CEFIROS - Blog , CiberSeguridad

ANUNCIO: Acuerdo de distribución con Teldat para ofrecer su portfolio de soluciones de ciberseguridad.

Tue, 14 May 2024 10:23:19 +0200

Como mayorista especializado en soluciones de Ciberseguridad y Ciberinteligencia, anunciar un acuerdo de distribución para España y Portugal con un fabricante como Teldat para distribuir todo su portfolio de soluciones es todo un orgullo y un reto.

Teldat, empresa española de comunicaciones y ciberseguridad, se encuentra entre los fabricantes líderes internacionales del mercado de comunicaciones corporativas. Entre sus capacidades, siempre ha estado el trabajar estrechamente con los clientes e integradores, para adaptar soluciones y productos a las necesidades específicas de cada proyecto.

Teldat aportará una capa de soluciones de ciberseguridad como:

be.Safe Esentials (DNS filter service and IPS/IDS capabilities), be.Safe Pro (NGFW Appliance 8 Cloud Service), XDR (Network 8 Security analytics, Inventory, Detection and Response capability) e integración SDWAN (SASE).

El portfolio de Céfiros también estará dotado con productos Teldat de alta tecnología en OT, que beneficia la digitalización del sector transporte, energía, servicios públicos e industrial. Los routers y el sistema operativo del fabricante Teldat están diseñados y por su equipo propio de expertos en I+D.

Nuestro Director General Angel Carreras, comenta a propósito del reciente acuerdo que: "Para Cefiros es un auténtico placer y orgullo el poder asociarse con un líder de renombre para ofrecer soluciones de alta calidad a sus clientes. Esta alianza estratégica responde a la creciente demanda de soluciones de ciberseguridad a todos los niveles, y refleja la apuesta de Cefiros por fabricantes españoles, para a su vez, proporcionar a sus clientes las mejores herramientas para proteger, y Teldat deja claro su apuesta por la ciberseguridad, respaldada por años de experiencia y los miles de clientes que llevan tanto tiempo confiando es sus soluciones”.

Por su parte, Ricardo Martínez, Director Comercial de Ciberseguridad de Teldat, afirma que “Estamos muy contentos de anunciar este acuerdo de distribución entre Teldat y Cefiros. Su experiencia y conocimiento del mercado nos permitirán desarrollar aún más rápidamente nuestro canal de partners de ciberseguridad en Iberia”.

Leer Nota de Prensa Completa

F-Secure Business pasa a llamarse WithSecure

Thu, 31 Mar 2022 12:00:15 +0200

F-Secure Business es ahora WithSecure

Durante más de 30 años, F-Secure ha trabajado con sus partners hombro con hombro para dar respuesta y proteger a nuestros clientes frente a todas las amenazas a las que se han enfrentado. Ahora, desean que les acompañen también en su siguiente paso adelante, y desde el 22 de Marzo de 2022, su oferta B2B cambió de nombre.

En F-Secure daban por hecho que necesitaban una nueva marca que reflejara la identidad distintiva de su oferta B2B y los ayudara a satisfacer mejor las necesidades de sus clientes. Con la creación de WithSecure™ permitirá crear aún más demanda y dar seguridad a sus partners de que sus inversiones en desarrollo de marca ahora se centran al completo en B2B.

Ninguna persona, institución o empresa puede lograr la resiliencia cibernética por sí sola. En WithSecure™ creen en la colaboración con sus partners y socios para ayudar a las empresas a combatir sus amenazas de ciberseguridad. Su experiencia y capacidad, desarrolladas durante estos 30 años, protege todo tipo de negocios y empresas críticas en todo el mundo.

Es a través de esto acuerdos con sus partners lo que más les enorgullece al poder decir que ninguno de sus clientes ha sufrido una pérdida significativa mientras los han estado protegiendo. Es por eso que la mayoría de estos partnerships vienen durando una década o más.

Su visión sobre lo que es un buen Partnership tiene cuatro aspectos clave:

SEGURIDAD BASADA EN RESULTADOS:

El propósito de sus alianzas es lograr resultados para las empresas que confían en su tecnología. Esta seguridad a su vez, basada en resultados, se alinearán estrechamente con los resultados comerciales y formarán una parte integral de la estrategia de la empresa.

EXPERIENCIA COMPROBADA

La experiencia comprobada significa que nunca WithSecure™ les va a dejar solo. Brindan tecnologías y soportes basados en investigaciones líderes en el mundo. E independientemente del alcance de su acuerdo de partnership, los expertos de WithSecure™ estarán ahí para sus socios cuando los necesiten. Esto podría significar brindarle a todo el personal de sus socios todo el apoyo y capacitación necesaria e involucrarse directamente en los casos más difíciles a través de su servicio Elevate.

TECNOLOGÍA INSTINTIVA

Su tecnología instintiva simplifica tu vida adaptándose a las necesidades de sus clientes combinando su experiencia con inteligencia de automatización profunda y conocimientos conectados. La depuración constantes de todo eso permite a WithSecure™ hacer mucho más con menos y concentrarse en brindar seguridad basada en resultados a sus clientes.

ENFOQUE DE CO-SEGURIDAD

El enfoque de WithSecure™ de “Co-Seguridad para la colaboración” significa trabajar con sus socios dentro de parámetros claramente definidos. Para ayudar de manera conjunta a sus clientes a lograr los resultados de seguridad deseados, es importante que todos conozcan su función. Esto puede variar según la relación, desde brindarle únicamente la mejor tecnología que necesita, hasta asumir un papel proactivo para brindarle apoyo en la creación de su oferta de seguridad gestionada.

Ver evento de Lanzamiento de WithSecure

¿Qué es la tecnología de Content Isolation?

Sat, 10 Apr 2021 17:29:00 +0200

HP Sure Click

Cada día vemos cómo aumenta la frecuencia de las noticias acerca de ciberataques a empresas conocidas y cada vez más relevantes. Estos ataques llaman la atención por la pérdida en tiempo y dinero que suelen suponer para las empresas que los sufren debido a su relevancia.

En el mundo empresarial actual, los ataques ya no obedecen al patrón de “escaparate” para mostrar la habilidad de un determinado hacker en penetrar los sistemas, supuestamente bien protegidos, de una determinada empresa, entidad o administración. Los ataques actuales dentro del mundo corporativo buscan principalmente dos efectos: revelarse en un momento dado, imposibilitando el trabajo en esa empresa objetivo a través de distintas técnicas o no revelarse y quedar en un segundo plano extrayendo información sensible durante la mayor cantidad de tiempo posible.

Estos ataques actuales, sean del tipo que sean, están bien orquestados y planificados, cuentan con recursos cuantiosos y buscan maximizar su impacto y consecuencias.

Con este entorno y realidad nos sorprendió la pandemia de Covid 19. Esta “sorpresa” añadió una complejidad adicional: el teletrabajo. El teletrabajo tiene muchas ventajas sabidas por todos, quizá la más destacada sea la flexibilidad que aporta; pero supone también un desafío en el campo de la Seguridad. Los empleados pasan de conectarse desde el entorno securizado de la empresa a hacerlo desde sus casas o desde otras ubicaciones remotas. En muchos casos también ha supuesto un uso adicional, quizá más personal, al poder disponer de ellos en todo momento, de los dispositivos corporativos.

Al sacar a los dispositivos (pc’s, móviles, tabletas…) del seguro entorno corporativo se hace necesaria una solución que aporte seguridad adicional para los mismos. El desafío en estas circunstancias es qué tipo de seguridad elegir teniendo en cuenta los factores clave en estos casos: que no sea intrusiva, que no consuma excesivos recursos, que sea compatible con los sistemas actuales y que no requiera intervención de un usuario final que, por lo general, no está preparado para ser responsable de la parcela de seguridad que le toca. Es en esta situación donde más interesante parece moverse la tecnología de “Content isolation” o aislamiento de contenidos. Esta tecnología parte de una base “Zero trust”, en la que retiramos la confianza de todos los contenidos que afecten de forma externa al dispositivo: adjuntos de correo, archivos que se cargan mediante USB, navegación por internet, descargas de la red…

Al no tener confianza en la fuente de los contenidos, éstos pasan a ejecutarse en contenedores seguros o micromáquinas virtuales (que son más robustas si se apoyan en los recursos físicos del dispositivo). De esta forma, si el contenido en cuestión contuviese algún tipo de amenaza escondida, software dañino o malware, éste se ejecutaría solamente dentro del entorno seguro del contenedor y no afectaría al dispositivo. Una vez el contenedor se cierra (cuando el contenido deja de ejecutarse), el malware también “se cierra”.

Este sistema de seguridad adicional tiene varias ventajas. Las más relevantes serían: funciona en segundo plano no siendo necesaria la participación del usuario, es compatible con cualquier otra solución de seguridad presente en el dispositivo o entorno y securiza de manera sencilla los dos principales vectores de ataque dentro del mercado empresarial: el correo electrónico y la navegación web.

Además de las ventajas que saltan a la vista, trabajar con Aislamiento de Contenidos permite, mediante personalización, adaptarse a la realidad de cada empresa. Se pueden seleccionar las fuentes confiables, incluyéndolas en una “White list” o incluir nuevas fuentes de contenido en la lista de fuentes no confiables o “Black list”. De esta forma se logra el equilibrio entre la protección y el rendimiento de cada dispositivo.

Hace ya algunos años que esta tecnología está disponible y se presenta como la más adecuada para el entorno actual de protección de dispositivos. Era mismamente Gartner quien ya reconocía en 2017 que al menos la mitad de empresas deberían aplicar Aislamiento de Contenidos como tecnología adicional de Seguridad para evitar posibles brechas y consiguientes caídas de sus actividades. En el entorno actual se hace aún más relevante que las empresas aceleren en la adopción de este tipo de tecnología para continuar en sus transformaciones digitales y adaptación a las nuevas circunstancias.

Alejandro Curto

Business Development Manager
SE PS Services

Más información

¿Qué es la autenticación multifactor (MFA)?

Mon, 29 Mar 2021 11:01:32 +0200

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA), o autenticación fuerte, es un proceso de un mecanismo de seguridad que requiere dos o más factores de validación para probar la identidad de un usuario. La mayoría de las veces, implica conectarse a una red, aplicación u otro recurso sin tener que depender de una combinación simple de nombre de usuario y contraseña.

¿Por qué utilizar la autenticación multifactor MFA?

El uso de la autenticación multifactor tiene muchos beneficios dadas las realidades de los problemas actuales en el lugar de trabajo (muchos derivados del auge del teletrabajo derivado de la pandemia), el panorama de seguridad y las regulaciones.

MFA para protegerse de los ciberataques

La autenticación multifactor (MFA), o autenticación fuerte, es conocida principalmente por brindar una defensa adicional y dificultar el acceso de una persona no autorizada a una red o base de datos. La implementación de una solución sólida de MFA protege instantáneamente los datos y los recursos de TI contra el robo de identidades, la suplantación de cuentas y el phishing.

Como tal, las empresas utilizan MFA para controlar el acceso a los sistemas y soluciones de TI internos, así como a las aplicaciones B2C.

MFA para adaptarse al lugar de trabajo cambiante

En proceso de transformación digital, la autenticación multifactor es una forma excelente de promover la movilidad y la productividad de los empleados. Al usar MFA para acceder a aplicaciones corporativas o para conectarse a la red a través de una VPN, sin estar atados a la oficina y al tener la opción de usar sus dispositivos preferidos, las organizaciones se benefician de una flexibilidad muy valorada.

Consulte nuestro artículo sobre la tecnología Deviceless MFA, que permite una autenticación sólida multifactor sin ningún dispositivo (teléfono inteligente, tableta o clave física).

MFA para cumplir con los requisitos legales

La regulación sobre la seguridad de los datos se está volviendo cada vez más rigurosa, lo que genera importantes problemas de cumplimiento en la gestión y protección de datos. MFA puede ser esencial para cumplir con los requisitos reglamentarios en algunas industrias y/o jurisdicciones.

Por ejemplo, puede ayudar a los proveedores de atención médica a cumplir con HIPAA y ser incluso una parte clave en la directiva PSD2 para cumplir con la autenticación sólida.

MFA para simplificar la experiencia del usuario de inicio de sesión

En el mundo digital, es un hecho que mejorar la seguridad de un sistema implica inevitablemente una degradación de la experiencia del usuario. Sin embargo, al elegir la solución de autenticación multifactor (MFA) adecuada, puede simplificar la experiencia diaria de inicio de sesión de los usuarios permitiéndoles conectarse muy rápida y fácilmente, desde cualquier dispositivo y en cualquier lugar.

Consulte nuestro artículo sobre autenticación multifactor MFA sin contraseña.

¿Cómo funciona un MFA?

Un MFA funciona al requerir información de verificación adicional denominada "factores de autenticación" para garantizar que los usuarios digitales sean quienes dicen ser. Estos factores se consideran una prueba de la identidad de un usuario, también conocidos como credenciales.

La metodología de autenticación MFA requiere una combinación de al menos 2 factores. Cada uno de ellos procede de una categoría diferente:

- Algo que se sepa (conocimiento), como una contraseña, una frase de contraseña o un código PIN

- Algo que se tenga (posesión), como un dispositivo (teléfono inteligente, computadora portátil, etc.), tokens físicos, llaveros y tarjetas inteligentes.

- Algo que son (inherencia), como huellas dactilares, reconocimiento de voz o facial, y cualquier otro tipo de biometría.

Dado que el MFA integra el aprendizaje automático y la inteligencia artificial (IA), algunos cuentan con nuevos factores de autenticación, incluidos factores de autenticación basados en la ubicación y basados en el comportamiento. Sin embargo, estos métodos de verificación son parte de lo que llamamos "MFA condicional".

¿Por qué inWebo no recomienda el acceso condicional para su MFA? El acceso condicional es un enfoque que busca evitar requerir MFA bajo ciertas condiciones. Un atacante siempre buscará ubicarse en un contexto que le sea conveniente. Proporcionar excepciones para MFA es una violación de la seguridad que un atacante podrá aprovechar al máximo.

Para algunas soluciones MFA, la experiencia del usuario sigue siendo compleja y podría justificar el acceso condicional para simplificar la experiencia de inicio de sesión. Ciertamente no es el caso de inWebo, que ofrece un enfoque flexible de forma nativa.

Nuestros clientes son libres de configurar accesos condicionales, pero creemos que con un MFA fácil de usar, vale la pena solicitar MFA independientemente de las circunstancias. De esta manera, sus usuarios no se perderán cuando se encuentren en una de las circunstancias excepcionales que requieren MFA. Además, reforzará o iniciará un enfoque de confianza cero dentro de su organización.

¿Qué tan efectiva es la autenticación MFA multifactorial?

Según Microsoft, el MFA bloquea más del 99,9% de los ataques de compromiso de cuentas. A menudo escuchará que el MFA es un componente crítico de la seguridad de Zero Trust. Si bien es relativamente fácil obtener las credenciales de un usuario a través de ataques como el phishing o el relleno de credenciales, la autenticación fuerte MFA hace que sea casi imposible para los piratas informáticos obtener el segundo factor de autenticación.

¿Cómo elegir la solución MFA adecuada?

No todas las soluciones MFA son iguales, ya que las tecnologías detrás de ellas son bastante diferentes. Mencionamos anteriormente la función sin contraseña, pero hay varios otros criterios a considerar al evaluar la seguridad y la experiencia del usuario de los diferentes proveedores.

Para conocer su punto de referencia, puede seguir nuestro gráfico o ponerse en contacto con nosotros o nuestro mayorista Cefiros.

Carlos Pinilla

inWebo VP Sales DACH & Iberia

Más información

¿Qué es el modelo de Responsabilidad Compartida en los Servicios Cloud?

Wed, 07 Oct 2020 00:43:45 +0200

¿Qué es el modelo de Responsabilidad Compartida en los Servicios Cloud?

El enfoque de cualquier organización debe basarse en la declaración de misión y visión de la empresa, sin estar un paso por delante de las últimas vulnerabilidades de sus sistemas de TI. Mantener este enfoque en el día a día del negocio es aún más difícil cuando se producen brechas de seguridad masivas como las del gigante Yahoo o en España con SegurCaixa Adeslas y que nos sorprendieron y dominaron los titulares durante días. Además, teniendo en cuenta la actual situación económica y social tan especial que estamos viviendo y que está impactando tan abruptamente a todo tipo empresas, los servicios basados en la nube ofrecen alternativas a la infraestructura de TI tradicional, ofreciendo importantes ventajas de seguridad en la mayoría de los casos. Dependiendo de sean plataformas, infraestructuras o modelos basados en software, los servicios en la nube ofrecen distintos niveles de responsabilidad compartida para la seguridad.

Para lograr completamente el nivel de seguridad que una organización y sus activos demandan, es necesario seguir dos directivas clave:

(1) seleccionar el tipo de servicio apropiado para su organización

(2) comprender sus obligaciones bajo el modelo de responsabilidad compartida de ese servicio.

Los servicios basados en la nube también han revolucionado la ciberseguridad. En repetidas ocasiones, los proveedores de servicios cloud han demostrado que sus sistemas pueden superar a las soluciones on-premise en términos de efectividad, eficiencia, y seguridad. De hecho, la nube permite subcontratar de forma fácil y segura ciertos aspectos de los sistemas de TI de una empresa a un proveedor cloud capaz. Además, los servicios basados en la nube consumen menos recursos para la empresa cliente y, por lo tanto, pueden ser una excelente opción desde una perspectiva comercial y de costes. Todo, desde los servicios de correo electrónico hasta las máquinas virtuales, puede ser manejados de manera más segura por un proveedor en la nube, y liberar a la empresa de la tarea de manejar determinadas partes sustanciales de su seguridad. Sin embargo, la nube no reduce el riesgo de que los usuarios finales se vean comprometidos ni los endpoint se infecten. Los usuarios finales y los endpoint siguen siendo tan vulnerables como siempre.

Al descargar los sistemas de TI locales a las nubes que ofrecen sus socios tecnológicos, las organizaciones de cualquier tamaño pueden concentrarse mejor en el día a día de sus negocios. Pero, ¿significa esto que las empresas están exoneradas de toda responsabilidad cuando se trata de mantenerse a salvo de las ciberamenazas? Lamentablemente no. Aún no estamos en ese punto, ni muchísimo menos. En este momento, las organizaciones deben comprender sus responsabilidades y cumplir con sus obligaciones bajo modelos de responsabilidad compartida para mantenerse seguras.

¿Qué significa esto de la “Responsabilidad Compartida”?

En pocas palabras, el cliente es responsable de todos los aspectos de las soluciones operativas y de seguridad cuando se implementan en las instalaciones. Y a medida que las organizaciones avanzan en el aprovechamiento de los servicios basados en la nube, se transfieren más responsabilidades a los proveedores. En general, el beneficio clave de los servicios basados en la nube es que lo que sucede en la nube es responsabilidad de su proveedor o socio tecnológico. En otras palabras, los proveedores cloud y los clientes de la nube son responsables de los fallos en las funciones bajo su control.

Cuanto más inclusivo es un servicio ofrecido por un proveedor, menos responsabilidades tiene una organización cliente. Las responsabilidades específicas de los proveedores de la nube abarcan un amplio abanico según el tipo específico de servicio basado en la nube, que van desde la infraestructura como servicio (IaaS) hasta los modelos de software como servicio (SaaS), con la plataforma como servicio (PaaS) ocupando un posición intermedia.

- Cuando hablamos de IaaS, su organización es bastante independiente con respecto a la seguridad, pero esto aún es un gran paso para mantener sus propios racks de servidores en las instalaciones. En los modelos IaaS, las organizaciones son responsables no solo de sus propios datos, clientes y usuarios, sino también de las aplicaciones, las configuraciones de red e incluso los sistemas operativos.

Sin embargo, IaaS descarga la considerable responsabilidad de almacenar y mantener físicamente los servidores a su socio tecnológico y hace que los recursos informáticos estén disponibles a través de interfaces simples como las máquinas virtuales. Además, su proveedor de IaaS es responsable de algún nivel básico de seguridad de la red (es decir, detectar infracciones) y seguridad física (es decir, copia de seguridad). Incluso este nivel básico de servicio en la nube seguramente ayudará a la gerencia a dormir mejor por la noche.

- Con PaaS se simplifica un poco. Con PaaS, los problemas de almacenamiento y seguridad de la red son responsabilidad exclusiva de su proveedor de nube. Este nivel de servicio permite a su organización la comodidad adicional de saber que su proveedor se ocupa de las brechas en la red, junto con la facilidad que brinda la disponibilidad de los recursos informáticos a pedido.

En este nivel, si las organizaciones de clientes pueden concentrarse en mantener a los usuarios de sus terminales a salvo de la introducción de malware y contenido malicioso en la nube, sus datos pueden mantenerse bastante seguros. Bajo PaaS, usted es responsable de proteger y administrar aplicaciones, así como usuarios, dispositivos terminales y datos.

- SaaS en cambio, es el modelo cloud más simple y a menudo más seguro. La menor responsabilidad para con las organizaciones clientes se encuentra en los modelos SaaS. En este punto, el proveedor de la nube mantiene y protege todo menos a los usuarios, los dispositivos endpoint y los datos en la nube. Este nivel de servicio abstrae casi todos los detalles técnicos de la computación, y los proveedores de SaaS acreditados actualizan continuamente las aplicaciones a medida que surgen nuevas amenazas. Los modelos SaaS incluyen los muchos servicios orientados a empresas y consumidores que ofrece Google (por ejemplo, Gmail o Google Docs), así como Salesforce y Microsoft Office 365.

Si bien los modelos SaaS son los servicios basados en la nube más seguros, no están libres de riesgos, como lo demostró el ataque de virus ransomware Cerber de junio de 2016 en Microsoft 365. Como muchos virus tradicionales de Microsoft Office, Cerber confiaba en que los usuarios abrieran un archivo desde un correo electrónico y luego habilitar macros.

Entonces, ¿cuál es exactamente la parte de del cliente final de la responsabilidad compartida?

Pase lo que pase, la seguridad en la nube es una responsabilidad compartida, ya que los servicios en la nube no son "seguros de forma predeterminada". Todo lo que ingresa a la nube desde los usuarios de su organización y los dispositivos finales es responsabilidad de su organización. La firma líder en la industria de investigación y asesoría en TI, Gartner, predice que para 2020, el 95% de las brechas de seguridad en la nube serán el resultado de la supervisión del cliente. A la luz de esta previsión, es fundamental que las empresas comprendan plenamente los modelos de responsabilidad compartida para poder implementar las medidas de seguridad necesarias que se espera que manejen.

Si bien la nube ofrece importantes ventajas de simplicidad y seguridad, las mayores vulnerabilidades aún provienen de errores humanos. Si hace su tarea sobre los modelos de responsabilidad compartida, implementa medidas de seguridad complementarias y educa a sus usuarios, su organización puede aprovechar al máximo los servicios basados en la nube sin temor.

Fuentes:

https://aws.amazon.com/es/compliance/shared-responsibility-model/

https://blog.f-secure.com/what-is-the-shared-responsibility-model-in-cloud-based-services/

https://docs.microsoft.com/es-es/azure/security/fundamentals/shared-responsibility

Get Started Now

Gestión de Contraseñas, un grave problema y muy real

Fri, 22 May 2020 16:50:47 +0200

Contraseñas. Gestión segura de credenciales

Uno de los principales problemas, en cuanto a seguridad se refiere, es la cuestión de las contraseñas. Los atacantes pueden aprovechar que los usuarios usan contraseñas débiles o simples, al estilo 1234, que además repiten en varios servicios, o que mantienen las credenciales predeterminadas en sistemas como routers, puntos de acceso wifi, dispositivos IOT, etc, etc... Está vulnerabilidad permite que los ciberdelincuentes puedan acceder fácilmente a un objetivo y disponer de él a su antojo.

Es desafortunadamente habitual encontrar empresas en las que las políticas de complejidad de las contraseñas son muy laxas o simplemente no existen, que usan como contraseña el mismo nombre de usuario, la misma contraseña para todos los usuarios, y así un largo etcétera de ejemplos en los que la infraestructura de la empresa es altamente vulnerable.

¿Porqué entonces las empresas defienden estas políticas tan arriesgadas? Pues que son cómodas para los usuarios, que cualquier responsable pueda acceder fácilmente a los equipos de cualquier empleado, etc... Es cierto que esto se podría hacer de forma segura también, y si, teniendo claro que requiere un trabajo adicional de planificación y estructuración, pero es nuestra responsabilidad como administradores de sistemas el que las credenciales no sean un factor de riesgo para la seguridad de los sistemas TIC de la empresa.

Otro riesgo es son los insider, el empleado descontento o con malas intenciones que puede aprovechar su conocimiento de estas debilidades para causar daños o robar información, por ejemplo.

A nivel particular, como apuntábamos anteriormente, los usuarios tendemos a usar las mismas contraseñas en todos los servicios y redes en los que estamos registrados. Esto lo aprovechan los ciberdelincuentes cuando logran obtener listas de credenciales, normalmente por millones, de servicios o empresas a los que han atacado para simplemente probar esas credenciales en todos los servicios posibles. Seguro que logran obtener acceso a cientos de cuentas de correo electrónico, redes sociales, etc, y esto lo usan después para otros fines realmente rentables, como mediante ingeniera social pudiendo usar nuestras identidades robadas para hacer ataques, por ejemplo, de phishing, con apariencia mucho más creíble y poder engañar a sus víctimas.

Reforzar las políticas de contraseñas, tanto a nivel particular como empresarial, es difícil, dado que ¿seríamos capaces de recordar de memoria decenas de contraseñas complejas en las que se combinan letras en mayúsculas y minúsculas, números y signos y que además debamos de cambiar periódicamente?. Evidentemente no. Yo el primero. Esto hace que, como ejemplo, los monitores de las empresas se llenen de post-it con contraseñas anotadas.

¿Pues cual es la solución entonces? Hoy en día disponemos de aplicaciones que nos permiten mantener en una “caja fuerte o bóveda” virtual estas credenciales. Para acceder a este sistema solo debemos de recordar 1 contraseña, que ha de ser robusta, pero solo 1. Una vez que nos validamos podremos acceder, ya autenticados, a los servicios o sistemas que tengamos registrados en nuestro gestor de contraseñas.

Como empresa nos permite centralizar la gestión de las contraseñas de los sistemas de la empresa o, por que no, los de los sistemas de nuestros clientes o proveedores a los que necesitemos acceder y permitir a los empleados que deban acceder a ellos poder hacerlo cuando queramos sin que tengan que conocer ni ver la contraseña usada.

Vamos a ilustrar esto con un ejemplo: una empresa que mantiene equipos IoT instalados en clientes (pueden ser sistemas de videovigilancia, contadores eléctricos, etc.). Cuando envía a un técnico a dar soporte a un cliente se comparte con ese técnico las credenciales del dispositivo al que tiene que acceder. Una vez que el técnico está en las instalaciones del cliente, este puede acceder al sistema sin que tenga siquiera que ver la contraseña de acceso y una vez finalizado el servicio se deja de compartir esa credencial.

Ahora imaginemos una empresa como esta en la que un técnico, que tiene información de las credenciales de los clientes que ha visitado es despedido y quiere tomar represalias contra la empresa... podría hacerlo sin ningún problema, dado que con total seguridad, no habremos cambiado las credenciales de todos los sistemas conocidos por ese empleado. En este caso solemos caer en el grave erro de user en todos los dispositivos de los clientes las mismas credenciales, por que es sumamente complejo mantener una base grande de credenciales sin ninguna herramienta que nos ayude para hacerlo.

Estas herramientas además se pueden ocupar incluso de generar por nosotros las contraseñas basándose en criterios de complejidad que hayamos definido y auditarlo.

En resumen, la gestión de credenciales puede ser un problema en si mismo, además de que puede ser una fuente de vulnerabilidades importantes. Pero hoy día disponemos de herramientas como Keeper Security que nos ayudan con esta problemática, ¡usémoslas!.

Autor: Juan Antonio Robledo

jarobledo@cefiros.net

@jantoniorobledo

Más Información

Cefiros se convierte en Mayorista exclusivo de Keeper Security

Thu, 16 Apr 2020 23:15:26 +0200

Keeper Security apuesta por Cefiros como Mayorista de sus soluciones para Iberia

Más del 80 por ciento de todas las fugas y violaciones de datos se deben a contraseñas débiles o robadas, por lo que es más importante que nunca administrar las contraseñas de manera efectiva. Esto hace imprescindible que se implemente una solución de administración de contraseñas a todos los niveles independientemente del tamaño organización, como parte de una estrategia integral de seguridad cibernética.

Para llevar a cabo sus objetivos de expansión en Iberia, Keeper Security ha seleccionado para la distribución de sus soluciones de seguridad a Cefiros como su Mayorista para España y Portugal.

Con este acuerdo de distribución, los resellers e integradores de Cefiros podrán ofrecer nuevos servicios orientados a ayudar a sus clientes a prevenir fugas de datos y ataques cibernéticos, mejorar la productividad de los empleados y cumplir con los estándares de cumplimiento.

“Keeper ofrece al canal de Cefiros completar sus soluciones de seguridad con una solución atractiva para uno de los mayores desafíos que enfrenta la industria y la seguridad TI en la actualidad”. Con este acuerdo, Cefiros respalda la expansión de Keeper en el sur de Europa “proporcionando los equipos técnicos y comerciales necesarios para ofrecer el mejor soporte posible a nivel local”, ofreciendo una solución atractiva para uno de los mayores desafíos que enfrenta la industria y la seguridad TI en la actualidad”, comentó Ángel Carreras, Director de Cefiros.

La seguridad cibernética debería comenzar con la protección con contraseña, por lo que para Cefiros, es un placer ser el Mayorista de la solución de protección con contraseña líder de Keeper. "Firmar este acuerdo de distribución con Keeper Security es una parte importante de nuestra estrategia general y encaja muy bien en el portfolio de soluciones de Cefiros", agregó Ángel Carreras.

“En Keeper estamos muy entusiasmados en ofrecer nuestras soluciones de ciberseguridad en toda Iberia a través de esta relación con Cefiros", dijo Roland Steinmetz, director de canal de Keeper para EMEA. "Con su nuevo enfoque centrado en el mercado, Cefiros es un socio de distribución ideal para nosotros, ya que ayudamos a las empresas de toda la región a evitar infracciones de datos relacionadas con contraseñas y amenazas cibernéticas".

Más Información

La Ciber Fatiga

Fri, 23 Aug 2019 11:44:07 +0200

Los equipos de Ciberseguridad de hoy están en un estado de sobrecarga de alertas. Sin personal, con pocos recursos y abrumados, los profesionales están luchando para mantener el control de la seguridad de su organización, siempre y cuando el día a día no acapare su atención (Incidencias, llamadas etc), sin saber que los diferentes fabricantes en los que confían para protegerlos están empeorando su fatiga cibernética o CiberFatiga.

Con empresas que reciben hasta 500 alertas por día, el riesgo de que una amenaza desencadene su acción, ahora es inevitable más que una posibilidad. Las organizaciones han estado sentadas involuntariamente en una bomba de relojería, sin las herramientas adecuadas para evitar que ocurra una brecha o incidente. Hasta ahora.

Aquí, exploramos cómo el aumento de la seguridad autónoma ha dado a los profesionales el poder que necesitan desesperadamente para disipar el riesgo de sobrecarga de alertas y aliviar esta ciberfatiga.

Cómo comenzamos el ciclo de sobrecarga de alertas

En un intento por mantener el control sobre su panorama de amenazas en constante expansión, los equipos de ciberseguridad de todo el mundo han tomado medidas. Han recurrido a un número cada vez mayor de productos concretos y múltiples capas de administración para proteger sus redes y sistemas contra un aluvión de ciber amenazas, atraídos por su atractivo y promesa de al menos algún nivel de control automatizado, tanto que una organización de tipo medio, ahora tiene 33 productos puntuales en su kit de herramientas de seguridad. Pero en su necesidad por reforzar sus defensas sigue habiendo una falta de seguridad y control ... o como decía un anuncio "La seguridad sin control no sirve de nada!"

Las organizaciones han creado múltiples capas de herramientas de seguridad aisladas en defensa y, a pesar de las promesas de los fabricantes, ninguna ofrece una integración completa con las otras, aunque cada una envía decenas o cientos, o incluso miles, de alertas todos los días a sus administradores, y las concentras en un SIEM.

Miles de alertas. Son miles de decisiones que un humano debe tomar para evaluar si una amenaza es real y qué medidas se deben tomar, todos los días. Para los equipos con poco personal, es imposible revisar y actuar todas estas alertas, lo que explica por qué el 30% de los profesionales han admitido ignorar ciertas categorías de alertas como una forma de gestionar su sobrecarga de alertas. Como resultado, menos del 20% de las alertas se investigan realmente .

Las organizaciones ahora son víctimas de ataques de ransomware cada catorce segundos y el ataque promedio le cuesta a la organización 133.000€ en daños.

Estas estadísticas sorprendentes muestran la gravedad de la sobrecarga de alerta y los riesgos que los profesionales están tomando para tratar de mantener su cabeza fuera del agua. Pero con solo los ataques de phishing que aumentaron en un 237% en el último año, la cuenta regresiva para un ataque que se desencadene ha comenzado.

El coste real de la fatiga cibernética o Ciber Fatiga.

Debido a la extrema presión por responder rápidamente a las crecientes amenazas, las organizaciones han confundido el volumen de productos de seguridad con la calidad de los productos de seguridad, inundando a los profesionales con un flujo constante de alertas que es imposible de manejar. ¿El resultado? La ciberfatiga, que no solo pone en riesgo la seguridad, sino que también disminuye la productividad del trabajo y la moral.

El 79% de los profesionales se siente preocupado de que sus recursos no sean suficientes para gestionar las amenazas de manera efectiva en el día a día.

Como resultado de la sobrecarga de alertas, los equipos de respuesta a incidentes están bajo una inmensa presión que es completamente insostenible. La ciberfatiga ha comenzado en muchas organizaciones, con la confianza de los equipos de seguridad reducidos y los profesionales resignados al hecho de que una brecha o ataque es inevitable. Y sin los recursos adecuados para evitar que esto suceda, un impactante 72% de los profesionales admiten haber considerado cambiar de área o sector.

Es hora de tomar el control
Múltiples soluciones de seguridad solo complican la seguridad. A pesar de las mayores capacidades proporcionadas por estos productos y la seguridad adicional "automatizada", no han ido lo suficientemente lejos. Los analistas de seguridad reciben hasta 500 alertas por día, pero solo pueden responder a 10 - 15 en el mejor de los casos; lo que estamos viendo es un mayor número de productos pero una menor eficiencia y una sobrecarga de alertas. En lugar de ofrecer una verdadera automatización, la acción humana aún es necesaria para revisar o bloquear ataques. Y a menos que el equipo trabaje las 24 horas del día con velocidad de máquina, con la capacidad de procesar miles de millones de eventos al día, sin días de enfermedad, es imposible protegerse ante todo este volumen.
La única forma en que podemos detener la sobrecarga de alertas es a través de controles autónomos que integran productos puntuales y toman decisiones en nuestro nombre, según las reglas establecidas por nosotros. Esto no solo ahorrará tiempo y costes que actualmente se pierden al administrar sistemas separados, sino que nos llevará más allá de la seguridad basada en alertas y hacia una seguridad autónoma las 24 horas, los 7 días de la semana.
Con una integración genuina, el Motor de Seguridad Autónomo (ASE) de Censornet se comunica a través de todos sus productos de seguridad centrales y basa las decisiones en feeds de inteligencia de amenazas integrados (generalmente reservados para grandes presupuestos) para evitar de manera proactiva que los ataques se ejecuten. Con seguridad las 24 horas, ASE libera al personal, permitiéndoles enfocarse dar valor a la empresa o al cliente, crear un equipo más completo y aumentar la productividad.
Obtén más información sobre cómo ASE puede dar control sobre la sobrecarga de alerta y devolver el control a los equipos de Ciberseguridad aquí.

Como cumplir técnicamente con GDPR

Mon, 29 Jan 2018 13:30:42 +0100

Como indicaba en mi anterior artículo (http://bit.ly/2DZ0ccn), la GDRP o RGPD, es de obligado cumplimiento y requiere por parte de las empresas de cualquier tamaño, adaptar sus procesos tanto tecnológicos como de trabajo, para así,adaptarse a esta nueva normativa.

Dentro de los activos tecnológicos de la empresa, están dentro del alcance del Reglamento, todos aquellos dispositivos que puedan contener datos sensibles de la compañía, o bien puedan ser instrumento de tránsito de esta información.

Recordemos que estos son los datos personales dentro del alcance del Reglamento:

Nombre Completo
Email
Datos Bancarios
Información Fiscal
Dirección postal
Número de teléfono
Número DNI/NIE/NIF/Pasaporte
Número de la seguridad Social
Localización
Dirección IP Pública
Cookies
Etiquetas RFID
Datos de Salud
Datos Genéticos
Datos Biométricos
Datos Raciales
Datos Étnicos
Orientación Sexual
Orientación política

Tenemos que tener en cuenta, no solo el ámbito "local" de los datos, si no también qué tipos de servicios en la Nube usamos (DropBox, Office 365, Gmail, Hotmail, etc) ya que muchas empresas pequeñas, usan sistemas de correo "gratuitos" para realizar sus funciones, o tienen poco control sobre lo que contratan, fundamentalmente por desconocimiento.

¿Cómo podemos cumplir con el Reglamento?

Lo enfocaremos por 2 vías, y ambas son aplicables:

1. Infraestructura local, es decir ordenadores en la empresa, discos duros, comunicaciones, dispositivos móviles, tablets,…, es decir, todos los dispositivos que tengan o puedan tener contacto con la información sensible.

2. Servicios en la nube (SaaS y IaaS), es decir todos aquellos servicios, gratuitos o no, que tengan o puedan contener datos sensibles, o se utilicen para su transmisión.

Infraestructura Local

Dentro de este ámbito, cabe todo aquello que esté dentro de la red de la empresa, entendiendo por red en una empresa pequeña lo que es desde el router Wifi que pone el proveedor de servicio, hasta el último dispositivo que esté conectado a esa red.

Antes de nada, hay que “educar” y formar a los usuarios, informándoles para que no compartan usuarios y contraseñas, que no se dejen las contraseñas pegadas con un simple post -it, o que eviten el reúso de las mismas, y no solo eso, sino también de la "desconfianza" de correos no esperados, o del software que promete mucho siendo gratuito, o “bajado” gratis de algún lugar. Sobre este punto podríamos tratar horas y horas… Y siempre acabaríamos en el mismo punto. El punto más débil de la cadena en el mundo de la seguridad es el usuario.
Lo que deberíamos hacer antes de nada es tener controlado el flujo de información, que entra y que sale de la red de la empresa, no siendo el router del operador una opción válida. Por ello se necesitaría desplegar, una solución de firewall que sea capaz de registrar todos los accesos, sea mediante wifi o mediante cable, para poder saber las actividades que realizan todos los equipos a nivel de red y así cumplir con el Art. 27.1, 27.2 apartados d,e,f,g
Desde Cefiros, os podemos ofrecer los sistemas de HillStone (https://www.cefiros.net/hillstone.html) que, según varios analistas independientes, son los que mejor Rendimiento/Precio tienen del mercado frente a otros fabricantes.
El segundo paso es descubrir dónde están los datos sensibles que están amparados por el Reglamento, para ello, desde Cefiros, podemos usar la plataforma de Discovery y Classification de GTB Technologies (https://www.cefiros.net/gtb.html) (incluso en formato pago por uso) para detectar los documentos locales que puedan existir en la empresa y clasificarlos según su importancia.
El tercer escalón sería tener cifrada esta información y mantener cifrada y restringida el acceso a la misma, teniendo auditado quién, cómo y cuándo se accede a estos archivos o registros. Para ello nosotros recomendamos por simpleza y facilidad de uso el uso de SealPath (http://www.sealpath.com).
El cuarto paso es tener inventariado todo el parque de dispositivos y software, que se conectan a la red, y de las aplicaciones que hacen uso de las mismas y pueden tener acceso a los datos, este inventario lo podemos realizar con varias herramientas, Zeed Security, Miradore No nos podemos olvidar, qué es requisito de obligado cumplimiento tener protección de cada dispositivo y tener actualizado todo el software que esté inventariado, para ello la suite PSB de F-Secure dispone de gestión de parches sobre los activos (Windows) o usar la plataforma de Miradore para ejecutar la misma tarea.
Otro de los puntos no menos importantes es, dotar de doble factor de autenticación, a todos los administradores y usuarios que tengan acceso a esta información sensible, para ello nosotros recomendamos usar OKTA (https://www.okta.com) como solución de doble factor o MFA.
En el sexto punto, deberíamos abordar la seguridad del correo electrónico, un punto muy importante de entrada de amenazas, y por lo tanto un punto a cubrir muy importante. Muchas PYMES tienen soluciones de correo operadas por terceros, que no suelen disponer de una protección eficaz, o bien usan servicios de correo gratuito. Nosotros trabajamos con diversas opciones de protección de correo, y dependiendo de cada caso concreto, recomendamos una u otra.
Para tener monitorizada la actividad de los usuarios, algo obligatorio dentro del Reglamento, tenemos varias opciones para poder cubrirlo, en entornos pequeños un Firewall que realiza el control integral de las comunicaciones (Hillstone adaptado al tamaño de la organización) o usando un UEBA (user and entity behavior analytics) como Teramind (https://www.cefiros.net/teramind.html), para conocer en cualquier momento que realizan los usuarios o dejan de hacer y hasta analizar que han hecho en el pasado (desde que se instaló el agente)
Una de las acciones más importantes a realizar para esta en línea con el Reglamento es cubrir la fuga de información, ver como fluye por la red empresarial, y poder tomar acciones al respecto. Para ello con los Agentes de DLP de GTB se puede realizar esta acción y en conjunto con el UEBA poder tomar acciones si se detectan intentos de fuga.
Como un nivel adicional y que ya lo comentamos en el anterior artículo, indicamos como poder realizar evaluaciones de riesgo y evaluaciones continuas. Para ello nos basamos en un servicio llamado BAS (tecnologías Breach and Attack Simulator, según Gartner). Con esto ponemos a prueba nuestras medidas de seguridad en cada momento, vemos en tiempo real como reaccionan los sistemas ante un malware, o realizamos un intento de intrusión, y, si algo cambia, la plataforma de SafeBreach (https://www.cefiros.net/safebreach.html) nos indicará como mejorar ese punto débil y ,lo más importante, nos ayudará a evaluar en tiempo real el riesgo que estamos asumiendo ante nuevas amenazas y como combatirlas.
Como último punto, y aquí ya entramos en palabras "mayores", todas las empresas, independientemente del tamaño, pueden verse beneficiadas por el intercambio de información sobre amenazas, pero para poder sacarle un partido real, necesitantener un equipo de profesionales bien formados para que puedan evaluar esos riesgos y amenazas. Empresas más o menos grandes pueden tener un equipo dedicado, pero empresas más modestas o pequeñas, tienen un serio hándicap con esto. Yo en este punto soy mas partidario de ser una recomendación, más que algo "obligatorio".

Servicios SaaS

Aquí nos encontramos con otro gran hándicap para las empresas, sobre todo las pequeñas al proliferar el uso de servicios "FREEMIUM", por lo que estos servicios tienen su contrapartida "profesional" pero muchos de ellos no están por la labor de tener un contrato con ellos.

Dentro de los servicios SaaS más populares, encontramos:

Office 365
Gsuite
Egnyte
Dropbox
Zoho Suite
ManageEngine
Box.net
Salesforce
Cualquier CRM/ERP online

Tenemos que garantizar en estos servicios, que la información sensible alojada, se encuentre cifrada y a ser posible anonimizada, para que la correlación de los datos entre sí, haga imposible la identificación del individuo. Para ello, en los servicios que son de almacenamiento, como OneDrive, Dropbox, etc, recomendamos usar SealPath, para así mantener los documentos sensibles cifrados.

Para los servicios más "complejos" como ERP, CRM, etc, donde estén los datos sensibles, se requiere al menos de cifrado de los mismos. Para ello, las únicas soluciones útiles para ello son los CASB, que te permiten cifrar la información que se indique con la clave de cifrado que desee el usuario, no entramos aquí si la clave está en el proveedor o en manos del usuario. SkyHigh, líder según Garner, Forrester e IDC, es sin duda la mejor solución tecnológica que ayudará a proteger tus servicios cloud y tus usuarios que acceden a ellos, y por tanto, tener tus datos seguros.

Conclusiones

Independientemente de la arquitectura que se disponga, es necesario unos mínimos de seguridad en todos los ámbitos, y saber en todo momento quien como y cuando accede a los datos sensibles, y adicionalmente en el caso de los servicios en la nube, que estos dispongan de un doble factor de autenticación, ya sea de manera directa o indirecta apoyándose en un tercero.

Ni que decir tiene que, dentro de todo esto, se requiere una estrategia de acción ante incidentes de seguridad, ya sea por una fuga de datos, que hay que cuantificar, o por un incidente de los mismos, un ransomware cifra esa carpeta con esos datos.

Básicamente, la GDPR o RGPD viene a decir que, para tener un cumplimiento efectivo, se requiere tener cubiertos todos los puntos que indica la ISO27001, evidentemente adaptado a cada tamaño de empresa, pero debe cumplirse si no se quiere exponer a multas que pueden forzar a cerrar la empresa, dependiendo del tamaño, ya que la multa por incumplimiento puede llegar al 2% de la facturación del último año o hasta 10M de €, la cuantía que sea mayor, y la divulgación de información sensible sin informar del incidente, puede acarrar hasta 20M de € o el 4% de la facturación del último año, la cifra mayor resultante.

Nosotros desde Cefiros, podemos ayudar a cumplir con los requisitos u orientarte hacia dónde ir, para poder cumplirlo ya que nuestra finalidad es prestar un servicio de valor, más allá de poder vender nuestras tecnologías.

CHECK LIST

Os dejamos con una lista de comprobación básica, para saber cómo estáis a nivel de tecnología, y determinar qué se necesita adicionalmente:

o Solución Antivirus

o Solución Backup

o Solución de Cifrado de archivos

o Solución de Descubrimiento de Información

o Solución de Prevención Fuga de Información

o Solución de Comportamiento de Usuarios

o Solución de protección de correo electrónico

o Solución de seguridad Perimetral

o Solución de Detección/Prevención de Intrusiones

o Evaluación de Riesgos

o Plan de Respuesta ante Incidentes

o Plan de contingencia

Obviamente, damos por sentado que la mayoría de los sistemas operativos son legítimos y el software que se ejecuta en los mismos también lo es.

126 días y contando. ¿Estás Preparado?

Mon, 22 Jan 2018 14:48:13 +0100

¿Estás preparado para el día 0?

El 25 de Mayo de este año, entra en vigor el Reglamento General de Protección de Datos, o GDPR debido al cual, todas las empresas, necesitan cumplir ciertos requerimientos para estar en línea con los artículos que indica dicho Reglamento, así como tener preparados sus equipos para el correcto cumplimiento del mismo.

Este Reglamento no solo aplica a todo el territorio de la Unión Europea (28 Estados miembro), si no a todos aquellos países que manejen datos de ciudadanos miembros de la UE.

1. La definición de RGPD o GDPR, indica que no solo los datos personales identificables están dentro del amparo de este Reglamento, si no que los siguientes datos, están también dentro del amparo del Reglamento:

· Localización

· Dirección IP Pública

· Cookies

· Etiquetas RFID

· Datos de Salud

· Datos Genéticos

· Datos Biométricos

· Datos Raciales

· Datos Étnicos

· Orientación Sexual

· Orientación política

2. Las empresas que no cumplan los requerimientos antes de la entrada en vigor, están sujetos a amonestaciones. Las multas que indica el Reglamento, pueden llegar a los 20M€ o al 4% de la facturación anual, dependiendo del tamaño de la empresa, por incumplimientos y fugas de información.

3. El cumplimiento no es solo para tenerlo ese día y pasar las auditorías, si no que debe ser continuo. El Reglamento coloca el peso de la "evaluación continua de riesgos" en el controlador de datos, la organización de recopilación de datos y requiere que cualquier organización que esté procesando datos, cumpla con el Reglamento.

Construyendo un plan de acción

Las empresas deben desarrollar un enfoque basado en riesgo para Reglamento, lo que significa que primero deben evaluarse los riesgos en el contexto de las necesidades del negocio con el fin de identificar objetivamente qué datos están en riesgo y cuáles no. Una vez establecida la línea de base para la protección de datos, los controles de seguridad deben implementarse, aumentarse y evaluarse continuamente para garantizar que los datos continúen siendo seguros.

1. Descubrimiento de Datos Personales

El primer paso es descubrir y clasificar, donde están los datos personales sujetos al Reglamento. Primero debe determinarse donde están datos, y después como fluyen estos mismos datos. Para ello se necesita una solución de descubrimiento y clasificación de datos, que funcione, y que sea capaz de seguir estos datos y monitorizar como se obtienen, como se almacenan, como se usan y como se borran. Está en la mano del responsable de datos, asignar el riesgo de cada tipo de datos y que medidas de seguridad se aplican para que estén seguros.

2. Implementar "como estoy" en medidas de seguridad

Debido a la naturaleza de innovación tan dinámica de la tecnología, y el incremento de la complejidad de las amenazas, el Reglamento no especifica que tecnología se requiere para cumplir con el reglamento. En el artículo 25 del Reglamento, se indica que las empresas deben tener un "razonable" nivel de protección y privacidad para los ciudadanos de la UE, pero no define que es "razonable"

Esto tiene 3 implicaciones:

a. Los equipos de seguridad deben de seguir adaptándose. Deben protegerse contra amenazas tradicionales y nuevas, y aprovechar los últimos controles de seguridad para mantenerse al día con el panorama de la evolución de las amenazas.

b. Los equipos de Seguridad, necesitan focalizarse en la seguridad de los datos, gestión de acceso, cifrado de los datos, prevención fuga de información, y documentar estas capacidades.

c. Los equipos de seguridad, necesitan validad continuamente que la seguridad que tienen implantada, es efectiva y funciona (Ver punto 3)

Estas son las mejores prácticas para la seguridad del dato:

· Restringir el acceso al dato: Uno de los aspectos críticos de la securización de los datos personales es identificar y gestionar el acceso. Las empresas deben implementar el acceso con menos privilegios a los sistemas que almacenan y procesan estos datos.

· Habilitar cifrado: El cifrado de datos, reduce enormemente la probabilidad de compromiso de un usuario. El beneficio adicional de esto es que las empresas pueden reducir el riesgo de sanciones o no se les puede exigir que informen de una infracción si no se puede leer los datos exfiltrados. El Reglamento también especifica la seudonimización, en la que los datos personales identificables se reemplazan por un código aleatorio, como medida de protección de seguridad para reducir aún más la probabilidad de que la información se correlacione con las personas reales.

· Segmentación robusta: Las empresas, deben segmentar y restringir partes de la red que tengan datos dentro del amparo del Reglamento. Esta es una buena práctica fundamental para poder parar a un atacante que se mueva mas allá de la zona de infiltración.

3. Validar la seguridad con una evaluación continua

En el Artículo 32, el reglamento establece "…... el controlador y el procesador implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo, incluido ... un proceso para probar, evaluar y evaluar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos"

Por razones de seguridad y cumplimiento, las empresas necesitan asegurarse continuamente que cualquier control de seguridad que se halla implantado, está funcionando para proteger los datos personales. La evaluación de "como estoy", debe cumplir con las siguientes características:

1. Automatizado y Continuo: la validación debe ejecutarse continuamente para abordar el cambio en el panorama de las amenazas y tener en cuenta a los usuarios dinámicos, las aplicaciones y EndPoints. Además, la validación debe ser automática para minimizar la necesidad de personal altamente capacitado y altamente especializado.

2. Técnicas Exhaustivas: la validación debe ser consistente y exhaustiva, reflejando una variedad de técnicas que usan los atacantes reales. Esto proporciona la evaluación más precisa del riesgo y la mejor prueba de protección de datos.

3. Seguro: Para reflejar los verdaderos riesgos para una organización, la validación debe llevarse a cabo en redes de producción y EndPoints. La Evaluación del cumplimiento nunca debe poner en riesgo los datos ni afectar las operaciones de negocio.

Una tecnología que cumple esta evaluación continua de "como estoy" es, lo que se denomina en inglés, Breach and Attack Simulation.

Esta tecnología, permite a la empresa lo siguiente:

· Validar continuamente los controles de seguridad (Cumplimiento de Art. 25 y 32): Puede minimizar la exposición y validar continuamente que los controles de seguridad de "como estoy" que se han implementado realmente funcionan. Por ejemplo, los equipos de seguridad que implementaron controles de seguridad que solo permiten que ciertos tipos de datos viajen entre redes o centros de datos pueden probar que su implementación es efectiva o identificar errores de configuración en las implementaciones de seguridad que pueden llevar a una fuga de datos. Más importante aún, esta validación utiliza "técnicas de ataque real", generando un reflejo más preciso de los verdaderos riesgos empresariales.

· Prepararse para la evaluación de impacto del Reglamento (Art. 35): Puede preparar equipos de seguridad para evaluaciones de impacto. Específicamente, puede utilizarse antes de una evaluación real para evaluar las "medidas previstas para abordar los riesgos, incluidas las salvaguardas, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento". Esto incluye tecnologías de seguridad, pero también se extiende a los equipos SOC y MSSP involucrados en las medidas de seguridad para el Reglamento.

· Justificar la inversión: también puede probar, si se requiere o no una inversión adicional para el cumplimiento del Reglamento. La inversión en seguridad es, con demasiada frecuencia, una medida basada en el "instinto", ya que la seguridad real hasta ahora ha sido difícil de medir. Esto significa que los equipos ejecutivos solo inician una inversión de seguridad adecuada después de que se ha producido una infracción o incidente. Esta tecnología puede proporcionar datos de seguridad reales, para probar si se requiere más inversión en seguridad para el Reglamento.

4. Plan de respuesta a Incidentes

Uno de los puntos mas importantes del Reglamento, es tratar con el requerimiento de notificación de fuga de información. El Reglamento establece que "la destrucción, pérdida, alteración, divulgación no autorizada de o acceso a" de los datos personales, debe ser reportado en menos de 72 Horas

El último informe de Investigación de fuga de datos 2017, de Verizon, muestra como las intrusiones o compromisos, toman minutos en el 98% de los casos, y el tiempo de detección de estas, pueden tomar semanas y meses. El desafío al que se enfrentan las empresas es doble, detectar y cualificar cuando se produjo la intrusión, e identificar que cantidad de datos personales se han puesto en riesgo. Si la respuesta es positiva, deben notificarse al regulador en menos de 72 horas.

Por ello, las empresas necesitan desarrollar y documentar un plan de respuesta a incidentes. Si ya existe, deben extenderlo al cumplimiento del Reglamento. Los reguladores deben ser notificados dentro de las 72 horas de la fuga, y los sujetos afectados deben ser notificados "sin demora indebida" si la fuga "puede resultar en un alto riesgo para los derechos y libertades de las personas".

Hay dos cosas a tener en cuenta:

· La notificación reglamentaria debe "al menos":

· describir la naturaleza de la fuga de datos personales, incluyendo el número y las categorías de los datos y los registros de datos personales afectados.

· proporcionar la información de contacto del oficial de protección de datos.

· "describir las posibles consecuencias de la fuga de datos personales".

· describir cómo el controlador de los datos, propone abordar el incidente, incluidos los esfuerzos de mitigación. Si la información no está disponible a la vez, se puede proporcionar en fases.

· Los reguladores no necesitan ser notificados si:

· el controlador ha "implementado medidas apropiadas de protección técnica y organizativa" que "hacen que los datos sean ininteligibles para cualquier persona que no esté autorizada para acceder a ellos, como el cifrado" (Ver punto 2)

· el controlador toma medidas posteriores a la violación de los datos personales para "garantizar que el alto riesgo de los derechos y libertades de los interesados" no se materialice

· cuando la notificación a cada sujeto de datos "suponga un esfuerzo desproporcionado", en cuyo caso se pueden utilizar medidas de comunicación alternativas.

Conclusiones:

El Reglamento requiere que las empresas, no solo que protejan los datos personales que manejan, si no que también, tengan en mente la mejora de la seguridad en general. Algunos puntos clave del Reglamento, es la evaluación continua del riesgo, que permitirá a las empresas automatizar estas tareas para conocer el "como estoy" y poder así evaluar sus controles de seguridad.

Para ello existen diversas herramientas que pueden ayudar a cumplir con el Reglamento con garantías y nosotros podemos ayudarte con algunas de ellas.

Si necesitáis información de como podemos ayudaros, como cubrir todos los requerimientos, poneros en contacto con nosotros.