El sector sanitario tiene que hacer frente de manera continua a numerosos desafíos de ciberseguridad como las fugas de información.

De hecho, las amenazas que sobrevuelan sobre sus sistemas de información no dejan de crecer, como así reflejan las estadísticas. Los datos que generan y registran las organizaciones del ámbito sanitario son muy codiciados en los mercados de la Dark Web. Los principales motivos que justifican este interés son que estos datos contienen información personal útil para la comisión de acciones maliciosas y que su vigencia permanece durante largo tiempo.

Los datos de salud

Pero, ¿por qué los datos de salud son tan rentables?

• Amplia información personal: los historiales médicos contienen una amplia gama de información personal. Desde nombres completos, fechas de nacimiento, direcciones, DNI, número de la Seguridad Social, datos de contacto e, incluso, datos financieros asociados a seguros de salud. Esta información es más rica y detallada que la que, por ejemplo, contienen los documentos del ámbito financiero.

• Perdurabilidad: los datos médicos, a diferencia de otros datos con los que también se trafica en la Dark Web, como son los de las tarjetas de crédito, tienen una vida útil más larga. Los historiales médicos no varían en el tiempo, acumulan información, pero la que se registra no cambia. Esta perdurabilidad facilita la explotación y el tráfico de información en periodos de tiempo más largos..

 

• Fraude: los datos médicos son de gran valor, también, para aquellos actores maliciosos que se dedican a la comisión de fraudes. La información comprometida se utiliza para presentar reclamaciones falsas a las aseguradoras médicas, para obtener medicamentos de alto coste que luego se ofrecen en el mercado negro e, incluso, para generar identidades médicas falsas. Además, esta información puede ser combinada con otra de tipo personal para suplantar la identidad y realizar compras o gestiones financiero.

• Venta de la información: el robo de una base de datos médica o de un repositorio de expedientes médicos conlleva la sustracción de un gran volumen de información. Los actores maliciosos suelen trocear esa información en lotes para su venta en los mercados ocultos de Internet con el fin de obtener mayor beneficio.

• Investigación médica y farmacéutica: la información que se genera en el ámbito sanitario no contiene únicamente expedientes médicos de personas. La investigación médica y farmacéutica, por ejemplo, es uno de los subsectores que produce gran cantidad de información. Los datos sobre ensayos clínicos, nuevos tratamientos o medicamentos son muy demandados en los mercados ocultos.

Obtención de datos

En este contexto, ¿cómo consiguen nuestros datos?

El robo de información en el ámbito sanitario se produce de forma muy similar a como ocurre en otros sectores, si bien, aquí prevalece un vector de ataque por encima de otros. Como se pone de manifiesto en el informe de la Agencia Europea de Ciberseguridad, ENISA Threat Landscape 2024, la afección del ransomware en organizaciones del sector salud es superior al del resto.

De acuerdo a esto, el alto valor de los datos sanitarios es la causa de que los actores maliciosos utilicen el ransomware para obtener grandes volúmenes de datos con los que luego obtener un rédito económico. Bien a través del pago de un rescate solicitado a la víctima del ataque, bien al traficar con esos datos en los foros y mercados ocultos. 

A su vez, los ciberatacantes consiguen infiltrar el software malicioso en las organizaciones, explotando vulnerabilidades de sistemas expuestos en Internet y utilizando otros vectores que tienen al usuario como objetivo principal.

La utilización de credenciales fugadas es otro de los vectores que permiten a los actores maliciosos acceder a los sistemas de información para extraer información. En el citado informe de ENISA, se menciona un nuevo vector de ataque que está generado preocupación entre los expertos en ciberseguridad. Se trata de la filtración de información a través de las herramientas de inteligencia artificial generativa.

Fugas de información

Como se ha indicado, la detección de una fuga de información puede alargarse en el tiempo, ya que la información sustraída no circula abiertamente por Internet. En concreto, los foros, mercados y canales de comunicación de la Deep y la Dark Web son los espacios donde se comercializa con la información. Únicamente, mediante personal experto y herramientas diseñadas especificamente para infiltrarse en estos sitios, es posible detectar fugas de información, lo que conforma un servicio de vigilancia digital.

Por otro lado, implementar un seguimiento continuo de lo que acontece en los espacios ocultos permite detectar de manera temprana estas fugas. Además de los datos sanitarios, la vigilancia digital permite identificar credenciales comprometidas y menciones de las organizaciones.

La identificación de las fugas de información favorece la actuación de los equipos de seguridad, aplicando medidas de mitigación antes de que la información pueda ser utilizada con fines maliciosos. Llegado el caso, también resultará útil si es necesario llevar a cabo un análisis forense y colaborar en el marco de una posterior acción legal.

Es evidente que la formación en ciberseguridad debe ser un proceso continuo y no un evento aislado. A medida que los ciberatacantes desarrollan técnicas más sofisticadas, es imperativo que las organizaciones no solo capaciten a sus empleados de forma regular, sino que también actualicen constantemente sus programas de formación para reflejar las amenazas emergentes. 

Además de la formación, es crucial que las organizaciones implementen una estrategia integral de ciberseguridad que incluya la monitorización constante de los sistemas, la actualización de las medidas de protección y la simulación de ataques como pruebas de phising controladas. Estas simulaciones permiten identificar puntos débiles en la cadena de protección y reforzar las áreas vulnerables.

Finalmente, es vital que las empresas fomenten una cultura de ciberseguridad en la que los empleados se sientan capacitados para reportar cualquier actividad sospechosa sin temor a represalias. La comunicación abierta y el compromiso con la ciberseguridad deben ser pilares en la estrategia de cualquier organización que aspire a proteger sus activos digitales en un entorno cada vez más hostil.

La batalla contra las amenazas cibernéticas es un esfuerzo constante que requiere tanto la concienciación continua de los empleados como la adaptación rápida a las nuevas tácticas empleadas por los actores maliciosos. Solo mediante una estrategia de ciberseguridad proactiva y evolutiva podrán las organizaciones mantenerse un paso adelante y minimizar el riesgo de sufrir ataques.

Protección de datos

La vigilancia digital es un recurso al que se recurre una vez comprometida la información. Los esfuerzos de las organizaciones se deben centrar en evitar que se produzca la fuga de datos. Para ello, existen un conjunto de tecnologías y me canismos que permiten aplicar una capa de seguridad a los datos que previenen la fuga o, al menos, impiden su utilización si esta se materializa.

En ese sentido, los fabricantes de soluciones de ciberseguridad han desarrollado herramientas. Permiten definir una estrategia de seguridad del dato orientada a minimizar los riesgos de las amenazas. Para ello, implementan diversos procesos que ofrecen visibilidad integral de la información disponible, a la vez que facilitan la aplicación de medidas de control para evitar fugas y la auditoria de los registros.

En definitiva, combatir la amenaza de la fuga de información pasa por la instauración de una estrategia holística que priorice la implementación de medidas preventivas basadas en tecnologías de seguridad del dato, sin dejar a un lado la adopción de un servicio de vigilancia digital que monitorice continuamente la zona oculta de Internet.

Todo ello, con el objetivo de asegurar la confidencialidad, la disponibilidad y la integridad de los datos. 

La entrada Fugas de información: un riesgo silencioso para el sector sanitario se publicó primero en 4Elitech.

Diferencias principales con modelos anteriores

El modelo o1 se centra en dedicar más tiempo a pensar antes de responder, simulando un proceso de razonamiento más humano. Esto le permite abordar tareas más difíciles que los modelos anteriores, como pruebas matemáticas avanzadas y desafíos de codificación complejos. En pruebas comparativas, el modelo o1 superó significativamente a GPT-4o en la resolución de problemas de matemáticas y codificación.

Si hablamos de las limitaciones actuales, a diferencia del modelo GPT-4o, los modelos o1-preview y o1-mini no tienen acceso a herramientas avanzadas como la navegación web, la carga de archivos, la memoria y la visión. Estos modelos están enfocados en el razonamiento puro y son más adecuados para tareas donde el contexto completo se proporciona dentro del prompt. A corto plazo, GPT-4o puede seguir siendo la mejor alternativa para tareas que requieran de estas limitaciones.

1. Detección y respuesta a amenazas: Gracias a su capacidad para analizar grandes volúmenes de datos, OpenAI o1 puede identificar patrones inusuales en el tráfico de red o en los registros de actividad, lo que facilita la detección de amenazas emergentes. Su capacidad de razonamiento avanzado le permite interpretar señales sutiles que podrían pasar desapercibidas para modelos anteriores o sistemas de seguridad tradicionales.

2. Análisis de vulnerabilidades: El modelo puede ser utilizado para revisar códigos fuente y sistemas en busca de vulnerabilidades conocidas o patrones que sugieran debilidades de seguridad. Esto facilita la identificación de vulnerabilidades antes de que puedan ser explotadas, reduciendo la ventana de exposición de las organizaciones a potenciales ataques.

3. Simulación de ataques: La capacidad de razonamiento mejorada del modelo o1 permite simular ataques cibernéticos con mayor realismo, evaluando así la eficacia de las defensas existentes y proporcionando recomendaciones para mejorar la postura de seguridad.

El futuro de la ciberseguridad ante la evolución de la IA

La llegada de OpenAI o1 obliga a las organizaciones a replantear sus estrategias de ciberseguridad. Es crucial que los profesionales del sector no solo adopten herramientas basadas en inteligencia artificial para fortalecer sus defensas, sino que también desarrollen políticas y frameworks éticos que regulen el uso responsable de estas tecnologías.

1. Formación y concienciación: La capacitación constante del personal en nuevas tecnologías y amenazas emergentes será clave para enfrentar los desafíos que presenta OpenAI o1. Comprender cómo funciona esta IA y sus posibles aplicaciones maliciosas es el primer paso para mitigar sus riesgos.

2. Desarrollo de políticas de IA: Las organizaciones deben establecer directrices claras sobre el uso de la inteligencia artificial en sus operaciones, asegurando que se apliquen medidas de seguridad adecuadas y se mantenga un control sobre el uso ético de estas herramientas.

3. Colaboración global: Dada la naturaleza transnacional de las amenazas cibernéticas, es esencial fomentar la cooperación para desarrollar enfoques comunes que regulen el uso de modelos avanzados de IA y promuevan su uso seguro.

La entrada Impacto de OpenAI o1 en la ciberseguridad se publicó primero en 4Elitech.

Cada vez son más las organizaciones que van tomando conciencia de la importancia de formar a sus empleados en materia de ciberseguridad con el fin de que puedan identificar los riesgos y las amenazas a los que están sometidos los sistemas de información.

Como bien es sabido, una de las principales amenazas a las que tienen que hacer frente los usuarios es el Phising. Este tipo de ciberataque utiliza técnicas de ingeniería social para ganarse la confianza de los usuarios y obtener información valiosa (credenciales, número de tarjetas de crédito, etc…).

Los actores maliciosos, en vista de que han ido perdiendo eficacia en sus acciones, han comenzado a desarrollar nuevos métodos para sortear las medidas adoptadas por las organizaciones.

En el SOC de Global Technology estamos observando cómo los ciberatacantes han comenzado a combinar vectores de ataque muy eficaces para lograr sus objetivos.

Así, por un lado, están aprovechando la debilidad de la cadena suministro. Es habitual que las organizaciones se sirvan de proveedores y de empresas colaboradoras de diferente índole para desarrollar su actividad. Éstas pueden ser grandes empresas o pequeños suministradores locales. En el caso de los segundos, las medidas de ciberseguridad que implementan no son siempre lo suficientemente efectivas. En el SOC estamos detectando como los actores maliciosos se están aprovechando de esta circunstancia para comprometer las credenciales de acceso de los empleados de las empresas suministradoras a determinados servicios, como el correo electrónico.

Una vez tomado el control de una cuenta de correo legítima, es cuando los ciberatacantes ponen en juego otro vector de ataque, el Phising. Una vez que tienen acceso al buzón de correo del empleado pueden revisar sus contactos e identificar posibles objetivos a los que remitir correos que no levanten sospechas y que puedan contener un formulario para recabar ciertos datos o un enlace a un contenido malicioso.

Un ejemplo real es el caso de un empleado de una empresa de suministros industriales con funciones comerciales que ha visto comprometida su cuenta de correo. El actor malicioso accede a su cuenta de correo e identifica las empresas y contactos con los que intercambia información de manera habitual. Con esta información, el ciberatacante compone un correo electrónico con un asunto y contenido nada sospechoso (una factura o un albarán) que incluye el enlace a un fichero de O365.

Cuando el destinatario recibe el correo, verá cómo al intentar acceder al enlace se le mostrará una página de login de O365, que en apariencia es real. Sin embargo, en la barra de navegación figurará una URL que no se corresponde con la oficial de la aplicación. Se trata de una página suplantada con la que los actores maliciosos obtendrán las credenciales del usuario una vez introducidas. 

A partir de ese momento, los ciberatacantes podrán tomar el control de la cuenta de O365 y desencadenar otro tipo de acciones. 

Estes caso de la suplantación ilustra claramente cómo un ataque bien dirigido puede explotar la confianza y la rutina de los empleados para comprometer la seguridad de toda la organización. 

Este tipo de amenaza pone de manifiesto la importancia de que los empleados sean capaces de reconocer señales sutiles de un posible ataque, como URLs sospechosas o formularios inesperados.

Es evidente que la formación en ciberseguridad debe ser un proceso continuo y no un evento aislado. A medida que los ciberatacantes desarrollan técnicas más sofisticadas, es imperativo que las organizaciones no solo capaciten a sus empleados de forma regular, sino que también actualicen constantemente sus programas de formación para reflejar las amenazas emergentes. 

Además de la formación, es crucial que las organizaciones implementen una estrategia integral de ciberseguridad que incluya la monitorización constante de los sistemas, la actualización de las medidas de protección y la simulación de ataques como pruebas de phising controladas. Estas simulaciones permiten identificar puntos débiles en la cadena de protección y reforzar las áreas vulnerables.

Finalmente, es vital que las empresas fomenten una cultura de ciberseguridad en la que los empleados se sientan capacitados para reportar cualquier actividad sospechosa sin temor a represalias. La comunicación abierta y el compromiso con la ciberseguridad deben ser pilares en la estrategia de cualquier organización que aspire a proteger sus activos digitales en un entorno cada vez más hostil.

La batalla contra las amenazas cibernéticas es un esfuerzo constante que requiere tanto la concienciación continua de los empleados como la adaptación rápida a las nuevas tácticas empleadas por los actores maliciosos. Solo mediante una estrategia de ciberseguridad proactiva y evolutiva podrán las organizaciones mantenerse un paso adelante y minimizar el riesgo de sufrir ataques.

La entrada Phising a través de la cadena de suministro se publicó primero en 4Elitech.

¿Cómo ha transformado la inteligencia artificial el campo de la ciberseguridad en los últimos años?

 

Inés:  La IA ha cambiado el paradigma general, no solo en el campo de la ciberseguridad. Los algoritmos avanzados y el aprendizaje automático hacen mucho más fácil la detección de patrones y el análisis de un volumen de datos mucho más grande. Si nos centramos en el campo de la ciberseguridad, la IA permite realizar análisis de comportamientos, reducir los falsos positivos, crear escenarios de simulación de incidentes, … Se está convirtiendo en una herramienta complementaria muy poderosa para el análisis de nuestras infraestructuras. Aunque bien es cierto que ha supuesto una mejora, no debemos de olvidar que en ocasiones los modelos de IA funcionan como los minions, son una ayuda, pero hay veces que responden de manera torpe y no está de más su supervisión.

Pedro: La IA mola, no te lo voy a negar, sabe un montón de cosas…pero aquí lamentablemente se aplica la premisa de que el conocimiento no equivale a la sabiduría.  También debemos dejar claro que lo que últimamente se ha puesto de moda son los modelos del lenguaje, y precisamente estos ya no requieren saber complejos comandos para hacer que funcionen de forma anómala…basta con saber comerles el tarro como cuando convences a tu sobrina de que suelte el mando de la PS5 “porque no es bueno jugar tanto” para meterte una viciada de 14 horas en cuanto ella deja de mirarte.

¿Cuáles son las vulnerabilidades más críticas en los sistemas de IA y cómo se pueden en enfrentar?

Inés: La lista es larga, creo que su democratización ha hecho olvidar que su uso (como el de cualquier tecnología) puede conllevar un riesgo.

 

Por ejemplo, una de las principales vulnerabilidades a la que nos enfrentamos es el sesgo en los datos. Si la IA se entrena con datos sesgados, es decir, que no son completamente representativos del mundo real, puede tomar decisiones erróneas fácilmente. Para enfrentarlo, tenemos que ser muy cuidadosos con la selección y el procesamiento de datos. Además, la seguridad del propio modelo de IA es crucial, si alguien puede manipular el modelo, puede causar estragos.

Pedro: Hay vulnerabilidades de toda índole, precisamente los modelos del lenguaje nos permiten jugar con el léxico con el objetivo de alterar su funcionamiento para obtener ciertos comportamientos. Ya sea para que nos de datos que los desarrolladores han intentado ocultar, funcione de una forma absurda inventando datos o adopte la personalidad de un apicultor adicto al fentanilo, las anomalías que podemos aprovechar mediante esa picaresca de las palabras (muy nuestra, por cierto) son bastantes.

Parece que la colaboración entre hackers éticos y desarrolladores de IA es crucial. ¿Qué tan importante es esta colaboración para fortalecer la seguridad? ¿Cómo se puede fomentar en la industria?

Inés: Es absolutamente esencial. Trabajar juntos en equipos multidisciplinares nos permite identificar y solucionar problemas más fácilmente antes de que los ciberdelincuentes los exploten.

Pedro: Siempre es divertido colaborar con otros especialistas. Sobre todo, cuando el trabajo que tiene tu compañero es construir cuidadosos castillos de naipes y el tuyo es darle un manotazo a ver si se cae. Obviamente yo estoy en el lado divertido de los naipes.

 

 

Por último, pero no menos importante, hablemos del futuro. ¿Qué innovaciones en inteligencia artificial esperáis que redefinan la ciberseguridad en los próximos años?

Inés: Creo que el aprendizaje federado tendrá un mayor auge y un papel fundamental en la privacidad de los datos. Este aprendizaje permite entrenar modelos de IA sin compartir datos sensibles, haciendo que no se vea comprometida la privacidad de los datos o al menos, que no sea por el entrenamiento de modelos.  Lo que sí que tengo claro, visto el crecimiento que está teniendo la IA en estos últimos años, es que puede aparecer un algoritmo o un modelo nuevo que haga factibles cosas que ahora no nos planteamos.

Pedro: El estado del arte está un poco verde todavía como con cualquier tecnología incipiente. No me cabe duda que los modelos evolucionarán y aparecerán sistemas de seguridad que los protejan de una forma más eficiente. En mi opinión el problema no está en los modelos si no en los conjuntos de datos usados para el entrenamiento. Si el modelo no tiene datos de origen adaptados a prevenir estos comportamientos maliciosos, seguiremos pudiendo hackearlos. Es un campo interesante y por mi parte tengo curiosidad por ver en que desemboca todo.

La entrada Hackers vs. IA: La Batalla de los Genios se publicó primero en 4Elitech.

Velocidad del cambio generacional

El cambio generacional se refiere a la transición de una generación a otra, marcada por diferencias en valores, actitudes y comportamientos. En el pasado, este cambio era gradual, permitiendo una adaptación natural y progresiva. Sin embargo, la revolución digital ha acelerado este proceso. La generación del milenio y la Generación Z, han crecido en un mundo donde la tecnología es omnipresente, lo que ha resultado en una brecha generacional más pronunciada en cuanto a la adopción y comprensión de la tecnología.

Importancia de la tecnología

La tecnología es una fuerza motriz en casi todos los aspectos de la vida moderna. Ha transformado la forma en que nos comunicamos, trabajamos, aprendemos y nos entretenemos. La pandemia de COVID-19 ha evidenciado aún más esta realidad, obligando a personas de todas las edades a adaptarse a herramientas digitales para el trabajo remoto, la educación en línea y el ocio digital. Esto ha acelerado aún más la adopción tecnológica en generaciones que anteriormente eran menos dependientes de estas herramientas.

Ciberseguridad: una necesidad imperativa

Con el aumento de la dependencia de la tecnología, la ciberseguridad se ha convertido en un campo de vital importancia. La protección de datos personales y empresariales contra ciberataques es crucial. Las generaciones más jóvenes, aunque hábiles en el uso de tecnología, pueden ser a menudo complacientes respecto a los riesgos de seguridad. Por otro lado, las generaciones mayores pueden carecer del conocimiento necesario para protegerse en el entorno digital. Esto destaca la necesidad de educación y concienciación sobre ciberseguridad para todas las edades.

Conclusión: la importacia de la concienciación y la formación en la era digital

En conclusión, la velocidad del cambio generacional en la era digital presenta tanto oportunidades como desafíos. La educación y la sensibilización sobre ciberseguridad son fundamentales en este contexto. La formación debe ser inclusiva y adaptarse a las diferentes competencias y necesidades de cada generación, asegurando un enfoque continuo y evolutivo acorde con los cambios en el panorama de amenazas cibernéticas. Preparar a todas las generaciones para enfrentar y superar los desafíos de seguridad digital es fundamental para asegurar un futuro digital seguro y próspero. La concienciación y la formación en ciberseguridad deben ser vistas como inversiones esenciales en el capital humano de nuestra sociedad, garantizando así que todos puedan navegar por el cambiante paisaje digital con confianza y seguridad.

Si bien el cambio climático ha capturado la atención mundial con campañas intensivas sobre la concienciación y la acción, como el reciclaje y la sostenibilidad, la sociedad aún no ha generado un ruido similar respecto al vertiginoso cambio generacional impulsado por la tecnología. Es crucial que iniciemos un diálogo global igualmente vigoroso para educar y apoyarnos mutuamente en la navegación segura y eficaz de este paisaje digital en constante evolución, al igual que nos unimos en la lucha contra el cambio climático.

En este contexto, desde Global Technology, ofrecemos nuestro servicio de concienciación, upskilling y reskilling, un programa diseñado para proporcionar formación en ciberseguridad, accesible a personas de todas las edades. Este enfoque integral es un paso esencial para empoderar a las comunidades en la era digital, equipándolas con las habilidades necesarias para enfrentar desafíos tecnológicos con confianza y seguridad

La entrada El cambio generacional en la era digital: velocidad, tecnología y la imperativa necesidad de ciberseguridad se publicó primero en 4Elitech.

¿Qué son las infraestructuras críticas?

La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas define en su artículo 2 qué debemos entender como “Infraestructura Crítica”: Son “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. En otras palabras, son las instalaciones, redes y sistemas que sustentan los servicios que mantienen las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de un país, o sus instituciones y Administraciones Públicas, y no hay posibilidad de que otra infraestructura las reemplace o cubra sus funciones en caso de interrupción o incidente.

Las Infraestructuras Críticas pertenecen o están a cargo de un Operador Crítico designado como tal por la Comisión Nacional para la Protección de las Infraestructuras Críticas, y éste puede pertenecer al sector público o privado.

¿Qué sectores hay con infraestructuras críticas en España?

Las Infraestructuras Críticas se clasifican entre 12 posibles sectores estratégicos, los cuales se consideran áreas laborales, económicas o productivas que mantienen las funciones sociales, salubres, de seguridad y bienestar básicas, o respaldan la autoridad estatal o seguridad del país.

De acuerdo con el anexo único de la Ley 8/2011, los sectores estratégicos con Infraestructuras Críticas son los siguientes:

• Administración.
• Espacio.
• Industria nuclear.
• Industria química.
• Instalaciones de investigación.
• Agua.
• Energía.
• Salud.
• Tecnologías de la Información y las Comunicaciones (TIC).
• Transporte
• Alimentación.
• Sistema financiero y tributario.

¿Qué obligaciones legales tiene un operador crítico con una o más infraestructuras críticas a su cargo?

El art. 13 de la Ley 8/2011 nos dice que los Operadores Críticos deberán, entre otros, elaborar el Plan de Seguridad del Operador (PSO), así como un Plan de Protección Específico (PPE) por cada Infraestructura Crítica bajo su control o propiedad. Esta obligación se repite en el art. 13 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, el cual añade que deberán revisarse cada 2 años y cuando las circunstancias así lo ameriten debido a cambios sustanciales de los datos que contienen. Éstos deberán ser aprobados por el CNPIC.

En este sentido, los principales instrumentos regulatorios que deberán tenerse en cuenta son los siguientes:

• Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
• Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
• Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos.
• Guía de buenas prácticas para Plan de Seguridad del Operador (PSO) del CNPIC (voluntario).
• Guía de buenas prácticas para Plan de Protección Específico (PPE) del CNPIC (voluntario).

Sin embargo, ello no obsta para que se deba considerar la normativa sectorial, autonómica o local específicas, y cualesquiera otras que resulten de aplicación.

¿Qué es un plan de seguridad del operador (PSO)?

Un PSO es un documento estratégico que define las políticas generales del Operador Crítico para garantizar la seguridad del conjunto de sus instalaciones y sistemas bajo su propiedad o gestión. En este sentido, contiene los siguientes elementos:

• Política general de seguridad del Operador Crítico.
• Estructura societaria, administrativa y jerárquica del Operador.
• Identificación y descripción de los servicios esenciales prestados por Operador.
• Interdependencias y coordinación del servicio esencial y del Operador con Autoridades y terceros.
• Metodología de análisis de riesgo integral que se adopta para evaluar riesgos físicos y cibernéticos.
• Criterios para implementar las medidas de seguridad con las que cuenta el Operador.

¿Qué es un plan de protección específico (PPE)?

Un PPE es un documento operativo en el que se definen las medidas concretas ya adoptadas y las que se adoptarán por parte del Operador Crítico con base en una evaluación de riesgos, en aras de garantizar la seguridad física y lógica de una Infraestructura Crítica concreta. Por tanto, contiene los siguientes elementos:

• Aspectos relacionados con la Política general de seguridad.
• Medidas organizativas, operacionales y técnicas con las que cuenta el Operador.
• Resultado del análisis de riesgos y Plan de Acción

¿Qué beneficios aporta contar con un plan de protección robusto?

Adoptar planes de protección en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes:

• Resiliencia operativa: Fortalece la capacidad de la organización para resistir y recuperarse de eventos adversos, asegurando la continuidad de los servicios esenciales.
• Gestión de riesgos: Facilita la identificación, evaluación y gestión proactiva de riesgos, permitiendo prever, disminuir o evitar la materialización de amenazas potenciales.
• Coordinación eficiente: Mejora la coordinación y colaboración entre diferentes entidades, incluyendo organismos reguladores, autoridades y otras partes interesadas, para abordar de manera efectiva las amenazas a la seguridad.
• Optimización de recursos: Permite asignar recursos de seguridad de manera más eficiente, centrándose en las áreas y activos más críticos para la organización.
• Respuesta rápida y efectiva: Facilita una respuesta rápida y efectiva ante incidentes o emergencias.
• Cumplimiento normativo: Ayuda a garantizar el cumplimiento de las normativas y regulaciones específicas del sector, evitando sanciones y asegurando la integridad legal de la organización.
• Protección de la reputación: Contribuye a mantener la confianza del público, clientes y partes interesadas, al demostrar un compromiso serio con la seguridad.

Además, es posible alinear los planes con otras normativas y estándares nacionales o internacionales certificables de seguridad, tales como el Esquema Nacional de Seguridad, ISO 27001 o ISO 22301, de manera que supongan un primer paso de cara a su adopción.

¿Cómo te ayudamos en la protección de infraestruturas críticas desde Global Technology?

Desde el departamento de GRC de Global Technology te ayudamos a elaborar Planes de Seguridad del Operador y Planes de Protección Específicos, desde el punto en el que estés, hasta su aprobación por el CNPIC. Te acompañamos durante todo el camino y te asesoramos para analizar el estado, necesidades y riesgos de tu organización para identificar los procedimientos y medidas técnicas que mejor se adapten a tus necesidades.

Si quieres más información sobre cómo te podemos ayudar a cumplir con la normativa PIC, contacta  con nosotros y estaremos encantados de compartir contigo nuestra experiencia.

La entrada Seguridad en infraestructuras críticas en España se publicó primero en 4Elitech.

El rol del SOC, uno de los pilares de las tendencias en ciberseguridad

En primer lugar, habrá que estar atentos a la posible continuidad de los conflictos geopolíticos presentes en 2023 y que han tenido una significada réplica en el ciberespacio, donde actores maliciosos de diversa índole han acometido numerosos ataques contra organizaciones públicas y privadas de todo el mundo.

La monitorización continua de la actividad que se genera alrededor de los sistemas de información cobra más relevancia, si cabe, ante escenarios de este tipo. Es aquí donde juega un papel fundamental el Centro de Operaciones de Seguridad (SOC). La capacidad que posee de concentrar y analizar todos los eventos que se registran en las distintas herramientas de ciberseguridad le permiten reaccionar de manera inmediata ante cualquier amenaza y coordinar las actuaciones necesarias en la respuesta a incidentes. El SOC seguirá siendo el núcleo central alrededor del cual girará la estrategia de ciberdefensa de la empresa.

Ciberseguridad en entornos IoT

A lo largo de 2023 se ha observado un creciente número de ciberataques contra sistemas de control industrial (ICS) desplegados en infraestructuras de todo tipo. Esta tendencia se prevé que siga al alza en 2024. La convergencia entre el mundo IT y el OT, que conlleva la necesidad de integrar soluciones de un lado y otro para optimizar la capacidad productiva de las compañías está generando una mayor exposición de los sistemas OT a las ciberamenazas. La repercusión de los ataques contra estas infraestructuras suele ser significativa, llegando a comprometer seriamente a las organizaciones. Por este motivo, la estrategia de ciberseguridad de las empresas contemplará la incorporación de herramientas que permitan mantener actualizado un inventario de todos los dispositivos OT y monitorizarlos para detectar al instante amenazas y vulnerabilidades.

Incremento del ransomware

La amenaza del ransomware seguirá expandiéndose. Después de dos años creciendo los casos más de un 20%, el número de organizaciones que se verán afectadas por ciberataques basados en este tipo de malware seguirá aumentando. Esta tendencia es consecuencia de la consolidación del modelo de pago por uso de herramientas para la comisión de estos ataques instaurado por actores maliciosos altamente sofisticados. Es el conocido malware-as-a-service. Este modelo permite que actores con menor cualificación accedan al lucrativo negocio de la extorsión a través de este malware. Las empresas deberán seguir reforzando sus sistemas antimalware, implementar o dar continuidad a las acciones de concienciación a los usuarios y adoptar tecnología de análisis del comportamiento para la detección de amenazas complejas. Las soluciones SIEM de última generación con capacidad para analizar el comportamiento del atacante y del usuario serán un arma altamente eficaz para identificar este tipo de amenazas.

Inteligencia Artificial

Desde el lanzamiento de ChatGPT en noviembre de 2022, la inteligencia artificial (IA) se ha convertido en uno de los principales temas de conversación. El potencial uso de esta tecnología en el ámbito empresarial tendrá un papel relevante, siendo una de las tendencia en ciberseguridad de 2024, al igual que lo hará la preocupación por resolver algunas dudas que esta tecnología suscita en el ámbito de la ciberseguridad. La confiabilidad y la privacidad de los datos será un asunto en el que se deberá seguir evolucionando.

Por otro lado, la IA también será adoptada de manera creciente por los actores maliciosos quienes la utilizarán cada vez más para ampliar el alcance de sus actividades y dotarlas de mayor frecuencia y precisión. Probablemente, veremos campañas de phishing más sofisticadas y a mayor escala que se asemejarán cada vez más a la acción de un humano.

Para hacer frente a esta amenaza creciente, los equipos de ciberseguridad se servirán de herramientas que incorporarán nuevas funcionalidades basadas en IA. Así mismo, se apoyarán en las capacidades que ofrece la IA para sus flujos de trabajo, lo cual agilizará los procesos de gestión de las amenazas.

Protección del dato

El cambio de modelo de trabajo que muchas organizaciones han abordado ya y el que otras están valorando afrontar, basado en la implantación del teletrabajo en alguna de sus variantes (híbrida, total) y en la adoptación de la nube como espacio para alojar su información, mantiene viva la preocupación de los responsables de ciberseguridad por la protección del dato. Las empresas necesitan herramientas que les permita clasificar los datos, identificar el potencial riesgo al que están sometidos y alertar de cualquier actividad anómala que pueda generarse entorno a ellos. Estas herramientas deberán integrarse con las plataformas en la nube más extendidas.

Gestión de la identidad

El robo de credenciales es uno de los botines más deseados por los actores maliciosos. Para unos es un producto con el que poder hacer negocio y para otros la llave que les da acceso a la realización de ciberataques de gran envergadura. Por todo ello, las empresas se esforzarán en implementar procesos que permitan realizar una gestión adecuada de la identidad y del acceso. La adopción de herramientas IAM será una apuesta creciente, siendo las grandes aliadas en este ámbito. Igualmente, se generalizará la presencia del MFA como mecanismo de autenticación. La distinta normativa vigente en materia de ciberseguridad seguirá ejerciendo presión a las organizaciones para implementar este tipo de soluciones.

Expansión del ciberseguro

La búsqueda de soluciones que faciliten la gestión del riesgo ha encontrado en el ciberseguro una herramienta muy útil para las organizaciones dado que les permite transferir el riesgo y responder de manera efectiva a situaciones que hacen tambalear la continuidad del negocio. Muy probablemente, 2024 será un año de expansión en la contratación de estos productos. No obstante, hacerse con ellos es una tarea que no está exenta de dificultades. Las empresas que quieran optar a una póliza de protección de este tipo deberán cumplir con los rigurosos requisitos que exigirán las aseguradoras. A su vez, éstas irán adaptando y ampliando su oferta para dar respuesta a las diversas necesidades a las que deben hacer frente las organizaciones.

Podemos ayudarte a implementar todas estas tendencias de ciberseguridad en tu empresa

Global Technology está a la vanguardia en el asesoramiento e implementación de soluciones de ciberseguridad para hacer frente a las amenazas emergentes del ciberespacio. El abanico de herramientas y servicios que ofrece Global Technology permiten preparar el entorno para anticiparse a estos escenarios y afianzar la estrategia de ciberseguridad de las empresas.

La entrada Tendencias de ciberseguridad empresarial para 2024 se publicó primero en 4Elitech.

¿Qué es la ISO 27701?

En primer lugar, debemos comprender qué son los datos personales. Según el Reglamento general de protección de datos (RGPD), son toda aquella información sobre una persona física identificada o identificable.

En otras palabras, la información que nos permite saber quién es un individuo. Por ejemplo, su nombre, dirección, número de identificación, teléfono o cuenta bancaria, entre otros. Estos datos los podemos encontrar en los contratos y nóminas de nuestros empleados, en registros de clientes, en correos electrónicos y en otros muchos documentos que utilizamos en el día a día.

Por su parte, la norma ISO 27701 es un estándar internacional que establece requisitos y orientación para que implantemos un Sistema de Gestión de la Privacidad de la Información. Aunque es de carácter voluntario, es muy recomendable implantarlo. Esto se debe a que se basa en RGPD y es conforme a la Ley de Protección de Datos Personales (LOPDGDD).

Por tanto, si cumplimos con los requisitos de la ISO 27701, contaremos con pruebas que nos permitirán evidenciar ante clientes, partners y autoridades públicas que tratamos adecuadamente los datos de carácter personal de acuerdo con la normativa vigente.

Está particularmente dirigida al sector privado. En tanto que se fundamenta en gran parte en el RGPD, resulta especialmente interesante para aquellas organizaciones de derecho privado que manejen datos de ciudadanos de la Unión Europea como parte de su actividad. Se exceptúa su aplicación en los casos recogidos en el art. 2.2. RGPD y LOPDGDD.

Características de la norma

La ISO 27701 es una extensión certificable de la ISO 27001 de Seguridad de la Información. En otras palabras, se parte del Sistema de Gestión de Seguridad de la Información (SGSI) que prevé la ISO 27001 para implantar esta norma, ya que en muchos casos toma los requisitos de la ISO 27001 y los complementa con controles específicos de privacidad de la información.

Esta norma destaca por su enfoque holístico hacia la privacidad. Integra principios de la privacidad desde el diseño y responsabilidad activa, evaluando riesgos y asegurando transparencia en el manejo de datos personales. Se divide en cuatro capítulos:

1. Capítulo 5: Requisitos de gestión sobre privacidad de la información. Éstos se refieren a las políticas, procesos y procedimientos corporativos cuyo objetivo es dirigir y controlar nuestra operativa diaria.
2. Capítulo 6: Requisitos de seguridad sobre privacidad de la información. Éstos se centran en las medidas físicas y técnicas concretas que adoptamos para proteger la información.
3. Capítulo 7: Requisitos adicionales para el responsable del tratamiento. Se considera responsable al individuo u organización que decide qué datos se recopilan, con qué propósito y cómo se utilizarán, así como las medidas de protección aplicables.
4. Capítulo 8: Requisitos adicionales para el encargado del tratamiento. Un encargado trata datos personales, pero se limita a seguir las instrucciones que le da el responsable, sin decidir nada por él mismo.

¿Cómo se aplica en la protección empresarial?

La flexibilidad propia de la normativa ISO hace imposible ofrecer un listado homogéneo de medidas que todas las empresas deban implantar para certificarse en la ISO 27701, ya que dependerá de las circunstancias específicas de cada una. Sin embargo, en términos generales, podemos señalar los siguientes elementos:

• Políticas y procedimientos específicos relacionados con la protección de datos, como:
  • Política de protección y privacidad de datos
  • Alusiones específicas al tratamiento de datos personales en procedimientos corporativos, tales como gestión de incidentes o gestión de soportes.
• Roles y responsabilidades específicos:
  • Designación de un Delegado de Protección de Datos, en caso de que se cumplan los requisitos del art. 37 RGPD y art.34 LOPDGDD.
• Cláusulas de contractuales de protección de datos en las relaciones con terceros, como:
  • Acuerdos de confidencialidad (NDA).
  • Derecho de control de datos personales (ARCOPOL).
  • Consentimiento para el tratamiento de datos
• Enfoque en la gestión del riesgo:
  • Metodología documentada de análisis de riesgos relativos al tratamiento de datos personales.
  • Criterios de valoración del riesgo.
  • Evaluación del riesgo.
  • Plan de tratamiento del riesgo.
• Declaración de Aplicabilidad de los Anexos A y B de la ISO 27701, justificándose debidamente tanto el cumplimiento, como la posible exclusión de los controles.
• Registro de Actividades de Tratamiento (RAT), donde detallemos cómo gestionamos y procesamos los datos, a menos que se nos aplique la excepción del art.30.5 RGPD.
• Acciones de formación y concienciación relativas a la protección de datos para nuestros empleados, tales como píldoras de concienciación sobre la transferencia segura de información o charlas formativas sobre los principios clave de RGPD.
• Medidas técnicas específicas:
  • Pseudonimización, anonimización y enmascaramiento de datos.
  • Cifrado de datos en reposo y en tránsito.
  • Recuperación de datos personales en backups.
  • Bloqueo de datos que ya no se estimen necesarios hasta el término del plazo de prescripción, salvo requerimiento judicial o administrativo.
• Auditorías de cumplimiento, donde un tercero independiente examine nuestro grado de cumplimiento, e identifique posibles mejoras a nuestro Sistema de Privacidad.

¿Qué beneficios nos aporta la ISO 27701?

Adoptar la norma ISO 27701 en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes:

• Cumplimiento normativo: Nos aseguramos de estar alineados con la normativa europea y española de protección de datos.
• Fomento de la confianza de clientes y posibles partners.
• Protección de la imagen y reputación de la empresa.
• Ahorro de tiempo y ventaja ante licitaciones: Nos facilita responder a los cuestionarios y funciona como garantía de cumplimiento de la protección de datos.
• Reconocimiento internacional: El certificado nos brinda reputación a nivel internacional, ya que está reconocido globalmente.

¿Cuáles son las diferencias entre la ISO 27701 y el RGPD?

Si bien la ISO 27701 y el RGPD comparten el objetivo común de salvaguardar la privacidad, podemos señalar las siguientes diferencias:

1. La ISO 27701 es una extensión de la ISO 27001 y está orientada al sector privado, mientras que el RGPD es una norma de Derecho público europeo aplicable tanto a empresas como a organizaciones del sector público.
2. En segundo lugar, la ISO 27701 es una norma voluntaria. Por el contrario, el RGPD es una regulación legal vinculante aplicable a todas las organizaciones que manejan datos de ciudadanos de la Unión Europea. Como reglamento, tiene alcance general y eficacia directa en todos los países de la UE.
3. En tercer lugar, la ISO 27701 ofrece un marco flexible y adaptable a las características y necesidades de cada empresa para la implementación de prácticas de privacidad, mientras que el RGPD establece derechos y obligaciones legales específicos.
4. En cuarto lugar, la ISO 27701 aborda la privacidad como parte integral de un sistema de gestión de la seguridad de la información. Por otro lado, el RGPD se enfoca únicamente en los derechos de los individuos y las responsabilidades de las organizaciones en el tratamiento de datos personales.
5. En quinto lugar, la ISO 27701 es certificable. Por el contrario, el RGPD prevé en su artículo 42 la posibilidad de que se creen mecanismos de certificación que demuestren su cumplimiento, pero no es certificable en sí.

Cómo obtener la certificación ISO 27701

Como ya hemos mencionado anteriormente, la ISO 27701 es una extensión certificable de la ISO 27001, y que debemos contar con un Sistema de Gestión de acuerdo con esta segunda para certificarnos en la primera. Esto lo podemos lograr de dos maneras:

• Si ya estamos certificados en ISO 27001, podemos certificarnos en ISO 27701 de manera independiente.
• Si estamos introduciendo la ISO 27001 en nuestra organización, podemos implantar la ISO 27701 de manera conjunta y certificarnos de ambas en un mismo proceso de auditoría.

El certificado se obtiene como resultado de una auditoría satisfactoria con una entidad certificadora acreditada, en la cual se examina el Sistema de Privacidad implantado a nivel teórico (políticas y procedimientos) y práctico (registros y medidas técnicas) a lo largo de 1-2 jornadas. Tiene una validez de 3 años.

Desde el departamento de GRC de Global Technology te ayudamos a implantar la norma ISO 27701 desde el punto en el que estés, hasta la obtención de la certificación. Te acompañamos durante todo el camino, y te asesoramos para analizar el estado, necesidades y riesgos de tu organización como base desde la que puedas tomar decisiones fundadas para elaborar juntos los procedimientos e implantar medidas técnicas que mejor se adapten a tus necesidades. También estamos contigo durante la auditoría y te ayudamos a solucionar cualquier discrepancia con la norma que pueda encontrar el auditor.

Si quieres más información sobre cómo te podemos ayudar a cumplir con la normativa de protección de datos, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia.

La entrada ISO 27701: La clave para la protección empresarial se publicó primero en 4Elitech.

En este sentido las Autoridades Europeas de Supervisión (AES), estarán a cargo de las normas técnicas. Finalmente, serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación del Reglamento.

Objetivos del reglamento DORA

DORA persigue dos objetivos principales:

• Abordar de manera integral la gestión de riesgos asociados a las TIC en el sector de los servicios financieros.
• Armonizar las regulaciones sobre gestión de riesgos de las TIC que ya existen en los diversos Estados miembros de la UE.

Antes de la implementación de DORA, la normativa en la gestión de riesgos de entidades financieras de la UE se centraba principalmente en asegurar que las empresas contaran con suficiente capital para cubrir riesgos operativos. Aunque algunos reguladores de la UE emitieron directrices sobre TIC y gestión de riesgos de seguridad, estas no eran aplicables de manera uniforme a todas las entidades financieras y a menudo se basaban en principios generales en lugar de normas técnicas específicas. La carencia de normativas comunitarias generó una complejidad para las entidades financieras al tener que lidiar con distintos requisitos establecidos por los Estados miembros de la UE.

Con DORA, la UE busca establecer un marco universal para gestionar y mitigar los riesgos de las TIC en el sector financiero. La armonización de las normas de gestión de riesgos en toda la UE tiene como objetivo eliminar lagunas, superposiciones y conflictos que podrían surgir entre regulaciones dispares de distintos Estados de la UE. Un conjunto común de normas facilitaría el cumplimiento para las entidades financieras, al mismo tiempo que fortalecería la resistencia de todo el sistema financiero de la UE, asegurando que todas las entidades sigan las mismas pautas.

Alcance y aplicación de DORA

DORA se aplica a todas las instituciones financieras de la UE, abarcando tanto entidades financieras tradicionales como bancos, empresas de inversión y entidades de crédito, como a entidades no tradicionales como proveedores de servicios de criptoactivos y plataformas de crowdfunding.

Es importante destacar que DORA también se aplica a algunas entidades normalmente excluidas de regulaciones financieras, como proveedores de servicios externos que suministran sistemas y servicios de TIC a empresas financieras, incluyendo proveedores de servicios en la nube y centros de datos. El reglamento también afecta a empresas que ofrecen servicios esenciales de información, como servicios de calificación crediticia y proveedores de análisis de datos.

En resumen, el reglamento DORA será de aplicación a las siguientes entidades financieras:

• Entidades de crédito.
• Entidades de pago.
• Proveedores de servicios de información sobre cuentas.
• Entidades de dinero electrónico.
• Empresas de servicios de inversión.
• Proveedores de servicios de criptoactivos.
• Depositarios centrales de valores.
• Entidades de contrapartida central.
• Centros de negociación.
• Registros de operaciones.
• Gestores de fondos de inversión alternativos.
• Sociedades de gestión.
• Proveedores de servicios de suministro de datos.
• Empresas e intermediarios de seguros, reaseguros y seguros complementarios.
• Fondos de pensiones de empleo.
• Agencias de calificación crediticia.
• Administradores de índices de referencia cruciales.
• Proveedores de servicios de financiación participativa.
• Registros de titulizaciones.

Beneficios de cumplir con el reglamento DORA

• Mejora de la resistencia frente a amenazas cibernéticas: un reglamento de resiliencia operativa digital puede ayudar a fortalecer las defensas contra ataques cibernéticos, protegiendo así la infraestructura tecnológica y los datos de la organización.
• Reducción del riesgo de interrupciones operativas: la resiliencia operativa digital implica la capacidad de mantener operaciones esenciales incluso en situaciones de crisis o desastres. Esto reduce la probabilidad de interrupciones en los servicios y contribuye a la continuidad del negocio.
• Cumplimiento normativo: adoptar prácticas y reglamentos de resiliencia operativa digital puede ayudar a las organizaciones a cumplir con regulaciones y estándares específicos relacionados con la seguridad cibernética y la protección de datos.
• Protección de la reputación: la implementación de medidas de resiliencia operativa digital puede ayudar a evitar violaciones de seguridad que podrían dañar la reputación de la organización. La confianza del público y de los clientes puede mantenerse mediante la adopción de buenas prácticas de seguridad digital.
• Eficiencia operativa: la resiliencia operativa implica una planificación proactiva y la capacidad de respuesta rápida ante incidentes. Esto puede mejorar la eficiencia operativa al reducir el tiempo de inactividad y acelerar la recuperación de eventos adversos.
• Innovación segura: fomentar la resiliencia operativa digital puede permitir que las organizaciones adopten nuevas tecnologías de manera segura. La innovación puede avanzar sin comprometer la seguridad de los sistemas y datos.
• Protección de la cadena de suministro: la resiliencia operativa digital también puede extenderse a la cadena de suministro, asegurando que los proveedores y socios comerciales cumplan con estándares de seguridad digital, lo que reduce los riesgos asociados con terceros.

Requisitos de DORA

DORA establece requisitos técnicos en cuatro áreas clave para entidades financieras y proveedores de TIC:

Gestión de riesgos y gobernanza de las TIC:

DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del Consejo de Administración, líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren activamente en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados personalmente responsables del incumplimiento de una entidad.

Respuesta y notificación de incidentes:

Las entidades cubiertas deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar incidentes relacionados con las TIC. Dependiendo de la gravedad del incidente, las entidades pueden tener que informar tanto a los reguladores como a los clientes y socios afectados. Se requieren tres tipos de informes en casos de incidentes críticos: un informe inicial de notificación a las autoridades, un informe intermedio sobre los avances hacia la resolución del incidente y un informe final que analice las causas profundas del incidente.

Pruebas de resiliencia:

Las entidades deben realizar pruebas periódicas en sus sistemas de TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas, junto con los planes para abordar las deficiencias identificadas, deben ser comunicados a las autoridades competentes y validados por ellas. Las pruebas básicas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, deben llevarse a cabo anualmente. Las entidades financieras consideradas críticas en el sistema financiero también están obligadas a someterse a pruebas de penetración basadas en amenazas cada tres años. Los proveedores de TIC críticos también deben participar en estas pruebas de penetración.

Gestión de riesgos de terceros:

Una característica distintiva del DORA es que se extiende no solo a las entidades financieras, sino también a los proveedores de TIC que ofrecen servicios al sector financiero. Se espera que las empresas financieras desempeñen un papel activo en la gestión del riesgo de las TIC frente a terceros. Al externalizar funciones críticas e importantes, las entidades financieras deben negociar acuerdos contractuales específicos que aborden estrategias de salida, auditorías y objetivos de rendimiento en términos de accesibilidad, integridad y seguridad, entre otros aspectos. Las entidades no podrán contratar a proveedores de TIC que no cumplan con estos requisitos. Las autoridades competentes están facultadas para suspender o rescindir los contratos que no se ajusten a la normativa.

Intercambio de información:

Las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Con este propósito, el reglamento DORA alienta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia sobre amenazas.

Todos estos requisitos se aplicarán de manera proporcional, lo que significa que las entidades más pequeñas no estarán sujetas a las mismas normas que las grandes instituciones financieras.

Global Technology y DORA

Global Technology destaca en el cumplimiento del Reglamento de Resiliencia Operativa Digital (DORA) al ofrecer soluciones integrales y personalizadas. Contamos con un equipo altamente especializado que comprende a fondo los requisitos de DORA. Implementamos procesos robustos, sistemas de gestión avanzados y proporcionamos formación continua para garantizar un cumplimiento eficiente y proactivo. Nuestra experiencia se refleja en auditorías internas rigurosas y colaboraciones con expertos externos. Nos comprometemos a mantenernos actualizados con los cambios normativos, brindando a nuestros clientes la confianza y la seguridad necesarias para enfrentar los desafíos de la resiliencia operativa digital con éxito.

La entrada Reglamento de Resiliencia Operativa Digital (DORA) se publicó primero en 4Elitech.

La Huella de Carbono es el cálculo de las emisiones de todos los gases de efecto invernadero (GEI) asociados a organizaciones, eventos o actividades, o al ciclo de vida de un producto expresada en toneladas de CO₂ equivalentes.

¿Qué beneficios conlleva calcular tu huella de carbono en el ámbito de la ciberseguridad?

En el creciente mundo digital, donde la ciberseguridad es imperativa, a menudo pasamos por alto su conexión intrínseca con la sostenibilidad ambiental. La relación entre la huella de carbono y las prácticas de seguridad cibernética es más profunda de lo que podríamos imaginar, afectando desde la infraestructura de centros de datos hasta la gestión de dispositivos electrónicos. A continuación, se especifican sus principales beneficios:

• Mejora de la imagen y elemento diferenciador: calcular la huella de carbono muestra responsabilidad ambiental, mejora la transparencia y credibilidad, y ofrece diferenciación competitiva. Además, integrar la ciberseguridad de manera integral refuerza la protección de datos ambientales, fortaleciendo la confianza y la reputación de la organización en un mundo empresarial consciente del impacto ambiental y la seguridad digital.
• Centros de datos sostenibles: los centros de datos, motores esenciales de la revolución digital, consumen enormes cantidades de energía. La eficiencia energética en estas instalaciones no solo es crucial para la seguridad de los datos, sino también para reducir la huella de carbono asociada. Estrategias de seguridad cibernética eficientes pueden influir en el consumo de energía, optimizando la relación entre seguridad y sostenibilidad.
• Desarrollo de software seguro: un software seguro no solo protege nuestros datos, sino que también puede impactar significativamente en la huella de carbono. Procesos de desarrollo y gestión de software eficientes minimizan la emisión de actualizaciones frecuentes, reduciendo así la necesidad de recursos adicionales y disminuyendo la huella ambiental asociada a la distribución de software.
• Dispositivos electrónicos: la fabricación y eliminación de dispositivos electrónicos contribuyen en gran medida a la huella de carbono. La seguridad cibernética puede influir en la duración de vida útil de estos dispositivos, afectando la cantidad de residuos electrónicos generados. Estrategias de seguridad que prolongan la vida útil de los dispositivos también contribuyen indirectamente a la sostenibilidad ambiental.
• Teletrabajo y movilidad: la creciente tendencia hacia el teletrabajo y la movilidad destaca la importancia de las infraestructuras de red seguras. Garant<izar la ciberseguridad en estas redes es esencial, pero también puede afectar el consumo de energía asociado con la transferencia de datos. Un enfoque equilibrado entre la seguridad y la eficiencia energética es crucial para la sostenibilidad en un mundo cada vez más conectado.
• Concientización para un futuro sostenible: la concientización y la educación en ciberseguridad desempeñan un papel fundamental en la creación de prácticas sostenibles. Al implementar buenas prácticas de seguridad, no solo reducimos la probabilidad de ataques cibernéticos, sino que también minimizamos la necesidad de respuestas reactivas que podrían aumentar el consumo de recursos. La educación en seguridad cibernética puede, de hecho, ser un catalizador para un futuro más sostenible.

¿Qué empresas se pueden ver obligadas a calcular su huella de carbono?

Si bien se creó el Registro de huella de carbono a través del Real Decreto 163/2014, de 14 de marzo, su finalidad únicamente era la de recoger los esfuerzos de las organizaciones españolas en el cálculo y reducción de las emisiones de gases de efecto invernadero que genera su actividad. Siendo así, era de carácter voluntario.

Sin embargo, con la entrada en vigor de la Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Energética, el cálculo de la huella de carbono de las empresas pasará de ser voluntario a obligatorio tras la Disposición Final Duodécima de esta ley. En este sentido, el Gobierno ha emitido un comunicado donde establece que a través del borrador del Real Decreto 165/2014 se plantea que las empresas afectadas por la Ley 11/2018, de 28 de diciembre, deberán calcular su huella de carbono y disponer de un plan de reducción.

Por otro lado, diversas comunidades autónomas han desarrollado sus propios requisitos con el fin de que las organizaciones calculen de forma obligatoria su huella de carbono. Un ejemplo de esto es el Registro Balear y el Registro Canario.

¿Cómo se calcula?

La huella de carbono que genera cada fuente de emisión es el resultado del producto del dato de consumo (dato de actividad) por su correspondiente factor de emisión:

• 𝐷𝑎𝑡𝑜 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑: es el parámetro que define el nivel de la actividad generadora de las emisiones de gases de efecto invernadero. Por ejemplo, cantidad de gas natural utilizado en la calefacción (kWh de gas natural).
• 𝐹𝑎𝑐𝑡𝑜𝑟 𝐸𝑚𝑖𝑠𝑖ó𝑛: es la cantidad de gases de efecto invernadero emitidos por cada unidad del parámetro “dato de actividad”. Por ejemplo, para el gas natural, el factor de emisión sería 0,202 kg CO₂ eq/kWh de gas natural.

En base a esta fórmula, existen varias metodologías para el cálculo de la huella de carbono (UNE-ISO 14064, GHG Protocol, etc.).

¿Qué datos son necesarios?

Es necesario conocer, al menos, los datos de consumo de los combustibles fósiles (en las oficinas, maquinaria, almacenes, vehículos, etc.) y de electricidad para un año determinado, así como sus correspondientes factores de emisión. Adicionalmente, se puede incluir otras emisiones indirectas distintas a la electricidad como son los viajes de trabajo con medios externos, los servicios subcontratados como la gestión de residuos, etc.

¿Cuáles son las fases para calcular la huella de carbono?

Las fases para el cálculo de la Huella de Carbono son:

1. Escoger el año de cálculo.
2. Establecer los límites de la organización y los operativos.
3. Recopilar los datos de consumo (datos de actividad) de estas operaciones.
4. Es conveniente acompañar el primer esfuerzo de cálculo de la huella con la implantación de un sistema de recogida de información. El objetivo es facilitar la tarea en años sucesivos y asegurar la calidad y exhaustividad de los datos. Además, estos datos deberán estar respaldados por facturas u otros.
5. Realizar los cálculos multiplicando los datos de actividad por los factores de emisión.
6. Una vez que se conoce cuánto y dónde se emite, reflexionar sobre los puntos donde actuar para reducir las emisiones. Esto quedará reflejado en un plan de reducción que debería incluir las medidas que se prevé llevar a cabo, así como la cuantificación de la estimación de las reducciones que conllevarían. Es recomendable la inclusión de un cronograma en el plan.

Global Technology y la protección ambiental

Global Technology se destaca como la elección primordial para calcular la huella de carbono por varias razones fundamentales. Contamos con un equipo de expertos altamente calificados y tecnología innovadora que garantizan cálculos precisos y eficientes. Nuestro enfoque integral abarca desde emisiones directas hasta impactos ambientales indirectos. Destacamos por ofrecer soluciones personalizadas y adaptadas a las necesidades específicas de cada cliente, demostrando nuestro compromiso con la satisfacción del cliente. Además, nuestra transparencia en los procesos y certificaciones reconocidas en sostenibilidad refuerzan la credibilidad de nuestros servicios, asegurando a nuestros clientes un socio confiable en la gestión de su huella de carbono.

La entrada La huella de Carbono de una Organización se publicó primero en 4Elitech.