Recurso 1
Categorías
Noticias Lãberit

Tus datos, moneda de cambio

Por impactante sea el titular, únicamente trata de señalar la situación en la que nos encontramos todos los que tenemos acceso a dispositivos conectados a Internet. Prácticamente, toda la sociedad actual moderna.

No nos damos cuenta de la importancia que tiene ser conscientes de que, en múltiples ocasiones, nuestros datos son la moneda que paga un servicio y lo relevante de adoptar medidas de conducta y ciberseguridad que eviten que se acceda a los mismos sin nuestro consentimiento.

Hoy, 28 de enero, en el Día Internacional de la Protección de Datos, considero importante hacer un llamamiento a todas las personas para que usen los mismos de manera consciente y adecuada. Con esto no quiero decir que no se deba emplear ninguna clase de dispositivo y volvernos al paleolítico; todo lo contrario. Más bien hay que hacer un análisis previo de dónde, cómo y con quién estamos compartiéndolos. Y hacerlo siempre y cuando se traten de forma adecuada por el receptor.  Ser conscientes de cuando estamos dando datos de más y proteger adecuadamente los que queramos conservar de manera privada.

Esta cuestión no es baladí, llega a tener tanta importancia que, en muchas ocasiones, nos encontramos siendo víctimas de estafas y de otras actividades delictivas aprovechando un descuido, o evitando las normas de seguridad establecidas en el tráfico de Internet para tratar de evitarlas. Bien porque estas están ausentes o también porque son endebles.


¿A quién no le ha llegado un mail diciéndonos que para que nos llegue un paquete tenemos que dar un número de cuenta o de tarjeta?


Es el caso del Fishing y de otras técnicas que nos resultan actualmente más familiares y que cada vez se producen con más habitualidad. ¿A quién no le ha llegado un mail diciéndonos que para que nos llegue un paquete tenemos que dar un número de cuenta o de tarjeta? Mencionando específica y sospechosamente que; si no; no nos llegará el tan ansiado objeto que hemos solicitado y cuya definitiva recepción depende del pago de una tasa. O; ¿A quién no le han solicitado información de más por parte de un banco del que ya somos clientes y que, si lo pensamos, ya debería disponer de dichos datos por el hecho de serlo? No son pocas las casuísticas; sin embargo, muestra de la importancia de los datos, es, entre muchas otras, la noticia de la sanción por parte de la UE o también por parte de la AEPD (Agencia Española de Protección de Datos) a Facebook y WhatsApp, por ceder ilegalmente y sin consentimiento expreso datos personales. Si hay algo que esto nos demuestra es que, cuando facilitamos o cedemos un dato, este deja de estar en nuestro poder, y si grandes compañías como Facebook o WhatsApp deciden compartirlo, puede que no lleguemos a saberlo o que, pese a que lo sepamos, no podamos hacer nada al respecto. Con todo y con eso, una herramienta importantísima es, sin duda, la ciberseguridad. Que unida a nuestra concienciación sirve para proteger mejor nuestros datos y privacidad.


Como ejemplo ilustrativo de la relevancia de la ciberseguridad y de la importancia de los datos están, entre otras, la serie llamada “Mr. Robot”


Como ejemplo ilustrativo de la relevancia de la ciberseguridad y de la importancia de los datos están, entre otras, la serie llamada “Mr. Robot”. En la misma se muestran diferentes técnicas para obtener y manejar datos y, especialmente, y no menos importante, la ingeniería social, como muestra de que los datos que podemos proporcionar como personas físicas pueden ser más útiles y valiosas de lo que pensamos.

Categorías
Noticias Lãberit

Usuarios concienciados como parte de la estrategia de microsegmentación

Introducción

Hasta hace muy poco tiempo para gran parte de las PYMES era suficiente adoptar un modelo de trabajo tradicional donde la gran mayoría de los empleados trabajaban en las oficinas y sólo algunos de forma remota. Para solventar los problemas de seguridad de este modelo gran parte de estas organizaciones invierten en soluciones perimetrales (ej. Firewalls perimetrales, segmentación por VLANs, etc).

Una analogía es ver a la organización y sus instalaciones como un castillo que protege sus recursos más preciados dentro (personas, joyas, alimentos, etc.) con sus murallas, puertas reforzadas, pasadizos secretos, armas, infantería, arqueros, etc.

Microsegmentación

Sin embargo, hoy la tendencia es contratar servicios Cloud, lo que significa que los recursos críticos se encuentran físicamente tanto dentro como fuera de la organización. Por otro lado, estos servicios Cloud facilitan mucho la movilidad, que es una de las necesidades que priman en la actualidad y que, debido a la reciente pandemia por Covid-19, se impuso de forma instantánea y casi obligatoria. Se puede decir que pasamos a un modelo de trabajo distribuido, en donde la organización cuenta con entornos híbridos o 100% Cloud. En este modelo el perímetro de seguridad se encuentra desdibujado, difuso, por lo tanto una forma de protección es llevar el perímetro a cada recurso (CPD propio, Cloud pública/privada, dispositivos, aplicaciones móviles, …), lo que se conoce como microsegmentación.

Gracias a la microsegmentación, las organizaciones pueden dividir de manera lógica el centro de datos en distintos segmentos de seguridad hasta el nivel de la carga de trabajo individual y, a partir de ahí, definir los controles de seguridad y suministrar servicios para cada segmento en particular. De esta manera, se restringe la capacidad del atacante de moverse lateralmente por el centro de datos, aun cuando se haya traspasado el perímetro, igual que las cajas fuertes en la bóveda de un banco que protegen las pertenencias de los clientes aunque se haya abierto la bóveda a la fuerza.

Siguiendo con la analogía, en este modelo los recursos más preciados ya no están en un único castillo fortificado, sino en varios puntos geográficamente distribuidos (otros castillos, casas, templos, aldeas, personas aisladas…), por lo cual hay que reforzar la seguridad de cada uno de ellos de manera independiente sin dejar de tener control y visibilidad.

Una capa de seguridad transversal y móvil

La formación y concienciación para generar hábitos seguros en los usuarios es clave para garantizar la seguridad en el modelo de trabajo tradicional basado en un único perímetro, pero aún más en el de próxima generación donde el perímetro se debe llevar a cada recurso. Esto es así, ya que el usuario con movilidad se enfrenta a un mayor número de amenazas por encontrarse en cada momento frente a distintos escenarios inhóspitos, por lo que requiere mayores y constantes cuidados. Además, expertos, entidades gubernamentales (CCN, INCIBE -en España), regulaciones (ENS, RGPD, LOPD -en Europa y España), estándares internacionales (ISO/IEC 27001), entre otros, desde hace tiempo exigen que el usuario posea conocimientos y hábitos seguros para responder correctamente ante amenazas de seguridad dirigidas hacia la organización.

Por lo tanto, el usuario debe formar parte de esa estrategia de microsegmentación.

Es importante mencionar que hoy el usuario al ser el eslabón más descuidado en seguridad, dados sus comportamientos inseguros, es el vector de ataque preferido por los ciberdelincuentes, lo cual genera:

  • Pérdida de continuidad de negocio (por Ransomware),
  • Fuga de información imperceptible (por Phishing),
  • Acceso desautorizado a los recursos (por Malware).

Destacar a su vez que la concienciación es transversal, es decir, no sólo resuelve la problemática anteriormente mencionada, sino que también ayuda a evitar errores u omisiones (acciones no intencionadas) y promueve el cumplimiento de las normativas y políticas de seguridad de la organización.

En términos generales, un primer programa de formación y concienciación debería ser contínuo y de una duración mínima de 1 año e incluir:

  • Una formación mensual de entre 15 a 20 minutos auto asistida, flexible y efectiva.
  • Un refuerzo luego de cada formación bajo la forma de Newsletter de lectura rápida.
  • Una simulación de ataque de ingeniería social (ej. Phishing, Ransomware) mensual para medir hábitos seguros.
  • Reportes trimestrales a los tomadores de decisiones.
  • En caso de ser necesario, acceso a registros de auditoría de actividad completa entre los usuarios y el sistema y viceversa.

Conclusión

Como conclusión, se recomienda a las organizaciones evaluar cambios en el perímetro de la seguridad dada la incorporación espontánea del teletrabajo para la mayoría de los usuarios y, sobre todo, no enfocarse únicamente en las medidas de seguridad técnicas, sino adoptar un esquema de defensa en profundidad y generar hábitos seguros en todos los usuarios manteniendo así a los ciberdelincuentes alejados.

 

Matías Daniel Adés. Ingeniero en Sistemas de Información. Experto en Ciberseguridad en Grupo Lãberit.

Categorías
Noticias Lãberit

Datanet y AIJU celebran la jornada ‘Ciberseguridad, la gestión del riesgo en la era digital’

Las ponencias trataron de cómo mantener una empresa protegida de un ciberataque.

Ayer se celebró en Alicante en colaboración con AIJU (Instituto Tecnológico especializado en juguete, producto infantil y ocio) esta interesante jornada en la que intervinieron los expertos de Grupo Lãberit, Javier Clemente y Matías Adés, y el experto en ciberriesgo Arturo Albaladejo (Torres Asesores de Seguros). Allí se analizó una serie de medidas, muchas de ellas sencillas de adoptar, que puede tomar cualquier organización preocupada por la ciberseguridad.

Clemente, Gerente de la Unidad de Negocio de Sistemas en Grupo Lãberit, abordó el tema de la ciberdelincuencia destacando que “no podemos subestimar a los ciberdelincuentes ya que dedican gran parte de su tiempo a estar formados en las últimas tecnologías”. Para enfatizar en el problema de la seguridad, citó diversas fuentes de renombre, las cuales indican que vivimos en una sociedad exquisitamente dependiente de la tecnología, en la que muchos usuarios no saben nada sobre ella, sino que simplemente la consumen y, en consecuencia, un adversario puede querer usar esa dependencia para dañarnos. Sin la ciberseguridad no vamos a poder hacer uso de la tecnología y las comunicaciones de forma confiable.

Además, Javier Clemente argumentaba la necesidad de la coherencia en todas las facetas empresariales: “La seguridad de mi empresa ha de estar totalmente alineada con mis procesos de negocio”.

Datanet y AIJU celebran la jornada 'Ciberseguridad, la gestión del riesgo en la era digital'
Javier Clemente, Gerente de Sistemas en Grupo Lãberit en la jornada de Ciberseguridad

Por su parte, el consultor en ciberseguridad del Grupo Lãberit, Matias Adés, se centró en el usuario “que ha de estar formado y concienciado correctamente, por tratarse hoy del eslabón más descuidado y por tanto más débil de la cadena de seguridad de la empresa. Esto lo transforma en el principal objetivo de ataque simplemente porque las organizaciones, cuando deciden invertir, sólo se centran en medidas de seguridad técnicas”.

Añadió que “el empleado en contacto con la tecnología debe poseer un perfil adecuado para responder correctamente ante amenazas de seguridad que atentan contra la disponibilidad y privacidad de los datos y procesos de negocio la organización, como así también de su vida personal. Hasta que las organizaciones no refuercen a los usuarios, los mismos no dejarán de ser el principal objetivo de los ciberdelincuentes”.

Durante la jornada se destacó que no formar y concienciar adecuadamente a los usuarios podría generar sanciones económicas de hasta 20 millones de euros por incumplimiento del GDPR.

Como conclusión, se expuso una serie de medidas que puede tomar cualquier organización para mitigar este riesgo:

    1. Educación y refuerzo.
    2. Simulación de ataques de Phishing y Ransomware para medir los hábitos seguros en usuarios finales.
    3. Evaluación de conocimiento y opinión.

Por cerrar el evento, el asesor de seguros en ciberriesgo, Arturo Albaladejo, presentó todas las opciones posibles para “garantizar el patrimonio, seguridad y la continuidad de los negocios” transfiriendo el riesgo a través de la contratación de seguros.

La jornada reunió a una treintena de empresas y está previsto repetirla en colaboración con otros institutos y organizaciones.