que-es-zero-trust

Qué es la seguridad ‘zero trust’

que-es-zero-trust

Las empresas se han visto obligadas a adaptarse al repentino cambio hacia el teletrabajo y a un panorama de ciberamenazas cada vez más peligroso. Y una de las formas en que se han adaptado es adoptando una estrategia de ciberseguridad de zero trust o confianza cero. Sin embargo, muchas empresas siguen sin saber qué es exactamente la seguridad zero trust. ¡Te lo contamos!

¿Qué es zero trust?

La confianza cero o zero trust es un enfoque estratégico de la ciberseguridad basado en el principio de «nunca confíes, siempre verifica». Un modelo de zero trust elimina la confianza implícita y, en su lugar, se propone no confiar en nadie ni en nada. Esto significa que todos los usuarios, ya sea dentro o fuera de la red de la organización, deben ser autorizados y validados continuamente antes de que se les conceda o mantenga el acceso a las aplicaciones y los datos.
La confianza cero se desarrolló a partir de ver que los modelos de seguridad tradicionales ya no eran adecuados para un panorama informático en rápida evolución. Estos modelos asumían que todo lo que estaba dentro de la red de una organización podía ser de confianza. Sin embargo, esto significaba que una vez que cualquiera que obtenía acceso a la red, podía moverse por donde quisiera y accedía a todo tipo de datos.

¿Por qué es importante un modelo zero trust?

Aunque no son perfectas, las estrategias tradicionales de seguridad informática, como las VPN y los cortafuegos, hacían un trabajo suficientemente bueno para proteger las redes corporativas. Estas estrategias funcionaban creando un perímetro alrededor de la red y permitiendo que todos los usuarios y dispositivos autentificados viajaran por la red y accedieran a los recursos según fuera necesario.

Sin embargo, hoy en día, este enfoque simplemente no es lo suficientemente seguro. Las empresas están migrando cada vez más a la nube y el trabajo remoto está en alza. Además, los ciberdelincuentes son cada vez más perfeccionistas en sus ataques. Por lo que proteger solo una parte de nuestros sistemas es peligroso.

¿Cuáles son las otras razones por las que el método zero trust es esencial para las empresas en evolución?

Centros de datos en la nube y responsabilidad de seguridad compartida

Las aplicaciones y cargas de trabajo se están trasladando de los sistemas propios de la empresa al almacenamiento en la nube. Es importante saber que este nuevo proceso necesita una responsabilidad de seguridad compartida en la que el proveedor de la nube cubre ciertos aspectos de seguridad y otros recaen en la organización.

Las aplicaciones SaaS y PaaS de terceros aumentan el riesgo de seguridad

Las aplicaciones de software como servicio (SaaS) y de plataforma como servicio (PaaS) son ahora muy comunes en el escenario IT. Sin embargo, aunque son muy útiles, no se debe confiar ciegamente en estas herramientas.

Los proveedores de SaaS y PaaS utilizan software de fabricantes de equipos originales (OEM) para potenciar la funcionalidad de sus productos mediante soluciones integradas que reducen los costes de desarrollo. Esto significa que, aunque son dueños de la lógica central de estas aplicaciones, a menudo no tienen la propiedad (o un conocimiento completo) sobre los componentes individuales del software, esto puede suponer un riesgo de seguridad importante.

Trabajo a distancia y redes inseguras

Con cada vez más aplicaciones que se trasladan a la nube, los usuarios pueden acceder a las aplicaciones que necesitan desde cualquier lugar. Y con el teletrabajo eso es exactamente lo que los usuarios están haciendo. Sin embargo, esto significa que los usuarios ya no están tratando con una red empresarial segura, sino con una Internet no segura.

Además, las empresas no deberían dar por sentado que la configuración del trabajo desde casa de sus empleados es tan segura como el entorno de la oficina. Por ejemplo, los empleados pueden tener en casa dispositivos IoT inseguros. O su WiFi podría no utilizar los protocolos de seguridad WPA-2.

Además, los vendedores, proveedores y socios también pueden necesitar acceso a la red para realizar tareas específicas. Sin embargo, no es necesario que los empleados accedan a todas las aplicaciones, datos e infraestructura. La filosofía zero trust permite un acceso más preciso y ajustado para garantizar la seguridad de la red.

Si estás pensando en instalar una arquitectura zero trust en tu empresa, en Ciberseguridad Global contamos con soluciones avanzadas que se adaptan fácilmente a tus necesidades empresariales.

peligros-wifi-publica

Cuáles son los peligros de una WiFi pública

peligros-wifi-publica

Imagina que un día estás en casa de un amigo y te ofrece la conexión de su WiFi o que acabas de llegar de un viaje y te conectas a la red pública del aeropuerto… ¡Cuidado! Presta mucha atención si te conectas a redes públicas o domésticas, pues son grandes los riesgos a tener en cuenta. En este artículo vamos a contarte cuáles son los peligros de una WiFi pública.

La mayoría de las personas se conectan a estas redes sin tener mucho cuidado, y aunque la idea de ahorrar datos de la tarifa es tentadora, ahora ya sabes que las consecuencias no son pequeñas. Si usas este tipo de conexiones, estás exponiendo tus datos.

Cuando hablamos de WiFi pública nos estamos refiriendo a las que no están protegidas por contraseña, pero también son peligrosas aquellas que sí la tienen, pero esta es débil o se conectan muchos usuarios a ella. Estas son especialmente atrayentes, pues el establecimiento suele tener un cartel de ‘WIFi gratis’ que nos invita a conectarnos.

Qué no debes hacer en una wifi pública

Si ya estás dentro de este tipo de redes, toma algunas precauciones para que el riesgo sea el menor posible:

  • Evita hacer compras online, ya que cualquier transacción bancaria es potencialmente peligrosa al intercambiar datos sensibles.
  • No introduzcas contraseñas si quieres evitar que todos tus perfiles de redes sociales o plataformas queden al descubierto.
  • Si vas a conectarte, al menos asegúrate que la seguridad de la red sea WPA o WPA2, las WEP son las más vulnerables a las amenazas.
  • Procura no activar la conexión automática, así evitarás que la próxima vez que estés cerca de ese WiFi no se te conecte sin tu consentimiento.

En definitiva, cualquier operación que tenga que ver con compartir datos está altamente desaconsejada.

Cómo estar seguro en una red pública

Estas son algunas recomendaciones, pero no nos aseguran una quiebra de seguridad de datos en nuestros dispositivos. Por ello, ahora vamos a explicarte el uso de las redes privadas virtuales o VPN, del inglés virtual private network, con las que tu información estará totalmente protegida gracias a una conexión virtual que se sitúa en medio de tu conexión de internet y tu dispositivo, creando así una especie de túnel en el que tus datos se mantienen seguros. Este servicio puede usarse en cualquier dispositivo y es la solución perfecta para conseguir privacidad y tranquilidad en tu navegación.

Algunos de los usos de las redes VPN son las siguientes:

  • Ayuda a omitir algunas barreras por países.
  • Pueden falsear la ubicación.
  • Permite conectarte a una red privada.

Este servicio es sin duda la mejor opción para conectarte a una red pública para navegar de una forma segura y mantener tus datos protegidos. Sin embargo, también cuenta con algunas desventajas, por ejemplo, la velocidad de la conexión puede debilitarse, no siempre se puede falsear la ubicación y, como suele pasar, si quieres gozar de un buen servicio tendrás que contratarla.

Otras recomendaciones para navegar con seguridad

Además de tener cuidado con las conexiones WiFi, hay ciertos aspectos de seguridad básica que siempre deberías aplicar en el uso de tus dispositivos para evitar los ciberataques.

  • Evita entrar a redes WiFi sin contraseñas o con contraseñas débiles.
  • Desactiva la opción WiFi cuando no la estés usando, así impedirás la transmisión continua de datos.
  • Mantén tu equipo actualizado. Tanto las mejoras de rendimiento como las mejoras de la protección ayudarán a reparar las vulnerabilidades y proteger el sistema.

Si a pesar de tomar estas recomendaciones, crees que estás sufriendo o has sufrido un ciberataque, ponte en contacto con nuestro equipo de expertos en ciberseguridad, analizaremos tu caso e implementaremos una solución personalizada.

ingenieria-social

Qué es la ingeniería social

que-es-ingenieria-social

La ingeniería social son las técnicas que usan los ciberdelincuentes para intentar manipular y engañar a las víctimas. El objetivo es ganarse su confianza para obtener un beneficio, ya sean contraseñas, datos personales, bancarios o la instalación de programas maliciosos en sus dispositivos. Un correo electrónico, un mensaje o una llamada son los métodos más usados en los ataques de ingeniería social. A través de estos medios nos ofrecen algo que parece tener muchas ventajas para nosotros y nos incitan a participar. Por ello, es muy importante conocerlos, identificarlos a tiempo y saber reaccionar.

Tipos de ataque de ingeniería social

Son muchas las formas de hacer un ataque de ingeniería social, y aunque son difíciles de detectar, el primer paso para que podamos identificarlos es conociendo algunas de las técnicas que se emplean con más frecuencia.

Spam en correo electrónico

Este tipo seguro que te suena, y es que el ataque de spam por correo electrónico es algo que todos hemos sufrido. La mayoría de estos mensajes pueden ser simplemente fastidiosos, sin embargo, también es la principal vía usada por los ciberdelincuentes para obtener información o datos personales.

Estos emails se envían desde la lista de contactos, por eso, a veces nos llegan correos que parecen de amigos, familiares o compañeros de trabajo, pero en realidad son spam. Desconfía de los enlaces externos o documentos adjuntos que estos emails sospechosos puedan contener. Esta técnica es la que se conoce como phishing, un post anterior te contábamos qué es el phishing, tipos de ataque y cómo evitarlos.

Vishing

El vishing o phishing por voz es un tipo de phishing que consiste en suplantar una llamada de una empresa, compañeros o amigos. En este tipo de ataque los ciberdelincuentes se hacen pasar por una persona de confianza para obtener datos o información sensible.

Smishing

El smishing es una estafa que se produce a través de los SMS. Los atacantes envían un mensaje de texto haciéndose pasar por otra persona, con el objetivo de sustraer datos o instalar un malware. Normalmente, intentan simular urgencia, para que la víctima actué rápido y caiga fácilmente en el engaño.

Baiting

Los ataques de ingeniería social también se dan fuera de Internet. Un ejemplo de ello es el baiting, técnica que consiste en que el atacante, por ejemplo, deja un dispositivo infectado (USB o similar) en un escritorio, con la intención de que la víctima lo introduzca en su ordenador. ¡Tachán! A partir de ese momento, estás infectado por un malware.
Es muy fácil caer en esta trampa, por lo que te recomendamos que no introduzcas nada desconocido en tus dispositivos, por mucho que te pique la curiosidad.

Pretexting

El pretexting es un tipo de ataque de ingeniería social en el que los atacantes inventan una historia para engatusar a la víctima, a la que finalmente consiguen sacarle datos personales o bancarios. Normalmente investigan mucho para saber qué tema puede conmover y convencer más a la víctima. El pretexting suele ser por llamada telefónica, así que te recomendamos que desconfíes de aquellos que te pidan datos personales, aunque parezcan técnicos o profesionales del servicio al cliente de alguna compañía.

El mejor consejo para no caer en estos ataques es el sentido común. Sin embargo, como sabemos que no siempre es una tarea fácil, desde Ciberseguridad Global vamos a darte algunos consejos de forma más específica.

Cómo evitar un ataque de ingeniería social

Como venimos comentando, estos ataques son difíciles de detectar, ya que se aprovechan de los sesgos cognitivos y comportamientos inocentes como la curiosidad o el querer ayudar a un conocido. Es importante que tomemos todas las precauciones para que, si en algún momento somos infectados, nos afecte lo menos posible. Te contamos aquí cómo evitar un ataque de ingeniería social.

  • Instalar un antivirus: una buena protección será capaz de evitar que entren programas sospechosos a tu dispositivo.
  • Configuración de spam: para evitar el spam en el correo electrónico puedes configurar los filtros de este en la configuración. Se trata de fortalecerlos para que los mensajes que no deseemos se muevan a una carpeta de spam.
  • Investigar la procedencia: prestar atención a la fuente es de vital importancia para darnos cuenta de si estamos siendo víctimas de un ataque de ingeniería social. Cuando recibas un correo, una llamada o un SMS, busca ese dato en el navegador por si hay alguna información que indique sospecha.
  • Si parece tener muchos beneficios, seguramente sea falso: no confíes en ofertas muy llamativas a cambio de muy poco. Pregúntate primero si esa persona contactaría contigo de ese modo para darte esa noticia o si los datos que te piden son realmente necesarios.
  • Pide identificación: pregunta dónde trabajan, para quién e investiga sobre la procedencia. Esto también es importante hacerlo en las estafas que se hacen, por ejemplo, en comunidades de vecinos, donde es muy fácil que alguien abra la puerta sin comprobar quién es.
  • No utilices las mismas contraseñas: si han infectado tu dispositivo es muy probable que hayan averiguado alguna de tus contraseñas. Procura usar diferentes para cada plataforma y así evitarás que puedan acceder a todas tus cuentas privadas.
Ciberseguridad Global

Riesgos y seguridad en el uso de los dispositivos IoT

IOT

Riesgos en el uso de los dispositivos IoT

El Internet de las cosas (IoT), cómo bien puedes leer en nuestro anterior post, es el proceso que permite conectar elementos físicos con Internet. Todos los objetos domésticos cotidianos desde el robot aspirador, el aire acondicionado hasta el coche, en el momento que están conectados a la red, son vulnerables a sufrir un ciberataque, es decir existe un riesgo en el uso de estos dispositivos por lo que es importante contar con medidas de seguridad.

El uso de estos dispositivos cada vez es más frecuente y ello conlleva un riesgo en el uso de los mismos, ya que pueden ser utilizados por los ciberdelincuentes para entrar en la red de tu organización comprometiendo tu seguridad.

La conectividad a Internet de los dispositivos IoT es su principal característica y a la vez su mayor debilidad si el acceso a dichos dispositivos cuenta con una seguridad baja como contraseñas débiles.

Los dispositivos IoT son utilizados por los ciberdelincuentes para formar un botnet, red de robots informáticos o bots, que se ejecutan de manera autónoma y automática y que pueden ser controlados por los ciberdelincuentes para llevar a cabo otro tipo de ataques, como envío de spam, distribución de malware y lanzamiento de ataques de denegación distribuida de servicio DDoS pero, ¿qué es un ataque de denegación de servicio DoS y cómo evitarlo? Te recomendamos que leas este post para entender bien este término.

No solo se pone en riesgo la seguridad de la empresa sino la privacidad del usuario debido a que estos dispositivos almacenan gran cantidad de información confidencial.

Medidas de seguridad en los dispositivos IoT

En los dispositivos IoT no se pueden implementar las medidas de seguridad normales como la instalación de un antivirus por eso, es necesario adoptar otras medidas de seguridad que protegerán tanto al dispositivo IoT como a la red empresarial.

Las medidas de seguridad que nos recomienda establecer el INCIBE son:

Establecer un acceso seguro a la interfaz de administración del dispositivo.
Algunas de las pautas a tener en cuenta son:

1. Utilizar como mínimo mecanismos basados en la dupla usuario y contraseñas, y siempre que sea posible, habilitar un segundo factor de autenticación.
2. Evitar nombres de usuario genéricos.
3. Establecer una contraseña robusta, que cuente con ocho caracteres como mínimo e incluya mayúsculas, minúsculas, números y símbolos, teniendo siempre en cuenta que cuanto más larga sea mejor.

-En caso de utilizar las app del móvil estas deben ser descargadas desde el repositorio oficial y estar siempre actualizadas.

Utilizar técnicas criptográficas para cifrar la información que se envía y recibe desde el dispositivo IoT dando lugar así a un canal de comunicación seguro.
También es recomendable optar por una VPN privada y verificar que en el navegador aparezca “https”.

Aplicar las últimas actualizaciones y parches de seguridad. Es recomendable comprobar con frecuencia si se está utilizando la última versión del software además, los dispositivos IoT deben estar contemplados en la política de actualizaciones de software de la empresa abarcando toda la casuística posible.

Dispositivos de seguridad perimetral, como un cortafuegos que filtre las conexiones que se establecen desde y hacia el dispositivo. También es recomendable ubicar los dispositivos IoT en una zona aislada de la red empresarial, denominada DMZ o zona desmilitarizada, y siempre que no sea imprescindible, se deben desactivar las funciones de administración a través de Internet.

-La seguridad física del dispositivo también debe tenerse en cuenta. Por ello, se deben implementar medidas que eviten accesos no autorizados, modificaciones fraudulentas, robo o destrucción.

Formación y concienciación en ciberseguridad. Es muy importante que los usuarios que gestionan y utilizan los dispositivos IoT deben estar formados en materia de ciberseguridad para evitar situaciones que puedan poner en riesgo la seguridad de la empresa.

 

En Ciberseguridad Global sabemos el auge que está teniendo el Internet de las cosas y que cada vez son más las personas que tienen algún dispositivo tanto de uso personal como profesional. Por este motivo, es muy importante contar con una buena gestión de amenazas y vulnerabilidades. Ponte en manos de nuestro equipo y protege tu información.

kit digital

Programa Kit Digital para la transformación digital de tu negocio

¿Qué es el programa Kit Digital?

Ya está aquí el programa de Kit Digital del Ministerio de Asuntos Económicos y Transformación Digital dirigido a Pymes y autónomos para la transformación digital de tu negocio.

Estas ayudas económicas te permiten acceder a un amplio catálogo de soluciones digitales y agentes digitalizadores que te ofrecen estos servicios.

¿Quién se puede beneficiar de esta ayuda?

Se pondrán beneficiar de esta ayuda las pequeñas empresas, microempresas y trabajadores autónomos, que pertenezcan a cualquier sector o tipología de negocio.

¿Qué ofrece Kit Digital?

Un bono digital en el que puedes seleccionar una o varias soluciones digitales de las ofrecidas por los agentes digitalizadores que desarrollen los servicios del catálogo:

✔ Sitio web

✔ Comercio electrónico

✔ Gestión de redes sociales

✔ Gestión de clientes y/o proveedores

✔ Inteligencia empresarial y analítica

✔ Servicios y herramientas de oficinas virtuales

✔ Gestión de procesos

✔ Factura electrónica

✔ Comunicaciones seguras

✔ Ciberseguridad online

¿De cuánto es la cuantía del bono?

Aunque esta cuantía está sujeta a la aprobación de las bases reguladoras, de manera provisional se establece:

Beneficiarios Importe del abono
Pequeñas empresas o microempresas  entre 1 y menos de 3 empleados 2000€
Pequeñas empresas o microempresas  entre 3 y menos de 10 empleados 6000€
Pequeñas empresas  entre 10 y menos de 50 empleados 12.000€

¿Cómo solicitar tu bono digital?

  1. Regístrate en www.acelerapyme.es y completa el test de autodiagnóstico.
  2. Consulta el catálogo de soluciones digitales.
  3. Solicita la ayuda Kit Digital en la sede electrónica de Red.es (sede.red.gob.es). 

¿Cómo emplear tu bono digital?

  1. Accede al catálogo de agentes digitalizadores y decide con quién quieres desarrollar tu solución digital. Suscribe el acuerdo de prestación de soluciones digitales y comienza tu cambio digital
  2. Ponte en contacto con los agentes digitalizadores. 

¿Cuáles son los requisitos para solicitar la ayuda?

✔ Ser una pequeña empresa, microempresa o autónom0. ✔ No tener consideración de empresa en crisis.
✔ Cumplir los límites financieros y efectivos que definen las categorías de empresas.  ✔ No estar sujeta a una orden de recuperación pendiente de la Comisión Europea que haya declarado una ayuda ilegal e incompatible con el mercado común. 
✔ Estar en situación de alta y tener la antigüedad mínima que se establece por convocatoria ✔ No incurrir en ninguna de las prohibiciones previstas en el artículo 13.2 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones
✔ No tener consideración de empresa en crisis. ✔ No superar el límite de ayudas minimis (de pequeña cuantía).

En Ciberseguridad Global queremos ayudarte a llevar a cabo la transformación digital de tu negocio para que tu empresa sea competitiva tecnológicamente.

Por este motivo compartimos contigo dicha información y ponemos nuestros profesionales y servicios a tu disposición para ayudarte en este nuevo reto digital.

 

 

Ciberseguridad Global

Ayuda de la Junta de Andalucía “Ayudas a la digitalización de autónomos y empresas de Economía Social”

¿Cuál es el objetivo de esta ayuda?

Ayuda para la transformación digital de autónomos, autónomos agrarios, sociedades cooperativas y sociedades laborales.

La finalidad de dicha subvención es contribuir a la modernización digital y a la
mejora de la competitividad de las entidades con mayor repercusión en la economía
social en Andalucía, así como de las personas empresarias individuales, fomentando la
innovación y el desarrollo tecnológico en la gestión empresarial, avanzando hacia una
economía digital.

¿Cuál es la novedad de esta ayuda respecto a otras?

  • No requiere de ninguna inversión inicial.
  • Hasta 1000€ de los gastos subvencionables con el límite máximo de 6000€.
  • Justificación de la inversión posteriormente.

¿Quién se puede beneficiar de esta ayuda?

Hay 2 líneas de subvenciones en función de las personas destinatarias:

  • Línea 1: se dirige a las personas trabajadoras por cuenta propia o autónomas, a las personas trabajadoras por cuenta propia agrarias y a las personas mutualistas.
  • Línea 2: está destinada a sociedades cooperativas y laborales de Andalucía.

¿Qué proyectos son subvencionables?

En cada línea se subvencionan dos modalidades de proyectos:

  • Proyectos de la modalidad A: para la implantación y desarrollo de soluciones de transformación digital en la gestión empresarial.
    Es decir, todas aquellas herramientas profesionales para comenzar o mejorar el proceso de digitalización. (CRM, ERP, equipos informáticos, contratación de servicios en la nube…).
  • Proyectos de la modalidad B: cuyo objeto es la incorporación de estrategias de marketing digital en la actividad de las empresas.
    Desde el plan a seguir, hasta la presencia online que necesitas poner en marcha para impulsar tu marca. (Consultoría, gestión de redes sociales, diseño web, etc).

 

¿Cuánto es la cuantía?

Los proyectos de cada modalidad serán subvencionados en una cuantía máxima de 6000€ y mínima de 1000€.

El porcentaje de la subvención puede alcanzar el 100% de los gastos subvencionables en cada una de las modalidades de los proyectos de inversión definidos.

Plazo

Solicitud: 26/11/2021 – 26/05/2022

Ejecución: Máxima de ejecución 6 meses desde que se dicte la resolución de concesión.

 

Desde Ciberseguridad Global sabemos la importancia que tiene la transformación digital y queremos que lo implementes en tu empresa.

Mañana se abre el plazo de la convocatoria, para más información te recomendamos que leas el BOJA.

¡No pierdas esta oportunidad!

teletrabajo-seguro

Teletrabajo seguro

Ciberseguridad Global

El teletrabajo es una alternativa cada vez más utilizada por las empresas. Sus beneficios pasan desde una mejor conciliación familiar, aprovechar el talento remoto, eliminar costes y tiempo en desplazamiento. Pero esta nueva realidad trae consigo una serie de riesgos que tienen que ver con la privacidad y seguridad por lo que hay que aplicar una serie de políticas y recomendaciones para tener un teletrabajo seguro.

Cuando la empresa permite a sus trabajadores teletrabajar tiene que establecer una política de teletrabajo que recoja las características y las configuraciones de las tecnologías que se han de utilizar para el acceso en remoto, los dispositivos, franjas horarias, redes permitidas, etc.

¿Qué dispositivos debo utilizar para tener un teletrabajo seguro?

Una cuestión con la que nos encontramos a la hora de teletrabajar es qué dispositivo vamos a utilizar, los corporativos o los personales.
En el entorno laboral contamos con dispositivos que están controlados por los técnicos de sistemas que mantienen un control y una seguridad en los mismos. Por eso, tenemos que intentar que esto continúe si trabajamos desde nuestro hogar.

Dispositivos corporativos la mejor opción

Es preferible que se utilice para trabajar los dispositivos de la empresa, ya que cuentan con las políticas de seguridad oportunas, así como con los softwares instalados necesarios para desempeñar las tareas.

Dispositivos personales

Los empleados utilizarán sus propios dispositivos en caso de no poder disponer de los de la empresa. Aunque no cuenten con la política de seguridad empresarial deberán tomar medidas como, utilizar contraseñas robustas y crear copias de seguridad.

Medidas esenciales de seguridad

Tanto trabajes en casa como en la oficina, debes de tener un puesto de trabajo seguro. Además de aplicar las medidas previamente mencionadas, también hay que tener en cuenta:
La seguridad en la nube, te recomendamos que leas nuestro post sobre este tema.
-Utilizar contraseñas robustas con doble autentificación.
-Cifrar los soportes de información (pendrive, etc.)
-Tomar precauciones a la hora de realizar videoconferencias para prevenir la intrusión y garantizar la confidencialidad de las conversaciones y de la información que tratamos en ellas.
-Realizar copias periódicas de seguridad

Y, con respecto a la red wifi a la que conectarnos es muy importante que tengas en cuenta:

Protege tu red doméstica

Teletrabajar en un entorno seguro es importante para evitar ciberataques. Es preferible conectarse a la red propia, y no a redes wifi públicas y que esta tenga una serie de medidas de seguridad con una contraseña de acceso lo más robusta posible y deshabilitar WPS y utilizar WPA2 como mínimo.

Red de datos móviles como plan B

Cuando no sea posible utilizar una red doméstica como alternativa se podrá conectar a una red 4G o 5G. Esta red cuenta de por sí con medidas de seguridad que protegen la información desde y hacia el dispositivo. Además que permiten compartir cobertura al resto de dispositivos como ordenadores o tablets.

¿Cómo acceder de manera segura a los sistemas de información de la empresa?

Para acceder a la red interna de la empresa desde una ubicación externa es recomendable utilizar una red privada virtual o VPN, según el INCIBE.

Red privada virtual o VPN

Una red privada VPN crea una conexión privada y cifrada evitando que los ciberdelincuentes puedan espiar las comunicaciones. Las VPN pueden contratarse como un servicio a un tercero o se puede instalar y administrar en la empresa.
La ventaja de contratarlo a un proveedor es la rápida implantación y el contrario es que estamos cediendo información al mismo.
Por le contrario, si se utiliza una VPN propia de la organización ganaremos en privacidad, pero requeriremos de personal especializado para su instalación.

VPN más escritorio en remoto

La opción de escritorio en remoto consiste en conectarse a un dispositivo y utilizarlo como si estuviéramos físicamente delante de ese equipo.
Habilitar el acceso a través de internet no es recomendable , ya que el equipo se expone al ataque de ciberdelincuentes. Se recomienda utilizar a la vez un VPN y el escritorio en remoto.
Cuando el empleado quiera acceder al escritorio primero tendrá que acceder al VPN y después al escritorio, así contará con dos sistemas distintos que harán más seguro el sistema.

Desde Ciberseguridad Global sabemos que a raíz de la pandemia muchas empresas han establecido el teletrabajo a sus empleados por eso, queremos que tengas en cuenta estos consejos para crear un entorno seguro de trabajo.

Para cualquier duda, no dudes en ponerte en contacto con nosotros y estaremos encantados de ayudarte en lo que necesites.

 

seguridad-en-la-nube

Seguridad en la nube

Ciberseguridad Global

En el mundo actual de la tecnología de la información la mayoría de las personas están familiarizadas con «la nube o cloud». Saben que es una forma de almacenar datos como imágenes, archivos de audio… en línea con un proveedor que los gestiona y almacena en sus servidores.

Con sus credenciales de acceso únicas, pueden acceder a este almacenamiento, descargarlo, borrarlo, modificarlo, etc. Lo que la mayoría de la gente no se plantea es si sus datos están seguros.
¿Sabes lo qué es la seguridad en la nube? A continuación te lo explicamos.

¿Qué es la seguridad en la nube?

La seguridad en la nube o ciberseguridad en la nube se define como el método o la práctica de proteger los datos que se almacenan en línea a través de aplicaciones en la nube para que no sean robados, filtrados o eliminados.

Según el INCIBE “suele regirse por un modelo de responsabilidad compartida en el que el proveedor de servicios en la nube es responsable de gestionar la seguridad de la infraestructura subyacente y el cliente es responsable de gestionar la seguridad de sistemas operativos, usuarios, aplicaciones, datos, etc”.

Cuando una empresa decide la nube como lugar para guardar sus datos está delegando en parte el control de sus servicios al proveedor cloud, ya que está compartiendo información sensible y confidencial que es susceptible de sufrir riesgos si no se toman precauciones de seguridad.

El INCIBE recomienda que una forma de obtener las garantías de seguridad del proveedor es revisando los contratos y los acuerdos de nivel de servicio.

En ellos se ha de especificar, además de certificados y sellos que ha de tener el proveedor, otros aspectos operativos, como qué tipo de monitorización de seguridad realiza el proveedor o los chequeos de control de acceso, las garantías de aislamiento de datos y quién hace las copias de seguridad o las actualizaciones del software y en qué momento.

Los servicios de la nube se ofrecen en diferentes modalidades: software como servicio, plataforma como servicio e infraestructura como servicio. Además, existen nubes privadas, públicas, híbridas y comunitarias.

Nube privada

Las nubes privadas suelen ser propiedad de una organización privada, como una sola empresa, y son mantenidas por ella. En algunos casos, su nube estará ubicada físicamente en un centro de datos in situ. Sin embargo, en otros, pagarán a un tercero para que la aloje y la gestione.

En este caso, la responsabilidad de la ciberseguridad de la nube recae en el anfitrión externo.

Nube pública

La nube pública es propiedad de un tercero, al que se suele denominar proveedor de servicios en la nube, y se encarga de su mantenimiento.
Los clientes pagan para que estos proveedores almacenen sus datos en Internet. A cambio, los proveedores mantienen los servidores y las instalaciones de almacenamiento, y son responsables de la ciberseguridad de la nube. Los proveedores de servicios en la nube pública pueden clasificarse como software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).

 SaaS

Considerado el tipo más común de proveedor de servicios en la nube. Los proveedores de SaaS gestionan y alojan la infraestructura y las aplicaciones de software necesarias. El usuario final no tiene que descargar o instalar ninguna aplicación o programa para utilizarlo, ya que el SaaS utiliza Internet para suministrarlos.

 PaaS

El proveedor de servicios en la nube suministra el tiempo de ejecución, los servidores, el almacenamiento, la red, el sistema operativo y la infraestructura.

 IaaS

También conocido como autoservicio, en este modelo el usuario gestiona las aplicaciones, los datos, los sistemas operativos entre otros , y el proveedor de servicios en la nube gestiona los servidores, el almacenamiento, la red, etc.

Nube híbrida

Tal y como suena, se trata de un híbrido o una combinación de tipos de nube privada y pública.
Con los proveedores de nube híbrida, los datos y las aplicaciones pueden compartirse entre un centro de datos in situ (privado) y un proveedor de servicios de nube pública.

¿Cómo es la seguridad en una nube híbrida? La responsabilidad se comparte entre los socios que la utilizan y las organizaciones que almacenan los datos.

Algunas de las razones por las que una persona u organización puede elegir una nube híbrida es para aumentar las capacidades de computación y procesamiento, y/o para ahorrar tiempo o costes relacionados con la instalación y el mantenimiento de los servidores.

¿Por qué es importante la seguridad en la nube?

Cuando pensamos porque es importante la ciberseguridad en la nube lo primero que se nos viene a la cabeza es para proteger los datos de ser borrados o robados pero, no solo son los datos lo que está en riesgo si no también la reputación, el tiempo y el dinero.

Los recursos en la nube están expuestos a amenazas de ciberseguridad: filtraciones de datos, ransomware, ataques DDoS (denegación de servicio distribuida) o phishing.

Por este motivo, todo lo que se almacena en la nube tiene que estar protegido para que no sea interceptado, manipulado o filtrado por personas malintencionadas. Los ciberdelincuentes que vulneren un entorno en la nube podrían acceder al software y a las aplicaciones causando una interrupción del servicio

Recomendaciones de seguridad en la nube

El INCIBE dice que “las prácticas de seguridad en la nube son similares en muchos aspectos a las prácticas en redes y sistemas tradicionales, incluyendo aspectos específicos relativos al proveedor”:

  • Clasificar y cifrar la información.
  • Contar con protección contra el malware.
  • Tener una política de permisos.
  • Definir los servicios cloud permitidos.
  • Utilizar una contraseña robusta y doble factor de autenticación.
  • Conocer la política de seguridad y privacidad del proveedor.
  • Comprobar que el proveedor incorpora mecanismos que permitan la trazabilidad de los accesos y las modificaciones de la documentación almacenada.
  • Disponer de mecanismos que permitan realizar copias de seguridad.

¿Cómo funciona la seguridad en la nube?

La computación en nube o cloud computing se refiere a la prestación de diversos servicios a través de Internet. Estos servicios incorporan herramientas y aplicaciones como el almacenamiento de datos, servidores, bases de datos, redes y software.

En lugar de guardar los archivos en una unidad de disco propia o en un dispositivo de memoria local, el almacenamiento en la nube permite guardar muchos de ellos en una base de datos remota.
Siempre que un dispositivo tenga acceso a la red, tendrá acceso a la información y, por tanto, a los programas de software para ejecutarla.

La cloud computing es una excelente opción para las empresas por numerosas razones, como el ahorro de costes, el aumento de la productividad, la velocidad y la eficiencia, el rendimiento y la seguridad.
Desde Ciberseguridad Global queremos concienciarte con este post de lo importante que es mantener la seguridad en la nube tanto a nivel personal como si tienes un negocio.

Para cualquier consulta no dudes en ponerte en contacto con nuestros expertos en ciberseguridad, ¡estaremos encantados de poder ayudarte!

Ciberseguridad Global

El CISO, una figura imprescindible en las empresas

Ciberseguridad Global

Debido a la pandemia el aumento del teletrabajo ha sido más que notable, quedando implantado de manera habitual en muchas empresas. Esto ha supuesto un incremento exponencial de los ciberataques, ya que la rápida incorporación de esta metodología hizo que no se aplicase con las medidas de ciberseguridad suficientes.

Todo tipo de organizaciones, administraciones públicas, corporaciones, PYMES sufren constantemente ataques contra sus infraestructuras de datos y en especial contra la información que contienen pudiendo esto afectar gravemente a la sociedad.

Por este motivo, hoy más que nunca las empresas necesitan tener la figura de un responsable de seguridad que tenga las competencias suficientes en esta materia, aparece así la figura del CISO (Chief Information Security Officer) es el director de seguridad de la información. Además,  existen otros responsables de la ciberseguridad empresarial que deberías conocer como te citamos en este post.

 

Importancia y funciones del CISO

Es el responsable de elaborar un programa de seguridad de la información donde se incluyan las políticas y procedimientos a seguir para proteger las comunicaciones y sistemas de la empresa ante amenazas tanto internas como externas. 

Dicho programa tiene que ir en sintonía con los objetivos del negocio y se debe notificar a las autoridades de cualquier ataque informático que reciba la empresa.

Su papel es tan fundamental que el Boletín Oficial del Estado ha publicado el Reglamento de las Redes y Sistemas de la Información (Reglamento NIS), donde se recoge la obligación de designar a un responsable de seguridad de la información en las empresas. “Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información”. 

Según la Directiva NIS: “Este reglamento afecta a operadores y proveedores de servicios esenciales, quedando excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Tampoco estarán sujetos a esta norma los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas”.

Otro aspecto importante es el establecimiento de un sistema de cooperación y coordinación entre los CSIRT (equipos de respuesta a incidentes de seguridad) de referencia.

En cuanto a las funciones que desempeñará el CISO en este marco normativo según el Incibe son:

  • Generar e implantar políticas de seguridad de la información.
  • Garantizar la seguridad y privacidad de los datos.
  • Supervisar la administración del control de acceso a la información.
  • Supervisar el cumplimiento normativo de la seguridad de la información.
  • Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.
  • Supervisar la arquitectura de seguridad de la información de la empresa.

Aunque las PYMES no están obligadas a nombrar a un CISO sería muy conveniente que lo hicieran, ya que son un objetivo vulnerable para los ciberdelincuentes.

Además, a raíz de la pandemia están recibiendo muchos ataques, por eso es importante que cuenten con un profesional que ofrezca soluciones flexibles y ágiles.

El debate de las empresas está en  si contratar un CISO interno o externalizar el servicio a un tercero.   

El auge de los últimos años de este perfil cualificado ha destapado en España el déficit de profesionales del sector de la seguridad. Su escasez y altos salarios llevan a las empresas a apoyarse en una externa para cubrir estos servicios. 

Esquema-nacional-de-seguridad

Esquema Nacional de Seguridad (ENS)

ens-ciberseguridadc

 

Son muchas las certificaciones que las empresas deben tener en regla: calidad, medioambiente, profesionalidad, riesgos laborales, etc. A veces las certificaciones relativas a la tecnología son las grandes olvidadas debido a su reciente implantación en las entidades. Sin embargo, debemos considerarlas de las más importantes, pues en estos sistemas están en juego muchos datos que tienen que estar protegidos por un sistema que garantice su máxima seguridad.

El Esquema Nacional de Seguridad (ENS) es un requerimiento para la prestación de servicios aplicable especialmente al sector público. El ENS está regulado por el Real Decreto 3/201, de 8 de enero, en el ámbito de la Administración Electrónica.

Se trata de una exigencia de seguridad que regula los sistemas de información, para así cumplir con una protección adecuada de la información tratada y almacenada.
El Esquema Nacional de Seguridad tiene la finalidad de generar confianza en el ciudadano cuando utiliza la administración electrónica. Consiste en proteger la información de las personas de amenazas y ataques mediante unas medidas de ciberseguridad adecuadas.

Qué beneficios tiene Esquema Nacional de Seguridad

Cumplir con esta certificación es de vital importancia para asegurar al ciudadano la total protección de sus datos al hacer uso de los sistemas informáticos. Son varios los beneficios que las empresas o administraciones pueden obtener de este estándar:

  • Contar con las medidas necesarias para proteger los sistemas de información.
  • Cumplir con los requerimientos de las licitaciones de las administraciones públicas.
  • Proporcionar confianza a los ciudadanos en el tratamiento de sus datos.
  • Asegurar la trazabilidad, integridad, disponibilidad y autenticidad.

Qué empresas deben cumplir con el ENS

El ENS se basa en defender la privacidad del ciudadano, quien deposita infinidad de datos confidenciales en los sitios web de las administraciones públicas, para quienes es imprescindible contar con este estándar de seguridad informática. Algunas de las entidades que deben contar con el esquema son:

  • Aquellas que formen parte del sector privado y ejecuten licitaciones públicas.
  • Proveedores de servicios tecnológicos.
  • Empresas públicas de varios sectores.
  • Hospitales públicos.
  • Cámaras de comercio.
  • Ayuntamientos.
  • Colegios profesionales.
  • Federaciones deportivas.

Cómo implantar el Esquema Nacional de Seguridad

El cumplimiento del ENS consiste en un trámite burocrático. Este comprende la posibilidad de certificar los sistemas de seguridad de las entidades según los estándares del Esquema Nacional de Seguridad (ENS). Si quieres realizar la implantación, te recomendamos que te pongas en manos de nuestros expertos de la protección de datos, quienes pueden darte todas las garantías con confidencialidad, competencias técnicas y autenticidad.