Ciberseguridad a golpe de ley
Aunque ya se sabe que las leyes suelen ir por detrás de lo que ocurre en nuestra sociedad, a veces no queda más remedio que legislar, legislar y volver a legislar. Podemos asegurar que eso es lo que está pasando con la ciberseguridad. Intentar que los aparatos que compramos, conectamos y usamos sean ciberseguros en una sociedad hiperglobalizada y conectada es una quimera. Es por ello que quizá solo sea posible la ciberseguridad a golpe de ley.
En TECNOideas no cesamos de poneros en alerta frente a cosas que podríamos considerar de ese sentido que es el menos común de los sentidos. En nuestros cursos de ciberseguridad en el teletrabajo o en algunos de nuestros artículos ya advertimos del peligro de tener tantos aparatos en casa conectados a un rúter poco fiable, instalado por nuestro proveedor de servicios de telefonía y/o de acceso a Internet.
Ahora nos llega ¡por fin! la noticia de que la Comisión Europea ha decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Lo hará a través de la Ley de Resiliencia Cibernética que está preparando actualmente.
¿Cuál es el problema?
Imagen de manuelwagner0 en Pixabay
En nuestros hogares cada vez tenemos más aparatos conectados. Desde electrodomésticos como la nevera o los robots aspiradoras hasta los juguetes o consolas de todo tipo, pasando por cámaras de seguridad y de videovigilancia, termostatos o incluso todo el apartado de la domótica doméstica. Las ventajas que ofrecen en cuanto a conectividad, para poder recibir órdenes desde la nube o desde una App no van acompañadas de las medidas de seguridad adecuadas.
Todo esto además, se acompaña con conexiones a través de rúters poco seguros. Así, por ejemplo, solo solemos usar uno de los cuatro puertos que tienen la mayoría de rúters que hay en nuestros domicilios.
Naturalmente todo esto es un objetivo muy deseado por los ciberdelincuentes. Ellos pueden acceder sin demasiados problemas a todas las informaciones que se acumulan en estos aparatos.
Para que esto no sea posible Europa pretende aumentar los bajos estándares de calidad actuales de los softwares que contienen todos estos dispositivos IoT. Y lo hará a través de la nueva Ley Europea de Ciberresiliencia que debe aprobarse este mismo año.
La ley prevé que los fabricantes de todos estos aparatos tendrán que pasar un test de conformidad relacionado con la ciberseguridad. Será imprescindible para poder ser comercializados en Europa. Para ello deberán tener medidas de seguridad como:
• Tener credenciales robustas.
• Cerrar puertos que no sean necesarios para su buen funcionamiento.
• Garantizar la seguridad durante todo el ciclo de vida del aparato. Esto obligará a los fabricantes a actualizaciones periódicas.
• Habrá cinco categorías: fabricación, finanzas, energía, transporte y las relativas a los domicilios (Smart Home), donde se habla extensamente de los rúters domésticos.
Si estáis interesados en conocer más exhaustivamente los requerimientos de seguridad que deben seguir los aparatos IoT e ICT, podéis consultar este estudio de la Comisión Europea.
También os invitamos a leer este artículo de Bandaancha.eu, una web de noticias y artículos, también colaborativos, dedicados al amplio mundo de Internet.
Aprobada la Ley de Ciberseguridad 5G
Seguimos con el tema legal. La semana pasada el pleno del Congreso convalidó finalmente la Ley de Ciberseguridad 5G que el Gobierno aprobó a finales de marzo. Se trata de una ley que incorpora al marco legal español las medidas consensuadas por la Unión Europea. Estas medidas recogen una serie de claves que identifican las principales amenazas y vulnerabilidades que pueden darse en el despliegue de las redes 5G. Entre los aspectos destacados de la ley hay que citar que el Gobierno deberá publicar de forma periódica una lista de proveedores de riesgo. Para ello los proveedores se van a clasificar como de bajo, medio y alto riesgo. Tendrán un plazo de cinco años para sustituir los elementos críticos de red proporcionados por ellos mismos.
Podéis leer las claves más importantes de la ley en este artículo del portal Zonamovilidad.es, especializado en tecnología móvil en España.
Para terminar, deciros que junto a la convalidación de esta ley el Congreso también convalidó la Ley General de Telecomunicaciones. Con ella se transpone finalmente el Código Europeo de las Comunicaciones Electrónicas. Precisamente Europa ha reclamado insistentemente a España que esta transposición se llevara a cabo.
Lo que os decíamos al principio: Ciberseguridad a golpe de ley. Y es que tanto la Unión Europea como las diferentes reglamentaciones de cada uno de sus países intentan adelantarse a la problemática de la ciberseguridad. Los ciberdelincuentes seguirán actuando. Pero unas leyes que obliguen a tener muchas más precauciones a fabricantes, proveedores y empresas de servicios se lo van a poner más difícil.
Nosotros seguiremos predicando no solo en el desierto, para que empresas grandes y pequeñas, autónomos y particulares tengan presente que nuestros servicios son necesarios y son una buena inversión y no un gasto.
Imagen principal: Sang Hyun Cho en Pixabay
ICB Consulting o cuando asociarse sí vale la pena
Los expertos de casi todas las áreas empresariales coinciden en aconsejar dos parámetros fundamentales para cualquier pyme o despacho profesional: la especialización y la asociación. Asociarse con semejantes para crear sinergias, escucharse y en definitiva ayudarse. El objetivo no es otro que el Win2Win.
Todo esto viene al caso para deciros que TECNOideas se ha asociado a la empresa ICB Consulting. Y como creemos firmemente en esta consultora, pensamos que es interesante que vosotros también la conozcáis.
ICB Consulting lleva más de diez años trabajando en tres áreas bien definidas:
● M&A. Compra y venta de empresas. Fusiones y adquisiciones.
● Soluciones algorítmicas inteligentes en estrategia empresarial y financiera.
● Digitalización y Blockchain. Automatización 4.0. Robotización Móvil Autónoma (AMR) de empresas.
Al ser una consultora estratégica de operaciones, experta en guiar y enseñar a afrontar los nuevos retos, aporta soluciones rápidas y eficientes a las empresas necesitadas de una estrategia empresarial y financiera. Es decir, apuntalan a las empresas, analizan sus proyectos, vencen sus retos y las lanzan hacia el éxito.
85 despachos asociados.
Imagen de Gerd Altmann en Pixabay.
Pero lo más interesante de todo esto es que lo realizan integrando profesionales expertos en la mayoría de sectores y perfiles industriales o empresariales. De este modo han conseguido una red que está presente en 26 países con 85 despachos asociados. Este es el equipo de ICB Consulting.
En España tienen sede en las principales ciudades. De esta forma, cualquier empresa extranjera que quiera establecerse en nuestro país se sentirá bien arropada, guiada y asesorada para importar su modelo de negocio y adaptarlo al mercado español. Y esto es válido para cualquiera de los 26 países donde están presentes.
Al asociarnos con ellos TECNOideas da un paso más hacia su internacionalización al tiempo que aporta su experiencia en temas de ciberseguridad y certificaciones a una empresa global y muy bien implantada en toda España.
Así que ahora tenéis una oportunidad: si tenéis pensado algún proyecto o reto de cualquier índole en vuestra empresa, podéis poneros en contacto con ellos para que valoren en su justa medida el proyecto, como mejorarlo y llevarlo a cabo.
Para tener más información o contactar con ICB Consulting podéis entrar AQUÍ.
- Publicado en Consultoría, General, Noticias, Servicios, Sobre TECNOideas
Explicando nuestros servicios (III): las ISO y otras normativas o compliance
Cada vez más las empresas se ven sometidas a una serie de leyes y normativas que les obliga a tener fuertes programas de prevención. Dicho de otro modo: poseer certificaciones. Tenerlas puede servir para mitigar los efectos, tanto a nivel interno como legal, frente a eventuales hechos delictivos o infracciones de ley. Quizá el ejemplo más conocido en nuestro entorno sea el de la adaptación a la ley de protección de datos. Pero hay muchas otras certificaciones en los sistemas de la información.
La buena noticia es que todos estos programas preventivos pueden obtenerse a través de un servicio externo que asesore y lo vaya implementando tras analizar la situación de cada empresa. TECNOideas ofrece entre sus servicios el acompañamiento en los procesos de certificación o compliance de varias certificaciones.
¿Qué es compliance?
Compliance es una palabra inglesa que viene a significar “cumplimiento normativo”, entendiendo como tal a las normas internas y también a las externas.
Su origen se encuentra en Estados Unidos en la década de 1970, cuando el sector financiero se vio salpicado de numerosos casos de corrupción. Para combatirla, en 1977 se creó una ley que fue el punto de inicio normativo.
20 años después, en 1997, se firmó el Convenio de la OCDE (Organización para la Cooperación y el Desarrollo Económicos) “de Lucha contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales e Internacionales” que ratificó España en 2002.
Estas normas las pueden establecer la propia empresa, la Administración, un ente público o incluso el sector al que pertenece una empresa. La primera norma con la que se inició el cumplimiento de la legalidad fue la UNE – ISO 37001, orientada a la lucha contra el soborno. El siguiente paso llegó en 2015, con la ISO 19600 que trataba de evitar a sus poseedores las consecuencias negativas de un incumplimiento de la ley. Se trataba de que las empresas fueran más transparentes.
¿Qué son las ISO?
A partir de entonces la Organización Internacional de Normalización, conocida por el acrónimo ISO, se ocupó de ir creando estándares internacionales. La entidad, fundada en 1947 y con sede en Ginebra, promueve el uso de estándares privativos, industriales y comerciales a nivel mundial.
En la actualidad existen más de 22.000 normas ISO. Abarcan todo tipo de industrias y sectores y por ende, todo tipo de empresas.
¿Cuáles son las más frecuentes en nuestro sector y para qué sirven?
- ISO 27001.
Para los sistemas de Gestión de la Seguridad de la Información.
Permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
Es importante señalar que la ISO 27001 significa una diferenciación respecto a la competencia, que mejora la competitividad y la imagen de una organización. Cada vez es más demandada para poder trabajar con diversos organismos, tanto públicos como privados; para aseguradoras; para la exigencia de clientes a proveedores…
Más información AQUÍ. - ISO 20000.
Es el estándar internacional de calidad en la Gestión de los Servicios de Tecnología de la Información.
Intenta ayudar a las empresas a que sus servicios de TI sean más efectivos. Incorporan en el día a día mejoras en la gestión de estos servicios.
¿Qué otras certificaciones ofrece TECNOideas?
- Esquema Nacional de Seguridad (ENS).
Es una norma de obligado cumplimiento desde el año 2017 en toda España para toda empresa y todo ciudadano que trabaje o se relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.).
Garantiza las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas. Tenéis más información AQUÍ. - Esquema Nacional de Interoperabilidad (ENI).
Establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de Administraciones Públicas. Más información AQUÍ. - Plan director de seguridad.
No nos cansamos de deciros y recomendaros que la mejor forma de luchar contra la ciberdelincuencia es trabajar desde el principio implantando un plan de seguridad a nivel de toda la empresa y de todos los trabajadores. El Plan director de seguridad es un protocolo interno, para cumplir dentro de la propia empresa, según criterios marcados por las necesidades y que se debe cumplir sin excepciones, para que su información, procesos y sistemas estén bien protegidos. - Plan de continuidad de negocio.
Tampoco cesamos de advertir que la seguridad absoluta al 100% no existe. Por eso es también necesario tener un plan de continuidad de negocio ante posibles contingencias. No hay que olvidar que cada vez existen más pymes que, tras un ciberataque han tenido que cerrar. Este plan es un protocolo de previsión ante desastres, con simulaciones periódicas, para que su información y sistemas estén a salvo ante cualquier imprevisto, ya sea físico, digital o de sustracción cibernética.
¿Cuánto se tarda en tener una ISO o un ENS y cuánto puede costar?
Estas son preguntas que todos nuestros clientes nos hacen. Sin embargo, a priori, no es posible dar una respuesta global. Creemos que es evidente que no es lo mismo efectuar un programa para una gran empresa de unos 500 trabajadores que una pyme de 10 empleados. Tampoco se puede dar un presupuesto sin conocer los objetivos de la empresa ni la situación de sus tecnologías. TECNOideas analiza las necesidades de cada cliente y propone un plan de trabajo y un plan económico adaptado a cada cliente.
Pero podemos dar unas pautas generales, tanto en tiempo, que pueden ser entre 3 o 6 meses, según la ayuda que nos preste el cliente, y entre 2.500 y 6.000 euros, de una empresa de 10 usuarios, con sistemas mínimos, a una de 250 con varios servidores, y servicios diversos.
Resumiendo: ¿Cuáles son los beneficios para mi empresa al contar con estas certificaciones?
Contar con una certificación de las nombradas, es primero, una ventaja competitiva sobre la competencia. Aunque los demás no sepan que hacemos y como lo hacemos, en referencia a nuestros sistemas de la información y su seguridad, contar con una de estas certificaciones, quiere decir que estamos dentro de unos mínimos, o en calidad o en seguridad.
También por obligación contractual, con clientes o proveedores. Y es que desde hace unos meses, empresas españolas que hacen negocios con otras extranjeras, son conminadas a cumplir con alguna, o varias, de estas certificaciones, y/o pasar alguna auditoría independiente. No debemos olvidar que no solo es cuestión de los demás, sino que los datos van de empresa en empresa, y podemos vernos vulnerados por la relación con una empresa cliente o proveedor, en la que no podemos controlar la seguridad de sus sistemas.
Y desde este año, en las licitaciones con administraciones públicas, donde antes daban puntos por tener certificaciones tipo Esquema Nacional de Seguridad (ENS) o Esquema Nacional de Interoperabilidad (ENI), se ha vuelto casi obligatorio cumplir con ellas, para poder acceder a dichas licitaciones.
TECNOideas os acompaña para obtener la certificación
que vuestra empresa necesita.
Nos ocupamos de las auditorías técnicas al empezar el trabajo. Acompañamos a la empresa y a sus trabajadores en ayudarles a cumplir los puntos necesarios para que la certificación sea posible.
Solucionamos todo el complicado papeleo administrativo y somos el interlocutor con la entidad certificadora dependiente de ENAC.
Para todo ello contamos con un equipo capaz:
jefes de proyecto, auditores sénior, auditores júnior o administrativos técnicos, capaces de acompañar y realizar informes para certificaciones o toda la serie de procesos internos necesaria.
- Publicado en General, Noticias, Protección de datos, Servicios
Explicando nuestros servicios (I): la auditoría
Muchos de nuestros posibles nuevos clientes que contactan con nosotros lo hacen de una forma muy cauta. Están reticentes a explicar algunas de las cosas de su empresa y al mismo tiempo están un poco asustados. Asustados porque muchas veces llegan a TECNOideas tras haber visto alguna empresa de su sector, incluso alguna empresa de la competencia, que ha tenido un problema de ciberseguridad. Es absolutamente normal esta prudencia, porque es difícil someter una empresa a unos desconocidos y más si tenemos en cuenta que vamos a hablar de una serie de servicios que en la mayoría de casos suenan a chino. Por todo ello queremos explicar algunas cosas que ayuden a despejar las dudas de nuestros posibles nuevos clientes.
1.- Si ya tengo un departamento propio de tecnología o lo tengo subcontratado, ¿por qué tengo que contratar servicios de ciberseguridad?
La ciberseguridad es una especialización en sí misma, un coadyuvante necesario para aumentar considerablemente la seguridad de cualquier empresa. Por ello no basta con tener una serie de equipos tecnológicos de última generación, ni tener un servidor externo alojado en una empresa reconocida, ni poner un cortafuegos o un antivirus y añadir un seguro de ciberiesgo. Sobre los seguros os recomendamos la lectura de dos artículos de este blog: Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo publicado en el mes de abril y Seguros de ciberriesgo, ¡no os la juguéis a una sola carta! que publicamos en agosto.
Lo ideal sería que cuando una empresa contratara los servicios tecnológicos también contratara a una empresa de ciberseguridad. ¿Cuál sería su papel? Analizar y consensuar los planes de futuro de la empresa; el riesgo que quiera asumir y dotar a la ciberseguridad de un presupuesto propio. Lo que debería aportar la empresa de ciberseguridad, entre otras cosas, es un plan de prevención continuo.
2.- Nuestra empresa ya funciona desde hace años y nunca hemos tenido un problema de ciberseguridad. ¿Cómo podemos saber el estado real de nuestros sistemas?
Seguramente vuestro proveedor tecnológico ha ido actualizando los programas de sus equipos. Pero los ciberdelincuentes son muy astutos y no siempre somos conscientes de la sofisticación a la que pueden llegar. Por ello lo primero que debe hacer una buena empresa de ciberseguridad es una AUDITORÍA.
Las auditorías deberían realizarse, como mínimo una vez al año en cualquier tipo de empresa, ya que los activos y las tecnologías cambian muy rápido, al igual que las vulnerabilidades.
Estamos hablando de auditorías técnicas, tanto de la empresa como de los equipos de los trabajadores, lo que se conoce como hacking social. Hablamos de ordenadores, tabletas, portátiles, smartphones, conexiones domiciliarias en caso de teletrabajo, etc. Con una auditoría podemos evaluar perfectamente la situación real de su empresa y descubrir las vulnerabilidades de sus sistemas. Presentaremos un informe técnico (para el departamento tecnológico) y otro informe ejecutivo para la dirección.
“Las auditorías de ciberseguridad deberían realizarse, como mínimo,
una vez al año en cualquier tipo de empresa.”
A partir de aquí debe ser el departamento de tecnología de la información de su empresa el que deba solucionar las vulnerabilidades recogidas. Por supuesto que, en caso de ser necesario, TECNOideas asesorará en todo momento a este departamento.
Tras la corrección de las vulnerabilidades volveríamos a revisar todo el sistema para obtener nuestro visto bueno definitivo. Con él, recomendamos planes de futuro, a 6, 12 o 24 meses, siempre hablando con la dirección y participando, como mínimo como oyentes, de los planes empresariales, haciendo nuestras recomendaciones y trabajando con la sección de tecnologías de la información.
3.- ¿Es necesario que nuestros trabajadores conozcan los riesgos?
TECNOideas tiene una importante sección dedicada a la formación. La gran mayoría de problemas de ciberseguridad llegan a través de los empleados, porque desconocen unos principios básicos de ciberseguridad y porque en una empresa u organización tienen que aplicarse estrictamente. Es absolutamente necesario que todos los trabajadores de la empresa conozcan una serie de riesgos básicos, fáciles de evitar.
En TECNOideas tenemos cursos de diferentes niveles, según al acceso que tiene cada trabajador a los sistemas informáticos y documentación de la empresa. El más básico es un curso de 4 horas que podemos hacer en la modalidad que prefiera: on line o en la propia empresa.
“TECNOideas puede realizar una auditoría de vuestros sistemas
de forma independiente, sea cual sea el equipo tecnológico
que vuestra empresa haya escogido.”
4.- ¿Mi empresa puede contratar el servicio de auditoría exclusivamente? ¿Sin tener que comprometernos a contratar más servicios de ciberseguridad? ¿Se incrementaría mucho el presupuesto destinado a las TIC?
TECNOideas puede ofrecer este servicio de forma independiente, por supuesto. Confiamos en los profesionales tecnológicos que ha escogido su empresa. La ciberseguridad es un complemento. Y nos gusta recordar que el presupuesto de ciberseguridad no es un gasto, sino una inversión. Los presupuestos de TECNOideas son personalizados y van a depender del tipo de empresa, porque podemos ofrecer precio por equipo de trabajo. No es lo mismo una pyme de 25 trabajadores que una empresa de 500 trabajadores. Pero en cualquier caso, una auditoría no viene a costar más del sueldo medio mensual de un trabajador de la empresa.
Imagen principal: kalhh en Pixabay
Si queréis saber más exactamente los detalles de una auditoría, contactad con nosotros AQUÍ.
- Publicado en Formación, General, Servicios, Sobre TECNOideas
Español 
Català