Conoce la norma ISO 14001 y cómo proteger al medio ambiente
¿Qué es la norma ISO 14001? En el mundo empresarial actual, la gestión ambiental y la ciberseguridad son dos pilares esenciales que convergen para forjar una empresa sostenible y segura. La certificación ISO 14001, centrada en la gestión ambiental, y las medidas de ciberprotección forman un vínculo estratégico que no solo preserva la salud del planeta, sino también la integridad digital y la resiliencia operativa de la organización. Esta sinergia entre la ISO 14001 y la seguridad cibernética no solo fortalece la posición ética y sostenible de una empresa, sino que también protege sus activos digitales en un mundo interconectado. La norma ISO 14001 es una norma internacional que establece los requisitos para un sistema de gestión ambiental (SGA). Esta norma proporciona un marco para que las organizaciones desarrollen e implementen políticas y objetivos ambientales, teniendo en cuenta los aspectos legales y otros requisitos relacionados con el impacto ambiental de sus actividades. ¿Para qué sirve? En el panorama empresarial actual, la convergencia de la gestión ambiental y la seguridad de la información emerge como una estrategia sólida para empresas vanguardistas. La integración de sistemas ambientales, como la norma ISO 14001, con sistemas de protección de la información brinda un enfoque integral que no solo preserva la salud del entorno, sino que también resguarda los activos digitales críticos. A continuación, se exponen los principales beneficios de disponer de un sistema de gestión ambiental: Gestión integral de riesgos: identifica y gestiona riesgos ambientales. Resiliencia empresarial: mejora la capacidad de respuesta ante eventos ambientales. Protección de activos: asegura la gestión responsable de recursos y activos naturales. Cumplimiento normativo: garantiza el cumplimiento de regulaciones ambientales. Fortalecimiento de la reputación: demuestra compromiso con la sostenibilidad ambiental. Eficiencia operativa: optimiza procesos para reducir impacto ambiental. Concienciación y educación: incluye programas de concienciación ambiental. Mejora continua: fomenta la revisión y mejora constante de procesos. La implementación de la ISO 14001 no solo beneficia la gestión ambiental, sino que también contribuye a la seguridad integral, abarcando aspectos cibernéticos y físicos para fortalecer la resiliencia y sostenibilidad de la empresa. ¿Qué empresas se pueden ver interesadas? La versatilidad de la norma ISO 14001 permite su implementación en empresas de diversos tamaños y naturalezas. En particular, diferentes sectores encuentran beneficios significativos al adoptar un sistema de gestión ambiental, reflejo de su compromiso creciente con la responsabilidad corporativa. Sectores manufactureros, tecnológicos, de construcción, alimentación, energía, servicios, transporte, químico, farmacéutico, reciclaje, turismo, y telecomunicaciones hallan en esta normativa un marco robusto para gestionar y mejorar su desempeño ambiental de manera integral y coherente. La ISO 14001 se erige como un estándar que trasciende fronteras sectoriales, promoviendo prácticas ambientales sostenibles en la diversidad empresarial. Cómo certificarse en ISO 14001 La certificación ISO 14001 implica una serie de fases que deben seguirse de manera estructurada. A continuación, se detalla en 10 pasos como certificar con éxito un SGA: Evaluación inicial: realizar una evaluación inicial del sistema de gestión ambiental existente en la organización para identificar brechas y áreas de mejora. Establecimiento del sistema de gestión ambiental (SGA): desarrollar y documentar un SGA basado en los requisitos de la norma ISO 14001. Esto puede incluir la creación de políticas, procedimientos y la asignación de responsabilidades. Implementación del SGA: implementar el sistema de gestión ambiental en toda la organización, asegurándose de que todos los procesos y funciones estén alineados con los requisitos de la norma. Monitoreo y medición: establecer procesos para el monitoreo y medición de los aspectos ambientales, así como el desempeño del sistema de gestión. Auditorías internas: realizar auditorías internas regulares para evaluar la conformidad con la ISO 14001 y la efectividad del sistema de gestión. Revisión por la Dirección: la alta dirección debe realizar revisiones periódicas del sistema de gestión para asegurar su idoneidad, adecuación y eficacia. Auditoría de certificación: un organismo de certificación realiza la auditoría inicial para evaluar si el sistema de gestión cumple con los requisitos de la norma. Resolución de no conformidades: abordar y corregir cualquier no conformidad identificada durante la auditoría de certificación. Certificación ISO 14001: una vez resueltas las no conformidades, el organismo de certificación emite el certificado ISO 14001, verificando que la organización cumple con los requisitos de la norma. Mantenimiento y Mejora Continua: continuar con la monitorización, auditorías internas y revisiones de la dirección para mantener y mejorar continuamente el SGA. Global Technology y la protección ambiental En Global Technology nos enorgullece ser líderes en la implementación de sistemas de gestión ambiental basados en la norma ISO 14001. Somos una empresa comprometida con la sostenibilidad y el cuidado del medio ambiente. Como parte de nuestro compromiso con la responsabilidad social y la conservación del medio ambiente, hemos establecido una colaboración especial con TreeApp, una innovadora plataforma que se dedica a la reforestación global. Cada vez que en Global Technology firmamos un nuevo proyecto, nos comprometemos a plantar un árbol a través de TreeApp. Con esta iniciativa no solo buscamos compensar nuestra huella de carbono, sino que también tener un impacto positivo en la lucha contra el cambio climático y la conservación de los bosques en todo el mundo. Queremos marcar la diferencia y aportar nuestro granito de arena para asegurar un futuro más verde para las generaciones futuras. Nuestro enfoque hacia nuestros clientes se centra en la excelencia, la eficiencia y la sostenibilidad. Contamos con un equipo de expertos altamente calificados que comprenden las complejidades de la norma ISO 14001 y tienen una amplia experiencia en adaptarla a diversos sectores. Nos comprometemos a trabajar estrechamente con su equipo, personalizando soluciones que se alineen perfectamente con sus procesos y objetivos específicos. Desde la evaluación inicial hasta la obtención del certificado, le ofrecemos un camino transparente y eficaz. María Teresa Vallés BoriConsultora de GRC
Orquestación de políticas de seguridad en firewalls
Cuando hablamos de orquestación de políticas de seguridad nos referimos a la automatización inteligente de los cambios en una red. No es tan solo una simple automatización de tareas, sino que, mediante el uso de inteligencia artificial y el machine learning, la simulación y el análisis se llega a comprender verdaderamente la red. En general, hablamos de políticas de seguridad como políticas de firewall, pero también puede aplicarse a las listas de control de acceso (ACL), a las configuraciones de routers o a los balanceadores de carga. La gestión de las políticas de seguridad es una tarea compleja que, para que sea óptima, requiere de un alto nivel de automatización. La orquestación de políticas de seguridad ha surgido como respuesta a numerosos factores que se dan a la vez. La gestión de los firewalls corporativos es cada vez más compleja debido a la expansión del perímetro de la red y a la proliferación de los servicios en la nube. La cada vez más presente agilidad empresarial está ganando importancia como factor competitivo clave y está creando una mayor demanda de automatización de los departamentos de IT y, más concretamente, en la capa de red. El hecho de que pueda haber lagunas en la gestión eficaz de los firewalls derivará en retrasos y provocará problemas de seguridad y cumplimiento. VENTAJAS DE LA ORQUESTACIÓN DE POLITICAS Una solución de orquestación de políticas de firewalls va a proporcionar a la empresa numerosas ventajas: Gestión centralizada de la infraestructura de firewalls (tanto locales como en cloud). En el actual entorno de TI, complejo y heterogéneo, es esencial tener una visión centralizada de las políticas de seguridad de todas las plataformas, físicas, virtuales y en cloud, permitiendo que el usuario controle y gestione las políticas de seguridad en todas estas plataformas a través de un único panel. Visibilidad unificada de todos los dispositivos y plataformas compatibles, creando automáticamente un mapa de toda la red. La mayoría de las empresas han visto aumentar su complejidad que obliga a los equipos de seguridad a comprender muy bien la topología de la red para poder gestionar sus redes de forma segura y sin contratiempos. Reducción de los tiempos de gestión de los cambios de políticas, las reglas y las listas de control de acceso de los firewalls automatizando el proceso de extremo a extremo. Esta automatización de cambios se basa en el mapa de topología de red para identificar qué firewalls son relevantes y priorizar los cambios. A continuación, se determina si un cambio es necesario e implementarlo con un solo clic. Mejora en la preparación de auditorías, seguimiento de cambios e informes de violación de políticas. Permite que las organizaciones consigan cumplir las políticas corporativas y estándares normativos como SOC o PCI DSS, además de permitir seguir marcos de gestión de seguridad como puedan ser ITIL, COBIT o ISO 27001 Aplicación coherente y continua de la política de seguridad de la red, especialmente útil en entornos de diferentes proveedores y plataformas. Mejora de la eficiencia gracias al proceso automatizado de control de cambios y a la optimización de las políticas de firewalls, que se traduce en una reducción del área expuesta a ataques. Además, al identificar reglas que no se utilizan, ocultas o caducadas se pueden eliminar sin afectar al negocio. Adicionalmente, permite marcar aquellas reglas que son peligrosas, que infringen las políticas de segmentación de zonas o que no son compatibles con unas buenas prácticas. La orquestación de políticas de seguridad, como vemos, es especialmente útil para que los equipos de SecOps puedan seguir el ritmo de las demandas del negocio al tiempo que garantizan la seguridad y evitan una interrupción. La capacidad de generar, aprovisionar y sincronizar automáticamente los cambios de las distintas políticas de seguridad en un conjunto creciente de sistemas (teniendo siempre como premisas la seguridad, el cumplimiento y la gestión empresarial) es una herramienta de gran ayuda para los CISOs, CIOs y CTOs, que les permitirá evitar cuellos de botella en el proceso de gestionar la seguridad integral de cualquier organización y adaptarse con agilidad a los cambios que requiere el mercado. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Acciones de concienciación frente al phishing
El phishing es un término que se ha popularizado en los últimos años entre los usuarios Internet y que hace referencia a las técnicas utilizadas por los ciberdelincuentes para conseguir que una empresa o persona realice determinadas acciones o revele información valiéndose del engaño, el fraude y la suplantación. El phishing se encuadra dentro de los ataques que utilizan prácticas de ingeniería social para conseguir su objetivo. Es bien conocido que el usuario es el eslabón más débil de los elementos que intervienen en la protección de los sistemas de información. La curiosidad humana, la vorágine del día a día o la falta de concienciación son circunstancias que los ciberdelincuentes aprovechan para alcanzar sus objetivos. Mediante sencillas técnicas son capaces de captar la atención de los usuarios y ganar su confianza para lograr que realicen determinadas acciones. El correo electrónico es la vía principal a través de la cual los ciberdelincuentes canalizan este tipo de ataques. Haciéndose pasar por una fuente de confianza que no genera duda sobre su fiabilidad consiguen engañar al destinatario final con el objetivo de que revele ciertos datos de interés para el atacante: credenciales, datos bancarios, etc. Los mensajes SMS y las llamadas telefónicas también son otras vías que los ciberdelincuentes utilizan para desplegar ataques de phishing. En estos casos, su pretensión es que el usuario realice una acción de forma rápida. La formación a los usuarios es un elemento fundamental en la estrategia para evitar que este tipo de ataques obtengan el éxito deseado por los ciberdelincuentes. Tan importante como disponer de sistemas de seguridad perimetrales y herramientas antispam eficaces, además de soluciones antimalware en los equipos de los usuarios, es la difusión de buenas prácticas entre los usuarios para conseguir que sean capaces de identificar elementos sospechosos que puedan afectar a la seguridad de la información. Dado que el riesgo que supone la amenaza del phishing es constante y que los métodos utilizados por los ciberdelincuentes se actualizan constantemente adaptándose a las circunstancias del momento, como hemos podido comprobar con la pandemia del Covid-19, es recomendable definir un programa regular de concienciación. No todas las acciones a realizar tienen que basarse en sesiones en las que un experto en ciberseguridad exponga una serie de pautas para identificar y remediar los riesgos del phishing. Si bien éstas son altamente recomendables, no lo son menos otras complementarias como las píldoras informativas, las infografías o los recordatorios puntuales coincidiendo con eventos o situaciones clave, todo ello con el ánimo de conseguir que el usuario esté en una situación de alerta permanente frente a este tipo de amenazas. Para que estos programas de concienciación alcancen el objetivo requerido es importante que estén diseñados en base a situaciones realistas que tengan que ver con el día a día de la empresa y captar así el interés del usuario. Uno de los retos a los que se enfrentan los responsables de seguridad de las empresas es el de conocer el grado de concienciación que poseen los usuarios frente a la amenaza del phishing, especialmente tras la realización de los programas formativos. Con tal fin, se han desarrollado herramientas que permiten realizar campañas de simulación de phishing de forma muy ágil y sencilla. Estas campañas se pueden personalizar y automatizar por los administradores en base a plantillas y pueden ser dirigidas contra los colectivos que se desee. Los resultados se obtienen con un amplio nivel de detalle, llegando a determinar las acciones realizadas por cada usuario. Cuando se planifique la realización de una campaña de este tipo habrá que tener en cuenta los aspectos legales que puedan verse afectados y hacer partícipe a los órganos de dirección de la empresa. Es recomendable no realizar una única campaña de simulación dado que no será suficiente para diagnosticar el comportamiento de los usuarios. La realización de varias campañas permitirá establecer una línea base de comportamiento que permitirá valorar la efectividad de las acciones formativas y adoptar medidas complementarias si la situación lo requiere. Su repetición en el tiempo servirá para demostrar el cambio de comportamiento. La rapidez con la que se ejecutan y se obtienen los resultados las convierten en un instrumento muy útil para los gestores de la seguridad de las empresas. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Implicaciones del juego online para la seguridad de la empresa
Aunque pueda parecer inverosímil, una de las consecuencias de implantar un sistema de monitorización continua a nivel interno orientado a mejorar la productividad de los empleados, como la herramienta ActiveTrak, es que, entre otras informaciones interesantes que ayudan en la mejora de la gestión diaria de las agendas, afloran en ocasiones comportamientos poco deseados. Entre los comportamientos no deseados que se suelen observar hay dos que destacan por encima de todos: La visualización de contenido multimedia (normalmente videos) El juego, tanto online como offline. Es evidente que ambos comportamientos constituyen una falta de profesionalidad por parte del empleado que puede derivar en un despido, al margen de que, evidentemente, si se está dedicando a realizar estas actividades, su productividad caerá de manera drástica. Porque, para más inri, ambas requieren una cantidad ingente de tiempo que se resta al trabajo efectivo para el que están contratados. Si bien ambas actividades son igual de dañinas a nivel de pérdida de productividad, nos centraremos hoy en el juego por las tremendas implicaciones a nivel de seguridad que pueden tener este tipo de comportamientos para la empresa en su totalidad. Riesgos a nivel de seguridad que supone el juego online desde la empresa Los posibles riesgos a nivel de seguridad de que un empleado se conecte para jugar online son múltiples y muy variados. En primer lugar, se desconoce la plataforma de juegos a la que el empleado se está conectando. Podría tratarse de una plataforma no oficial o que, a pesar de serlo, tenga integrado algún tipo de adware, con el consiguiente riesgo de infección del equipo (y, por extensión, de toda la red corporativa). Además, en cualquier plataforma de juego online, especialmente si cuenta con sección de chat (que los gamers suelen utilizar profusamente para compartir trucos o experiencias) acechan ciberdelincuentes tratando de sonsacar información mediante técnicas de ingeniería social. No solo eso, suelen compartirse hacks o trucos mediante ejecutables, descargables y/o URLs que pueden llevar a la instalación de malware de cualquier tipo en el equipo, con el evidente riesgo de que se extienda y ponga en peligro a toda la organización. Si la conexión a la plataforma (o el registro) se ha hecho mediante la cuenta de correo corporativa, puede suponer un riesgo añadido ya que puede ocasionar un ataque a la web corporativa o provocar intentos de suplantación de identidad que pueden ocasionar graves trastornos a la empresa tanto desde el punto de vista económico como reputacional. Incluso si se produce un rastreo (sniffing) de la conexión (y esta no cuenta con las medidas de seguridad necesarias a nivel de certificados) puede ocasionar que otro usuario malintencionado tome el control de la red corporativa con todas las graves consecuencias que ello podría ocasionar. En el caso de que la conexión se realice desde la empresa al ordenador doméstico del empleado para jugar a juegos que tenga instalados en él, el riesgo se agrava aún más ya que, en principio no se conoce el grado de seguridad que tienen sus equipos domésticos (que normalmente suelen ser muy bajo (y, desde luego, muy inferior a la requerida a nivel de la empresa), sin tener protecciones endpoint ni de prácticamente ningún tipo) Ese equipo podría estar infectado con malware de todo tipo que, mediante la conexión desde el puesto de trabajo, sea transmitido y extendido a la red corporativa, por ejemplo, y sería una vía de entrada perfecta para que se produjera una brecha de seguridad, un secuestro de la red o una infección masiva. En definitiva, utilizar los recursos que la empresa pone a disposición de los trabajadores para actividades relacionadas con el juego online, al margen de suponer una conducta reprobable (e incluso motivo de despido si se ha informado previamente a los empleados de la existencia de sistemas de monitorización de sus actividades), constituye un riesgo elevadísimo de sufrir una brecha importante de seguridad que ninguna empresa debería tener que asumir. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Protección avanzada de endpoints: herramientas EDR
Cuando hablamos de protección avanzada de endpoints, lo primero que deberíamos saber es qué entendemos por dispositivos de punto final: son todos aquellos equipos informáticos que están conectados a una red con la que se comunican, como por ejemplo ordenadores de escritorio, portátiles, tablets, servidores, etc, … Una vez definidos, la siguiente cuestión que nos podríamos plantear es la de por qué es importante protegerlos. La respuesta es bastante evidente: constituyen la vía de entrada por la que un ciberdelincuente puede hacerse con el control de nuestros sistemas; es donde los atacantes ejecutan código y explotan vulnerabilidades; y donde se almacena la información sensible que puede ser robada o encriptada para extorsionarnos. Principales vías de infección Los principales vectores de ataque por los que un endpoint puede verse comprometido han sido, tradicionalmente, los que todos conocemos y hemos oído en multitud de charlas de concienciación o en correos de nuestros responsables de seguridad: Correo electrónico Fallos de sistemas Páginas web maliciosas Descarga de ficheros de internet USBs o dispositivos extraíbles Ataques directos Apps maliciosas o desactualizadas. Todos ellos, de una manera o de otra, constituyen la vía de entrada habitual de malware y conforman una potencial debilidad en sí mismos. La “buena noticia” es que todos ellos pueden protegerse mediante una solución tradicional o básica como los antivirus. Protección avanzada Sin embargo, las amenazas actuales se multiplican y cambian tan rápido que no deberíamos depender de una simple solución tradicional para estar protegidos. La realidad es que los riesgos nunca han sido tan diferentes y continuos como lo son ahora: en un mismo día, un endpoint puede sufrir un par de estafas de phishing con un enlace de malware, descargar un ransomware de un sitio web falsificado o ser víctima de un ataque sin archivo que se mantiene oculto durante mucho tiempo sin que haya (o lo parezca) conexión entre ninguno de estos ataques. Para estar realmente protegido a día de hoy, se debe contar con soluciones de ciberseguridad multicapa que monitoricen en tiempo real los sistemas y endpoints para encontrar patrones de comportamiento que permitan detectar las amenazas persistentes avanzadas, ataques sin archivos u otras actividades maliciosas que puedan suponer un peligro para la organización. Ahí es donde entra en juego la protección EDR, es decir, Endpoint Detection and Response, detección y respuesta (de incidentes) en el dispositivo final, con la que, gracias a la monitorización y a la Inteligencia Artificial, se consigue una protección mucho más completa llegando a conseguir anticiparse a la mayoría de los ataques. Algunos aspectos clave de la protección avanzada de endpoints son: Monitorización constante y recogida de datos. La seguridad para el endpoint requiere la recopilación y el análisis de información para analizar comportamientos y crear patrones. Es vital poder saber qué pasa en cada dispositivo, red y conexión para poder detectar cambios en ellos que puedan suponer un riesgo. Detección de ataques no basados en archivos. Hoy en día, existen multitud de ataques que utilizan técnicas de post explotación que no necesitan la descarga de ningún archivo, sino que cargan y ejecutan código malicioso directamente desde la memoria del sistema. Múltiples capas. Para poder cubrir el mayor número posible de ciberamenazas se necesita una combinación de herramientas locales basadas en las firmas, tecnologías asentadas en la nube y el análisis de comportamiento basado en contextos para detectarlas y responder de forma adecuada. ¿En qué consisten las herramientas Endpoint Detection and Response? Las herramientas EDR constituyen los mejores recursos para combatir las amenazas avanzadas y responder así a incidentes en los endpoint. Combinan el análisis y bloqueo de comportamiento, control de aplicaciones, listas blancas, monitorización de la red y respuesta a incidentes. Las herramientas EDR se integran con otras herramientas de seguridad para: Mejorar la visibilidad de los comportamientos y procesos en el endpoint. Administrar los activos. Mejorar la respuesta. Proporcionar datos a los responsables de seguridad para el análisis de dispositivos. Cómo funcionan las herramientas EDR Las herramientas EDR funcionan supervisando eventos de los endpoints y de red. La información registrada se lleva a una base de datos central donde, gracias al apoyo de la Inteligencia Artificial, se realizan tareas de análisis, detección, investigación, informes y generación de alertas. Este tipo de herramientas identifican aquellas tareas que pueden mejorar el estado general de seguridad de una empresa al ser capaces de identificar, responder y desviar amenazas internas y ataques externos Ventajas de utilizar herramientas EDR Mejora la capacidad de anticipación ante los ataques dirigidos. Gracias a modelos preventivo (pre-infección) y de detección (post-infección) se analizan patrones de comportamiento que permiten anticipar amenazas. Disminución del tiempo de exposición a incidentes de seguridad gracias a un enfoque proactivo Buena capacidad de filtrado, al ser capaces de detectar y marcar los falsos positivos. Bloqueo avanzado de amenazas: no solo en el momento en que se detecten, sino también mientras dure el ataque En definitiva, lo que conseguimos es un aumento de nuestra capacidad de respuesta a incidentes y de la protección contra múltiples amenazas simultaneas. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Firewall: así protegen los cortafuegos la información y redes corporativas
La protección de los sistemas informáticos, especialmente en entornos corporativos y críticos, es compleja. Son muchas y crecientes las amenazas que ponen en peligro las redes corporativas y los datos debido a la constante digitalización y apertura a internet de las organizaciones: ataques de malware, phishing, ingeniería social, intrusiones, brechas de datos… Vectores de ataque que afectan a todo el perímetro y que tratan de acceder por cualquier resquicio del sistema. Por ello los mecanismos de ciberseguridad se suelen aplicar en forma de capas, añadiendo niveles de seguridad que sean capaces de detectar y detener las amenazas en alguna de las fases antes de que afecten a los sistemas o a sus datos. Una de esas capas es el firewall, uno de los sistemas de seguridad básicos más usados en todas las infraestructuras IT, y considerado una de las primeras líneas de defensa. Los firewall, o cortafuegos, son sistemas que actúan de “filtros” o “embudos” entre la red corporativa y los dispositivos corporativos y el exterior, es decir, internet. Por el cortafuegos pasan todo el tráfico, comunicaciones y conexiones a la red. Su misión es prevenir los accesos no autorizados hacia una red, tanto de entrada como de salida, impidiendo que usuarios no autorizados puedan acceder a redes privadas y a sus datos. Es decir, todas las comunicaciones de una red, tanto entrantes como salientes pasan por el firewall que verifica si son legítimas o no, y finalmente las deja pasar o las bloquea, si no cumple con los requisitos de seguridad establecidos. Un aliado de IT: control de las políticas de seguridad internas Esta tecnología no solo permite bloquear intentos de intrusiones externas, por ejemplo de ciberdelincuentes o de posibles programas maliciosos, sino que también se pueden establecer reglas para que el firewall bloquee acceso a conexiones salientes, como pueden ser determinados programas. Es decir, se pueden indicar que determinados software instalados en los ordenadores y dispositivos no puedan acceder a la red corporativa o a internet. Por otro lado, el departamento de IT también podrá crear listas blancas o white list de programas, herramientas, aplicaciones o sitios web que sí están autorizados a enviar o recibir datos. Esta tecnología cuenta con muchos beneficios, el principal es la protección de todo el perímetro de la red ante el tráfico malicioso. Es especialmente útil y beneficioso en redes con un elevado número de endpoints o dispositivos conectados a internet. Entre las ventajas que provee esta tecnología se encuentra precisamente la alta personalización de configuraciones, reglas, accesos y bloqueos, permitiendo a los administradores IT de la compañía un mayor control y establecer políticas de seguridad muy concretas. Un firewall bien configurado puede evitar en gran medida accesos de atacantes, manteniendo así a salvo los sistemas y los datos corporativos. Por otro lado, aunque los firewall están diseñados para proteger el tráfico de la red, no tienen ningún efecto por ejemplo en la autenticación de los usuarios de la red u otras medidas de seguridad, como la eliminación del malware o software malicioso. Para esas acciones se necesitan otras herramientas como pueden ser sistemas de gestión de accesos o soluciones antiphishing y antimalware. Por eso se considera una de las primeras líneas de defensa y muy importante sin duda, pero requiere la cooperación de otras capas de seguridad para proteger en su totalidad la red corporativa de las diferentes amenazas. Tipos de firewall para la empresa La tecnología firewall data de la década de los ochenta, cuando se desarrollaron los primeros cortafuegos de filtrado de paquetes. Desde entonces, sus funcionalidades han evolucionado mucho, adaptándose para filtrar mejor el tráfico entrante y detectar las nuevas amenazas. Los firewall se pueden implementar en forma de hardware (es decir, un aparato o dispositivo físico conectado a la red corporativa) pero también en forma de software (programas informáticos instalados en los equipos), como son los que incorporan la mayoría de los sistemas operativos. Los router, incluso los domésticos, también incorporan de serie firewall preinstalados y activados. Incluso hay configuraciones de cortafuegos que contienen ambos tipos, tanto el software como el hardware, para aportar mayor personalización y control de las reglas de seguridad. Esos firewall incorporados en los sistemas operativos suelen ser considerados como cortafuegos de tipo tradicional, capaces de filtrar las conexiones salientes y entrantes de una red. Sin embargo, a nivel corporativo las empresas pueden necesitar otras clases de firewall con funciones avanzadas, como son los UTM (Unified Threat Management) también denominados Gestión Unificada de Amenazas o los Next Generation Firewalls, o Firewall de Nueva Generación (NGFW). Los proveedores de este tipo de servicios han añadido características adicionales más allá de las ofrecidas por los firewall tradicionales. En el caso de los firewall UTM, el nivel de protección es superior a las versiones tradicionales, añadiendo características como antivirus, antispam o VPN, en función del fabricante, pero suelen tener en común que cuentan con una gestión simplificada. Asimismo, los Firewall de Nueva Generación (NGFW) son capaces de detectar ataques más allá del filtrado tradicional y suelen estar enfocadas a redes con un elevado número de conexiones. Estos últimos tipos de firewall avanzado son los que suelen formar parte de las infraestructuras de seguridad de las empresas, precisamente por el dinamismo que ofrecen a la hora de crear y configurar controles en las redes corporativas de una forma sencilla y efectiva. NOTA: Hemos preparado una infografía para poder ver, de manera más visual, los beneficios de un Firewall. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
UEM, administración unificada de endpoints móviles
Si algo ha caracterizado a estos primeros años del siglo XXI ha sido el paso hacia la movilidad en todo lo relacionado con las comunicaciones y el acceso a internet. Los dispositivos móviles han pasado a ser no solamente un compañero inseparable en nuestro día a día, sino que, a nivel empresarial, han permitido “llevarnos la oficina” a cualquier parte (situación que ha alcanzado su máximo exponente con la expansión del teletrabajo motivado por la pandemia que estamos viviendo). De hecho, se producen hoy en día más conexiones a internet que personas somos en el mundo, con una tasa de un 103% conexiones respecto a la población total, según recoge el informe We Are Social 2020 de Hootsuite. Este boom de la movilidad (tanto a nivel de crecimiento de dispositivos como de cantidad de datos transmitidos) lleva aparejados una serie de riesgos asociados que debemos tener cubiertos, especialmente cuando hablamos de dispositivos endpoints corporativos, en los que generalmente suele haber información confidencial, sensible y delicada para la organización. Algunas de las amenazas más comunes en dispositivos endpoints móviles Acceso físico no autorizado al dispositivo móvil: bien sea de manera temporal (por una distracción o porque nos lo coja el niño, por ejemplo) o más prolongado en el tiempo, por un robo o una pérdida del mismo. Acceso no autorizado a la información almacenada, que es, realmente, el riesgo más importante a nivel empresarial: que alguien ajeno a la organización pueda hacerse con datos, documentos corporativos o información confidencial, o pueda hacerse con credenciales de acceso a servicios corporativos Acceso no autorizado y manipulación de la información transmitida, como un ataque Man-in-the-Middle o la interceptación de las conexiones por WiFi u otro medio. Software malicioso (malware) en apps, accesos a servicios SMS Premium), anuncios, phishing, etc… Además de estas, hay otros riesgos inherentes al uso de dispositivos endpoints móviles: Dispositivos móviles que estén rooteados o jailbreak. Uso de apps y/o servicios cloud que puedan no cumplir los estándares de seguridad que requiere la organización. Uso particular de dispositivos corporativos o, al revés, utilización de dispositivos propios, posiblemente mal securizados, para acceder a información corporativa. Incluso podemos ir más allá y plantearnos qué sucede cuando un empleado causa baja en la organización, bien por despido o baja voluntaria, y tarda en devolver su dispositivo. O entre el periodo de tiempo entre que se comunica esa baja y la fecha de baja efectiva. Toda esta problemática se produce con más intensidad cuando hablamos de uso de dispositivos endpoints personales en el entorno corporativo (BYOD, Bring Your Own Device), cuando se utilizan aplicaciones de uso personal para acceder a información corporativa (BYOA, Bring Your Own App) o al usar servicios cloud propios para almacenar datos e información de le empresa (BYOC, Bring Your Own Cloud). ¿Qué es la gestión unificada de dispositivos endpoints móviles (UEM)? La solución a todos estos problemas la encontramos con las herramientas UEM (Unified Endpoint Managament, o administración unificada de endpoints móviles). Una solución UEM (anteriormente llamados MDM) es una herramienta que nos permite administrar y proteger dispositivos móviles en una organización, de manera que todos ellos se ajusten a unas determinadas políticas de seguridad y cuenten con las mismas medidas que garanticen que la información corporativa que manejan no pueda verse comprometida. ¿Cuáles son las características más comunes en la mayoría de las soluciones UEM? Instalación colectiva de aplicaciones. Nos permiten instalar aplicaciones de manera remota e, igualmente, estandarizar y extender a todos los dispositivos la misma gestión de parches y actualizaciones. Seleccionar las aplicaciones autorizadas por la organización para gestionar la información corporativa, evitando aquellas que puedan ser no productivas. Localizar los dispositivos mediante GPS en caso de acceso a información sensible o si se produce la pérdida o robo del mismo. Mantener los archivos sincronizados y en su última versión para que todos los usuarios dispongan de la misma información en todos sus dispositivos. Bloqueo o uso selectivo de funciones. Por ejemplo, restringir la conexión a una WiFi no segura o mantener activo siempre la solución anti-malware incorporada. Borrado remoto en caso de robo o pérdida. Como vemos, las soluciones UEM permiten una granularidad máxima a la hora de proteger los dispositivos móviles, manteniendo siempre la privacidad de los datos personales del trabajador, de manera que este siempre tenga un apartado (salvo en aquellos de uso estrictamente empresarial) en el que mantener su espacio de uso personal ajeno al control y supervisión de la empresa. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
¿Qué es un WAF?
Los servicios y aplicaciones web son, seguramente, los activos empresariales más expuestos y por tanto aquellos que son más fácilmente alcanzables. Ello explica el gran número de amenazas web que existen hoy en día y el constante crecimiento y desarrollo de nuevos métodos para vulnerar la seguridad de las mismas. Un ataque exitoso por esa vía puede tener consecuencias nefastas, desde daños financieros y reputacionales hasta la total pérdida de confianza por parte del cliente. La realidad es que el uso de aplicaciones web públicas cada vez está más extendido, y empresas en todo el mundo utilizan: Aplicaciones web APIs Aplicaciones móviles Dispositivos IoT Para proteger este tipo de aplicaciones frente a los cada vez más frecuentes ataques, se han desarrollado los Web Application Firewall o WAF. ¿Qué es un WAF? Si un firewall es un sistema que regula el tráfico entre servidores, impidiendo o permitiendo según qué tipo de conexiones, un WAF es lo mismo, pero con capacidad de analizar y controlar el tráfico generado y recibido dentro de las aplicaciones web. Es, por lo tanto, un elemento esencial en la defensa de nuestra organización frente a las crecientes amenazas de seguridad web. ¿Cómo funciona un WAF? Básicamente el WAF se encarga de inspeccionar el tráfico antes de que este llegue a la aplicación web, protegiendo al servidor y filtrando cualquier posible amenaza. Un WAF tiene la capacidad de monitorizar todo el tráfico entrante, filtrarlo y clasificarlo, para bloquear automáticamente aquel que puede ser potencialmente malicioso, de manera que solo permite el paso del tráfico legitimo y que ha sido previamente autorizado. Los tipos de ataques más comunes se suelen impedir mediante las configuraciones y reglas predeterminadas y, para aquellos más específicos o importantes para nuestra organización, siempre podemos crear las reglas necesarias para su filtrado. Tipos de ataques que bloquea Ataques por inyección de código (de todo tipo, no solamente SQL injection, sino también PHP, HTML, o scripts) Ataques cross-site scripting(XSS) Ataques cross-site Request Forgery, o de falsificación de petición en sitios cruzados Pero no solamente bloquea esos tipos de ataque. Un WAF nos sirve también para cubrir configuraciones incompletas o débiles de seguridad (como por ejemplo tener bugs o vulnerabilidades conocidas en plugins que no podemos actualizar. El WAF hace de capa extra para no dejar esas vulnerabilidades expuestas). También nos protege de intentos de accesos maliciosos, sirviendo como herramienta de control de acceso, así como de ataques o intentos de ataque por fuerza bruta (con la intención de robar contraseñas). Tipos de WAF Básicamente, y en función de dónde esté instalado y configurado, existen tres tipos de WAF: WAF de red Se implementan directamente en la red de la empresa (dentro de la DMZ). Está, por lo tanto, físicamente en la red corporativa y por ello maximiza la rapidez y el procesamiento de todas sus acciones. WAF de host Se instalan y configuran directamente en el hosting. Hay varias posibilidades en función de a qué nivel se encuentren implementados: directamente en el sistema operativo, en el servidor web o en la propia aplicación final. Cloud WAF Como su propio nombre indica, si se implementa en la nube no requiere ninguna infraestructura determinada, sirven para cualquier plataforma y se configuran y administran en remoto (por DNS, por ejemplo). ¿Qué beneficios nos proporciona un WAF? En primer lugar, nos garantiza una protección continua, al poder detectar ataques automatizados mediante bots. Ayuda a minimizar riesgos de sanciones asociadas a fugas de información, por ataques que tengan como objetivo aprovechar una vulnerabilidad que podamos tener para robar información sensible. Podemos conseguir un importante ahorro de recursos ya que, al tener visibilidad total sobre todos los movimientos realizados en torno a la red corporativa, podemos detectar cuáles son los objetivos más vulnerables y los más “golosos” para los ciberdelincuentes, y destinar los recursos allá donde sea necesario. Además, mejora el rendimiento y la seguridad de las aplicaciones y, en aquellas empresas que lo precisen, es ideal para asegurar la seguridad de las transacciones comerciales y el cumplimiento de estándares como PCI-DSS. En resumen, un WAF es una herramienta imprescindible en cualquier organización hoy en día, especialmente en aquellas que dependan de sus servicios y aplicaciones web para su día a día. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Configuración segura del correo electrónico: ¿Qué es DMARC?
El correo electrónico es, lleva siéndolo varios años, el principal vector de ataque que utilizan los ciberdelincuentes a la hora de comprometer una empresa. En más de un 70% de los casos confirmados de ciberataques en 2019, el correo electrónico ha sido el medio por el que los ciberdelincuentes han conseguido ejecutar sus exploits y vulnerar la seguridad de las víctimas. Es, por tanto, evidente, que la protección del correo debería ser una de las principales prioridades de cualquier organización. En una doble vertiente, además: por un lado, garantizando que ninguno de sus usuarios cae en la trampa de un ataque de suplantación de identidad a través de mail y, por otro, implementando las configuraciones necesarias para que el dominio corporativo no pueda ser suplantado fácilmente por los ciberdelincuentes, lo que supondría una crisis reputacional importante para la empresa. Establecidas esas dos prioridades, vamos a ver cómo una adecuada configuración del correo electrónico puede ayudarnos a tenerlas cubiertas. Y es que, precisamente por el aumento del uso del correo electrónico como vector de ataque se ha demostrado la necesidad de implementar medidas y políticas de comprobación de la identidad para tratar de minimizar el número de suplantaciones. Estamos hablando de SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance) que, si bien pueden resultar ininteligibles a primera vista, trataremos de explicar de un modo más o menos sencillo. Para intentar hacerlo más comprensible, vamos a utilizar un símil que todos conocemos (bueno, los millennials seguramente menos 🙂 ): las cartas postales. Cuando el correo postal era lo habitual, a ninguno de nosotros se nos ocurriría confiar en una carta en la que el remitente del sobre no fuera el mismo que el remitente de la carta interior. Ni tampoco de un envío en el que el remitente del encabezado fuera distinto de quien firmaba la carta al final de la misma, ¿no? Pues en el correo electrónico es lo mismo. Esas 3 siglas que hemos citado lo que hacen para dar validez a un mensaje, en realidad, es: comprobar que esos tres remitentes son quienes dicen ser, y que son todos el mismo Repasemos el recorrido que hace un correo. Cuando se realiza un envío de un correo electrónico, en el servidor de salida al mensaje en sí se le asigna el dominio (@dominio.com), se envía y llega al servidor de correo del destinatario. Hasta ahí todo normal. Si no tuviéramos un anti spam ni nada más configurado, el mail se entregaría al destinatario, que ya podrá cruzar los dedos para que sea legítimo. Sin embargo, afortunadamente las cosas no son así y se realizan comprobaciones adicionales. SPF (Sender Policy Framework) Por un lado, se comprueba que el dominio desde el que se envía ese correo (@dominio.com) se hace desde una IP autorizada para enviar con ese nombre de dominio. Eso lo definimos en nuestro ISP estableciendo, a nivel de DNS, la configuración correspondiente. ¿Qué nos proporciona esto? Pues comprobar que el return-path es el mismo que el from, del correo. Es decir, que el remitente del sobre es el mismo que el remitente del encabezado de la carta. DKIM (Domain Keys Identified Mail) Por otro lado, otra comprobación (que es independiente de la anterior, y esto es importante), lo que hace es añadir una firma electrónica al mensaje para garantizar que no ha sufrido modificaciones durante el envío y que, quien firma el correo (@dominio.com) es, realmente, quien dice ser. ¿Qué nos proporciona esto? Pues que @dominio.com es realmente @dominio.com. es decir, que quien firma la carta al final del mensaje es, realmente, quien dice ser en el encabezado. Sin embargo, estas dos comprobaciones se hacen de manera independiente. Y, además, no siempre se hacen al no estar siempre configuradas. Porque para que el servidor de correo del destinatario pueda hacer esas comprobaciones, deben estar previamente definidas a nivel de DNS en el servidor de salida, es decir, deben ir incorporadas en las cabeceras del correo. Si no tenemos bien configurado el SPF y el DKIM en nuestro servidor, el destinatario no podrá comprobar que nuestro correo es legítimo y lo enviará a spam (o lo entregará aunque haya sido suplantado y sea ilegítimo), con las consecuencias obvias a nivel de reputación y de pérdida de negocio al no llegar a su destinatario nuestros mails. No solo eso, dejamos en manos del ISP el que haga la comprobación de SPF o la de DKIM. O ambas. O ninguna. En cualquiera de los casos perdemos el control de la seguridad de nuestro propio correo. DMARC (Domain-based Message Authentication, Reporting and Conformance) La solución se llama DMARC. Es una política de configuración en la que definimos que, para que nuestro correo sea legítimo (seamos verdaderamente nosotros), aunque SPF esté ok, compruebe DKIM (o viceversa, aunque DKIM esté correcto, compruebe SPF) y si, y solo si, ambas comprobaciones son correctas, entonces el correo es legítimo y es nuestro. De hecho, podemos definir el grado de “severidad” con que se debe cumplir con esos parámetros, lo que debe hacerse con los que no cumplan (que vayan a cuarentena o eliminarlos) o incluso recibir informes de intentos de suplantación de identidad. En una palabra, DMARC lo que hace es devolvernos la capacidad frente a los ISP de garantizar que nuestro mail es legítimo y, por extensión, qué hacer con los que no lo sean. Una configuración correcta de nuestro correo electrónico es vital de cara a garantizar que nuestro correo llega a nuestros clientes y, a su vez, que nuestro mail corporativo no pueda ser suplantado fácilmente. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Firewall tradicional vs NGFW vs UTM
Firewall tradicional vs NGFW (Next Generation Firewall) vs UTM (Unified Threat Management) Como bien sabemos, el objetivo principal de cualquier dispositivo de protección perimetral es crear una barrera de aislamiento que realiza un filtrado en la transmisión de tráfico y de esta forma impedir comunicaciones no deseadas entre la red que protegemos y otras redes internas o externas. Para llevar a cabo este propósito, existen multitud de dispositivos con diferentes nomenclaturas (Firewall, NGFW, UTM) y de multitud de fabricantes, cada uno con unas características y cualidades que pueden ser en algunos casos bastante diferenciadoras. Ante esta cantidad de fabricantes y dispositivos es complicado diferenciar que tipo de producto es el apropiado para cada organización cuando es necesario implementar un sistema de protección perimetral. Antes de continuar con la definición y características de estos tres tipos de protección es importante comentar que las diferencias entre los Firewalls de Nueva Generación (NGFW) y los Sistemas Unificados de Amenazas (UTM) son bastante difusas, depende mucho de la nomenclatura que cada fabricante quiera dar a su producto, en algunos casos es difícil diferenciar entre ellos. En general, se suele decir que los NGFW al completar sus características con diferentes appliances o componentes están más indicados para para grandes empresas en las que es necesario disponer de diferentes escalabilidades para cada uno de los módulos, mientras que los UTM, al encontrarse todas las características en el mismo sistema, en principio, no se suelen implantar en empresas de gran tamaño. En cualquier caso, siempre hay excepciones basadas en el tráfico que hay que gestionar, o características de cada infraestructura. Para intentar despejar algunas de estas dudas vamos a explicar de una forma breve que son los firewalls tradicionales, los NGFW y los UTM. Firewalls tradicionales Un firewall tradicional está diseñado para controlar el flujo de tráfico entrante y saliente de la red corporativa basándose en su puerto de origen/destino, protocolo y dirección IP. Las funciones principales de los firewalls tradicionales son: Filtrar los paquetes de forma que solo garantiza la entrada y salida de los paquetes que no coincidan con firmas de ataques conocidos. Dar soporte a conexiones VPN para garantizar conexiones cifradas y seguras a través de internet. Inspección de estado (stateless o statefull): De forma sencilla, la inspección de estado de tipo stateless es cuando el firewall solo es capaz de analizar paquetes de forma individual y no es capaz de analizarlos viéndolos como conjunto. Actualmente todos los firewalls son statefull, por lo que si son capaces de ver todos los paquetes como un conjunto y analizarlos. Este tipo de sistemas de protección ya son poco efectivos ante las nuevas amenazas y no están indicados para la protección empresarial. Prácticamente cualquier router doméstico dispone de características de firewall tradicional Next Generation Firewalls (NGFW) Esta gama de firewalls va un poco más allá de las funciones que tienen los firewall tradicionales, añadiendo funcionalidades como detección de aplicaciones (en capa de aplicación), antivirus de red, detección de intrusos (IDS), prevención de intrusos (IPS) y una de las funciones más importantes que es inspección en profundidad de paquetes (DPI) junto con inspección en profundidad de paquetes SSL (DPI SSL). Esta última es muy importante ya que le permitiría al NGFW analizar el tráfico de conexiones cifradas con SSL en busca de firmas de ataques conocidos. Aparte de estas nuevas funcionalidades, los NGFW también permiten crear políticas de control de acceso de forma más dinámica y eficiente. Vistas las funcionalidades en general, entendemos que los NGFWs son firewalls especializados en el análisis en profundidad de paquetes, inspección de protocolos y puertos. Muchos de los fabricantes de sistemas de protección actuales encajan en este tipo de sistema y en la mayoría de los casos, para completar las funcionalidades de estos firewalls, estos fabricantes suelen disponer de diferentes módulos, normalmente licenciados aparte, que amplían sus funcionalidades (Protección de correo electrónico, WAF, DLP, etc). Unified Threat Management (UTM) Estos elementos de protección perimetral que seguirían clasificándose con la “etiqueta” de firewall de nueva generación, se caracterizan en que converge en un solo dispositivo muchas funcionalidades distintas con una consola de gestión centralizada. Por lo tanto, un UTM tendría prácticamente las mismas funcionalidades que tiene un NGFW pero con funciones adicionales, pudiendo así cubrir todas las necesidades en cuanto a protección perimetral. Dependiendo de cada fabricante, algunas de las características que completan un NGFW y lo convierten en un UTM completo son: Protección de correo electrónico Firewall de aplicaciones WEB (WAF) Controlador de redes Wifi Ejecución de malware en Sandbox Reglas basadas en el estado del Endpoint. DLP Elegir la mejor opción para tu empresa No cabe duda de que todas las empresas actualmente deben de tener una protección perimetral acorde a las amenazas que en estos momentos “rondan el ciberespacio”. Como se ha comentado con anterioridad, un firewall tradicional no cumple con esta protección básica por lo que es necesario que planteemos desde un principio que necesitamos de características más avanzadas. ¿Porque abordar un cambio? Necesidad de protección: Es posible que tras haber leído este artículo llegues a la conclusión de que necesitas un NGFW o un UTM ya que ya eres consciente de que tu empresa, como todas las demás, se ve amenazada a diario por hackers, malware, Phishing, SPAM, Scammers, empleados descontentos, etc… y un firewall tradicional no es suficiente.Pero… ¿Es mejor un NGFW o un UTM?, bueno, en realidad la clave aquí no es cual es mejor, si no cual se adapta mejor a las necesidades de tu compañía. ¿Ya dispones de otros sistemas de protección? ¿Tienes un alto volumen de tráfico que gestionar? ¿Qué escalabilidad necesitas? ¿Qué tipo de información queremos proteger? Estas y otras muchas preguntas son las que hay que hacerse para determinar que sistema se adapta mejor a nuestra empresa. Es por ello por lo que, es necesario realizar un análisis para cada una de las situaciones y tomar la decisión más adecuada para cada una de ellas. Nuevas Funcionalidades: Según en qué fabricante confíes tu seguridad perimetral, te encontrarás más o menos