Explicando nuestros servicios (II): CISO externo
Después de nuestro último artículo en el que explicábamos nuestro servicio de auditoría, hoy queremos adentrarnos en el mundo de los CISO. Porque sigue siendo un gran desconocido en todo el entorno empresarial que no esté estrechamente ligado a temas tecnológicos.
La verdad es que poco a poco vamos cayendo en el lenguaje anglosajón y sus derivados. Por ello las funciones que se desarrollan en lo alto de la cúspide de una empresa han pasado a ser conocidas por siglas. El ejemplo más claro y usado en la actualidad es el del CEO, que se corresponde con el cargo más alto del organigrama empresarial y que vendría a ser el director ejecutivo o gerente o director general. Pero hay muchas más siglas para definir estos cargos. Lo podéis leer en este artículo de la web del INCIBE.
Pero… ¿qué porras es un CISO?
CISO viene del inglés, Chief Information Security Officier. O sea director de seguridad de la información. Este cargo que parece salido de una novela de Ian Fleming o de John le Carrée es esencial, porque se ocupa de alinear la seguridad de la información con los objetivos de negocio de su empresa. O sea, es el responsable de que toda la información de la empresa está bien protegida. Por lo tanto es un cargo ejecutivo, cuya función está muy próxima a las grandes decisiones de la dirección de la empresa.
¿Qué responsabilidades tiene?
Cada empresa tiene unas peculiaridades propias, según el sector, el tamaño, la actividad… Pero hay una serie de responsabilidades generales que resumimos a continuación:
- Responsabilizarse de organizar la arquitectura de seguridad de su empresa.
- Garantizar la seguridad y la privacidad de los datos de la empresa, de sus trabajadores y proveedores.
- Supervisar el control de acceso a la información y documentos más sensibles de la empresa que define la dirección general. ¿Quién debe tener acceso a qué?
- Responsabilizarse de la rápida respuesta ante incidentes de seguridad y/o ciberataques.
Es muy importante señalar que las funciones del CISO van variando continuamente, porque la ciberseguridad es como un ente vivo, que va modificándose constantemente. Nuevas leyes, nuevas normativas, nuevas formas de actuación por parte de los ciberdelincuentes, etc. Por ello exige que el CISO esté siempre al día y se encargue de nuevos roles impensables hace unos años.
En España, ¿qué sectores están obligados por ley a contar con un CISO?
Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO. Concretamente:
Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, que tengan su residencia en España.
Tenéis más información al respecto AQUÍ.
“La ley permite que las empresas obligadas a ello, tengan un CISO EXTERNO.
Es la mejor opción para una gran mayoría de pymes.”
¿Cuál es la problemática actual de los CISO de una empresa?
Hay varias problemáticas que cualquier empresa debe afrontar con el cargo del CISO. Vamos a enumerar las más frecuentes.
- Recursos Humanos. Es un cargo ejecutivo y de mucha responsabilidad. Por ello se requieren profesionales muy cualificados y experimentados. No abundan los profesionales con este perfil y los que hay tienen una retribución bastante elevada.
- ¿Un puesto desatendido? El CISO puede enfermar, tiene que disfrutar sus vacaciones y tiene los fines de semana libres. Pero los problemas en los sistemas de seguridad no saben de todo esto y los ciberdelincuentes sí. Pueden producirse incidentes en cualquier momento.
- El aumento constante de los incidentes por parte de ciberdelincuentes ha motivado que algunos CISO prefieran ocupar otros puestos de menor responsabilidad dentro de la empresa debido al estrés constante que lleva implícito el cargo de CISO y el subsiguiente burnout (estar “quemado”).
Podéis leer algunos de los problemas de los CISO en ESTE ARTÍCULO. - Cierto que el CISO puede contar con un pequeño equipo que siga sus instrucciones. Pero normalmente no suele ser de la empresa, sino externos, subcontratados. Ergo… ¿por qué no externalizar el servicio de CISO desde el principio?
¿En qué consiste el servicio de CISO EXTERNO que ofrece TECNOideas?
- Auditoria de la infraestructura, poco a poco durante los primeros meses.
- Auditoría de políticas, o creación de las mismas, para auditorias externas, Isos, otras normativas, etc.
- Revisión de assets (activos) públicos y correo electrónico (dominios propios).
- Monitorización remota 24 horas al día. Aparte de realizar un inventario de la infraestructura, se hace un análisis comparativo de posibles trazas de malware, de vulnerabilidades específicas de software o hardware, etc.
- Campaña phising simulada, periódica.
- Formación. Porque todas las medidas pasan por el eslabón más débil, el empleado. Hay que concienciarlo y hacerle participe de las políticas de la empresa en cuando a ciberseguridad.
- Gestión de planes: anuales, bianuales, planes de recuperación, contra incidentes, etc.
- Recomendaciones. Todo lo que veamos que se puede mejorar, o necesite la empresa, lo haremos, en los informes mensuales, trimestrales o anuales.
“Una de las ventajas de contar con TECNOideas como CISO externo
es su servicio de monitorización constante 24/7.”
¿Qué ha de valorar un CISO según la ley española y que ofrece TECNOideas?
- Análisis y gestión de riesgos. Infraestructura interna y protocolos.
- Gestión de riesgos de terceros o proveedores. Revisar tanto contratos como técnicamente servicios que contrate el cliente.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Serie de recomendaciones según lo que se descubra.
- Gestión del personal y profesionalidad. Formación, formación y formación.
- Adquisición de productos o servicios de seguridad. Comprar e instalar o bien asesorar sobre cualquier software o hardware que precise la empresa.
- Detección y gestión de incidentes. Monitorización, e intervención cuando sea necesario.
- Planes de recuperación y aseguramiento de la continuidad de las operaciones. Gestión, control o asesoramiento en temas de backups, y por supuesto, simulaciones para recuperación de datos.
- Mejora continua.
- Interconexión de sistemas.
- Registro de la actividad de los usuarios.
“Es muy importante señalar que las empresas
deben facilitar los medios y poner todo el empeño
en realizar sus tareas, para llegar a los objetivos planteados.”
No lo dudéis: tener un CISO EXTERNO es la mejor opción de ciberseguridad para vuestra empresa.
Consultad como podemos ayudaros y pedidnos un presupuesto:
os sorprenderán nuestras tarifas escalables según vuestras necesidades.
- Published in Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
5 motivos para preferir un CISO externo en ciberseguridad
Damos por hecho que a estas alturas la mayoría de empresas saben que la ciberseguridad hay que tomársela en serio. Para ello es imprescindible tener la figura de un CISO (director de seguridad de la información). Pero este puesto tan necesario puede externalizarse y os vamos a dar 5 motivos para preferir un CISO externo de ciberseguridad.
1. El problema de los fines de semana, puentes y vacaciones
Acabamos de regresar del mes de vacaciones por excelencia en nuestro entorno. Pero las cosas cambian. Cada vez hay menos empresas que cierran en época estival, aunque eso sí, reducen considerablemente su actividad y eso incluye a los socios tecnológicos.
Como hemos advertido en más de una ocasión, los ciberdelincuentes (que no los hackers, recordad que esos son los “buenos”), saben aprovechar las debilidades de las empresas que tienen en su punto de mira. Esto significa que cuando tienen opciones de entrar, lo hacen. ¿Y qué mejor que aprovechar las debilidades del sistema en un fin de semana, un puente, unas vacaciones? Es entonces cuando el equipo técnico está debilitado o ausente y la capacidad de reacción es nula o muy lenta. También es cuando algún empleado no formado adecuadamente se convierte en un insider (personas dentro de una compañía que divulgan información sensible sobre su empresa).
Todos estos problemas no existen si se externaliza el servicio del CISO, porque la detección y gestión de incidentes no descansa y hay una vigilancia proactiva de 24 horas/7 días a la semana.
2. Los problemas de Recursos Humanos que genera tener un CISO en plantilla
Uno de los motivos por los que las empresas no tienen un CISO de ciberseguridad en nómina es debido a los problemas que conlleva en cuanto a Recursos Humanos. Los principales problemas vienen de la falta de personal adecuadamente formado para esta función. La demanda de profesionales necesarios para cubrir puestos de trabajo relacionados con la ciberseguridad ha aumentado, pero las formaciones actuales aun están lejos de cubrir las necesidades reales del mercado. El resultado es que el sueldo de un CISO profesional es considerable. Además es preciso que tenga un mínimo de equipo para cubrir todas las horas del día, las posibles bajas por enfermedad, vacaciones o cualquier otra contingencia que pueda producirse.
El servicio de CISO externo significa un ahorro significativo para una empresa, por la diferencia entre el coste del servicio y el sueldo del profesional cualificado.
3. Los expertos en ciberseguridad sufren burnout
El tema de los trabajadores “quemados” en el sector ha sido una constante durante el mes de agosto. La imposibilidad de desconectar, el miedo a que se produzca un ciberataque, la angustia que provoca la duda constante de saber si se sabrá reaccionar a tiempo y evitando grandes males a la empresa son las principales causas de este síndrome. Y es que hay una muy estrecha línea entre la ciberseguridad y la salud mental de sus trabajadores. Este estrés continuo provoca que el tiempo medio que aguanta un analista de seguridad en su puesto de trabajo sea de 26 meses en Estados Unidos. Así lo revela un estudio del Instituto Ponemon (institución que promueve el uso responsable de la información y las prácticas de gestión de la privacidad dentro de las empresas y el gobierno) y FireEye (empresa californiana que provee servicios de análisis y prevención de vulnerabilidades) que se dio a conocer el año pasado.
La conciliación familiar es también difícil para estos trabajadores, especialmente por los horarios de trabajo y el tener que estar siempre localizables. El resultado de todo ello es que buscan una mayor tranquilidad laboral y no tener que estar pendientes de posibles emergencias cuando acaban su horario de trabajo.
Si estáis interesados en saber más sobre este llamativo tema, os recomendamos la lectura de este artículo de Business Insider publicado la semana pasada.
Es evidente que externalizar los servicios de un CISO no comportará para la empresa todos estos posibles problemas de salud de sus trabajadores.
4. La ciberseguridad no puede ser un complemento de la empresa, sino parte del negocio
Así de claro se mostraba Iván Portillo en la entrevista que le hicimos junto a Wiktor Nykiel. Ambos son referentes del mundo de la ciberinteligencia y lo tienen muy claro. Todas las pymes y grandes empresas tienen que destinar partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Además, como ellos se encargan de recordarnos, “no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.”.
También en TECNOideas lo tenemos claro: hay que construir la ciberseguridad desde el mismo momento que hay un proyecto empresarial. Ambos han de crecer en paralelo. Y para una empresa que comienza no hay nada mejor que externalizar este servicio. Dejarlo en manos de profesionales capaces de asesorar, recomendar y buscar las mejores soluciones en todo momento, así como mantener todos los equipos actualizados. Y si además ofrece formación adecuada para todos los niveles de trabajadores de la empresa, mucho mejor.
El tema se ha complicado mucho con el teletrabajo y la necesidad de extender la ciberseguridad a los hogares de los trabajadores. Ya os hemos informado sobradamente de los peligros que entraña el teletrabajo. El servicio externalizado permite más fácilmente ampliar la ciberseguridad a los equipos domésticos.
Externalizar este servicio significa estar siempre al día en cuanto a actualizaciones de ciberseguridad y opciones de formación para todos los niveles de trabajadores de la empresa.
5. La ley obliga a tener un responsable de la seguridad de la información y permite que este servicio sea externo
El marco normativo es muy claro. Establece que los operadores de servicios esenciales deberán nombrar una persona u órgano colegiado responsable de la seguridad de la información. Ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y los Equipos de Respuesta a Incidentes de Ciberseguridad (CSIRT) de referencia. Este servicio puede ser externalizado.
La ley se aplica a los operadores de servicios esenciales dependientes de las redes y sistemas de información de diversos sectores estratégicos. También a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
Las empresas que externalizan este servicio cumplen la normativa legal mucho antes que las que optan por buscar e incorporar un CISO a su plantilla.
Si tenéis dudas sobre estos 5 motivos para preferir un CISO externo de ciberseguridad
o queréis saber más sobre las tareas propias de un CISO,
podéis acceder a toda la información que tenéis en nuestra web,
en el apartado Servicio CISO Externo.
- Published in Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
Lo último en ransomware; ser nómada digital y un genio cuántico español
En la semana donde el Mobile World Capital (MWC Barcelona) ha sido protagonista de la información tecnológica, nosotros os traemos tres temas que no han ocupado portadas, pero sí han dado que hablar y pensar en el mundo de la ciberseguridad.
Hace unas semanas, en la charla que mantuvimos con Yolanda Corral, reclamaba que la ciberseguridad debería entrar en los medios con más fuerza e intensidad. Estos días el MWC ha acaparado la atención mediática, pero no se ha hablado mucho de ciberseguridad. Así que hoy os traemos tres temas en que, sin ser protagonista, la ciberseguridad está presente.
Ransomware Nefilim y coste humano de los TI y SOC sin recursos suficientes
Un estudio de la empresa Trend Micro ha puesto sobre la mesa el coste humano de los responsables de tomar decisiones de tecnología de la información (TI) y de los centros de operaciones de seguridad (SOC). Según el resultado de una encuesta llevada a cabo a profesionales de empresas de todos los tamaños y sectores, un 70% de los encuestados (66% en España) afirman que su vida privada se ve afectada emocionalmente por su trabajo de gestión de las alertas de amenazas.
En España, un 42% cree que su equipo se ve abrumado por el volumen de alertas y un 48% admite que no confía plenamente en su capacidad para priorizarlas y responder a ellas. El estudio también indica que hasta un 25% de su tiempo lo dedican a lidiar con falsos positivos. Podéis acceder al estudio AQUÍ. Y si preferís un resumen en castellano, lo tenéis en el blog de la empresa, en su versión para España.
No nos deberían extrañar estos resultados, ya que los ciberdelincuentes son cada vez más sofisticados. Los ransomware son ya muy selectivos, adaptables y sigilosos. Y grupos de cibercriminales se aprovechan perfectamente de la sofisticación. Así ocurre con el grupo Nefilim, que tiene como objetivo grandes empresas e instituciones públicas. Dicho de otro modo, se dirigen a las organizaciones que facturan más de 1.000 millones de dólares al año.
Podéis leer lo que ha ganado el grupo Nefilim en un año en este artículo del diario ABC. Entre otras “lindezas” practican la doble extorsión: primero amenazan con filtrar datos sensibles que previamente han sido robados y luego sueltan el ransomware. Además hay distintos grupos de ciberdelincuentes que se encargan de las diferentes fases de los ataques. Todo esto también lo explica Trend Micro en su estudio.
Trend Micro es una empresa multinacional norteamericana, líder global en ciberseguridad, que tiene su sede principal compartida entre Tokio y Texas.
Una posible solución para evitar todo esto, especialmente el coste humano de los responsables de los equipos, es externalizar el servicio. Os recordamos que TECNOideas puede ser vuestro CISO externo y que además ofrecemos un servicio de SOC 24/7, es decir una monitorización constante de los sistemas con apoyo de profesionales de la ciberseguridad, no de sistemas informáticos, que también.
Me voy “pal” pueblo…
… hoy es mi día / Voy a alegrar toda el alma mía. Así cantaban Los Panchos allá por los años 90 del siglo pasado. La despoblación de la España interior ha sido una constante desde mediados del siglo XX. Pero la pandemia, con el teletrabajo y otras muchas cosas, como la necesidad de tener cerca espacios amplios, preocuparse de tener hábitos más saludables o proteger el planeta han puesto en el primer plano de la actualidad la necesidad de reconectarnos con el medio rural. Y han surgido algunas iniciativas muy interesantes. Esta semana, por ejemplo, se ha realizado en Béjar (Salamanca) una prueba piloto de la plataforma Puebloo. Es una iniciativa de tres jóvenes con raíces en los municipios de Santiuste de San Juan Bautista (Segovia), Cardeña (Córdoba) y Guadarrama (Madrid). El objetivo es conectar a los usuarios con el medio rural, frenar la despoblación y difundir la cultura local a través de una red social rural. De momento ya tienen su página web, puebloo.es donde podéis buscar cualquier pueblo o pedanía y su aplicación app.pueblo.es
Podéis leer la noticia publicada en El Periódico AQUÍ.
No es la primera iniciativa de este tipo que conocemos, aunque sí la primera a nivel de toda España. Con anterioridad, en Cataluña ya se puso en marcha Repoblem, con una presencia en Twitter @repoblem, que en poco tiempo ha llegado a los 28.450 seguidores. Su objetivo también es frenar el despoblamiento y buscar personas “con ganas de llenar de vida los pueblos y pueblos con ganas de llenarse de gente”.
Quizá os preguntaréis qué tiene que ver esto con la ciberseguridad. Pues bien, entre algunas iniciativas surgidas con la pandemia está la del teletrabajar en un medio rural. Los coliving y coworking en pueblos empiezan a ser más que un proyecto. Y los nómadas digitales son ya una realidad. También lo empiezan a ser pequeños negocios y servicios a cargo de autónomos o pequeñas empresas que trabajan básicamente online, que se establecen en medios rurales, donde obtienen mejor calidad de vida y precios más asequibles.
Algunas administraciones también han empezado a apostar por ayudar y facilitar la instalación de estas microempresas y los responsables de que haya buenas comunicaciones tecnológicas se están poniendo las pilas, esperando que Internet y el 5G llegue a todos los rincones del país.
El último paso en esta tecnificación y trabajo en medio rural también está a punto de llegar. Se trata de las formaciones, seminarios o reuniones de empresa, donde trabajo, nuevas experiencias y tiempo libre se darán la mano.
TECNOideas está también por la labor y ha abierto una delegación en un pueblo de Lleida, donde os esperamos a todos los que os pille más cerca que nuestra central en Barcelona.
Cuando un ordenador cuántico está en la mente de un investigador español
Los que nos seguís habitualmente ya sabéis que la Inteligencia Artificial (IA) y la cuántica están en nuestra mente desde hace tiempo. Las posibilidades que ofrece son prácticamente ilimitadas y en el campo de la ciberseguridad van a ocasionar un giro espectacular. Por ello mantuvimos una interesante charla con José Luis Hevia y Guido Peterssen, que han diseñado y desarrollado la plataforma de QuantumPath. La primera parte la podéis recuperar AQUÍ. Y la segunda, más centrada en la ciberseguridad en tiempos cuánticos, AQUÍ.
Como veréis, el tema es apasionante y esta semana hemos disfrutado mucho con una entrevista que los profesionales de Xataka han realizado a Ignacio Cirac. Ignacio es un investigador español de primer orden mundial. Está en posesión del Premio Príncipe de Asturias, la Medalla Max Planck y el Premio Wolf, considerado la antesala del Nobel.
Tan interesante nos ha parecido, que hemos decidido que todos vosotros también podáis disfrutar del trabajo realizado por Xataka. AQUÍ tenéis esta entrevista.
Ya veis que aparentemente no tiene nada que ver lo último en ransomware; ser nómada digital y un genio cuántico español. Pero todo ello gira en torno a la necesidad de que los medios de comunicación se impliquen en temas como la ciberseguridad, la tecnología y un futuro que ya asoma por la puerta: la Inteligencia Artificial y el mundo cuántico.
- Published in Ataques / Incidencias, Cuántica, Entrevistas, General, Noticias, Redes sociales, Teletrabajo
¡TECNOideas puede ser vuestro CISO! Una nueva ley obliga a algunas empresas a tener un responsable de ciberseguridad
El Real Decreto 43/2021 de 26 de enero hace referencia a la seguridad de las redes y sistemas de información de diversos sectores estratégicos. Obliga a las empresas implicadas a tener un responsable de la seguridad de la información (CISO) en menos de tres meses. La buena noticia es que esta figura puede ser externa. ¡TECNOideas puede ser vuestro CISO!
Imagen de Gerd Altmann en Pixabay.
Tanto la Unión Europea como el Gobierno de España están decididas a que los delitos cibernéticos no sean un continuo dolor de cabeza para las empresas. Tras la puesta en marcha del Esquema Nacional de Seguridad (ENS) se acaba de publicar ahora en el BOE el nuevo Real Decreto 43/2021 de 26 de enero por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Lo podéis leer AQUÍ.
La ley afecta a las empresas que trabajen en el marco de los servicios esenciales dependientes de diversos sectores estratégicos y a los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube. La ley también especifica que las empresas afectadas deben facilitar los medios y poner todo el empeño para que el responsable de ciberseguridad pueda realizar adecuadamente sus tareas, que a nivel general son:
- Anàlisi i gestió de riscos.
- Gestió de riscos de tercers o proveïdors.
- Catàleg de mesures de seguretat, organitzatives, tecnològiques i físiques.
- Gestió del personal i professionalitat.
- Adquisició de productes o serveis de seguretat.
- Detecció i gestió d'accidents.
- Plans de recuperació i assegurament de la continuïtat de les operacions.
- Millora contínua.
- Interconnexió de sistemes.
- Registre de l'activitat dels usuaris.
Las ventajas de externalizar este servicio
Las empresas que no sean grandes o que no puedan disponer en plantilla de un responsable de ciberseguridad, pueden contratar externamente este servicio.
Esta opción tiene muchas ventajas para las empresas, por la diferencia entre el coste del servicio y el sueldo que puede tener un CISO profesional. También permite que las empresas se centren en su actividad profesional sin tener que preocuparse de todos estos temas, ya que las funciones del CISO van a ser importantes y laboriosas:
a) Elaborar y proponer las políticas de seguridad para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes.
b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización y llevar a cabo controles periódicos de seguridad.
c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.
d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios.
f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.
¡TECNOideas puede ser vuestro CISO!
Estamos cualificados para cumplir
todos los requisitos que marca la ley.
Contactadnos ahora
y comprobad todo lo que podemos hacer
para que vuestra empresa cumpla la ley
sin mayores problemas.
- Published in General, Noticias, Seguridad, Sobre TECNOideas
Català 
Español