Acuerdo de colaboración entre Centro Zaragoza y Global Technology

Carlos Arregui y Enrique Polanco, en representación de Centro Zaragoza y Global Technology respectivamente, se reunieron el pasado día 10 de septiembre para formalizar una alianza estratégica que consolida a Global Technology como el partner estratégico de ciberseguridad de Centro Zaragoza.

En un contexto en el que la protección de la información es clave para la investigación y desarrollo de tecnologías aplicadas al sector de la automoción, este acuerdo representa un paso importante hacia la mejora de la seguridad digital. El objetivo de la alianza no es otro que permitir a Centro Zaragoza continuar su labor de investigación sobre vehículos con la confianza de que las infraestructuras tecnológicas y los datos críticos están protegidos, y a Global Technology aportar soluciones innovadoras y especializadas en ciberseguridad.

«En un mundo cada vez más digital, la ciberseguridad es un pilar fundamental para garantizar la continuidad y el éxito de nuestras investigaciones», declaró Carlos Arregui, director general de Centro Zaragoza. «Nuestro instituto debe proteger los datos de sus clientes y socios con los más altos estándares de ciberseguridad».

Por su parte, Enrique Polanco, director general de Global Technogy, añadió: «Este acuerdo subraya nuestro compromiso con la protección de la innovación y la seguridad en sectores estratégicos como el de la automoción y las entidades aseguradoras. Estamos orgullosos de aportar nuestras capacidades para proteger a organizaciones como Centro Zaragoza”.

Agradecemos la colaboración en este acuerdo entre Centro Zaragoza y Global Technology, a ambos equipos por su compromiso y visión compartida para construir un futuro más seguro y resiliente.

La entrada Acuerdo de colaboración entre Centro Zaragoza y Global Technology se publicó primero en 4Elitech.

Velocidad del cambio generacional

El cambio generacional se refiere a la transición de una generación a otra, marcada por diferencias en valores, actitudes y comportamientos. En el pasado, este cambio era gradual, permitiendo una adaptación natural y progresiva. Sin embargo, la revolución digital ha acelerado este proceso. La generación del milenio y la Generación Z, han crecido en un mundo donde la tecnología es omnipresente, lo que ha resultado en una brecha generacional más pronunciada en cuanto a la adopción y comprensión de la tecnología.

Importancia de la tecnología

La tecnología es una fuerza motriz en casi todos los aspectos de la vida moderna. Ha transformado la forma en que nos comunicamos, trabajamos, aprendemos y nos entretenemos. La pandemia de COVID-19 ha evidenciado aún más esta realidad, obligando a personas de todas las edades a adaptarse a herramientas digitales para el trabajo remoto, la educación en línea y el ocio digital. Esto ha acelerado aún más la adopción tecnológica en generaciones que anteriormente eran menos dependientes de estas herramientas.

Ciberseguridad: una necesidad imperativa

Con el aumento de la dependencia de la tecnología, la ciberseguridad se ha convertido en un campo de vital importancia. La protección de datos personales y empresariales contra ciberataques es crucial. Las generaciones más jóvenes, aunque hábiles en el uso de tecnología, pueden ser a menudo complacientes respecto a los riesgos de seguridad. Por otro lado, las generaciones mayores pueden carecer del conocimiento necesario para protegerse en el entorno digital. Esto destaca la necesidad de educación y concienciación sobre ciberseguridad para todas las edades.

Conclusión: la importacia de la concienciación y la formación en la era digital

En conclusión, la velocidad del cambio generacional en la era digital presenta tanto oportunidades como desafíos. La educación y la sensibilización sobre ciberseguridad son fundamentales en este contexto. La formación debe ser inclusiva y adaptarse a las diferentes competencias y necesidades de cada generación, asegurando un enfoque continuo y evolutivo acorde con los cambios en el panorama de amenazas cibernéticas. Preparar a todas las generaciones para enfrentar y superar los desafíos de seguridad digital es fundamental para asegurar un futuro digital seguro y próspero. La concienciación y la formación en ciberseguridad deben ser vistas como inversiones esenciales en el capital humano de nuestra sociedad, garantizando así que todos puedan navegar por el cambiante paisaje digital con confianza y seguridad.

Si bien el cambio climático ha capturado la atención mundial con campañas intensivas sobre la concienciación y la acción, como el reciclaje y la sostenibilidad, la sociedad aún no ha generado un ruido similar respecto al vertiginoso cambio generacional impulsado por la tecnología. Es crucial que iniciemos un diálogo global igualmente vigoroso para educar y apoyarnos mutuamente en la navegación segura y eficaz de este paisaje digital en constante evolución, al igual que nos unimos en la lucha contra el cambio climático.

En este contexto, desde Global Technology, ofrecemos nuestro servicio de concienciación, upskilling y reskilling, un programa diseñado para proporcionar formación en ciberseguridad, accesible a personas de todas las edades. Este enfoque integral es un paso esencial para empoderar a las comunidades en la era digital, equipándolas con las habilidades necesarias para enfrentar desafíos tecnológicos con confianza y seguridad

La entrada El cambio generacional en la era digital: velocidad, tecnología y la imperativa necesidad de ciberseguridad se publicó primero en 4Elitech.

¿Qué son las infraestructuras críticas?

La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas define en su artículo 2 qué debemos entender como “Infraestructura Crítica”: Son “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. En otras palabras, son las instalaciones, redes y sistemas que sustentan los servicios que mantienen las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de un país, o sus instituciones y Administraciones Públicas, y no hay posibilidad de que otra infraestructura las reemplace o cubra sus funciones en caso de interrupción o incidente.

Las Infraestructuras Críticas pertenecen o están a cargo de un Operador Crítico designado como tal por la Comisión Nacional para la Protección de las Infraestructuras Críticas, y éste puede pertenecer al sector público o privado.

¿Qué sectores hay con infraestructuras críticas en España?

Las Infraestructuras Críticas se clasifican entre 12 posibles sectores estratégicos, los cuales se consideran áreas laborales, económicas o productivas que mantienen las funciones sociales, salubres, de seguridad y bienestar básicas, o respaldan la autoridad estatal o seguridad del país.

De acuerdo con el anexo único de la Ley 8/2011, los sectores estratégicos con Infraestructuras Críticas son los siguientes:

• Administración.
• Espacio.
• Industria nuclear.
• Industria química.
• Instalaciones de investigación.
• Agua.
• Energía.
• Salud.
• Tecnologías de la Información y las Comunicaciones (TIC).
• Transporte
• Alimentación.
• Sistema financiero y tributario.

¿Qué obligaciones legales tiene un operador crítico con una o más infraestructuras críticas a su cargo?

El art. 13 de la Ley 8/2011 nos dice que los Operadores Críticos deberán, entre otros, elaborar el Plan de Seguridad del Operador (PSO), así como un Plan de Protección Específico (PPE) por cada Infraestructura Crítica bajo su control o propiedad. Esta obligación se repite en el art. 13 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, el cual añade que deberán revisarse cada 2 años y cuando las circunstancias así lo ameriten debido a cambios sustanciales de los datos que contienen. Éstos deberán ser aprobados por el CNPIC.

En este sentido, los principales instrumentos regulatorios que deberán tenerse en cuenta son los siguientes:

• Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
• Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
• Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos.
• Guía de buenas prácticas para Plan de Seguridad del Operador (PSO) del CNPIC (voluntario).
• Guía de buenas prácticas para Plan de Protección Específico (PPE) del CNPIC (voluntario).

Sin embargo, ello no obsta para que se deba considerar la normativa sectorial, autonómica o local específicas, y cualesquiera otras que resulten de aplicación.

¿Qué es un plan de seguridad del operador (PSO)?

Un PSO es un documento estratégico que define las políticas generales del Operador Crítico para garantizar la seguridad del conjunto de sus instalaciones y sistemas bajo su propiedad o gestión. En este sentido, contiene los siguientes elementos:

• Política general de seguridad del Operador Crítico.
• Estructura societaria, administrativa y jerárquica del Operador.
• Identificación y descripción de los servicios esenciales prestados por Operador.
• Interdependencias y coordinación del servicio esencial y del Operador con Autoridades y terceros.
• Metodología de análisis de riesgo integral que se adopta para evaluar riesgos físicos y cibernéticos.
• Criterios para implementar las medidas de seguridad con las que cuenta el Operador.

¿Qué es un plan de protección específico (PPE)?

Un PPE es un documento operativo en el que se definen las medidas concretas ya adoptadas y las que se adoptarán por parte del Operador Crítico con base en una evaluación de riesgos, en aras de garantizar la seguridad física y lógica de una Infraestructura Crítica concreta. Por tanto, contiene los siguientes elementos:

• Aspectos relacionados con la Política general de seguridad.
• Medidas organizativas, operacionales y técnicas con las que cuenta el Operador.
• Resultado del análisis de riesgos y Plan de Acción

¿Qué beneficios aporta contar con un plan de protección robusto?

Adoptar planes de protección en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes:

• Resiliencia operativa: Fortalece la capacidad de la organización para resistir y recuperarse de eventos adversos, asegurando la continuidad de los servicios esenciales.
• Gestión de riesgos: Facilita la identificación, evaluación y gestión proactiva de riesgos, permitiendo prever, disminuir o evitar la materialización de amenazas potenciales.
• Coordinación eficiente: Mejora la coordinación y colaboración entre diferentes entidades, incluyendo organismos reguladores, autoridades y otras partes interesadas, para abordar de manera efectiva las amenazas a la seguridad.
• Optimización de recursos: Permite asignar recursos de seguridad de manera más eficiente, centrándose en las áreas y activos más críticos para la organización.
• Respuesta rápida y efectiva: Facilita una respuesta rápida y efectiva ante incidentes o emergencias.
• Cumplimiento normativo: Ayuda a garantizar el cumplimiento de las normativas y regulaciones específicas del sector, evitando sanciones y asegurando la integridad legal de la organización.
• Protección de la reputación: Contribuye a mantener la confianza del público, clientes y partes interesadas, al demostrar un compromiso serio con la seguridad.

Además, es posible alinear los planes con otras normativas y estándares nacionales o internacionales certificables de seguridad, tales como el Esquema Nacional de Seguridad, ISO 27001 o ISO 22301, de manera que supongan un primer paso de cara a su adopción.

¿Cómo te ayudamos en la protección de infraestruturas críticas desde Global Technology?

Desde el departamento de GRC de Global Technology te ayudamos a elaborar Planes de Seguridad del Operador y Planes de Protección Específicos, desde el punto en el que estés, hasta su aprobación por el CNPIC. Te acompañamos durante todo el camino y te asesoramos para analizar el estado, necesidades y riesgos de tu organización para identificar los procedimientos y medidas técnicas que mejor se adapten a tus necesidades.

Si quieres más información sobre cómo te podemos ayudar a cumplir con la normativa PIC, contacta  con nosotros y estaremos encantados de compartir contigo nuestra experiencia.

La entrada Seguridad en infraestructuras críticas en España se publicó primero en 4Elitech.

El rol del SOC, uno de los pilares de las tendencias en ciberseguridad

En primer lugar, habrá que estar atentos a la posible continuidad de los conflictos geopolíticos presentes en 2023 y que han tenido una significada réplica en el ciberespacio, donde actores maliciosos de diversa índole han acometido numerosos ataques contra organizaciones públicas y privadas de todo el mundo.

La monitorización continua de la actividad que se genera alrededor de los sistemas de información cobra más relevancia, si cabe, ante escenarios de este tipo. Es aquí donde juega un papel fundamental el Centro de Operaciones de Seguridad (SOC). La capacidad que posee de concentrar y analizar todos los eventos que se registran en las distintas herramientas de ciberseguridad le permiten reaccionar de manera inmediata ante cualquier amenaza y coordinar las actuaciones necesarias en la respuesta a incidentes. El SOC seguirá siendo el núcleo central alrededor del cual girará la estrategia de ciberdefensa de la empresa.

Ciberseguridad en entornos IoT

A lo largo de 2023 se ha observado un creciente número de ciberataques contra sistemas de control industrial (ICS) desplegados en infraestructuras de todo tipo. Esta tendencia se prevé que siga al alza en 2024. La convergencia entre el mundo IT y el OT, que conlleva la necesidad de integrar soluciones de un lado y otro para optimizar la capacidad productiva de las compañías está generando una mayor exposición de los sistemas OT a las ciberamenazas. La repercusión de los ataques contra estas infraestructuras suele ser significativa, llegando a comprometer seriamente a las organizaciones. Por este motivo, la estrategia de ciberseguridad de las empresas contemplará la incorporación de herramientas que permitan mantener actualizado un inventario de todos los dispositivos OT y monitorizarlos para detectar al instante amenazas y vulnerabilidades.

Incremento del ransomware

La amenaza del ransomware seguirá expandiéndose. Después de dos años creciendo los casos más de un 20%, el número de organizaciones que se verán afectadas por ciberataques basados en este tipo de malware seguirá aumentando. Esta tendencia es consecuencia de la consolidación del modelo de pago por uso de herramientas para la comisión de estos ataques instaurado por actores maliciosos altamente sofisticados. Es el conocido malware-as-a-service. Este modelo permite que actores con menor cualificación accedan al lucrativo negocio de la extorsión a través de este malware. Las empresas deberán seguir reforzando sus sistemas antimalware, implementar o dar continuidad a las acciones de concienciación a los usuarios y adoptar tecnología de análisis del comportamiento para la detección de amenazas complejas. Las soluciones SIEM de última generación con capacidad para analizar el comportamiento del atacante y del usuario serán un arma altamente eficaz para identificar este tipo de amenazas.

Inteligencia Artificial

Desde el lanzamiento de ChatGPT en noviembre de 2022, la inteligencia artificial (IA) se ha convertido en uno de los principales temas de conversación. El potencial uso de esta tecnología en el ámbito empresarial tendrá un papel relevante, siendo una de las tendencia en ciberseguridad de 2024, al igual que lo hará la preocupación por resolver algunas dudas que esta tecnología suscita en el ámbito de la ciberseguridad. La confiabilidad y la privacidad de los datos será un asunto en el que se deberá seguir evolucionando.

Por otro lado, la IA también será adoptada de manera creciente por los actores maliciosos quienes la utilizarán cada vez más para ampliar el alcance de sus actividades y dotarlas de mayor frecuencia y precisión. Probablemente, veremos campañas de phishing más sofisticadas y a mayor escala que se asemejarán cada vez más a la acción de un humano.

Para hacer frente a esta amenaza creciente, los equipos de ciberseguridad se servirán de herramientas que incorporarán nuevas funcionalidades basadas en IA. Así mismo, se apoyarán en las capacidades que ofrece la IA para sus flujos de trabajo, lo cual agilizará los procesos de gestión de las amenazas.

Protección del dato

El cambio de modelo de trabajo que muchas organizaciones han abordado ya y el que otras están valorando afrontar, basado en la implantación del teletrabajo en alguna de sus variantes (híbrida, total) y en la adoptación de la nube como espacio para alojar su información, mantiene viva la preocupación de los responsables de ciberseguridad por la protección del dato. Las empresas necesitan herramientas que les permita clasificar los datos, identificar el potencial riesgo al que están sometidos y alertar de cualquier actividad anómala que pueda generarse entorno a ellos. Estas herramientas deberán integrarse con las plataformas en la nube más extendidas.

Gestión de la identidad

El robo de credenciales es uno de los botines más deseados por los actores maliciosos. Para unos es un producto con el que poder hacer negocio y para otros la llave que les da acceso a la realización de ciberataques de gran envergadura. Por todo ello, las empresas se esforzarán en implementar procesos que permitan realizar una gestión adecuada de la identidad y del acceso. La adopción de herramientas IAM será una apuesta creciente, siendo las grandes aliadas en este ámbito. Igualmente, se generalizará la presencia del MFA como mecanismo de autenticación. La distinta normativa vigente en materia de ciberseguridad seguirá ejerciendo presión a las organizaciones para implementar este tipo de soluciones.

Expansión del ciberseguro

La búsqueda de soluciones que faciliten la gestión del riesgo ha encontrado en el ciberseguro una herramienta muy útil para las organizaciones dado que les permite transferir el riesgo y responder de manera efectiva a situaciones que hacen tambalear la continuidad del negocio. Muy probablemente, 2024 será un año de expansión en la contratación de estos productos. No obstante, hacerse con ellos es una tarea que no está exenta de dificultades. Las empresas que quieran optar a una póliza de protección de este tipo deberán cumplir con los rigurosos requisitos que exigirán las aseguradoras. A su vez, éstas irán adaptando y ampliando su oferta para dar respuesta a las diversas necesidades a las que deben hacer frente las organizaciones.

Podemos ayudarte a implementar todas estas tendencias de ciberseguridad en tu empresa

Global Technology está a la vanguardia en el asesoramiento e implementación de soluciones de ciberseguridad para hacer frente a las amenazas emergentes del ciberespacio. El abanico de herramientas y servicios que ofrece Global Technology permiten preparar el entorno para anticiparse a estos escenarios y afianzar la estrategia de ciberseguridad de las empresas.

La entrada Tendencias de ciberseguridad empresarial para 2024 se publicó primero en 4Elitech.

¿Qué es la ISO 27701?

En primer lugar, debemos comprender qué son los datos personales. Según el Reglamento general de protección de datos (RGPD), son toda aquella información sobre una persona física identificada o identificable.

En otras palabras, la información que nos permite saber quién es un individuo. Por ejemplo, su nombre, dirección, número de identificación, teléfono o cuenta bancaria, entre otros. Estos datos los podemos encontrar en los contratos y nóminas de nuestros empleados, en registros de clientes, en correos electrónicos y en otros muchos documentos que utilizamos en el día a día.

Por su parte, la norma ISO 27701 es un estándar internacional que establece requisitos y orientación para que implantemos un Sistema de Gestión de la Privacidad de la Información. Aunque es de carácter voluntario, es muy recomendable implantarlo. Esto se debe a que se basa en RGPD y es conforme a la Ley de Protección de Datos Personales (LOPDGDD).

Por tanto, si cumplimos con los requisitos de la ISO 27701, contaremos con pruebas que nos permitirán evidenciar ante clientes, partners y autoridades públicas que tratamos adecuadamente los datos de carácter personal de acuerdo con la normativa vigente.

Está particularmente dirigida al sector privado. En tanto que se fundamenta en gran parte en el RGPD, resulta especialmente interesante para aquellas organizaciones de derecho privado que manejen datos de ciudadanos de la Unión Europea como parte de su actividad. Se exceptúa su aplicación en los casos recogidos en el art. 2.2. RGPD y LOPDGDD.

Características de la norma

La ISO 27701 es una extensión certificable de la ISO 27001 de Seguridad de la Información. En otras palabras, se parte del Sistema de Gestión de Seguridad de la Información (SGSI) que prevé la ISO 27001 para implantar esta norma, ya que en muchos casos toma los requisitos de la ISO 27001 y los complementa con controles específicos de privacidad de la información.

Esta norma destaca por su enfoque holístico hacia la privacidad. Integra principios de la privacidad desde el diseño y responsabilidad activa, evaluando riesgos y asegurando transparencia en el manejo de datos personales. Se divide en cuatro capítulos:

1. Capítulo 5: Requisitos de gestión sobre privacidad de la información. Éstos se refieren a las políticas, procesos y procedimientos corporativos cuyo objetivo es dirigir y controlar nuestra operativa diaria.
2. Capítulo 6: Requisitos de seguridad sobre privacidad de la información. Éstos se centran en las medidas físicas y técnicas concretas que adoptamos para proteger la información.
3. Capítulo 7: Requisitos adicionales para el responsable del tratamiento. Se considera responsable al individuo u organización que decide qué datos se recopilan, con qué propósito y cómo se utilizarán, así como las medidas de protección aplicables.
4. Capítulo 8: Requisitos adicionales para el encargado del tratamiento. Un encargado trata datos personales, pero se limita a seguir las instrucciones que le da el responsable, sin decidir nada por él mismo.

¿Cómo se aplica en la protección empresarial?

La flexibilidad propia de la normativa ISO hace imposible ofrecer un listado homogéneo de medidas que todas las empresas deban implantar para certificarse en la ISO 27701, ya que dependerá de las circunstancias específicas de cada una. Sin embargo, en términos generales, podemos señalar los siguientes elementos:

• Políticas y procedimientos específicos relacionados con la protección de datos, como:
  • Política de protección y privacidad de datos
  • Alusiones específicas al tratamiento de datos personales en procedimientos corporativos, tales como gestión de incidentes o gestión de soportes.
• Roles y responsabilidades específicos:
  • Designación de un Delegado de Protección de Datos, en caso de que se cumplan los requisitos del art. 37 RGPD y art.34 LOPDGDD.
• Cláusulas de contractuales de protección de datos en las relaciones con terceros, como:
  • Acuerdos de confidencialidad (NDA).
  • Derecho de control de datos personales (ARCOPOL).
  • Consentimiento para el tratamiento de datos
• Enfoque en la gestión del riesgo:
  • Metodología documentada de análisis de riesgos relativos al tratamiento de datos personales.
  • Criterios de valoración del riesgo.
  • Evaluación del riesgo.
  • Plan de tratamiento del riesgo.
• Declaración de Aplicabilidad de los Anexos A y B de la ISO 27701, justificándose debidamente tanto el cumplimiento, como la posible exclusión de los controles.
• Registro de Actividades de Tratamiento (RAT), donde detallemos cómo gestionamos y procesamos los datos, a menos que se nos aplique la excepción del art.30.5 RGPD.
• Acciones de formación y concienciación relativas a la protección de datos para nuestros empleados, tales como píldoras de concienciación sobre la transferencia segura de información o charlas formativas sobre los principios clave de RGPD.
• Medidas técnicas específicas:
  • Pseudonimización, anonimización y enmascaramiento de datos.
  • Cifrado de datos en reposo y en tránsito.
  • Recuperación de datos personales en backups.
  • Bloqueo de datos que ya no se estimen necesarios hasta el término del plazo de prescripción, salvo requerimiento judicial o administrativo.
• Auditorías de cumplimiento, donde un tercero independiente examine nuestro grado de cumplimiento, e identifique posibles mejoras a nuestro Sistema de Privacidad.

¿Qué beneficios nos aporta la ISO 27701?

Adoptar la norma ISO 27701 en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes:

• Cumplimiento normativo: Nos aseguramos de estar alineados con la normativa europea y española de protección de datos.
• Fomento de la confianza de clientes y posibles partners.
• Protección de la imagen y reputación de la empresa.
• Ahorro de tiempo y ventaja ante licitaciones: Nos facilita responder a los cuestionarios y funciona como garantía de cumplimiento de la protección de datos.
• Reconocimiento internacional: El certificado nos brinda reputación a nivel internacional, ya que está reconocido globalmente.

¿Cuáles son las diferencias entre la ISO 27701 y el RGPD?

Si bien la ISO 27701 y el RGPD comparten el objetivo común de salvaguardar la privacidad, podemos señalar las siguientes diferencias:

1. La ISO 27701 es una extensión de la ISO 27001 y está orientada al sector privado, mientras que el RGPD es una norma de Derecho público europeo aplicable tanto a empresas como a organizaciones del sector público.
2. En segundo lugar, la ISO 27701 es una norma voluntaria. Por el contrario, el RGPD es una regulación legal vinculante aplicable a todas las organizaciones que manejan datos de ciudadanos de la Unión Europea. Como reglamento, tiene alcance general y eficacia directa en todos los países de la UE.
3. En tercer lugar, la ISO 27701 ofrece un marco flexible y adaptable a las características y necesidades de cada empresa para la implementación de prácticas de privacidad, mientras que el RGPD establece derechos y obligaciones legales específicos.
4. En cuarto lugar, la ISO 27701 aborda la privacidad como parte integral de un sistema de gestión de la seguridad de la información. Por otro lado, el RGPD se enfoca únicamente en los derechos de los individuos y las responsabilidades de las organizaciones en el tratamiento de datos personales.
5. En quinto lugar, la ISO 27701 es certificable. Por el contrario, el RGPD prevé en su artículo 42 la posibilidad de que se creen mecanismos de certificación que demuestren su cumplimiento, pero no es certificable en sí.

Cómo obtener la certificación ISO 27701

Como ya hemos mencionado anteriormente, la ISO 27701 es una extensión certificable de la ISO 27001, y que debemos contar con un Sistema de Gestión de acuerdo con esta segunda para certificarnos en la primera. Esto lo podemos lograr de dos maneras:

• Si ya estamos certificados en ISO 27001, podemos certificarnos en ISO 27701 de manera independiente.
• Si estamos introduciendo la ISO 27001 en nuestra organización, podemos implantar la ISO 27701 de manera conjunta y certificarnos de ambas en un mismo proceso de auditoría.

El certificado se obtiene como resultado de una auditoría satisfactoria con una entidad certificadora acreditada, en la cual se examina el Sistema de Privacidad implantado a nivel teórico (políticas y procedimientos) y práctico (registros y medidas técnicas) a lo largo de 1-2 jornadas. Tiene una validez de 3 años.

Desde el departamento de GRC de Global Technology te ayudamos a implantar la norma ISO 27701 desde el punto en el que estés, hasta la obtención de la certificación. Te acompañamos durante todo el camino, y te asesoramos para analizar el estado, necesidades y riesgos de tu organización como base desde la que puedas tomar decisiones fundadas para elaborar juntos los procedimientos e implantar medidas técnicas que mejor se adapten a tus necesidades. También estamos contigo durante la auditoría y te ayudamos a solucionar cualquier discrepancia con la norma que pueda encontrar el auditor.

Si quieres más información sobre cómo te podemos ayudar a cumplir con la normativa de protección de datos, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia.

La entrada ISO 27701: La clave para la protección empresarial se publicó primero en 4Elitech.

En este sentido las Autoridades Europeas de Supervisión (AES), estarán a cargo de las normas técnicas. Finalmente, serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación del Reglamento.

Objetivos del reglamento DORA

DORA persigue dos objetivos principales:

• Abordar de manera integral la gestión de riesgos asociados a las TIC en el sector de los servicios financieros.
• Armonizar las regulaciones sobre gestión de riesgos de las TIC que ya existen en los diversos Estados miembros de la UE.

Antes de la implementación de DORA, la normativa en la gestión de riesgos de entidades financieras de la UE se centraba principalmente en asegurar que las empresas contaran con suficiente capital para cubrir riesgos operativos. Aunque algunos reguladores de la UE emitieron directrices sobre TIC y gestión de riesgos de seguridad, estas no eran aplicables de manera uniforme a todas las entidades financieras y a menudo se basaban en principios generales en lugar de normas técnicas específicas. La carencia de normativas comunitarias generó una complejidad para las entidades financieras al tener que lidiar con distintos requisitos establecidos por los Estados miembros de la UE.

Con DORA, la UE busca establecer un marco universal para gestionar y mitigar los riesgos de las TIC en el sector financiero. La armonización de las normas de gestión de riesgos en toda la UE tiene como objetivo eliminar lagunas, superposiciones y conflictos que podrían surgir entre regulaciones dispares de distintos Estados de la UE. Un conjunto común de normas facilitaría el cumplimiento para las entidades financieras, al mismo tiempo que fortalecería la resistencia de todo el sistema financiero de la UE, asegurando que todas las entidades sigan las mismas pautas.

Alcance y aplicación de DORA

DORA se aplica a todas las instituciones financieras de la UE, abarcando tanto entidades financieras tradicionales como bancos, empresas de inversión y entidades de crédito, como a entidades no tradicionales como proveedores de servicios de criptoactivos y plataformas de crowdfunding.

Es importante destacar que DORA también se aplica a algunas entidades normalmente excluidas de regulaciones financieras, como proveedores de servicios externos que suministran sistemas y servicios de TIC a empresas financieras, incluyendo proveedores de servicios en la nube y centros de datos. El reglamento también afecta a empresas que ofrecen servicios esenciales de información, como servicios de calificación crediticia y proveedores de análisis de datos.

En resumen, el reglamento DORA será de aplicación a las siguientes entidades financieras:

• Entidades de crédito.
• Entidades de pago.
• Proveedores de servicios de información sobre cuentas.
• Entidades de dinero electrónico.
• Empresas de servicios de inversión.
• Proveedores de servicios de criptoactivos.
• Depositarios centrales de valores.
• Entidades de contrapartida central.
• Centros de negociación.
• Registros de operaciones.
• Gestores de fondos de inversión alternativos.
• Sociedades de gestión.
• Proveedores de servicios de suministro de datos.
• Empresas e intermediarios de seguros, reaseguros y seguros complementarios.
• Fondos de pensiones de empleo.
• Agencias de calificación crediticia.
• Administradores de índices de referencia cruciales.
• Proveedores de servicios de financiación participativa.
• Registros de titulizaciones.

Beneficios de cumplir con el reglamento DORA

• Mejora de la resistencia frente a amenazas cibernéticas: un reglamento de resiliencia operativa digital puede ayudar a fortalecer las defensas contra ataques cibernéticos, protegiendo así la infraestructura tecnológica y los datos de la organización.
• Reducción del riesgo de interrupciones operativas: la resiliencia operativa digital implica la capacidad de mantener operaciones esenciales incluso en situaciones de crisis o desastres. Esto reduce la probabilidad de interrupciones en los servicios y contribuye a la continuidad del negocio.
• Cumplimiento normativo: adoptar prácticas y reglamentos de resiliencia operativa digital puede ayudar a las organizaciones a cumplir con regulaciones y estándares específicos relacionados con la seguridad cibernética y la protección de datos.
• Protección de la reputación: la implementación de medidas de resiliencia operativa digital puede ayudar a evitar violaciones de seguridad que podrían dañar la reputación de la organización. La confianza del público y de los clientes puede mantenerse mediante la adopción de buenas prácticas de seguridad digital.
• Eficiencia operativa: la resiliencia operativa implica una planificación proactiva y la capacidad de respuesta rápida ante incidentes. Esto puede mejorar la eficiencia operativa al reducir el tiempo de inactividad y acelerar la recuperación de eventos adversos.
• Innovación segura: fomentar la resiliencia operativa digital puede permitir que las organizaciones adopten nuevas tecnologías de manera segura. La innovación puede avanzar sin comprometer la seguridad de los sistemas y datos.
• Protección de la cadena de suministro: la resiliencia operativa digital también puede extenderse a la cadena de suministro, asegurando que los proveedores y socios comerciales cumplan con estándares de seguridad digital, lo que reduce los riesgos asociados con terceros.

Requisitos de DORA

DORA establece requisitos técnicos en cuatro áreas clave para entidades financieras y proveedores de TIC:

Gestión de riesgos y gobernanza de las TIC:

DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del Consejo de Administración, líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren activamente en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados personalmente responsables del incumplimiento de una entidad.

Respuesta y notificación de incidentes:

Las entidades cubiertas deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar incidentes relacionados con las TIC. Dependiendo de la gravedad del incidente, las entidades pueden tener que informar tanto a los reguladores como a los clientes y socios afectados. Se requieren tres tipos de informes en casos de incidentes críticos: un informe inicial de notificación a las autoridades, un informe intermedio sobre los avances hacia la resolución del incidente y un informe final que analice las causas profundas del incidente.

Pruebas de resiliencia:

Las entidades deben realizar pruebas periódicas en sus sistemas de TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas, junto con los planes para abordar las deficiencias identificadas, deben ser comunicados a las autoridades competentes y validados por ellas. Las pruebas básicas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, deben llevarse a cabo anualmente. Las entidades financieras consideradas críticas en el sistema financiero también están obligadas a someterse a pruebas de penetración basadas en amenazas cada tres años. Los proveedores de TIC críticos también deben participar en estas pruebas de penetración.

Gestión de riesgos de terceros:

Una característica distintiva del DORA es que se extiende no solo a las entidades financieras, sino también a los proveedores de TIC que ofrecen servicios al sector financiero. Se espera que las empresas financieras desempeñen un papel activo en la gestión del riesgo de las TIC frente a terceros. Al externalizar funciones críticas e importantes, las entidades financieras deben negociar acuerdos contractuales específicos que aborden estrategias de salida, auditorías y objetivos de rendimiento en términos de accesibilidad, integridad y seguridad, entre otros aspectos. Las entidades no podrán contratar a proveedores de TIC que no cumplan con estos requisitos. Las autoridades competentes están facultadas para suspender o rescindir los contratos que no se ajusten a la normativa.

Intercambio de información:

Las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Con este propósito, el reglamento DORA alienta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia sobre amenazas.

Todos estos requisitos se aplicarán de manera proporcional, lo que significa que las entidades más pequeñas no estarán sujetas a las mismas normas que las grandes instituciones financieras.

Global Technology y DORA

Global Technology destaca en el cumplimiento del Reglamento de Resiliencia Operativa Digital (DORA) al ofrecer soluciones integrales y personalizadas. Contamos con un equipo altamente especializado que comprende a fondo los requisitos de DORA. Implementamos procesos robustos, sistemas de gestión avanzados y proporcionamos formación continua para garantizar un cumplimiento eficiente y proactivo. Nuestra experiencia se refleja en auditorías internas rigurosas y colaboraciones con expertos externos. Nos comprometemos a mantenernos actualizados con los cambios normativos, brindando a nuestros clientes la confianza y la seguridad necesarias para enfrentar los desafíos de la resiliencia operativa digital con éxito.

La entrada Reglamento de Resiliencia Operativa Digital (DORA) se publicó primero en 4Elitech.

La Huella de Carbono es el cálculo de las emisiones de todos los gases de efecto invernadero (GEI) asociados a organizaciones, eventos o actividades, o al ciclo de vida de un producto expresada en toneladas de CO₂ equivalentes.

¿Qué beneficios conlleva calcular tu huella de carbono en el ámbito de la ciberseguridad?

En el creciente mundo digital, donde la ciberseguridad es imperativa, a menudo pasamos por alto su conexión intrínseca con la sostenibilidad ambiental. La relación entre la huella de carbono y las prácticas de seguridad cibernética es más profunda de lo que podríamos imaginar, afectando desde la infraestructura de centros de datos hasta la gestión de dispositivos electrónicos. A continuación, se especifican sus principales beneficios:

• Mejora de la imagen y elemento diferenciador: calcular la huella de carbono muestra responsabilidad ambiental, mejora la transparencia y credibilidad, y ofrece diferenciación competitiva. Además, integrar la ciberseguridad de manera integral refuerza la protección de datos ambientales, fortaleciendo la confianza y la reputación de la organización en un mundo empresarial consciente del impacto ambiental y la seguridad digital.
• Centros de datos sostenibles: los centros de datos, motores esenciales de la revolución digital, consumen enormes cantidades de energía. La eficiencia energética en estas instalaciones no solo es crucial para la seguridad de los datos, sino también para reducir la huella de carbono asociada. Estrategias de seguridad cibernética eficientes pueden influir en el consumo de energía, optimizando la relación entre seguridad y sostenibilidad.
• Desarrollo de software seguro: un software seguro no solo protege nuestros datos, sino que también puede impactar significativamente en la huella de carbono. Procesos de desarrollo y gestión de software eficientes minimizan la emisión de actualizaciones frecuentes, reduciendo así la necesidad de recursos adicionales y disminuyendo la huella ambiental asociada a la distribución de software.
• Dispositivos electrónicos: la fabricación y eliminación de dispositivos electrónicos contribuyen en gran medida a la huella de carbono. La seguridad cibernética puede influir en la duración de vida útil de estos dispositivos, afectando la cantidad de residuos electrónicos generados. Estrategias de seguridad que prolongan la vida útil de los dispositivos también contribuyen indirectamente a la sostenibilidad ambiental.
• Teletrabajo y movilidad: la creciente tendencia hacia el teletrabajo y la movilidad destaca la importancia de las infraestructuras de red seguras. Garant<izar la ciberseguridad en estas redes es esencial, pero también puede afectar el consumo de energía asociado con la transferencia de datos. Un enfoque equilibrado entre la seguridad y la eficiencia energética es crucial para la sostenibilidad en un mundo cada vez más conectado.
• Concientización para un futuro sostenible: la concientización y la educación en ciberseguridad desempeñan un papel fundamental en la creación de prácticas sostenibles. Al implementar buenas prácticas de seguridad, no solo reducimos la probabilidad de ataques cibernéticos, sino que también minimizamos la necesidad de respuestas reactivas que podrían aumentar el consumo de recursos. La educación en seguridad cibernética puede, de hecho, ser un catalizador para un futuro más sostenible.

¿Qué empresas se pueden ver obligadas a calcular su huella de carbono?

Si bien se creó el Registro de huella de carbono a través del Real Decreto 163/2014, de 14 de marzo, su finalidad únicamente era la de recoger los esfuerzos de las organizaciones españolas en el cálculo y reducción de las emisiones de gases de efecto invernadero que genera su actividad. Siendo así, era de carácter voluntario.

Sin embargo, con la entrada en vigor de la Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Energética, el cálculo de la huella de carbono de las empresas pasará de ser voluntario a obligatorio tras la Disposición Final Duodécima de esta ley. En este sentido, el Gobierno ha emitido un comunicado donde establece que a través del borrador del Real Decreto 165/2014 se plantea que las empresas afectadas por la Ley 11/2018, de 28 de diciembre, deberán calcular su huella de carbono y disponer de un plan de reducción.

Por otro lado, diversas comunidades autónomas han desarrollado sus propios requisitos con el fin de que las organizaciones calculen de forma obligatoria su huella de carbono. Un ejemplo de esto es el Registro Balear y el Registro Canario.

¿Cómo se calcula?

La huella de carbono que genera cada fuente de emisión es el resultado del producto del dato de consumo (dato de actividad) por su correspondiente factor de emisión:

• 𝐷𝑎𝑡𝑜 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑: es el parámetro que define el nivel de la actividad generadora de las emisiones de gases de efecto invernadero. Por ejemplo, cantidad de gas natural utilizado en la calefacción (kWh de gas natural).
• 𝐹𝑎𝑐𝑡𝑜𝑟 𝐸𝑚𝑖𝑠𝑖ó𝑛: es la cantidad de gases de efecto invernadero emitidos por cada unidad del parámetro “dato de actividad”. Por ejemplo, para el gas natural, el factor de emisión sería 0,202 kg CO₂ eq/kWh de gas natural.

En base a esta fórmula, existen varias metodologías para el cálculo de la huella de carbono (UNE-ISO 14064, GHG Protocol, etc.).

¿Qué datos son necesarios?

Es necesario conocer, al menos, los datos de consumo de los combustibles fósiles (en las oficinas, maquinaria, almacenes, vehículos, etc.) y de electricidad para un año determinado, así como sus correspondientes factores de emisión. Adicionalmente, se puede incluir otras emisiones indirectas distintas a la electricidad como son los viajes de trabajo con medios externos, los servicios subcontratados como la gestión de residuos, etc.

¿Cuáles son las fases para calcular la huella de carbono?

Las fases para el cálculo de la Huella de Carbono son:

1. Escoger el año de cálculo.
2. Establecer los límites de la organización y los operativos.
3. Recopilar los datos de consumo (datos de actividad) de estas operaciones.
4. Es conveniente acompañar el primer esfuerzo de cálculo de la huella con la implantación de un sistema de recogida de información. El objetivo es facilitar la tarea en años sucesivos y asegurar la calidad y exhaustividad de los datos. Además, estos datos deberán estar respaldados por facturas u otros.
5. Realizar los cálculos multiplicando los datos de actividad por los factores de emisión.
6. Una vez que se conoce cuánto y dónde se emite, reflexionar sobre los puntos donde actuar para reducir las emisiones. Esto quedará reflejado en un plan de reducción que debería incluir las medidas que se prevé llevar a cabo, así como la cuantificación de la estimación de las reducciones que conllevarían. Es recomendable la inclusión de un cronograma en el plan.

Global Technology y la protección ambiental

Global Technology se destaca como la elección primordial para calcular la huella de carbono por varias razones fundamentales. Contamos con un equipo de expertos altamente calificados y tecnología innovadora que garantizan cálculos precisos y eficientes. Nuestro enfoque integral abarca desde emisiones directas hasta impactos ambientales indirectos. Destacamos por ofrecer soluciones personalizadas y adaptadas a las necesidades específicas de cada cliente, demostrando nuestro compromiso con la satisfacción del cliente. Además, nuestra transparencia en los procesos y certificaciones reconocidas en sostenibilidad refuerzan la credibilidad de nuestros servicios, asegurando a nuestros clientes un socio confiable en la gestión de su huella de carbono.

La entrada La huella de Carbono de una Organización se publicó primero en 4Elitech.

¿Por qué concienciar en ciberseguridad?

1. El eslabón más débil: Aunque nuestras soluciones tecnológicas pueden ser muy efectivas, si los usuarios fin ales no están informados y educados sobre las mejores prácticas de seguridad, siguen siendo vulnerables. Un error humano, como hacer clic en un enlace malicioso, puede comprometer sistemas enteros.
2. Evolución constante de amenazas: El panorama de ciberamenazas está en constante evolución. Lo que era seguro ayer, puede no serlo hoy. Los usuarios deben estar al día con las últimas amenazas y saber cómo identificarlas.
3. Cumplimiento normativo: En muchos sectores, hay regulaciones que exigen formación regular en ciberseguridad para empleados. Una campaña de concienciación ayudará a las empresas a cumplir con estos requisitos.

Beneficios de una campaña de concienciación en ciberseguridad

1. Reducción de incidentes: Las campañas de concienciación han demostrado reducir significativamente el número de incidentes relacionados con el error humano. Esto se traduce en menos interrupciones del servicio, menos tiempo y recursos gastados en la respuesta a incidentes y una mayor confianza de los clientes.
2. Cultura de seguridad: Fomentar una cultura en la que la ciberseguridad es una responsabilidad compartida mejora, no solo la postura de seguridad de la organización, sino también fideliza al empleado.
3. Retorno de inversión (ROI): Aunque puede haber un coste asociado con la implementación de una campaña de concienciación, el impacto económico de no hacerlo (brechas de datos, multas por no cumplir, daño a la reputación, etc.) es significativamente más alto.
4. Mejora de la reputación: En un mundo donde la ciberseguridad es una creciente preocupación, las empresas que toman medidas proactivas para educar a sus empleados y clientes son vistas de manera más favorable. Esto puede traducirse en más negocios y mayor lealtad del cliente.

Impacto en controles de ISO/IEC 27002

La norma ISO/IEC 27002:2013 proporciona directrices para la implementación de controles de seguridad de la información. La realización de campañas de concienciación y formación al usuario incide directamente en varios de estos controles. A continuación, identificamos los controles más relevantes que se verían afectados o reforzados por dichas campañas:

1. Información sobre responsabilidades durante el empleo (7.2.2): Este control estipula que la dirección debe asegurarse de que los empleados y contratistas sean informados de las responsabilidades de seguridad de la información. Las campañas de concienciación pueden ayudar a comunicar estas responsabilidades de manera efectiva.
2. Concienciación, formación y evaluación de la formación (7.3.1): Este es el control más directamente relevante. Establece la necesidad de implementar programas de concienciación y formación para garantizar que los empleados tengan la conciencia, los conocimientos y las habilidades necesarias para cumplir con las políticas y procedimientos de seguridad.
3. Gestión del uso inaceptable de activos (9.2.3): Las campañas educativas pueden ayudar a destacar los usos inaceptables de la información y otros activos. Permitiendo una mejor gestión y reducción de este tipo de comportamientos.
4. Políticas de clasificación de la información (12.2.1): Una correcta formación puede asegurar que los empleados entiendan y sigan correctamente las políticas de clasificación. Lo que reduce el riesgo de filtraciones de información o su incorrecta manipulación.
5. Control de acceso del usuario (12.7.1): La formación y concienciación pueden enfocarse en la importancia de las políticas y procedimientos de control de acceso. Incluyendo la importancia de las contraseñas fuertes, el bloqueo de estaciones de trabajo y la autenticación multifactor.
6. Política de uso aceptable de redes y servicios (13.2.1): Las campañas pueden reforzar la comprensión y adherencia a las políticas de uso aceptable. Reduciendo el riesgo asociado con comportamientos no deseados en la red.

Es esencial que cualquier campaña de concienciación o formación que lancemos esté alineada con los controles y requerimientos de la ISO/IEC 27002, asegurando así su efectividad y pertinencia en el contexto de estándares internacionales de seguridad de la información.

Conclusión

A medida que los entornos digitales se vuelven más complejos y la información que almacenamos en ellos más importante. Los usuarios deben fortalecer sus conocimientos en materia de ciberseguridad.

Una campaña de concienciación en ciberseguridad no es simplemente una buena idea, es una necesidad crítica para organizaciones de todos los tamaños.

Desde Global Technology podemos ayudarte

La entrada La necesidad de campañas de concienciación en Ciberseguridad se publicó primero en 4Elitech.

¿Por qué es importante la ciberdefensa?

Es importante por dos motivos principales:

• En primer lugar, porque los ataques informáticos pueden tener un impacto significativo en la economía y la sociedad. Por ejemplo, pueden provocar pérdidas económicas, interrupción de servicios, o incluso daños físicos.
• En segundo lugar, porque los ataques informáticos pueden poner en riesgo la privacidad y la seguridad de las personas. Por ejemplo, pueden robar datos personales, como números de tarjetas de crédito o contraseñas.

¿Cuáles son los ciberataques más comunes?

Los ciberataques más comunes son los siguientes:

• Ataques de denegación de servicio (DoS): Estos ataques tienen como objetivo impedir que un sistema o servicio esté disponible para sus usuarios legítimos.
• Ataque de Man in the Middle (hombre en el medio): Estos ataques tienen como objetivo interceptar las comunicaciones entre dos partes.
• Phishing (suplantación de identidad): Estos ataques tienen como objetivo engañar a las víctimas para que revelen información confidencial.
• Ataques de malware: Estos ataques tienen como objetivo instalar software malicioso en los sistemas informáticos de las víctimas.
• Ataque de fuerza bruta para obtener datos y contraseñas: Estos ataques intentan adivinar las contraseñas de las víctimas utilizando métodos automáticos.
• Ataque de inyección de código SQL: Estos ataques tienen como objetivo ejecutar código malicioso en los sistemas informáticos de las víctimas.
• Ataque de espionaje y privacidad (interceptar tráfico y mensajes): Estos ataques tienen como objetivo recopilar información confidencial de las víctimas.
• Ataque de ransomware: Estos ataques tienen como objetivo cifrar los datos de las víctimas y exigir un rescate a cambio de la clave de descifrado.

¿Cómo se puede proteger contra los ciberataques?

Existen una serie de medidas que se pueden adoptar para proteger contra los ciberataques, entre las que destacan las siguientes:

• Implementar medidas de seguridad básicas, como firewalls, antivirus y software de seguridad de la información.
• Formar a los empleados sobre las amenazas cibernéticas y las medidas de protección que deben adoptar.
• Implementar un proceso de gestión de incidentes de ciberseguridad para responder de manera efectiva a los ataques cibernéticos.

Ciberdefensa defensiva y ofensiva

La ciberdefensa se puede dividir en dos grandes categorías: la ciberdefensa defensiva/pasiva y la ciberdefensa ofensiva/activa.

Ciberdefensa defensiva

La ciberdefensa defensiva se centra en la prevención, detección y respuesta a ataques con el objetivo de minimizar el impacto y proteger la integridad de los sistemas. Algunas de las medidas de ciberdefensa defensiva más comunes son las siguientes:

• Implementación de firewalls y sistemas de detección de intrusiones (IDS).
• Utilización de antivirus y antimalware.
• Implementación de políticas y procedimientos de seguridad.
• Formación de los empleados sobre seguridad.

Ciberdefensa ofensiva

La ciberdefensa ofensiva se centra en la capacidad de llevar a cabo operaciones activas para contrarrestar amenazas. Algunas de las medidas de ciberdefensa ofensiva más comunes son las siguientes:

• Investigación de amenazas.
• Desarrollo de herramientas y técnicas de ciberdefensa.
• Operaciones de ciberseguridad ofensivas, como el pentesting.

Ventajas de la ciberdefensa

La ciberdefensa ofrece una serie de ventajas, entre las que destacan las siguientes:

• Reduce el riesgo de sufrir ataques informáticos.
• Minimiza el impacto de los ataques informáticos que se produzcan.
• Protege la privacidad y la seguridad de las personas.
• Contribuye a la seguridad de la economía y la sociedad.

Conclusión

La ciberdefensa es una parte esencial de la seguridad en el mundo digital. Las empresas como Global Technology cuenta con medidas de ciberdefensa para proteger sus sistemas informáticos y sus redes de comunicaciones.

La entrada Ciberdefensa: ¿Qué es y por qué es importante? se publicó primero en 4Elitech.

Los ciberataques afectan tanto a particulares como a empresas, en un porcentaje similar. En el ámbito empresarial se debe desterrar el mito de que no se ejecutan ciberataques contra las pequeñas empresas. Se podría pensar que una pequeña empresa carece de interés para los ciberatacantes. Sin embargo, éstos se aprovechan de que estas organizaciones no suelen contar con las defensas más eficaces en materia de ciberseguridad. Así mismo, esa posible debilidad defensiva atrae a los ciberatacantes noveles para ensayar las técnicas de ataque recién adquiridas.

Uno de los ciberataques que prolifera entre las pequeñas y medianas empresas es el conocido como “Fraude del CEO”. Los ciberdelincuentes suplantan la identidad de clientes o proveedores, falsificando facturas con el fin de desviar a sus cuentas bancarias los importes acordados. Así, la apropiación de, por ejemplo, un importe de 50.000€ puede suponer un serio problema para la contabilidad de una pequeña empresa. Además, al evidente perjuicio económico, hay que sumar la problemática derivada de la gestión de estas situaciones que habitualmente acarrean tensiones en las relaciones entre las partes afectadas.

Consecuencias de un ciberataque

En los medios de comunicación es habitual encontrar noticias relacionadas con ciberataques dirigidos contra grandes compañías y entidades públicas, siendo predominantes los cometidos mediante ransomware. Es este uno de los ataques más extendidos y que peores consecuencias ocasiona a las organizaciones afectadas. Cualquier organización puede verse afectada, independientemente de su tamaño.

Un ataque basado en ransomware sirve de claro ejemplo para determinar las enormes consecuencias que puede acarrear un ciberataque. Las operaciones de la organización puede paralizarse o verse afectada durante tiempo indefinido. En el mejor de los casos pueden ser únicamente horas, si bien es frecuente que sean días o, incluso, semanas.

Para que esto ocurra no es necesario desencadenar un complejo ataque masivo contra todos los sistemas de información de la organización. El sólo hecho de comprometer una parte de los sistemas de información, como por ejemplo el ERP de gestión financiera, puede obligar a paralizar el resto de los sistemas para verificar su estado.

Por otra parte, más allá de las consecuencias que un ciberataque tenga sobre la propia organización. Habrá que tener en cuenta las que se puedan desencadenar debido a aspectos relacionados con el sector al que pertenezca o a la actividad que desarrolle. Las consecuencias pueden llegar a ser extremas. A continuación, se describen algunos ejemplos:

• Empresas suministradoras: el hecho de que una empresa de suministro energético, de telecomunicaciones o de servicios básicos, como el agua, vea afectada su actividad puede impactar gravemente sobre la actividad de empresas y particulares.
• Empresas de transporte: compañías dedicadas al transporte de viajeros o de mercancías son esenciales para mantener la actividad cotidiana. Cualquier afección en sus servicios tiene efectos negativos evidentes.
• Hospitales: lamentablemente, ya se han producido ciberataques que han impactado sobre hospitales provocando afecciones sobre su infraestructura que han provocado el fallecimiento de personas.
• Entidades públicas: la actividad diaria de empresas y particulares está asociada a procesos en los que interviene la Administración. La alteración de su habitual funcionamiento puede acarrearles importantes afecciones.

Costes de un ciberataque

Todas estas consecuencias tienen una traslación económica evidente. El coste económico que conlleva un ciberataque es la principal preocupación para las organizaciones afectadas. Sin embargo, cuantificar ese coste implica realizar un análisis profundo, dado que son muy diversas las circunstancias que se deben contabilizar para conocer el coste real de un ciberataque. Es más, algunas son difíciles de identificar.

Así pues, a la hora de valorar la realización de una inversión en ciberseguridad, deberemos asegurar que, al menos, se tienen en cuenta los costes derivados de los siguientes aspectos:

• Pérdida económica derivada de la afección a la producción: la pérdida de ingresos fruto de estas afecciones suele ser el mayor coste que debe soportar la organización.
• Pérdida de confianza externa por parte de los clientes y los proveedores: sufrir un ciberataque puede generar cierta desconfianza en aquellos que mantienen relación con la organización afectada. Pueden pensar que las afecciones pueden extenderse.
• Daño reputacional: la filtración, por ejemplo, de información que incluya datos personales, tarjetas de crédito o números de cuentas bancarias supone un enorme descrédito para la organización comprometida, viéndose afectada su marca.
• Adquisición no prevista de equipamiento informático (software y hardware) para sustituir el afectado o desplegar medidas de protección.
• Contratación de recursos expertos en IT o ciberseguridad: se encargarán de hacer frente al ciberataque y recuperar el normal funcionamiento de los sistemas.
• Contratación de servicios jurídicos especializados: gestionarán posibles incumplimientos contractuales o normativos.
• Contratación de servicios de comunicación externa: determinarán cómo se debe informar a terceros afectados.
• Desviación de recursos a tareas no previstas: la gestión de un ciberataque puede requerir la realización de tareas no previstas por los equipos de la organización, dejando aparcadas las que estuviesen planificadas.
• Multas o sanciones: éstas suelen derivase del incumplimiento de normativas o acuerdos privados.

Adicionalmente, no conviene olvidar otro tipo de coste que las organizaciones deben soportar a la hora de gestionar un ciberincidente. Se trata del desgaste en los equipos humanos generado por la situación de crisis desencadenada.

Inversión en ciberseguridad

La inversión en ciberseguridad supone un esfuerzo adicional para las empresas que requiere de una adecuada planificación. En muchas ocasiones resulta difícil determinar el retorno de la inversión (ROI) dado que se da la paradoja de que, esa inversión está orientada a evitar un incidente y si éste no se produce, no será posible conocer su coste.

Por este motivo, algunas tesis señalan que la inversión en ciberseguridad debe estar orientada hacia la reducción de riesgos.

La inversión en ciberseguridad debe estar guiada por un Plan Director de Ciberseguridad en el que se detallen las prioridades, los responsables y los recursos que se van a emplear para mejorar la ciberseguridad de la organización.

El Plan Director de Ciberseguridad determinará el nivel de partida en el que se encuentra la organización y los proyectos que se deben acometer. Estos podrán consistir en la adquisición e implementación de tecnología o en la contratación de servicios externos y, también, en la adaptación a normativas del sector y en la formación a empleados.

Ventajas de implementar soluciones de ciberseguridad

La ciberseguridad en las organizaciones ha evolucionado en los últimos años dejando de ser considerada como un proyecto a pasar a ser un conjunto adicional de capacidades y recursos con los que debe contar una organización. La implementación de una estrategia de ciberseguridad sólida y adaptable al crecimiento de la organización es un factor diferenciador a nivel competitivo. Puede ayudar a generar confianza en los clientes y en los socios comerciales. Así mismo, sirve de aval para alinearse con las normativas aplicables en el sector o acceder a coberturas frente a riesgos cibernéticos, como puede ser un ciberseguro.

El mercado ofrece un amplio abanico de soluciones de ciberseguridad que permiten establecer medidas de defensa, detección y respuesta ante intentos de ataque contra los sistemas de información. La tecnología llega a todos los activos, desde el puesto de usuario, pasando por los servidores o el acceso al perímetro hasta llegar a los servicios en la nube.  Todo ello permite a las organizaciones hacer frente a las amenazas de ciberseguridad emergentes.

La adopción de soluciones de ciberseguridad no es una inversión que únicamente puedan acometer grandes corporaciones. El mercado de la ciberseguridad ofrece tecnología con capacidad para adaptarse a todos los escenarios y con posibilidad de evolucionar según lo requiera la organización.

Global Technology dispone de un amplio catálogo de soluciones de ciberseguridad orientadas a la protección de los sistemas de información. El equipo de expertos de Global Technology implementa y administra estas soluciones para alcanzar una respuesta eficaz frente a los ciberataques. Anticípate a los ciberataques invirtiendo en ciberseguridad con Global Technology.

La entrada Inversión en ciberseguridad VS costes de un ciberataque se publicó primero en 4Elitech.