CEFIROS - Blog #SeguridadCEFIROS - Blog #Seguridadhttps://www.cefiros.net/blogs/tag/SeguridadMon, 27 Apr 2026 06:17:56 -0700http://zoho.com/sites/<![CDATA[ANUNCIO: Acuerdo de distribución con Teldat para ofrecer su portfolio de soluciones de ciberseguridad.]]>https://www.cefiros.net/blogs/post/acuerdo-distribucion-teldat-y-cefiros
 
Como mayorista especializado en soluciones de Ciberseguridad y Ciberinteligencia, anunciar un acuerdo de distribución para España y Portugal con un fabricante como Teldat para distribuir todo su portfolio de soluciones es todo un orgullo y un reto.

Teldat, empresa española de comunicaciones y ciberseguridad, se encuentra entre los fabricantes líderes internacionales del mercado de comunicaciones corporativas. Entre sus capacidades, siempre ha estado el trabajar estrechamente con los clientes e integradores, para adaptar soluciones y productos a las necesidades específicas de cada proyecto.

Teldat aportará una capa de soluciones de ciberseguridad como:
be.Safe Esentials (DNS filter service and IPS/IDS capabilities), be.Safe Pro (NGFW Appliance 8 Cloud Service), XDR (Network 8 Security analytics, Inventory, Detection and Response capability) e integración SDWAN (SASE).

El portfolio de Céfiros también estará dotado con productos Teldat de alta tecnología en OT, que beneficia la digitalización del sector transporte, energía, servicios públicos e industrial. Los routers y el sistema operativo del fabricante Teldat están diseñados y por su equipo propio de expertos en I+D.

Nuestro Director General Angel Carreras, comenta a propósito del reciente acuerdo que:  "Para Cefiros es un auténtico placer y orgullo el poder asociarse con un líder de renombre para ofrecer soluciones de alta calidad a sus clientes. Esta alianza estratégica responde a la creciente demanda de soluciones de ciberseguridad a todos los niveles, y refleja la apuesta de Cefiros por fabricantes españoles, para a su vez, proporcionar a sus clientes las mejores herramientas para proteger, y Teldat deja claro su apuesta por la ciberseguridad, respaldada por años de experiencia y los miles de clientes que llevan tanto tiempo confiando es sus soluciones”.

Por su parte, Ricardo Martínez, Director Comercial de Ciberseguridad de Teldat, afirma que “Estamos muy contentos de anunciar este acuerdo de distribución entre Teldat y Cefiros. Su experiencia y conocimiento del mercado nos permitirán desarrollar aún más rápidamente nuestro canal de partners de ciberseguridad en Iberia”.
Leer Nota de Prensa Completa
]]>Tue, 14 May 2024 10:23:19 +0200<![CDATA[F-Secure Business pasa a llamarse WithSecure]]>https://www.cefiros.net/blogs/post/F-Secure-Business-se-llama-desde-ahora-WithSecureDesde el pasado 23 de Marzo, todo el negocio Corporativo de F-Secure ha pasado a llamarse WithSecure]]>

F-Secure Business es ahora WithSecure

   Durante más de 30 años, F-Secure ha trabajado con sus partners hombro con hombro para dar respuesta y proteger a nuestros clientes frente a todas las amenazas a las que se han enfrentado. Ahora, desean que les acompañen también en su siguiente paso adelante, y desde el 22 de Marzo de 2022, su oferta B2B cambió de nombre.

 

 En F-Secure daban por hecho que necesitaban una nueva marca que reflejara la identidad distintiva de su oferta B2B y los ayudara a satisfacer mejor las necesidades de sus clientes. Con la creación de WithSecure™ permitirá crear aún más demanda y dar seguridad a sus partners de que sus inversiones en desarrollo de marca ahora se centran al completo en B2B.

 

 Ninguna persona, institución o empresa puede lograr la resiliencia cibernética por sí sola. En WithSecure™ creen en la colaboración con sus partners y socios para ayudar a las empresas a combatir sus amenazas de ciberseguridad. Su experiencia y capacidad, desarrolladas durante estos 30 años, protege todo tipo de negocios y empresas críticas en todo el mundo.

 

 Es a través de esto acuerdos con sus partners lo que más les enorgullece al poder decir que ninguno de sus clientes ha sufrido una pérdida significativa mientras los han estado protegiendo. Es por eso que la mayoría de estos partnerships vienen durando una década o más.

 

Su visión sobre lo que es un buen Partnership tiene cuatro aspectos clave:

 

SEGURIDAD BASADA EN RESULTADOS:

El propósito de sus alianzas es lograr resultados para las empresas que confían en su tecnología. Esta seguridad a su vez, basada en resultados, se alinearán estrechamente con los resultados comerciales y formarán una parte integral de la estrategia de la empresa.

 

EXPERIENCIA COMPROBADA

La experiencia comprobada significa que nunca WithSecure™ les va a dejar solo. Brindan tecnologías y soportes basados ​​en investigaciones líderes en el mundo. E independientemente del alcance de su acuerdo de partnership, los expertos de WithSecure™ estarán ahí para sus socios cuando los necesiten. Esto podría significar brindarle a todo el personal de sus socios todo el apoyo y capacitación necesaria e involucrarse directamente en los casos más difíciles a través de su servicio Elevate.

 

TECNOLOGÍA INSTINTIVA

Su tecnología instintiva simplifica tu vida adaptándose a las necesidades de sus clientes combinando su experiencia con inteligencia de automatización profunda y conocimientos conectados. La depuración constantes de todo eso permite a WithSecure™ hacer mucho más con menos y concentrarse en brindar seguridad basada en resultados a sus clientes.

 

ENFOQUE DE CO-SEGURIDAD

El enfoque de WithSecure™ de “Co-Seguridad para la colaboración” significa trabajar con sus socios dentro de parámetros claramente definidos. Para ayudar de manera conjunta a sus clientes a lograr los resultados de seguridad deseados, es importante que todos conozcan su función. Esto puede variar según la relación, desde brindarle únicamente la mejor tecnología que necesita, hasta asumir un papel proactivo para brindarle apoyo en la creación de su oferta de seguridad gestionada.

Ver evento de Lanzamiento de WithSecure
]]>Thu, 31 Mar 2022 12:00:15 +0200<![CDATA[La Ciber Fatiga]]>https://www.cefiros.net/blogs/post/la-ciber-fatigaLos equipos de Ciberseguridad de hoy están en un estado de sobrecarga de alertas. Sin personal, con pocos recursos y abrumados, los profesionales está ]]>

Los equipos de Ciberseguridad de hoy están en un estado de sobrecarga de alertas. Sin personal, con pocos recursos y abrumados, los profesionales están luchando para mantener el control de la seguridad de su organización, siempre y cuando el día a día no acapare su atención (Incidencias, llamadas etc), sin saber que los diferentes fabricantes en los que confían para protegerlos están empeorando su fatiga cibernética o CiberFatiga.

Con empresas que reciben hasta 500 alertas por día, el riesgo de que una amenaza desencadene su acción, ahora es inevitable más que una posibilidad. Las organizaciones han estado sentadas involuntariamente en una bomba de relojería, sin las herramientas adecuadas para evitar que ocurra una brecha o incidente. Hasta ahora.

Aquí, exploramos cómo el aumento de la seguridad autónoma ha dado a los profesionales el poder que necesitan desesperadamente para disipar el riesgo de sobrecarga de alertas y aliviar esta ciberfatiga.

Cómo comenzamos el ciclo de sobrecarga de alertas

En un intento por mantener el control sobre su panorama de amenazas en constante expansión, los equipos de ciberseguridad de todo el mundo han tomado medidas. Han recurrido a un número cada vez mayor de productos concretos y múltiples capas de administración para proteger sus redes y sistemas contra un aluvión de ciber amenazas, atraídos por su atractivo y promesa de al menos algún nivel de control automatizado, tanto que una organización de tipo medio, ahora tiene 33 productos puntuales en su kit de herramientas de seguridad. Pero en su necesidad por reforzar sus defensas sigue habiendo una falta de seguridad y control ... o como decía un anuncio "La seguridad sin control no sirve de nada!"

Las organizaciones han creado múltiples capas de herramientas de seguridad aisladas en defensa y, a pesar de las promesas de los fabricantes, ninguna ofrece una integración completa con las otras, aunque cada una envía decenas o cientos, o incluso miles, de alertas todos los días a sus administradores, y las concentras en un SIEM.

Miles de alertas. Son miles de decisiones que un humano debe tomar para evaluar si una amenaza es real y qué medidas se deben tomar, todos los días. Para los equipos con poco personal, es imposible revisar y actuar todas estas alertas, lo que explica por qué el 30% de los profesionales han admitido ignorar ciertas categorías de alertas como una forma de gestionar su sobrecarga de alertas. Como resultado, menos del 20% de las alertas se investigan realmente .

Las organizaciones ahora son víctimas de ataques de ransomware cada catorce segundos y el ataque promedio le cuesta a la organización 133.000€ en daños.

Estas estadísticas sorprendentes muestran la gravedad de la sobrecarga de alerta y los riesgos que los profesionales están tomando para tratar de mantener su cabeza fuera del agua. Pero con solo los ataques de phishing que aumentaron en un 237% en el último año, la cuenta regresiva para un ataque que se desencadene ha comenzado.

El coste real de la fatiga cibernética o Ciber Fatiga.

Debido a la extrema presión por responder rápidamente a las crecientes amenazas, las organizaciones han confundido el volumen de productos de seguridad con la calidad de los productos de seguridad, inundando a los profesionales con un flujo constante de alertas que es imposible de manejar. ¿El resultado? La ciberfatiga, que no solo pone en riesgo la seguridad, sino que también disminuye la productividad del trabajo y la moral.

 El 79% de los profesionales se siente preocupado de que sus recursos no sean suficientes para gestionar las amenazas de manera efectiva en el día a día. 

Como resultado de la sobrecarga de alertas, los equipos de respuesta a incidentes están bajo una inmensa presión que es completamente insostenible. La ciberfatiga ha comenzado en muchas organizaciones, con la confianza de los equipos de seguridad reducidos y los profesionales resignados al hecho de que una brecha o ataque es inevitable. Y sin los recursos adecuados para evitar que esto suceda, un impactante 72% de los profesionales admiten haber considerado cambiar de área o sector.

Es hora de tomar el control

Múltiples soluciones de seguridad solo complican la seguridad. A pesar de las mayores capacidades proporcionadas por estos productos y la seguridad adicional "automatizada", no han ido lo suficientemente lejos. Los analistas de seguridad reciben hasta 500 alertas por día, pero solo pueden responder a 10 - 15 en el mejor de los casos; lo que estamos viendo es un mayor número de productos pero una menor eficiencia y una sobrecarga de alertas. En lugar de ofrecer una verdadera automatización, la acción humana aún es necesaria para revisar o bloquear ataques. Y a menos que el equipo trabaje las 24 horas del día con velocidad de máquina, con la capacidad de procesar miles de millones de eventos al día, sin días de enfermedad, es imposible protegerse ante todo este volumen.

La única forma en que podemos detener la sobrecarga de alertas es a través de controles autónomos que integran productos puntuales y toman decisiones en nuestro nombre, según las reglas establecidas por nosotros. Esto no solo ahorrará tiempo y costes que actualmente se pierden al administrar sistemas separados, sino que nos llevará más allá de la seguridad basada en alertas y hacia una seguridad autónoma las 24 horas, los 7 días de la semana.

Con una integración genuina, el Motor de Seguridad Autónomo (ASE) de Censornet se comunica a través de todos sus productos de seguridad centrales y basa las decisiones en feeds de inteligencia de amenazas integrados (generalmente reservados para grandes presupuestos) para evitar de manera proactiva que los ataques se ejecuten. Con seguridad las 24 horas, ASE libera al personal, permitiéndoles enfocarse dar valor a la empresa o al cliente, crear un equipo más completo y aumentar la productividad.

Obtén más información sobre cómo ASE puede dar control sobre la sobrecarga de alerta y devolver el control a los equipos de Ciberseguridad aquí. 

]]>Fri, 23 Aug 2019 11:44:07 +0200<![CDATA[¿Como segmentamos un entorno virtual? (I)]]>https://www.cefiros.net/blogs/post/¿Como-segmentamos-un-entorno-virtual-I

El paradigma de la segmentación

Las organizaciones de seguridad de TI hoy se enfrentan una doble situación. Por una parte, los ataques persistentes (no me refiero a las APT, si no a los atacantes pesados, que no paran de intentar asaltar nuestras defensas) que buscan nuevas forma de acceder a nuestros mas preciados "tesoros", es decir nuestros datos mas sensibles, secretos industriales, para una vez dentro, exfiltrar toda esa información valiosa para nosotros y hacerla pública, venderla al mejor postor, o entregársela a la competencia (de esta última conozco un caso). Y por la otra parte, los directivos del negocio (y alguno pensará si no está ligado a IT seguro que no pasa), lo que quieren es que el equipo de seguridad, liderados por el CISO, no estorben a la hora de poner en producción nuevas aplicaciones o nuevas tecnologías, vamos que somos los "malos". ¿quién no ha vivido eso del…Será del antivirus, o el apaga el IPS que me retrasa las transacciones 0,1 ms de cara al usuario?

Todas estas presiones hay que valorarlas, o reforzamos la seguridad a expensas de perder flexibilidad o avanzamos a nuevas situaciones, asumiendo mucho mas riesgo. Es complicado estar en la piel del responsable de seguridad, visto del punto de vista de cliente final, o ser el consultor de seguridad que debe aconsejar a la compañía X para estar protegida y a la vez manteniendo todo funcionando.

En este nuevo "Status QUO" donde hemos pasado de tener una sala de 400m2 llena de racks con switches, servidores, cabinas de discos, aparatos raros de comunicaciones (si eso que da mucho la lata con que el puerto del emule no funciona), a tener esa misma sala casi vacía manteniendo únicamente 12 racks (4 cabinas de discos, 2 de comunicaciones core, 1 para los dispositivos de seguridad, y el resto tenemos host de virtualización con vmware u OpenStak, donde tenemos ya todo consolidado)

Antes de llegar a este punto, siempre se hablaba de la segmentación de redes, no por motivos de seguridad, sino para evitar que los dominios de broadcast demasiado grandes tumbasen todos los sistemas, pero ahora ¿cómo hacemos esa segmentación? Alguno dirá, de manera lógica en los switches virtuales usando vlans diferentes como si fueran físicos. Pues esto no es suficiente.

Y os preguntareis  ¿porqué? , Pues debido a los diferentes amenazas que existen en el mundo virtual, y ya no por las vulnerabilidades, si no porque ya no hay un control sobre ese switch virtual en el sentido que si alguien consigue levantar un equipo virtual en ese host de virtualización, tenemos que el switch virtual tiene todos los puertos UP, con lo que podremos conectarnos a cualquier switch virtual y llegar donde sea. Aquí no tratamos como llegamos al host de virtualización y podemos crear equipos virtuales…que esto también es otra fiesta, que si queréis lo tratamos otro día.

Para protegernos de estos posibles efectos, y agilizar el funcionamiento del negocio para evitar paradas inesperadas, o vulnerabilidades críticas en esos sistemas, existen tecnologías específicas

 

Pero hay algunas tecnologías que tienen el potencial de mejorar tanto la seguridad como la agilidad comercial al mismo tiempo. La microsegmentación es una de esas tecnologías raras y punteras.

Grandes Desafios a los que nos enfrentamos

Detener Movimientos laterales entre VLANS y dentro de la misma subred:

Las defensas perimetrales de toda la vida, ya no nos fiamos de ellas para mantener al "malo" de turno alejado de nuestra red, pero tampoco nos funciona para los insiders internos, si aquellos de los que hable en la charla en el Aslan de este año, ver video.

La mayoría de nosotros, profesionales con muchos años en el mundo de la seguridad IT, estamos familiarizados con los marcos de trabajo como el de Lockheed Martin Cyber Kill Chain® . (Ver fuente)


Estos marcos explican cómo los "malos", que pueden ser insiders u outsiders, pueden abrirse paso dentro de una red corporativa mediante la explotación de una vulnerabilidad o la adquisición de credenciales legítimas de los usuarios. Con ello, exploran la red para encontrar vulnerabilidades adicionales, y finalmente exfiltrar (o destruir) la información confidencial, que al fin y al cabo, es lo que han "venido" a hacer.

Las estadísticas, según los informes de Verizon de los últimos 3 años, indican que es muy muy complicado reducir el "tiempo de permanencia" de los "malos" dentro de la infraestructura. La virtualización y la tecnología Cloud, agrava este problema. Es muy complicado proteger las aplicaciones y servicios SaaS.

En estos entornos, la limitación de los movimientos laterales se convierte en una prioridad para profesionales de Seguridad IT, con sus limitaciones obviamente. Si un cibercriminal pone en peligro las credenciales de un empleado que usa la aplicación A, ¿podemos tener la certeza de que no pueda acceder a las aplicaciones B, C y D?

Si aplicamos lo mismo, a una red corporativa, y el cibercriminal descubre la contraseña de un administrador del sistema, ¿podemos tener la certeza de que no pueda conectarse al resto de sistemas?

Resumiendo, NO, no tenemos certeza, para ello tenemos que cubrirlo con 2 soluciones, de las cuales hablaremos mas adelante.

Implementando seguridad dinámica

Erase una vez, en los que se instalaban los sistemas, redes y aplicaciones, y podían estar así toda la vida, eran totalmente estáticos. Todo era estático, reglas de Firewall, cantidad de datos que viajaban por la red, las ACL que daban acceso a las diferentes VLANS (eso el que lo tenía así definido, que durante mi carrera solo lo he visto 2 veces)

Pero los entornos de ahora, no tienen nada que ver con aquellos, y muchos administradores y responsables de IT/Comunicaciones, siguen pensando en el entorno "pasado":

  • Aplicaciones multicapa con múltiples flujos:
  • Frontend
  • Middleware
  • Backend
  • Las aplicaciones y los sistemas, reciben actualizaciones casi diarias, con lo que ello implica
  • Los diferentes módulos que se necesitan, están distribuidos dentro del CPD Virtual, en diferentes centros de datos físicos, en ubicaciones separadas por varios cientos de kilómetros, (si usamos un centro de datos en la Nube)
  • Las empresas, "reciclan" continuamente los servidores físicos y virtuales, para aprovechar los recursos de manera óptima, y consolidan en sistemas virtuales, para tener una carga de trabajo óptima.

La mayoría de las empresas, con un fuerte departamento de IT, están empezando a coquetear con la automatización, que ha permitido nuevos conceptos, tanto en el área de comunicaciones, como de sistemas, como son Virtualización, Orquestación, implementación continua, SDN, SDWAN, etc.

Sin embargo, la mayoría de los procesos de seguridad IT, son manuales, o no nos atrevemos a "Automatizarlos". Por lo que tenemos un freno o cuello de botella, a la hora de implementar mejoras técnicas en los sistemas IT, como los indicados anteriormente.

Por ejemplo, antes de desplegar una nueva aplicación, el equipo de seguridad puede requerir semanas para analizar un flujo de tráfico y las propuestas de cómo se desplegará la aplicación (Arquitectura de la misma), documentar que políticas harán falta (y siempre faltan políticas porque la documentación del producto es pobre en esta parte, y no digo nada si la aplicación es creada 100% en casa),crear la nuevas reglas de firewall y probar los flujos de datos resultantes.

Y si nos metemos en el "charco" de una migración, esto se multiplica por 1000, porque en la mayoría de los casos, esos flujos se desconocen. Y esto se complica muchísimo mas, si nos metemos en el proyecto de consolidación de centro de datos o la migración de un Centro de datos, a otro, en el que hay que documentar todo.

La Segmentación de red sin control, no sirve de nada

Parafraseando un conocido anuncio de neumáticos, la segmentación "tradicional" puede ser eficaz hasta cierto punto, pero esa segmentación es de "punto gordo", y es totalmente inflexible.

Hoy día, la mayoría de CPD, ya sean tradicionales, VPC (donde puedas "jugar" con tu instancia de VMWARE/OpenStack) o similares, se dividen en dominios de broadcast, y estos dominios se separan mediante un firewall lógico, que en el mejor de los casos tiene en cada VLAN una red de tipo C, como os muestro en la imagen. El tráfico entre zonas, pasa por el firewall, pero es "engorroso" y poco flexible.

Cierto que aquí protegemos las zonas, entre el tráfico entre zonas, y solo podremos tener permitido un trafico concreto entre una zona y otra, pero el atacante puede aprovechar la vulnerabilidad del protocolo, para liarla. ¿Os acordáis del wanacry?

Sin embargo, la segmentación de red convencional tiene serias limitaciones:

  • Al ser una zona grande, el atacante que pueda "colarse" en un servidor, o puesto de usuario, tiene barra libre para todo movimiento lateral (E-O) sin restricciones
  • El alto precio de los firewalls tradicionales, y en consecuencia, la segmentación de la red en subredes mas pequeñas, hace casi inviable el proceso, aunque con nuestro fabricante este coste baja considerablemente
  • Los firewalls, por lo general tienen cientos de reglas, y si se modifica algo en las aplicaciones, toca revisar, modificar y probar, y se lía siempre, ya que el que modifica la aplicación no se acuerda de avisar al equipo de administración de seguridad, y siempre toca cambiar reglas fuera de hora, fuera del ciclo de aplicación.
  • Los firewalls y NGFW convencionales no pueden controlar efectivamente el tráfico entre máquinas virtuales en el mismo hypervisor, vamos que un firewall virtual en un VMWARE, solo protege del tráfico entre redes, no dentro de la misma red. 

Principios de la micro segmentación

La microsegmentación es una técnica de seguridad que permite asignar políticas de seguridad granulares a las aplicaciones. Se basa en dos principios clave: granularidad y adaptación dinámica.

Estos principios hacen que la microsegmentación sea fundamentalmente diferente de la segmentación de red convencional.

Segmentación Granular

El truco es encontrar puntos de monitorización y siempre disponible para hacer que la segmentación sea granular y sobre todo FACIL.

La monitorización de la aplicación se pueden realizar:

  • En la red virtual
  • En los hosts virtuales

Hay que tener encuenta que la granularidad al 100%, puede ser muy muy compleja, aunque sea fácil implantarla. De esta manera, podemos tener en el mismo segmento de red (vlan), entornos de Desarrollo y pruebas, sin necesidad de complicar la arquitectura de red.

Segmentación dinámica

En los entornos actuales, donde se requiere agilidad y la no dependencia de los administradores, necesitamos una solución que se pueda adaptar de manera dinámica a esto cambios.

Si lo hacemos manualmente, tendríamos menos flexibilidad, mas errores y mas carga de trabajo para el administrador, con lo que al final no tendríamos una política efectiva.

La "segmentación dinámica" nos permite poder tener un control granular de la segmentación al combinar la abstracción, la inteligencia y la automatización.

  • Abstracción: capacidad de crear políticas de seguridad basadas en aplicación (como web, aplicaciones y niveles de bases de datos) más que en datos de red (direcciones IP, subredes y VLAN).
  • Inteligencia: capacidad de detectar cuándo hay cambios en las aplicaciones o la infraestructura, y luego reconfigurar las políticas con esos cambios.
  • Automatización: capacidad de implementar políticas de seguridad nuevas, o modificar políticas, sin intervención humana.

Conclusiones

La micro segmentación, es la segmentación para aquellos que quieren acotar los grandes problemas de las infraestructuras IT, sobretodo llevado a los entornos virtuales mas extendidos (VMWARE y OpenStack) en entornos propios. El principal desafío es detener los movimientos laterales, dividiendo los activos IT virtuales, en compartimientos controlables y pudiendo aplicar seguridad de manera dinámica a estos compartimientos permitiendo o denegando tráfico de aplicaciones, o reconfigurando de manera automática cuando un componente de la aplicación cambia.

Adicionalmente, esta solución es muy económica y no requiere adquirir costosas soluciones o distribuir agentes en los equipos, lo que hace que el ROI de la solución es muy alto en muy corto plazo, y lo mas importante de todo, es que no necesitas desplegar agentes, como con otras soluciones, con lo que no interfieres en el Sistema Operativo, y no "molestas" los procesos habituales.

De que hablamos? Pues de la solución de microsegmentación de HillStone, CloudHive (Ver video 1, Ver Video 2)

En otros "episodios", hablaremos de la solución, y del resto de soluciones que dejo entrever en el artículo.

Si quieres saber mas, no dudes en contactar conmigo, o solicitar información aquí

Créditos:

https://jisajournal.springeropen.com/articles/10.1186/s13174-014-0015-z

https://www.uila.com/blog/Microsegmentation-Challenges

es.wikipedia.org

]]>Mon, 03 Sep 2018 09:46:41 +0200<![CDATA[Protección Entornos IaaS]]>https://www.cefiros.net/blogs/post/Protección-Entornos-IaaS

Uno de los puntos que pasamos muy por encima en el anterior artículo (http://bit.ly/CFLKD01), es la adecuación de los entornos IaaS a la GDPR o RGPD, en adelante Reglamento.

Es un punto con varios puntos de vista o criterios de aplicación, y desde aquí solo doy mi punto de vista.

En lo referente a la seguridad de los servicios IaaS que existen, uno de las premisas es tratarlo como un infraestructura “al uso”, con sus peculiaridades obviamente, pero no debemos olvidar que un servidor virtual no deja de ser igual que otro servidor físico.

 

Lo principal diferencia de estos entornos es la plataforma en la que se ejecuta, y aunque el proveedor proteja el acceso a su infraestructura con un firewall, WAF, DDoS, no exime al que usa el servicio de dar seguridad a su infraestructura, sobre todo si va a albergar datos sensibles, con lo que la aplicación de PCI-DSS, el Reglamento, o cualquier otra regulación que afecte a datos sensibles, y sean personales o de transacciones bancarias, ya que finalmente será el responsable total de cualquier incidente de seguridad que sufra su infraestructura, esté donde esté.

 

Hay varias formas de cubrir la seguridad de estas infraestructuras, pero lo podemos resumir en 3 puntos principalmente:

  1. Acceso a la infraestructura mediante acceso público.
  2. Seguridad Perimetral
  3. Seguridad Interna

Acceso a la Infraestructura

Cuando se accede a la infraestructura desde cualquier ubicación y no se realiza mediante la conexión que tiene el “tenant” directa (VPN de Azure por ejemplo), es importante saber quién y cómo se conecta, y obviamente tener una auditoria de todo lo que afecte a la infraestructura, acceso al panel de control etc. etc.

Para ello, la única opción viable para cubrirlo es con un CASB, en nuestro caso SkyHigh.

Con ello podremos:

  • controlar los accesos privilegiados de los administradores
  • ver que tareas realizan
  • comportamientos de los usuarios y administradores
  • Prevención de Amenazas
  • Encriptar la información que se introduzca o enmascararla.
  •  

Seguridad Perimetral

Una vez que tenemos bajo control esta parte, nos queda la parte “tradicional”, es decir la seguridad perimetral, adaptado a infraestructuras como servicio.

Para ello para proteger el acceso desde el exterior o desde las comunicaciones punto a punto, desde Cefiros aconsejamos usar Cloud Edge, el NGFW de HillStone adaptado al mundo IaaS.

Con ello obtendremos la capacidad “tradicional” de filtrar las diferentes redes, los accesos, IPS/IDS, etc, garantizando de esta manera la seguridad de los accesos.

Cloud Edge se caracteriza por ser de los pocos productos que se pueden ejecutar en cualquier plataforma Iaas (Google, Amazon, Azure, Huawey, etc) y está disponible en todas las “Tiendas” de los proveedores de servicio.

Que quiere decir esto, que independientemente donde se dé el servicio, por capacidad operacional o por necesidades de la compañía, se puede cubrir este punto, ya que no todos los fabricantes de seguridad están disponibles en todas las ubicaciones.

Otro punto a su favor, en “nubes privadas” ya sean de un proveedor o propias, es que sobre plataforma Vmware, no requiere NSX para funcionar, e incluso de esta manera el producto dispone de todas las funcionalidades.

Otro punto a su favor, es que trata a ese gran “olvidado” que es Hyper-V, dando soporte a este servicio extendido en muchos clientes y que pocos dan cobertura.

 

Otros puntos importantes a destacar de esta solución:

  • Altamente compatible con los todos los principales Hipervisores.
  • Despliegue y configuración inicial automática
  • Gestión de licencias automática
  • Elasticidad y alto rendimiento, no requiere reinstalar al aumentar la memoria, CPU o Interfaces
  • API RESTFULL
  • REST API
  • Altamente integrado con la orquestación de NFV

 Por todo ello tiene el reconocimiento de los principales fabricantes y proveedores IaaS

    

Seguridad Interna

En este punto, como indicaba en mi anterior entrada (http://bit.ly/CFLKD01), entra en juego 2 factores, la microsegmentación y la seguridad “tradicional”.

En la microsegmentación, este punto da mucho de qué hablar y lo trataré más extensamente en otra publicación, es el principio donde todo servidor virtual tiene acotado sus movimientos laterales. Este principio solo lo podemos aplicar, en infraestructura que nos pertenezca, sin armar mucho revuelo. En este caso concreto, Cefiros recomienda usar Cloud Hive de HillStone. ¿Por qué recomiendo esta solución? Principalmente por 2 motivos, no requiere NSX aunque se puede integrar en el si lo tuviera, y soporte de vmware y OpenStack, que son las dos plataformas más extendidas para NFV/SDN.

Con esta solución obtenemos los siguientes beneficios:

  • Gestión centralizada de todos los flujos de servidores que pertenezcan al mismo gestor (Virtual center)
  • No Disruptivo:
    • Despliegue de nivel 2

  • API Restfull
  • Monitoriza todo el tráfico de los equipos virtuales
  • Detección y prevención de amenazas
    • Ataques Web
    • Spoofing
    • Session Hijacking
    • DDoS flood
    • Cross-Site Scripting
  • Gestión de la seguridad fuera de banda sin entorpecer el tráfico de producción
  • Seguridad Completa en cada equipo:
    • IPS
    • AV
    • Control de Apps.
  • Soporte de vMotion y Live-Migration 

 En la seguridad tradicional, además de adaptar las recomendaciones de mi anterior artículo, hay que tener en cuenta que en entornos IaaS, es altamente recomendable tener la comunicación cifrada, o al menos los servidores virtuales, sus archivos, estén cifrados, ya que de esta manera el proveedor del servicio no podrá obtener nada de información al respecto. 

Conclusiones

Muchos administradores de sistemas dirán que es demasiado excesivo, pero no hay que pensar solo en el beneficio propio a la hora de administrar, que obviamente hay que tenerlo en cuenta, si no que la seguridad de la compañía es un punto muy importante, del cual de manera indirecta puede depender su puesto de trabajo. Si la compañía sufre una fuga de información, tal y como indica el Reglamento, deberá hacer frente a la correspondiente sanción, con lo que ello puede suponer, y dependiendo de la cuantía puede verse llevada a cesar en sus operaciones. En “vidas” pasadas he tenido mis mas y mis menos con los diversos administradores de sistemas, que en definitiva su resistencia al cambio era dura, pero como siempre he intentado que vean es, míralo de esta forma, esto que hacemos al final es para salvaguardar tu reputación y tu puesto y si aplicas las medidas no podrán decir nada, sobre todo cuando son medidas aprobadas por el mismo cliente.

]]>Mon, 05 Feb 2018 21:47:56 +0100<![CDATA[Ataques de nivel 2 y cómo protegerte en redes SDN con HillStone]]>https://www.cefiros.net/blogs/post/Ataques-de-nivel-2-y-como-protegerte-en-redes-SDN-con-HillStone

Como todos sabemos, los ataques de nivel 2 son aquellos que se tienen que ejecutar prácticamente en la misma red, o consiguiendo un acceso remoto a un servidor y desde allí lanzar el ataque, con lo que ya tenemos 2 problemas en este último caso.

Los ataques de ARP Poisoning o ARP Spoofing, pueden causar una tormenta de broadcast de nivel 2, con lo que podemos llegar a afectar a toda la electrónica de red y causar una caída total del sistema. Las respuestas de ARP spoofing, se envían al switch, que básicamente lo convierte en un Hub. Cuando esto sucede, un hacker puede capturar todos los paquetes que pasan por el switch y capturar cualquier cosa de la red. Este defecto de seguridad es inherente a cómo se manejan las comunicaciones TCP / IP y es algo que no se puede modificar, por ello hay que tomar medidas para prevenir estas situaciones.

Imaginemos una red de equipos VDI, sobre una infaestructura de VMWare, al final esos equipos VDI, que no nos olvidemos son equipos de usuarios la gran mayoría, cuelgan de una red de servidores, o de una red de usuarios dentro del ámbito de servidores, y con un direccionamiento entre /18 y /24, es decir entre unas 16300 y 254 IP's, sin segmentación por áreas o departamentos.

Se suele montar así por simplicidad, facilidad de administración y no se suele pensar en la seguridad en el diseño.

Por ello, a la hora de securizar ese entorno o segmentarlo se complica muy mucho, y aquí es donde entra en juego nuestra solución de microsegmentación y protección desde Nivel 2.

Con HillStone Cloud Hive, logramos la microsegmentación a nivel de cada equipo, creando un contenedor por cada equipo virtual, protegiendo así a cada equipo de ataque desde nivel 2, en el caso que nos ocupa, o de ataques dirigiros de L3 a L7 venga de donde venga, protegiendo así el equipo.

Con esto conseguimos una protección de movimientos laterales, sin precedentes, y si un equipo se infecta, estará controlado todos sus accesos, y podemos tenerlo en "cuarentena" sin tener que modificar en ningún momento el entorno de red, que realmente es la parte compleja a la hora de segmentar.

Con esta solución, además, ganamos:
  • Visibilidad a nivel de flujos de tráfico, y es una herramienta perfecta para poder documentar esos flujos de tráfico que desconocemos en equipos nuevos, o documentar aquellas aplicaciones "legacy" que se han virtualizado por sostener el servicio y se desconoce totalmente con quien y como se comunican.
  • Captura de tráfico de red, sin tener que desplegar nada en el servidor o puesto. Quejas de, la red va lenta, son fácilmente resueltas, al tener la capacidad de capturar tráfico, sin tener que molestar a los administradores o usuarios.
  • Protección frente ataques DoS o DDoS, al tener un IPS por cada servidor, recomendado por NSSLabs.
  • Inventario mejorado, teniendo la capacidad de captar cualquier cambio en el entorno virtual, ya sea al renombrar el equipo, añadir nuevos equipos virtuales o redes, migración de equipos etc.

Al desplegar HillStone Cloud Hive, adicionalmente a la red de servicio, que es la que se protege, de cada equipo, se añade una red de gestión fuera de banda, que es por donde se gestiona el servicio, a nivel global

Lo principal de la solución, es la capacidad de desplegarse sin interrupción del servicio y de no necesitar NSX para funcionar, proporcionando esta protección:
  • Defensa contra ataques
  • Firewall
  • Prevención de Intrusiones / Parcheo Virtual
  • Antivirus de pasarela para tráfico HTTP, POP3, SMTP, FTP e IMAP
La visión que se obtiene, aunque sea para auditorías y no se filtre nada, sirve para tener una visión completa de lo que pasa.

Si quieres saber mas sobre el producto, formas de licenciamiento y cualquier cosa que se te ocurra, ponte en contacto con nosotros sin dudarlo.

Os dejo el enlace a la descarga del documento: 

]]>Wed, 25 Oct 2017 10:00:00 +0200<![CDATA[Webminar de redBorder para todos nuestros Clientes]]>https://www.cefiros.net/blogs/post/WebminarRedborderClientes

¿Quieres conocer que pasa en tu red gracias a redBorder?

¿Quieres ver más allá de lo que te muestra un SIEM?

¿Quieres detectar tráfico anómalo entre el tráfico habitual de tu red?

¿Tienes sospechas de tener algo raro en tu red y con las herramientas tradicionales no puedes localizarlo?

Asiste gratuitamente al webinar deredBorder y podrás descubrir como gracias a su tecnología, única en el mercado,  te daremos respuesta a las preguntas anteriores y muchas más, y apreciar por ti mismo, más aplicaciones como las siguientes:

  • Conocer en cada momento el estado de salud de la red, cableada o inalámbrica.
  • Conocer la actividad de tus redes Inalámbricas, ubicación de los usuarios, que tiempo pasan en cada Punto, etc.
  • Conocer la actividad de tus redes OT y de los dispositivos IoT, y tomar medidas protectoras en estos entornos.
  • Automatización de acciones preventivas.
  • Conocer las relaciones que tienen los diferentes equipos en la red, para poder documentarlo.
  • Interactividad social (aplicado a eventos y sector Retail).

Todo ello en una solución totalmente escalable, basado en Big Data y pensando totalmente en la seguridad.
¡¡Pídenos información adicional o Inscríbete al Webinar!! 

]]>Thu, 19 Oct 2017 11:55:00 +0200<![CDATA[CIBERATAQUES CON DISPOSITIVOS USB]]>https://www.cefiros.net/blogs/post/CIBERATAQUES-CON-DISPOSITIVOS-USB

España, en los últimos dos años, ha gestionado más de 4.000 ataques similares al Wannacry. Además, en este mismo periodo de tiempo el 32% de las empresas españolas reconoce haber recibido algún tipo de Ciberataque. Estos datos corroboran el posicionamiento de España como tercer país del mundo que más ciberataques recibe. Dato que nos obliga a reflexionar sobre el futuro en la Ciberdefensa y Ciberseguridad en España.

Los ataques dirigidos o indiscriminados para poder obtener beneficio de las víctimas, beneficios económicos, de información, robo de claves, usurpación de identidad e incluso deterioro de las propias máquinas, son cada vez más habituales y su tendencia es a un aumento de tipo exponencial.

 Para los ciberdelincuentes, la facilidad de perpetrar este tipo de ataques les permite realizarlos de manera continua, rápida y con grandes beneficios. Al contrario que para las víctimas, esta facilidad les dificulta la detección rápida y una defensa óptima, aparte de desconocer las dimensiones del ataque y sus consecuencias posteriores.

 Todos en el sector, y también los que no están en él, conocen los ataques tan famosos de malware como son los del tipo Ransomware como Wannacry o CriptoLocker, pero, ¿cuántos hay que no salen a la luz?, ¿cuántas empresas detectan, tarde, que les han robado datos?, datos que no son suyos, datos que no han podido proteger de manera correcta, ¿cuántos desconocen que les han usurpado su identidad? …..

En Mayo de 2018, todas las empresas y también autónomos, deberán adaptarse a la Nueva Ley de Protección de Datos (GDPR en inglés). Dentro de esta normativa, las empresas están obligadas a implantar sistemas de cifrado y de doble factor de autenticación. Además, incluye la obligatoriedad de notificar las brechas de seguridad que pudieran producirse, de estas brechas deberán obtener información de todos los intentos de intrusión y de accesos no autorizados y comunicarlos en un determinado plazo.

 ¿Brechas de seguridad? ¿Comunicar intentos de ataque? Podemos establecer medidas de protección conocidas, pero, ¿qué pasa con los puertos USB?, ¿los inhabilitamos?, ¿renunciamos a ellos?... para nosotros esta solución no es la adecuada, no cubre de manera óptima esa brecha.

 Hoy en día la información se mueve a través de muchos canales y dispositivos, disponer sistemas de almacenaje USB es también parte de ellos.

authComm ayuda a no renunciar a una herramienta tan útil como son los “pendrive”. En authComm han desarrollado y patentado un dispositivo hardware con software integrado que protege a los equipos, su información y a las propias organizaciones de los posibles ataques que, por este medio, puedan realizarse tanto de Malware, BadUSB o USBKiller. Además, audita y aporta la toda la información necesaria sobre dichos ataques para posteriormente remitirlo al órgano designado y a realizar un análisis interno de la misma.

Sus funciones dentro del plan de protección diseñado por la empresa estarán centradas en los puertos USB. authShieldUSB, que es como se llama esta solución, cubre las funciones de:

  • Análisis de dispositivos: Analiza el firmware de dispositivos USB descartando aquellos que no son estrictamente de almacenamiento. Posteriormente monitoriza su actividad.
  • Análisis de la información: Analiza la documentación contenida en el dispositivo de almacenamiento, permitiendo sólo la descarga de aquellos archivos limpios de malware.
  • Protección frente a fugas de Información: Imposibilita la extracción de información por medio de dispositivos USB, su configuración es de solo lectura. El flujo de información siempre es de un único sentido, de fuera hacia dentro.
  • Conectividad: El equipo o los equipos anfitriones se conectan al dispositivo por Ethernet o WIFI. Se trata de una conexión segura validada y en un sólo sentido.
  • API de desarrollo: Cuenta con una potente API para desarrolladores, mediante la cual, el dispositivo usbBox puede integrarse como parte de un sistema mayor.
  • Centralización: Permite el almacenamiento de la información de los dispositivos conectados y la información de los documentos analizados en un servidor centralizado.
  • Soluciones en Movilidad: Permite el almacenamiento local fuertemente cifrado de la documentación analizada para personas que se encuentren en tránsito.

 

  Es el momento de protegerse de manera efectiva. Saber que tenemos la capacidad de blindar, de manera segura, uno de los vectores más vulnerables en toda protección de equipos, como son los puertos USB, siendo estos ataques dirigidos o no. Con la ventaja de auditar todo el flujo de información que nos aportan los dispositivos USB. Disponer de un antivirus adicional, o incluso de herramientas multiscan, de evitar la fuga de información y de proteger el hardware de los “bien” llamados USBKiller. authShieldUSB es una buena herramienta para adecuarse a la Ley de Protección de Datos y como herramienta interna que complemente al resto de soluciones dentro del Plan de Seguridad informática de las Empresas.

Os adjuntamos el datasheet

 http://www.authcomm.es/brochures/authShieldUSB.pdf


Creditos:

 Autor: Authcomm - Estefania Soto

]]>Wed, 18 Oct 2017 11:00:00 +0200<![CDATA[Como establecer una arquitectura de seguridad en 3 niveles para sistemas SCADA - Parte 1]]>https://www.cefiros.net/blogs/post/Como-establecer-una-arquitectura-de-seguridad-en-3-niveles-para-sistemas-SCADA-Parte-1

Los centros de operación de control industrial, están sujetos a una constante demanda de incremento de productividad y disminución de costes, junto con el cumplimiento normativo; y es en este punto donde la consultoría y la tecnología, y siempre en este orden, puede ayudar a los diferentes participantes y a la propia compañía, a estar preparados ante las amenazas surgidas al interconectar el mundo OT (Operational Technology) con el mundo IT (Information Technology), y poder de esta manera, estar preparados para remediar las consecuencias de la interconexión de los dos mundos, ya sea hacia la red corporativa o hacia sistemas de terceros (mantenedores, etc.)

Actualmente, la mayoría de las empresas que tienen sistemas OT, los tienen conectados directamente a la red corporativa de manera directa, sin ningún tipo de control o vigilancia sobre los accesos, y necesitan cubrir estos puntos principalmente:

  • QUIÉN
  • CUANDO
  • DESDE DONDE
  • PORQUÉ

Con estas premisas, y teniendo en cuenta la parte de cumplimiento normativo que se aplica en cada sector, debemos tener claro, previo al diseño, los siguientes puntos:

  • Necesidades operacionales
  • Flujos de información
    • Activos
    • Pasivos
  • Criticidad del ambiente

Antes de entrar en materia, os pongo un poco en antecedentes, para dar perspectiva a la necesidad real de proteger estos sistemas.

¿Son los sistemas industriales un objetivo estratégico?

Si observamos la línea de tiempo, y solo son los más representativos, hay incidentes de ciberseguridad en entornos industriales desde hace más de 20 años, si bien es cierto que los sistemas de seguridad de hace 25 años, no son como los de hoy en día y los entornos estaban separados, no se tenía en cuenta la premisa de Seguro por Definición, ya que priman la disponibilidad y la funcionalidad VS la seguridad de la empresa; y hablamos de seguridad de la empresa, dado que es ella la que se ve expuesta a estos incidentes, y es su imagen la que se daña, con el consecuente, además, impacto económico.

Como consecuencia de los últimos incidentes publicados y conocidos, y a la GDPR en menor medida, las empresas son más conscientes del riesgo que sufren y las repercusiones que pueden tener estos incidentes. Tal y cómo comentaba en la entrada anterior, un ejemplo práctico podría ser el sistema de control de una presa: si alguien se hace con el control, ¿quién le impide el cierre de compuertas para generar electricidad?, ¿qué efectos tendrían si la presa sigue soltando agua aún con peligro de desbordamiento o rotura?, ¿qué efectos y consecuencias tendrían?, no sólo serían económicos, también en infraestructura y sobre la población (“humanos”).

Problemas principales

A la hora de sentarnos a diseñar una estrategia y arquitectura, nos encontramos principalmente con estos “hándicaps”:

Elemento

Standard IT

Sistemas Industriales

Protección del End Point

Ampliamente Utilizado

Despliegue limitado y con cautela

Tiempo de vida del Sistema

3-5 Años

Hasta 20 años

Outsourcing

Práctica Aceptada

Uso limitado

Parcheado

Regularmente

Lento –  Requiere aprobación y pruebas del proveedor de la tecnología

Gestión de Cambios

Regularmente

Requiere tiempos largos

Retraso en Trabajos

Tolerable en ciertos casos

Puede tener grave impacto

Concienciación y Habilidades en Seguridad

Buena

Limitada entre los operadores remotos

Testeo de Seguridad

Extendido

Limitado y con cautela

Seguridad Física

Atendido, Presencial

Buena, puede existir sistemas desatendidos (cámaras, sensores, etc)

Monitorización

Extendida, se controlan todos los posibles puntos de problemas.

Se monitoriza solo la actividad “física” de la industria, temperatura elevada de un reactor, funcionamiento de las compuertas. Pero no se vigila, esas comunicaciones, ni quien accede.

 

Teniendo claro estos “hándicaps”, los puntos y las premisas necesarias para mantener el sistema seguro, planteamos como definirlo e implementarlo. Estos puntos los veremos otro día.

]]>Tue, 18 Jul 2017 11:24:01 +0200<![CDATA[Seguridad Industrial - Que pueden hacer las empresas (I)]]>https://www.cefiros.net/blogs/post/Seguridad-Industrial-Que-pueden-hacer-las-empresas-I

Con la creciente dependencia de la tecnología para automatizar y simplificar nuestro día a día, ya sea personal o laboral, estamos entrando una época de CiberAtaques, los cuales son fáciles de implementar, con impacto global y pueden ser catastróficos dependiendo del sector afectado. Si bien siempre escuchamos la típica frase, a mi quien me va a atacar, pero los últimos acontecimientos nos indican mas bien lo contrario, todo el mundo es susceptible de sufrir un ataque con resultados, cuanto menos desagradables para la compañia.

Las ideas que se nos pasa por la cabeza si el control de una planta de Gas o una refinería, cae bajo el control de un grupo no deseado, no son muy buenas que digamos.

Si recordamos el incidente de BP en 2008, cuando una de sus plataformas tubo una explosión de uno de esos gasoductos que van por la plataforma, suponiendo una perdida diaria para BP de unos 5M $ al día, con el consecuente impacto ambiental, y problemas de tráfico marítimo durante casi un mes, lo que repercute adicionalmente en otras areas. A pesar de tener todo controlador, con sensores de presión, circuitos de Video, no saltó ni una alarma al respecto hasta que fue demasiado tarde. Este tipo de incidentes, llamó a la atención de la mayoría de las agencias de seguridad globales, ya que, aunque esto, aparentemente, fue un accidente fortuito, realmente fue un "fallo" al dar ciertas ordenes desde la consola de control, y esto a dado que pensar a las agencias, en que pasaría si un tercero controla estas infraestructuras. Por ello desde el gobierno de España se impulsó la LPIC.

Serias consecuencias de un Ciber Ataque en estos sectores

Estos dos sectores, Gas & Petroleo, son uno de los primeros en el que los ciberdelincuentes piensan, justo detrás de energía (véase el ataque a las centrales eléctricas de Ucrania), cuya diferencia es un escaso 2% según las estadísticas. La razón de atacar estos sectores, es por el daño que se puede realizar, no solo a la compañía si no a todo lo que depende de ella.

Sus consecuencias pueden ser:

  • Sabotajes de la planta de tratamiento de Gas o de las refinerías.
  • Derrames de Petróleo no planificados o indefectibles.
  • Interrupción de la provisión de servicio de Gas, imaginad esto en invierno.

Y todas estas amenazas podrían llevar a un desastre en cuestión de minutos. La industria debe proteger ciertas áreas específicas como:

  • Tuberias, refinerias y tanques
  • Torres de bombeo o de regularización de presión
  • Sistemas de comunicaciones
  • Archivos y datos sensibles

Aqui la GDPR aplica mas bien poco, pero imaginar encontrar en la darkweb información sobre como desviar el trafico de gas de un gaseoducto, o elevar la presión del mismo, imaginad el impacto que puede tener, tanto ambiental como económico.


Por ello, los distintos gobiernos han impulsado los diferentes planes de protección de este tipo de infraestructuras, por ejemplo en Estados Unidos, han impulsado las regulaciones para las empresas químicas (CFATS), para las eléctricas (NERC CIP) u otras como API, ISA/IEC y INGAA, convirtiéndose  como un estándar en los últimos años. 

En España tenemos:

  • Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas
  • R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas
  • R.D. 393/2007 Norma Básica de Autoprotección de Centros y  Establecimientos
  • Estrategia de Seguridad Nacional
  • Estrategia de Ciberseguridad Nacional
A Nivel Europeo, las normativas son:

  • ENISA - Protecting Industrial Control Systems – Recomendaciones para Europa y estados Miembros
  • EU Cybersecurity Strategy
  • EU 2008/114/EC Directive - Identificación y designación de infraestructuras críticas europeas
  • EU Proposed NIS Directive – Directiva de Red y Seguridad de la Información
Que pueden hacer las empresas para estar Protegidas

Dado el gran de número de empresas con exposición de datos clasificados, (como funciona un gaseoducto o los datos de presión de los tanque de almacenamiento), el mantenimiento de estos sistemas de manera seguros plantea un serio reto a la industria, y por ende a sus proveedores de servicios. Por ello, con estos simples controlores o medidas de control, podemos evitar ciertos riesgos o minimizar otros.

  • Evaluación de problemas
    •   Instalar software de seguridad para ayudar a identificar los problemas en los sistemas y alertar a los equipos pertinentes tan pronto como se detecte. Por lo general hablamos de sistemas de Monitorización y control, backups de los sistemas, autorización de acceso a los sistemas.
  • Control de Acceso
    • Implementar un sistema de control de accesos a las consolas de control,  que garantice que los datos son accesibles por el personal adecuado. Por ejemplo, controlar los accesos a los paneles de control de presiones de gas. Este tipo de usuarios, deben ser los que se les ponga foco, por si realizan algo de manera inconsciente o tienen sin comportamiento sospechoso.
  • Monitorización de los Empleados
    • La gran controversia, monitorizar a los empleados que tienen acceso a datos sensibles o ha controles críticos, para que si realizan alguna tarea que no les corresponde, o intentan acceder a recursos que no requieren, dejar constancia de ello y. así vez, cortar estos comportamientos, deteniendo la aplicación, o bloqueando al usuario.
Estos casos de uso, lo podemos realizar con Teramind, si bien en ciertas consolas no se puede desplegar nada, pero si partimos de la base de una secularización integral de la industria, estos paneles de control que son software, deberían accederse vía Citrix o Terminal server, con lo que se podría tener Monitorización de estos controles.


]]>Fri, 14 Jul 2017 11:40:29 +0200