Concienciación del papel del CISO en gobernanza y gestión de riesgo
¿Alguna vez te has preguntado quién es el responsable de los datos en tu organización? ¿Quién toma las riendas cuando surge un riesgo relacionado con las amenazas de ciberseguridad? La respuesta a estas preguntas es más compleja de lo que parece y subraya la importancia de comprender el papel crítico que desempeña el Chief Information Security Officer (CISO) en la gobernanza y gestión de riesgos dentro de las empresas. 1. ¿Qué es la gobernanza y gestión del riesgo? La gobernanza y gestión de riesgos es un marco esencial dentro de las organizaciones que busca identificar, evaluar y mitigar los riesgos que podrían afectar negativamente la realización de los objetivos de la empresa. Esta práctica no solo se enfoca en los riesgos financieros u operativos. Sino que también incluye aquellos relacionados con la ciberseguridad. Una gestión de riesgos efectiva es crucial para salvaguardar la integridad, la disponibilidad y la confidencialidad de la información crítica de la organización. 2. Funciones del CISO dentro de la organización Es aquí donde nos encontramos con el rol del CISO, que juega un papel fundamental en la estructura organizacional, siendo el responsable de establecer y mantener el programa de seguridad de la información de la empresa. Esto incluye la definición de políticas y procedimientos de seguridad, la supervisión de la evaluación de riesgos y la implementación de estrategias de mitigación. No solo esto, si no que el CISO es el encargado de comunicar los riesgos de ciberseguridad al resto de la dirección, asegurando que estén informados para tomar decisiones estratégicas basadas en el riesgo. Y es aquí donde surgen las dudas. 3. Liderazgo de la gobernanza y gestión del riesgo El riesgo, en el contexto de la seguridad de la información y ciberseguridad, se refiere a la posibilidad de que se materialice una amenaza, explotando una vulnerabilidad específica, lo que resultaría en un impacto negativo para la organización. Es decir, es una medida de la extensión del daño o pérdida que podría ocurrir debido a una brecha de seguridad o incidente. Y es aquí donde el CISO para liderar en la gobernanza y gestión de riesgos no solo tiene que entender las amenazas y sus posibles impactos, sino que tiene que ser capaz de guiar a la organización en la toma de decisiones informadas respecto a la seguridad. El CISO debe ser un líder que trabaje en conjunto con otros departamentos y funciones dentro de la empresa. Principalmente porque no puede ser conocedor de toda la información acerca de los impactos negativos que puede acarrear en todas áreas o departamentos y lo segundo, para asegurar una estrategia de seguridad integrada y coherente. ¿Esto es habitual? Menos de lo que tú te creerías… 4. Ventajas de contar con un Chief Information Security Officer Tener un CISO dentro de la organización aporta numerosas ventajas. Esta figura no solo ayuda a proteger contra las amenazas de ciberseguridad, sino que también contribuye al éxito empresarial al asegurar que los riesgos se gestionen de manera proactiva. El CISO facilita la alineación de las estrategias de seguridad con los objetivos de negocio, promueve una cultura de seguridad entre los empleados y garantiza el cumplimiento de las regulaciones vigentes en materia de protección de datos. Es por ello donde se intenta buscar una visión del riesgo global. Donde cada individuo, responsable, o rol se responsabilice de los datos que a él le corresponda siendo estos figuras clave para entender el impacto al que se tiene que atener la empresa en caso de que esa amenaza vulnere la brecha o incidencia identificada. 5. Mi punto de vista. Desde mi perspectiva, existe una confusión generalizada respecto a las responsabilidades asignadas al CISO. A menudo, se le atribuye la responsabilidad total de los datos de la organización, lo cual es una simplificación excesiva de su rol. Aunque el CISO entiende las amenazas y puede guiar al CEO o a la empresa en la toma de decisiones estratégicas, no debe ser visto como el único conocedor del riesgo de cada amenaza. En cambio, debería ser parte de un equipo multifuncional que apoye a la dirección, contribuyendo a la definición de estrategias y orientando las decisiones de la empresa. La gestión de riesgos, especialmente en el ámbito de la ciberseguridad, debe ser un esfuerzo colaborativo que trascienda la responsabilidad individual del CISO. En conclusión, la concienciación sobre el papel del CISO en la gobernanza y gestión de riesgos es crucial para el éxito organizacional. Comprender este papel no solo ayuda a mejorar la postura de seguridad de la empresa, sino que también asegura una gestión de riesgos más efectiva y alineada con los objetivos empresariales. ¿Qué opináis vosotros? Ladix CaballeroIngeniero Preventa de Global Technology
Desafíos actuales en ciberseguridad: Normativa Europea en Inteligencia Artificial
En el vertiginoso avance de la tecnología, la inteligencia artificial (IA) ha emergido como una fuerza transformadora en diversos sectores, desde la atención médica hasta las finanzas. Sin embargo, a medida que estas soluciones se vuelven omnipresentes, se ha establecido una nueva normativa Europea en inteligencia artificial para abordar aspectos cruciales como el cumplimiento normativo, la protección de datos y los temas de propiedad intelectual. Novedades regulatorias: la primera normativa Europea en inteligencia artificial El pasado mes de diciembre el Consejo y el Parlamento Europeo lograron un acuerdo provisional sobre el primer Reglamento de Inteligencia Artificial (IA). Este acontecimiento se origina en la propuesta de la Comisión Europea en 2021, que buscaba crear el primer marco regulador de la Unión Europea para la IA. Objetivos claves: seguridad, derechos ciudadanos e innovación La nueva ley de IA tiene dos objetivos fundamentales: garantizar la seguridad y el respeto de los derechos de los ciudadanos en el uso de sistemas de inteligencia artificial en la Unión Europea y fomentar la inversión y la innovación en este ámbito en Europa. Según el acuerdo, el reglamento entrará en vigor dos años después de su aplicación. Este reglamento se posiciona como la primera propuesta legislativa mundial sobre inteligencia artificial, potencialmente estableciendo un estándar global para la regulación de la IA en otras jurisdicciones. La ley clasificará los sistemas de IA en función de sus riesgos, imponiendo normas más estrictas a medida que aumenta el nivel de riesgo asociado. Principales aspectos de la normativa Europea en inteligencia artificial: definiciones y exclusiones claras El acuerdo provisional adopta la definición de sistema de IA propuesta por la OCDE, estableciendo criterios claros para distinguir estos sistemas de otros softwares más simples. Además, se especifica que el reglamento no se aplicará a áreas fuera del ámbito de aplicación del Derecho de la UE y no interferirá con las competencias de los Estados miembros en seguridad nacional, ni afectará a sistemas utilizados con fines militares o de defensa, investigación e innovación. Sistemas de IA de alto riesgo y prácticas prohibidas Se han establecido criterios horizontales de protección para determinar cuándo los sistemas de IA pueden causar daños significativos a la sociedad. Aquellos que presenten riesgos elevados estarán sujetos a requisitos y obligaciones específicos para acceder al mercado de la UE, mientras que el uso de sistemas con riesgos inaceptables quedará totalmente prohibido. Ejemplos de prácticas prohibidas incluyen la manipulación cognitiva conductual y el rastreo indiscriminado de imágenes faciales de internet. Protección de derechos fundamentales y transparencia El reglamento subraya la importancia de evaluar el impacto en los derechos fundamentales antes de introducir nuevos sistemas de IA en el mercado. Los modelos funcionales, sistemas de gran magnitud que abarcan diversas tareas, deben cumplir con obligaciones más específicas en términos de transparencia. Además, se destaca la obligación de los usuarios de sistemas de reconocimiento de emociones de informar a las personas expuestas a dicho sistema. Propiedad intelectual y patentes en IA La UE reconoce la importancia de abordar la propiedad intelectual en el contexto de la inteligencia artificial, especialmente cuando se trata de la creación de algoritmos avanzados y sistemas autónomos. La legislación busca clarificar y definir los derechos de propiedad intelectual en situaciones donde la contribución de sistemas de IA es significativa. En particular: Titularidad de las invenciones: se establecen directrices claras sobre quién posee los derechos de propiedad intelectual cuando se trata de invenciones generadas por sistemas de IA. La legislación fomenta un equilibrio justo entre los derechos de los creadores humanos y las contribuciones de la IA. Colaboración entre humanos y sistemas de IA: la normativa aborda específicamente los casos en los que la creación intelectual es el resultado de la colaboración entre humanos y sistemas de IA. Se busca garantizar una asignación adecuada de los derechos, incentivando la colaboración y la innovación conjunta. Protección de Datos en Conformidad con el RGPD En cuanto a la protección de datos, la UE refuerza las disposiciones existentes bajo el Reglamento General de Protección de Datos (RGPD) y las adapta para abordar los retos que plantea la inteligencia artificial. Las regulaciones incluyen: Transparencia y explicabilidad: se exige una mayor transparencia en el uso de algoritmos de IA, especialmente en situaciones que afectan a los derechos y libertades individuales. Además, se establecen requisitos para garantizar la explicabilidad de las decisiones automatizadas, permitiendo a las personas comprender y cuestionar las decisiones tomadas por sistemas de IA. Evaluaciones de impacto en la protección de datos: se insta a las organizaciones a realizar evaluaciones de impacto en la protección de datos cuando implementan sistemas de IA que pueden implicar un riesgo significativo para los derechos y libertades de las personas. Esto ayuda a anticipar y abordar posibles riesgos antes de la implementación completa. Normativas Globales y Coherentes para un Futuro Sostenible La UE ha destacado la importancia de una cooperación internacional sólida en el ámbito normativo de la IA. Busca trabajar de la mano con otros actores globales para establecer estándares comunes que fomenten la innovación, protejan los derechos individuales y aborden los desafíos éticos y de seguridad asociados con la inteligencia artificial. Global Technology y la normativa Europea en inteligencia artificial Global Technology puede ayudarte a cumplir con las normativas utilizando inteligencia artificial, gracias a nuestra experiencia especializada y profundo conocimiento de las regulaciones, en particular, las establecidas por la nueva normativa Europea en inteligencia artificial . Destacamos por la capacidad de integrar de manera efectiva tecnologías emergentes, garantizando soluciones flexibles y a la vanguardia de las exigencias regulatorias en constante evolución. Nos centramos en un enfoque transparente y ético, enfocado en la comprensión y explicabilidad de las decisiones automatizadas, así como nuestro compromiso firme con la privacidad y protección de datos conforme al RGPD. Estamos comprometidos con la excelencia y ofrecemos una colaboración proactiva con entidades regulatorias, asegurando que tu empresa esté a la vanguardia de la innovación cumpliendo con los más altos estándares normativos. María Teresa Vallés BoriConsultora de GRC
Visión global de la sostenibilidad y gobernanza de la ciberseguridad
La sostenibilidad y la gobernanza de la ciberseguridad, se han vuelto imprescindibles en la era en la que las tecnologías avanzan a un ritmo imparable. Vamos a descubrir cómo implementarlas de forma eficaz en cualquier ámbito o canal. ¿Qué es ESG? ESG son las siglas de «Ambiental, Social y Gobernanza» en inglés, que se refieren a los criterios utilizados para evaluar el desempeño de una empresa en áreas más allá de simplemente sus resultados financieros. Estos criterios se utilizan para medir el impacto y la sostenibilidad de una empresa en tres dimensiones clave: Ambiental (E – Environmental): se refiere a cómo una empresa gestiona sus impactos ambientales. Esto incluye prácticas relacionadas con la gestión de residuos, la eficiencia energética, las emisiones de gases de efecto invernadero. También la conservación de recursos naturales y la gestión de riesgos ambientales. Social (S – Social): se centra en cómo una empresa gestiona sus relaciones con empleados, clientes, proveedores y la comunidad en general. Incluye aspectos como la equidad laboral, la diversidad e inclusión, la salud y seguridad ocupacional, el respeto de los derechos humanos y las prácticas éticas en general. Gobernanza (G – Governance): se refiere a la estructura y procesos de toma de decisiones dentro de una empresa. Incluye la transparencia, la ética empresarial, la independencia del consejo, la gestión de riesgos y la rendición de cuentas. Una gobernanza de la ciberseguridad sólida asegura que la empresa sea gestionada de manera responsable y ética. GOBERNANZA DE LA CIBERSEGURIDAD: BENEFICIOS Las empresas que adoptan y cumplen con los criterios ESG pueden esperar una serie de beneficios significativos, incluyendo: Mejora de la reputación y la marca, atrayendo a consumidores y empleados que valoran la sostenibilidad. Acceso a capital a menores costos, ya que los inversores están cada vez más inclinados hacia empresas con sólidos desempeños ESG. Reducción de riesgos operativos y regulatorios a través de prácticas de gobernanza mejoradas. Oportunidades de innovación y acceso a nuevos mercados mediante la adopción de prácticas sostenibles. Mejora en la retención y atracción de talento, gracias a un fuerte compromiso con cuestiones sociales. Inversión sostenible: los inversores están cada vez más interesados en invertir en empresas que demuestren un fuerte desempeño en criterios ESG. La inversión sostenible busca no solo rendimientos financieros, sino también impactos positivos en el medio ambiente y la sociedad. Ciberseguridad y Gobernanza (G) La gobernanza empresarial incluye la toma de decisiones, la supervisión de la administración y la rendición de cuentas. La ciberseguridad es esencial para la gestión de riesgos en este ámbito, ya que las amenazas cibernéticas pueden tener impactos significativos en la gobernanza si no se gestionan adecuadamente. Resiliencia empresarial: la capacidad de una empresa para resistir y recuperarse de incidentes cibernéticos forma parte de su resiliencia empresarial. Ciberseguridad Y Social (S) La seguridad cibernética es fundamental para proteger los datos y la privacidad de los empleados, clientes y otras partes interesadas. La gestión efectiva de la seguridad cibernética contribuye a salvaguardar los derechos y la privacidad de las personas, aspectos sociales fundamentales en el marco ESG. Los incidentes de ciberseguridad pueden dañar la reputación de una empresa y la confianza de los clientes. Una gestión efectiva de la ciberseguridad contribuye a mantener la integridad y la reputación de la empresa, aspectos sociales clave en el contexto ESG. Efectos ambientales de las tecnologías (A) Si bien es menos evidente, las prácticas de ciberseguridad también pueden afectar los aspectos ambientales. A continuación, se desarrollan diversas dimensiones donde la ciberseguridad tiene un gran impacto sobre las cuestiones ambientales: Consumo de recursos energéticos: Centros de Datos: las operaciones de ciberseguridad a menudo dependen de centros de datos que consumen grandes cantidades de energía para su funcionamiento y refrigeración. La gestión eficiente de la ciberseguridad puede contribuir a reducir la demanda energética de los centros de datos, apoyando así prácticas más sostenibles. Impacto de incidentes cibernéticos en la cadena de suministro: los ataques cibernéticos exitosos a empresas y organizaciones pueden tener un impacto significativo en la cadena de suministro. Si los sistemas críticos que respaldan la producción y distribución de bienes y servicios se ven comprometidos, podría haber interrupciones que conduzcan a un uso ineficiente de recursos y una huella ambiental más grande. Tecnologías sostenibles y ciberseguridad: a medida que las organizaciones adoptan tecnologías más sostenibles, como la Internet de las cosas (IoT) para la gestión eficiente de recursos, la ciberseguridad se vuelve esencial. Asegurar estas tecnologías sostenibles es crucial para evitar posibles ataques que podrían tener consecuencias ambientales negativas. PRINCIPIOS BÁSICOS DE ACTUACIÓN Normas ISO: Algunos de los estándares reconocidos internacionalmente ayudan a establecer prácticas que respaldan los objetivos ESG: ISO 14001 – Gestión Ambiental: esta norma se centra en sistemas de gestión ambiental y puede ayudar a las organizaciones a identificar, gestionar, monitorear y mejorar sus impactos ambientales. ISO 26000 – Guía sobre Responsabilidad Social: proporciona directrices sobre cómo las organizaciones pueden operar de manera socialmente responsable, abordando aspectos como derechos humanos, prácticas laborales, medio ambiente, prácticas leales, y participación en el desarrollo de la comunidad. ISO 45001 – Seguridad y Salud Ocupacional: aborda la salud y seguridad en el trabajo, un componente importante de la responsabilidad social empresarial. ISO 37001 – Sistema de Gestión Antisoborno: ayuda a las organizaciones a establecer, implementar, mantener y mejorar un sistema de gestión antisoborno. ISO 22301 – Gestión de la Continuidad del Negocio: aborda la resiliencia organizativa y puede contribuir a la gestión de riesgos, lo cual es relevante para los criterios de gobernanza. ISO 27001 – Seguridad de la Información: contribuye a los criterios ESG mediante la gestión integral de riesgos, cultura de seguridad, cumplimiento legal y mejora continua. ESQUEMA NACIONAL DE SEGURIDAD: El Esquema Nacional de Seguridad (ENS) puede contribuir al cumplimiento de los criterios ESG (ambientales, sociales y de gobernanza) a través de diversas medidas y prácticas. Gobernanza: Transparencia y Ética: el ENS puede promover la transparencia en la gestión de la seguridad, asegurando que las instituciones y organizaciones operen éticamente y con responsabilidad. Participación: involucrar a partes interesadas en la definición y
Smart Factory, la transformación digital de la industria
En la actualidad, la industria se encuentra en constante transformación impulsada por la revolución tecnológica. Uno de los conceptos más emocionantes y prometedores en este ámbito es el de la Smart Factory, o fábrica inteligente. En este artículo exploraremos qué es una Smart Factory, las tecnologías clave que la hacen posible, los beneficios de adoptar esta innovación, así como la importancia de la ciberseguridad en este entorno dinámico y cómo adaptarse a los cambios de manera segura y eficiente. ¿Qué es una Smart Factory? Una Smart Factory es un sistema altamente automatizado que utiliza tecnologías avanzadas como el Internet de las cosas (IoT), la inteligencia artificial (IA), la robótica, el análisis de datos y la conectividad en red para optimizar y mejorar los procesos de producción. En una Smart Factory los sistemas de producción están interconectados y pueden comunicarse entre sí, lo que permite una mayor eficiencia, flexibilidad y personalización de los productos. Las Smart Factory representan una evolución significativa en comparación con los sistemas tradicionales, ya que integran tecnologías digitales y físicas para crear entornos de producción más inteligentes y adaptativos. Esto implica una mayor capacidad para recopilar y analizar datos en tiempo real, tomar decisiones automatizadas y coordinar de manera eficiente las operaciones de fabricación. Principales tecnologías de Smart Factory Como hemos visto, una Smart Factory mezcla tecnologías avanzadas para optimizar sus procesos. Veamos a continuación cuáles son estas tecnologías: Internet de las cosas (IoT): Es el proceso que permite la conexión y comunicación de dispositivos, máquinas y sistemas en tiempo real, facilitando la recopilación de datos y la monitorización de procesos. Inteligencia Artificial (IA): Esta disciplina proporciona capacidades de aprendizaje automático y análisis predictivo para optimizar la toma de decisiones y mejorar la eficiencia operativa. Robótica avanzada: Es la aplicación de robots autónomos y colaborativos para realizar tareas de producción de manera eficiente y precisa. Análisis de datos: Es la extracción de información valiosa a partir de grandes volúmenes de datos generados por sensores y sistemas de producción para identificar patrones, tendencias y oportunidades de mejora. Fabricación aditiva: Es la utilización de tecnologías como la impresión 3D para producir componentes y productos de manera rápida y personalizada. Estas tecnologías trabajan en conjunto para crear sistemas altamente automatizados y eficientes, permitiendo una mayor flexibilidad, precisión y calidad en los procesos de producción. Beneficios de dar el salto hacia fábricas inteligentes La adopción de Smart Factory conlleva una serie de beneficios significativos para las empresas, incluyendo: Al optimizar los procesos y recursos para aumentar la producción y reducir los costes se consigue una mayor eficiencia y productividad. Mayor flexibilidad y personalización gracias a la capacidad para adaptarse rápidamente a cambios en la demanda del mercado y generar productos personalizados de manera rentable. Reducción de defectos y errores mediante la monitorización y el control en tiempo real de los procesos de producción llevando a una mayor calidad. Reducción de riesgos laborales automatizando las tareas peligrosas o repetitivas y mejorando la seguridad de los trabajadores. Estos beneficios pueden tener un impacto significativo en la competitividad y el éxito a largo plazo de una empresa en el mercado global. Ciberseguridad global en Smart Factory La ciberseguridad es una preocupación fundamental en las Smart Factory, dado que están altamente conectadas y dependen de sistemas informáticos para su funcionamiento. Es crucial implementar medidas de seguridad robustas, como firewalls, sistemas de detección de intrusos, cifrado de datos y actualizaciones regulares de software para proteger contra ciberataques y vulnerabilidades. Además de estas medidas, es importante establecer políticas y procedimientos relacionados para la protección, así como capacitar al personal en buenas prácticas de seguridad para mitigar los riesgos y garantizar la integridad y confidencialidad de los datos. Es tan importante proteger nuestros activos como concienciar al personal en el área de la ciberseguridad. Consigue adaptarte a los cambios, en tiempo real de manera segura Para mantenerse competitivas en el entorno empresarial que está en constante cambio, las Smart Factory deben ser capaces de adaptarse rápidamente a nuevas tecnologías, regulaciones y demandas del mercado. Esto requiere una organización ágil y receptiva, así como inversiones continuas en formación y desarrollo de habilidades para los empleados. En conclusión, la aplicación de una Smart Factory representa un paso crucial hacia el futuro. Sin embargo, para aprovechar al máximo su potencial, es fundamental garantizar la ciberseguridad y la capacidad de adaptación continua a los cambios del mercado. Con la implementación adecuada de tecnologías y prácticas de seguridad, las Smart Factory pueden transformar radicalmente la industria y abrir nuevas oportunidades de crecimiento y competitividad. Ines Aldea BlascoCoordinadora de ciber IA y gestión del dato
Riesgos de la Inteligencia Artificial en ciberseguridad
En este último año hemos vivido acontecimientos históricos como la publicación de ChatGPT, que han permitido la democratización de la inteligencia artificial. Este hecho ha supuesto un gran paso haciéndola accesible a mucha gente pero, ¿conocemos todos los riesgos que conlleva el uso de la inteligencia artificial? Vulnerabilidades más complejas Con el auge del uso de la inteligencia artificial no podemos dejar de lado las vulnerabilidades que implican la implementación de una IA. Al igual que en el resto de tecnológicas, en la inteligencia artificial también existen vulnerabilidades que nos pueden poner en un compromiso. Las dos vulnerabilidades más destacables son el envenenamiento de datos y los “adversarial attacks”. Ambas relacionadas con la gran dependencia de la inteligencia artificial con los datos. El envenenamiento de datos consiste en inyectar datos maliciosos en el conjunto de entrenamiento del modelo de IA para distorsionar el comportamiento del modelo. Asimismo, los “adversarial attacks” manipulan sutilmente las entradas con cambios sutiles que llevan a la IA a la predicción incorrecta. Pero estas no son las únicas preocupaciones en la implantación de la IA. Otros ejemplos son: La fragilidad de los modelos que implica que pequeños cambios en los datos pueden dar resultados muy dispares. La violación de la privacidad ya que hay muchos modelos que requieren de datos confidenciales o personales. La falta de explicabilidad de los resultados en aplicaciones donde sea crucial entender las decisiones finales y los algoritmos considerados como “cajas negras”. Ciberataques contra la IA Un ciberataque contra la IA es la manipulación intencionada de un sistema con esta tecnología con el fin de provocar un mal funcionamiento. Los ciberataques habituales se benefician de los errores cometidos por los programadores o por los usuarios. Por el contrario, los ataques contra la IA explotan las limitaciones intrínsecas de los algoritmos subyacentes. Como consecuencia, la mitigación tradicional de vulnerabilidades corrigiendo errores, aplicando de parches o educando de los usuarios no servirá completamente. Las propias características de los modelos actuales crean vulnerabilidades explotables para los atacantes. Sin embargo, a pesar de las diferencias, ambos están muy relacionados. Muchos ataques contra la IA se ven favorecidos por el acceso a activos obtenidos a través de los ataques que comprometen la confidencialidad e integridad de los sistemas. Por lo tanto, es muy importante aplicar una ciberdefensa robusta para protegerse. Security-by-design en los sistemas de IA Security-by-design es un enfoque de la ciberseguridad en el cual se integran las medidas de seguridad desde las primeras fases de un proyecto. Es decir, no se toma la seguridad como una característica adicional, sino que se considera uno de los objetivos. En relación con la inteligencia artificial, este enfoque se puede plantear de la siguiente manera: Diseño seguro: es importante hacer énfasis en el modelado de amenazas y su impacto desde el primer momento. Desarrollo e implementación segura: se recomienda crear protocolos para informar sobre las amenazas modelizadas. Mantenimiento y operatividad segura: haciendo una vigilancia constante del sistema de IA. De esta manera, se minimizarán riesgos permitiendo mantener los datos no corruptos para el entrenamiento de la IA, control del acceso a estos o a otros activos del sistema entre otros. Además, este planteamiento permite tener detecciones de posibles amenazas para prevenir riesgos en estos sistemas. Hacktivistas unidos a la Inteligencia Artificial El auge de la inteligencia artificial junto con su democratización ha permitido a los hacktivistas utilizar esta tecnología. La inestabilidad internacional junto a estas herramientas ha derivado en un aumento en el riesgo de la ciberseguridad. La metodología de los ciberdelincuentes ha cambiado. Herramientas como ChatGPT e incluso sus alternativas “malvadas” como WormGPT, permiten el desarrollo de malwares o contenidos maliciosos sin ser un experto. Estas herramientas no solo generan ciberdelincuentes cada vez más preparados. A su vez, hacen que ataques de phishing cada vez sean más realistas y, cada vez menos perceptibles. Falta de regulación de la IA Está claro que el auge de la inteligencia artificial está cambiando nuestras vidas. Al igual que puede ayudarnos y hacer infinitud de cosas buenas, también se puede revertir y causar el efecto contrario. ¿De quién son los derechos de las imágenes creadas? ¿Cuál es el límite? ¿Qué es lo que está permitido y lo qué no? Por el momento no hay normas claras que regulen el uso de esta tecnología para su uso ético y responsable. La unión europea es la primera que presenta un proyecto firme de Ley de Inteligencia Artificial tras su acuerdo de diciembre de 2023. Actualmente, este acuerdo político está sujeto a su aprobación formal por el Parlamento Europeo y del Consejo. Tras esta aprobación estaríamos ante el primer marco jurídico global sobre inteligencia artificial en todo el mundo. Desde Global Technology podemos ayudarte con los riesgos de la Inteligencia Artificial Casi cada día vemos actualizaciones o mejoras de nuestra tecnología y, la inteligencia artificial no se queda atrás en este aspecto. Al igual que las mejoras, los riesgos o las vulnerabilidades también se van actualizando y, es importante conocerlas. Desde el equipo de Global Technology te podemos ayudar en la detección de los riesgos, la implantación de inteligencias artificiales o las dudas que te surjan en este nuevo mundo que está emergiendo. Ines Aldea BlascoCoordinadora de ciber IA y gestión del dato
Ciberseguridad para las ciudades inteligentes en 2024
El desarrollo presente y futuro de las ciudades inteligentes no se concibe sin la incorporación de las nuevas tecnologías con el fin de crear entornos más sostenibles y eficientes. La apuesta por este nuevo modelo de ciudad se basa en la interconexión de áreas tan diversas como la economía, el transporte, la sanidad, la seguridad, la energía o el medio ambiente. Surge así el concepto de Ciudad Inteligente o Smart City. Riesgo para las ciudades inteligentes Este nuevo modelo de ciudad se construye sobre dos pilares fundamentales: la innovación tecnológica y la toma de decisiones basada en datos. Junto a las grandes oportunidades que se vislumbran, surgen también riesgos asociados a la utilización de la tecnología. La ciudad inteligente interconecta la tecnología con las infraestructuras OT de los distintos servicios gestionados. Esto hace que la potencial superficie de ataque se amplie considerablemente, convirtiéndose en un objetivo muy codiciado para los ciberatacantes. En la ciudad tradicional las diferentes infraestructuras son gestionadas de forma individual por lo que las amenazas se circunscriben a un determinado objetivo. Ahora, la ciudad inteligente interconecta todas esas infraestructuras creando una macro superficie de ataque. Este nuevo escenario abre la puerta a que los actores maliciosos puedan, por ejemplo, moverse lateralmente a través de la red después de haber comprometido un determinado dispositivo. Consecuencia de todo ello es el incremento constante de ataques que se observa contra los dispositivos OT integrados en las infraestructuras de las ciudades. Otro de los retos que debe afrontar la ciudad inteligente es definir los procedimientos que permitan establecer la gobernanza necesaria para coordinar el trabajo de los administradores y responsables de seguridad de las diferentes infraestructuras. Por este motivo, se deberán fijar claramente los roles y responsabilidades de los encargados de la gestión de estas infraestructuras críticas. El desarrollo de las ciudades inteligentes no se concibe sin la participación de proveedores de servicios y tecnología que faciliten la integración del hardware y el software de cada infraestructura, así como su mantenimiento. Estos actores necesarios deberán adoptar estrictos controles de seguridad con el fin de evitar convertirse en una puerta trasera de acceso para los ciberatacantes. La materialización con éxito de ciberataques contra la tecnología que sustenta la ciudad inteligente puede llegar a generar un gran impacto sobre las infraestructuras, provocando la interrupción de los servicios, pérdidas económicas, desconfianza de los ciudadanos en la prestación de los servicios e, incluso, afecciones a la salud y la seguridad de las personas. Ciberprotección de las ciudades inteligentes El desarrollo de las ciudades inteligentes deberá tener en cuenta estos riesgos como uno de los aspectos fundamentales a gestionar. Se deberán contemplar medidas que permitan minimizar o eliminar estos riesgos, para lo cual se podrán tomar como referencia las implementadas en otros ámbitos donde la ciberseguridad tiene una presencia consolidada. Veamos algunas de ellas: Seguridad desde el diseño: La incorporación de la ciberseguridad desde fases tempranas de los proyectos se debe considerar como un aspecto estratégico. La integración de la tecnología heredada requerirá de una exhaustiva planificación con el fin de que ésta pueda ser conectada de forma segura. Control de activos: El mantenimiento de un inventario actualizado de activos permite identificar manipulaciones, cambios de ubicación físicos y fallos en los activos que forman parte de las infraestructuras. Principio de mínimo privilegio: El acceso a la red se deberá regir por este principio. Los administradores deberán evitar las configuraciones predeterminadas y actualizar los permisos según se produzcan cambios en los roles de los usuarios. Se deberá limitar el número de cuentas con privilegio de acceso total a los sistemas. Igualmente, se deberá implementar un modelo de acceso por capas. Estas medidas deberán asociarse a la implementación de una arquitectura Zero Trust. Autenticación multifactor: El acceso a los servicios debe realizarse aplicando autenticación multifactor (MFA), tanto desde ubicaciones locales como remotas. Parcheo de sistemas y aplicaciones: Se deberán implementar procesos de parcheo y remediación de vulnerabilidades apoyados en herramientas automáticas con capacidad para analizar activos tanto en entornos IT como OT. Sistemas de respaldo: Se deberá diseñar un sistema de copias de seguridad que permita restaurar información de los sistemas IT y OT y que esté aislado de tal manera que una potencial amenaza de ransomware no pueda afectarle. Planes de respuesta ante incidentes: Éstos incluirán procedimientos que faciliten la intervención de los técnicos responsables de gestionar las operaciones de las infraestructuras para hacer frente a situaciones de contingencia. Los planes de respuesta ante incidentes detallarán las funciones y responsabilidades de todas las partes vinculadas a la implementación de la ciudad inteligente de manera que aseguren la resiliencia operativa. Evaluación de proveedores: Las organizaciones deben evaluar los riesgos de cada proveedor y evitar exponerse a la utilización de hardware o software poco confiable que permita la explotación de vulnerabilidades. Así mismo, se deberán establecer requisitos de seguridad detallados para los proveedores de servicios gestionados y de servicios en la nube. Cumplimiento normativo: Se deberán evaluar los riesgos legales, especialmente los referidos a la privacidad, y adoptar los marcos de referencia en materia de ciberseguridad que faciliten la auditoría de los controles implementados. Anticípate a los riesgos de las ciudades inteligentes Global Technology tiene una dilatada experiencia en el análisis e implementación de soluciones de ciberprotección en multitud de sectores, entre los que se incluyen infraestructuras críticas. El equipo de expertos en ciberprotección de Global Technology le guiará en el proceso de creación de la mejor estrategia de ciberseguridad para implementar la tecnología en el marco de las ciudades inteligentes. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Conoce por qué la ciberseguridad es esencial para el éxito de tu estrategia digital
En la era digital, donde la información se mueve a gran velocidad y los cambios se realizan en un abrir y cerrar de ojos. La ciberseguridad se ha convertido en un pilar fundamental para cualquier empresa que busque progresar en el mundo digital. Ya sea una pequeña empresa o una multinacional, la protección de los datos y sistemas informáticos es crucial para garantizar la continuidad del negocio y mantener la confianza del cliente. Ciberseguridad la base de cualquier estrategia digital Hoy en día donde la información es lo más valioso y los riesgos relacionados a la ciberseguridad son cada vez más complejos. Los ciberdelincuentes aprovechan cualquier brecha de seguridad para acceder a datos sensibles, comprometer la integridad de los sistemas y ponen en peligro la reputación de la empresa por eso es imprescindible contar con una estrategia digital sólida. Entre los riesgos más comunes se encuentran: Ataques cibernéticos: Hackers, malware, phishing y otras amenazas pueden poner en riesgo tu información y sistemas. Robo de datos: La información confidencial de tus clientes o empleados puede ser robada y utilizada para fines fraudulentos. Paradas del servicio: Los ataques cibernéticos pueden causar caídas del sitio web, aplicaciones o sistemas, lo que afecta tu productividad y ventas. Daños a la imagen: Una brecha de seguridad puede dañar la imagen y la confianza de tus clientes. Elementos esenciales para una estrategia digital segura Para construir una estrategia digital con ciberseguridad sólida, es fundamental considerar los siguientes elementos: Evaluación de Riesgos: Identificar y evaluar los riesgos específicos a los que está expuesta la empresa, tanto internos como externos. Área Consultoría. Implementación de Medidas Preventivas: Instalar firewalls, sistemas de detección de intrusiones, antivirus y otras herramientas de seguridad para proteger los sistemas y redes de la empresa. Área ciberproteccion. Plan de Respuesta ante Incidentes: Desarrollar un plan de acción claro y eficiente para responder rápidamente a posibles incidentes de seguridad y minimizar su impacto. Área SOC. Realiza auditorías y pruebas: Es fundamental evaluar regularmente tu seguridad para identificar y corregir vulnerabilidades. Área Pentesting. Formación y Concienciación: Capacitar a los empleados en prácticas seguras de navegación y manejo de datos, y fomentar una cultura de seguridad cibernética en toda la organización. Área Pentesting. Ventajas de incluir la ciberseguridad en la estrategia empresarial Una buena estrategia digital de seguridad trae unas ventajas que no se limitan solo a proteger la información: Confianza del Cliente: La implementación de medidas de seguridad efectivas ayuda a construir y mantener la confianza del cliente, demostrando un compromiso con la protección de su información personal y financiera. Continuidad del Negocio: Al minimizar la posibilidad de interrupciones en los servicios digitales, la ciberseguridad garantiza la continuidad del negocio y evita pérdidas financieras y de productividad. Cumplimiento Normativo: Muchas industrias están sujetas a regulaciones estrictas en cuanto a la protección de datos. Cumplir con estas normativas no solo evita sanciones legales, sino que también demuestra un compromiso con la ética y la responsabilidad empresarial. Área GRC. Innovación Segura: Una infraestructura digital segura proporciona un entorno propicio para la innovación y el desarrollo de nuevas tecnologías. Cuenta con un partner de confianza para la ciberseguridad global de tu estrategia empresarial Un socio de confianza en ciberseguridad como Global Technology, debe estar al tanto de las últimas tendencias y desarrollos en el campo de la seguridad informática, y ser capaz de adaptarse rápidamente a un entorno digital en constante evolución. Al externalizar las funciones de ciberseguridad a un experto externo, las empresas pueden beneficiarse de una mayor eficiencia y agilidad, así como de un acceso a tecnologías y conocimientos de vanguardia que de otro modo podrían ser difíciles de alcanzar. En última instancia, invertir en ciberseguridad es invertir en la protección y el futuro de la empresa. Ander Arruti GarmendiaCoordinador Área Ciberprotección
Evaluando nuestra ciberseguridad: la metodología C2M2
La ciberseguridad forma parte de nuestro día a día, y cada vez estamos más concienciados de que necesitamos proteger nuestra información y activos lógicos. Así, nos aseguramos de que podremos mitigar o incluso evitar incidentes de seguridad, y de que podremos continuar prestando nuestros servicios y recuperarnos más rápido ante desastres. Pero ¿cómo saber si lo que estamos haciendo es suficiente? ¿Cómo podemos saber que estamos adoptando un enfoque de seguridad adecuado? En este artículo presentamos la metodología C2M2, que nos permite evaluar la madurez de nuestra ciberseguridad de manera sencilla y compartir mejores prácticas. De esta manera, logramos un tejido empresarial y, en última instancia, una sociedad más seguros. ¿Qué es la metodología C2M2? La metodología C2M2, por sus siglas en inglés «Cybersecurity Capability Maturity Model», es un marco desarrollado por el Departamento de Energía de los Estados Unidos. C2M2 nos ofrece una estructura para evaluar la madurez y mejorar la ciberseguridad en infraestructuras críticas y organizaciones de todos los sectores y tamaños. De esta manera, nos aseguramos estar mejor alineados con normativas y estándares internacionales. Por ejemplo, la normativa NIST o la ISO27001. La metodología C2M2 está pensada para activos IT y OT, y los entornos en los que operan. Asimismo, debemos tener en cuenta que no integra o reemplaza otros enfoques, normativas o programas de ciberseguridad. Tampoco es parte de ningún marco legal, ni tiene espíritu regulador. Por el contrario, debemos entenderla como una herramienta corporativa más, destinada a mejorar nuestra resiliencia digital. ¿Cómo se estructura la C2M2? ¿Qué abarca? Este modelo se centra en áreas clave como la gestión de riesgos, la protección de activos, la detección de amenazas, la respuesta a incidentes y la recuperación. A través de sus diferentes apartados, medimos nuestra madurez en 10 grandes dominios: Gestión de activos. Gestión de amenazas. Gestión de riesgos. Gestión de la identidad y acceso. Monitorización y análisis de eventos. Respuesta a incidentes y continuidad. Proveedores y terceros Gestión del personal. Arquitectura de ciberseguridad. Gestión del programa de ciberseguridad. Como resultado, obtenemos un informe detallado del estado actual de nuestra ciberseguridad, que nos permite partir de una base sólida desde la que elaborar un programa de ciberseguridad adaptado a la situación y necesidades específicas de nuestra organización. ¿Cómo nos puede ayudar utilizar la metodología C2M2? El modelo puede usarse por empresas de cualquier sector, tamaño o industria, dentro del ámbito IT y OT. Dentro de éstas, puede resultar especialmente útil para: Guiarnos en la asignación de recursos y la gestión de riesgos. Los primeros son limitados, mientras que los segundos crecen cada año. En este sentido, la metodología C2M2 nos ayuda a priorizar acciones de cara a reducir tanto la posibilidad como el impacto de la materialización de amenazas. Ayudarnos a gestionar recursos organizacionales y controlar operaciones relacionadas con la ciberseguridad. La C2M2 nos dota de un marco de gestión mínimo que nos ayudará tanto en el día a día como ante eventos extraordinarios. ¿Qué beneficios aporta implantar la metodología C2M2 en nuestra organización? Este modelo nos aporta múltiples ventajas, tales como: Fortalecer la ciberseguridad de nuestra organización. Facilitar la evaluación efectiva y consistente de la madurez de nuestra ciberseguridad. Compartir conocimiento, mejores prácticas y referencias relevantes entre organizaciones para mejorar la ciberseguridad, a través de la anonimización y difusión de los resultados. Ello busca incrementar la seguridad del tejido empresarial en conjunto, y también nos permite medir nuestro nivel de madurez frente a nuestros competidores. Facilitar la priorización de acciones de mejora e inversiones en ciberseguridad. ¿Cómo te podemos ayudar desde Global Technology? Desde el departamento de GRC de Global Technology te ayudamos a medir y mejorar tu ciberseguridad basándonos en el modelo de análisis C2M2, tanto si lo que deseas es meramente conocer la robustez de tu seguridad, como si buscas un Plan Director de Seguridad que te ayude a identificar y priorizar acciones de mejora. Te acompañamos durante todo el camino y te asesoramos de forma integral para darte la solución que mejor se adapte a tus necesidades. Si quieres más información sobre cómo te podemos ayudar a implantar la metodología C2M2, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia. Itxaso Iturriaga
Estrategia de Ciberinteligencia para las empresas
Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
El cambio generacional en la era digital: velocidad, tecnología y la imperativa necesidad de ciberseguridad
La era digital ha acelerado de manera sin precedentes el cambio generacional. Las nuevas generaciones, nativas digitales, se adaptan rápidamente a los avances tecnológicos, mientras que las generaciones anteriores se esfuerzan por mantenerse al día. Este artículo explora la velocidad de este cambio generacional, la importancia de la tecnología en nuestra sociedad actual y la necesidad crítica de proteger estas innovaciones y a sus usuarios a través de la ciberseguridad. Velocidad del cambio generacional El cambio generacional se refiere a la transición de una generación a otra, marcada por diferencias en valores, actitudes y comportamientos. En el pasado, este cambio era gradual, permitiendo una adaptación natural y progresiva. Sin embargo, la revolución digital ha acelerado este proceso. La generación del milenio y la Generación Z, han crecido en un mundo donde la tecnología es omnipresente, lo que ha resultado en una brecha generacional más pronunciada en cuanto a la adopción y comprensión de la tecnología. Importancia de la tecnología La tecnología es una fuerza motriz en casi todos los aspectos de la vida moderna. Ha transformado la forma en que nos comunicamos, trabajamos, aprendemos y nos entretenemos. La pandemia de COVID-19 ha evidenciado aún más esta realidad, obligando a personas de todas las edades a adaptarse a herramientas digitales para el trabajo remoto, la educación en línea y el ocio digital. Esto ha acelerado aún más la adopción tecnológica en generaciones que anteriormente eran menos dependientes de estas herramientas. Ciberseguridad: una necesidad imperativa Con el aumento de la dependencia de la tecnología, la ciberseguridad se ha convertido en un campo de vital importancia. La protección de datos personales y empresariales contra ciberataques es crucial. Las generaciones más jóvenes, aunque hábiles en el uso de tecnología, pueden ser a menudo complacientes respecto a los riesgos de seguridad. Por otro lado, las generaciones mayores pueden carecer del conocimiento necesario para protegerse en el entorno digital. Esto destaca la necesidad de educación y concienciación sobre ciberseguridad para todas las edades. Conclusión: la importacia de la concienciación y la formación en la era digital En conclusión, la velocidad del cambio generacional en la era digital presenta tanto oportunidades como desafíos. La educación y la sensibilización sobre ciberseguridad son fundamentales en este contexto. La formación debe ser inclusiva y adaptarse a las diferentes competencias y necesidades de cada generación, asegurando un enfoque continuo y evolutivo acorde con los cambios en el panorama de amenazas cibernéticas. Preparar a todas las generaciones para enfrentar y superar los desafíos de seguridad digital es fundamental para asegurar un futuro digital seguro y próspero. La concienciación y la formación en ciberseguridad deben ser vistas como inversiones esenciales en el capital humano de nuestra sociedad, garantizando así que todos puedan navegar por el cambiante paisaje digital con confianza y seguridad. Si bien el cambio climático ha capturado la atención mundial con campañas intensivas sobre la concienciación y la acción, como el reciclaje y la sostenibilidad, la sociedad aún no ha generado un ruido similar respecto al vertiginoso cambio generacional impulsado por la tecnología. Es crucial que iniciemos un diálogo global igualmente vigoroso para educar y apoyarnos mutuamente en la navegación segura y eficaz de este paisaje digital en constante evolución, al igual que nos unimos en la lucha contra el cambio climático. En este contexto, desde Global Technology, ofrecemos nuestro servicio de concienciación, upskilling y reskilling, un programa diseñado para proporcionar formación en ciberseguridad, accesible a personas de todas las edades. Este enfoque integral es un paso esencial para empoderar a las comunidades en la era digital, equipándolas con las habilidades necesarias para enfrentar desafíos tecnológicos con confianza y seguridad Anna GardoDesarrollo de Negocio en Global Technology