Aumento de litigios por problemas en la protección de datos y ciberseguridad
Se ha publicado recientemente en el BOE el nuevo Esquema Nacional de Seguridad (ENS), una certificación necesaria para toda empresa que trabaje con la Administración.
La nueva regulación se adapta a las diferentes leyes estatales y europeas e incide en el papel de los CISO. ¿Y dónde queda el papel del delegado de protección de datos (DPD)?
¿Qué es un CISO?
Es la persona encargada de la seguridad de los sistemas de la información. La ley obliga, en determinados casos, a tener esta figura en plantilla, siendo un activo muy valioso, que debe integrarse dentro de la estructura y organigrama de la empresa, a alto nivel.
Tiene que organizar la ciberseguridad de la compañía y es el responsable máximo del tema, así como el interlocutor con la Administración, incluidos los trámites cuando hay un percance.
No hay que olvidar que cualquier empresa, pequeña o grande, de cualquier sector, tiene una gran exposición de sus activos. Si estos no se protegen, puede llevar a la pérdida de partes valiosas de la empresa y, por supuesto, puede afectar a la continuidad del negocio.
¿Cuál es el problema?
La realidad del CISO no se corresponde con lo expuesto. ¿Cuenta con los recursos necesarios? ¿Se recorta su presupuesto desde áreas como dirección o finanzas, que poco saben de ciberseguridad? ¿Es un cabeza de turco? ¿Tiene que estar siempre en alerta? ¿Sufre burnout? Son muchos los problemas que puede tener un CISO, como podéis ver en este artículo publicado en nuestro blog. Quizá por todo ello, se permite que el CISO pueda ser externo a la empresa o incluso que forme parte de otra compañía de servicios de ciberseguridad.
Casos reales. ¿Es el CISO siempre el responsable?
Os explicamos a continuación un par de casos reales, de problemas con mayúsculas de dos empresas muy conocidas y con implantación global.
• CISO de SolarWinds.
SolarWinds es una empresa estadounidense con sede en Austin (Texas) y que desarrolla software para empresas. Unos piratas informáticos llevaron a cabo un ataque a la cadena de suministro a través de SolarWinds y violaron las redes de varios departamentos del gobierno de EE.UU., incluida la agencia a cargo del arsenal de armas nucleares del país. Todo eso como parte de una campaña mundial de ciberespionaje de meses de duración revelada en diciembre de 2020. Parece el caso más claro de “cabeza de turco”, por la resonancia que tuvo el caso, y porque le acusaron de negligencia. Resultado: lo demandaron por nada más y nada menos que 1.500 millones de dólares.
• CISO de UBER.
Este caso es diametralmente opuesto al anterior. Encubrió un posible pago de ransomware. Recordamos que pagar a ciberdelincuentes es delito. Y a este delito abría que añadir que si había sido negligente en su cargo, doble error.
Acabamos dejando claro el concepto de NEGLIGENCIA. Según la Real Academia Española es:
1. f. Descuido, falta de cuidado.
2. f. Falta de aplicación.
Conocer la legalidad
Como podéis ver, y siguiendo nuestro título de hoy, Aumento de litigios por problemas en la protección de datos y ciberseguridad las leyes cobran un protagonismo esencial. Por eso nos pusimos en contacto con uno de los despachos profesionales más especializado en Derecho Tecnológico: Tecnogados, con el que colaboramos asiduamente. Y les pedimos que nos explicaran su visión de estos temas. Y el resultado es este post compartido que estáis leyendo. Como venimos de casos reales, retoman el tema con un caso real vivido directamente.
En Tecnogados estuvimos muy atentos a la resolución de la Agencia Española de Protección de Datos, la nº E/09159/2020, respecto a la brecha de privacidad que sufrió la empresa Mapfre.
En dicha resolución, se puede leer la actuación de la compañía en relación al ataque que sufrió por la infección de un ransomware, y como la empresa una vez puesta la denuncia pertinente, comunico los hechos al INCIBE y CCN-CERT, así como publicó lo acaecido en su web y redes sociales.
De las actuaciones llevadas a cabo pudimos ver como la empresa, una vez detectado el virus, realizó una búsqueda en la web de VirusTotal y como en esa fecha el malware también era indetectable.
Mapfre también obtuvo las evidencias forenses necesarias para detectar el origen de la infección, con el fin de evitar posibles reinfecciones.
En relación a las medidas proactivas que tenía implementadas, consta que la compañía estaba suscrita a un código de conducta en materia de protección de datos y contaba con un plan de contingencia. El conjunto de actuaciones, como no pudo ser de otra manera, acabo con el archivo del expediente.
¿Y qué queremos haceros ver con todo esto? Pues que el trabajo en materia de ciberseguridad (CISO) va unido de la mano al del delegado de protección de datos (DPD). Donde el primero dice que medidas técnicas aplicar y, el segundo, que información proteger respecto a datos personales o potencialmente identificables.
Ambas figuras CISO y DPD también deberían tener una obligada colaboración, respecto a que medidas implementar en ciberseguridad y privacidad, desde el diseño y por defecto, donde la anticipación y la proactividad sean un valor para garantizar el cumplimiento normativo y así cumplir con el Reglamento Europeo de Protección de Datos, en relación a principios como la minimización de información para cumplir la finalidad del tratamiento o implementar medidas que permitan cumplir efectivamente el ciclo de vida del dato y el efectivo ejercicio del derecho de supresión del interesado.
Respecto al ENS y en relación al perfil de nuestros lectores, aquí cabría traer a colación que pasa con aquellas pymes que trabajan para la Administración, sobre todo en dos aspectos.
Primero, que requisitos tienen que cumplir estas empresas con relación al trabajo que llevan a cabo a entidades públicas y que medidas tiene que aplicar.
En este sentido, sería interesante que la Autoridad pertinente estandarizará procedimientos de cumplimiento para que cualquier proveedor de servicios de la Administración supiese que medidas tiene que aplicar.
Pero, en segundo lugar, también sería interesante para los entes públicos, el saber que requisitos tendrían que sacar en sus concursos, para que el candidato pueda garantizar un nivel óptimo de cumplimiento en materias como la ciberseguridad y la privacidad y que estos pudieran ser un factor determinante para la adjudicación del trabajo.
Por último, indicar que teniendo que ser el CISO y el DPD personas distintas dentro de la organización conforme al ENS, su labor, sin embargo, es totalmente complementaria donde, por un lado, uno aporta el conocimiento técnico y el otro garantiza el cumplimiento normativo.
Imagen principal: Pete Linforth en Pixabay
- Publicado en Ataques / Incidencias, CISO, Consultoría, Formación, Historia, Normativa, Noticias, Protección de datos, Seguridad
¿Virus solo en Windows? ¡Claro que no!
Una de las cosas que no nos cansamos de repetir es que no debemos caer en que el árbol no nos deje ver el bosque. Así que hay una tendencia a pensar que Windows es el sistema más vulnerado. Pero no se debe a que sea más fácilmente atacable, sino que se debe a que es el más extendido. Evidentemente hay opciones “malignas” para todos los demás sistemas operativos. O casi todos, porque hay sistemas minoritarios que no captan la atención de los delincuentes. Así que fuera leyendas urbanas y tened muy presente que entre los sistemas que se creen erroneamente invulnerables, dicho por usuarios, tenemos MacOs, o también Linux.
Del primero ya hemos hablado muchas veces, como en este artículo de hace ahora un año, pero de Linux poco, y eso que es el que más usamos, tanto en el día a día, como en trabajos técnicos. Últimamente hemos visto noticias y artículos explicando vulnerabilidades y malware, hecho exprofeso para estos sistemas. Pero debemos deciros que un documento del CCN-Cert nos ha llamado especialmente la atención.
Dicho articulo detalla un malware del tipo ransomware para entornos Linux (ELF64), de la familia RansomEXX, o EXX , también conocido como Defray777 o RansomX.
Lleva circulando y actuando desde el año 2018 y algunos de los casos más sonados han sido:
- Mayo de 2020: el sistema judicial y el Departamento de Transporte del estado de Texas.
- Julio de 2020: la multinacional japonesa Konica Minolta.
- Noviembre de 2020: el sistema judicial de Brasil.
- Finales de 2020: la empresa brasileña Embraer, conocida por ser uno de los mayores fabricantes de aviones civiles de la actualidad. Aparte del cifrado correspondiente, filtraron sus datos, ya que fue víctima de la doble extorsión, tan común últimamente.
Una de las vías de entrada ha sido aprovechar vulnerabilidades en el producto de virtualización VMware, que suele albergar una gran cantidad de máquinas Linux, e infecta los discos duros virtuales.
El modus operandi de los ciberdelincuentes es siempre el mismo: en cada directorio afectado se creará un fichero con el nombre “!NEWS_FOR_EIGSI!.txt” en donde se indican las instrucciones para recuperar los ficheros cifrados.
Si las víctimas pagan el rescate, recibirán una herramienta (decryptor64) con la clave privada correspondiente, con lo que podrán recuperar los ficheros cifrados.
Así pues, si tenéis máquinas Linux, tanto virtuales como físicas, no creáis que son invulnerables.
Y en consecuencia, hay que prepararse adecuadamente. Nuestras recomendaciones:
– Hay que tener siempre un inventario de todo el software, y ver y comparar las vulnerabilidades que vayan apareciendo, para aplicar los parches correspondientes si los necesitáis.
– Tener bien planificadas las copias de seguridad y los planes de impacto y de respuesta a incidentes. De esta forma un ransomware puede ser un problema, pero no EL PROBLEMA definitivo, y el negocio se vea afectado lo mínimo, y no tenga que cerrar.
Esperamos que con este artículo tengáis claro que ¿Virus solo en Windows? ¡Claro que no! Y si no tenéis un responsable que se ocupe, siempre podéis confiar en un profesional que os ayude con todos estos temas, como un servicio externo, pero como si trabajara dentro de vuestra organización. Nosotros estamos aquí para lo que necesitéis.
Imagen principal: Pete Linforth en Pixabay
- Publicado en General, Noticias, Seguridad, Sistemas operativos
¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD
Las populares marcas del mundo informático no dejan de proponernos que guardemos nuestros archivos en sus servidores. Y poco a poco frases como “Guárdalo en la nube”, “Súbelo a la nube”, “Migra al iCloud” han pasado a formar parte de nuestro lenguaje habitual, casi en el mismo ámbito de “estar en el limbo”. Y del uso particular al empresarial. Uno de los puntos fuertes de la digitalización de las empresas, en general, sean del sector que sean, es el tener una “nube”. ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Aunque técnicamente nube o cloud, pueden ser muchas cosas, la gente lo asocia, casi mayoritariamente, a tener sus archivos subidos a un servidor, y puede que compartidos con el equipo o terceros, como gestores, asesores financieros, etc.
Es aquí donde empiezan los problemas de ciberseguridad y protección de datos. Pero hay que saber que no es solamente una cosa nuestra, sino que las plataformas son así, y hay leyes de por medio, que dictan donde y cómo debemos tener nuestros datos empresariales.
El problema aumenta con las diferentes alternativas de nube que hay en el mercado, porque son muchas. Las más conocidas: Google Drive, Microsoft OneDrive, Dropbox, etc. Pero lo que deberíamos preguntarnos antes de sucumbir a la presión de los sistemas informáticos de nuestros ordenadores es: ¿Están encriptadas? ¿Cumplen la RPGD/LOPD? ¿Son fáciles de usar? ¿Tienen medios para poder auditar rápidamente? Y así, muchas más preguntas.
Antes de continuar, os recordamos las siglas: RPGD es el Reglamento Europeo de Protección de Datos y LOPD es la Ley Orgánica de Protección de Datos.
Bien, ya nos hemos formulado esas preguntas y entonces averiguamos que las nubes comunes y de pago no cumplen todo esto. ¡Tenemos que buscar otro tipo de soluciones!
Desde TECNOideas os diremos que hay una muy reconocida, muy recomendada y que además es opensource, o sea de código abierto. El tener código abierto es muy ventajoso, porque significa que cualquier persona puede ver el código del software. Y eso nos lleva a que podemos buscar proveedores de pago o montarnos nuestra propia plataforma. Tomad nota: estamos hablando de Nextcloud. Y si alguno de vosotros, que no nos conoce mucho, puede llegar a pensar que tenemos un interés especial en Nextcloud, os lo sacaremos de la cabeza diciendo que hasta el CCN-Cert lo recomienda. Lo podéis leer en ESTE enlace.
Pero… ¿qué es Nextcloud?
Nextcloud, es una herramienta completa orientada a empresas y particulares, cuya función es actuar como un servidor de almacenamiento en la nube de fotos, datos, archivos… ¡y mucho más! Está desarrollado con el objetivo de ofrecer rentabilidad y productividad a empresas, aunque su uso es completamente útil para particulares. Por ello permite una gran personalización a través de la instalación de Apps o módulos, que permite ampliar funcionalidades más completas, según las necesidades.
Eso es lo que reza en su página web, y realmente es eso y mucho más. Comienza con los archivos en la nube, encriptados, para que nadie pueda verlos, por mucho que entre a la fuerza.
Tiene aplicación de escritorio, “como las mejores”. Esto es algo que nos solicitan muchas empresas. Y también, la comunicación entre el escritorio y el servidor es encriptada. Pero por supuesto, puedes trabajar solo contra navegador.
Y además… muchas otras cosas: calendario, webmail de correo, mensajería instantánea, videoconferencia, y multitud de herramientas más, ya que al ser opensource, o sea, el código abierto a todo el mundo, se pueden realizar añadidos muy interesantes.
Nosotros por ejemplo, siempre usamos, e intentamos convencer (y casi “obligar”) a nuestros clientes, a que usen un gestor de contraseñas, como Keepass o variantes. Pues efectivamente, hay una aplicación para poder integrar este software, y gestionar todas nuestras contraseñas en la suite de Nextcloud, porque ya es eso, una suite.
Los temas de control y auditoría, por ejemplo, son todo facilidades. Un log de actividad, tanto reciente como histórico, ver archivos compartidos y con quien, etc.
Ahora lo de siempre ¿es gratis? Es opensource, eso quiere decir que os lo podéis descargar, y a partir de ahí, depende de lo “manitas informático” que seáis. Si tenéis un mínimo de conocimientos, vosotros mismos podéis instalarlo, configurarlo, mantenerlo y hacerlo funcionar.
Pero si no es vuestro caso, tenéis varias opciones, como contratarlo a un proveedor externo, que hay unos pocos en Europa (tema RPGD) o, mucho más fácil, nos lo podéis pedir a nosotros. TECNOideas os contratará un VPS solo para vuestra empresa, os lo instalaremos y lo pondremos en marcha. ¡Fácil!
Este es un ejemplo más de los servicios añadidos que TECNOideas puede ofreceros. Porque lo mejor en este mundo es adaptarse a las necesidades reales de cada empresa. Y eso significa que podemos recomendaros soluciones concretas para cada necesidad. Por eso cuando os pregunten ¿Archivos en la nube? La respuesta debería ser siempre “Sí, pero de forma segura y cumpliendo la RPGD”.
¡Contactadnos y solicitadnos un presupuesto!
Imagen principal: 200 Degrees en Pixabay
- Publicado en Consultoría, General, Noticias, Productos, Seguridad, Software libre
Español 
Català