CEFIROS - Blog #infosecCEFIROS - Blog #infosechttps://www.cefiros.net/blogs/tag/infosecMon, 27 Apr 2026 06:12:13 -0700http://zoho.com/sites/<![CDATA[Como cumplir técnicamente con GDPR]]>https://www.cefiros.net/blogs/post/Como-cumplir-técnicamente-con-GDPR

Como indicaba en mi anterior artículo (http://bit.ly/2DZ0ccn), la GDRP o RGPD, es de obligado cumplimiento y requiere por parte de las empresas de cualquier tamaño, adaptar sus procesos tanto tecnológicos como de trabajo, para así,adaptarse a esta nueva normativa.

Dentro de los activos tecnológicos de la empresa, están dentro del alcance del Reglamento, todos aquellos dispositivos que puedan contener datos sensibles de la compañía, o bien puedan ser instrumento de tránsito de esta información.

Recordemos que estos son los datos personales dentro del alcance del Reglamento:

  • Nombre Completo
  • Email
  • Datos Bancarios
  • Información Fiscal
  • Dirección postal
  • Número de teléfono
  • Número DNI/NIE/NIF/Pasaporte
  • Número de la seguridad Social
  • Localización
  • Dirección IP Pública
  • Cookies
  • Etiquetas RFID
  • Datos de Salud
  • Datos Genéticos
  • Datos Biométricos
  • Datos Raciales
  • Datos Étnicos
  • Orientación Sexual
  • Orientación política

Tenemos que tener en cuenta, no solo el ámbito "local" de los datos, si no también qué tipos de servicios en la Nube usamos (DropBox, Office 365, Gmail, Hotmail, etc) ya que muchas empresas pequeñas, usan sistemas de correo "gratuitos" para realizar sus funciones, o tienen poco control sobre lo que contratan, fundamentalmente por desconocimiento.

¿Cómo podemos cumplir con el Reglamento?

Lo enfocaremos por 2 vías, y ambas son aplicables:

1. Infraestructura local, es decir ordenadores en la empresa, discos duros, comunicaciones, dispositivos móviles, tablets,…, es decir, todos los dispositivos que tengan o puedan tener contacto con la información sensible.

2. Servicios en la nube (SaaS y IaaS), es decir todos aquellos servicios, gratuitos o no, que tengan o puedan contener datos sensibles, o se utilicen para su transmisión.

Infraestructura Local

Dentro de este ámbito, cabe todo aquello que esté dentro de la red de la empresa, entendiendo por red en una empresa pequeña lo que es desde el router Wifi que pone el proveedor de servicio, hasta el último dispositivo que esté conectado a esa red.

  1. Antes de nada, hay que “educar” y formar a los usuarios, informándoles para que no compartan usuarios y contraseñas, que no se dejen las contraseñas pegadas con un simple post -it, o que eviten el reúso de las mismas, y no solo eso, sino también de la "desconfianza" de correos no esperados, o del software que promete mucho siendo gratuito, o “bajado” gratis de algún lugar. Sobre este punto podríamos tratar horas y horas… Y siempre acabaríamos en el mismo punto. El punto más débil de la cadena en el mundo de la seguridad es el usuario.
  2. Lo que deberíamos hacer antes de nada es tener controlado el flujo de información, que entra y que sale de la red de la empresa, no siendo el router del operador una opción válida. Por ello se necesitaría desplegar, una solución de firewall que sea capaz de registrar todos los accesos, sea mediante wifi o mediante cable, para poder saber las actividades que realizan todos los equipos a nivel de red y así cumplir con el Art. 27.1, 27.2  apartados d,e,f,g
  3. Desde Cefiros, os podemos ofrecer los sistemas de HillStone (https://www.cefiros.net/hillstone.html) que, según varios analistas independientes, son los que mejor Rendimiento/Precio tienen del mercado frente a otros fabricantes.
  4. El segundo paso es descubrir dónde están los datos sensibles que están amparados por el Reglamento, para ello, desde Cefiros, podemos usar la plataforma de Discovery y Classification de GTB Technologies (https://www.cefiros.net/gtb.html) (incluso en formato pago por uso) para detectar los documentos locales que puedan existir en la empresa y clasificarlos según su importancia.
  5. El tercer escalón sería tener cifrada esta información y mantener cifrada y restringida el acceso a la misma, teniendo auditado quién, cómo y cuándo se accede a estos archivos o registros. Para ello nosotros recomendamos por simpleza y facilidad de uso el uso de SealPath (http://www.sealpath.com).
  6. El cuarto paso es tener inventariado todo el parque de dispositivos y software, que se conectan a la red, y de las aplicaciones que hacen uso de las mismas y pueden tener acceso a los datos, este inventario lo podemos realizar con varias herramientas, Zeed Security, Miradore No nos podemos olvidar, qué es requisito de obligado cumplimiento tener protección de cada dispositivo y tener actualizado todo el software que esté inventariado, para ello la suite PSB de F-Secure dispone de gestión de parches sobre los activos (Windows) o usar la plataforma de Miradore para ejecutar la misma tarea.
  7. Otro de los puntos no menos importantes es, dotar de doble factor de autenticación, a todos los administradores y usuarios que tengan acceso a esta información sensible, para ello nosotros recomendamos usar OKTA (https://www.okta.com) como solución de doble factor o MFA.
  8. En el sexto punto, deberíamos abordar la seguridad del correo electrónico, un punto muy importante de entrada de amenazas, y por lo tanto un punto a cubrir muy importante. Muchas PYMES tienen soluciones de correo operadas por terceros, que no suelen disponer de una protección eficaz, o bien usan servicios de correo gratuito. Nosotros trabajamos con diversas opciones de protección de correo, y dependiendo de cada caso concreto, recomendamos una u otra.
  9. Para tener monitorizada la actividad de los usuarios, algo obligatorio dentro del Reglamento, tenemos varias opciones para poder cubrirlo, en entornos pequeños un Firewall que realiza el control integral de las comunicaciones (Hillstone adaptado al tamaño de la organización) o usando un UEBA (user and entity behavior analytics) como Teramind (https://www.cefiros.net/teramind.html), para conocer en cualquier momento que realizan los usuarios o dejan de hacer y hasta analizar que han hecho en el pasado (desde que se instaló el agente)
  10. Una de las acciones más importantes a realizar para esta en línea con el Reglamento es  cubrir la fuga de información, ver como fluye por la red empresarial, y poder tomar acciones al respecto. Para ello con los Agentes de DLP de GTB se puede realizar esta acción y en conjunto con el UEBA poder tomar acciones si se detectan intentos de fuga.
  11. Como un nivel adicional y que ya lo comentamos en el anterior artículo, indicamos como poder realizar evaluaciones de riesgo y evaluaciones continuas. Para ello nos basamos en un servicio llamado BAS (tecnologías Breach and Attack Simulator, según Gartner). Con esto ponemos a prueba nuestras medidas de seguridad en cada momento, vemos en tiempo real como reaccionan los sistemas ante un malware, o realizamos un intento de intrusión, y, si algo cambia, la plataforma de SafeBreach (https://www.cefiros.net/safebreach.html) nos indicará como mejorar ese punto débil y ,lo más importante, nos ayudará a evaluar en tiempo real el riesgo que estamos asumiendo ante nuevas amenazas y como combatirlas.
  12. Como último punto, y aquí ya entramos en palabras "mayores", todas las empresas, independientemente del tamaño, pueden verse beneficiadas por el intercambio de información sobre amenazas, pero para poder sacarle un partido real, necesitantener un equipo de profesionales bien formados para que puedan evaluar esos riesgos y amenazas. Empresas más o menos grandes pueden tener un equipo dedicado, pero empresas más modestas o pequeñas, tienen un serio hándicap con esto. Yo en este punto soy mas partidario de ser una recomendación, más que algo "obligatorio".

Servicios SaaS

Aquí nos encontramos con otro gran hándicap para las empresas, sobre todo las pequeñas al proliferar el uso de servicios "FREEMIUM", por lo que estos servicios tienen su contrapartida "profesional" pero muchos de ellos no están por la labor de tener un contrato con ellos.

Dentro de los servicios SaaS más populares, encontramos:

  • Office 365
  • Gsuite
  • Egnyte
  • Dropbox
  • Zoho Suite
  • ManageEngine
  • Box.net
  • Salesforce
  • Cualquier CRM/ERP online

Tenemos que garantizar en estos servicios, que la información sensible alojada, se encuentre cifrada y a ser posible anonimizada, para que la correlación de los datos entre sí, haga imposible la identificación del individuo. Para ello, en los servicios que son de almacenamiento, como OneDrive, Dropbox, etc, recomendamos usar SealPath, para así mantener los documentos sensibles cifrados.

 

Para los servicios más "complejos" como ERP, CRM, etc, donde estén los datos sensibles, se requiere al menos de cifrado de los mismos. Para ello, las únicas soluciones útiles para ello son los CASB, que te permiten cifrar la información que se indique con la clave de cifrado que desee el usuario, no entramos aquí si la clave está en el proveedor o en manos del usuario. SkyHigh, líder según Garner, Forrester e IDC, es sin duda la mejor solución tecnológica que ayudará a proteger tus servicios cloud y tus usuarios que acceden a ellos, y por tanto, tener tus datos seguros.

Conclusiones

Independientemente de la arquitectura que se disponga, es necesario unos mínimos de seguridad en todos los ámbitos, y saber en todo momento quien como y cuando accede a los datos sensibles, y adicionalmente en el caso de los servicios en la nube, que estos dispongan de un doble factor de autenticación, ya sea de manera directa o indirecta apoyándose en un tercero.

 

Ni que decir tiene que, dentro de todo esto, se requiere una estrategia de acción ante incidentes de seguridad, ya sea por una fuga de datos, que hay que cuantificar, o por un incidente de los mismos, un ransomware cifra esa carpeta con esos datos.

 

Básicamente, la GDPR o RGPD viene a decir que, para tener un cumplimiento efectivo, se requiere tener cubiertos todos los puntos que indica la ISO27001, evidentemente adaptado a cada tamaño de empresa, pero debe cumplirse si no se quiere exponer a multas que pueden forzar a cerrar la empresa, dependiendo del tamaño, ya que la multa por incumplimiento puede llegar al 2% de la facturación del último año o hasta 10M de €, la cuantía que sea mayor, y la divulgación de información sensible sin informar del incidente, puede acarrar hasta 20M de € o el 4% de la facturación del último año, la cifra mayor resultante.

 

Nosotros desde Cefiros, podemos ayudar a cumplir con los requisitos u orientarte hacia dónde ir, para poder cumplirlo ya que nuestra finalidad es prestar un servicio de valor, más allá de poder vender nuestras tecnologías.

CHECK LIST

Os dejamos con una lista de comprobación básica, para saber cómo estáis a nivel de tecnología, y determinar qué se necesita adicionalmente:

o  Solución Antivirus

o  Solución Backup

o  Solución de Cifrado de archivos

o  Solución de Descubrimiento de Información

o  Solución de Prevención Fuga de Información

o  Solución de Comportamiento de Usuarios

o  Solución de protección de correo electrónico

o  Solución de seguridad Perimetral

o  Solución de Detección/Prevención de Intrusiones

o  Evaluación de Riesgos

o  Plan de Respuesta ante Incidentes

o  Plan de contingencia

Obviamente, damos por sentado que la mayoría de los sistemas operativos son legítimos y el software que se ejecuta en los mismos también lo es.

]]>Mon, 29 Jan 2018 13:30:42 +0100<![CDATA[Six task that improve your IT Security, and FREE]]>https://www.cefiros.net/blogs/post/Six-task-that-improve-your-IT-Security-and-FREE

  • Remove local admin rights from user’s accounts – the normal user accounts don't need local admin rights, if the normal users need to install any software, this will installed by your IT staff , the results, the malicious software will be reduced a lot.
  • Patch regularly – patch at least monthly, and educate to restart almost one time per week to apply pending patches.

  • Use strong and unique passwords – avoid reusing the same password, this rule applies to everything,  and use strong passwords. We recommend use this site to generate strong and unique passwords and store it: https://www.lastpass.com/
  • Think before you click – train your staff to think before to click on an email attachment or URL or chat app. Use the common sense, your competitor never sends a bill to your attention or your energy provider sends you a bill or something similar, to be claimed by email. Read carefully all url in browser, if a URL looks strange to you then don’t click it and check the URL at https://www.virustotal.com

  • Change default passwords – any device added to your network probably comes with a default admin account and default password. Change the default password ASAP, if you cannot see your device in this search engine,  https://www.shodan.io/ This also applies to any software installed with default configuration.
  • Backup your Data – Get a copy of important data you have in any laptop or desktop computer, and store this data outside the company if is possible. If the backup cannot do daily then do it weekly.

]]>Thu, 13 Jul 2017 13:39:32 +0200<![CDATA[Porque un CASB no aborda las amenazas de seguridad de las plataformas SaaS]]>https://www.cefiros.net/blogs/post/Porque-un-CASB-no-aborda-las-amenazas-de-seguridad-de-las-plataformas-SaaS

Según el informe de CyberSecurity Insiders, se han encuestado a más de 1900 CISO’s y la principal preocupación de los CISO’s, según el 81% de los entrevistados, es la seguridad en la nube, y de este 81%

  • El 15% se muestra extremadamente preocupado
  • El 31% se muestra muy preocupado
  • El 35% se muestra preocupado.

El informe indica que la el servicio en la nube más adoptado, es el correo electrónico, y este punto es el más crítico para los encuestados, ya que, si revisamos a la vez el último informe de Verizon al respecto con las fugas de datos, es el punto más “crítico” para ellos, dado que casi todo se realizad por correo.

Ataques de Phising, malware, etc., siempre se mira desde el punto de vista Internet a Organización, pero ¿qué pasa con las amenazas internas?

 

Si los CASB no resuelven esta amenaza, ¿podemos confiar en ellos para lo demás?

Por ello, quien lo implanta, lo ve como una herramienta de visibilidad y no como una solución de prevención de seguridad. Por ello, la mayoría de los clientes lo usan para conocer, que herramientas no corporativas (Shadow IT), se utilizan en la organización, pero no para prevenir las amenazas.

  

De los principales puntos de seguridad en la nube, relacionado con el dato, lo que más preocupa es:

  • Fuga de Información con el 57%
  • Amenazas a la privacidad de los datos, con el 49%
  • Violaciones de la confidencialidad con el 47%
  • Cumplimiento normativo y legal, con el 36%
  • Control y soberanía de los datos, con el 30%

 Con estos datos, observamos que la solución de DLP que ofrece un CASB, al ser proxy, tiene ciertos puntos ciegos, que no es capaz de resolver:

  • Los proxies sólo pueden ver los datos de los empleados de la empresa, pero pierden de vista los archivos que son compartidos por colaboradores no corporativos como clientes o socios.
  • Los proxies no pueden entender el contexto de un archivo compartido: se coloca en una carpeta o carpeta privada accesible por cualquier persona, etc.
  • Los Proxies no pueden supervisar o son limitados en la supervisión del agente de escritorio. Un solo archivo malicioso o documento confidencial se sincronizará con el teléfono o escritorio de cada usuario a través de la aplicación nativa, sin que el proxy sea el más sabio.
  • Los Proxies no pueden supervisar las conexiones API a SaaS de terceros. Es fácil para un usuario conceder acceso de terceros a archivos y contactos a través de conexiones que nunca pasarán a través del proxy.

 Y es un punto a tener en cuenta, si el proxy corporativo, a no ser que sea cloud, tiene una indisponibilidad, el usuario interno deja de tener acceso a los datos, mientras que el colaborador, sigue teniendo acceso.

 

Y para estas preguntas que lanzo, quien puede contestarlas:

1.  ¿Y que pasa con el resto de servicios cloud?

2.  ¿Quien y como los protege?

3.  ¿Quien protege que los archivos que se suban a una instancia de salesforce, Dropbox o onedrive estén limpios de malware?

4.  ¿Con que clave se cifran tus datos?

La correcta aproximación de seguridad en la nube

Para ello, nosotros como mayorista experto en ciberseguridad y con más de 20 años de experiencia, abogamos por una solución mixta, ya que es importante conocer y ver qué ocurre en la nube, pero no nos debemos de olvidar de mantener los datos seguros y controlados.

Por ello recomendamos usar la solución de SkyHigh como solución CASB y aunarlo junto con AVANAN, que, de esta manera, podemos cubrir todos los aspectos y tenemos cubiertos los siguientes puntos:

Fuga de información con DLP, tanto en CASB como en carpetas compartidas a terceros.

  • Antimalware con sandboxing, para el tráfico de correos entrantes, salientes e internos, cosa que para hacerlo funcionar en una MTA tradicional, es harto complejo, funciona sí, pero a la hora de resolver una incidencia, es muy complejo.
  • AntiPhising, tanto interno como externo, las soluciones de MTA tradicionales, solo miran el correo que entra o sale, no el horizontal.
  • Cifrado de los datos, con tu certificado, usando las capacidades tanto de SkyHigh como de Avanan.

Ambas soluciones cubren todo el espectro de la seguridad en la nube, y ya podemos decir que la seguridad tradicional, está en la nube.

 

Si necesitas más información, no dudes en ponerte en contacto con nosotros, que te informamos sin ningún problema y podemos realizar demos y pruebas de concepto sin impacto.

  

Puedes contactarnos en:

WWW 

Linkedin

Twitter

Telegram

@ Contacto Cefiros

 

 Créditos:

  1. Marcos Caballero, CTO Cefiros
  2. Avanan, ¿qué hay de malo en un CASB?
  3. Verizon, Data breach report 2017
  4. CyberSecurity Insiders, Cloud Security Report 2017

]]>Mon, 10 Jul 2017 11:00:00 +0200<![CDATA[¿Está lista su organización para el RGPD (GDPR)?]]>https://www.cefiros.net/blogs/post/¿Está-lista-su-organización-para-el-RGPD-GDPR

GDPR es una realidad para las empresas modernas.La GDPR representa un esfuerzo legislativo del
Parlamento Europeo, del Consejo de la Unión Europea y de la Comisión Europea.La Unión Europea (UE) desea fortalecer y unificar la protección de los datos entre sus Estados miembros. Además, GDPR se ocupará de la exportación de datos personales fuera de la UE. 

  

El plan GDPR de la UE es una legislación innovadora. A diferencia de la Directiva sobre protección de datos de 1995, GDPR trasciende el nivel nacional de gobierno, para convertirse en aplicable y vinculante a escala de la UE el 25 de mayo de 2018. La iniciativa de la UE rinde grandes dividendos a los consumidores. El principal objetivo de GDPR es transferir el control de las empresas a los ciudadanos y residentes de la UE. Además, las empresas internacionales obtienen una ventaja valiosa: la regulación será coherente en todos los Estados miembros de la UE.

El desafío es comprender cómo podemos cumplir con esta regulación de la UE. Los principales objetivos del GDPR son dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. 

Con la próxima legislación GDPR, las empresas deben evaluar el panorama antes de proteger su posición y reputación entre la competencia. Para las empresas, GDPR podría ser el desencadenante para impulsar una protección de datos adecuada y bien definida. 

Nosotros, como mayoristas de ciber seguridad, ofrecemos servicios integrales de protección de datos, desde el cifrado del mismo, derechos digitales, prevención de fuga de información, y todo de manera unificada y centralizada, y no importa el tamaño de la empresa.

Aceptar que la protección de datos y el cifrado están extendidas dentro de las empresas, es arriesgado, la mayoría de las PYMES españolas, pueden conocer la existencia del reglamento, pero no toman medidas para su cumplimento. 

Desde Cefiros sabemos que las competencias de las PYMES, por lo general,  a nivel de TI y Comunicaciones, son básicas. Con la aplicación de GDPR, es muy importante que las empresas establezcan medidas estrictas de seguridad de datos. Las grandes empresas entienden esta realidad y muchas de ellas ya están trabajando para realizarlo.

  
Como consumidores dentro de la UE, nuestros datos son valiosos para nosotros. Hoy, nuestras identidades, relaciones y vidas, viajan a través de las nubes de datos y las repartimos por varios servicios en la nube. Teniendo en cuenta que el valor que tienen, los beneficios de la obtención de estos datos para un tercero, es una inversión que vale la pena realizar. Las empresas necesitan invertir para garantizar la tranquilidad de las partes interesadas, es decir los datos de cliente y su propia seguridad. 

Con los ciberataques cada vez más frecuentes y letales, los datos son los nuevos lingotes de oro. Es muy importante que las empresas se preparen e inviertan antes del plazo GDPR del 25 de mayo de 2018.

El nuevo reglamento tienen el objetivo de asegurar que la protección de sus datos personales son efectivos en la era digital, y son igualmente beneficiosos para el desarrollo de la economía digital. Las implicaciones para las empresas son múltiples, aquí las mas representativas:

  • Notificaciones obligatorias en caso de pérdida de datos: Las empresas deben notificar a las autoridades supervisoras sobre fugas de datos que pongan los datos de los usuarios en riesgo de forma que estos puedan tomar las medidas apropiadas. Se tienen 72 Horas para notificar la pérdida de los datos. Esta notificación debe hacerse cuando la empresa es consciente de que ha tenido una fuga de información.
  • Responsabilidad sobre los datos: Las empresas que gestionan datos personales, deberán demostrar en cualquier momento su cumplimiento con la GDPR. Esto puede implicar, dependiendo del tamaño de la empresa, nombrar a un Responsable de Protección de Datos (Data Protection Officer; DPO), implantar la “privacidad por diseño” (y por defecto) en productos y servicios, comprender cómo funcionan los flujos de datos en la organización, y disponer de políticas de protección de datos y medidas de seguridad para protegerlos. Y sabemos que no es tarea sencilla, independientemente del tamaño de la empresa.
  • Mayores sanciones por fugas de datos no protegidos: Estas pueden alcanzar los 20 millones de Euros o el 4% de la facturación anual en el caso de las grandes empresas, lo cual puede incluso superar esos 20 millones de Euros.


Normativa Europea

http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf


]]>Fri, 07 Jul 2017 11:14:00 +0200<![CDATA[Origenes principales de los CiberAtaques]]>https://www.cefiros.net/blogs/post/Origenes-principales-de-los-CiberAtaques

Según el Informe de Investigación de fuga de Datos 2015 de Verizon y la infografía siguiente, la cantidad de incidentes se dividen en:

  • 5 Eventos de malware por segundo
  • El coste medio, por fuga de información, por cada registro exfiltrado es de 0,51€
  • La previsión de coste medio por una fuga de datos de 1000 registros es entre 45000€ y 76000€
  • Aproximadamente el 50% de los usuarios abren los emails y hacen click en el enlace en la primera hora de recepción.

 Y los vectores de ataque detectados, principalmente son los TPV con un 28,5%, mientras que 18.8% es software malicioso y muy de cerca el ciber espionage con 18%.


Es una información interesante, que creemos debemos compartir, sobre todo con la RGPD (GDPR) a la hora de la fuga de información de las compañías de cualquier tamaño.


  

]]>Thu, 06 Jul 2017 23:20:56 +0200