Global Technology

Menú
KIT CONSULTING
Linkedin Youtube Instagram

Resultados de la búsqueda de: ia

Ciberseguridad industrial/OT

CIBERSEGURIDAD INDUSTRIAL/OT En Global Technology protegemos, identificamos y monitorizamos los entorno OT en su total espectro para el mantenimiento del mismo. ¿Cómo podemos proteger tu entorno ot? Para dar solución, primero es necesario identificar las áreas definidas para el entorno OT y seguido, proteger y monitorizar el entorno en su total espectro para el mantenimiento del entorno. IDENTIFICAR PROTEGER MONITORIZAR PROTEGER ¿Comó proteger los entornos industriales OT? Solución especifica a cada problema Solución multicapa Protección Real día Cero Productos industriales reforzados para entornos hostiles IDENTIFICAR Y MONITORIZAR ¿Cómo identificar y monitorizar los entornos industriales OT? Visibilidad completa de la red: Obtenga una imagen unificada y multidimensional de cada activo (IT, nube, IoT, OT). Inteligencia de dispositivos contextual: Incorpora una arquitectura de confianza cero con una Knowledge Base con tecnología de IA que aprende comportamientos habituales y anómalos de 3000 millones de activos gestionados para mitigar proactivamente las amenazas. Seguridad sin agente continua: Realiza una implementación rápida, comparta inteligencia de activos en tiempo real y automatice flujos de trabajo gracias a una solución de supervisión de seguridad sin agentes. protege tus infraestructuras industriales/ot ¿Cómo resolver esta problemática? La ciberseguridad en Infraestructuras OT, es una de las áreas que más está sufriendo en la actualidad. La mezcla de las características propias del mundo OT como su estructura menos dinámica y falta de adaptación a cambios constantes y de la criticidad de los procesos que soportan suponen el principal motivo de vulnerabilidad y por el cual la ciberseguridad OT adquiere una importancia vital y debería incrementar su prioridad en cualquier organización que disponga de infraestructura OT. Los últimos 2 años, estas infraestructuras han sido objetivo de gran número de ciberataques, entre ellos los más destacados el sector Industrial y el Sanitario. El motivo es simple: el 90% de las vulnerabilidades detectadas en el sector OT son de baja complejidad, es decir, no se requiere de condiciones especiales para provocar una brecha y son fácilmente repetibles. DIFERENTES SECTORES dentro de alcance INDUSTRIA Sector Industrial Sector Siderúrgico Sector Energético Sector Químico SERVICIOS Sector Sanitario Sector Comunicaciones Críticas Servicios fundamentales (Agua y Electricidad) Sector Financiero TRANSPORTE Sector Defensa Sector Aeronáutico Sector Marítimo Sector Transporte Terrestre CONTACTA CON NOSOTROS

Taxonomía de un incidente

taxonomia de un incidente

El ciclo de gestión de un ciberincidente, entendiendo como tal un incidente de seguridad, consta de varias fases. Dentro de las fases más tempranas, el Centro de Operaciones de Seguridad (SOC) debe clasificarlos claramente con el fin de aplicar un adecuado tratamiento. Esta tarea de clasificación, también conocida como taxonomía, está ampliamente desarrollada en las normas que son de aplicación en nuestro país dentro del ámbito de la seguridad de la información. Fases de la gestión de incidentes de seguridad. Es el caso del “Esquema Nacional de Seguridad” (ENS), norma de referencia para las entidades públicas.  Allí se señala la obligación de establecer una Política de Seguridad de la Información que defina una serie de requisitos de seguridad, siendo necesario contemplar los que permitan gestionar los incidentes de seguridad. Entre éstos, la norma establece que deberán incluirse unos adecuados criterios de clasificación. Teniendo en cuenta que no todos los incidentes poseen las mismas particularidades ni tienen el mismo impacto, cada organización podrá definir su propia taxonomía de los incidentes a gestionar. Esta clasificación facilitará el análisis posterior de los ciberincidentes y, también, la generación de indicadores que permitirán identificar su tipología y, como consecuencia, adoptar medidas para su prevención. ¿Cómo elaborar una taxonomía? Elaborar una taxonomía no es una tarea sencilla. En todo caso, la definición de este proceso puede verse favorecido por la adopción de modelos de taxonomía diseñados por organismos de referencia. Es el caso de la “Guía de Seguridad de las TIC CCN-STIC 817” del CCN-CERT en donde se establecen los factores a considerar a la hora de establecer criterios de clasificación: Tipo de amenaza: código dañino, intrusiones, fraude, etc. Origen de la amenaza: Interna o externa. La categoría de seguridad de los sistemas afectados. El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial. El número y tipología de los sistemas afectados. El impacto que el incidente puede tener en la organización, desde los puntos de vista de la protección de la información, la prestación de los servicios, la conformidad legal y/o la imagen pública. Los requerimientos legales y regulatorios. La toma en consideración de estos factores determinará la decisión de crear un ciberincidente y, en su caso, su peligrosidad y la prioridad de actuación. Además de la citada guía del CCN-CERT, la Agencia Europea para la Ciberseguridad (ENISA) ha publicado diversos documentos orientados a la creación de modelos de clasificación de los incidentes que pueden utilizarse como referencia. Entre estos documentos destaca el “Reference Incident Classification Taxonomy”, que ha servido de base para la creación en España de los modelos de taxonomía incluidos en la “Guía de Seguridad de las TIC CCN-STIC 817” y en la “Guía Nacional de Notificación y Gestión de Ciberincidentes”. Tipos de incidentes y clasificación. La siguiente tabla contiene una clasificación de los ciberincidentes tomando como referencia la incluida en la guía CCN-STIC 817. Fuente: https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html Para completar una adecuada clasificación de los ciberincidentes, además de asignarlos a un grupo o tipo, será necesario determinar tanto el grado de peligrosidad como el impacto que puede tener en la organización. El establecimiento de ciertos criterios permitirá asignar el grado de peligrosidad en la primera fase de detección. En cuanto al impacto, éste se podrá medir teniendo en cuenta las consecuencias que puede desencadenar el ciberincidente en la operación de la organización, en sus activos o, incluso, en los propios individuos. Completada la clasificación del ciberincidente, se deberá realizar un seguimiento exhaustivo del mismo, documentando todas las acciones incluidas en su gestión y el desarrollo que ha llevado a lo largo de su ciclo de vida. Existen numerosas herramientas y sistemas de gestión diseñados para este fin. El SOC de Global Technology ha diseñado un modelo de clasificación de los ciberincidentes tomando como referencia las normas citadas anteriormente que, apoyado en diferentes herramientas de gestión, le permite documentar todo el tratamiento seguido desde su detección.

Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo ISO/IEC 27002/2022

iso 27002

La norma ISO/IEC 27001 y, conforme a ella, su guía de desarrollo ISO/IEC 27002, proveen de un marco estandarizado para el establecimiento, implementación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en las mejores prácticas nacional e internacionalmente reconocidas. En este sentido, adoptan un enfoque holístico y necesariamente adaptable a los cambios del entorno, para garantizar su eficacia y utilidad práctica. Es por ello que, con base en los cambios del contexto de la seguridad de la información derivados del avance tecnológico, el desarrollo de los servicios en la nube y las nuevas formas de gestionar los activos, servicios y procesos productivos se haya visto en la necesidad de introducir con su actualización 2022 una serie de modificaciones, especialmente pronunciadas en la norma ISO/IEC 27002. Modificaciones en la estructura de la norma  Con base en estas modificaciones, se observa que la norma ISO/IEC 27001/2022 mantiene la misma estructura que su predecesora, conformada por siete capítulos que desarrollan a lo largo de sus capítulos cuatro al diez los requisitos normativos básicos para el establecimiento de un SGSI.Por su parte, la norma ISO/IEC 27002/2022 propone un nuevo enfoque organizativo para la gestión de los controles y requisitos de seguridad de la información, pasando de contar con catorce capítulos, treinta y cinco categorías y ciento catorce controles en su versión anterior, a agrupar sus actuales noventa y tres controles en cuatro categorías (organizacionales, personales, físicos y tecnológicos), acercándose de esta forma a la estructura del Esquema Nacional de Seguridad. Ello supone que algunos controles de su predecesora se han fusionado, otros se han suprimido y algunos otros de nueva creación han sido incorporados en respuesta a las necesidades de un contexto cambiante y en continuo desarrollo. Por ello, a continuación, nos centraremos en explicar los principales cambios y novedades que incorpora la versión 2022 de la norma. Nuevos controles ISO/IEC 27002/2022 Entre los nuevos controles incorporados, destacan los relativos al análisis de las amenazas, la gestión de los servicios Cloud, la reducción de la superficie de exposición y el desarrollo seguro de software. A continuación, se exponen una breve descripción de estos, aludiendo al número de control referenciado en la norma. Inteligencia de amenazas (control 5.7): alude a la necesidad de recolectar información sobre las amenazas que afectan a los sistemas de información con el objetivo de analizarlas y conocerlas, a fin de aprender de las mismas y prevenirlas. Seguridad de la información en el uso de servicios Cloud (control 5.23): establece la necesidad de implementar procesos para la adquisición, uso y gestión de los servicios Cloud. Filtrado de web (8.23.): se preocupa por la gestión de acceso a páginas web externas con el objetivo de reducir la exposición de los sistemas a contenido potencialmente malicioso. Codificación segura (8.28): fomenta el deber de establecer principios de codificación segura en los procesos de desarrollo de software. Controles fusionados respecto a la versión anterior Múltiples elementos y aspectos de la seguridad a los que se hacía referencia en controles separados en la normativa anterior se han fusionado en aras de simplificar su gestión. Aunque un análisis pormenorizado de todos estos cambios supera el alcance de este artículo, a continuación, se ofrecen algunos ejemplos que buscan evidenciar la razón lógica que ha propiciado dicha unificación de controles, en los que se identifican tanto los controles de la versión anterior, cómo el resultado de su fusión: Los controles para el inventario de activos y propiedad de los activos (8.1.1 y 8.1.2, respectivamente) se unifican bajo un control más amplio denominado 5.9. Inventario de la información y otros activos. El control sobre transmisión de la información (5.14.), unifica los anteriormente denominados políticas y procedimientos de intercambio de información (13.2.1), acuerdos de intercambio de información (13.2.2) y mensajería electrónica (13.2.3). Entrada física (7.2): unifica los anteriores controles físicos de entrada (11.1.2), y áreas de carga y descarga (11.1.6) El actual uso de criptografía (8.24), unifica la política de uso de los controles criptográficos (10.1.1) y la gestión de claves (10.1.2) Otros cambios significativos Se ha de destacar el énfasis que hace la nueva norma ISO/IEC 27002/2022 a la gestión de proveedores. En este sentido, se opta por un control mucho más exhaustivo centrado en la totalidad de la cadena de suministro para el análisis de las posibles lagunas de seguridad, reflejándolo en los siguientes controles: Seguridad de la información en relaciones con proveedores (control 5.19.). Seguridad de la información en acuerdos con proveedores (control 5.20.). Seguridad de la información en la cadena de suministro TIC (control 5.21.). Monitorización, revisión y cambio de la gestión en servicios de proveedores (control 5.22.). En conclusión, la actualización de la norma ISO/IEC 27001/2022 se adecúa al contexto actual de la seguridad de la información, proponiéndonos una estructura de gestión más similar a la que propone el Esquema Nacional de Seguridad. Ello favorecerá la integración de ambos marcos de referencia en las organizaciones y, por ende, facilitará su aplicación práctica, ya que ofrece una simplificación que sin duda busca fomentar su cumplimiento.Por ello, el área de GRC de  nos ponemos a su disposición tanto para la implementación de Sistemas de Gestión de Seguridad de la Información desde sus inicios, como para la adecuación de su sistema de gestión a los nuevos criterios y requisitos normativos, de una manera eficaz y eficiente para su organización.

Vigilancia Digital: Rastreando la Dark Web

Vigilancia digital: Rastreando la Dark Web

La sociedad que vivimos está inmersa en un proceso en el que sus miembros permanecen hiperconectados con otros semejantes y con multitud de aplicaciones y servicios, todo ello gracias a Internet, lo que ha hecho de esta red un elemento imprescindible en nuestras vidas. En el ámbito de las empresas, el impulso de la transformación digital está consiguiendo que, independientemente del tamaño de la organización, y por muy pequeña que ésta sea, todas operen en Internet. Este gigantesco mundo paralelo que se ha creado en Internet es cada vez más complejo y no está privado de la presencia de actores maliciosos que, con diferentes propósitos, ponen en riesgo activos, tanto de particulares como de empresas. A pesar de la magnitud de Internet, sin embargo, únicamente tenemos acceso a una pequeña parte de los sitios que aloja. En base al tipo de acceso que se requiere para visualizar los contenidos de estos sitios, se puede estructurar Internet en tres zonas: La web abierta o superficial. Esta web supone un porcentaje muy pequeño de toda la red. Son sitios web a disposición del público a los que se accede utilizando los navegadores tradicionales. Gracias a la indexación, el acceso es muy rápido. La Deep Web es la gran porción de la tarta de Internet. Es allí donde se aloja la mayor parte de la información disponible en la Red. Es la zona en la que se encuentra la información de empresas e instituciones. La Dark Web forma parte de la Deep Web. Ocupa una mínima parte de ésta. Esta zona oscura ha estado rodeada desde sus inicios de un halo de misterio, estando considerada como un espacio en el que se gestan actos ilícitos. Sin embargo, dada su opacidad y sus restricciones para acceder, también se ha utiliza para alojar contenido legal. Se trata de una zona donde no existe la indexación, donde no pueden acceder los navegadores tradicionales y que requiere de accesos virtuales para llegar hasta allí. Paralelamente a la transformación digital que están abordando las empresas, en el ámbito de la ciberdelincuencia se está produciendo un salto exponencial en la actividad maliciosa a nivel global. La Dark Web está siendo protagonista de este nuevo escenario pues, al cobijo del anonimato que se obtiene formando parte de ella, se fraguan numerosas acciones ilícitas. En la Dark Web se cobijan actores maliciosos que debaten en foros sobre asuntos ilícitos y trafican en mercados con bienes obtenidos de manera ilegal. Asuntos relacionados con acciones terroristas, tráfico de drogas y armas, extorsiones, ataques a la reputación de las marcas, fraudes, software malicioso o fuga de información forman parte de la actividad que se genera en la Dark Web. Las consecuencias que sufren las organizaciones que se ven afectadas por acciones gestadas en la Dark Web son múltiples y, en su mayoría, tienen una traducción económica: En el ámbito de las telecomunicaciones, en la Dark Web se trafica con el “sim swapping” o suplantación de las tarjetas SIM de los teléfonos móviles. En entornos bancarios, los actos ilícitos habituales tienen que ver con la falsificación de tarjetas de crédito. Son especialmente sensibles las amenazas a las que están sometidas las infraestructuras críticas y esenciales, generalmente asociadas a acciones terroristas y sabotajes. De forma genérica, se pueden organizar acciones que atenten contra la reputación de marcas comerciales o de los directivos de las compañías. Así mismo, la Dark Web está sirviendo para traficar con grandes bases de datos de información robadas a las organizaciones. En particular, están siendo de sumo interés para los ciberdelincuentes las que albergan credenciales de cuentas de usuarios. Disponer de los datos de acceso a servicios o aplicaciones de una empresa les facilita enormemente la ejecución de ciberataques basados, por ejemplo, en ransomware. Ante este escenario, la estrategia que deben seguir las organizaciones se debe centrar en anticiparse a estas amenazas emergentes. Es aquí donde Global Technology puede colaborar con las organizaciones aportando herramientas con capacidad para realizar investigaciones con las que obtener visibilidad continua y en tiempo real de lo que acontece en la zona oscura de Internet. Los analistas del Centro de Operaciones de Seguridad (SOC) de Global Technology pueden acceder a fuentes y foros cerrados y realizar investigaciones encubiertas. Las tecnologías que implementan estas herramientas permiten abordar una amplia gama de escenarios: Detección en tiempo real de credenciales comprometidas. Es posible detectar la filtración y el compromiso de credenciales de empleados que hayan aparecido en la web profunda u oscura. Monitorización de amenazas dirigidas contra los equipos directivos. Se puede hacer seguimiento de posibles amenazas cibernéticas o físicas de las que sean objeto directivos de la organización (estafa del CEO, doxing, spear-phising, etc…). Protección de la marca. Detección de amenazas que prevengan de ataques contra la marca empresarial y sus activos críticos. Análisis del fraude. Permite investigar fugas de tarjetas de crédito, suplantación de tarjetas SIM y otros muchos tipos de fraude. Investigaciones de amenazas terroristas. Se puede acceder a docenas de foros y canales relacionados con el terrorismo. Investigaciones sobre armas y drogas. Igualmente, es posible acceder a numerosos mercados relacionados con el tráfico de drogas y armas. Referencias genéricas. El alcance de las investigaciones incluye todos los dominios pertenecientes a la organización. La operación de este servicio la realiza el equipo de analistas del SOC, con la colaboración de la organización que solicita el servicio, definiendo los parámetros de búsqueda de amenazas que se desee investigar en estas redes con el fin de establecer las alertas que prevengan de las acciones fraudulentas que se estén gestando o que hayan podido llegar a materializarse. El servicio de Vigilancia Digital y Fraude de Global Technology reporta beneficios manifiestos para las organizaciones que optan por él. Además del evidente ahorro económico que puede suponer anticiparse a una amenaza que atente contra la organización, se pueden evitar daños físicos para las personas y materiales en las instalaciones, así como, afecciones a la reputación de la marca.

Hackear con tecnología

Hacking | GlobalTechnology

En mi último artículo, hablaba de las bondades del hacking sin tecnología, donde explotábamos las debilidades intrínsecas del ser humano mediante ingeniería social. Todo esto es muy bonito y seguro que más de un psicólogo tendría algo que aportar a mis palabras…pero hoy voy a irme al lado opuesto: el uso de la tecnología. No voy a centrarme en ninguna categoría concreta, pero si voy a hacer una especie de menú de degustación para que podáis tener una visión general y seáis vosotros mismos los que decidáis en cual queréis invertir. Normalmente cuando hablamos de esto solemos ceñirnos a un contexto de software y nos quedamos ahí, pero lo que veo que habitualmente no se menciona es la tremenda cantidad de hardware físico que existe para facilitarnos el arte de la intrusión. Suele ser el gran olvidado, y por este motivo creo que un artículo que aporte algo de información puede ser útil a todas las personas que estén interesadas en esta disciplina. Obviamente cada dispositivo es útil en un contexto y aunque suele ser de consenso común el conocimiento de en cual aplicamos cada cacharrito os aseguro que hay gente con una capacidad increíble de encontrar utilidades nuevas continuamente. Dispositivos inyectores de teclado Hay muchos a este respecto actualmente, pero de los primeros en salir al mercado, por no decir el primero, fue Rubberducky de Hak5. Este dispositivo con el aspecto de un simple pendrive permite inyectar comandos simulando un teclado conectado al equipo. ¿Qué significa esto? Significa que si consigues enchufarlo a un puerto USB de la víctima podrás escribir a velocidad de vértigo toda una serie de comandos, scripts o lo que se os ocurra que pueda hacerse con un teclado convencional. Podría pareceros poco, pero imaginad un escenario donde lo llevamos en un bolsillo y en el momento en el que alguien se levanta para ir al baño aprovechamos para conectarlo. Solo necesitamos 1 segundo para abrir una consola de comandos e insertar un usuario administrador en el sistema, incluirlo en el grupo de administradores de escritorio remoto y permitir todas las conexiones en el cortafuegos de Windows. Y quien dice esto dice filtrar hashes ntlmv2, abrir una shell inversa mediante powershell, invocar mimikatz…y un inmenso etcétera de funcionalidades, solo limitadas por vuestra imaginación o capacidades de scripting. Y la guinda del pastel es que a todos los efectos es un teclado. Ningún endpoint va a enfadarse por un teclado ¿verdad? Por muy quisquilloso que sea el antivirus de turno para el solo es una persona escribiendo, no un diabólico software (salvo que nos invoquemos mimikatz desde internet, claro). Originalmente cuando buscábamos un efecto de este calibre teníamos que limitarnos a Rubberducky, pero actualmente han aparecido muchas marcas blancas mediante la denominación Badusb o HID Injector que podéis encontrar en plataformas como Aliexpress o Amazon. Básicamente son clones de Rubberducky con hardware libre y con algunas mejoras. ¿Cuáles son estas mejoras? Si bien antes teníamos que conectar el dispositivo y de inmediato lanzaba su secuencia única de teclado previamente programada, ahora disponemos de algunos que incluyen wifi y nos permiten conectarnos desde una aplicación del móvil para activarlo a voluntad, con espacio de almacenamiento incluido para poder seleccionar el efecto que más nos convenga. Eso abre la posibilidad de simplemente esperar sentado cómodamente a que la persona se despiste y ejecutar el pandemónium en su equipo en el momento adecuado. Keyloggers de hardware Todos conocemos los de software, un programita malvado que instalamos cuando tengamos acceso al equipo en cuestión que registra las pulsaciones de teclado para robar contraseñas, conversaciones privadas y esas cosas que los que amamos la privacidad no nos hace gracia que nos roben. Este tipo de dispositivos hacen la misma labor, pero mediante hardware, donde los molestos antivirus no pueden buscarnos las cosquillas. Los más conocidos son los de Airdrive que únicamente tenemos que poner entre el puerto USB y el teclado como si un extensor se tratase y él ya se encargará de registrar todas las pulsaciones a las cuales podremos acceder cómodamente desde su punto de acceso wifi. Evidentemente debemos esperar un descuido de la persona para poder colocarlo en su lugar y con equipos portátiles no nos sirve de mucho salvo que tengan un teclado conectado, pero en estaciones de trabajo es maravilloso para obtener passwords cuando todo el mundo vuelve de la hora de comer. Drones de intrusión ¿Qué ocurre cuando queremos robar un handshake de una red inalámbrica y en la empresa han hecho bien su trabajo y han reducido el rango de cobertura únicamente al interior de su perímetro? Pues que o lloramos en un rincón o usamos un dron. Si amigos, actualmente hay distribuciones para Kali que funcionan en una raspberry pi mediante ARM y en algún momento alguien pensó “¿un momento…y si ato una a un dron?”. De eso tratan este tipo de proyectos. Pilotas el dron hasta el tejado del edificio, donde tengamos cobertura de la red inalámbrica y desde ahí hacemos todas las maldades que nos plazca. Discreto y eficaz. Es habitual usar el kernel de Re4son para proporcionar una forma fácil de acceder a ciertas funcionalidades clave a través de una pantalla táctil situada en el dispositivo volador. Y muchos chismes más El abanico es inmenso, dispositivos de clonado NFC, falsos cables de carga con un badusb incluido, pendrives que fríen los componentes electrónicos solo con conectarlos, interceptadores tipo Man in the Middle de hardware, jammers wifi como apoyo para nuestros ataques…existe de todo lo que os podáis imaginar, y cada vez habrá más, porque la tecnología evoluciona constantemente y su abaratamiento nos permite integrarla en casi cualquier cosa. Así que, cuando ese misterioso comercial de una empresa que nunca habéis oído hablar os regale un ratón con su logo quizás deberíais plantearos si conectarlo es la mejor opción. Yo he llegado a incluir sorpresas hasta en un calentador de tazas USB ¿queréis café calentito? Tened cuidado ahí fuera.

Vigilancia digital y fraude

VIGILANCIA DIGITAL Y FRAUDE El servicio de Vigilancia Digital y Fraude brinda información en tiempo real a los equipos de seguridad de las organizaciones para actuar de manera anticipada contra las amenazas externas antes de que se materialicen.  ESPECIALISTAS EN Protección de la marca Detección de amenazas que prevengan de ataques contra la marca empresarial y sus activos críticos. Análisis del fraude Permite investigar fugas de tarjetas de crédito, suplantación de tarjetas SIM y otros muchos tipos de fraude.  Referencias genéricas El alcance de las investigaciones incluye todos los dominios pertenecientes al cliente.  Detección en tiempo real de credenciales comprometidas Es posible detectar la filtración y el compromiso de credenciales de empleados que hayan aparecido en la web profunda u oscura.  Investigaciones de amenazas terroristas, armas y drogas Se puede acceder a docenas de foros y canales relacionados con el terrorismo, y numerosos mercados relacionados con el tráfico de drogas y armas.  Monitorización de amenazas dirigidas A los ceo Se puede hacer seguimiento de posibles amenazas cibernéticas o físicas de las que sean objetivo directivos de la organización. En Global Technology disponemos de un servicio con capacidad para realizar investigaciones con las que obtener visibilidad continua y en tiempo real de lo que acontece en la deep web y dark web.   Es allí donde los actores de amenazas buscan herramientas, servicios y socios para llevar a cabo acciones maliciosas.  Los analistas del SOC de Global Technology pueden acceder a fuentes y foros cerrados y realizar investigaciones encubiertas.  A través del servicio de Vigilancia Digital y Fraude se consigue tener acceso a lo que sucede en Internet, con el objetivo de realizar análisis que generen información de inteligencia para gestionar el creciente número de amenazas digitales a los que están sometidos las organizaciones.  Desde Global Technology ponemos a tu disposición todos nuestros servicios para ofrecerte una protección total de tu negocio contra todo tipo de contingencias y vulnerabilidades y así lograr los mejores resultados y la mejora continua. ARTÍCULOS Descubre un poco más sobre la Vigilancia Digital y Fraude en nuestro blog de ciberseguridad. Vigilancia Digital: Rastreando la Dark Web José Antonio | julio 25, 2022 ¿Qué es la vigilancia digital? Global Technology | abril 18, 2022 La ciberinteligencia, instrumento de la ciberseguridad José Antonio | marzo 29, 2022 siguenos en redes sociales Contenido exclusivo y actualizaciones #globalt4e Twitter Linkedin-in Instagram Youtube CONTACTA CON NOSOTROS

Esquema Nacional de Seguridad (ENS): necesidad, obligatoriedad, peculiaridades y beneficios

ENS Esquema Naciconal de Seguridad

La Importancia de la información y los sistemas TI En la actualidad, la información es una pieza clave e incluso vital para toda organización por ello hay que protegerla como un activo crítico para el desarrollo y la continuidad de la actividad empresarial. Es de vital importancia asegurar que la información esté disponible, actualizada, sea veraz y accesible para el personal autorizado siempre que se necesite. Un fallo en la seguridad que comprometa la información sensible de una empresa puede suponer graves perjuicios para esta y la seguridad de sus instalaciones. Como ejemplo, pensemos en una instalación portuaria, la filtración de algo tan simple como un cuadrante de turnos de guardias de seguridad y relevos, o del posicionamiento o estado de las cámaras de videovigilancia, puede suponer una enorme brecha para la seguridad física de la instalación, ya que proporciona pistas a los delincuentes que facilitan la intrusión sin ser detectados. Con la digitalización de la industria, y la evolución de las denominadas tecnologías de la información, los sistemas informáticos se han convertido en el motor que sustentan la gran mayoría de los servicios y cadenas de producción actuales y un fallo de disponibilidad en estos puede llegar a inutilizar la operativa de una gran organización e incluso hacerla colapsar. En este caso, no tenemos que pensar en sistemas críticos y complejos de alta seguridad de los que nos muestran en películas de acción en las que un fallo informático genera el fin del mundo. Siguiendo con el ejemplo anterior, pensemos en la cantidad de vehículos que acceden a un puerto a lo largo del día, un simple fallo en la gestión de accesos de vehículos a una instalación portuaria, que dificulte la circulación del tráfico, puede suponer un colapso de las vías de comunicación, no sólo de la instalación sino incluso de toda la ciudad que la alberga. A todo ello se suma el aumento exponencial de la ciberdelincuencia año tras año, y el desarrollo del cibercrimen y los ataques dirigidos a infraestructuras tanto públicas como privadas. Que además en los últimos meses se ha disparado en base al conflicto bélico entre Rusia y Ucrania, ya que las corporaciones organizadas del cibercrimen y los ciberdelincuentes aislado han utilizado la tesitura para enmascarar y aumentar en gran medida sus actividades delictivas. Necesidad y obligatoriedad En este contexto, la preocupación por los sistemas de información y la seguridad de los mismos es de vital importancia. En particular en el Sector Público y los organismos que lo componen como garante del bienestar de todos los españoles. En base a dicha preocupación, se hace necesaria una estandarización de los requisitos y pautas de seguridad para los sistemas de información y en virtud de ello una unificación normativa para la adecuación de este sector a unos adecuados niveles de seguridad. Por ello, tal y como establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Esquema Nacional de Seguridad, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público. Esta la constituyen los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada; y como finalidad, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos mediante la aplicación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Dicha Ley es de obligado cumplimiento para los organismos que conforman el Sector Público. ¿Cuáles son los organismos que conforman el sector público? El artículo 2 de la mencionada Ley identifica los organismos que forman parte del sector público, entre los que se incluye el sector público institucional, según la cual, “tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público” …;y aquellas de derecho privado… “vinculados o dependientes de las Administraciones Públicas”. Por ello, con carácter genérico, a excepción de los casos con legislación específicas excluyente, toda entidad perteneciente al sector público y aquellas de derecho privado vinculadas o dependientes, bajo la aplicabilidad de la Ley 40/2015 tiene la obligación de adecuarse al ENS en base al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (mod. 04/11/2015). Siguiendo con nuestro ejemplo, en el Sector Portuario, las 28 Autoridades Portuarias que gestionan los 46 puertos de interés general, pertenecientes al Sistema Portuario español de titularidad estatal, como entidades vinculadas al Organismo Público Puertos del Estado, el cual se rige por su normativa específica, por las disposiciones de la Ley General Presupuestaria que le sean de aplicación y, supletoriamente por la Ley 40/2015; tienen la obligatoriedad de adecuarse al ENS. ¿Qué aporta el ENS? El ENS aporta un marco de gestión para la seguridad de la información a través de un enfoque integral y holístico, bajo la premisa de que la debilidad de un sistema la determina su punto más frágil. La adecuación de las organizaciones a la implementación de las medidas de seguridad preconizadas en este proporciona un aumento de los niveles de seguridad de la información desde el primer momento y un marco de trabajo para la mejora continua de la misma. Además, su certificación es una prueba de que la organización cumple con unos criterios mínimos de seguridad de la información y se adecúa a los requisitos legales, pudiendo ser, a parte de una mejora en el ámbito de la seguridad, una defensa ante posibles sanciones legales en caso de producirse incidentes de seguridad. Por otra parte, su cumplimento y certificación, también aporta un aumento de la confianza de partners, proveedores y clientes en la organización y mejora la imagen corporativa. La necesidad de proveer a las Administraciones Públicas de un Sistema de Gestión de la Seguridad de la Información estandarizado como lo es el ENS, viene determinada

La ciberinteligencia, instrumento de la ciberseguridad

ciberinteligencia y vigilancia digital SOC Global Technology

Cuando se realiza una primera aproximación al ámbito de la seguridad en el ciberespacio se aprecia con cierta frecuencia cómo se utilizan indistintamente los términos ciberinteligencia y ciberseguridad. Esta circunstancia es fruto de la vinculación que existe entre ambas disciplinas. En este artículo revisamos algunos conceptos que ayudan a comprender en consisten cada una de ellas y como están vinculadas. El diccionario de la Real Academia Española cuando define el término “servicio de inteligencia” se refiere a la inteligencia como la capacidad de proporcionar análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales. Siguiendo esa misma línea, si tomamos como referencia las aportaciones que en el campo de la inteligencia estratégica realizó Sherman Kent y que plasmó en su libro “Strategic Intelligence for Amercican World Policy”, se podría considerar la ciberinteligencia como el producto resultante de la adquisición y el análisis de información para identificar y predecir ciberataques, detectar indicios que puedan significar riesgos y derivar en amenazas y actividades que faciliten la toma de decisiones. Por tanto, y de forma resumida, podemos concluir que la ciberinteligencia es una variante específica de la inteligencia que aporta información específica dentro del ámbito del ciberespacio. En el proceso requerido para la obtención de la información puede ser necesario la realización de diversas tareas, si bien, son dos las consideradas esenciales: la adquisición de datos a través de diferentes fuentes: humanas, geoespaciales, técnicas y otras basadas en fuentes abiertas. Estas últimas, conocidas como OSINT (Open Source Intelligence), son ampliamente utilizadas en ciberseguridad y hacen referencia a la recolección de información en fuentes accesibles al público, como redes sociales, foros, blogs, congresos… el procesamiento humano de los datos y de la información que se han obtenido con el fin de obtener un resultado útil para la toma de decisiones. Es aquí donde entran en juego las unidades de analistas de ciberinteligencia. Procesados los datos es el momento de la entrega del resultado. Dependiendo de la necesidad de información que vaya a satisfacer el trabajo de inteligencia, el producto resultante podrá adoptar diferentes formatos: Difusión a través de informes, boletines, alertas, que podrán tener una determinada periodicidad o ser consecuencia de una demanda concreta ante una situación de crisis, por ejemplo. Una característica de los informes de ciberinteligencia es la mayor rapidez con la que habitualmente deben ser generados respecto a otros, fruto de la necesidad a la que deben dar respuesta. En el ámbito de la inteligencia de amenazas, el objetivo sería obtener las Tácticas, Técnicas y Procedimientos (TTP) que utilizan los ciberatacantes con el fin de poder elaborar una estrategia de defensa. Vigilancia Digital y Fraude. Mediante la ciberinteligencia se realizan investigaciones en foros ocultos de Internet o en redes sociales que permiten detectar campañas de desprestigio a empresas o a sus ejecutivos o la venta de fraudulenta de información o productos, así como, cualquier otra actividad que atente contra los activos de la compañía. Todo este conjunto de información que se puede llegar a obtener adquiere un valor incuestionable a la hora de afrontar futuras amenazas y de elaborar una estrategia de seguridad. Además, a este repositorio habrá que sumar lo generado por una fuente adicional y muy valiosa como es la de los equipos de respuesta a incidentes de cada organización, los conocidos como CSIRT. Una vez revisado el concepto de ciberinteligencia, es momento de realizar una aproximación al de ciberseguridad. A diferencia de lo que suele suceder con el término ciberinteligencia, sí existe un mayor consenso entre los expertos sobre el significado de ciberseguridad, no habiendo apenas hueco para la ambigüedad. Una de las definiciones que, quizás, mejor establece el significado de este concepto es la que realiza la Agencia de Ciberseguridad de Estados Unidos (CISA) en su Security Tip ST04-001 en donde dice que “la ciberseguridad es el arte de proteger redes, dispositivos y datos del acceso no autorizado o uso delictivo y la práctica de garantizar la confidencialidad, integridad y disponibilidad de la información”. Esa ingente tarea de protección se alcanza mediante un proceso que, en su fase operativa, aplica un conjunto de técnicas valiéndose de herramientas y procedimientos. La protección debe abarcar todo el ciclo de vida de la información, desde que se genera y procesa, hasta su transporte, almacenamiento y eliminación. Dentro de ese conjunto de herramientas se incluyen todas aquellas que tienen que ver con la seguridad perimetral y de las redes, con las que hacen frente al malware y, aquellas que realizan la correlación en tiempo real todos los eventos registrados por esas y otras herramientas. También forman parte de este proceso los equipos de analistas que conforman los Centros de Operaciones de Seguridad (SOC). En el día a día estamos observando el creciente número de ciberataques que se producen contra todo tipo de objetivos, públicos y privados. Observamos, también, cómo la sofisticación de esos ataques va en aumento. Los grupos de ciberdelincuentes están cada vez más organizados, con estructuras internas plenamente especializadas. Sus miembros poseen conocimientos técnicos muy elevados y las técnicas de ataque que utilizan son cada vez más complejas. Pues bien, es aquí donde entra en juego la ciberinteligencia, convirtiéndose en un instrumento clave, siendo la perfecta aliada para la ciberseguridad, consiguiendo que aumenten sus capacidades de prevención, detección y respuesta ante ciberamenazas. La información generada por la ciberinteligencia facilita la toma de decisiones tácticas y estratégicas de las organizaciones frente a los ciberataques. En resumen, se podría concluir que la ciberseguridad se sirve de la ciberinteligencia como instrumento para anticiparse a posibles ciberataques y frustrarlos.