Visión global de la sostenibilidad y gobernanza de la ciberseguridad
La sostenibilidad y la gobernanza de la ciberseguridad, se han vuelto imprescindibles en la era en la que las tecnologías avanzan a un ritmo imparable. Vamos a descubrir cómo implementarlas de forma eficaz en cualquier ámbito o canal. ¿Qué es ESG? ESG son las siglas de «Ambiental, Social y Gobernanza» en inglés, que se refieren a los criterios utilizados para evaluar el desempeño de una empresa en áreas más allá de simplemente sus resultados financieros. Estos criterios se utilizan para medir el impacto y la sostenibilidad de una empresa en tres dimensiones clave: Ambiental (E – Environmental): se refiere a cómo una empresa gestiona sus impactos ambientales. Esto incluye prácticas relacionadas con la gestión de residuos, la eficiencia energética, las emisiones de gases de efecto invernadero. También la conservación de recursos naturales y la gestión de riesgos ambientales. Social (S – Social): se centra en cómo una empresa gestiona sus relaciones con empleados, clientes, proveedores y la comunidad en general. Incluye aspectos como la equidad laboral, la diversidad e inclusión, la salud y seguridad ocupacional, el respeto de los derechos humanos y las prácticas éticas en general. Gobernanza (G – Governance): se refiere a la estructura y procesos de toma de decisiones dentro de una empresa. Incluye la transparencia, la ética empresarial, la independencia del consejo, la gestión de riesgos y la rendición de cuentas. Una gobernanza de la ciberseguridad sólida asegura que la empresa sea gestionada de manera responsable y ética. GOBERNANZA DE LA CIBERSEGURIDAD: BENEFICIOS Las empresas que adoptan y cumplen con los criterios ESG pueden esperar una serie de beneficios significativos, incluyendo: Mejora de la reputación y la marca, atrayendo a consumidores y empleados que valoran la sostenibilidad. Acceso a capital a menores costos, ya que los inversores están cada vez más inclinados hacia empresas con sólidos desempeños ESG. Reducción de riesgos operativos y regulatorios a través de prácticas de gobernanza mejoradas. Oportunidades de innovación y acceso a nuevos mercados mediante la adopción de prácticas sostenibles. Mejora en la retención y atracción de talento, gracias a un fuerte compromiso con cuestiones sociales. Inversión sostenible: los inversores están cada vez más interesados en invertir en empresas que demuestren un fuerte desempeño en criterios ESG. La inversión sostenible busca no solo rendimientos financieros, sino también impactos positivos en el medio ambiente y la sociedad. Ciberseguridad y Gobernanza (G) La gobernanza empresarial incluye la toma de decisiones, la supervisión de la administración y la rendición de cuentas. La ciberseguridad es esencial para la gestión de riesgos en este ámbito, ya que las amenazas cibernéticas pueden tener impactos significativos en la gobernanza si no se gestionan adecuadamente. Resiliencia empresarial: la capacidad de una empresa para resistir y recuperarse de incidentes cibernéticos forma parte de su resiliencia empresarial. Ciberseguridad Y Social (S) La seguridad cibernética es fundamental para proteger los datos y la privacidad de los empleados, clientes y otras partes interesadas. La gestión efectiva de la seguridad cibernética contribuye a salvaguardar los derechos y la privacidad de las personas, aspectos sociales fundamentales en el marco ESG. Los incidentes de ciberseguridad pueden dañar la reputación de una empresa y la confianza de los clientes. Una gestión efectiva de la ciberseguridad contribuye a mantener la integridad y la reputación de la empresa, aspectos sociales clave en el contexto ESG. Efectos ambientales de las tecnologías (A) Si bien es menos evidente, las prácticas de ciberseguridad también pueden afectar los aspectos ambientales. A continuación, se desarrollan diversas dimensiones donde la ciberseguridad tiene un gran impacto sobre las cuestiones ambientales: Consumo de recursos energéticos: Centros de Datos: las operaciones de ciberseguridad a menudo dependen de centros de datos que consumen grandes cantidades de energía para su funcionamiento y refrigeración. La gestión eficiente de la ciberseguridad puede contribuir a reducir la demanda energética de los centros de datos, apoyando así prácticas más sostenibles. Impacto de incidentes cibernéticos en la cadena de suministro: los ataques cibernéticos exitosos a empresas y organizaciones pueden tener un impacto significativo en la cadena de suministro. Si los sistemas críticos que respaldan la producción y distribución de bienes y servicios se ven comprometidos, podría haber interrupciones que conduzcan a un uso ineficiente de recursos y una huella ambiental más grande. Tecnologías sostenibles y ciberseguridad: a medida que las organizaciones adoptan tecnologías más sostenibles, como la Internet de las cosas (IoT) para la gestión eficiente de recursos, la ciberseguridad se vuelve esencial. Asegurar estas tecnologías sostenibles es crucial para evitar posibles ataques que podrían tener consecuencias ambientales negativas. PRINCIPIOS BÁSICOS DE ACTUACIÓN Normas ISO: Algunos de los estándares reconocidos internacionalmente ayudan a establecer prácticas que respaldan los objetivos ESG: ISO 14001 – Gestión Ambiental: esta norma se centra en sistemas de gestión ambiental y puede ayudar a las organizaciones a identificar, gestionar, monitorear y mejorar sus impactos ambientales. ISO 26000 – Guía sobre Responsabilidad Social: proporciona directrices sobre cómo las organizaciones pueden operar de manera socialmente responsable, abordando aspectos como derechos humanos, prácticas laborales, medio ambiente, prácticas leales, y participación en el desarrollo de la comunidad. ISO 45001 – Seguridad y Salud Ocupacional: aborda la salud y seguridad en el trabajo, un componente importante de la responsabilidad social empresarial. ISO 37001 – Sistema de Gestión Antisoborno: ayuda a las organizaciones a establecer, implementar, mantener y mejorar un sistema de gestión antisoborno. ISO 22301 – Gestión de la Continuidad del Negocio: aborda la resiliencia organizativa y puede contribuir a la gestión de riesgos, lo cual es relevante para los criterios de gobernanza. ISO 27001 – Seguridad de la Información: contribuye a los criterios ESG mediante la gestión integral de riesgos, cultura de seguridad, cumplimiento legal y mejora continua. ESQUEMA NACIONAL DE SEGURIDAD: El Esquema Nacional de Seguridad (ENS) puede contribuir al cumplimiento de los criterios ESG (ambientales, sociales y de gobernanza) a través de diversas medidas y prácticas. Gobernanza: Transparencia y Ética: el ENS puede promover la transparencia en la gestión de la seguridad, asegurando que las instituciones y organizaciones operen éticamente y con responsabilidad. Participación: involucrar a partes interesadas en la definición y
ISO 27701: La clave para la protección empresarial
La protección de datos personales es un pilar fundamental de nuestra seguridad y un derecho fundamental, de acuerdo con la Carta de los Derechos Fundamentales de la Unión Europea. Por tanto, una correcta implantación de un sistema de protección en nuestra empresa determinará nuestro cumplimiento normativo, nos evitará sanciones económicas y beneficiará nuestra imagen corporativa. En este sentido, resulta fundamental adoptar acciones suficientes y correctas, lo cual puede convertirse en un reto para muchas organizaciones. Por ello, en este post abordamos cómo hacerlo de acuerdo con un estándar internacional con reconocimiento global. ¿Qué es la ISO 27701? En primer lugar, debemos comprender qué son los datos personales. Según el Reglamento general de protección de datos (RGPD), son toda aquella información sobre una persona física identificada o identificable. En otras palabras, la información que nos permite saber quién es un individuo. Por ejemplo, su nombre, dirección, número de identificación, teléfono o cuenta bancaria, entre otros. Estos datos los podemos encontrar en los contratos y nóminas de nuestros empleados, en registros de clientes, en correos electrónicos y en otros muchos documentos que utilizamos en el día a día. Por su parte, la norma ISO 27701 es un estándar internacional que establece requisitos y orientación para que implantemos un Sistema de Gestión de la Privacidad de la Información. Aunque es de carácter voluntario, es muy recomendable implantarlo. Esto se debe a que se basa en RGPD y es conforme a la Ley de Protección de Datos Personales (LOPDGDD). Por tanto, si cumplimos con los requisitos de la ISO 27701, contaremos con pruebas que nos permitirán evidenciar ante clientes, partners y autoridades públicas que tratamos adecuadamente los datos de carácter personal de acuerdo con la normativa vigente. Está particularmente dirigida al sector privado. En tanto que se fundamenta en gran parte en el RGPD, resulta especialmente interesante para aquellas organizaciones de derecho privado que manejen datos de ciudadanos de la Unión Europea como parte de su actividad. Se exceptúa su aplicación en los casos recogidos en el art. 2.2. RGPD y LOPDGDD. Características de la norma La ISO 27701 es una extensión certificable de la ISO 27001 de Seguridad de la Información. En otras palabras, se parte del Sistema de Gestión de Seguridad de la Información (SGSI) que prevé la ISO 27001 para implantar esta norma, ya que en muchos casos toma los requisitos de la ISO 27001 y los complementa con controles específicos de privacidad de la información. Esta norma destaca por su enfoque holístico hacia la privacidad. Integra principios de la privacidad desde el diseño y responsabilidad activa, evaluando riesgos y asegurando transparencia en el manejo de datos personales. Se divide en cuatro capítulos: Capítulo 5: Requisitos de gestión sobre privacidad de la información. Éstos se refieren a las políticas, procesos y procedimientos corporativos cuyo objetivo es dirigir y controlar nuestra operativa diaria. Capítulo 6: Requisitos de seguridad sobre privacidad de la información. Éstos se centran en las medidas físicas y técnicas concretas que adoptamos para proteger la información. Capítulo 7: Requisitos adicionales para el responsable del tratamiento. Se considera responsable al individuo u organización que decide qué datos se recopilan, con qué propósito y cómo se utilizarán, así como las medidas de protección aplicables. Capítulo 8: Requisitos adicionales para el encargado del tratamiento. Un encargado trata datos personales, pero se limita a seguir las instrucciones que le da el responsable, sin decidir nada por él mismo. ¿Cómo se aplica en la protección empresarial? La flexibilidad propia de la normativa ISO hace imposible ofrecer un listado homogéneo de medidas que todas las empresas deban implantar para certificarse en la ISO 27701, ya que dependerá de las circunstancias específicas de cada una. Sin embargo, en términos generales, podemos señalar los siguientes elementos: Políticas y procedimientos específicos relacionados con la protección de datos, como: Política de protección y privacidad de datos Alusiones específicas al tratamiento de datos personales en procedimientos corporativos, tales como gestión de incidentes o gestión de soportes. Roles y responsabilidades específicos: Designación de un Delegado de Protección de Datos, en caso de que se cumplan los requisitos del art. 37 RGPD y art.34 LOPDGDD. Cláusulas de contractuales de protección de datos en las relaciones con terceros, como: Acuerdos de confidencialidad (NDA). Derecho de control de datos personales (ARCOPOL). Consentimiento para el tratamiento de datos Enfoque en la gestión del riesgo: Metodología documentada de análisis de riesgos relativos al tratamiento de datos personales. Criterios de valoración del riesgo. Evaluación del riesgo. Plan de tratamiento del riesgo. Declaración de Aplicabilidad de los Anexos A y B de la ISO 27701, justificándose debidamente tanto el cumplimiento, como la posible exclusión de los controles. Registro de Actividades de Tratamiento (RAT), donde detallemos cómo gestionamos y procesamos los datos, a menos que se nos aplique la excepción del art.30.5 RGPD. Acciones de formación y concienciación relativas a la protección de datos para nuestros empleados, tales como píldoras de concienciación sobre la transferencia segura de información o charlas formativas sobre los principios clave de RGPD. Medidas técnicas específicas: Pseudonimización, anonimización y enmascaramiento de datos. Cifrado de datos en reposo y en tránsito. Recuperación de datos personales en backups. Bloqueo de datos que ya no se estimen necesarios hasta el término del plazo de prescripción, salvo requerimiento judicial o administrativo. Auditorías de cumplimiento, donde un tercero independiente examine nuestro grado de cumplimiento, e identifique posibles mejoras a nuestro Sistema de Privacidad. ¿Qué beneficios nos aporta la ISO 27701? Adoptar la norma ISO 27701 en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes: Cumplimiento normativo: Nos aseguramos de estar alineados con la normativa europea y española de protección de datos. Fomento de la confianza de clientes y posibles partners. Protección de la imagen y reputación de la empresa. Ahorro de tiempo y ventaja ante licitaciones: Nos facilita responder a los cuestionarios y funciona como garantía de cumplimiento de la protección de datos. Reconocimiento internacional: El certificado nos brinda reputación a nivel internacional, ya que está reconocido globalmente. ¿Cuáles son las
Ciberdefensa: ¿Qué es y por qué es importante?
En la actualidad, vivimos en un mundo cada vez más digitalizado. Esto ha supuesto un gran avance para la sociedad, pero también ha incrementado los riesgos de sufrir ataques cibernéticos. La ciberdefensa es el conjunto de medidas y acciones que se llevan a cabo para proteger los sistemas informáticos y las redes de comunicaciones de los ataques informáticos. ¿Por qué es importante la ciberdefensa? Es importante por dos motivos principales: En primer lugar, porque los ataques informáticos pueden tener un impacto significativo en la economía y la sociedad. Por ejemplo, pueden provocar pérdidas económicas, interrupción de servicios, o incluso daños físicos. En segundo lugar, porque los ataques informáticos pueden poner en riesgo la privacidad y la seguridad de las personas. Por ejemplo, pueden robar datos personales, como números de tarjetas de crédito o contraseñas. ¿Cuáles son los ciberataques más comunes? Los ciberataques más comunes son los siguientes: Ataques de denegación de servicio (DoS): Estos ataques tienen como objetivo impedir que un sistema o servicio esté disponible para sus usuarios legítimos. Ataque de Man in the Middle (hombre en el medio): Estos ataques tienen como objetivo interceptar las comunicaciones entre dos partes. Phishing (suplantación de identidad): Estos ataques tienen como objetivo engañar a las víctimas para que revelen información confidencial. Ataques de malware: Estos ataques tienen como objetivo instalar software malicioso en los sistemas informáticos de las víctimas. Ataque de fuerza bruta para obtener datos y contraseñas: Estos ataques intentan adivinar las contraseñas de las víctimas utilizando métodos automáticos. Ataque de inyección de código SQL: Estos ataques tienen como objetivo ejecutar código malicioso en los sistemas informáticos de las víctimas. Ataque de espionaje y privacidad (interceptar tráfico y mensajes): Estos ataques tienen como objetivo recopilar información confidencial de las víctimas. Ataque de ransomware: Estos ataques tienen como objetivo cifrar los datos de las víctimas y exigir un rescate a cambio de la clave de descifrado. ¿Cómo se puede proteger contra los ciberataques? Existen una serie de medidas que se pueden adoptar para proteger contra los ciberataques, entre las que destacan las siguientes: Implementar medidas de seguridad básicas, como firewalls, antivirus y software de seguridad de la información. Formar a los empleados sobre las amenazas cibernéticas y las medidas de protección que deben adoptar. Implementar un proceso de gestión de incidentes de ciberseguridad para responder de manera efectiva a los ataques cibernéticos. Ciberdefensa defensiva y ofensiva La ciberdefensa se puede dividir en dos grandes categorías: la ciberdefensa defensiva/pasiva y la ciberdefensa ofensiva/activa. Ciberdefensa defensiva La ciberdefensa defensiva se centra en la prevención, detección y respuesta a ataques con el objetivo de minimizar el impacto y proteger la integridad de los sistemas. Algunas de las medidas de ciberdefensa defensiva más comunes son las siguientes: Implementación de firewalls y sistemas de detección de intrusiones (IDS). Utilización de antivirus y antimalware. Implementación de políticas y procedimientos de seguridad. Formación de los empleados sobre seguridad. Ciberdefensa ofensiva La ciberdefensa ofensiva se centra en la capacidad de llevar a cabo operaciones activas para contrarrestar amenazas. Algunas de las medidas de ciberdefensa ofensiva más comunes son las siguientes: Investigación de amenazas. Desarrollo de herramientas y técnicas de ciberdefensa. Operaciones de ciberseguridad ofensivas, como el pentesting. Ventajas de la ciberdefensa La ciberdefensa ofrece una serie de ventajas, entre las que destacan las siguientes: Reduce el riesgo de sufrir ataques informáticos. Minimiza el impacto de los ataques informáticos que se produzcan. Protege la privacidad y la seguridad de las personas. Contribuye a la seguridad de la economía y la sociedad. Conclusión La ciberdefensa es una parte esencial de la seguridad en el mundo digital. Las empresas como Global Technology cuenta con medidas de ciberdefensa para proteger sus sistemas informáticos y sus redes de comunicaciones. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Inversión en ciberseguridad VS costes de un ciberataque
El Instituto Nacional de Ciberseguridad (INCIBE) en su informe “Balance de ciberseguridad 2022” remarca el hecho de que en el año 2022 se gestionaron un 9% más de incidentes de seguridad. La tendencia futura será la de crecimiento continuado por lo que es imprescindible la inversión en ciberseguridad. Los ciberataques afectan tanto a particulares como a empresas, en un porcentaje similar. En el ámbito empresarial se debe desterrar el mito de que no se ejecutan ciberataques contra las pequeñas empresas. Se podría pensar que una pequeña empresa carece de interés para los ciberatacantes. Sin embargo, éstos se aprovechan de que estas organizaciones no suelen contar con las defensas más eficaces en materia de ciberseguridad. Así mismo, esa posible debilidad defensiva atrae a los ciberatacantes noveles para ensayar las técnicas de ataque recién adquiridas. Uno de los ciberataques que prolifera entre las pequeñas y medianas empresas es el conocido como “Fraude del CEO”. Los ciberdelincuentes suplantan la identidad de clientes o proveedores, falsificando facturas con el fin de desviar a sus cuentas bancarias los importes acordados. Así, la apropiación de, por ejemplo, un importe de 50.000€ puede suponer un serio problema para la contabilidad de una pequeña empresa. Además, al evidente perjuicio económico, hay que sumar la problemática derivada de la gestión de estas situaciones que habitualmente acarrean tensiones en las relaciones entre las partes afectadas. Consecuencias de un ciberataque En los medios de comunicación es habitual encontrar noticias relacionadas con ciberataques dirigidos contra grandes compañías y entidades públicas, siendo predominantes los cometidos mediante ransomware. Es este uno de los ataques más extendidos y que peores consecuencias ocasiona a las organizaciones afectadas. Cualquier organización puede verse afectada, independientemente de su tamaño. Un ataque basado en ransomware sirve de claro ejemplo para determinar las enormes consecuencias que puede acarrear un ciberataque. Las operaciones de la organización puede paralizarse o verse afectada durante tiempo indefinido. En el mejor de los casos pueden ser únicamente horas, si bien es frecuente que sean días o, incluso, semanas. Para que esto ocurra no es necesario desencadenar un complejo ataque masivo contra todos los sistemas de información de la organización. El sólo hecho de comprometer una parte de los sistemas de información, como por ejemplo el ERP de gestión financiera, puede obligar a paralizar el resto de los sistemas para verificar su estado. Por otra parte, más allá de las consecuencias que un ciberataque tenga sobre la propia organización. Habrá que tener en cuenta las que se puedan desencadenar debido a aspectos relacionados con el sector al que pertenezca o a la actividad que desarrolle. Las consecuencias pueden llegar a ser extremas. A continuación, se describen algunos ejemplos: Empresas suministradoras: el hecho de que una empresa de suministro energético, de telecomunicaciones o de servicios básicos, como el agua, vea afectada su actividad puede impactar gravemente sobre la actividad de empresas y particulares. Empresas de transporte: compañías dedicadas al transporte de viajeros o de mercancías son esenciales para mantener la actividad cotidiana. Cualquier afección en sus servicios tiene efectos negativos evidentes. Hospitales: lamentablemente, ya se han producido ciberataques que han impactado sobre hospitales provocando afecciones sobre su infraestructura que han provocado el fallecimiento de personas. Entidades públicas: la actividad diaria de empresas y particulares está asociada a procesos en los que interviene la Administración. La alteración de su habitual funcionamiento puede acarrearles importantes afecciones. Costes de un ciberataque Todas estas consecuencias tienen una traslación económica evidente. El coste económico que conlleva un ciberataque es la principal preocupación para las organizaciones afectadas. Sin embargo, cuantificar ese coste implica realizar un análisis profundo, dado que son muy diversas las circunstancias que se deben contabilizar para conocer el coste real de un ciberataque. Es más, algunas son difíciles de identificar. Así pues, a la hora de valorar la realización de una inversión en ciberseguridad, deberemos asegurar que, al menos, se tienen en cuenta los costes derivados de los siguientes aspectos: Pérdida económica derivada de la afección a la producción: la pérdida de ingresos fruto de estas afecciones suele ser el mayor coste que debe soportar la organización. Pérdida de confianza externa por parte de los clientes y los proveedores: sufrir un ciberataque puede generar cierta desconfianza en aquellos que mantienen relación con la organización afectada. Pueden pensar que las afecciones pueden extenderse. Daño reputacional: la filtración, por ejemplo, de información que incluya datos personales, tarjetas de crédito o números de cuentas bancarias supone un enorme descrédito para la organización comprometida, viéndose afectada su marca. Adquisición no prevista de equipamiento informático (software y hardware) para sustituir el afectado o desplegar medidas de protección. Contratación de recursos expertos en IT o ciberseguridad: se encargarán de hacer frente al ciberataque y recuperar el normal funcionamiento de los sistemas. Contratación de servicios jurídicos especializados: gestionarán posibles incumplimientos contractuales o normativos. Contratación de servicios de comunicación externa: determinarán cómo se debe informar a terceros afectados. Desviación de recursos a tareas no previstas: la gestión de un ciberataque puede requerir la realización de tareas no previstas por los equipos de la organización, dejando aparcadas las que estuviesen planificadas. Multas o sanciones: éstas suelen derivase del incumplimiento de normativas o acuerdos privados. Adicionalmente, no conviene olvidar otro tipo de coste que las organizaciones deben soportar a la hora de gestionar un ciberincidente. Se trata del desgaste en los equipos humanos generado por la situación de crisis desencadenada. Inversión en ciberseguridad La inversión en ciberseguridad supone un esfuerzo adicional para las empresas que requiere de una adecuada planificación. En muchas ocasiones resulta difícil determinar el retorno de la inversión (ROI) dado que se da la paradoja de que, esa inversión está orientada a evitar un incidente y si éste no se produce, no será posible conocer su coste. Por este motivo, algunas tesis señalan que la inversión en ciberseguridad debe estar orientada hacia la reducción de riesgos. La inversión en ciberseguridad debe estar guiada por un Plan Director de Ciberseguridad en el que se detallen las prioridades, los responsables y los recursos que se van
Discovery y ZeroTrust el modelo de seguridad infalible
En el actual panorama de la ciberseguridad, las organizaciones se enfrentan a retos sin precedentes debido a la creciente complejidad de sus infraestructuras tecnológicas y a la sofisticación de las amenazas cibernéticas. En este contexto, la adopción de soluciones de discovery y del modelo ZeroTrust se presenta como una estrategia esencial para garantizar una protección robusta y eficiente. ¿Por qué implementar Discovery y ZeroTrust? Complejidad de la Infraestructura Moderna: Las redes corporativas de hoy día ya no están limitadas a un conjunto estático de dispositivos y servidores. Con la adopción masiva de dispositivos IoT, soluciones móviles y aplicaciones en la nube, es crucial para las organizaciones conocer y controlar quién y qué está conectado a su red en todo momento. Visibilidad en Tiempo Real: Las soluciones convencionales de gestión de redes a menudo no proporcionan una perspectiva completa ni actualizada de la infraestructura tecnológica. Un sistema de discovery eficaz ofrece visibilidad continua, permitiendo a las organizaciones identificar cada dispositivo o usuario tan pronto como se conecta a la red. Reducir la Superficie de Ataque: Implementando el principio de menor privilegio, que es fundamental en el modelo ZeroTrust, se garantiza que los dispositivos y usuarios solo tengan acceso a los recursos estrictamente necesarios para realizar sus funciones. Esta restricción limita las oportunidades que los actores maliciosos podrían tener para comprometer sistemas y datos. Beneficios adicionales de estas soluciones Automatización y Orquestación: Más allá del mero descubrimiento, las soluciones avanzadas pueden automatizar respuestas a determinados eventos o comportamientos, permitiendo a las organizaciones actuar rápidamente ante posibles amenazas, ya sea aislando dispositivos sospechosos o aplicando políticas específicas de seguridad. Integración con Herramientas Existentes: Las soluciones de discovery y ZeroTrust son compatibles e integrables con otras herramientas de seguridad, lo que permite a las organizaciones potenciar sus inversiones actuales y establecer una estrategia de seguridad holística y cohesiva. Cumplimiento y Regulaciones: Implementar estas soluciones facilita el cumplimiento de diversas normativas y estándares de seguridad, asegurando que las organizaciones no solo estén protegidas, sino que también estén preparadas para auditorías y revisiones regulatorias. Impacto en controles de la ISO/IEC 27002 Estas soluciones afectan a varios controles definidos en la norma ISO/IEC 27002, entre ellos: Acceso a la Red (D.13.1): Se establece un control sobre los puntos de acceso a las redes, evitando conexiones no autorizadas. Gestión de Dispositivos Móviles (D.6.2): Se garantiza que solo dispositivos autorizados puedan acceder a recursos corporativos. Segmentación en Redes (D.13.2): A través del principio de menor privilegio, se pueden definir segmentos de red específicos para diferentes funciones y usuarios. Gestión de la Configuración (D.12.5): Al tener visibilidad total de la red, es más sencillo identificar y controlar los cambios en la configuración de dispositivos y sistemas. Conclusión Adoptar soluciones de Discovery junto con el modelo ZeroTrust es una decisión estratégica que toda organización moderna debe considerar para mantener sus activos digitales seguros y garantizar la continuidad de sus operaciones. En un mundo donde la ciberseguridad es una prioridad, estas soluciones emergen como pilares fundamentales en la defensa y gestión de la infraestructura tecnológica. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Bastionado de servidores para la seguridad de tu empresa
¿Qué es el bastionado o hardening? Para entender qué es el bastionado o hardening tenemos que hablar previamente de los sistemas de información de las organizaciones. Se sustentan sobre infraestructuras de redes y sistemas. Dentro de estos últimos tienen cabida los servidores que alojan servicios de diferente propósito: correo electrónico, bases de datos, servicios web, servidores de ficheros, gestión, monitorización, etc… La relevancia que los servidores tienen para las organizaciones los convierte en objetivo muy atractivo para los ciberatacantes, muy especialmente, por el valor de la información que almacenan. Las amenazas a las que están sometidos son diversas, si bien las que con mayor frecuencia se suelen materializar son éstas: Explotación de vulnerabilidades para obtener un acceso ilícito al sistema. Ataque de denegación de servicio. Ataque de fuerza bruta. Interceptación de la información enviada entre cliente y servidor. Por todo ello, resulta fundamental que las organizaciones definan un plan para el despliegue, configuración y mantenimiento de sus servidores de forma segura. Es lo que se denomina bastionado o hardening en inglés. El NIST (National Institute of Standards and Technology) define este proceso como el conjunto de pautas y buenas prácticas definidas para fortalecer la seguridad y resiliencia de los sistemas de información, brindando a las organizaciones, un marco para proteger sus sistemas contra amenazas y ataques potenciales. Dicho plan debería hacer hincapié en, al menos, estas tres prácticas: Fortalecimiento de la seguridad del sistema operativo del servidor en el momento de su instalación y configuración. Fortalecimiento de la seguridad del software del servidor en la fase de instalación y configuración. Mantenimiento de la configuración segura mediante la aplicación de parches y actualizaciones apropiadas, pruebas de seguridad, monitorización de registros y copias de seguridad de datos y archivos del sistema operativo. Referencias para el bastionado La utilización de guías o Benchmarks de seguridad puede ayudar a los responsables del proceso a establecer en los servidores el nivel de protección requerido para alcanzar el cumplimiento normativo. Así, dentro del ámbito de la ciberseguridad, en España tienen un gran reconocimiento las Guías CCN-STIC elaboradas por el Centro Criptológico Nacional y a nivel internacional las publicadas por el CIS (Center for Internet Security). En ocasiones, el grado pretendido de bastionado de los sistemas puede interferir en la funcionalidad de los servicios. Por este motivo, los esfuerzos se deben orientar a buscar el equilibrio entre ambos objetivos. Fruto de ello, resulta interesante contemplar la posibilidad de elaborar procedimientos de bastionado específicos, apoyados en esos marcos de referencia, que se adapten a las singularidades de cada organización. Bastionado inicial La aplicación de las medidas de seguridad necesarias para el bastionado de los servidores en su fase de implementación resultará más sencilla que una vez completado el despliegue y finalizada la puesta en producción. Esta circunstancia facilitará, además, la realización de pruebas que permitan verificar la eficacia de las medidas instauradas. La seguridad debe contemplarse siempre desde la fase embrionaria del proyecto. Además, aplicar las medidas al inicio permitirá evaluar el impacto que éstas tienen sobre la usabilidad y el rendimiento. El proceso de bastionado de un sistema debe aplicarse tanto al hardware como al software. En la fase inicial de este proceso se tiene que prestar especial atención al sistema operativo, asegurando que esté instalado, configurado y alineado con los requisitos de seguridad requeridos. Como resultado, el plan de bastionado inicial de un servidor debería contemplar, al menos, los siguientes aspectos: Eliminación o desactivación de servicios y aplicaciones. Se debe aplicar el principio de instalar lo mínimo imprescindible. Procedimiento de parcheado y actualización del sistema operativo Configuración de la autenticación de usuario del sistema operativo Monitorización de recursos del sistema Monitorización de la seguridad del servidor Realización de pruebas de seguridad del sistema operativo. Una vez alcanzando el nivel de seguridad óptimo del sistema operativo, habrá que abordar el bastionado de la aplicación. El proceso a seguir será similar. En este caso, se deberán parchear todas aquellas vulnerabilidades conocidas que afecten a las aplicaciones. Control del bastionado Las dinámicas que rodean a un servidor desde su implementación son cambiantes. Durante su vida operativa están sujetos a actualizaciones, modificaciones, la aparición de nuevas amenazas y otras muchas circunstancias que para su gestión es imprescindible implementar mecanismos de control de la seguridad. Mantener un servidor seguro requiere esfuerzo, recursos y vigilancia constantes. Como consecuencia de ello, y con el fin de facilitar esta labor, resulta eficaz adoptar ciertas buenas prácticas como, por ejemplo: Analizar los archivos de registro de forma continua. En este ámbito resultan de gran ayuda las herramientas SIEM (Security Information and Event Management). Realizar análisis de vulnerabilidades en base a plantillas de referencia, como las elaboradas por el CIS. Realizar copias de seguridad de la información. Establecer procedimientos de recuperación ante desastres (DRP). Definir un plan de aplicación de parches. La realización de esta tarea de forma automática mediante herramientas específicas permitirá validar su instalación y gestionar adecuadamente todo el proceso. Realizar pruebas de seguridad periódicamente. Por último, además de estas consideraciones técnicas, a la hora de abordar un plan de bastionado de servidores se deben contemplar otros aspectos que tienen ver con el perfil del equipo técnico que debe afrontar esta tarea y, también, con la dedicación requerida para el mantenimiento de la seguridad en el nivel exigido en todo momento. Esto permitirá desarrollar el plan de bastionado con éxito. En Global Technology disponemos de un equipo de expertos en diferentes tecnologías con capacidad para asesorar y ayudar en el proceso de bastionado de servidores. Así mismo, disponemos de herramientas para la realización del control y auditoría de la seguridad de los sistemas. Miguel MurCoordinador Área SOC en Global Technology globalt4e.com
Certificación en el ENS: Guía completa para cumplir la normativa
¿Qué es la Certificación en el ENS? En el siempre cambiante mundo digital, la seguridad de la información se ha vuelto fundamental, especialmente en el ámbito público en España. El Esquema Nacional de Seguridad (ENS) es un conjunto de normativas diseñadas para fortalecer la protección de los datos en el sector público español. Su objetivo es proporcionar un marco común de principios y requisitos para garantizar la protección efectiva de la información y los servicios digitales. ¿A quién le aplica? Todas las entidades del sector público en España están bajo la jurisdicción del ENS. Esto incluye desde el gobierno central hasta las administraciones locales. Además, abarca a organizaciones externas que colaboran con el sector público, como proveedores y otras entidades que manejan información sensible. Con la llegada del nuevo ENS regulado a través del Real Decreto 311/2022, cada vez es más común que la Administración Pública exija a sus proveedores el cumplimiento con este estándar. Las principales empresas que pueden verse sujetas al ENS son: Proveedores de tecnología y servicios informáticos: empresas que proporcionan sistemas, software o servicios informáticos al sector público. Empresas de outsourcing y consultoría: aquellas que ofrecen servicios de consultoría, externalización (outsourcing) de procesos, o gestionan servicios específicos para entidades gubernamentales. Empresas de telecomunicaciones: proveedores de servicios de telecomunicaciones que gestionan infraestructuras o servicios de comunicación para el sector público. Empresas de seguridad informática: compañías especializadas en ciberseguridad que colaboran con el sector público para proteger la información crítica. Proveedores de servicios en la nube (Cloud Computing): empresas que ofrecen servicios de almacenamiento en la nube o soluciones de infraestructura para entidades gubernamentales. Empresas de gestión documental: aquellas que se encargan de la gestión y almacenamiento seguro de documentos digitales y físicos para el sector público. Empresas de transporte y logística: en el caso de contratos con el sector público que implican información logística sensible. Empresas de energía y suministros críticos: si están involucradas en el suministro de servicios críticos para el funcionamiento del sector público. Requisitos para la Certificación en el ENS A continuación, detallamos en cinco pasos que puntos se deberían de cumplir con el fin de implementar un ENS con las máximas garantías: Plan de adecuación: Identificar el alcance del sistema: para identificar el alcance correctamente es necesario comprender la estructura organizativa, los procesos y servicios prestados e identificar los activos de la organización. Categorizar el sistema según niveles de seguridad: el ENS clasifica la seguridad de la información en niveles (BAJO, MEDIO, ALTO). Para categorizar, hay que identificar la importancia de los datos y la sensibilidad de los sistemas. Esta clasificación guía la aplicación de medidas de protección proporcionando un enfoque adaptado a la criticidad de la información y servicios digitales. Elaborar la Declaración de Aplicabilidad: la Declaración de Aplicabilidad (DA) en el ENS es un documento clave que identifica y documenta las medidas de seguridad que una organización aplicará según sus necesidades específicas. Incluye la evaluación de riesgos, la categorización de sistemas y define las medidas necesarias para garantizar la seguridad de la información. Es una herramienta esencial para adaptar las medidas del ENS a la realidad de cada entidad. Realizar el Análisis de Riesgos: el análisis de riesgos de seguridad de la información es un proceso sistemático para identificar, evaluar y gestionar posibles amenazas y vulnerabilidades que podrían afectar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos. Involucra la evaluación de activos, identificación de peligros, evaluación de vulnerabilidades y la determinación de la probabilidad e impacto de posibles eventos adversos. Este análisis es esencial para desarrollar estrategias efectivas y mitigar riesgos en entornos digitales. Implantación de la seguridad: Elaborar una hoja de ruta para implementar medidas técnicas: una vez desarrollado el punto anterior, será necesario elaborar e implantar el conjunto de políticas y procedimientos que alimentarán el sistema de gestión de seguridad de la información. Aprobar el Sistema de Gestión de la Seguridad de la Información: todo el sistema documental elaborado debe de ser aprobado por las partes implicadas con el objetivo de implantarlo con las máximas garantías. Declaración / Certificación de Conformidad: Categorías MEDIA o ALTA: Auditoría formal al menos cada dos años por un organismo independiente. Categoría BÁSICA: Autoevaluación al menos cada dos años. Informe sobre el Estado de Seguridad: Obligación de informar sobre el Estado de Seguridad mediante el proyecto INES. Vigilancia y Mejora Continua: Revisión continua de políticas, análisis de riesgos y medidas de seguridad. Ventajas de implementar el Esquema Nacional de Seguridad Gracias a la implantación del ENS en nuestra organización, se pueden apreciar una serie de ventajas: Protección de la información sensible: gracias a las medidas de seguridad reguladas a través del ENS, se garantiza la protección de la información sensible y crítica de cualquier organización. Gestión Integral de riesgos: facilita la identificación y gestión de riesgos relacionados con la seguridad de la información. Esto implica evaluar y abordar peligros potenciales y vulnerabilidades. Coordinación entre entidades: promueve la colaboración y coordinación entre diferentes entidades gubernamentales, empresas y sectores, lo que mejora la capacidad general para hacer frente a amenazas y riesgos cibernéticos. Cumplimiento normativo: ayuda a garantizar el cumplimiento de normativas y estándares nacionales e internacionales relacionados con la seguridad de la información. Concienciación y educación: el ENS incluye programas de concienciación y educación en seguridad cibernética para aumentar la cultura de seguridad de todos los trabajadores y usuarios. Intercambio de información: proporciona el intercambio seguro de información entre diferentes partes interesadas, lo que puede ser crucial para abordar amenazas de manera efectiva. Preparación para incidentes: el ENS establece procedimientos para la preparación, respuesta y recuperación ante incidentes de seguridad cibernética, minimizando el impacto de posibles violaciones de seguridad. Global Technology tu aliado en la certificación en el ENS En Global Technology, te acompañamos en todas las fases de adecuación para obtener eficazmente la certificación del ENS, independientemente del nivel de categorización del sistema. Si perteneces al sector público o eres un proveedor de servicios, no dudes en contactarnos. Estamos aquí para asegurarnos de que tu organización esté protegida en el mundo
ISO 27001: Clave en la seguridad de la información empresarial
En un mundo digital donde la seguridad de la información es vital, la ISO 27001 emerge como un aliado clave. En este artículo exploraremos cómo esta norma puede fortalecer tus defensas y aumentar la confianza de tus clientes en tu negocio. ¿Qué es la norma ISO 27001? La norma ISO 27001 es un estándar internacional de carácter voluntario, aunque muy recomendable por los motivos que más adelante exploramos, para la gestión de la seguridad de los datos. Su objetivo principal es proporcionarnos un marco efectivo para la protección de los activos de información. Para ello, parte de un enfoque de gestión del riesgo, de manera que podamos prever los incidentes y, si ocurren, mitigar sus consecuencias. Aunque está especialmente enfocada al sector privado, lo cierto es que puede beneficiarse de su implementación cualquier organización. La ISO 27001 nos ofrece dos tipos de medidas: Medidas de gestión: Éstas nos permitirán estructurar nuestras políticas y procedimientos, administrar nuestros recursos de manera eficiente y llevar un control actualizado de la operativa diaria de la empresa. Medidas de seguridad: Se trata de un listado de posibles medidas que están especialmente dirigidas a la protección de la información. Se dividen en cuatro categorías: Organizativas, personales, físicas y tecnológicas. De esta manera, aseguramos una cobertura integral de la seguridad. Si lo deseamos, la ISO 27001 nos da la posibilidad de certificarnos en su cumplimiento. Pero ¿qué ventajas nos aporta esta norma y su certificado? ¿y cómo podemos lograrlo? En los siguientes apartados te lo explicamos. ¿Qué beneficios tiene la ISO 27001? Ahora que conocemos qué es la norma ISO 27001, vamos a explorar qué ventajas nos trae su implantación y que nos certifiquemos en ella: Mejora de la gestión documental y de los activos de la organización: Gracias a la implantación de un sistema de gestión, en el día a día percibiremos una mejora significativa en el control de la operativa gracias a la estandarización de procesos y a la centralización de documentos. Disminución del tiempo de respuesta a incidentes y más pronta recuperación: Puesto que estaremos aplicando una metodología probada y consolidada a nivel mundial, gestionaremos mejor el riesgo tanto de manera preventiva como reactiva. Ello nos permitirá garantizar la continuidad de nuestro servicio incluso aunque estemos sufriendo un incidente de seguridad. Incremento de la imagen corporativa y mejora competitiva: La ISO 27001 goza de reconocimiento internacional, por lo que garantizará frente a posibles clientes e inversores nuestro compromiso con la seguridad. Además, podremos acceder a más oportunidades comerciales, ya que cada vez se solicita más algún sello de garantía a este respecto. ¿Cómo implementarmos la ISO 27001 en nuestra empresa? La implantación de la norma ISO 27001 puede dividirse en cuatro fases principales: 1ª fase: Planificación ¿En qué estado nos encontramos? ¿Qué nivel de madurez tiene nuestra seguridad? ¿Qué necesidades de protección tenemos y cómo podemos priorizarlas? ¿A qué riesgos específicos se enfrenta nuestra organización? Éstas son algunas de las preguntas que responderemos en esta primera fase. Con las respuestas, podremos empezar a crear un sistema confeccionado a medida para nuestra empresa. 2ª fase: Diseño e implantación En esta fase documentaremos los procedimientos de nuestra empresa y los implementaremos, así como las medidas de protección que hayamos seleccionado. Después, pondremos a prueba su efectividad. 3ª fase: Control y verificación Una vez que todo ha sido implantado, debemos cerciorarnos de que es útil, eficaz y eficiente. Para ello, monitorizaremos el sistema mediante indicadores y evaluaremos su adecuación a través de una auditoría interna. Los resultados se presentarán a Dirección y, si todo es correcto, ¡ya estamos listos para presentarnos a la certificación! 4ª fase: Auditoría y certificación Un auditor de una empresa certificadora acreditada nos someterá a evaluación y emitirá un informe. En caso de que encuentre alguna No Conformidad, contaremos con 30 días para solucionarla y, después, podremos obtener nuestro Certificado de Conformidad. El Certificado de Conformidad con la ISO 27001 tiene una validez de 3 años. Luego, tendremos que renovar nuestro certificado. Sin embargo, debemos que tener en cuenta que, puesto que se busca la mejora continua de la seguridad, tendremos auditorías parciales de manera anual. Éstas son más cortas y sencillas, pero igual de importantes para poder mantener nuestro certificado. ¿Cómo podemos ayudarte desde Global Technology? Desde nuestro departamento de GRC , te ayudamos a implantar la norma ISO 27001, diagnosticando el estado de seguridad de tu organización y acompañándote durante todo el proceso de implantación, desde la elaboración de procedimientos, hasta la defensa de la auditoría. Desde Global Technology te ofrecemos una asesoría integral y soporte técnico para la obtención de la certificación. Para ello, desde nuestro departamento de Ciberprotección te ayudamos a elegir qué solución técnica se ajusta más a tus necesidades, de manera que puedas cumplir con todos los requisitos de la norma necesarios. Además, nuestro SOC te permite monitorizar tus sistemas para poder identificar vulnerabilidades, y nuestro departamento de Auditoría y pentesting te ayuda a conocer la protección real de tus equipos. ¿Y si no estás seguro de querer certificarte aún? Podemos ayudarte a elaborar un Plan Director de Seguridad basado en la ISO 27001, de manera que conozcas la madurez de la seguridad de tu empresa y qué medidas es prioritario adoptar. Así, podrás saber cómo empezar tu andadura hacia la certificación, con una estimación económica de las medidas que necesita tu organización y sin presiones de plazos. Itxaso Iturriaga
SEGURIDAD ACTIVA Y PASIVA PARA LA PROTECCIÓN DE TUS DATOS
Las medidas de seguridad activa y pasiva son esenciales para la protección de nuestros datos en el entorno digital. Ello se debe a que la información en sí misma es un activo de gran importancia y el objetivo de numerosas amenazas. En este artículo, exploraremos ambos enfoques. ¿QUÉ SON LAS MEDIDAS DE SEGURIDAD ACTIVA? Las medidas de seguridad activa son aquéllas que previenen y detectan amenazas en tiempo real. Así, podemos impedir o asumir ataques externos. Entre éstas, podemos identificar las siguientes: Firewalls y antivirus: Los firewalls actúan como un muro de protección digital para bloquear amenazas. Los antivirus, por otro lado, identifican y eliminan software malicioso. Monitorización de eventos: Los sistemas de detección de intrusiones monitorean constantemente la red en busca de actividades sospechosas. Si detectan algo inusual, como un intento de acceso no autorizado, se generan alertas para que podamos actuar de inmediato. Escáner de vulnerabilidades: Se identifican los puntos débiles de la configuración de seguridad de un equipo y se crean parches para los agujeros de seguridad detectados. Auditorías de seguridad: Se evalúan las medidas de seguridad implementadas para identificar posibles vulnerabilidades, riesgos y deficiencias en la seguridad, así como priorizar posibles necesidades. De esta manera, podemos incrementar su efectividad y garantizar la protección de la información. Formación y concienciación: La formación en seguridad cibernética para empleados es crucial. Gracias a ella, los trabajadores son menos propensos a caer en trampas de phishing o cometer errores que puedan comprometer la seguridad. ¿QUÉ SON LAS MEDIDAS DE SEGURIDAD PASIVA? Por otro lado, las medidas de seguridad pasivas se centran en proteger los datos y sistemas tras un incidente de seguridad. Es decir, buscan minimizar el impacto de un percance ya ocurrido. Se trata, por tanto, de poner en marcha todos los mecanismos necesarios para recuperar la normalidad en el menor plazo de tiempo posible. Entre ellas encontramos: Copias de Seguridad: Realizar copias de seguridad periódicas de los datos críticos es fundamental. Así, si se produce un ataque o una pérdida de información, podemos restaurarlos fácilmente. Análisis forenses: La realización de estos análisis consiste en la revisión de información relevante de los equipos comprometidos, como los logs o la memoria. Así, podemos identificar el alcance del incidente y dar con posibles soluciones. ¿EN QUÉ SE DIFERENCIAN LA SEGURIDAD ACTIVA Y PASIVA DE LA INFORMACIÓN? Las medidas de seguridad activa y pasiva abordan diferentes aspectos de la seguridad de la información desde enfoques distintos. La principal diferencia radica en el momento en que entran en acción: Seguridad activa: Busca prevenir e identificar las amenazas antes de que causen daño para evitar que se materialicen en una intrusión o ataque. Por tanto, tiene carácter proactivo. Seguridad pasiva: Se implementa a largo plazo para minimizar el impacto de un incidente de seguridad una vez que ha ocurrido. En este sentido, actúa cuando un ciberataque ya ha ocurrido, centrándose en la respuesta y la recuperación. En consecuencia, tiene carácter reactivo. Es importante recordar que ambos tipos de medidas son complementarios y necesarios para una estrategia de ciberseguridad sólida. Así, la seguridad activa protege contra las amenazas en curso, mientras que la seguridad pasiva garantiza la recuperación y la continuidad de las operaciones en caso de un incidente. ¿POR QUÉ ES IMPORTANTE IMPLEMENTAR MEDIDAS EN CIBERSEGURIDAD? Hasta aquí, hemos identificado con qué herramientas o medidas contamos para proteger nuestra información, pero ¿por qué es tan importante implementarlas? Protección de datos sensibles: La información personal, financiera y empresarial se almacena en línea y, sin seguridad adecuada, puede ser robada o comprometida. Evitar pérdidas económicas: Un ciberataque puede resultar en daños financieros. Esto incluye gastos para remediar el ataque, pérdida de ingresos debido a la interrupción del negocio y posibles demandas de clientes o socios afectados. Preservar la reputación: Los hackeos exitosos pueden dañar la imagen de tu organización. Además, la confianza de los clientes puede ser difícil de recuperar y tener un impacto duradero. Continuidad del negocio: La ciberseguridad facilita que tu servicio continúe prestándose sin interrupciones graves, incluso en medio de amenazas cibernéticas. Esto es esencial para la estabilidad y el éxito a largo plazo. Cumplimiento legal: En último lugar, pero no menos importante, ha de tenerse en cuenta que la normativa de protección de datos requiere que las organizaciones protejan la información de sus clientes. Su incumplimiento puede dar lugar a sanciones significativas. ¿CÓMO PODEMOS AYUDARTE DESDE GLOBAL TECHNOLOGY? Global Technology está especializada en la seguridad integral de sus clientes. Para ello te ofrecemos nuestros servicios de ciberseguridad: Desde nuestro SOC, supervisamos y gestionamos en tiempo real tu seguridad, para prevenir, detectar, analizar y responder a incidentes de seguridad. Para ello, monitorizamos vuestros equipos y sistemas 24/7 y gestionamos vuestras vulnerabilidades. Nuestro equipo de Ciberprotección se encarga de implementar soluciones de ciberseguridad, como Firewalls, antivirus o sistemas antispam, entre otros, para minimizar el riesgo de sufrir incidentes de seguridad. También nos encargamos de su mantenimiento, de manera que no tengas que preocuparte de su actualización ni de la instalación de parches. Nuestro departamento de Auditoría y pentesting es especialista en detectar posibles brechas de tu infraestructura a través de hacking ético y, ante un incidente, llevan a cabo su análisis forense para encontrar la raíz de éste. Recopilan las evidencias siguiendo todos los procedimientos legales, de manera que puedas usarlas en un juicio. Si quieres integrar todas las soluciones de manera sistematizada, en una herramienta destinada a la seguridad de la información y enfocada en la gestión de riesgos, desde GRC podemos ayudarte a implantar un sistema de gestión de acuerdo con el estándar internacional ISO/IEC 27001 o el RD 311/2022, que regula el Esquema Nacional de Seguridad, todo ello de acuerdo con el GDPR y demás normativa de protección de datos. Ello te permitirá estandarizar procesos, y reducir tu tiempo de reacción y respuesta ante incidentes de seguridad. Itxaso Iturriaga
Mejora los sistemas de seguridad informática en tu empresa
Cualquier persona que se juntase con un grupo más o menos amplio de gente y preguntase cuantos de ellos tienen interés en mejorar los sistemas de seguridad informática de sus empresas, es altamente probable que viera un bosque de manos levantadas…pero seguramente si a continuación les preguntara que cuántos de ellos tienen claro en cómo invertir sus presupuestos para alcanzar este objetivo podría ver el terror en sus ojos. La realidad es que no es sencillo priorizar tales proyectos, incluso en muchas ocasiones alguno puede llegar a plantearse (en silencio, eso sí) “¿Qué son los sistemas de seguridad informática? ¿Yo tengo de eso?” Pues la verdad es que sí. Todos tenemos de eso. Algunos más avanzados y otros menos pero cualquier empresa dispone de tecnologías y procedimientos que forman parte de los distintos tipos de sistemas. ¿Qué son los sistemas de seguridad informática? En este tipo de industria existen un montón de sistemas de seguridad informática, y adaptados especialmente a cada escenario, por eso es imprescindible conocer cuál es el nuestro antes de que hagamos pito pito gorgorito y nos pongamos un NAC “porque me han dicho que esto protege mogollón”. Para ello debemos comprender previamente nuestras necesidades antes de ponernos a arrojar billetes alegremente al aire. Es mucho más productivo plantear una reunión con especialistas que nos ayudarán a separar estos proyectos y a priorizarlos, que implantar un sistema de última generación sin confirmar con antelación que este va a cumplir los objetivos que nos hemos marcado. Por ello y para actuar como guía de forma generalista, os voy a proporcionar una lista de distintos tipos de sistemas de seguridad informática y posibles beneficios que pueden aportar a vuestra empresa. Es una lista de carácter general, no significa que un sistema sea mejor que otro, ni que teniendo todos tendréis el máximo beneficio, sino más bien quiero que tengáis claro el abanico de opciones y que es necesario analizar el escenario para implantar una, otra o todas esas medidas. Tipos de sistemas de seguridad informática: Medidas de control de acceso: Las podemos dividir en dos puntos diferentes. Autenticación y autorización. Para la autenticación podemos usar numerosas maneras para verificar que somos quienes decimos ser, y es competencia nuestra decidir cuál es la que más encaja en nuestra operativa diaria. Contraseñas, autenticación de doble factor (2FA), autenticación multifactor (MFA), biometría, tarjetas inteligentes… Respecto a la autorización es de suma importancia decidir, una vez verificada nuestra identidad, a qué recursos deben acceder esas identidades. No sería la primera vez que se obtienen accesos no autorizados por una mala política de permisos. Listas de control de acceso (ACL), accesos basados en roles (RBAC) control de acceso basado en atributos (ABAC) son varias de nuestras opciones. Firewalls: Los firewalls o cortafuegos restringen el tráfico no autorizado mediante una serie de reglas basadas en una estricta parametrización realizada por un especialista. Los tenemos de hardware, de software, e incluso de aplicaciones web (WAF). Detección y prevención de intrusiones (IDS/IPS): Los firewalls son estupendos, pero no son muy listos, básicamente son como los droides de starwars, si la regla está definida, genial, si no, irá regla por regla hasta que llegue a la última. Pensar, lo que se dice pensar, no lo hacen mucho. De ahí la importancia de los sistemas de detección y prevención de intrusiones. Dichos sistemas se encargan de analizar comportamientos extraños, como cuando nuestro perro pasea sospechosamente cerca del bocadillo de bacon. Algunos de ellos se basan en red (NIDS), en host (HIDS) o incluso reactivos (IPS). Antimalware: Todos sabemos que la del malware no es una batalla justa, los ciberdelincuentes “facturan” millones de euros y los reinvierten en programar nuevo malware que les reporte beneficios constantes en un ciclo periódico de programación-distribución-infección-recolección económica-vuelta a empezar. Sin un buen software que haga de barrera, vamos a tener muy complicado el evitar este tipo de ataques. Estos constan de varios módulos, que pueden incluir antispyware, anti-ransomware, anti-rootkits, detección de comportamiento… UTMs en el sistema de seguridad informática: Una mención aparte a los UTM, los cuales suelen englobar las tres últimas secciones siempre y cuando se incluyan en el presupuesto ciertos módulos adicionales. Estos módulos pueden activarse mediante licenciamiento y puede incluir antimalware, IDS, firewall de aplicación, etc…siempre por un módico precio por supuesto. Quizás se pueda pensar que estos módulos son innecesarios pero la experiencia dice que la integración de estos directamente en el propio firewall de la compañía aumenta exponencialmente la seguridad. Sistemas de gestión de parches La gestión de las vulnerabilidades puede convertirse en un infierno en infraestructuras amplias. Son muchas máquinas y no solo hay que prestar atención a los parches de sistema operativo si no también al software de terceros y el firmware de nuestro material de red. Es un trabajo que, si lo hace una persona, es de dedicación exclusiva. Para evitar dilapidar todo nuestro tiempo en parchear constantemente existen los sistemas de gestión de parches. Software especializado que despliega de forma automatizado estas actualizaciones, incluidos los temidos parches de terceros. Gestión de eventos y registros Estos sistemas permiten aglutinar todos los logs existentes en nuestra infraestructura y en función de su complejidad podemos establecer correlación para establecer alertas y reacción ante incidentes en tiempo real. Los sistemas responsables de esto suelen denominarse SIEM y el equipo especializado que los opera para coordinar las operaciones necesarias en caso de incidente es denominado SOC. Tomar la decisión de anexionar estos sistemas a nuestra compañía es una de las mejores decisiones que podemos tomar, ya que nuestra seguridad aumentará muchísimo, permitiéndonos tener visibilidad de cualquier anomalía presente en nuestra empresa. Auditorías de seguridad Este tipo de procesos nos permiten desde un análisis pormenorizado de los sistemas seguridad informática de la compañía (análisis de vulnerabilidades) hasta la simulación de un atacante que nos permita encontrar estos agujeros de seguridad y ver cuál hubiera sido su posible impacto (test de intrusión) pasando por ejercicios que ponen a prueba a nuestros especialistas y procesos de seguridad internos para verificar su efectividad