Aumento de litigios por problemas en la protección de datos y ciberseguridad
Se ha publicado recientemente en el BOE el nuevo Esquema Nacional de Seguridad (ENS), una certificación necesaria para toda empresa que trabaje con la Administración.
La nueva regulación se adapta a las diferentes leyes estatales y europeas e incide en el papel de los CISO. ¿Y dónde queda el papel del delegado de protección de datos (DPD)?
¿Qué es un CISO?
Es la persona encargada de la seguridad de los sistemas de la información. La ley obliga, en determinados casos, a tener esta figura en plantilla, siendo un activo muy valioso, que debe integrarse dentro de la estructura y organigrama de la empresa, a alto nivel.
Tiene que organizar la ciberseguridad de la compañía y es el responsable máximo del tema, así como el interlocutor con la Administración, incluidos los trámites cuando hay un percance.
No hay que olvidar que cualquier empresa, pequeña o grande, de cualquier sector, tiene una gran exposición de sus activos. Si estos no se protegen, puede llevar a la pérdida de partes valiosas de la empresa y, por supuesto, puede afectar a la continuidad del negocio.
¿Cuál es el problema?
La realidad del CISO no se corresponde con lo expuesto. ¿Cuenta con los recursos necesarios? ¿Se recorta su presupuesto desde áreas como dirección o finanzas, que poco saben de ciberseguridad? ¿Es un cabeza de turco? ¿Tiene que estar siempre en alerta? ¿Sufre burnout? Son muchos los problemas que puede tener un CISO, como podéis ver en este artículo publicado en nuestro blog. Quizá por todo ello, se permite que el CISO pueda ser externo a la empresa o incluso que forme parte de otra compañía de servicios de ciberseguridad.
Casos reales. ¿Es el CISO siempre el responsable?
Os explicamos a continuación un par de casos reales, de problemas con mayúsculas de dos empresas muy conocidas y con implantación global.
• CISO de SolarWinds.
SolarWinds es una empresa estadounidense con sede en Austin (Texas) y que desarrolla software para empresas. Unos piratas informáticos llevaron a cabo un ataque a la cadena de suministro a través de SolarWinds y violaron las redes de varios departamentos del gobierno de EE.UU., incluida la agencia a cargo del arsenal de armas nucleares del país. Todo eso como parte de una campaña mundial de ciberespionaje de meses de duración revelada en diciembre de 2020. Parece el caso más claro de “cabeza de turco”, por la resonancia que tuvo el caso, y porque le acusaron de negligencia. Resultado: lo demandaron por nada más y nada menos que 1.500 millones de dólares.
• CISO de UBER.
Este caso es diametralmente opuesto al anterior. Encubrió un posible pago de ransomware. Recordamos que pagar a ciberdelincuentes es delito. Y a este delito abría que añadir que si había sido negligente en su cargo, doble error.
Acabamos dejando claro el concepto de NEGLIGENCIA. Según la Real Academia Española es:
1. f. Descuido, falta de cuidado.
2. f. Falta de aplicación.
Conocer la legalidad
Como podéis ver, y siguiendo nuestro título de hoy, Aumento de litigios por problemas en la protección de datos y ciberseguridad las leyes cobran un protagonismo esencial. Por eso nos pusimos en contacto con uno de los despachos profesionales más especializado en Derecho Tecnológico: Tecnogados, con el que colaboramos asiduamente. Y les pedimos que nos explicaran su visión de estos temas. Y el resultado es este post compartido que estáis leyendo. Como venimos de casos reales, retoman el tema con un caso real vivido directamente.
En Tecnogados estuvimos muy atentos a la resolución de la Agencia Española de Protección de Datos, la nº E/09159/2020, respecto a la brecha de privacidad que sufrió la empresa Mapfre.
En dicha resolución, se puede leer la actuación de la compañía en relación al ataque que sufrió por la infección de un ransomware, y como la empresa una vez puesta la denuncia pertinente, comunico los hechos al INCIBE y CCN-CERT, así como publicó lo acaecido en su web y redes sociales.
De las actuaciones llevadas a cabo pudimos ver como la empresa, una vez detectado el virus, realizó una búsqueda en la web de VirusTotal y como en esa fecha el malware también era indetectable.
Mapfre también obtuvo las evidencias forenses necesarias para detectar el origen de la infección, con el fin de evitar posibles reinfecciones.
En relación a las medidas proactivas que tenía implementadas, consta que la compañía estaba suscrita a un código de conducta en materia de protección de datos y contaba con un plan de contingencia. El conjunto de actuaciones, como no pudo ser de otra manera, acabo con el archivo del expediente.
¿Y qué queremos haceros ver con todo esto? Pues que el trabajo en materia de ciberseguridad (CISO) va unido de la mano al del delegado de protección de datos (DPD). Donde el primero dice que medidas técnicas aplicar y, el segundo, que información proteger respecto a datos personales o potencialmente identificables.
Ambas figuras CISO y DPD también deberían tener una obligada colaboración, respecto a que medidas implementar en ciberseguridad y privacidad, desde el diseño y por defecto, donde la anticipación y la proactividad sean un valor para garantizar el cumplimiento normativo y así cumplir con el Reglamento Europeo de Protección de Datos, en relación a principios como la minimización de información para cumplir la finalidad del tratamiento o implementar medidas que permitan cumplir efectivamente el ciclo de vida del dato y el efectivo ejercicio del derecho de supresión del interesado.
Respecto al ENS y en relación al perfil de nuestros lectores, aquí cabría traer a colación que pasa con aquellas pymes que trabajan para la Administración, sobre todo en dos aspectos.
Primero, que requisitos tienen que cumplir estas empresas con relación al trabajo que llevan a cabo a entidades públicas y que medidas tiene que aplicar.
En este sentido, sería interesante que la Autoridad pertinente estandarizará procedimientos de cumplimiento para que cualquier proveedor de servicios de la Administración supiese que medidas tiene que aplicar.
Pero, en segundo lugar, también sería interesante para los entes públicos, el saber que requisitos tendrían que sacar en sus concursos, para que el candidato pueda garantizar un nivel óptimo de cumplimiento en materias como la ciberseguridad y la privacidad y que estos pudieran ser un factor determinante para la adjudicación del trabajo.
Por último, indicar que teniendo que ser el CISO y el DPD personas distintas dentro de la organización conforme al ENS, su labor, sin embargo, es totalmente complementaria donde, por un lado, uno aporta el conocimiento técnico y el otro garantiza el cumplimiento normativo.
Imagen principal: Pete Linforth en Pixabay
- Publicado en Ataques / Incidencias, CISO, Consultoría, Formación, Historia, Normativa, Noticias, Protección de datos, Seguridad
Suben un 888% los ataques de malware sin fichero en 2020
Preocupa y mucho el espectacular aumento de los ataques de malware sin fichero, porque son capaces de infectar y causar daño sin dejar rastro. Este dato aparece en el “Informe de Seguridad en Internet” del cuarto trimestre de 2020 de la empresa WatchGuard. En cambio se reducen los ataques de ransonware.
El malware sin fichero también se conoce con el nombre de fileless malware y el motivo por el cual es capaz de infectar sin dejar rastro es que no graba ficheros en el disco duro y su maliciosa acción la realiza en la memoria. Eso significa que si bien cuando se reinicie el sistema ya no existirá el virus, el daño ya surgirá efecto. Incluso pone en graves dificultades a los sistemas de análisis forenses.
Un informe muy completo
La investigación que ha efectuado la empresa estadounidense de ciberseguridad WatchGuard Technologies, Inc. cuya sede central está en Seattle (Washington), es muy extenso y aporta otros muchos datos interesantes. Destacamos los siguientes:
• Se reduce el volumen de ataques de ransomware por segundo año consecutivo. Se cree que este descenso continuado se debe a que los ciberdelincuentes están abandonado las campañas generalizadas y se centran en ataques dirigidos contra organizaciones sanitarias y empresas que no pueden permitirse estar un tiempo inactivas.
• Atención a los criptómeros. Con la vuelta a la tendencia alcista de las criptomonedas en el cuarto trimestre de 2020, se ha reavivado también el número de malwares criptomineros, llegando a ser de más del 25% respecto a los niveles del año anterior.
• Los ataques de malware cifrado y evasivo a través de conexiones HTTPS aumentó un 41% y el malware zero-day cifrado creció un 22% respecto al tercer trimestre de 2020.
• El malware en las redes de bots dirigido a dispositivos IoT y routers se convierte en una cepa principal.
• La brecha de SolarWinds ilustra los peligros de los ataques a la cadena de suministro.
• Un nuevo troyano engaña a los escáneres de correo electrónico con un enfoque de carga múltiple.
• El volumen de ataques de red se acerca al máximo de 2018.
• El informe también incluye un análisis detallado del ataque a la cadena de suministro de SolarWinds.
Podéis leer el “Informe de Seguridad en Internet del cuarto trimestre de 2020” completo AQUÍ.
No queremos acabar este artículo sin volver a hablar del malware sin fichero, para que no os quedéis con la idea de que no se puede combatir, porque eso no es así.
¿Cómo podemos evitarlo? Hay que monitorizar el sistema en busca de un comportamiento malicioso que alerte de cosas sospechosas. Para ello hay que confiar en empresas especializadas en ciberseguridad como TECNOideas 2.0, porque la mejor defensa es la combinación de una protección de última generación
y tecnologías de detección y remediación.
Confiad en TECNOideas, solicitad un presupuesto.
- Publicado en Ataques / Incidencias, General, Noticias, Seguridad
¡Atención BYOD! No dejéis que a vuestra empresa le pase lo mismo que a Estados Unidos
Bring Your Own Device (BYOD) es una política empresarial según la cual se permite a los empleados usar sus propios dispositivos personales para trabajar. Esta práctica que está aumentando con la pandemia no está exenta de riesgos. Y es que los ciberataques llegan hasta los rincones más insospechados, como acabamos de ver con el ataque masivo a la Administración de Estados Unidos, con brechas de seguridad en Defensa, Comercio y Energía, aunque haya sido a través del software de gestión de redes de SolarWinds, Orión.
La práctica del BYOD no es nueva, pero con la pandemia se ha vuelto a poner de moda. No se trata sólo de que los trabajadores puedan usar sus dispositivos portátiles personales (ordenadores, smartphones, tabletas) para trabajar, sino que también incluye que los lleven a su empresa para conectarse a la red y a los recursos corporativos.
no está exenta de riesgos
Entre las ventajas del BYOD podemos citar la flexibilidad en el trabajo de cada empleado, el incremento de la productividad, puesto que los trabajadores se encuentran más cómodos usando sus propios dispositivos o que permite a las empresas ahorrar costes en la adquisición de tecnología. Pero ¡atención BYOD!: esta práctica no está exenta de riesgos.
¡Atención BYOD! Vector de entrada: el móvil de empresa
Ha llegado el turno de los inconvenientes de esta práctica. El más destacado, ya lo habréis adivinado, es el riesgo que supone para la seguridad de la red corporativa. Le siguen el no tener protegida la información confidencial de la empresa o que si el smartphone particular de un trabajador está infectado y se conecta a la red de la empresa se puede infectar toda la red. Por no hablar de lo que puede ocurrir si al trabajador en cuestión le roban su móvil.
Trabajar con el smartphone es, en sí mismo, un peligro. Cada vez se utilizan más para trabajar, se comparten con los empleados (¡sí, ya se, tener dos móviles es un rollo!, pero…) y normalmente se usan también fuera de la seguridad que supone el recinto de la empresa y por lo tanto fuera de las políticas de seguridad que ésta ha podido implementar. Además de todo esto hay que tener en cuenta que muchas empresas están faltas de MDM’s (gestión de datos maestros).
Por todo ello, ¡atención BYOD!, estas son algunas de las negligencias más comunes que los expertos de TECNOideas 2.0 han encontrado en las auditorías que hemos realizado:
• Instalación de aplicaciones no recomendadas. Como por ejemplo mensajería, redes sociales, aplicaciones de dating, etc.
• Aplicaciones de descarga 2P2 (Peer to Peer), que permiten al usuario descargarse un software que conecta su ordenador con el resto de personas que estén en la red.
• Patrones o contraseñas de desbloqueo sencillos o sin patrón alguno.
• Falta de cifrado.
• Uso compartido con otros familiares, normalmente las hijas o los hijos.
• Conexiones a redes abiertas o inseguras.
• Conexiones a dispositivos inseguros (bluetooth).
Las principales causas de estos incidentes son Malwares (softwares maliciosos), Ramsonwares (programa de software malicioso), Data Leaks (fuga de información expuesta y publicada) y DLP (Prevención de pérdida de datos).
Si estáis interesados en tener más información sobre este tema, os recomendamos la lectura de una entrevista a Oriol Cremades, Doctor en Derecho que publicó la web Do Better, el hub de contenidos digitales de Esade.
Servicio “SmartAudit” de TECNOideas 2.0
Pero todas estas amenazas, que son reales, tienen una solución: la prevención. El refranero es sabio y en la ciberseguridad se puede aplicar perfectamente el popular refrán que dice “más vale prevenir”. Y es absolutamente cierto.
En TECNOideas 2.0 ofrecemos el servicio “SmartAudit”, con el cual proporcionamos a las empresas un informe detallado de cada uno de los dispositivos, así como las preceptivas recomendaciones de seguridad.
Y por supuesto acompañamos a las empresas en todo el proceso de implantación segura del BYOD.
Somos consultores de seguridad
«La ciberseguridad no es un gasto, es una inversión»
- Publicado en General, Malos hábitos, Noticias, Seguridad
Español 
Català