Strategic Services & Smart Solutions

El reto es que se anonimice la información que se facilita a la IA generativa

A pesar de que todo el mundo ya conoce los riesgos de una contraseña fácilmente predecible o vulnerable, donde abundan los números de teléfono, las fechas de cumpleaños de los familiares, el nombre de los hijos, sobrinos o mascotas o una mezcla de todo lo anterior con números y símbolos sencillos, son muchos los que todavía todavía desafían la suerte . Últimamente, para averiguar una contraseña, se han añadido las capacidades de la inteligencia artificial, una tecnología capaz para poner al descubierto una contraseña débil de forma prácticamente instantánea o en pocos minutos, en función del tipo de contraseña. La inteligencia artificial es capaz de romper fácilmente el blindaje de aquellas contraseñas de menos de veinte caracteres . La empresa Hombre Security Heroes, a través del nuevo descifrador de contraseñas PassGAN (password generative adversarial network) invita los usuarios a teclear contraseña para conocer el tiempo que tardaría en descubrirla. Un estudio de la misma empresa asegura que la mayoría de las contraseñas (el 51%) utilizan combinaciones sencillas que se pueden conocer en menos de un minuto. Vemos que las contraseñas, para que empiecen a ser seguras tienen que ser una combinación de más de 18 caracteres y símbolos dado que los crackers de contraseñas de inteligencia artificial, tardarías unos 10 meses en descifrarlas. Si queréis saber el grado de robustez de una contraseña y cuánto tardaría un cracker en descubrirla, lo podéis consultar aquí: PassGAN Nuestra recomendación se basa en el uso de contraseñas generadas aleatoriamente y en la implementación de un doble factor de autenticación: Contraseñas aleatorias : Sólo aquello generado aleatoriamente por combinaciones de caracteres y símbolos superará las suposiciones "inteligentes" que se obtengan con inteligencia artificial. Doble factor de autenticación . Imprescindible habilitar autenticación de dos factores siempre que sea posible. Existen diferentes soluciones como 'Authenticador' de Microsoft o Google o la app Authy que proporcionan una seguridad muy sólida.

El exceso de confianza es el origen de casi 90% de los incidentes y ataques informáticos

La automatización robótica de procesos un fenómeno cada vez más extendido

Las soluciones de Data Discovery & Classification permiten identificar la información sensible en orígenes de datos estructurados y no estructurados, y asignarles etiquetas persistentes mediante el Procesamiento del Lenguaje Natural (NLP) y la Inteligencia Artificial, para identificar las relaciones existentes y asignarles etiquetas.

FORMAR y CONCIENCIAR a tu organización en ciberseguridad

La aprobación del Real Decreto 43/2021 supone un hito para la ciberseguridad de las empresas porque establece importantes cambios para un gran número de empresas afectadas: Operadores de Servicios Esenciales y Prestadores de Servicios Digitales. La Declaración de Aplicabilidad (SoA por las siglas en inglés de Statement of Applicability), es un documento formado por la relación completa de los controles de seguridad de la información evaluables, que se indican en el anexo A de la norma, que si bien es un requisito de documentación en el estándar ISO/IEC 27001, ahora se convierte en un obligación para las empresas afectadas por el Real Decreto. La Declaración de Aplicabilidad debe ser presentada y firmada por el Responsable de Seguridad en un plazo de 6 meses, es decir, en julio de 2021 . Además, será revisable como mínimo cada 3 años. A grandes rasgos, en la Declaración de Aplicabilidad se analizarán las medidas de ciberseguridad que tiene actualmente la empresa y se reflejarán las deficiencias detectadas y cómo se pretenden solucionar, incluyendo un plan de seguimiento para verificar que se consigan los requisitos mínimos. Estos son los apartados que debe incluir la Declaración de Aplicabilidad: Análisis y gestión de riesgos. Gestión de riesgos de terceros o proveedores. Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas. Gestión del personal y profesionalidad. Adquisición de productos o servicios de seguridad. Detección y gestión de incidentes. Planes para la recuperación y aseguramiento de la continuidad de las operaciones. Mejora continua. Interconexión de sistemas. Registro de la actividad de los usuarios. ¿Qué características tiene una Declaración de Aplicabilidad? Puede encontrarse en el formato que más convenga a la organización; Debe incluir los objetivos de control y controles seleccionados del estándar, si cada uno de ellos es de aplicación o no, detallando los motivos y su estado de implantación y las razones por las cuales han sido seleccionados y medidas de seguridad adicionales si es el caso. Posteriormente, la selección de controles de seguridad deriva en la creación de un plan de tratamiento de riesgos, principalmente para la definición de las actividades necesarias para la aplicación de los controles de seguridad, que hayan sido seleccionados y que no se encuentran implementados.

El Real Decreto 43/2021 que se ha aprobado recientemente exige llevar a cabo acciones de carácter inmediato en el ámbito de la ciberseguridad a dos grandes grupos de organizaciones: - las de los operadores de servicios esenciales y - las de prestadores de servicios digitales. Este decreto supone la necesidad de adaptar y preparar estas organizaciones al nuevo marco de la directiva NIS; de lo contrario se podrían derivar responsabilidades. La norma es una herramienta para impulsar las iniciativas destinadas a lograr un adecuado nivel de seguridad a las empresas afectadas, ya que pasan a estar obligadas a tener un CISO, y establece una serie de obligaciones. ¿Qué implica el cumplimiento de este marco normativo? Esta norma jurídica desarrolla el Real Decreto Ley 12/2018, de seguridad de las redes y sistemas de información, y la directiva europea NIS (Security of Network and Information Systems), norma que parte de un enfoque global de la seguridad de las redes y sistemas de información en la Unión Europea. Las principales obligaciones para las entidades que conformen los dos grandes grupos Infraestructuras críticas y Operadores de Servicios digitales, derivadas de la efectiva aplicación del RD-Ley 12/2018 y de este RD 43/2021 que lo desarrolla, son: Establecer un estatuto jurídico para el cargo de CISO , que recoja las responsabilidades y funciones, tanto técnicas como organizativas y jurídicas dentro de la organización. Designar y nombrar internamente a un CISO , que cumpla con tales características, en el plazo máximo de tres meses a contar desde la publicación del RD 43/2021 el 28 de enero (fecha límite abril de 2021 inclusive) y dotar a esta figura de los medios necesarios Establecer una Política de seguridad de redes y sistemas que englobe el modelo de gobernanza en materia de ciberseguridad, el sector de actividad afectado y las especificaciones concretas a seguir por la empresa. Permitiendo con ello enlazarlo con el Plan Director de Seguridad implantado en la empresa, en el cual se definan el conjunto de proyectos de seguridad de la información que permitan acotar y controlar los riesgos relativos al ámbito de la ciberseguridad. En consecue ncia y en función de lo dispuesto en la Política de seguridad de redes y sistemas, elaborar una Declaración de Aplicabilidad que deberá ser entregada en un plazo máximo de 6 meses (hasta julio 2021 inclusive) a la autoridad competente que corresponda según el sector de actividad. Valorar la certificación en un marco de referencia técnico como el Esquema Nacional de Seguridad (ENS) u otros esquemas alternativos equivalentes, como elemento sustitutivo de la acción supervisora y que permita acreditar el cumplimiento de las obligaciones técnicas y organizativas en materia de ciberseguridad. Adaptar las políticas y procedimientos organizativos y/o corporativos ya implantados especialmente en lo que respecta al ámbito de ciberseguridad y de acuerdo al marco técnico de referencia por el cual se haya optado. Coordinar las actividades de ciberseguridad con las establecidas en materia de protección de datos , de acuerdo a las pautas de convergencia a las que hace mención el RD 43/2021. Aprobar una política de gestión de riesgos respecto a terceros proveedores externos , que puedan considerarse críticos en dicho ámbito. Adaptar los convenios, acuerdos y contratos a las directrices de este marco normativo, en lo que respecta a productos y servicios de terceros suministradores, en función de la clasificación en cuanto a riesgo y criticidad establecida por la política anterior. ¿Qué ámbitos se encuentran dentro de la norma? Conforme al alcance del RD 43/2021 (junto con el RD-Ley 12/2018 que desarrolla) será de aplicación a dos grandes grupos en función del sector y área estratégica: Infraestructuras críticas : Energía : Electricidad: empresas eléctricas, gestores de la red de distribución y gestores de la red de transporte. Crudo: operadores de oleoductos y de producción, refinado, tratamiento, almacenamiento y transporte. Gas: suministradoras, gestores de red de distribución, gestores de red de transporte, almacenamiento, gestores de red GNL, compañías de gas natural y gestores de las instalaciones de refinado y tratamiento de gas natural. Nuclear: centrales eléctricas de almacenamiento, manipulación, fisión, distribución y transporte de residuos, mercancías peligrosas, materiales nucleares, radiológicos, etc. Hidráulica : suministro y distribución de agua potable. Química : producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, etc. Investigación : laboratorios que por su idiosincrasia dispongan o produzcan materiales, sustancias o elementos críticos o peligrosos Sanitaria : prestadores de asistencia sanitaria, en especial hospitales y clínicas públicas y privadas. Alimentación : gestión de la producción, almacenamiento y distribución. Espacio exterior : Instalaciones en espacio marítimo, aéreo y ultraterrestre. Transporte : Aéreo : compañías aéreas, gestoras de aeropuertos (en lo relativo a la gestión de pistas y no servicios accesorios como zonas comerciales) y gestión de tráfico aéreo. Ferrocarril : administradores de infraestructuras y empresas ferroviarias. Marítimo y fluvial : empresas de transporte marítimo, fluvial y de cabotaje, tanto de mercancías como de pasajeros, gestores de puertos, operadores de servicios de tráfico de buques y fluvial, y por carretera). Financiera y tributaria : entidades bancarias y de crédito y mercados de valores Operadores de servicios digitales Operadores de telecomunicaciones e infraestructuras Infraestructura digital : IXP (Internet Exchange Point o Punto de intercambio de internet, su función es conectar dos redes entre sí), proveedores de servicios DNS y Registros de nombres de dominio de primer nivel. Servicios digitales : tiendas online, motores de búsqueda y las nubes de almacenamiento de datos. Q uedan exentas: Las empresas que suministren redes públicas de comunicaciones. Las empresas que presten servicios de comunicaciones electrónicas disponibles al público. Los prestadores de servicios de confianza. Los sectores regulados con leyes específicas siempre que sus requisitos de seguridad sean equivalentes a los que establece la presente directiva. Las microempresas y pymes digitales; quedando fuera del alcance los proveedores de servicios digitales que empleen menos de 50 trabajadores y cuyo volumen de negocios anual (o balance general anual) no supere los 10 millones de euros. Pero, todavía queda por aclarar qué volumen de información y datos deben tener estas empresas (aunque sean pequeñas) para que sean consideradas de riesgo o no. E n resumen, las principales obligaciones que establece el nuevo Real Decreto 43/2021 son las siguientes: · Definir una política de seguridad de redes y sistemas adaptada a sus características. · Preparar y aprobar la Declaración de Aplicabilidad para ser entregada a la autoridad competente antes de Julio de 2021 . · Establecer una política de gestión de riesgos respecto a proveedores externos . · Establecer una política y un protocolo de notificaciones de incidentes a la autoridad competente. · Nombrar un CISO antes de Abril del 2021 y establecer un nuevo estatuto jurídico para esta figura que recoja las responsabilidades y funciones. 

El concepto de # anonimización de datos es casi inaudito en los círculos de tecnología empresarial. Con más fuentes de datos disponibles que en cualquier momento de la historia, y con el almacenamiento de datos barato y fácilmente disponible, las empresas tienen pocas razones para frenar su apetito por los datos. El Big Data ha convertido los datos en “el nuevo petróleo”. Las empresas están acaparando todos los datos estructurados y no estructurados que pueden contener sus servidores o sistemas en la nube. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, regula la responsabilidad potencial de esos enormes almacenes de datos. Las empresas se enfrentan a obligaciones tales como respetar los derechos de acceso y eliminación de los interesados, además de un requisito específico de que los datos personales sean "adecuados, relevantes y limitados a lo necesario en relación con los fines para los que son procesados". Los datos personales, en su mayoría no estructurados, representan un factor de riesgo importante para las empresas independientemente de su tamaño. Aunque la minimización de datos se reduce a tres principios simples: • Recopile la menor cantidad de datos necesarios (después de asegurarse de que tiene derecho a recopilarlos), • Otorgue acceso a la menor cantidad de personas posible, • Manténgalos solo durante el tiempo que lo necesite existe, a nuestro modo de ver, otra forma de poder hacer uso los datos, cumpliendo con los principios de la minimización #anonimizar o #pseudonimizar. Independientemente de las leyes de privacidad de datos, si las hay, que se apliquen actualmente a su organización, podremos recopilar la mayor cantidad de datos posible y conservarlos ad infinitum.  Las empresas que practiquen la #anonimización estarán mejor preparadas para obtener el conocimiento que emana de los datos, añadiendo protección sin perder la riqueza analítica. Nace la necesidad # anonimizar o # pseudonimizar , en una palabra, de proteger el dato .