¿Cualquier tiempo pasado fue mejor?
Imaginad que un día despertáis y al entrar en la rutina diaria ponéis una cinta de casete en un walkman para ir a hacer footing (que no running). Al llegar a casa escogéis un vinilo de los Stones para activaros. Y por la noche elegís una cinta de VHS para ver una película en vuestro magnetoscopio.
Este viaje al pasado puede incorporar ahora una cosa del presente más absoluto: cintas magnéticas para almacenar datos en lugar de subirlos a la nube. ¿Qué os parece?
No estamos hablando de ciencia ficción. Resulta que las cintas magnéticas que no hace tantos años convivían con nosotros con total armonía, vuelven. El principal motivo de la desaparición del mercado de estas cintas fue su degradación, ya que poco a poco el metal perdía su magnetismo.
Por otro lado ahora se fabrican con una tecnología conocida con el pomposo nombre de Linear Tape-Open o LTO, que desarrollan varios fabricantes, como IBM, HPE o Quantum. Se trata de una evolución de las cintas magnéticas de antaño, gracias a la evolución de disciplinas como la física, óptica, magnetismo o química.
Mejor una cinta magnética que almacenar en la nube: ¡ellas no están conectadas a Internet!
Y ahora viene lo nuevo que explica el aumento vertiginoso de las cintas magnéticas para almacenar datos: ¡¡no están conectada a Internet!! Por mucho que subamos nuestros archivos a la nube, sabemos (o deberíamos saber), que también presenta riesgos. Sin ir más lejos, el ransomware también vive bien en la nube.
Tanto es así que el almacenamiento de datos en cinta magnética creció un 35% en 2021. Son datos que recoge la revista sueca SweClockers, especializada en computadoras y hardware de computadoras.
Las ventajas de almacenar en cintas, además de no estar conectadas a Internet, son su bajo precio en relación a su enorme capacidad de almacenar datos. También se muestran ideales para archivos digitales, que a menudo dependen de sistemas automatizados. Otra ventaja es que en la actualidad ya no se corre el riesgo de perder datos con el tiempo, cosa que sí ocurre con discos duros y tarjetas SD, dos componentes que suelen usar las empresas al migrar sus datos a la nube. Y hay más, como la eficiencia energética, su escalabilidad, etc.
Pero no todo el monte es orégano y las cintas también tienen algunos problemas. Sólo pueden leer datos y escribirlos de forma secuencial, dos pasos que no se pueden hacer de forma simultánea. Por ello, su proceso de lectura es lento.
Otro posible problema es que se ven afectadas por incendios o inundaciones, aunque las empresas suelen fiarlas a compañías especializadas en su mantenimiento.
Para los nostálgicos y para los jóvenes que deseen saber mucho más sobre las cintas magnéticas, os invitamos a visitar la web de la Asociación Internacional de Archivos Sonoros y Audiovisuales (IASA). Esta institución, creada en 1969 y con sede en Ámsterdam, tiene miembros de 70 países y se dedica a conservar registros sonoros y audiovisuales.
La Conferencia anual de la IASA 2022 versará sobre “Los Archivos del futuro: Abiertos, sustentables y equitativos”.
Se celebrará en la Fonoteca Nacional de México y el Instituto de Investigaciones Bibliotecológicas y de la Información (IIBI) de la Universidad Nacional Autónoma de México (UNAM), del 26 al 29 de septiembre.
Aceptar cookies sin saber como funcionan: eso debería ser el pasado
Las cookies son resúmenes de información de nuestras visitas a páginas web. Dichos códigos pueden almacenar diferentes tipos de información según nosotros le demos permiso o no.
¿Os podéis creer que todavía hoy aceptamos galletas sin saber como funcionan?
O sea que cada vez que entramos en una web y empezamos a clicar ACEPTAR, ACEPTAR, ACEPTAR… estamos regalando información. Puede que no tengamos otra alternativa. Y puede que no nos importe.
Pero lo que debería ser imperdonable es que hoy en día el 57% de los usuarios españoles admita que no tiene ni idea de para que sirven las galletas. Y hasta un 60% acepta las cookies sin saber que tipo de permisos estamos dando al navegador de turno, o a la empresa con la que interaccionamos.
Estas cifras son las que aparecen en un estudio que ha realizado Avast, la popular compañía que posee un software de seguridad y antivirus del mismo nombre. Avast ha aprovechado este informe para hacer una divertida campaña de concienciación.
Bajo el hashtag #AcceptAllCookies?, una chef pastelera prepara una deliciosa receta de galletas de almendras, limón y canela. Y claro, el paralelismo con las galletas dfigitales es evidente, incluso al explicar la receta y sus ingredientes de seguridad. La podéis ver en este enlace.
Para terminar con las cookies, os recomendamos volver a leer este artículo que publicamos en este blog en 2020, sobre el uso de las galletas según los nuevos criterios de la AEPD de entonces y que sigue vigente.
Imagen principal: Nikita Korchagin en Pexels.
- Publicado en Consultoría, Estudios, General, Noticias, Productos
Ciberseguridad a golpe de ley
Aunque ya se sabe que las leyes suelen ir por detrás de lo que ocurre en nuestra sociedad, a veces no queda más remedio que legislar, legislar y volver a legislar. Podemos asegurar que eso es lo que está pasando con la ciberseguridad. Intentar que los aparatos que compramos, conectamos y usamos sean ciberseguros en una sociedad hiperglobalizada y conectada es una quimera. Es por ello que quizá solo sea posible la ciberseguridad a golpe de ley.
En TECNOideas no cesamos de poneros en alerta frente a cosas que podríamos considerar de ese sentido que es el menos común de los sentidos. En nuestros cursos de ciberseguridad en el teletrabajo o en algunos de nuestros artículos ya advertimos del peligro de tener tantos aparatos en casa conectados a un rúter poco fiable, instalado por nuestro proveedor de servicios de telefonía y/o de acceso a Internet.
Ahora nos llega ¡por fin! la noticia de que la Comisión Europea ha decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Lo hará a través de la Ley de Resiliencia Cibernética que está preparando actualmente.
¿Cuál es el problema?
Imagen de manuelwagner0 en Pixabay
En nuestros hogares cada vez tenemos más aparatos conectados. Desde electrodomésticos como la nevera o los robots aspiradoras hasta los juguetes o consolas de todo tipo, pasando por cámaras de seguridad y de videovigilancia, termostatos o incluso todo el apartado de la domótica doméstica. Las ventajas que ofrecen en cuanto a conectividad, para poder recibir órdenes desde la nube o desde una App no van acompañadas de las medidas de seguridad adecuadas.
Todo esto además, se acompaña con conexiones a través de rúters poco seguros. Así, por ejemplo, solo solemos usar uno de los cuatro puertos que tienen la mayoría de rúters que hay en nuestros domicilios.
Naturalmente todo esto es un objetivo muy deseado por los ciberdelincuentes. Ellos pueden acceder sin demasiados problemas a todas las informaciones que se acumulan en estos aparatos.
Para que esto no sea posible Europa pretende aumentar los bajos estándares de calidad actuales de los softwares que contienen todos estos dispositivos IoT. Y lo hará a través de la nueva Ley Europea de Ciberresiliencia que debe aprobarse este mismo año.
La ley prevé que los fabricantes de todos estos aparatos tendrán que pasar un test de conformidad relacionado con la ciberseguridad. Será imprescindible para poder ser comercializados en Europa. Para ello deberán tener medidas de seguridad como:
• Tener credenciales robustas.
• Cerrar puertos que no sean necesarios para su buen funcionamiento.
• Garantizar la seguridad durante todo el ciclo de vida del aparato. Esto obligará a los fabricantes a actualizaciones periódicas.
• Habrá cinco categorías: fabricación, finanzas, energía, transporte y las relativas a los domicilios (Smart Home), donde se habla extensamente de los rúters domésticos.
Si estáis interesados en conocer más exhaustivamente los requerimientos de seguridad que deben seguir los aparatos IoT e ICT, podéis consultar este estudio de la Comisión Europea.
También os invitamos a leer este artículo de Bandaancha.eu, una web de noticias y artículos, también colaborativos, dedicados al amplio mundo de Internet.
Aprobada la Ley de Ciberseguridad 5G
Seguimos con el tema legal. La semana pasada el pleno del Congreso convalidó finalmente la Ley de Ciberseguridad 5G que el Gobierno aprobó a finales de marzo. Se trata de una ley que incorpora al marco legal español las medidas consensuadas por la Unión Europea. Estas medidas recogen una serie de claves que identifican las principales amenazas y vulnerabilidades que pueden darse en el despliegue de las redes 5G. Entre los aspectos destacados de la ley hay que citar que el Gobierno deberá publicar de forma periódica una lista de proveedores de riesgo. Para ello los proveedores se van a clasificar como de bajo, medio y alto riesgo. Tendrán un plazo de cinco años para sustituir los elementos críticos de red proporcionados por ellos mismos.
Podéis leer las claves más importantes de la ley en este artículo del portal Zonamovilidad.es, especializado en tecnología móvil en España.
Para terminar, deciros que junto a la convalidación de esta ley el Congreso también convalidó la Ley General de Telecomunicaciones. Con ella se transpone finalmente el Código Europeo de las Comunicaciones Electrónicas. Precisamente Europa ha reclamado insistentemente a España que esta transposición se llevara a cabo.
Lo que os decíamos al principio: Ciberseguridad a golpe de ley. Y es que tanto la Unión Europea como las diferentes reglamentaciones de cada uno de sus países intentan adelantarse a la problemática de la ciberseguridad. Los ciberdelincuentes seguirán actuando. Pero unas leyes que obliguen a tener muchas más precauciones a fabricantes, proveedores y empresas de servicios se lo van a poner más difícil.
Nosotros seguiremos predicando no solo en el desierto, para que empresas grandes y pequeñas, autónomos y particulares tengan presente que nuestros servicios son necesarios y son una buena inversión y no un gasto.
Imagen principal: Sang Hyun Cho en Pixabay
La campaña de la renta, un chollo para ciberdelincuentes
La campaña de la declaración de la renta puede ser uno de los momentos en que nuestros datos estén más expuestos a la ciberdelincuencia. No debemos olvidar nunca que “los malos” acechan y aprovechan cualquier resquicio para actuar. Hoy os explicamos un par de ejemplos de como aprovechan nuestras debilidades. Por un lado la campaña de la renta, con un trasiego sin fin de datos por la red y por otro lado, las falsas ofertas de empleo que esconden un blanqueo de dinero. A las personas que caen en este engaño se les llama muleros, porque acaban transfiriendo dinero de una cuenta a otra a cambio de una comisión.
No hay nada más suculento para unos ciberdelincuentes que una campaña online masiva organizada desde la Administración. Y eso es exactamente lo que ocurre con las presentaciones online de las declaraciones de la renta.
Para empezar, el contribuyente puede solicitar sus datos a la Agencia Tributaria, accediendo al servicio de tramitación del borrador de la declaración. El sistema es bastante seguro, ya que se precisa un sistema Cl@ve PIN, un DNI electrónico o un certificado electrónico.
Pero no todo el monte es orégano y hay que recordar que también hay un servicio online de ayuda. Un simulador que no requiere identificación previa ni datos fiscales válidos de los usuarios. Nos estamos refiriendo al servicio Renta Web.
La Agencia Tributaria también tiene el servicio de declaración de la renta vía móvil, tanto en AppStore como en Play Store. Naturalmente para usar este servicio la identificación es obligada.
Todos estos procedimientos suelen ser seguros, pero nunca deberíamos fiarnos al cien por cien. Pero lo peor está por llegar, porque muchos ciudadanos, lo que hacen con sus borradores, facturas, datos, etc. es enviarlos por correo electrónico a sus gestores. Y ahí sí que nuestra desprotección es abismal.
Según la empresa Fortinet, especializada en soluciones de ciberseguridad automatizadas, los ciberdelincuentes buscan especialmente propietarios de pequeñas empresas (porque suelen estar más desprotegidos), nuevos contribuyentes menores de 25 años (porque no tienen experiencia en tramitar sus declaraciones) y mayores de 60 años (porque suelen cometer errores de seguridad).
A todo esto se le añaden las campañas de phishing que suplantan a organismos de la Administración, como el Ministerio de Hacienda o la propia Agencia Tributaria. Y las de vishing, que consisten en llamadas telefónicas de personas que dicen trabajar para estos organismos y solicitan datos personales. Bitdefender, por ejemplo, identificó a principios de abril, una campaña de malware spam que utilizaba falsas solicitudes para reclamar pagos de IVA pendientes.
En este artículo publicado hace unos meses comentábamos también estas técnicas que usan los ciberdelincuentes para robar contraseñas AQUÍ.
Los muleros y el blanqueo de dinero
Pasar dinero de una cuenta bancaria a otra para blanquear dinero es una práctica que se puso en marcha hace ya muchos años. Pero los ciberdelincuentes la mantienen, porque les supone un negocio redondo. El engaño comienza con un falso anuncio de trabajo en el que se promete dinero fácil trabajando solo unas horas al día y desde casa, gestionando pagos y cobros. La realidad es que la persona que se interesa por este “trabajo” lo que acaba haciendo es blanquear dinero, transfiriéndolo de una cuenta a otra a cambio de una comisión. A este tipo de “trabajadores” se les llama muleros.
Y están de moda porque los cibercriminales vuelven a reclutarlos gracias a la banca online y el uso de aplicaciones móviles. Según un informe de la compañía ESET, especializada en software de ciberseguridad, el robo de dinero desde cuentas bancarias ha aumentado considerablemente. ¿Por qué? Pues porque ahora los mensajes de trabajo llegan directamente a los móviles de los usuarios de forma indiscriminada. Y porque ahora incluso llegan a ofrecer falsos contratos de trabajo.
El tema es grave, porque puede acarrear consecuencias penales a los incautos que realizan estas transferencias desde sus domicilios. Tanto es así que la Policía Nacional no dudó en hacer una campaña de concienciación.
Podéis leer más atentamente el modus operandi de esta práctica en este artículo del blog de ESET firmado por Josep Albors, Director de Investigación y Concienciación de ESET España.
- Publicado en Ataques / Incidencias, General, Protección de datos
IntelCon 2022: la comunidad Ginseg empieza los preparativos
El Congreso online gratuito de Ciberinteligencia IntelCon 2022 empieza a andar. La edición de este año tendrá lugar en el mes de julio. Pero a partir de hoy, 1 de abril, ya se abre el CFP o Call for Papers. Como en años anteriores, TECNOideas apoya este certamen, uno de los más destacados del calendario del sector.
El Call for Papers es lo que se conoce en el mundo académico como un llamamiento para contribuciones o para publicar. Es decir recoger artículos o propuestas de conferencias para un congreso, que en este caso se trata de uno de los certámenes más importantes del mundo de la ciberinteligencia, como ya os hemos ido informando en ediciones anteriores de IntelCon. Podéis leer el artículo sobre IntelCon 2021 que publicamos en este blog. Pero si estáis más interesados en saber los objetivos de los organizadores y el trabajo que realiza la Comunidad de Ciberinteligencia Ginseg es animamos a leer la charla que mantuvimos con Iván Portillo y Wiktor Nykiel el año pasado y que publicamos en agosto, justo cuando empezaba el congreso 2021, que fue 100% online.
Apúntate ahora y da a conocer tus propuestas, estudios, descubrimientos…
¿Quieres participar dando una ponencia o taller relacionado con la Ciberinteligencia? Actualmente está abierto el CFP para ponentes con la siguiente estructura:
- Impartiendo alguna de las sesiones del itinerario (45 minutos)
- Impartiendo sesión práctica a modo taller (90 minutos con descanso)
- Presentando CFP libre (30 y 45 minutos). Opción de presentar anónimamente bajo un pseudónimo una charla, debido a temática de carácter especial / confidencial.
- Presentando solución, producto o servicio relacionado con la temática del congreso, con esponsorización de los patrocinadores (30 y 45 minutos).
IntelCon 2022: la comunidad Ginseg empieza los preparativos. El congreso os espera, así que SAVE THE DATE!!! La cita es a finales de julio.
Si estáis interesados, tenéis más información AQUÍ.
Y si queréis ver todo lo que sucedió en el congreso del año pasado, los temas y ponentes, clicar AQUÍ.
Día Internacional de la Mujer: situación del sector de la ciberseguridad
En el año 1975, la Organización de las Naciones Unidas proclamó el 8 de marzo como el Día Internacional de la Mujer. Fue el reconocimiento oficial a una lucha de más de cien años durante los cuales se han reivindicado los derechos básicos para las mujeres de todo el mundo. Hoy hemos querido ver como anda el ámbito tecnológico en general y el de la ciberseguridad en particular en cuanto a igualdad y empleabilidad.
Realmente el tema tecnológico debería ser uno en el que menos hubiera discriminación salarial o techos de cristal. Pero algunas cifras nos demuestran que no es así. Según el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, (ISC) 2, la presencia de mujeres en el sector de la ciberseguridad a nivel mundial es de tan solo un 24%. Lo podéis leer AQUÍ.
Hay varios estudios que ponen de manifiesto esto, como el 2017 Global Information Security Workforce Study: Women in Cybersecurity que firman varias instituciones.
“2017 Global Information Security Workforce Study”.
Pero en lo que todo el mundo parece estar de acuerdo es en que la ciberseguridad necesita mujeres. Según Winifred R. Poster, profesora de asuntos internacionales en la Universidad de Washington, St. Louis, Missouri, las mujeres representan solo el 11% de los profesionales de la ciberseguridad en todo el mundo y solo el 14% en América del Norte. Además recuerda que el cibercrimen exacerba las desigualdades, ya que un millón más de mujeres estadounidenses que de hombres sufrieron robo de identidad en 2014. Tanto es así que asegura que “el futuro de la ciberseguridad depende de su capacidad para atraer, retener y promover a las mujeres, que representan un recurso altamente calificado y poco explotado. La disciplina también necesita aprender sobre las experiencias de las mujeres como víctimas del delito cibernético y los pasos necesarios para abordar el desequilibrio del daño.” (Revista Nature, mayo 2018.)
Sin embargo, históricamente ha habido grandes mujeres trabajando en ciberseguridad. En el mismo artículo de Nature se cuenta algunos de los casos más interesantes, como las codificadoras de mensajes cifrados de la II Guerra Mundial. Pero… ¿por qué estas mujeres no son conocidas, y ha costado tanto reconocer su trabajo? Sin duda esta falta de mujeres a las que tener como “ídolas” a seguir, motiva que muchas mujeres de nuestro entorno sigan sin ver posible estudiar y trabajar en posiciones importantes dentro del mundo de las TIC. Y eso a pesar de que las candidatas para trabajos de seguridad cibernética tienden a tener más estudios y preparación que los hombres:
• Las mujeres profesionales tienen más probabilidades de tener un máster o un título superior (51 % de mujeres en todo el mundo, en comparación con 45 % de hombres).
• Las mujeres también tienden a aportar una experiencia más amplia. Aunque tanto hombres como mujeres se capacitan extensamente en informática, información e ingeniería, es más probable que los títulos de las mujeres provengan de campos como negocios, matemáticas y ciencias sociales (44% para mujeres, en comparación con 30% para hombres).
Otro problema es el referido a las actitudes sexistas que siguen abundando actualmente, por ejemplo, en el deseado californiano Silicon Valley. En el año ¡¡¡2017!!!! un empleado masculino de Google filtró un memorando en el que se argumentaba que “las mujeres son biológicamente inadecuadas para el campo de la tecnología”. El gobierno federal de EE.UU. ha presentado demandas contra empresas tecnológicas por discriminación salarial por motivos de género.
Sin irnos de nuevo a Estados Unidos, vemos que la situación es parecida en nuestro país. Según el Barómetro del sector tecnológico y su ecosistema en Cataluña 2021, que elabora la Fundación Cercle Tecnològic de Catalunya, Ctecno, “la mujer ha tenido hasta ahora un rol mucho más presente en tareas financieras, administrativas o de marketing, que no en posiciones relacionadas con el núcleo de negocio como por ejemplo operaciones o sistemas. Un año más se ve como las incorporaciones de mujeres en estas posiciones TIC siguen están en niveles muy inferiores al deseado, haciendo que la desigualdad entre mujeres y hombres siga siendo muy grande. Cómo podemos observar en los resultados obtenidos en esta edición del barómetro, solo un 6% de las posiciones TIC de las empresas catalanas están ocupadas por mujeres”.
Pero también España tenemos buenos ejemplos que deberíamos seguir. Es el caso del evento Ciberwoman, organizado hace unos años por Ciberenred, una plataforma de concienciación sobre ciberseguridad. Otro buen ejemplo es el foro #mujeresciber, que trata la brecha de género en digitalización que organiza el INCIBE.
Estamos seguros que en los próximos años tendremos muchas más mujeres en nuestro sector. Cada vez hay más opciones de estudiar ciberseguridad, como nos contó en esta entrevista Amador Aparicio, ingeniero informático y docente.
Y puestos a recordar entrevistas, no puede faltar hoy aquí la que realizamos a Yolanda Corral, mujer cibersegura desde diversas vertientes: periodista, conferenciante, formadora en ciberseguridad, presentadora de eventos… Un ejemplo donde muchas de las mujeres que siguen nuestro blog pueden verse reflejadas.
Finalmente no olvidemos que Paz Esteban es la actual directora del Centro Nacional de Inteligencia y Rosa Díaz es la directora general del INCIBE.
Si estáis interesados en conocer un poco la historia del 8M, podéis enlazar con la web de las Naciones Unidas. Cada año hay un tema específico y para este 2022, es “Igualdad de género hoy para un mañana sostenible”. Los motivos se explican en la web ONU Mujeres.
Finalmente, para las cinéfilas y cinéfilos os recomendamos esta lista de películas sobre mujeres inspiradoras.
Imagen principal: cartel del Día Internacional de la Mujer 2022 en la web ONU MUJERES.
¿Cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?
Desde hace algún tiempo se habla mucho de los certificados digitales. Se trata de un medio que garantiza la identidad de una persona, empresa o entidad en Internet. Permite realizar trámites con la Administración y otros portales, de forma más segura, rápida y cómoda. Para los autónomos y sociedades es fundamental contar con un certificado digital, ya que la Agencia Tributaria obliga a presentar una serie de documentos de forma telemática. Pero… ¿cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?
El problema de los certificados digitales llega cuando es un gestor o un despacho profesional o una empresa que se ocupa de todos los trámites de sus clientes. Y….
● … ¿qué pasa entonces? Lo que suele ocurrir es que solicitan una copia y la contraseña del certificado digital a sus clientes.
● ¿Y qué ocurre? Que ese certificado y su contraseña va de mano en mano cada vez que alguien de la oficina debe hacer un trámite. Porque normalmente el que se ocupa de la Seguridad Social es uno y el que hace la declaración de la renta es otro. Y así sucesivamente, porque son muchas las gestiones con la Administración: realizar consultas y/o peticiones, enviar documentación o firmar documentos para la Agencia Tributaria, la Dirección General de Tráfico y muchas otras. Así lo explican en la web de Holded, un útil programa de gestión para empresas, y que nosotros usamos en nuestro día a día.
● ¿Y si el trabajador de la empresa teletrabaja? Pues se lleva el certificado y la contraseña a su ordenador personal
–si no tiene de empresa– para realizar los trámites desde su domicilio.
● ¿Dónde guarda la empresa este certificado? Normalmente en una carpeta que forma parte de un árbol de clientes donde se acumulan los certificados de todos ellos.
● Pero eso, ¿cumple la ley de Protección de Datos? Evidentemente, no.
● ¿Y a efectos de ciberseguridad, qué nivel de seguridad es ese? Está claro, ¿no? ¡Ninguno!
● ¿Qué ocurre si es despacho profesional, gestoría o empresa desea certificarse con la ISO 27001, otra normativa, o pasar una auditoría externa? Pues que no va a poder ser. Uno de los primeros ítems que se precisa es tener muy bien preservado los datos sensibles como es un certificado digital.
¿Qué es exactamente un certificado digital?
Un certificado digital no es más que un fichero informático firmado electrónicamente por un prestador de servicios de certificación, como podéis leer en la Wikipedia. Normalmente existen dos claves, una privada y otra pública y trabajan de forma complementaria.
Tenéis información al respecto en el portal de la administración electrónica del Gobierno AQUÍ.
Estos certificados digitales se pueden obtener en diferentes lugares, pero el más usado y típico es obtenerlo a través de la Fabrica Nacional de Moneda y Timbre, siguiendo las instrucciones que encontraréis en su web. El trámite es relativamente sencillo, aunque a veces parece que cuesta sacarlo. Por supuesto hay que pagarlo, entre 14 y 29,04 euros, para las personas jurídicas.
Otra cosa importante es que hay que estar atento a su caducidad, que suele estar en torno a los dos años. Puede renovarse hasta dos meses antes de la fecha final.
¿Cómo gestionar estos certificados?
Se suelen guardar como copia, en una carpeta, casi siempre sin contraseña, tanto en el repositorio, como en el mismo certificado. El certificado se instala localmente en cada máquina de cada usuario, lo que implica que las gestiones se deben hacer con el mismo navegador con el que se ha obtenido o importado. Con él se se suelen realizar una o varias peticiones, al año, trimestre o mes, según las necesidades de cada cual. Pero ¡cuidado!, porque normalmente la trazabilidad, gestión, y control, es ínfimo.
Hay que saber que el mercado ofrece varias opciones para gestionar los certificados digitales, tanto propios como de terceros, tanto integrados en programas de gestión, como en webs, aplicativos o a través de servidores on-premise, o en cloud. No os asustéis por estos términos. Un software on-premise no significa otra cosa que se instala en los servidores y dispositivos locales de las empresas, a diferencia del cloud, en cuyo caso los servidores están en la nube.
Nosotros, ya que era una necesidad constatada de nuestros clientes, hemos empezado a trabajar con uno de los mejores softwares, Redtrust, que es de una empresa española, adquirida el año pasado por la empresa de Estados Unidos, Keyfactor.
Redtrust es una solución que permite el uso seguro, controlado y centralizado de los certificados digitales de vuestra empresa y vuestros clientes, sin que estos lleguen a estar almacenados en las estaciones de trabajo de los usuarios.
Su software permite hacer todo lo que necesita una empresa con muchos certificados, TANTO SUYOS COMO DE TERCEROS, ya sea a través de una solución en servidor propio, dentro de la empresa, o en una máquina virtual o cloud. El listado de acciones es enorme, pero aparte de subirlos a un repositorio seguro, etiquetarlos, asignarles usuarios o grupos, se puede dar permisos de uso, de firma, a usuarios, a URLs concretas o acciones.
Si el usuario que tiene que hacer alguna gestión tiene muchos certificados asignados, puede, antes de realizar dicha gestión, buscar en el agente que se instala, los certificados a usar, para que no tenga que mirar el listado interminable en la ventana emergente que sale en este tipo de acciones.
Finalmente tenemos avisos por uso debido o indebido, o un registro con todas las acciones, para auditar todas las acciones y ver si concuerdan. Esto nos evitará, duplicidades (o muchas más) instalaciones de certificado, que cualquiera pueda consultar datos, o lo que es peor, realizar acciones no demandas, y sobre todo tener un control exhaustivo de nuestros certificados, y de su caducidad, para adelantarnos, y evitarnos las engorrosas gestiones de una vez caducados.
¿Es vuestro caso?
¿Gestionáis multitud de certificados digitales y no sabéis cómo controlarlo?
Pensad que sois responsables de esos certificados y de las acciones que se realicen.
Así que si necesitáis ayuda con este tema no lo dudéis y poneros en contacto con nosotros.
TECNOideas puede daros este servicio, de forma aislada si lo deseáis. Es decir que no es necesario que nos ocupemos de vuestras redes para daros este servicio,
aunque sí es recomendable, claro.
Imagen principal: Gert Altmann en Pixabay.
- Publicado en Análisis forense, Consultoría, Privacidad
Explicando nuestros servicios (II): CISO externo
Después de nuestro último artículo en el que explicábamos nuestro servicio de auditoría, hoy queremos adentrarnos en el mundo de los CISO. Porque sigue siendo un gran desconocido en todo el entorno empresarial que no esté estrechamente ligado a temas tecnológicos.
La verdad es que poco a poco vamos cayendo en el lenguaje anglosajón y sus derivados. Por ello las funciones que se desarrollan en lo alto de la cúspide de una empresa han pasado a ser conocidas por siglas. El ejemplo más claro y usado en la actualidad es el del CEO, que se corresponde con el cargo más alto del organigrama empresarial y que vendría a ser el director ejecutivo o gerente o director general. Pero hay muchas más siglas para definir estos cargos. Lo podéis leer en este artículo de la web del INCIBE.
Pero… ¿qué porras es un CISO?
CISO viene del inglés, Chief Information Security Officier. O sea director de seguridad de la información. Este cargo que parece salido de una novela de Ian Fleming o de John le Carrée es esencial, porque se ocupa de alinear la seguridad de la información con los objetivos de negocio de su empresa. O sea, es el responsable de que toda la información de la empresa está bien protegida. Por lo tanto es un cargo ejecutivo, cuya función está muy próxima a las grandes decisiones de la dirección de la empresa.
¿Qué responsabilidades tiene?
Cada empresa tiene unas peculiaridades propias, según el sector, el tamaño, la actividad… Pero hay una serie de responsabilidades generales que resumimos a continuación:
- Responsabilizarse de organizar la arquitectura de seguridad de su empresa.
- Garantizar la seguridad y la privacidad de los datos de la empresa, de sus trabajadores y proveedores.
- Supervisar el control de acceso a la información y documentos más sensibles de la empresa que define la dirección general. ¿Quién debe tener acceso a qué?
- Responsabilizarse de la rápida respuesta ante incidentes de seguridad y/o ciberataques.
Es muy importante señalar que las funciones del CISO van variando continuamente, porque la ciberseguridad es como un ente vivo, que va modificándose constantemente. Nuevas leyes, nuevas normativas, nuevas formas de actuación por parte de los ciberdelincuentes, etc. Por ello exige que el CISO esté siempre al día y se encargue de nuevos roles impensables hace unos años.
En España, ¿qué sectores están obligados por ley a contar con un CISO?
Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO. Concretamente:
Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, que tengan su residencia en España.
Tenéis más información al respecto AQUÍ.
“La ley permite que las empresas obligadas a ello, tengan un CISO EXTERNO.
Es la mejor opción para una gran mayoría de pymes.”
¿Cuál es la problemática actual de los CISO de una empresa?
Hay varias problemáticas que cualquier empresa debe afrontar con el cargo del CISO. Vamos a enumerar las más frecuentes.
- Recursos Humanos. Es un cargo ejecutivo y de mucha responsabilidad. Por ello se requieren profesionales muy cualificados y experimentados. No abundan los profesionales con este perfil y los que hay tienen una retribución bastante elevada.
- ¿Un puesto desatendido? El CISO puede enfermar, tiene que disfrutar sus vacaciones y tiene los fines de semana libres. Pero los problemas en los sistemas de seguridad no saben de todo esto y los ciberdelincuentes sí. Pueden producirse incidentes en cualquier momento.
- El aumento constante de los incidentes por parte de ciberdelincuentes ha motivado que algunos CISO prefieran ocupar otros puestos de menor responsabilidad dentro de la empresa debido al estrés constante que lleva implícito el cargo de CISO y el subsiguiente burnout (estar “quemado”).
Podéis leer algunos de los problemas de los CISO en ESTE ARTÍCULO. - Cierto que el CISO puede contar con un pequeño equipo que siga sus instrucciones. Pero normalmente no suele ser de la empresa, sino externos, subcontratados. Ergo… ¿por qué no externalizar el servicio de CISO desde el principio?
¿En qué consiste el servicio de CISO EXTERNO que ofrece TECNOideas?
- Auditoria de la infraestructura, poco a poco durante los primeros meses.
- Auditoría de políticas, o creación de las mismas, para auditorias externas, Isos, otras normativas, etc.
- Revisión de assets (activos) públicos y correo electrónico (dominios propios).
- Monitorización remota 24 horas al día. Aparte de realizar un inventario de la infraestructura, se hace un análisis comparativo de posibles trazas de malware, de vulnerabilidades específicas de software o hardware, etc.
- Campaña phising simulada, periódica.
- Formación. Porque todas las medidas pasan por el eslabón más débil, el empleado. Hay que concienciarlo y hacerle participe de las políticas de la empresa en cuando a ciberseguridad.
- Gestión de planes: anuales, bianuales, planes de recuperación, contra incidentes, etc.
- Recomendaciones. Todo lo que veamos que se puede mejorar, o necesite la empresa, lo haremos, en los informes mensuales, trimestrales o anuales.
“Una de las ventajas de contar con TECNOideas como CISO externo
es su servicio de monitorización constante 24/7.”
¿Qué ha de valorar un CISO según la ley española y que ofrece TECNOideas?
- Análisis y gestión de riesgos. Infraestructura interna y protocolos.
- Gestión de riesgos de terceros o proveedores. Revisar tanto contratos como técnicamente servicios que contrate el cliente.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Serie de recomendaciones según lo que se descubra.
- Gestión del personal y profesionalidad. Formación, formación y formación.
- Adquisición de productos o servicios de seguridad. Comprar e instalar o bien asesorar sobre cualquier software o hardware que precise la empresa.
- Detección y gestión de incidentes. Monitorización, e intervención cuando sea necesario.
- Planes de recuperación y aseguramiento de la continuidad de las operaciones. Gestión, control o asesoramiento en temas de backups, y por supuesto, simulaciones para recuperación de datos.
- Mejora continua.
- Interconexión de sistemas.
- Registro de la actividad de los usuarios.
“Es muy importante señalar que las empresas
deben facilitar los medios y poner todo el empeño
en realizar sus tareas, para llegar a los objetivos planteados.”
No lo dudéis: tener un CISO EXTERNO es la mejor opción de ciberseguridad para vuestra empresa.
Consultad como podemos ayudaros y pedidnos un presupuesto:
os sorprenderán nuestras tarifas escalables según vuestras necesidades.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Entrevista a FlagHunters by HackMadrid
Como sabéis los que nos seguís habitualmente y los que no, os lo explicamos ahora, nos encantan las conferencias donde se comparte conocimiento de y para hackers o futuros hackers. Por ello intentamos colaborar, en la medida de lo posible, en cuantas más mejor.
Hace ya un par de años que empezamos a colaborar con HackMadrid y su TechParty. Así que cada vez que se lían la manta a la cabeza, intentamos estar a su lado.
Para que no haya malentendidos y por si todavía tenemos a alguien que ignora el significado real de la palabra hacker, debéis leer este artículo de nuestro blog y su segunda parte, que tenéis AQUÍ.
Una vez ahuyentado el miedo a la palabra nos adentramos en lo que es HackMadrid. Ya os adelantábamos en la introducción que se han hecho fuertes en la organización de CTFs, tanto para ellos, (el último fue en abril), como para otras CON de España. Os recordamos que un CTF es un juego, que toma el nombre del inglés Capture the Flag.
Hoy charlamos con los responsables de la organización de estos CTFs, para que nos expliquen cómo surgió, qué hacen, cómo lo hacen y lo que nos espera en el futuro.
Para empezar, para los que todavía no os conocen, ¿qué es HackMadrid y HackBarcelona? ¿Y flagHunters?
HackMadrid es una comunidad no solo orientada al hacking sino a la tecnología y la filosofía de vida del hacker, esta orientada para todos los niveles, desde los que se quieran iniciar hasta para los mas avanzados.
Hackbarcelona parte de esa misma filosofía, buscando emular y compartir con esencia propia lo mismo de una manera regional mas arraigado en la zona de Cataluña.
Buscan compartir el conocimiento con el mismo formato, que vendría a ser charlas, talleres CTFs, etc.
Por otra parte, flagHunters nace como equipo de CTF para HackMadrid que luego, por su peculiaridad, se amplió a todo el ámbito nacional e internacional. Tenemos jugadores de casi todas las regiones de España y nuestra estrella es de Bolivia.
¿Como surgió la idea de organizar vuestro primer CTF? ¿Y lo de ayudar a otras CON?
Pues nace de la misma forma en que nace el equipo. Si se tiene un equipo para jugar, también el equipo esta en su deber formativo y de retribución de poder crear contenido para los demás, para compartir conocimiento.
Lo de ayudar a otras CONs, va de lo mismo es dentro de la misma ambicion de compartir y colaborar, es llegar y prestar servicio a aquellos que necesitan ayuda, en este caso la de nuestra especialidad.
Hemos hablado algunas veces en este blog de los CTF. Pero para los que aún no lo saben, ¿podéis explicarlo? ¿Cómo ayuda a los hackers o posibles o futuros?
El CTF para resumir, es un juego de conocimiento, en donde hay una series de retos que hay que superar para ir consiguiendo banderas dentro de los mismos. Las banderas tienen una puntuación que se va acumulando y al final gana el que tiene mas puntos.
La parte que ayuda a los demás es precisamente la parte del conocimiento, pues estos retos ayudan a compartir diferentes puntos de vista, tanto del creador como de los que resuelven el reto. Por un lado los que resuelven adquieren conocimiento nuevo, además de desarrollar ese “músculo” tan preciado que es el cerebro. Este nuevo conocimiento adquirido, si se comparte, pues se comparten diferentes soluciones a un mismo problema. Luego está el lado del desarrollador de los retos, que comparte su problema y también su solución.
Ya organizáis, y corregirnos si nos equivocamos, los siguientes CTF:
World party 2020, MorterueloCon, MoonCTF, HBSCon, World party 2021. Y además tenéis en mente PaellaCTF, que forma parte del World Party 2021 ¿Alguno más?
Pues sí, queremos como objetivo de equipo, establecer dos CTF por año. Serian el MoonCTF y el PaellaCTF (CTF que variará la temática), además de seguir colaborando con nuestras CONs amigas.
“Un CTF es un juego de conocimiento, en donde hay una series de retos
que hay que superar. Hay una parte importante de ayuda a los demás
para compartir conocimiento.
Si se tiene un equipo para jugar, también el equipo esta en su deber formativo.”
Con esta influencia a nivel de CONs y CTF, casi podríais montar una liga nacional. ¿Os atreveríais? ¿Qué ayuda necesitaríais? Nos referimos tanto a nivel organizativo como humano y económico, a ver si alguien que nos lee se anima a echar una mano.
Pues es la idea que tiene el loco de Specter metida en la cabeza. Sinceramente, la idea, no solo a nivel nacional, sino también internacional, es que si se juntan bien las cosas, pues sí somos capaces de atrevernos y creemos que podemos realizarlo con las manos adecuadas.
Lo que más necesitamos, como punto numero uno y más allá de los egos, es una unificación organizativa de empresas que quieran participar y meterse. Lo segundo que necesitaríamos es un acuerdo entre las diferentes CONs que quieran participar en el proyecto. Ambos serian sobre todo para la parte de capital dinerario, para los premios, que es lo que motiva bastante a la participación y apoyo a los equipos (transporte, mercadería, dietas, alojamiento, etc.). Pero también para la parte de difusión y atracción del publico local en las diferentes regiones. Por ultimo y no menos importante, estaría el factor humano, que sería principalmente los hacedores de retos, para que así todos pudieran disfrutar.
Soléis tener entre 200 y 300 participantes. ¿Cuál es el perfil tipo? ¿Podéis hablarnos un poco de ellos… edades, si son profesionales del hacking, qué nivel tienen, de qué países son mayoritariamente, etc.?
De los que solemos conocer en las redes las edades son muy variadas. No se puede definir un rango concreto, esto está casi como los puzles de 10 – 99 xD- El nivel de profesionalidad igual, vienen de todos los niveles, incluso gente que ni ejerce. Y del tema de países, de momento podemos hablar de todo lo que es habla hispana, cosa que quisiéramos que se ampliara.
¿Cuál es la principal barrera para que haya aficionados que no se atrevan a dar el paso e inscribirse? ¿El nivel? ¿El miedo a no estar a la altura? ¿Qué les diríais para que se animen?
Pues que no tengan miedo. Y mucho menos con nosotros, ya que aquí hay para todo y de todo. Recuerden que el conocimiento nos hace libres.
Faltan pocos días para que comience el Paella CTF 2021.
Os podéis registrar AQUÍ.
- Publicado en Entrevistas, Evento, General
¡Quiero estudiar ciberseguridad!
No todos los años comienzan el 1 de enero. Porque hay muchos años en nuestro mundo. Y no hablamos de los calendarios de otras culturas, sino de algo mucho más cercano, como el año escolar, que naturalmente tiene su inicio en septiembre. Por eso hemos querido hoy explicaros que la demanda de estudios de ciberseguridad va en aumento. Y las opciones de formación, también.
Diversos análisis preveían que las ofertas de trabajo en ciberseguridad en el año 2022 se triplicarán. Los cálculos realizados por el Centro para la Ciberseguridad y Educación (ISC)2 en 2017 indicaban que en el 2022 habría 1,8 millones de empleos sin cubrir en todo el mundo. De ellos, 350.000 en Europa. En este artículo del diario EL PAÍS tenéis más información sobre ello.
La siempre mal tratada Formación Profesional, una gran vía
Para empezar debemos reivindicar la Formación Profesional. Aparte de que siempre ha tenido mala fama, se ha dicho de ella que solo la hacen los estudiantes “malos”, los que que no pueden hacer bachillerato y carrera.
La administración no ha ayudado y ha sido ninguneada por todos los gobiernos de las últimas legislaciones. Y como muestra un botón: el Consejo de Ministros de esta semana ha aprobado el anteproyecto de la nueva ley de FP. La anterior era del año 2002. Y una de las cosas que persigue es una buena inserción laboral. Si queréis tener más información sobre la nueva Ley, podéis leer este artículo de Business Insider. O si lo preferís, podéis ver la nota de prensa del Ministerio AQUÍ. Porque ya es hora de reconocer que siempre ha sido, y será, una gran alternativa para quien quiere estudiar algo sin demasiada paja. Y una vía de acceso laboral muy interesante, como ha demostrado la FP Dual.
El caso que nos ocupa es la ciberseguridad, como no, con presencia en la Formación Profesional desde hace años.
Primero se accedía a ella a través de la rama de informática y comunicaciones, con un curso de Administración de Sistemas Informáticos en Red, de dos años de duración. Tenéis la información del Ministerio de Educación y Formación Profesional AQUÍ.
El mercado manda y desde no hace muchos años, la ciberseguridad alcanzó su mayoría de edad con un Curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información. Los requisitos de acceso, a esta especialización, el plan de formación y las posibles salidas profesionales los tenéis en la web del Ministerio de Educación y Formación Profesional.
En la misma web podéis ver el listado de centros que imparten esta especialización por comunidades autónomas.
También el INCIBE se ha preocupado de informar a las personas que quieren estudiar ciberseguridad. Y ha desarrollado dos catálogos, actualizados a abril 2021.
• Catálogo de instituciones que ofrecen formación en ciberseguridad en España. Recoge los 120 centros donde esta disciplina está presente de alguna manera.
• Catálogo de másteres de ciberseguridad. Recoge un total de 76 programas de másteres y tres grados.
Como sabéis, la formación es una parte importante de nuestro día a día, por lo que en TECNOideas conocemos el tema, y los cursos que se imparten a los estudiantes. Por eso intentamos ayudar a los centros de Formación profesional, dando nuestro particular punto de vista, y poniendo nuestra experiencia a su abasto.
Tanto es así que desde hace un par de años, damos refuerzo al profesorado de varios institutos, tanto de Cataluña, como del resto de España. Lo podéis ver AQUÍ.
Nos ocupamos de temáticas como análisis forense, Osint, hacking ético, etc. Todas ellas están incluidas en estas formaciones, y por lo tanto también acaban por llegar a los alumnos.
Es una formación online o presencial, compuesta de varios paquetes de diferentes horas de formación y adaptables a las necesidades de los docentes de cada centro.
También os recordamos que tenemos varios cursos de formación, los básicos de 4 horas, abiertas a todo el mundo que quiera tener unas nociones de ciberseguridad y otros más específicos y profesionalizados, de entre 12 y 24 horas, sobre temas como forense informático, aplicación de machine learning a la ciberseguridad, pentesting con Python o con Metasploit, etc. Los podéis ver AQUÍ.
Así que ya tenéis un poco más de información sobre las opciones de estudio de la ciberseguridad. De esta forma no os sorprenderá cuando vuestra hija (sí, cada vez hay más mujeres que se ocupan de la ciberseguridad) o vuestro hijo os diga eso tan manido de ¡Quiero estudiar ciberseguridad!
5 motivos para preferir un CISO externo en ciberseguridad
Damos por hecho que a estas alturas la mayoría de empresas saben que la ciberseguridad hay que tomársela en serio. Para ello es imprescindible tener la figura de un CISO (director de seguridad de la información). Pero este puesto tan necesario puede externalizarse y os vamos a dar 5 motivos para preferir un CISO externo de ciberseguridad.
1. El problema de los fines de semana, puentes y vacaciones
Acabamos de regresar del mes de vacaciones por excelencia en nuestro entorno. Pero las cosas cambian. Cada vez hay menos empresas que cierran en época estival, aunque eso sí, reducen considerablemente su actividad y eso incluye a los socios tecnológicos.
Como hemos advertido en más de una ocasión, los ciberdelincuentes (que no los hackers, recordad que esos son los “buenos”), saben aprovechar las debilidades de las empresas que tienen en su punto de mira. Esto significa que cuando tienen opciones de entrar, lo hacen. ¿Y qué mejor que aprovechar las debilidades del sistema en un fin de semana, un puente, unas vacaciones? Es entonces cuando el equipo técnico está debilitado o ausente y la capacidad de reacción es nula o muy lenta. También es cuando algún empleado no formado adecuadamente se convierte en un insider (personas dentro de una compañía que divulgan información sensible sobre su empresa).
Todos estos problemas no existen si se externaliza el servicio del CISO, porque la detección y gestión de incidentes no descansa y hay una vigilancia proactiva de 24 horas/7 días a la semana.
2. Los problemas de Recursos Humanos que genera tener un CISO en plantilla
Uno de los motivos por los que las empresas no tienen un CISO de ciberseguridad en nómina es debido a los problemas que conlleva en cuanto a Recursos Humanos. Los principales problemas vienen de la falta de personal adecuadamente formado para esta función. La demanda de profesionales necesarios para cubrir puestos de trabajo relacionados con la ciberseguridad ha aumentado, pero las formaciones actuales aun están lejos de cubrir las necesidades reales del mercado. El resultado es que el sueldo de un CISO profesional es considerable. Además es preciso que tenga un mínimo de equipo para cubrir todas las horas del día, las posibles bajas por enfermedad, vacaciones o cualquier otra contingencia que pueda producirse.
El servicio de CISO externo significa un ahorro significativo para una empresa, por la diferencia entre el coste del servicio y el sueldo del profesional cualificado.
3. Los expertos en ciberseguridad sufren burnout
El tema de los trabajadores “quemados” en el sector ha sido una constante durante el mes de agosto. La imposibilidad de desconectar, el miedo a que se produzca un ciberataque, la angustia que provoca la duda constante de saber si se sabrá reaccionar a tiempo y evitando grandes males a la empresa son las principales causas de este síndrome. Y es que hay una muy estrecha línea entre la ciberseguridad y la salud mental de sus trabajadores. Este estrés continuo provoca que el tiempo medio que aguanta un analista de seguridad en su puesto de trabajo sea de 26 meses en Estados Unidos. Así lo revela un estudio del Instituto Ponemon (institución que promueve el uso responsable de la información y las prácticas de gestión de la privacidad dentro de las empresas y el gobierno) y FireEye (empresa californiana que provee servicios de análisis y prevención de vulnerabilidades) que se dio a conocer el año pasado.
La conciliación familiar es también difícil para estos trabajadores, especialmente por los horarios de trabajo y el tener que estar siempre localizables. El resultado de todo ello es que buscan una mayor tranquilidad laboral y no tener que estar pendientes de posibles emergencias cuando acaban su horario de trabajo.
Si estáis interesados en saber más sobre este llamativo tema, os recomendamos la lectura de este artículo de Business Insider publicado la semana pasada.
Es evidente que externalizar los servicios de un CISO no comportará para la empresa todos estos posibles problemas de salud de sus trabajadores.
4. La ciberseguridad no puede ser un complemento de la empresa, sino parte del negocio
Así de claro se mostraba Iván Portillo en la entrevista que le hicimos junto a Wiktor Nykiel. Ambos son referentes del mundo de la ciberinteligencia y lo tienen muy claro. Todas las pymes y grandes empresas tienen que destinar partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Además, como ellos se encargan de recordarnos, “no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.”.
También en TECNOideas lo tenemos claro: hay que construir la ciberseguridad desde el mismo momento que hay un proyecto empresarial. Ambos han de crecer en paralelo. Y para una empresa que comienza no hay nada mejor que externalizar este servicio. Dejarlo en manos de profesionales capaces de asesorar, recomendar y buscar las mejores soluciones en todo momento, así como mantener todos los equipos actualizados. Y si además ofrece formación adecuada para todos los niveles de trabajadores de la empresa, mucho mejor.
El tema se ha complicado mucho con el teletrabajo y la necesidad de extender la ciberseguridad a los hogares de los trabajadores. Ya os hemos informado sobradamente de los peligros que entraña el teletrabajo. El servicio externalizado permite más fácilmente ampliar la ciberseguridad a los equipos domésticos.
Externalizar este servicio significa estar siempre al día en cuanto a actualizaciones de ciberseguridad y opciones de formación para todos los niveles de trabajadores de la empresa.
5. La ley obliga a tener un responsable de la seguridad de la información y permite que este servicio sea externo
El marco normativo es muy claro. Establece que los operadores de servicios esenciales deberán nombrar una persona u órgano colegiado responsable de la seguridad de la información. Ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y los Equipos de Respuesta a Incidentes de Ciberseguridad (CSIRT) de referencia. Este servicio puede ser externalizado.
La ley se aplica a los operadores de servicios esenciales dependientes de las redes y sistemas de información de diversos sectores estratégicos. También a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
Las empresas que externalizan este servicio cumplen la normativa legal mucho antes que las que optan por buscar e incorporar un CISO a su plantilla.
Si tenéis dudas sobre estos 5 motivos para preferir un CISO externo de ciberseguridad
o queréis saber más sobre las tareas propias de un CISO,
podéis acceder a toda la información que tenéis en nuestra web,
en el apartado Servicio CISO Externo.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Español 
Català