualmente acarrean tensiones en las relaciones entre las partes afectadas. Consecuencias de un ciberataque En los medios de comunicación es habitual encontrar noticias relacionadas con ciberataques dirigidos contra grandes compañías y entidades públicas, siendo predominantes los cometidos mediante ransomware. Es este uno de los ataques más extendidos y que peores consecuencias ocasiona a las organizaciones afectadas. Cualquier organización puede verse afectada, independientemente de su tamaño. Un ataque basado en ransomware sirve de claro ejemplo para determinar las enormes consecuencias que puede acarrear un ciberataque. Las operaciones de la organización puede paralizarse o verse afectada durante tiempo indefinido. En el mejor de los casos pueden ser únicamente horas, si bien es frecuente que sean días o, incluso, semanas. Para que esto ocurra no es necesario desencadenar un complejo ataque masivo contra todos los sistemas de información de la organización. El sólo hecho de comprometer una parte de los sistemas de información, como por ejemplo el ERP de gestión financiera, puede obligar a paralizar el resto de los sistemas para verificar su estado. Por otra parte, más allá de las consecuencias que un ciberataque tenga sobre la propia organización. Habrá que tener en cuenta las que se puedan desencadenar debido a aspectos relacionados con el sector al que pertenezca o a la actividad que desarrolle. Las consecuencias pueden llegar a ser extremas. A continuación, se describen algunos ejemplos: Empresas suministradoras: el hecho de que una empresa de suministro energético, de telecomunicaciones o de servicios básicos, como el agua, vea afectada su actividad puede impactar gravemente sobre la actividad de empresas y particulares. Empresas de transporte: compañías dedicadas al transporte de viajeros o de mercancías son esenciales para mantener la actividad cotidiana. Cualquier afección en sus servicios tiene efectos negativos evidentes. Hospitales: lamentablemente, ya se han producido ciberataques que han impactado sobre hospitales provocando afecciones sobre su infraestructura que han provocado el fallecimiento de personas. Entidades públicas: la actividad diaria de empresas y particulares está asociada a procesos en los que interviene la Administración. La alteración de su habitual funcionamiento puede acarrearles importantes afecciones. Costes de un ciberataque Todas estas consecuencias tienen una traslación económica evidente. El coste económico que conlleva un ciberataque es la principal preocupación para las organizaciones afectadas. Sin embargo, cuantificar ese coste implica realizar un análisis profundo, dado que son muy diversas las circunstancias que se deben contabilizar para conocer el coste real de un ciberataque. Es más, algunas son difíciles de identificar. Así pues, a la hora de valorar la realización de una inversión en ciberseguridad, deberemos asegurar que, al menos, se tienen en cuenta los costes derivados de los siguientes aspectos: Pérdida económica derivada de la afección a la producción: la pérdida de ingresos fruto de estas afecciones suele ser el mayor coste que debe soportar la organización. Pérdida de confianza externa por parte de los clientes y los proveedores: sufrir un ciberataque puede generar cierta desconfianza en aquellos que mantienen relación con la organización afectada. Pueden pensar que las afecciones pueden extenderse. Daño reputacional: la filtración, por ejemplo, de información que incluya datos personales, tarjetas de crédito o números de cuentas bancarias supone un enorme descrédito para la organización comprometida, viéndose afectada su marca. Adquisición no prevista de equipamiento informático (software y hardware) para sustituir el afectado o desplegar medidas de protección. Contratación de recursos expertos en IT o ciberseguridad: se encargarán de hacer frente al ciberataque y recuperar el normal funcionamiento de los sistemas. Contratación de servicios jurídicos especializados: gestionarán posibles incumplimientos contractuales o normativos. Contratación de servicios de comunicación externa: determinarán cómo se debe informar a terceros afectados. Desviación de recursos a tareas no previstas: la gestión de un ciberataque puede requerir la realización de tareas no previstas por los equipos de la organización, dejando aparcadas las que estuviesen planificadas. Multas o sanciones: éstas suelen derivase del incumplimiento de normativas o acuerdos privados. Adicionalmente, no conviene olvidar otro tipo de coste que las organizaciones deben soportar a la hora de gestionar un ciberincidente. Se trata del desgaste en los equipos humanos generado por la situación de crisis desencadenada. Inversión en ciberseguridad La inversión en ciberseguridad supone un esfuerzo adicional para las empresas que requiere de una adecuada planificación. En muchas ocasiones resulta difícil determinar el retorno de la inversión (ROI) dado que se da la paradoja de que, esa inversión está orientada a evitar un incidente y si éste no se produce, no será posible conocer su coste. Por este motivo, algunas tesis señalan que la inversión en ciberseguridad debe estar orientada hacia la reducción de riesgos. La inversión en ciberseguridad debe estar guiada por un Plan Director de Ciberseguridad en el que se detallen las prioridades, los responsables y los recursos que se van
Discovery y ZeroTrust el modelo de seguridad infalible
En el actual panorama de la ciberseguridad, las organizaciones se enfrentan a retos sin precedentes debido a la creciente complejidad de sus infraestructuras tecnológicas y a la sofisticación de las amenazas cibernéticas. En este contexto, la adopción de soluciones de discovery y del modelo ZeroTrust se presenta como una estrategia esencial para garantizar una protección robusta y eficiente. ¿Por qué implementar Discovery y ZeroTrust? Complejidad de la Infraestructura Moderna: Las redes corporativas de hoy día ya no están limitadas a un conjunto estático de dispositivos y servidores. Con la adopción masiva de dispositivos IoT, soluciones móviles y aplicaciones en la nube, es crucial para las organizaciones conocer y controlar quién y qué está conectado a su red en todo momento. Visibilidad en Tiempo Real: Las soluciones convencionales de gestión de redes a menudo no proporcionan una perspectiva completa ni actualizada de la infraestructura tecnológica. Un sistema de discovery eficaz ofrece visibilidad continua, permitiendo a las organizaciones identificar cada dispositivo o usuario tan pronto como se conecta a la red. Reducir la Superficie de Ataque: Implementando el principio de menor privilegio, que es fundamental en el modelo ZeroTrust, se garantiza que los dispositivos y usuarios solo tengan acceso a los recursos estrictamente necesarios para realizar sus funciones. Esta restricción limita las oportunidades que los actores maliciosos podrían tener para comprometer sistemas y datos. Beneficios adicionales de estas soluciones Automatización y Orquestación: Más allá del mero descubrimiento, las soluciones avanzadas pueden automatizar respuestas a determinados eventos o comportamientos, permitiendo a las organizaciones actuar rápidamente ante posibles amenazas, ya sea aislando dispositivos sospechosos o aplicando políticas específicas de seguridad. Integración con Herramientas Existentes: Las soluciones de discovery y ZeroTrust son compatibles e integrables con otras herramientas de seguridad, lo que permite a las organizaciones potenciar sus inversiones actuales y establecer una estrategia de seguridad holística y cohesiva. Cumplimiento y Regulaciones: Implementar estas soluciones facilita el cumplimiento de diversas normativas y estándares de seguridad, asegurando que las organizaciones no solo estén protegidas, sino que también estén preparadas para auditorías y revisiones regulatorias. Impacto en controles de la ISO/IEC 27002 Estas soluciones afectan a varios controles definidos en la norma ISO/IEC 27002, entre ellos: Acceso a la Red (D.13.1): Se establece un control sobre los puntos de acceso a las redes, evitando conexiones no autorizadas. Gestión de Dispositivos Móviles (D.6.2): Se garantiza que solo dispositivos autorizados puedan acceder a recursos corporativos. Segmentación en Redes (D.13.2): A través del principio de menor privilegio, se pueden definir segmentos de red específicos para diferentes funciones y usuarios. Gestión de la Configuración (D.12.5): Al tener visibilidad total de la red, es más sencillo identificar y controlar los cambios en la configuración de dispositivos y sistemas. Conclusión Adoptar soluciones de Discovery junto con el modelo ZeroTrust es una decisión estratégica que toda organización moderna debe considerar para mantener sus activos digitales seguros y garantizar la continuidad de sus operaciones. En un mundo donde la ciberseguridad es una prioridad, estas soluciones emergen como pilares fundamentales en la defensa y gestión de la infraestructura tecnológica. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com