Explicando nuestros servicios (II): CISO externo
Después de nuestro último artículo en el que explicábamos nuestro servicio de auditoría, hoy queremos adentrarnos en el mundo de los CISO. Porque sigue siendo un gran desconocido en todo el entorno empresarial que no esté estrechamente ligado a temas tecnológicos.
La verdad es que poco a poco vamos cayendo en el lenguaje anglosajón y sus derivados. Por ello las funciones que se desarrollan en lo alto de la cúspide de una empresa han pasado a ser conocidas por siglas. El ejemplo más claro y usado en la actualidad es el del CEO, que se corresponde con el cargo más alto del organigrama empresarial y que vendría a ser el director ejecutivo o gerente o director general. Pero hay muchas más siglas para definir estos cargos. Lo podéis leer en este artículo de la web del INCIBE.
Pero… ¿qué porras es un CISO?
CISO viene del inglés, Chief Information Security Officier. O sea director de seguridad de la información. Este cargo que parece salido de una novela de Ian Fleming o de John le Carrée es esencial, porque se ocupa de alinear la seguridad de la información con los objetivos de negocio de su empresa. O sea, es el responsable de que toda la información de la empresa está bien protegida. Por lo tanto es un cargo ejecutivo, cuya función está muy próxima a las grandes decisiones de la dirección de la empresa.
¿Qué responsabilidades tiene?
Cada empresa tiene unas peculiaridades propias, según el sector, el tamaño, la actividad… Pero hay una serie de responsabilidades generales que resumimos a continuación:
- Responsabilizarse de organizar la arquitectura de seguridad de su empresa.
- Garantizar la seguridad y la privacidad de los datos de la empresa, de sus trabajadores y proveedores.
- Supervisar el control de acceso a la información y documentos más sensibles de la empresa que define la dirección general. ¿Quién debe tener acceso a qué?
- Responsabilizarse de la rápida respuesta ante incidentes de seguridad y/o ciberataques.
Es muy importante señalar que las funciones del CISO van variando continuamente, porque la ciberseguridad es como un ente vivo, que va modificándose constantemente. Nuevas leyes, nuevas normativas, nuevas formas de actuación por parte de los ciberdelincuentes, etc. Por ello exige que el CISO esté siempre al día y se encargue de nuevos roles impensables hace unos años.
En España, ¿qué sectores están obligados por ley a contar con un CISO?
Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO. Concretamente:
Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, que tengan su residencia en España.
Tenéis más información al respecto AQUÍ.
“La ley permite que las empresas obligadas a ello, tengan un CISO EXTERNO.
Es la mejor opción para una gran mayoría de pymes.”
¿Cuál es la problemática actual de los CISO de una empresa?
Hay varias problemáticas que cualquier empresa debe afrontar con el cargo del CISO. Vamos a enumerar las más frecuentes.
- Recursos Humanos. Es un cargo ejecutivo y de mucha responsabilidad. Por ello se requieren profesionales muy cualificados y experimentados. No abundan los profesionales con este perfil y los que hay tienen una retribución bastante elevada.
- ¿Un puesto desatendido? El CISO puede enfermar, tiene que disfrutar sus vacaciones y tiene los fines de semana libres. Pero los problemas en los sistemas de seguridad no saben de todo esto y los ciberdelincuentes sí. Pueden producirse incidentes en cualquier momento.
- El aumento constante de los incidentes por parte de ciberdelincuentes ha motivado que algunos CISO prefieran ocupar otros puestos de menor responsabilidad dentro de la empresa debido al estrés constante que lleva implícito el cargo de CISO y el subsiguiente burnout (estar “quemado”).
Podéis leer algunos de los problemas de los CISO en ESTE ARTÍCULO. - Cierto que el CISO puede contar con un pequeño equipo que siga sus instrucciones. Pero normalmente no suele ser de la empresa, sino externos, subcontratados. Ergo… ¿por qué no externalizar el servicio de CISO desde el principio?
¿En qué consiste el servicio de CISO EXTERNO que ofrece TECNOideas?
- Auditoria de la infraestructura, poco a poco durante los primeros meses.
- Auditoría de políticas, o creación de las mismas, para auditorias externas, Isos, otras normativas, etc.
- Revisión de assets (activos) públicos y correo electrónico (dominios propios).
- Monitorización remota 24 horas al día. Aparte de realizar un inventario de la infraestructura, se hace un análisis comparativo de posibles trazas de malware, de vulnerabilidades específicas de software o hardware, etc.
- Campaña phising simulada, periódica.
- Formación. Porque todas las medidas pasan por el eslabón más débil, el empleado. Hay que concienciarlo y hacerle participe de las políticas de la empresa en cuando a ciberseguridad.
- Gestión de planes: anuales, bianuales, planes de recuperación, contra incidentes, etc.
- Recomendaciones. Todo lo que veamos que se puede mejorar, o necesite la empresa, lo haremos, en los informes mensuales, trimestrales o anuales.
“Una de las ventajas de contar con TECNOideas como CISO externo
es su servicio de monitorización constante 24/7.”
¿Qué ha de valorar un CISO según la ley española y que ofrece TECNOideas?
- Análisis y gestión de riesgos. Infraestructura interna y protocolos.
- Gestión de riesgos de terceros o proveedores. Revisar tanto contratos como técnicamente servicios que contrate el cliente.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Serie de recomendaciones según lo que se descubra.
- Gestión del personal y profesionalidad. Formación, formación y formación.
- Adquisición de productos o servicios de seguridad. Comprar e instalar o bien asesorar sobre cualquier software o hardware que precise la empresa.
- Detección y gestión de incidentes. Monitorización, e intervención cuando sea necesario.
- Planes de recuperación y aseguramiento de la continuidad de las operaciones. Gestión, control o asesoramiento en temas de backups, y por supuesto, simulaciones para recuperación de datos.
- Mejora continua.
- Interconexión de sistemas.
- Registro de la actividad de los usuarios.
“Es muy importante señalar que las empresas
deben facilitar los medios y poner todo el empeño
en realizar sus tareas, para llegar a los objetivos planteados.”
No lo dudéis: tener un CISO EXTERNO es la mejor opción de ciberseguridad para vuestra empresa.
Consultad como podemos ayudaros y pedidnos un presupuesto:
os sorprenderán nuestras tarifas escalables según vuestras necesidades.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Protección de datos en el sector energético
Uno de los temas del verano está siendo la factura de la luz. Las increíbles subidas de precio de las empresas que nos proveen de electricidad están fuera de la comprensión de la ciudadanía. Eso ha motivado una gran cantidad de preguntas de los consumidores a las empresas y simulaciones de cambios de compañía. Pero nadie se ha preocupado de saber si todos estos datos que les damos tan tranquilamente están seguros. ¿Sería posible que todas estas empresas, además de facturarnos a unos precios desorbitados, también negociaran con nuestros datos? Sin duda hay que vigilar la protección de NUESTROS datos en el sector energético.
Con la Ley Orgánica de Protección de Datos, todas estas empresas que manejan gran cantidad de datos personales debe tener especial cuidado y adaptarse a la normativa.
Las empresas del sector energético, tanto distribuidoras como comercializadoras, poseen muchos datos personales de sus clientes (entre los que se encuentra el DNI o el número de cuenta bancaria) por lo que es muy importante que cumplan esta Ley.
Acciones que deben realizar las compañías del sector energéticas para adaptarse a la normativa
- Realizar un registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
Contratos con terceros
El sector de la energía es uno de los que más trabaja con terceros. Existen muchos comparadores de tarifas de energía que nos permiten contratar las mejores tarifas del mercado a través de intermediarios, los cuales se encargan de todo.
Pero estos intermediarios también deben cumplir la Ley y se requiere un doble consentimiento, así como una afirmación explícita de para qué da permiso el cliente para usar sus datos.
Sin embargo, las grandes comercializadoras de energía están obligadas a facilitar y controlar la Protección de Datos de esos intermediarios.
Página web
En la actualidad existen muchas comercializadoras que no tienen oficinas físicas, sino que ofertan sus servicios mediante su página web. Si se ofrecen los servicios a través de una página web se deben incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Consentimiento de clientes
Cuando un cliente realiza un contrato, se le debe pedir un consentimiento explícito para usar sus datos. Sin embargo, la nueva normativa obliga a que esto sea retroactivo, teniendo que firmar dichos consentimientos los clientes ya en activo.
Este consentimiento se puede solicitar de dos formas:
- En la web: si el cliente introduce los datos en la web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En la empresa: Si se realiza en una oficina, debe firmar un documento en el que se le informe acerca de:
– Quién es el responsable del tratamiento
– Para qué se van a usar los datos
– Si los datos van a ser cedidos a terceros
– Cómo puede ejercer sus derechos ARCO
Derechos de los usuarios
La Ley dota a los clientes de una serie de derechos sobre sus datos personales, entre los que se incluyen los siguientes:
- Acceso a sus datos personales
- Rectificación si los datos son incorrectos
- Supresión si los datos son tratados de forma ilegal o ya no son necesarios para la finalidad para la que fueron recogidos
- Limitación del tratamiento de sus datos
- Portabilidad de los datos
- Oposición a un uso posterior con fines de prospección comercial, investigación científica o histórica, estadísticas…
- No ser objeto de decisiones individualizadas automatizadas
Toda empresa energética debe dar a sus clientes métodos para que ejerzan estos derechos. Estos medios se deben indicar en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.
Imagen principal: VV1ntermute en Pixabay
- Publicado en Consultoría, General, Mantenimiento, Noticias, Protección de datos
5 motivos para preferir un CISO externo en ciberseguridad
Damos por hecho que a estas alturas la mayoría de empresas saben que la ciberseguridad hay que tomársela en serio. Para ello es imprescindible tener la figura de un CISO (director de seguridad de la información). Pero este puesto tan necesario puede externalizarse y os vamos a dar 5 motivos para preferir un CISO externo de ciberseguridad.
1. El problema de los fines de semana, puentes y vacaciones
Acabamos de regresar del mes de vacaciones por excelencia en nuestro entorno. Pero las cosas cambian. Cada vez hay menos empresas que cierran en época estival, aunque eso sí, reducen considerablemente su actividad y eso incluye a los socios tecnológicos.
Como hemos advertido en más de una ocasión, los ciberdelincuentes (que no los hackers, recordad que esos son los “buenos”), saben aprovechar las debilidades de las empresas que tienen en su punto de mira. Esto significa que cuando tienen opciones de entrar, lo hacen. ¿Y qué mejor que aprovechar las debilidades del sistema en un fin de semana, un puente, unas vacaciones? Es entonces cuando el equipo técnico está debilitado o ausente y la capacidad de reacción es nula o muy lenta. También es cuando algún empleado no formado adecuadamente se convierte en un insider (personas dentro de una compañía que divulgan información sensible sobre su empresa).
Todos estos problemas no existen si se externaliza el servicio del CISO, porque la detección y gestión de incidentes no descansa y hay una vigilancia proactiva de 24 horas/7 días a la semana.
2. Los problemas de Recursos Humanos que genera tener un CISO en plantilla
Uno de los motivos por los que las empresas no tienen un CISO de ciberseguridad en nómina es debido a los problemas que conlleva en cuanto a Recursos Humanos. Los principales problemas vienen de la falta de personal adecuadamente formado para esta función. La demanda de profesionales necesarios para cubrir puestos de trabajo relacionados con la ciberseguridad ha aumentado, pero las formaciones actuales aun están lejos de cubrir las necesidades reales del mercado. El resultado es que el sueldo de un CISO profesional es considerable. Además es preciso que tenga un mínimo de equipo para cubrir todas las horas del día, las posibles bajas por enfermedad, vacaciones o cualquier otra contingencia que pueda producirse.
El servicio de CISO externo significa un ahorro significativo para una empresa, por la diferencia entre el coste del servicio y el sueldo del profesional cualificado.
3. Los expertos en ciberseguridad sufren burnout
El tema de los trabajadores “quemados” en el sector ha sido una constante durante el mes de agosto. La imposibilidad de desconectar, el miedo a que se produzca un ciberataque, la angustia que provoca la duda constante de saber si se sabrá reaccionar a tiempo y evitando grandes males a la empresa son las principales causas de este síndrome. Y es que hay una muy estrecha línea entre la ciberseguridad y la salud mental de sus trabajadores. Este estrés continuo provoca que el tiempo medio que aguanta un analista de seguridad en su puesto de trabajo sea de 26 meses en Estados Unidos. Así lo revela un estudio del Instituto Ponemon (institución que promueve el uso responsable de la información y las prácticas de gestión de la privacidad dentro de las empresas y el gobierno) y FireEye (empresa californiana que provee servicios de análisis y prevención de vulnerabilidades) que se dio a conocer el año pasado.
La conciliación familiar es también difícil para estos trabajadores, especialmente por los horarios de trabajo y el tener que estar siempre localizables. El resultado de todo ello es que buscan una mayor tranquilidad laboral y no tener que estar pendientes de posibles emergencias cuando acaban su horario de trabajo.
Si estáis interesados en saber más sobre este llamativo tema, os recomendamos la lectura de este artículo de Business Insider publicado la semana pasada.
Es evidente que externalizar los servicios de un CISO no comportará para la empresa todos estos posibles problemas de salud de sus trabajadores.
4. La ciberseguridad no puede ser un complemento de la empresa, sino parte del negocio
Así de claro se mostraba Iván Portillo en la entrevista que le hicimos junto a Wiktor Nykiel. Ambos son referentes del mundo de la ciberinteligencia y lo tienen muy claro. Todas las pymes y grandes empresas tienen que destinar partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Además, como ellos se encargan de recordarnos, “no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.”.
También en TECNOideas lo tenemos claro: hay que construir la ciberseguridad desde el mismo momento que hay un proyecto empresarial. Ambos han de crecer en paralelo. Y para una empresa que comienza no hay nada mejor que externalizar este servicio. Dejarlo en manos de profesionales capaces de asesorar, recomendar y buscar las mejores soluciones en todo momento, así como mantener todos los equipos actualizados. Y si además ofrece formación adecuada para todos los niveles de trabajadores de la empresa, mucho mejor.
El tema se ha complicado mucho con el teletrabajo y la necesidad de extender la ciberseguridad a los hogares de los trabajadores. Ya os hemos informado sobradamente de los peligros que entraña el teletrabajo. El servicio externalizado permite más fácilmente ampliar la ciberseguridad a los equipos domésticos.
Externalizar este servicio significa estar siempre al día en cuanto a actualizaciones de ciberseguridad y opciones de formación para todos los niveles de trabajadores de la empresa.
5. La ley obliga a tener un responsable de la seguridad de la información y permite que este servicio sea externo
El marco normativo es muy claro. Establece que los operadores de servicios esenciales deberán nombrar una persona u órgano colegiado responsable de la seguridad de la información. Ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y los Equipos de Respuesta a Incidentes de Ciberseguridad (CSIRT) de referencia. Este servicio puede ser externalizado.
La ley se aplica a los operadores de servicios esenciales dependientes de las redes y sistemas de información de diversos sectores estratégicos. También a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
Las empresas que externalizan este servicio cumplen la normativa legal mucho antes que las que optan por buscar e incorporar un CISO a su plantilla.
Si tenéis dudas sobre estos 5 motivos para preferir un CISO externo de ciberseguridad
o queréis saber más sobre las tareas propias de un CISO,
podéis acceder a toda la información que tenéis en nuestra web,
en el apartado Servicio CISO Externo.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Ubuntu: sobre el pop up “no hay espacio carpeta var/logs llena” – Segunda parte
Ubuntu es un sistema operativo de software libre y código abierto, una distribución de Linux basada en Debian y orientado al usuario promedio. Ha tenido bastante éxito por su facilidad de uso y mejora de la experiencia del usuario. Pero hay un problema en Ubuntu.
Hace unos días os comentaba en este mismo blog como semi-solucionar el problema en Ubuntu que dio lugar al título del post y que motiva ahora esta segunda parte.
El problema en Ubuntu es muy común en este sistema: hace que los logs del sistema pesen gigas y gigas, con lo que al final nuestros discos se saturan.
Esto que puede no parecer un problema, lo es si uno tiene un portátil con un disco sólido, no demasiado grande. O si se tiene un sistema justito, o un servidor donde no sobra el espacio libre.
Os comenté en la anterior ENTRADA, como vaciar estos logs, como recurso de urgencia, y os daba el enlace al MANUAL de logrotate para que pudierais investigar.
Pues bien, como me han preguntado como lo solucioné finalmente EN MI EQUIPO, os voy a pegar el apéndice que añadí a /etc/logrotate.conf
/var/log/*.log {
sacado del manual de logrotate
size 10M
copytruncate
rotate 3
compress
missingok
}
En estos comandos le decimos a logrotate que:
- cualquier fichero con extensión .log, tenga un tamaño máximo de 10 megas
- haga una copia con 0 bytes (para que miapp lo encuentre y no haya problemas)
- guarde tres copias antiguas
- comprima las demás
- no muestre mensajes de error si los hubiera
Espero que os haya ayudado un poco más, junto con la anterior entrada, ya que desespera que en un momento crítico te quedes sin espacio y no puedas trabajar.
¿Te ha gustado esta explicación? ¿Te ha servido para solucionar tu problema?
Si aún no te has registrado en https://tecnoideas20.com/
hazlo ahora y recibirás nuestras newsletter gratuitamente.
Gracias por confiar en TECNOideas2.0.
- Publicado en Errores, General, Hazlo tu mismo, Mantenimiento
Desde ayer se acabó el soporte para Windows 7 y Windows server 2008.
Ya lo avisamos hace unos meses AQUÍ, al menos para Windows Server 2008. Todo producto Windows tiene una caducidad nada más salir, y el de estos dos productos la fecha era ayer.
No van a dejar de funcionar, pero si de recibir actualizaciones, por lo que estos sistemas van a ser muy explotables, en cuanto a vulnerabilidades se refiere, y por lo tanto, van a dejar de ser seguros.
Es probable que en las próximas semanas haya una aluvión software malicioso y ataques directos a estos dos sistemas, por lo que si tiene alguno de ellos, y no piensa actualizarse, al menos debería auditar sus sistemas, para tapar los posibles fallos.
Ya no es solo que queden inutilizados, sino que pueda haber una fuga de datos que albergue el servidor de su empresa, y que contenga datos sensibles, como clientes, proveedores, etc… perseguido y multado por la nueva Ley de protección de datos Europea (RPGD).
Aunque con eso no cerrará la puerta totalmente, si que al menos podrá alargar unos meses la vida operativa de este software.
Si quiere realizar una auditoría de seguridad, no dude en ponerse en contacto con nosotros, estaremos encantados de poder ayudarle.
- Publicado en Consultoría, Mantenimiento, Noticias
Fin de soporte para Windows server 2008 – 14 de Enero de 2020
Como todos los productos de Microsoft (aunque no es la única que marca ciclos de vida en sus productos, obligatorios), Windows server 2008 toca a su fin.
No es que deje de funcionar, sólo que no tendrá soporte, ni actualizaciones, por lo que para una empresa hace que sea un sistema vulnerable para su seguridad.
No es como los coches antiguos, que aunque tengan 25 años (o más), siguen funcionando, aunque haya políticos que los quieran prohibir y hacernos comprar coches, que cuando salen, ya vienen con agujeros de seguridad y son inactualizables, por lo que son o serán en breve un peligro para todos.
Así que si tiene y usa Vd algún producto “antiguo” de Microsoft, no sólo Windows Server 2008, sino cualquiera que salga en ESTA lista, aproveche los “descuentos” que hace la marca por las migraciones.
- Publicado en Mantenimiento, Noticias
Mercado informático de segunda mano.
Con la "crisis" tan arraigada en las costumbres empresariales a estas alturas, pero con necesidades que cubrir en las sedes de las mismas, a aflorado y con fuerza hace unos meses, un gran mercado de segunda mano y reacondicionados.
Equipos de grandes corporaciones, reparados, tarados, o de otras procedencias, están teniendo mucha salida, sobre todo para necesidades concretas, y que no necesitan una gran potencia o capacidad (ofimática, thin client, etc…).
Ya sabe, si no quiere gastar mucho, su banco sigue sin darle liquidez, pero necesita de equipos, seguro que en su ciudad hay alguna empresa que le puede vender equipos de este tipo. Y si no, pregúntenos a nosotros.
- Publicado en Ecológico, Mantenimiento
Con el directorio Winsxs hemo topado.
Ya apareció en Windows Vista, y sigue en Windows 7, y parece que se mantendrá en la próxima versión de este sistema operativo. El directorio Winsxx almacena y linka a archivos de sistema, servicios y drivers, y llega a ocupar ingentes espacios en nuestro disco duro (parece que cuanto más grande es el disco, más espacio ocupa), siendo lo normal cinco gigas, pero hay gente que asegura que lo ha visto ocupar nada menos que 50 !!!!
Y no, no se puede borrar.
- Publicado en Mantenimiento
Los soportes de datos no son indestructibles.
.jpg)
Ya hablabamos en un artículo de la semana pasada sobre la caducidad de los soportes, y sus consumibles, y mencionábamos que a parte de la moda, obsolescencia o la media tecnología-barata-más extendida, también pasaba factura otros factores externos.
El ejemplo que vamos a poner es el de un hongo de tipo geotrichum, que se introduce a través del Aluminio que se supone usan los cds y dvds (aunque en realidad solo tienen un 1% del mismo), y se alimentan del plástico. No sólo está en los cds, ya que se descubrió hace 175 años, y se ha visto en otros "recipientes", hasta en seres humanos, y prolifera en ambientes cálidos y humedos.
No es el único peligro de este soporte, rayaduras, líquidos, mala conservación en general, pero que también afecta a otros soportes, y donde el sentido común (las copias de seguridad, y la alternancia de diferentes tipos de soportes) son la mejor contra.
- Publicado en Malos hábitos, Mantenimiento
Cuando el rio suena….
Siempre dejamos pasar pequeños síntomas de nuestro Pc como simples cosas molestas que se disparan o saltan de vez en cuando, sin prestarles la atención que quizás, merezcan.
Uno de los componentes más críticos de una máquina es el disco duro, y un simple ruido(el temido click click), fallos al copiar, desfragmentar o la típica redundancia cíclica, o que nos salte el comprobador de errores de disco de windows, ya son de por sí, como mínimo, sospechosos.
No habría que dudar en echar un vistazo a la salud de nuestro disco (casi todos y las placas bases implementan el sistema SMART para monitorizar la salud de los mismos), quizás hasta en la bios tenemos un pequeño monitor, o si no con software gratuito que nos lo diagnosticara facilmente. Una desfragmentación o una comprobación de errores también nos sacarán de dudas.
Cuando se da el fallo de un disco duro, si tenemos copia de seguridad, genial, pero aún así nos llevará su tiempo (=dinero) en volver a instalar sistema operativo y drivers, software vario, y volverlo a dejar a nuestro gusto (a no ser que tengamos una imagen del mismo, que hablaremos en un futuro como crearlas). Si lo cogemos a tiempo, podemos incluso clonar nuestra unidad y prevenir esta perdida de productividad.
- Publicado en Hazlo tu mismo, Mantenimiento
- 1
- 2
Español 
Català