José Manuel Redondo: “hace falta una concienciación ciudadana para prevenir los delitos comunes de ciberseguridad.”
Como sabéis, de vez en cuando nos gusta presentaros a personalidades dentro de este mundo tecnológico que a muchos de vosotros todavía os parece un extraño al que cuesta entender. En la entrevista de hoy charlamos con José Manuel Redondo López, una persona que se encarga precisamente de comunicar, formar y hacer más fácil y comprensible la ciberseguridad. Profesor Titular del Departamento de Informática de la Universidad de Oviedo, especialista en Ciberseguridad y en Lenguajes y Sistemas Informáticos, José Manuel es Ingeniero Superior Informático por la Escuela Técnica Superior de Informática de Gijón y Doctor por el Departamento de Informática de la Universidad de Oviedo. En esta primera parte de la entrevista nos habla de la universidad, de sus investigaciones en el campo del lenguaje informático y de lo que deben hacer los aficionados a este mundo para entrar en él.
Cuando tus alumnos te ven entrar en el aula por primera vez, ¿todavía piensan que un ingeniero informático es un sabio distraído que vive en un mundo irreal o eso ya ha pasado a la historia a pesar de las imágenes tópicas que nos muestra Hollywood?
Lo cierto es que cuando no te conocen sí que he detectado gente que te mira “raro” al principio. Lo primero es por ese motivo, por si tengo los “pies en la tierra” o espero que mis alumnos tengan ya muchos conocimientos previos y yo parezca que venga solo a confirmárselos (¡pobre de mí y de ellos si fuera así!). Pero yo creo que hoy en día lo que más les importa es algo que en muchos debates y noticias parece que queda en segundo plano: la habilidad para transmitirlos.
Esto no es algo trivial y, de hecho, bajo mi punto de vista es lo más importante. A nivel técnico yo puedo ser mejor o peor en según qué ramas. No hace falta ser un experto de clase mundial para dar clase de algo; sólo tener la suficiente habilidad y conocimientos teóricos para impartir los contenidos con solvencia para un perfil de alumnado concreto. Pero si lo mucho o poco que sé de algún tema no puedo transmitirlo adecuadamente, entonces la labor de un profesor queda desvirtuada totalmente. Y el perfil de público también es clave: no es lo mismo dar clase en primero que en cuarto de informática. Ni dar clase de informática a Licenciados en Historia que en Telecomunicaciones: las expectativas, experiencia previa y necesidades son completamente distintas. Y no es algo que carezca de importancia. Si no transmites los conceptos bien, si no eres capaz de llegar a las cabezas de quien te escucha, puedes causar incluso que tu alumnado odie tu asignatura y la rama de la informática que representa. Esto es muy grave, y pasa mucho más de lo que se habla. Y es una responsabilidad enorme que un profesor debe asumir. Si la ignora, entonces puede convertirse en esa imagen de Hollywood que mencionas. Pero para mí eso es una “persona contando cosas”, y un montón de otras personas tratando de descifrar “el misterio” de lo que cuenta , o buscando trucos para salir de allí cuanto antes. Y yo no quiero ser así.
“La forma de salir adelante de universidades pequeñas/medianas
es apostar por la especialización, destacar en una serie de titulaciones
que le den una identidad de ‘especialista en…’ ofreciendo titulaciones que traten aspectos mucho más específicos de una profesión para ‘hacerse un nombre’,
y tener una identidad propia en el ecosistema de universidades españolas.”
En los últimos años hemos visto como ciudades medias, como Oviedo, Málaga, León o Ciudad Real están creando polos profesionales muy interesantes, desplazando un poco a las grandes universidades de ciudades también más grandes. Háblanos de tu caso particular. ¿Por qué Oviedo?
Bueno, nací en Asturias y mi alma mater es la Universidad de Oviedo. Mi carrera universitaria está ligada a centros de esta universidad y tengo mi familia aquí, así que lo de moverme a otro sitio, aunque tuve oportunidades, al final lo descarté por decisión personal. Ojo, se que mucha gente opina que alguien que estudió en la universidad X no debería luego desarrollar su carrera en esa misma universidad, y puedo entender los motivos que se esgrimen para eso. Pero también es cierto que se criminaliza a toda la gente que elige eso para su vida, sin tener en cuenta que no pocos decidimos hacerlo porque queremos devolver a nuestra tierra, lo que nos dio al permitir formarnos hasta el punto que lo hemos hecho. Yo creo que se debería juzgar a un profesional por la calidad de su trabajo y no por su procedencia, o no asumir que su procedencia inmediatamente le hace peor profesional.
En relación a la segunda parte de la pregunta, es muy buena observación. Una universidad de tamaño pequeño/mediano como la nuestra no tiene ni los recursos ni las infraestructuras de una más grande. Esto no es una crítica en absoluto, siempre en todo negocio ha habido empresas grandes y más pequeñas, porque ambas son necesarias. Lo que no pueden hacer es pretender competir en la misma liga, porque la diferencia de medios convierte eso en una competición en la que casi siempre pierden los mismos. Por tanto, yo creo que la forma de “salir adelante” de universidades pequeñas/medianas es apostar por la especialización. No digo que una universidad grande no pueda abarcar todas o casi todas las ramas de conocimiento de una determinada disciplina, porque probablemente pueda hacerlo. Tampoco que una más pequeña no pueda ofertar títulos de disciplinas generales de calidad también (aunque no tanta variedad). Pero una pequeña en mi opinión debe apostar por destacar una serie de sus titulaciones que le den una identidad de “universidad especialista en X”, ofreciendo titulaciones que traten aspectos mucho más específicos de una profesión para “hacerse un nombre”, y tener una identidad propia en el ecosistema de universidades españolas. Si todas hacemos lo mismo, no faltarán voces que quieran cerrar algunas por “redundancia”, privando a los estudiantes de una región de un acceso a estudios superiores que no les suponga un desembolso económico quizá inasumible para ellos o sus familias.
¿Es exagerado decir que ya tenemos grandes expertos en ciberseguridad en España y que los alumnos ya apuestan por ella tras ver lo que ha pasado con la pandemia y el teletrabajo, por ejemplo?
Tenemos grandes expertos, sí. Y los alumnos están apostando por ella cada vez más, principalmente porque el teletrabajo ha traído consigo la exposición de más servicios a Internet y en consecuencia una escalada en ciberataques sin precedentes, con lo cual hacen falta profesionales que puedan lidiar con ellos. Como no son suficientes en la actualidad y, en mi opinión, hay una gran diferencia entre oferta y demanda en este aspecto, cada vez más gente se siente atraída por este mundo. Ya no solo a nivel de Universidad, sino a nivel de FP. También creo que haría falta una concienciación a nivel de ciudadanía, aunque para prevenir los delitos comunes. Hay que entender que estamos viviendo un cambio, y donde antes se decía “no vayas nunca con extraños” ahora hay que añadir “no descargues documentos o cliques en enlaces de correos extraños”, por ejemplo.
Tus principales áreas de investigación son la Ciberseguridad, Máquinas Virtuales Orientadas a objetos, la compilación JIT y la optimización de lenguajes dinámicos. Eres un ejemplo más de que se puede alcanzar una excelencia sin tener que ir a California, Madrid o Barcelona.
Sí, tuve la suerte de integrarme en un grupo de investigación oficial de mi Universidad que trabaja en técnicas punteras en el diseño de lenguajes de programación. Se han hecho muchas cosas, algunas de las cuales tuvieron impacto internacional a través de artículos de revistas, proyectos de investigación nacionales y premios de Microsoft Research. En la universidad, sin un grupo de investigación tus posibilidades de progresar académicamente disminuyen exponencialmente. Salvo que seas un auténtico genio, la investigación como “llanero solitario” es imposible, tienes que nutrirte de la experiencia de investigaciones pasadas para intentar subir un peldaño, acceder a los recursos que el grupo consigue y con ello aportar un grano de arena al enorme circulo del conocimiento, si tienes suerte, que es a lo que todo científico aspira. ¿Excelencia? No considero que sea un investigador excelente, de esos puedo darte nombres y yo no formo parte de esa lista. Pero bueno, creo que soy competente y, sobre todo, me encanta mi trabajo. Supongo que eso segundo ha suplido las carencias en lo primero, además de, como decía, formar parte de un grupo de investigación puntero que te da las herramientas y la oportunidad.
¿Puedes explicarnos tus áreas de investigación con ejemplos sobre la practicidad de ellas?
Sí puedo. Es complejo, pero si no fuera capaz de explicarlo sería contradictorio con mi primera respuesta, ¿no? Jajajaja. Mira, voy a hablarte de las últimas cosas que tengo en mente. Todo el mundo sabe o se imagina que los programas se construyen con lenguajes de programación. Lo que ya no todo el mundo sabe es que se pueden construir infraestructuras e instalar cosas en ellas con ellos también. ¿Cómo es eso? Quien tenga un mínimo interés en la informática sabe que los programas se escriben con lenguajes de programación, se ejecutan y “pasan cosas”: sale una ventana, se muestra un mensaje, se piden datos… De lo que yo hablo es de lenguajes con los que puedes programar algo que equivalga a “quiero un Ubuntu 18 con 4Gb de RAM y 80Gb de disco duro” y al ejecutar ese programa te sale una máquina virtual con esas características. U otro programa con el que dices “ahora quiero que instales WordPress, pongas esta clave de administrador y subas estas páginas a la máquina anterior” y eso ocurra. Todo puede ser construido con código, y toda la infraestructura se puede poner en marcha a través de la ejecución de programas, lo que facilita que pueda distribuirse a otros sitios en forma de simples ficheros de texto (además pequeños) y tener formas de crearlas “a gusto del consumidor” de forma automática.
No obstante, eso no es en lo que investigo yo, porque ya está inventado. Lo que yo quiero intentar es dotar a esos lenguajes de características de lenguajes más “tradicionales” (de los primeros que describí) que los hagan más “robustos”. ¿Qué quiere decir eso? Pues algo parecido a intentar dividir por un número una cadena de caracteres: el procesador del lenguaje te dirá en tiempo de compilación que eso no se puede hacer. Ahora imagina que intentas crear una máquina inválida por algún motivo: quiero que el procesador del lenguaje también te avise: no inviertas tiempo en ejecutar esto porque va a fallar por este motivo. En la actualidad te das cuenta de estos fallos mientras la máquina está en construcción, es decir, tarde, de la misma forma que la que quien programa en Python sabe que si su programa tiene un fallo va a verlo cuando lo ejecuta. Eso hace que desarrollar sea más lento, tanto en unos lenguajes como en otros. En los primeros hay muchos avances en esa vía, y mi grupo de investigación ha hecho los suyos propios. Ahora vamos a ver qué se puede hacer con los segundos.
“La autoformación es clave en temas de seguridad,
pero yo recomiendo a cualquier persona interesada en este mundo
que empiece con una formación reglada, ya sea FP o Universidad.
¿Por qué? Sin unas bases sólidas que te da una formación así,
es muy fácil “perder el hilo” autoformándote, cometiendo errores,
entendiendo conceptos de forma equivocada o incompleta
y adquiriendo “vicios” que luego son muy difíciles de quitar.”
Hablemos de formación. Tu siempre has buscado que sea más abierta y dinámica, lejos de las clases magistrales de antaño. ¿Crees que la incorporación de temas como la gamificación, las nuevas tecnologías, quizá ahora el metaverso, ofrecen unas posibilidades mayores de aprendizaje?
¡Por supuesto! Y cada vez más gente en mi profesión piensa lo mismo. El conocimiento tiene que llegar a los alumnos, y eso requiere dos piezas claves: cómo lo transmites y el valor que le das a lo que transmites (dejar claro para que sirve y lo que puedes hacer con él). Lo primero es lo más difícil, y en mi opinión tienes que adaptarlo a lo que estás tratando de explicar. Pongamos un ejemplo con mis zines o fanzines, que ofrezco gratuitamente AQUÍ.
Los fanzines son una idea que se usa mucho en otras partes y lleva ya mucho tiempo como método docente, aunque a algunas personas les causa rechazo. Yo tengo que impartir una asignatura en la cual si no se tienen claros unos conceptos básicos no se puede lograr realmente superarla. Estos conceptos (firewalls, redes, IPs, puertos, servicios…) no son complejos ni largos que explicar, pero en mi experiencia se entienden mejor con un soporte gráfico. Los zines son eso: un soporte gráfico rápido para conceptos específicos que “se atragantan” a un buen número de alumnos. No sustituyen a la lección magistral, pero la intentan complementar allí donde por mi experiencia se muestra menos efectiva. Las nuevas tecnologías para mí son el medio ideal para hacer de refuerzo.
También hay que tener en cuenta que hay lecciones magistrales… y lecciones magistrales. Yo intento no “contar el rollo” o simplemente leer las transparencias (lo que algunos de mis alumnos llaman ser un “Loquendo humano” 😊). Me apoyo en imágenes, ejemplos reales, preguntas, uso las noticias recientes para ejemplificar conceptos (por desgracia en temas de seguridad no me faltan 🙁) y lo intento hacer todo más dinámico, incluso introduciendo humor. Recientemente he empezado a grabar mis clases en el aula según las doy presencialmente (sólo las transparencias y mi voz), y luego las subo en video a la plataforma de streaming de mi Universidad para que el que quiera las repase o las escuche si no pudo venir un día, algo que se dio varias veces por el tema COVID.
Esto es posible ahora gracias a que la tecnología de grabación en vivo asequible es una posibilidad para nosotros, seguramente por el tema de la pandemia. Y a que la universidad nos da la oportunidad de dejar nuestras clases en streaming. Además, la grabación en el aula gusta más que simplemente grabar tú la clase en tu casa: algunos alumnos me dicen que queda todo más “natural” y mejora la atención. Además, de ahí a hacerlo “en vivo”, como un streamer de Twitch hay un paso jajajajaja.
La gamificación de momento la he introducido animando a mis alumnos a que compitan en CTFs para practicar (y que además le da valor a lo que explicas), y tengo por ahí algún videojuego pequeño que solo se puede vencer aplicando conceptos de ciberseguridad que aún no he introducido…así que sí, creo que esos elementos bien aplicados pueden ser un gran beneficio para los alumnos y para nosotros a la hora de explicar. No obstante, reconozco que al metaverso aún no le he visto aplicaciones en mi caso.
En nuestro sector ha habido, tradicionalmente, mucho aprendizaje autónomo. Pero ahora hay mucho margen, con la Formación Profesional, la apuesta decidida por la ciberseguridad en muchos centros y, por supuesto, la universidad. ¿Qué le recomendarías a un joven que le gusten estos temas?
La autoformación es clave en temas de seguridad, un campo en el que debes estar constantemente aprendiendo porque te lo exige. Yo ahora soy 100% autónomo formándome, aunque debo confesar que, no sé si por deformación profesional, me diseño mis propios planes de estudio a seguir. Eso es porque creo que tener una organización de los temas a estudiar, que los agrupe por su relación entre ellos, mejora la forma de estudiarlos.
Y precisamente basándome en eso último yo recomiendo a cualquier persona interesada en este mundo que empiece con una formación reglada, ya sea FP o Universidad, en función del tiempo que pueda o se vea capaz de invertir en ella y si busca algo más práctico o algo más amplio a nivel conceptual. ¿Por qué? Sin unas bases sólidas que te da una formación así, es muy fácil “perder el hilo” autoformándote, cometiendo errores, entendiendo conceptos de forma equivocada o incompleta y adquiriendo “vicios” que luego son muy difíciles de quitar. Creedme, yo estuve ahí :). Me autoformé en programación desde los 14 años y cuando llegué a la carrera tuve que “desaprender” por la cantidad de malas prácticas de programación que había interiorizado…
Otra razón es que sin una base sólida también es mucho más difícil distinguir buenos de malos materiales, y es más difícil que sigas o pagues una formación que más que ayudarte de induzca a errores. Por tanto, mi consejo honesto es que intenten formarse de forma reglada primero, y con esas bases, y sabiendo los distintos campos que se abren, profundicen en los que más les gusten (aspecto clave para mi) bien de forma autónoma, con más formaciones regladas o con un híbrido de ambas. Es como aprender a conducir: primero te enseñan y te ayudan, luego ya tú decides si necesitas más clases o te animas a ir sólo ya. Es más, nuestro curso de seguridad del grado es precisamente esto lo que pretende.
Hasta aquí la primera parte de la entrevista. Esperamos que esta mezcla de realidad universitaria, docencia vanguardista y datos de investigación de lenguaje algo complejos os haya gustado y anime a seguir la segunda parte de la entrevista que publicaremos en breve. ¡Vale la pena! Os lo podemos asegurar.
- Published in Entrevistas, Estudios, Formació, General, Noticias, Programacion, Tecnología
Hoy es el CISO Day 2022
Posiblemente no exista una figura más relevante en el mundo empresarial relacionado con la ciberseguridad que el CISO, o persona encargada de la seguridad de los sistemas de la información. Por ello nos parece más que justificada la iniciativa de dedicarle un evento. Así nació el CISO Day, que en pocos años ya ha pasado a ser el mayor evento de España en torno a la figura del CISO.
En tan solo cuatro años este evento ha alcanzado una notoriedad muy merecida. Basta mirar los temas a tratar en la presente edición para corroborarlo: estrategia, ciberinteligencia, hacking, ciberseguridad o ciberinnovación.
La iniciativa de organizar un CISO Day la tuvo CyberSecurity News, el mayor medio de comunicación especializado en el sector de la ciberseguridad en España. Y naturalmente sigue siendo el organizador del evento. Eso sí, cuenta con el apoyo institucional del Centro Criptológico Nacional y los necesarios patrocinadores.
El CISO Day 2022 se celebra en los Cines Palacio de Hielo de Madrid y cuenta con dos salas. El congreso tiene un formato híbrido, presencial por un lado y virtual por otro. La buena noticia es que se puede seguir en directo a través del canal de YouTube de CyberSecurity News. Aun así hay que comprar la entrada. En la web del certamen, www.cisoday.es, tenéis el programa completo, los ponentes y todo lo relacionado con la jornada, que comienza a las 9.15 con la bienvenida a cargo de Vicente Ramírez, redactor jefe de CyberSecurity News y creador del CISO Day.
TECNOideas puede ser vuestro CISO Externo
Os queremos recordar que la figura del CISO es esencial. Tanto es así que la ley 43/2021 especifica que las empresas de ciertos sectores estratégicos, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Tenéis toda la información sobre la ley, los sectores definidos como estratégicos en el anexo de la norma y las opciones que os ofrecemos en el apartado Normativa/Compliance de nuestra web.
El trabajo del CISO es verdaderamente indispensable y poco tiene que ver con el que realiza un informático. Sin embargo es también muy estresante y dado el nivel que se le exige, implica una remuneración elevada, que muchas empresas ne se pueden permitir. Quizá por todo ello la propia ley también reconoce la posibilidad que el CISO sea externo. Y ahí es donde TECNOideas os puede ayudar.
Para entenderlo mejor, os invitamos a leer un par de artículos publicados en este blog. En el primero de ellos, explicamos detenidamente las funciones que debe tener un CISO.
En el segundo os explicamos la problemática que están teniendo los CISO en todo el mundo, como por ejemplo el burnout y por eso lo titulamos 5 motivos para preferir un CISO externo en ciberseguridad.
¡Que disfrutéis del día!
- Published in CISO, Congresos, Evento, General, Medios de comunicación, Normativa, Noticias, Seguridad, Serveis, Sobre TECNOideas
¿Cualquier tiempo pasado fue mejor?
Imaginad que un día despertáis y al entrar en la rutina diaria ponéis una cinta de casete en un walkman para ir a hacer footing (que no running). Al llegar a casa escogéis un vinilo de los Stones para activaros. Y por la noche elegís una cinta de VHS para ver una película en vuestro magnetoscopio.
Este viaje al pasado puede incorporar ahora una cosa del presente más absoluto: cintas magnéticas para almacenar datos en lugar de subirlos a la nube. ¿Qué os parece?
No estamos hablando de ciencia ficción. Resulta que las cintas magnéticas que no hace tantos años convivían con nosotros con total armonía, vuelven. El principal motivo de la desaparición del mercado de estas cintas fue su degradación, ya que poco a poco el metal perdía su magnetismo.
Por otro lado ahora se fabrican con una tecnología conocida con el pomposo nombre de Linear Tape-Open o LTO, que desarrollan varios fabricantes, como IBM, HPE o Quantum. Se trata de una evolución de las cintas magnéticas de antaño, gracias a la evolución de disciplinas como la física, óptica, magnetismo o química.
Mejor una cinta magnética que almacenar en la nube: ¡ellas no están conectadas a Internet!
Y ahora viene lo nuevo que explica el aumento vertiginoso de las cintas magnéticas para almacenar datos: ¡¡no están conectada a Internet!! Por mucho que subamos nuestros archivos a la nube, sabemos (o deberíamos saber), que también presenta riesgos. Sin ir más lejos, el ransomware también vive bien en la nube.
Tanto es así que el almacenamiento de datos en cinta magnética creció un 35% en 2021. Son datos que recoge la revista sueca SweClockers, especializada en computadoras y hardware de computadoras.
Las ventajas de almacenar en cintas, además de no estar conectadas a Internet, son su bajo precio en relación a su enorme capacidad de almacenar datos. También se muestran ideales para archivos digitales, que a menudo dependen de sistemas automatizados. Otra ventaja es que en la actualidad ya no se corre el riesgo de perder datos con el tiempo, cosa que sí ocurre con discos duros y tarjetas SD, dos componentes que suelen usar las empresas al migrar sus datos a la nube. Y hay más, como la eficiencia energética, su escalabilidad, etc.
Pero no todo el monte es orégano y las cintas también tienen algunos problemas. Sólo pueden leer datos y escribirlos de forma secuencial, dos pasos que no se pueden hacer de forma simultánea. Por ello, su proceso de lectura es lento.
Otro posible problema es que se ven afectadas por incendios o inundaciones, aunque las empresas suelen fiarlas a compañías especializadas en su mantenimiento.
Para los nostálgicos y para los jóvenes que deseen saber mucho más sobre las cintas magnéticas, os invitamos a visitar la web de la Asociación Internacional de Archivos Sonoros y Audiovisuales (IASA). Esta institución, creada en 1969 y con sede en Ámsterdam, tiene miembros de 70 países y se dedica a conservar registros sonoros y audiovisuales.
La Conferencia anual de la IASA 2022 versará sobre “Los Archivos del futuro: Abiertos, sustentables y equitativos”.
Se celebrará en la Fonoteca Nacional de México y el Instituto de Investigaciones Bibliotecológicas y de la Información (IIBI) de la Universidad Nacional Autónoma de México (UNAM), del 26 al 29 de septiembre.
Aceptar cookies sin saber como funcionan: eso debería ser el pasado
Las cookies son resúmenes de información de nuestras visitas a páginas web. Dichos códigos pueden almacenar diferentes tipos de información según nosotros le demos permiso o no.
¿Os podéis creer que todavía hoy aceptamos galletas sin saber como funcionan?
O sea que cada vez que entramos en una web y empezamos a clicar ACEPTAR, ACEPTAR, ACEPTAR… estamos regalando información. Puede que no tengamos otra alternativa. Y puede que no nos importe.
Pero lo que debería ser imperdonable es que hoy en día el 57% de los usuarios españoles admita que no tiene ni idea de para que sirven las galletas. Y hasta un 60% acepta las cookies sin saber que tipo de permisos estamos dando al navegador de turno, o a la empresa con la que interaccionamos.
Estas cifras son las que aparecen en un estudio que ha realizado Avast, la popular compañía que posee un software de seguridad y antivirus del mismo nombre. Avast ha aprovechado este informe para hacer una divertida campaña de concienciación.
Bajo el hashtag #AcceptAllCookies?, una chef pastelera prepara una deliciosa receta de galletas de almendras, limón y canela. Y claro, el paralelismo con las galletas dfigitales es evidente, incluso al explicar la receta y sus ingredientes de seguridad. La podéis ver en este enlace.
Para terminar con las cookies, os recomendamos volver a leer este artículo que publicamos en este blog en 2020, sobre el uso de las galletas según los nuevos criterios de la AEPD de entonces y que sigue vigente.
Imagen principal: Nikita Korchagin en Pexels.
- Published in Consultoría, Estudios, General, Noticias, Productos
Ciberseguridad a golpe de ley
Aunque ya se sabe que las leyes suelen ir por detrás de lo que ocurre en nuestra sociedad, a veces no queda más remedio que legislar, legislar y volver a legislar. Podemos asegurar que eso es lo que está pasando con la ciberseguridad. Intentar que los aparatos que compramos, conectamos y usamos sean ciberseguros en una sociedad hiperglobalizada y conectada es una quimera. Es por ello que quizá solo sea posible la ciberseguridad a golpe de ley.
En TECNOideas no cesamos de poneros en alerta frente a cosas que podríamos considerar de ese sentido que es el menos común de los sentidos. En nuestros cursos de ciberseguridad en el teletrabajo o en algunos de nuestros artículos ya advertimos del peligro de tener tantos aparatos en casa conectados a un rúter poco fiable, instalado por nuestro proveedor de servicios de telefonía y/o de acceso a Internet.
Ahora nos llega ¡por fin! la noticia de que la Comisión Europea ha decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Lo hará a través de la Ley de Resiliencia Cibernética que está preparando actualmente.
Quin és el problema?
Imagen de manuelwagner0 en Pixabay
En nuestros hogares cada vez tenemos más aparatos conectados. Desde electrodomésticos como la nevera o los robots aspiradoras hasta los juguetes o consolas de todo tipo, pasando por cámaras de seguridad y de videovigilancia, termostatos o incluso todo el apartado de la domótica doméstica. Las ventajas que ofrecen en cuanto a conectividad, para poder recibir órdenes desde la nube o desde una App no van acompañadas de las medidas de seguridad adecuadas.
Todo esto además, se acompaña con conexiones a través de rúters poco seguros. Así, por ejemplo, solo solemos usar uno de los cuatro puertos que tienen la mayoría de rúters que hay en nuestros domicilios.
Naturalmente todo esto es un objetivo muy deseado por los ciberdelincuentes. Ellos pueden acceder sin demasiados problemas a todas las informaciones que se acumulan en estos aparatos.
Para que esto no sea posible Europa pretende aumentar los bajos estándares de calidad actuales de los softwares que contienen todos estos dispositivos IoT. Y lo hará a través de la nueva Ley Europea de Ciberresiliencia que debe aprobarse este mismo año.
La ley prevé que los fabricantes de todos estos aparatos tendrán que pasar un test de conformidad relacionado con la ciberseguridad. Será imprescindible para poder ser comercializados en Europa. Para ello deberán tener medidas de seguridad como:
• Tener credenciales robustas.
• Cerrar puertos que no sean necesarios para su buen funcionamiento.
• Garantizar la seguridad durante todo el ciclo de vida del aparato. Esto obligará a los fabricantes a actualizaciones periódicas.
• Habrá cinco categorías: fabricación, finanzas, energía, transporte y las relativas a los domicilios (Smart Home), donde se habla extensamente de los rúters domésticos.
Si estáis interesados en conocer más exhaustivamente los requerimientos de seguridad que deben seguir los aparatos IoT e ICT, podéis consultar este estudio de la Comisión Europea.
También os invitamos a leer este artículo de Bandaancha.eu, una web de noticias y artículos, también colaborativos, dedicados al amplio mundo de Internet.
Aprobada la Ley de Ciberseguridad 5G
Seguimos con el tema legal. La semana pasada el pleno del Congreso convalidó finalmente la Ley de Ciberseguridad 5G que el Gobierno aprobó a finales de marzo. Se trata de una ley que incorpora al marco legal español las medidas consensuadas por la Unión Europea. Estas medidas recogen una serie de claves que identifican las principales amenazas y vulnerabilidades que pueden darse en el despliegue de las redes 5G. Entre los aspectos destacados de la ley hay que citar que el Gobierno deberá publicar de forma periódica una lista de proveedores de riesgo. Para ello los proveedores se van a clasificar como de bajo, medio y alto riesgo. Tendrán un plazo de cinco años para sustituir los elementos críticos de red proporcionados por ellos mismos.
Podéis leer las claves más importantes de la ley en este artículo del portal Zonamovilidad.es, especializado en tecnología móvil en España.
Para terminar, deciros que junto a la convalidación de esta ley el Congreso también convalidó la Ley General de Telecomunicaciones. Con ella se transpone finalmente el Código Europeo de las Comunicaciones Electrónicas. Precisamente Europa ha reclamado insistentemente a España que esta transposición se llevara a cabo.
Lo que os decíamos al principio: Ciberseguridad a golpe de ley. Y es que tanto la Unión Europea como las diferentes reglamentaciones de cada uno de sus países intentan adelantarse a la problemática de la ciberseguridad. Los ciberdelincuentes seguirán actuando. Pero unas leyes que obliguen a tener muchas más precauciones a fabricantes, proveedores y empresas de servicios se lo van a poner más difícil.
Nosotros seguiremos predicando no solo en el desierto, para que empresas grandes y pequeñas, autónomos y particulares tengan presente que nuestros servicios son necesarios y son una buena inversión y no un gasto.
Imagen principal: Sang Hyun Cho en Pixabay
La campaña de la renta, un chollo para ciberdelincuentes
La campaña de la declaración de la renta puede ser uno de los momentos en que nuestros datos estén más expuestos a la ciberdelincuencia. No debemos olvidar nunca que “los malos” acechan y aprovechan cualquier resquicio para actuar. Hoy os explicamos un par de ejemplos de como aprovechan nuestras debilidades. Por un lado la campaña de la renta, con un trasiego sin fin de datos por la red y por otro lado, las falsas ofertas de empleo que esconden un blanqueo de dinero. A las personas que caen en este engaño se les llama muleros, porque acaban transfiriendo dinero de una cuenta a otra a cambio de una comisión.
No hay nada más suculento para unos ciberdelincuentes que una campaña online masiva organizada desde la Administración. Y eso es exactamente lo que ocurre con las presentaciones online de las declaraciones de la renta.
Para empezar, el contribuyente puede solicitar sus datos a la Agencia Tributaria, accediendo al servicio de tramitación del borrador de la declaración. El sistema es bastante seguro, ya que se precisa un sistema Cl@ve PIN, un DNI electrónico o un certificado electrónico.
Pero no todo el monte es orégano y hay que recordar que también hay un servicio online de ayuda. Un simulador que no requiere identificación previa ni datos fiscales válidos de los usuarios. Nos estamos refiriendo al servicio Renta Web.
La Agencia Tributaria también tiene el servicio de declaración de la renta vía móvil, tanto en AppStore como en Play Store. Naturalmente para usar este servicio la identificación es obligada.
Todos estos procedimientos suelen ser seguros, pero nunca deberíamos fiarnos al cien por cien. Pero lo peor está por llegar, porque muchos ciudadanos, lo que hacen con sus borradores, facturas, datos, etc. es enviarlos por correo electrónico a sus gestores. Y ahí sí que nuestra desprotección es abismal.
Según la empresa Fortinet, especializada en soluciones de ciberseguridad automatizadas, los ciberdelincuentes buscan especialmente propietarios de pequeñas empresas (porque suelen estar más desprotegidos), nuevos contribuyentes menores de 25 años (porque no tienen experiencia en tramitar sus declaraciones) y mayores de 60 años (porque suelen cometer errores de seguridad).
A todo esto se le añaden las campañas de phishing que suplantan a organismos de la Administración, como el Ministerio de Hacienda o la propia Agencia Tributaria. Y las de vishing, que consisten en llamadas telefónicas de personas que dicen trabajar para estos organismos y solicitan datos personales. Bitdefender, por ejemplo, identificó a principios de abril, una campaña de malware spam que utilizaba falsas solicitudes para reclamar pagos de IVA pendientes.
En este artículo publicado hace unos meses comentábamos también estas técnicas que usan los ciberdelincuentes para robar contraseñas AQUÍ.
Los muleros y el blanqueo de dinero
Pasar dinero de una cuenta bancaria a otra para blanquear dinero es una práctica que se puso en marcha hace ya muchos años. Pero los ciberdelincuentes la mantienen, porque les supone un negocio redondo. El engaño comienza con un falso anuncio de trabajo en el que se promete dinero fácil trabajando solo unas horas al día y desde casa, gestionando pagos y cobros. La realidad es que la persona que se interesa por este “trabajo” lo que acaba haciendo es blanquear dinero, transfiriéndolo de una cuenta a otra a cambio de una comisión. A este tipo de “trabajadores” se les llama muleros.
Y están de moda porque los cibercriminales vuelven a reclutarlos gracias a la banca online y el uso de aplicaciones móviles. Según un informe de la compañía ESET, especializada en software de ciberseguridad, el robo de dinero desde cuentas bancarias ha aumentado considerablemente. ¿Por qué? Pues porque ahora los mensajes de trabajo llegan directamente a los móviles de los usuarios de forma indiscriminada. Y porque ahora incluso llegan a ofrecer falsos contratos de trabajo.
El tema es grave, porque puede acarrear consecuencias penales a los incautos que realizan estas transferencias desde sus domicilios. Tanto es así que la Policía Nacional no dudó en hacer una campaña de concienciación.
Podéis leer más atentamente el modus operandi de esta práctica en este artículo del blog de ESET firmado por Josep Albors, Director de Investigación y Concienciación de ESET España.
- Published in Ataques / Incidencias, General, Protección de datos
IntelCon 2022: la comunidad Ginseg empieza los preparativos
El Congreso online gratuito de Ciberinteligencia IntelCon 2022 empieza a andar. La edición de este año tendrá lugar en el mes de julio. Pero a partir de hoy, 1 de abril, ya se abre el CFP o Call for Papers. Como en años anteriores, TECNOideas apoya este certamen, uno de los más destacados del calendario del sector.
El Call for Papers es lo que se conoce en el mundo académico como un llamamiento para contribuciones o para publicar. Es decir recoger artículos o propuestas de conferencias para un congreso, que en este caso se trata de uno de los certámenes más importantes del mundo de la ciberinteligencia, como ya os hemos ido informando en ediciones anteriores de IntelCon. Podéis leer el artículo sobre IntelCon 2021 que publicamos en este blog. Pero si estáis más interesados en saber los objetivos de los organizadores y el trabajo que realiza la Comunidad de Ciberinteligencia Ginseg es animamos a leer la charla que mantuvimos con Iván Portillo y Wiktor Nykiel el año pasado y que publicamos en agosto, justo cuando empezaba el congreso 2021, que fue 100% online.
Apúntate ahora y da a conocer tus propuestas, estudios, descubrimientos…
¿Quieres participar dando una ponencia o taller relacionado con la Ciberinteligencia? Actualmente está abierto el CFP para ponentes con la siguiente estructura:
- Impartiendo alguna de las sesiones del itinerario (45 minutos)
- Impartiendo sesión práctica a modo taller (90 minutos con descanso)
- Presentando CFP libre (30 y 45 minutos). Opción de presentar anónimamente bajo un pseudónimo una charla, debido a temática de carácter especial / confidencial.
- Presentando solución, producto o servicio relacionado con la temática del congreso, con esponsorización de los patrocinadores (30 y 45 minutos).
IntelCon 2022: la comunidad Ginseg empieza los preparativos. El congreso os espera, así que SAVE THE DATE!!! La cita es a finales de julio.
Si estáis interesados, tenéis más información AQUÍ.
Y si queréis ver todo lo que sucedió en el congreso del año pasado, los temas y ponentes, clicar AQUÍ.
Día Internacional de la Mujer: situación del sector de la ciberseguridad
En el año 1975, la Organización de las Naciones Unidas proclamó el 8 de marzo como el Día Internacional de la Mujer. Fue el reconocimiento oficial a una lucha de más de cien años durante los cuales se han reivindicado los derechos básicos para las mujeres de todo el mundo. Hoy hemos querido ver como anda el ámbito tecnológico en general y el de la ciberseguridad en particular en cuanto a igualdad y empleabilidad.
Realmente el tema tecnológico debería ser uno en el que menos hubiera discriminación salarial o techos de cristal. Pero algunas cifras nos demuestran que no es así. Según el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, (ISC) 2, la presencia de mujeres en el sector de la ciberseguridad a nivel mundial es de tan solo un 24%. Lo podéis leer AQUÍ.
Hay varios estudios que ponen de manifiesto esto, como el 2017 Global Information Security Workforce Study: Women in Cybersecurity que firman varias instituciones.
“2017 Global Information Security Workforce Study”.
Pero en lo que todo el mundo parece estar de acuerdo es en que la ciberseguridad necesita mujeres. Según Winifred R. Poster, profesora de asuntos internacionales en la Universidad de Washington, St. Louis, Missouri, las mujeres representan solo el 11% de los profesionales de la ciberseguridad en todo el mundo y solo el 14% en América del Norte. Además recuerda que el cibercrimen exacerba las desigualdades, ya que un millón más de mujeres estadounidenses que de hombres sufrieron robo de identidad en 2014. Tanto es así que asegura que “el futuro de la ciberseguridad depende de su capacidad para atraer, retener y promover a las mujeres, que representan un recurso altamente calificado y poco explotado. La disciplina también necesita aprender sobre las experiencias de las mujeres como víctimas del delito cibernético y los pasos necesarios para abordar el desequilibrio del daño.” (Revista Nature, mayo 2018.)
Sin embargo, históricamente ha habido grandes mujeres trabajando en ciberseguridad. En el mismo artículo de Nature se cuenta algunos de los casos más interesantes, como las codificadoras de mensajes cifrados de la II Guerra Mundial. Pero… ¿por qué estas mujeres no son conocidas, y ha costado tanto reconocer su trabajo? Sin duda esta falta de mujeres a las que tener como “ídolas” a seguir, motiva que muchas mujeres de nuestro entorno sigan sin ver posible estudiar y trabajar en posiciones importantes dentro del mundo de las TIC. Y eso a pesar de que las candidatas para trabajos de seguridad cibernética tienden a tener más estudios y preparación que los hombres:
• Las mujeres profesionales tienen más probabilidades de tener un máster o un título superior (51 % de mujeres en todo el mundo, en comparación con 45 % de hombres).
• Las mujeres también tienden a aportar una experiencia más amplia. Aunque tanto hombres como mujeres se capacitan extensamente en informática, información e ingeniería, es más probable que los títulos de las mujeres provengan de campos como negocios, matemáticas y ciencias sociales (44% para mujeres, en comparación con 30% para hombres).
Otro problema es el referido a las actitudes sexistas que siguen abundando actualmente, por ejemplo, en el deseado californiano Silicon Valley. En el año ¡¡¡2017!!!! un empleado masculino de Google filtró un memorando en el que se argumentaba que “las mujeres son biológicamente inadecuadas para el campo de la tecnología”. El gobierno federal de EE.UU. ha presentado demandas contra empresas tecnológicas por discriminación salarial por motivos de género.
Sin irnos de nuevo a Estados Unidos, vemos que la situación es parecida en nuestro país. Según el Barómetro del sector tecnológico y su ecosistema en Cataluña 2021, que elabora la Fundación Cercle Tecnològic de Catalunya, Ctecno, “la mujer ha tenido hasta ahora un rol mucho más presente en tareas financieras, administrativas o de marketing, que no en posiciones relacionadas con el núcleo de negocio como por ejemplo operaciones o sistemas. Un año más se ve como las incorporaciones de mujeres en estas posiciones TIC siguen están en niveles muy inferiores al deseado, haciendo que la desigualdad entre mujeres y hombres siga siendo muy grande. Cómo podemos observar en los resultados obtenidos en esta edición del barómetro, solo un 6% de las posiciones TIC de las empresas catalanas están ocupadas por mujeres”.
Pero también España tenemos buenos ejemplos que deberíamos seguir. Es el caso del evento Ciberwoman, organizado hace unos años por Ciberenred, una plataforma de concienciación sobre ciberseguridad. Otro buen ejemplo es el foro #mujeresciber, que trata la brecha de género en digitalización que organiza el INCIBE.
Estamos seguros que en los próximos años tendremos muchas más mujeres en nuestro sector. Cada vez hay más opciones de estudiar ciberseguridad, como nos contó en esta entrevista Amador Aparicio, ingeniero informático y docente.
Y puestos a recordar entrevistas, no puede faltar hoy aquí la que realizamos a Yolanda Corral, mujer cibersegura desde diversas vertientes: periodista, conferenciante, formadora en ciberseguridad, presentadora de eventos… Un ejemplo donde muchas de las mujeres que siguen nuestro blog pueden verse reflejadas.
Finalmente no olvidemos que Paz Esteban es la actual directora del Centro Nacional de Inteligencia y Rosa Díaz es la directora general del INCIBE.
Si estáis interesados en conocer un poco la historia del 8M, podéis enlazar con la web de las Naciones Unidas. Cada año hay un tema específico y para este 2022, es “Igualdad de género hoy para un mañana sostenible”. Los motivos se explican en la web ONU Mujeres.
Finalmente, para las cinéfilas y cinéfilos os recomendamos esta lista de películas sobre mujeres inspiradoras.
Imagen principal: cartel del Día Internacional de la Mujer 2022 en la web ONU MUJERES.
¿Cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?
Desde hace algún tiempo se habla mucho de los certificados digitales. Se trata de un medio que garantiza la identidad de una persona, empresa o entidad en Internet. Permite realizar trámites con la Administración y otros portales, de forma más segura, rápida y cómoda. Para los autónomos y sociedades es fundamental contar con un certificado digital, ya que la Agencia Tributaria obliga a presentar una serie de documentos de forma telemática. Pero… ¿cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?
El problema de los certificados digitales llega cuando es un gestor o un despacho profesional o una empresa que se ocupa de todos los trámites de sus clientes. Y….
● … ¿qué pasa entonces? Lo que suele ocurrir es que solicitan una copia y la contraseña del certificado digital a sus clientes.
● ¿Y qué ocurre? Que ese certificado y su contraseña va de mano en mano cada vez que alguien de la oficina debe hacer un trámite. Porque normalmente el que se ocupa de la Seguridad Social es uno y el que hace la declaración de la renta es otro. Y así sucesivamente, porque son muchas las gestiones con la Administración: realizar consultas y/o peticiones, enviar documentación o firmar documentos para la Agencia Tributaria, la Dirección General de Tráfico y muchas otras. Así lo explican en la web de Holded, un útil programa de gestión para empresas, y que nosotros usamos en nuestro día a día.
● ¿Y si el trabajador de la empresa teletrabaja? Pues se lleva el certificado y la contraseña a su ordenador personal
–si no tiene de empresa– para realizar los trámites desde su domicilio.
● ¿Dónde guarda la empresa este certificado? Normalmente en una carpeta que forma parte de un árbol de clientes donde se acumulan los certificados de todos ellos.
● Pero eso, ¿cumple la ley de Protección de Datos? Evidentemente, no.
● ¿Y a efectos de ciberseguridad, qué nivel de seguridad es ese? Está claro, ¿no? ¡Ninguno!
● ¿Qué ocurre si es despacho profesional, gestoría o empresa desea certificarse con la ISO 27001, otra normativa, o pasar una auditoría externa? Pues que no va a poder ser. Uno de los primeros ítems que se precisa es tener muy bien preservado los datos sensibles como es un certificado digital.
¿Qué es exactamente un certificado digital?
Un certificado digital no es más que un fichero informático firmado electrónicamente por un prestador de servicios de certificación, como podéis leer en la Wikipedia. Normalmente existen dos claves, una privada y otra pública y trabajan de forma complementaria.
Tenéis información al respecto en el portal de la administración electrónica del Gobierno AQUÍ.
Estos certificados digitales se pueden obtener en diferentes lugares, pero el más usado y típico es obtenerlo a través de la Fabrica Nacional de Moneda y Timbre, siguiendo las instrucciones que encontraréis en su web. El trámite es relativamente sencillo, aunque a veces parece que cuesta sacarlo. Por supuesto hay que pagarlo, entre 14 y 29,04 euros, para las personas jurídicas.
Otra cosa importante es que hay que estar atento a su caducidad, que suele estar en torno a los dos años. Puede renovarse hasta dos meses antes de la fecha final.
¿Cómo gestionar estos certificados?
Se suelen guardar como copia, en una carpeta, casi siempre sin contraseña, tanto en el repositorio, como en el mismo certificado. El certificado se instala localmente en cada máquina de cada usuario, lo que implica que las gestiones se deben hacer con el mismo navegador con el que se ha obtenido o importado. Con él se se suelen realizar una o varias peticiones, al año, trimestre o mes, según las necesidades de cada cual. Pero ¡cuidado!, porque normalmente la trazabilidad, gestión, y control, es ínfimo.
Hay que saber que el mercado ofrece varias opciones para gestionar los certificados digitales, tanto propios como de terceros, tanto integrados en programas de gestión, como en webs, aplicativos o a través de servidores on-premise, o en cloud. No os asustéis por estos términos. Un software on-premise no significa otra cosa que se instala en los servidores y dispositivos locales de las empresas, a diferencia del cloud, en cuyo caso los servidores están en la nube.
Nosotros, ya que era una necesidad constatada de nuestros clientes, hemos empezado a trabajar con uno de los mejores softwares, Redtrust, que es de una empresa española, adquirida el año pasado por la empresa de Estados Unidos, Keyfactor.
Redtrust es una solución que permite el uso seguro, controlado y centralizado de los certificados digitales de vuestra empresa y vuestros clientes, sin que estos lleguen a estar almacenados en las estaciones de trabajo de los usuarios.
Su software permite hacer todo lo que necesita una empresa con muchos certificados, TANTO SUYOS COMO DE TERCEROS, ya sea a través de una solución en servidor propio, dentro de la empresa, o en una máquina virtual o cloud. El listado de acciones es enorme, pero aparte de subirlos a un repositorio seguro, etiquetarlos, asignarles usuarios o grupos, se puede dar permisos de uso, de firma, a usuarios, a URLs concretas o acciones.
Si el usuario que tiene que hacer alguna gestión tiene muchos certificados asignados, puede, antes de realizar dicha gestión, buscar en el agente que se instala, los certificados a usar, para que no tenga que mirar el listado interminable en la ventana emergente que sale en este tipo de acciones.
Finalmente tenemos avisos por uso debido o indebido, o un registro con todas las acciones, para auditar todas las acciones y ver si concuerdan. Esto nos evitará, duplicidades (o muchas más) instalaciones de certificado, que cualquiera pueda consultar datos, o lo que es peor, realizar acciones no demandas, y sobre todo tener un control exhaustivo de nuestros certificados, y de su caducidad, para adelantarnos, y evitarnos las engorrosas gestiones de una vez caducados.
¿Es vuestro caso?
¿Gestionáis multitud de certificados digitales y no sabéis cómo controlarlo?
Pensad que sois responsables de esos certificados y de las acciones que se realicen.
Así que si necesitáis ayuda con este tema no lo dudéis y poneros en contacto con nosotros.
TECNOideas puede daros este servicio, de forma aislada si lo deseáis. Es decir que no es necesario que nos ocupemos de vuestras redes para daros este servicio,
aunque sí es recomendable, claro.
Imagen principal: Gert Altmann en Pixabay.
- Published in Anàlisi forense, Consultoría, Privacidad
Explicando nuestros servicios (II): CISO externo
Después de nuestro último artículo en el que explicábamos nuestro servicio de auditoría, hoy queremos adentrarnos en el mundo de los CISO. Porque sigue siendo un gran desconocido en todo el entorno empresarial que no esté estrechamente ligado a temas tecnológicos.
La verdad es que poco a poco vamos cayendo en el lenguaje anglosajón y sus derivados. Por ello las funciones que se desarrollan en lo alto de la cúspide de una empresa han pasado a ser conocidas por siglas. El ejemplo más claro y usado en la actualidad es el del CEO, que se corresponde con el cargo más alto del organigrama empresarial y que vendría a ser el director ejecutivo o gerente o director general. Pero hay muchas más siglas para definir estos cargos. Lo podéis leer en este artículo de la web del INCIBE.
Pero… ¿qué porras es un CISO?
CISO viene del inglés, Chief Information Security Officier. O sea director de seguridad de la información. Este cargo que parece salido de una novela de Ian Fleming o de John le Carrée es esencial, porque se ocupa de alinear la seguridad de la información con los objetivos de negocio de su empresa. O sea, es el responsable de que toda la información de la empresa está bien protegida. Por lo tanto es un cargo ejecutivo, cuya función está muy próxima a las grandes decisiones de la dirección de la empresa.
¿Qué responsabilidades tiene?
Cada empresa tiene unas peculiaridades propias, según el sector, el tamaño, la actividad… Pero hay una serie de responsabilidades generales que resumimos a continuación:
- Responsabilizarse de organizar la arquitectura de seguridad de su empresa.
- Garantizar la seguridad y la privacidad de los datos de la empresa, de sus trabajadores y proveedores.
- Supervisar el control de acceso a la información y documentos más sensibles de la empresa que define la dirección general. ¿Quién debe tener acceso a qué?
- Responsabilizarse de la rápida respuesta ante incidentes de seguridad y/o ciberataques.
Es muy importante señalar que las funciones del CISO van variando continuamente, porque la ciberseguridad es como un ente vivo, que va modificándose constantemente. Nuevas leyes, nuevas normativas, nuevas formas de actuación por parte de los ciberdelincuentes, etc. Por ello exige que el CISO esté siempre al día y se encargue de nuevos roles impensables hace unos años.
En España, ¿qué sectores están obligados por ley a contar con un CISO?
Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO. Concretamente:
Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, que tengan su residencia en España.
Tenéis más información al respecto AQUÍ.
“La ley permite que las empresas obligadas a ello, tengan un CISO EXTERNO.
Es la mejor opción para una gran mayoría de pymes.”
¿Cuál es la problemática actual de los CISO de una empresa?
Hay varias problemáticas que cualquier empresa debe afrontar con el cargo del CISO. Vamos a enumerar las más frecuentes.
- Recursos Humanos. Es un cargo ejecutivo y de mucha responsabilidad. Por ello se requieren profesionales muy cualificados y experimentados. No abundan los profesionales con este perfil y los que hay tienen una retribución bastante elevada.
- ¿Un puesto desatendido? El CISO puede enfermar, tiene que disfrutar sus vacaciones y tiene los fines de semana libres. Pero los problemas en los sistemas de seguridad no saben de todo esto y los ciberdelincuentes sí. Pueden producirse incidentes en cualquier momento.
- El aumento constante de los incidentes por parte de ciberdelincuentes ha motivado que algunos CISO prefieran ocupar otros puestos de menor responsabilidad dentro de la empresa debido al estrés constante que lleva implícito el cargo de CISO y el subsiguiente burnout (estar “quemado”).
Podéis leer algunos de los problemas de los CISO en ESTE ARTÍCULO. - Cierto que el CISO puede contar con un pequeño equipo que siga sus instrucciones. Pero normalmente no suele ser de la empresa, sino externos, subcontratados. Ergo… ¿por qué no externalizar el servicio de CISO desde el principio?
¿En qué consiste el servicio de CISO EXTERNO que ofrece TECNOideas?
- Auditoria de la infraestructura, poco a poco durante los primeros meses.
- Auditoría de políticas, o creación de las mismas, para auditorias externas, Isos, otras normativas, etc.
- Revisión de assets (activos) públicos y correo electrónico (dominios propios).
- Monitorización remota 24 horas al día. Aparte de realizar un inventario de la infraestructura, se hace un análisis comparativo de posibles trazas de malware, de vulnerabilidades específicas de software o hardware, etc.
- Campaña phising simulada, periódica.
- Formación. Porque todas las medidas pasan por el eslabón más débil, el empleado. Hay que concienciarlo y hacerle participe de las políticas de la empresa en cuando a ciberseguridad.
- Gestión de planes: anuales, bianuales, planes de recuperación, contra incidentes, etc.
- Recomendaciones. Todo lo que veamos que se puede mejorar, o necesite la empresa, lo haremos, en los informes mensuales, trimestrales o anuales.
“Una de las ventajas de contar con TECNOideas como CISO externo
es su servicio de monitorización constante 24/7.”
¿Qué ha de valorar un CISO según la ley española y que ofrece TECNOideas?
- Análisis y gestión de riesgos. Infraestructura interna y protocolos.
- Gestión de riesgos de terceros o proveedores. Revisar tanto contratos como técnicamente servicios que contrate el cliente.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Serie de recomendaciones según lo que se descubra.
- Gestión del personal y profesionalidad. Formación, formación y formación.
- Adquisición de productos o servicios de seguridad. Comprar e instalar o bien asesorar sobre cualquier software o hardware que precise la empresa.
- Detección y gestión de incidentes. Monitorización, e intervención cuando sea necesario.
- Planes de recuperación y aseguramiento de la continuidad de las operaciones. Gestión, control o asesoramiento en temas de backups, y por supuesto, simulaciones para recuperación de datos.
- Mejora continua.
- Interconexión de sistemas.
- Registro de la actividad de los usuarios.
“Es muy importante señalar que las empresas
deben facilitar los medios y poner todo el empeño
en realizar sus tareas, para llegar a los objetivos planteados.”
No lo dudéis: tener un CISO EXTERNO es la mejor opción de ciberseguridad para vuestra empresa.
Consultad como podemos ayudaros y pedidnos un presupuesto:
os sorprenderán nuestras tarifas escalables según vuestras necesidades.
- Published in Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Entrevista a FlagHunters by HackMadrid
Como sabéis los que nos seguís habitualmente y los que no, os lo explicamos ahora, nos encantan las conferencias donde se comparte conocimiento de y para hackers o futuros hackers. Por ello intentamos colaborar, en la medida de lo posible, en cuantas más mejor.
Hace ya un par de años que empezamos a colaborar con HackMadrid y su TechParty. Así que cada vez que se lían la manta a la cabeza, intentamos estar a su lado.
Para que no haya malentendidos y por si todavía tenemos a alguien que ignora el significado real de la palabra hacker, debéis leer este artículo de nuestro blog y su segunda parte, que tenéis AQUÍ.
Una vez ahuyentado el miedo a la palabra nos adentramos en lo que es HackMadrid. Ya os adelantábamos en la introducción que se han hecho fuertes en la organización de CTFs, tanto para ellos, (el último fue en abril), como para otras CON de España. Os recordamos que un CTF es un juego, que toma el nombre del inglés Capture the Flag.
Hoy charlamos con los responsables de la organización de estos CTFs, para que nos expliquen cómo surgió, qué hacen, cómo lo hacen y lo que nos espera en el futuro.
Para empezar, para los que todavía no os conocen, ¿qué es HackMadrid y HackBarcelona? ¿Y flagHunters?
HackMadrid es una comunidad no solo orientada al hacking sino a la tecnología y la filosofía de vida del hacker, esta orientada para todos los niveles, desde los que se quieran iniciar hasta para los mas avanzados.
Hackbarcelona parte de esa misma filosofía, buscando emular y compartir con esencia propia lo mismo de una manera regional mas arraigado en la zona de Cataluña.
Buscan compartir el conocimiento con el mismo formato, que vendría a ser charlas, talleres CTFs, etc.
Por otra parte, flagHunters nace como equipo de CTF para HackMadrid que luego, por su peculiaridad, se amplió a todo el ámbito nacional e internacional. Tenemos jugadores de casi todas las regiones de España y nuestra estrella es de Bolivia.
¿Como surgió la idea de organizar vuestro primer CTF? ¿Y lo de ayudar a otras CON?
Pues nace de la misma forma en que nace el equipo. Si se tiene un equipo para jugar, también el equipo esta en su deber formativo y de retribución de poder crear contenido para los demás, para compartir conocimiento.
Lo de ayudar a otras CONs, va de lo mismo es dentro de la misma ambicion de compartir y colaborar, es llegar y prestar servicio a aquellos que necesitan ayuda, en este caso la de nuestra especialidad.
Hemos hablado algunas veces en este blog de los CTF. Pero para los que aún no lo saben, ¿podéis explicarlo? ¿Cómo ayuda a los hackers o posibles o futuros?
El CTF para resumir, es un juego de conocimiento, en donde hay una series de retos que hay que superar para ir consiguiendo banderas dentro de los mismos. Las banderas tienen una puntuación que se va acumulando y al final gana el que tiene mas puntos.
La parte que ayuda a los demás es precisamente la parte del conocimiento, pues estos retos ayudan a compartir diferentes puntos de vista, tanto del creador como de los que resuelven el reto. Por un lado los que resuelven adquieren conocimiento nuevo, además de desarrollar ese “músculo” tan preciado que es el cerebro. Este nuevo conocimiento adquirido, si se comparte, pues se comparten diferentes soluciones a un mismo problema. Luego está el lado del desarrollador de los retos, que comparte su problema y también su solución.
Ya organizáis, y corregirnos si nos equivocamos, los siguientes CTF:
World party 2020, MorterueloCon, MoonCTF, HBSCon, World party 2021. Y además tenéis en mente PaellaCTF, que forma parte del World Party 2021 ¿Alguno más?
Pues sí, queremos como objetivo de equipo, establecer dos CTF por año. Serian el MoonCTF y el PaellaCTF (CTF que variará la temática), además de seguir colaborando con nuestras CONs amigas.
“Un CTF es un juego de conocimiento, en donde hay una series de retos
que hay que superar. Hay una parte importante de ayuda a los demás
para compartir conocimiento.
Si se tiene un equipo para jugar, también el equipo esta en su deber formativo.”
Con esta influencia a nivel de CONs y CTF, casi podríais montar una liga nacional. ¿Os atreveríais? ¿Qué ayuda necesitaríais? Nos referimos tanto a nivel organizativo como humano y económico, a ver si alguien que nos lee se anima a echar una mano.
Pues es la idea que tiene el loco de Specter metida en la cabeza. Sinceramente, la idea, no solo a nivel nacional, sino también internacional, es que si se juntan bien las cosas, pues sí somos capaces de atrevernos y creemos que podemos realizarlo con las manos adecuadas.
Lo que más necesitamos, como punto numero uno y más allá de los egos, es una unificación organizativa de empresas que quieran participar y meterse. Lo segundo que necesitaríamos es un acuerdo entre las diferentes CONs que quieran participar en el proyecto. Ambos serian sobre todo para la parte de capital dinerario, para los premios, que es lo que motiva bastante a la participación y apoyo a los equipos (transporte, mercadería, dietas, alojamiento, etc.). Pero también para la parte de difusión y atracción del publico local en las diferentes regiones. Por ultimo y no menos importante, estaría el factor humano, que sería principalmente los hacedores de retos, para que así todos pudieran disfrutar.
Soléis tener entre 200 y 300 participantes. ¿Cuál es el perfil tipo? ¿Podéis hablarnos un poco de ellos… edades, si son profesionales del hacking, qué nivel tienen, de qué países son mayoritariamente, etc.?
De los que solemos conocer en las redes las edades son muy variadas. No se puede definir un rango concreto, esto está casi como los puzles de 10 – 99 xD- El nivel de profesionalidad igual, vienen de todos los niveles, incluso gente que ni ejerce. Y del tema de países, de momento podemos hablar de todo lo que es habla hispana, cosa que quisiéramos que se ampliara.
¿Cuál es la principal barrera para que haya aficionados que no se atrevan a dar el paso e inscribirse? ¿El nivel? ¿El miedo a no estar a la altura? ¿Qué les diríais para que se animen?
Pues que no tengan miedo. Y mucho menos con nosotros, ya que aquí hay para todo y de todo. Recuerden que el conocimiento nos hace libres.
Faltan pocos días para que comience el Paella CTF 2021.
Os podéis registrar AQUÍ.
- Published in Entrevistas, Evento, General
Català 
Español