No paramos de repetirlo, sí, pero es que cada día más empresas se dan cuenta de que sus niveles de seguridad ante ciberamenazas son pírricos: pueden detectar virus o capar el acceso a determinadas webs, pero ¿están haciendo frente a ataques que buscan robar información? Y es que ya no solo se trata del acceso a internet, ¿cuántos dispositivos electrónicos puede haber en una oficina (ordenadores, smatphones, memorias USB, tablets, impresoras, wearables...)? ¿Quién tiene acceso a ellos? ¿Qué programas utilizan? ¿Cómo se protege la información confidencial? ¿Y la de nuestros clientes? ¿Cómo prevenir los ataques a tu empresa? ¿Cómo actuar cuando se es víctima de ciberataques?
Organizado por CIC Consulting llegó a Madrid el System Security Day. Un día en el que aprendimos un poco más sobre cómo debe protegerse la integridad, la confidencialidad y la disponibilidad de la información en las empresas consiguiendo plataformas más robustas, es decir, respetar los fundamentos de la Seguridad de la Información. Uno de los objetivos principales de este día era el intercambio de conocimientos entre empresas para obtener una visión más amplia para el éxito en la gestión y seguridad de la información, además de hacer hincapié en el gran valor de obtener información, a partir de datos muchas veces inconexos, y el empeño para protegerla correctamente fortificando las infraestructuras críticas (activos esenciales para el funcionamiento de la sociedad y la economía). Una de las redes con un mayor índice de vulnerabilidad es la de la industria. La ciberseguridad en este ámbito debe ser entendida como el conjunto de procesos y tecnologías diseñadas para acotar el riesgo de la transmisión y el uso de la información en el ciberespacio que es utilizado por las organizaciones e infraestructuras industriales.
Los gobiernos han legislado medidas de seguridad pero deben ser los propietarios de dichas infraestructuras los que deben implantarlas.
Ponencias sobre claves de seguridad en la empresa:
Silvia Barrera. Una policía contra la ciberdelincuencia.
Inauguró las ponencias Silvia Barrera, que es Inspectora de la Brigada de Investigación Tecnológica en el Cuerpo Nacional de Policía. Silvia asiste periódicamente a foros sobre ciberseguridad, lucha contra el cibercrimen y amenazas cibernéticas e infraestructuras críticas. Además, participa periódicamente en varios grupos de expertos e instituciones policiales europeas y mundiales como EUROPOL e INTERPOL, en materia de cibercrimen e Inteligencia en la Red.
Empezó su intervención mostrándonos un vídeo sobre una persona que amenaza con cometer un atentado en su empresa en el plazo de 24 horas y la lenta intervención policial que al final no logra detenerlo. Y es que el tiempo es muy valioso en estos casos y, como nos mostró Silvia, no siempre es suficiente. En muchas ocasiones técnicamente es posible llegar a dar con el culpable de un ciberdelito pero estas acciones tienen que ser respaldadas judicialmente, si no, la prueba se vicia y no vale de nada en un juicio. Por eso el problema con el tiempo que se escapa resolviendo este tipo de situaciones.
Hizo hincapié en el cuidado que se debe tener al manejar información confidencial tanto en el ámbito profesional como en el personal y en el manejo de dicha información a través de plataformas poco seguras como Whatsapp. Un ejemplo muy clarificador fue saber que últimamente, cuando se producen robos de teléfonos móviles, se produce más daño con la posibilidad de que accedan a nuestros datos personales y la información que manejamos en éstos que el coste en sí de los dispositivos.
Chema Alonso. Vulnerabilidades en la seguridad al alcance de todos.
Chema Alonso prácticamente no necesita presentación. Colaborador destacado, es un referente en seguridad informática y hacking a nivel mundial. Su charla “Low Hanging Fruit” versó sobre la búsqueda de la vulnerabilidad más evidente dentro de todos los activos de una empresa, es decir, cuál es el punto más sencillo para entrar.
“No hay una tecnología que vaya a darte el 100% en seguridad”
Existen fallos básicos en la seguridad que pueden evitarse fácilmente. Por ejemplo, un sencillo método para incrementar nuestra seguridad ante ciberataques es tener actualizados Flash, Java o un OS. Otro de estos métodos para aumentar nuestra protección lo encontramos en el segundo factor de autenticación que, si bien no es definitivo, mejora sensiblemente el nivel de seguridad. Cuando se atacan las vulnerabilidades de las compañías se siguen utilizando técnicas de inyección como el SQL inyection, que son técnicas que se conocen desde hace mucho mucho tiempo (ni más ni menos desde 1998).
Los metadatos también pueden provocar fuga de información, porque van incrustados y el usuario no repara en ellos y, aunque se ha intentado atajar este problema con soluciones como la americana “Clear” (que limpia los metadatos de los documentos antes de publicarlos), aún persiste este problema. ¿Sabes cómo limpiar los metadatos? Owasp puede ayudarte (Open Web Application Security Project, ‘Proyecto abierto de seguridad de aplicaciones web‘).
Para crear sistemas más robustos en las empresas se debe aplicar las reglas de la fortificación que son defensa en profundidad, mínima superficie para el ataque, mínimo privilegio posible, fortificar a los trabajadores haciendo que sean conscientes de los riesgos de la seguridad, influir para recibir su ayuda y no generen problemas a la empresa y tenerlos entrenados constantemente a base de simulacros, para que cuando llegue el día que de verdad se produzca un ataque, sepan reaccionar a tiempo. Además es importante hacer un hardening de los procesos y ocuparte de los proveedores.
“El enemigo está dentro (de la empresa)”
Según Chema las compañías no deberían auditar su seguridad cada 6 meses o cada año puesto que cuando lo hagan van a aparecer muchas vulnerabilidades nuevas. Debemos realizar estas auditorías de manera mucho más constante.
En definitiva, se trata de dirigir gente, tecnología y procesos para conseguir confidencialidad, integridad y disponibilidad cumpliendo niveles de riesgo aceptables, resiliencia y cumplimiento legal.
Victorino Martín de Alien Vault. Compartir (información) es (sobre) vivir.
Victorino Martín es Director de operaciones de AlienVault desde 2009. Militar y diplomado en Informática Militar por la Escuela de Informática del Ejército, tiene gran experiencia en el área de seguridad y en tecnologías de Gestión de Logs.
Para darnos una idea de la importancia de luchar contra el cibercrimen nos habló de un malware llamado Flame o Skywlpr, que fue escrito con propósitos de ciberespionaje ya que, entre sus capacidades, puede propagarse a otros sistemas a través del LAN y mediante memorias USB (¿te acuerdas de lo que decíamos al comienzo del artículo?). Una vez infectado un equipo, este malware puede grabar audio, video o las pulsaciones de teclado, entre otras acciones. La empresa Alien Vault hace controles de seguridad integrados. Herramientas como Flame hacen que la Ciberguerra sea asimétrica puesto que un atacante pequeño puede causar muchos problemas a otro (supuestamente) mucho más grande. Para Victorino la posibilidad más clara de estar medianamente protegidos es a través del intercambio de información entre empresas. En este entorno empresarial Alien Vault ha concebido el sistema OTX para el intercambio anónimo y abierto de información sobre ciberataques y nuevas amenazas y evitar en lo posible mayores consecuencias (o minimizar el daño de un ataque). Las empresas comunican los ataques recibidos para que ellos puedan estudiarlos en sus laboratorios, permitiendo así la investigación colaborativa.
Gianluca D’Antonio y la Cultura de la seguridad
Gianluca es CISO de FCC. Según su experiencia, desde la más temprana etapa se deben tener en cuenta los requisitos mínimos de seguridad de la información, llevándose a cabo un análisis de riesgos que defina cuáles son los requisitos mínimos para garantizar los atributos en la seguridad de los datos. Estos atributos son: la propiedad de los datos (autoría), la trazabilidad, la integridad, la confidencialidad, la disponibilidad, la auditoría de tráfico de datos, la monitorización, el cumplimiento legal y el borrado seguro.
Estos atributos revisten un grado de importancia vital para toda empresa que quiera salvaguardar la seguridad de la información que maneja por eso la importancia de iniciativas como la del Centro de Estudios de Movilidad (CEM). Este centro es un proyecto nacido para promover el uso seguro de los dispositivos móviles y el Internet de las Cosas, y trasladar a la sociedad cómo éstos pueden ayudar a la seguridad de manera global. En definitiva, se trata de fomentar en la sociedad una “cultura de la seguridad” sobre estas tecnologías. Se trabaja sobre grupos que giran alrededor del ámbito legal y la privacidad o del ámbito del gobierno de la seguridad y las buenas prácticas.
Dentro de esta “cultura de la seguridad” hay que tener muy presente la missinformation, es decir, un principio tan básico como es el contrastar la información. Casi nadie lo hace. Damos por válida la información según quién nos la cuente, sin contrastarla. Esta práctica puede afectar a la Bolsa, a la generación de negocio, atentar contra la dignidad de otras personas, etc.
Enrique Ávila. Compliance para ciberseguridad de las empresas (CNEC)
Enrique Ávila es Co Director en Centro Nacional de Excelencia en Ciberseguridad. Nos habló de la existencia de normativa legal estatal para las empresas, para que cumplan unos mínimos de seguridad en materia de ciberseguridad. La transposición de la Directiva 40/2013 a nuestro Código Penal (y a los Códigos Penales europeos), abre un nuevo marco legal relacionado con el cumplimiento normativo en esta materia. El código penal ha introducido cambios donde se hace referencia a los mínimos de cumplimiento en ciberseguridad.
El objetivo del compliance para ciberseguridad de las empresas es la concienciación de las empresas en la prevención y el cumplimiento normativo y la gestión de la reputación online de éstas. Por ejemplo, la gestión de la reputación (lo que se dice públicamente) es un riesgo de ciberseguridad.
Mesas redondas del System Security Day
Mesa redonda sobre infraestructuras críticas en entornos industriales.
En esta mesa se puso de relieve el hecho de que más de 6000 empresas cerraron el año pasado por fallos de seguridad para los que no estaban preparadas.
Einisa todos los años saca un informe de amenazas. En el 2015 la principal amenaza es el malware seguido del ciberespionaje.
Se comentó en la mesa el sensacionalismo que en muchas ocasiones existe alrededor de las noticias sobre ciberseguridad y la falta de preparación de las empresas. En resumidas cuentas, se trataron temas importantes para la ciberseguridad en las empresas y cómo reducir lo máximo posible las amenazas a base de prevenir, educar, detectar fallos a la hora del trabajo de los empleados para saber qué proteger, tener orden, cumplir las normas, sensibilizar y comunicar de manera sencilla, es decir, buscar analogías para explicar procesos haciendo más simple la tarea de sensibilizar a los que aún no lo están, para tener una mayor consciencia de los impactos que pueden causar en nuestras empresas.
Keep it soft and simple – Hazlo fácil y simple.
Por último se habló sobre Solr, un motor de búsqueda de código abierto basado en la biblioteca Java, que permite la búsqueda, el indexado, el procesado de documentos enriquecidos (PDF, Word, HTML), y el agrupamiento ("clustering") de resultados de búsqueda, entre otras funcionalidades.
Mesa redonda sobre tendencias en ciberseguridad
En esta mesa trató la evolución de la ciberseguridad con el paso del tiempo. Se constata que ha habido una profesionalización de las amenazas, los virus se han vuelto más complejos, ya que hay intereses económicos. Por esto mismo la concienciación es importante, pero no hay que dejar de lado que las habilidades con las que un usuario cuenta (saber usar un ordenador y qué es lo que se está haciendo) también elevan o minimizan el riesgo de amenazas, o de caer en ser víctima de una amenaza. Transferir el riesgo es una acción muy interesante. Es decir, identificar qué riesgos se deben evitar, asumir, mitigar o transferir, así como los planes específicos para cada uno de ellos.
“El comercio no trata sobre mercancías, trata sobre información. Las mercancías se sientan en el almacén hasta que la información las mueve.” Caroline J. Cherryh
ARTÍCULOS RELACIONADOS:
{ BreezingForms : contacto_norma,1 }
