Por Milton Zermeño

Las contraseñas han sido un tema cada vez más recurrente como relevante conforme pasan los años, debido al uso masivo de la tecnología que día a día va cambiando y evolucionando a pasos agigantados. Ya sea para:

 

Para todo esto necesitamos autenticarnos mediante un usuario y una contraseña, pasando en ocasiones por un 2do factor de autenticación que podemos abordar en otra ocasión, pero cuantas veces nos hemos preguntado ¿Mi contraseña es segura?

El centro Nacional de Seguridad cibernética del Reino unido (NCSC, por sus siglas en inglés) lanzó un consejo definitivo para crear una contraseña segura y poco predecible para proteger nuestras cuentas que a su vez tienen nuestros datos personales, dicho consejo se basa en 3 palabras aleatorias y fáciles de recordar.

Dicha entidad señala que un atacante se basa en estrategias predecibles, como sustituir una letra con números o signos. Por lo que crear una contraseña con esta técnica busca que las palabras elegidas por el usuario sean totalmente imposibles de descifrar para dicho atacante, añade “Este consejo hará que las personas sean mucho menos vulnerables a posibles ataques informáticos”.



(9 April 2021). Paws-word change recommended on National Pet Day. 9 April 2021, de National Cybersecurity Centre Sitio web: https://www.ncsc.gov.uk/news/national-pet-day-password-advice.
Con este consejo debemos de pensar en las contraseñas que podríamos tomar en cuenta, como las que no por lo que estos consejos adicionales podrían facilitar la identificación de aquellas contraseñas que debemos evitar, para dificultar la labor de un atacante.

1.- Evitar palabras comunes

Evitar aquellas palabras como nombres, apodos, fechas de nacimiento, colores favoritos, no suelen ser las mejores opciones para crear una contraseña ya que son sumamente predecibles tales como 123, abc, aaa, qwety entre otras.

Contar con mayor cantidad de caracteres además de la palabra en común, puede ayudar hacerla más segura.

 

2.- Evita anotar las contraseñas en un papel/computadora

Al menos que estas contraseñas se encuentren bajo llave, o tengan algún control adicional implementado a la hora de ser consultarlos, no se recomienda que se anoten ni en formatos físicos ni formatos digitales, ya que suelen ser vulnerables por el simple hecho de existir en estos medios.

 

3.- No repetir contraseñas

Con este consejo no sólo dificultamos la tarea al atacante, si no que buscamos que si ya fuimos victimas en una ocasión, no seamos nuevamente en el futuro por lo que contar con múltiples opciones de contraseñas suele ser también buena práctica a la hora de erradicar estas vulnerabilidades o brechas de información.

 

 

En lo personal concuerdo que estos consejos son muy importantes para aquellos que buscan ir modificando sus hábitos informáticos, así como contar con mayor seguridad con sus credenciales, adicional a estos consejos, me gusta basarme en la siguiente “formula” la cual me ha funcionado demasiado bien:

Para validarlo, podríamos checarlo en el siguiente sitio:

https://password.kaspersky.com/

 

Referencias:

Milton Zermeño – CEH

Consultor de Seguridad de Información de HKMX, especialista en evaluaciones tecnologicas, análisis tecnicos de vulnerabilidades y pruebas de penetracion hacia equipos de infraestructura y aplicativos web.

Por Lic. Cristina Caballero

Conocer el rol del CISO en la organización, el perfil y sus funciones es una algo necesario en cualquier organización hoy en día ya que con el crecimiento de la ciberdelincuencia y el impacto negativo que puede llegar a tener en la rentabilidad de las empresas. Muchos roles del departamento de TI están cambiando y este rol de CISO en las organizaciones con un mayor nivel de madurez lo ubican inclusive fuera del área de tecnología , esta función  está tomando cada vez más relevancia en las organizaciones, y están dejando de tener un rol meramente pasivo (conteniendo y corrigiendo amenazas de ciber ataques en su organización), a tener que ser un rol más estratégico en cuanto a la planificación de riesgo de la información y lidereando el desarrollo de una cultura de seguridad de informática. Una actividad que ha estado creciendo es su involucramiento dentro de los proyectos estratégicos de implementación tecnológica dentro de las organizaciones con la finalidad de vigilar que la arquitectura de la solución a implementar no genere un riesgo a la seguridad de la información.

El CISO (Chief Information Security Officer) es la persona dentro de la organización que se encarga de dirigir, orientar y coordinar la estrategia de seguridad de una empresa con el fin último que la seguridad esté alineada a los objetivos de negocio y que las decisiones de aceptar o no determinado riesgo de seguridad en la información sea elevado al más alto nivel en la empresa y con ello se tomen decisiones conscientes entre todos los miembros de la alta dirección; dado lo anterior es  que resulta prioritario alinear la estrategia de seguridad con los objetivos de la empresa. Es un rol destinado a proteger la información de forma adecuada como un activo valioso de la organización y la ciberseguridad en una de las actividades dentro del rol, pero no es la única.

Algunas de sus responsabilidades incluyen:

De acuerdo con lo establecido en la circular única de bancos en su artículo 168 Bis 13 se establece que “El oficial en jefe de seguridad de la información deberá ser designado por el Director General o, en su caso, por el administrador único, y no deberá tener conflictos de interés respecto del responsable de las funciones de auditoría y tecnologías de la información de la institución de fondos de pago electrónico. Asimismo, no podrá realizar las funciones relacionadas con la operación de la seguridad de la información de la propia institución de fondos de pago electrónico.

El oficial en jefe de seguridad de la información podrá apoyarse, para el ejercicio de sus funciones, en representantes de las diferentes unidades de negocio”.

Esto muestra que para el sector financiero resulta un rol muy importante que requiere la designación de parte del Director General de la institución.

Cristina Caballero

Lic. En Informática Administrativa, forma parte del equipo de consultores de HKMX realizando Análisis de Riesgos, implementación de controles y procesos en tecnologías de información, tiene más de 15 años de experiencia en temas de auditoria de tecnologías de información en el sector bancario. Certificación en CRISC, ISO 27001.

 

Por Ing. José Martín Figueroa Cardona

La ciberseguridad en la nube, abarca las tecnologías, los controles, los procesos y las políticas que se combinan para proteger sus sistemas, datos e infraestructura basados en la nube.

La ciberseguridad  en el computo  en la nube es una responsabilidad compartida entre las empresas y el proveedor de servicios en la nube.

Las empresas deben de  implementar una estrategia de Ciberseguridad para proteger sus datos, cumplir con las normas y proteger la seguridad y  privacidad de sus clientes. Lo que a su vez lo protege de las amenazas y riesgos de reputación, financieras y legales y pérdidas de datos.

Cada Proveedor  de nube precisa las responsabilidades para cada modelo de servicio (Saas, PaaS e IaaS) con su matriz de responsabilidad de la seguridad compartida.

Matriz de responsabilidad compartida de AWS

https://aws.amazon.com/compliance/shared-responsibility-model/

Matriz de responsabilidad compartida de Azure

https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

Matriz de responsabilidad compartida de CGP

https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-the-shared-responsibility-model-in-gke-container-security-shared-responsibility-model-gke

Matriz de responsabilidad compartida de la nube de Alibaba

https://files.alicdn.com/tpsservice/8943876c3b1dd53c97a323659e4f679f.pdf?spm=a2c63.o282931.879956.3.5bbf639dVoklbR&file=8943876c3b1dd53c97a323659e4f679f.pdf

Para la definición e implementación de las mejores practicas de seguridad en la nube existen organizaciones que se dedican a apoyar a la industria.

Por ejemplo: Cloud Security Alliance (CSA) es la organización líder mundial dedicada a definir y crear conciencia sobre las mejores prácticas para ayudar a garantizar un entorno de computación en la nube seguro.

CSA ha desarrollado un marco de control de ciberseguridad para la computación en la nube alineado con las mejores prácticas de CSA, que se considera el estándar de facto para la seguridad y privacidad de la nube. Conocido como Cloud Controls Matrix (CCM)

Todos los controles de esta matriz se encuentran mapeados con controles de seguridad que utilizamos normalmente en las arquitecturas on premise y se fundamentan en las mejores prácticas como:

El cual en su última versión considera 197 controles distribuidos en 17 dominios.

https://cloudsecurityalliance.org/research/cloud-controls-matrix/

CSA también establece una Guía de Seguridad  de áreas Críticas para la computación en la nube con 14 dominios

https://cloudsecurityalliance.org/research/guidance/

En HKMX, ayudamos a las empresas a establecer la estrategia de seguridad e implementación de buenas prácticas para proteger la información de tu empresa y tus clientes tanto en ambientes onpremise, híbridos o en la nube.

Te invitamos a nuestro webinar gratuito: La ciberseguridad en la Nube

En este webinar exploramos las preocupaciones, dolores de cabeza y las amenazas de seguridad al trasladarse a la nube, se explicará por qué es necesario la ciberseguridad en la nube y descubrirá la Cloud Controls Matrix (CCM), es un marco de control de ciberseguridad para la computación en la nube alineado con las mejores prácticas de CSA, que se considera el estándar de facto para la seguridad y privacidad de la nube.

Si te interesa unirte a esta sesión puedes realizar tu registro aqui:  https://bit.ly/3xPxNQl

José Martín

Forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de prácticas de seguridad y ciberseguridad apegados a marcos de referencia como COBIT, ITIL, PCI DSS, ISO 27001 e ISO 22301.

En 2008 fundó HK México. Desde entonces ha ejecutado y liderado proyectos exitosos relacionados con la gestión de riesgos, ciberseguridad, sistemas de gestión de seguridad de información, continuidad de negocio, auditoría y capacitación en diversos sectores como comercio, retail, servicios, comunicaciones, manufactura, tecnología y el financiero, abordando temas de cumplimiento regulatorio, así como de certificación en estándares internacionales de seguridad de información.

Es egresado del Instituto Tecnológico de Saltillo, donde obtuvo su grado profesional de Ingeniero Electrónico con especialidad en Sistemas Digitales. Posteriormente en ITESM curso la Maestría en Ciencias en Ingeniería Electrónica. Cuenta además con distintas certificaciones reconocidas internacionalmente relacionadas con la seguridad de información, auditoría TI/SI, hackeo ético, procesos TI/SI, continuidad de negocio y seguridad en medios de pago electrónicos.

Por Ing. Fernando Díaz

Introducción:

El pasado 09 de abril de 2021 la compañía Neuralink, fundada por Elon Musk, realizó una presentación hacia el público donde demuestran la factibilidad de interconectar una interfase de cómputo al cerebro de un simio macaco [1]. Esta tecnología promete mejorar la vida de gente con distintos grados parálisis, al darles independencia a través del control de computadores y dispositivos móviles [2].

Cuando el ser humano logra un avance fundamental en la ciencia o la tecnología, la sociedad cambia. Y una parte fundamental de nuestro rol como ciudadanos es identificar los riesgos y beneficios; entender las implicaciones en nuestra vida; y delimitar las aplicaciones de dicha tecnología en nuestra vida personal, familiar y laboral. Nuestro objetivo debe apuntar hacia la búsqueda de un balance adecuado entre riesgos y beneficios que nos ofrece esta nueva tecnología.

Existen casos bien documentados (energía nuclear, internet, reproducción asistida, redes sociales) de como el desarrollo de tecnologías disruptivas pueden afectarnos. Así que vale la pena preguntarnos, ¿dónde ponemos los límites para el desarrollo de la tecnología?, ¿cómo mantenemos el avance que tanto necesitamos? y ¿cómo evitamos que estas nuevas tecnologías nos lleven a situaciones caóticas que pongan en riesgos el bienestar, salud y sobrevivencia de las personas?

Ética para el desarrollo de la robótica

En 1942 Isaac Asimov, escritor de ciencia ficción, publicó por primera vez en 1942 en su relato “Circulo Vicioso” las 3 leyes de la robótica:

  1. Un robot no pueda dañar a un ser humano ni, por inacción, permitir que un ser humano sufra daño.
  2. Un robot debe cumplir las órdenes de los seres humanos, excepto si dichas órdenes entran en conflicto con la Primera Ley.
  3. Un robot debe proteger su propia existencia en la medida en que ello no entre en conflicto con la Primera o Segunda Ley.

Este modelo ético, que inicio como un trabajo de ciencia ficción, termino siendo una fuente de inspiración para muchos de los científicos, ingenieros, inversionistas y desarrolladores que actualmente fabrican robots para una diversidad de aplicaciones de la vida moderna.

 Un simulador ético: M-Link

    Para evitar demandas innecesarias y afectaciones legales, pensemos en una interfase universal cerebro-máquina que permita acceder cualquier información almacenada en el cerebro y generar una comunicación que permita manipular acciones, sentimientos, percepciones y procesos cognitivos en el ser humano. Por facilidad llamemos a esta interfase M-Link.

Una herramienta con estas características podría incrementar nuestra productividad, comunicación y extender nuestras capacidades actuales. Sin embargo, ¿qué pasa si la interfase falla?, ¿qué pasa si la hackean?, ¿cómo limitamos que alguna persona u organización tenga acceso a nuestros pensamientos sin nuestro consentimiento?

Para contestar estas preguntas, consideramos el siguiente escenario: tenemos una interfase M-link y tenemos una actualización reciente que aleatoriamente puede eliminar un recuerdo, detonar una emoción y detonar una acción en el usuario.

Caso 1: ¿qué pasa si pierdo un recuerdo?

                Imagine despertar mañana y no recordar su etapa universitaria o su último curso de certificación, esta situación seguramente tendría un impacto negativo en su desempeño laboral y potencialmente lo arriesgaría a un despido. Ahora veamos el escenario donde despertara y no se acordará de su espos@ o hij@s, esto además de generar una gran confusión durante el desayuno, seguramente llevaría a una afectación emocional grave a nivel personal y familiar.

Finalmente evaluemos, que pasaría si usted perdiera todos los recuerdos con sus mejores amigos, todos esas bromas, anécdotas y buenos momentos que fueron compartidos. Además del impacto social que esto generaría, es posible que mucha de su vida social y apoyo de grupo se vería severamente afectado.

Caso 2: ¿qué pasa si se detona una emoción sin causa?

El ser humano moderno vive en sociedad y dependemos fuertemente de sus lazos emocionales y afectivos para su sentido de pertenencia. Imagine que mañana usted despierta “odiando” a su equipo deportivo favorito, esto generaría afectaciones económicas para el club deportivo y en su vida social. Ahora imagine que hoy por la tarde usted “ama” una marca que le ofrece un producto que usted no quiere ni necesita. Finalmente imagine el escenario donde usted tiene “asco” por una determinada identidad nacional, sexual, religiosa o política, y resulta que esta persona es su jefe o peor su subordinado.

La historia nos ha enseñado que la manipulación o exaltación de sentimientos grupales, nacionalistas, religiosos o raciales pocas veces terminan bien. Esto se ha demostrado al punto que existen prácticas de propaganda religiosa, política y comercial que no es aceptaba o es ilegal cuando fomenta la discriminación, el discurso de odio o incita a violar la ley.

Caso 3: ¿qué pasa si se detona una acción sin consentimiento?

En nuestro sistema legal un punto fundamental para la procuración de justicia es determinar si el acto a sancionar fue accidental o planeado, el término “con predeterminación, alevosía y ventaja” tienda a generar castigos mayores.

¿Qué pasaría si usted va conduciendo y una falla en su interfase genera un choque?, ¿quién debe pagar los daños? Una postura natural sería que su abogado busque demostrar que no fue algo que usted generó o planeo. Y muy seguramente la compañía que le vendió el M-Link pondrá en sus términos y condiciones no se hará responsable de ningún daño. ¿Entonces quién responde entonces?

 

Una brújula ética para M-Link

                Como un punto de partida se propone generar un modelo con 5 reglas que sirvan como una “brújula ética” para el desarrollo de este tipo de interfases, sin importar su versión o marca. Los principios propuestos son los siguientes:

  1. La interfase nunca deberá modificar las memorias en el usuario.
  2. La interfase nunca deberá ser capaz de manipular las emociones en el usuario.
  3. La interfase nunca deberá ser capaz de detonar acciones en el usuario.
  4. No podrá modificarse sin consentimiento, entendimiento pleno y aceptación del usuario.
  5. Solo se aceptarán cambios con evidencia incontrovertible de generar un beneficio para la humanidad.

Las primeras 3 leyes están destinadas a proteger lo que podría considerase elementos fundamentales de la identidad de una persona. Las últimas 2 buscan proteger al usuario final de malas prácticas corporativas, diseños deficientes/inseguros y de una gestión negligente de los fabricantes y/o reguladores coaccionados o en un potencial conflicto de interés.

Una red infinita de posibilidades con modelos de desarrollo ético y seguro.

El desarrollo de tecnología es lo que nos ha permitido generar mejores condiciones de libertad, seguridad, educación, salud y gobierno para los seres humanos. El mundo como lo conocemos no podría existir o funcionar sin la tecnología, pero esto no significa que no debe tener límites o guías para su desarrollo éticos, morales y legal.

Actualmente estamos a décadas de entender a detalle el funcionamiento y generación de procesos cognitivos de una persona sana o enferma. Sin embargo, no es improbable que las herramientas lleguen antes que el conocimiento o la sabiduría para los implicados.

Estamos iniciando un proceso de desarrollo que requiere definiciones claras por parte de los diferentes actores para implementar un modelo de desarrollo seguro real y verificable:

Como sociedad la integración de nuevas tecnologías a nuestra vida es una tendencia que va en aumento, y es por esto que la integración de los principios y controles mínimos de ciberseguridad es fundamental para garantizar nuestros derechos.

Es importante que decidamos de manera consciente que usos y aplicaciones deben tener una nueva tecnología, y no dejarlo al azar o a las fuerzas del “libre mercado”. Si decidimos bien, lograremos un mejor mundo para los seres humanos, si no participamos podemos terminar siendo los protagonistas de un gran episodio de “Black Mirror”.

Déjenos su opinión y nos gustaría saber si el escenario de ciberterrorismo lo considera un exceso de los amantes de la teoría de la conspiración o un escenario válido para las compañías mexicanas en el desarrollo de una estrategia de continuidad de negocio (BCP/DRP).

El contenido de este artículo refleja únicamente la opinión del autor, y no representa la postura oficial de la casa consultora HKMX. HKMX ofrece este canal en apoyo a la libertad de expresión y la diversidad de pensamiento con el objetivo de generar un intercambio libre de ideas que desarrolle la comunidad de ciberseguridad en México y el mundo.

 

Referencias

[1] Wakefield, J. (2021). Elon Musk’s Neuralink “shows monkey playing Pong wind mind”. Recuperado junio 22, 2021, de BBC News: https://www.bbc.com/news/technology-56688812

[2] Neuralink (2021). Applications. Recuperado junio 22, 2021: https://neuralink.com/applications/

[3] Frabeti, C. (2017). Las leyes de la robótica – ¿cumplirán los robots reales, que ya están entre nosotros, las tres leyes de la robótica de Asimov? Recuperado mayo 20, 2021, de El País https://elpais.com/elpais/2017/08/24/ciencia/1503574908_187790.html

[4] Ilustración (2018). Ilustraciones de una sociedad distópica en un mundo decadente. Recuperado junio 22, 2021, de Cultura Inquieta. https://culturainquieta.com/es/arte/ilustracion/item/14196-ilustraciones-de-una-sociedad-distopica-en-un-mundo-decadente.html

 

 

 

Los negocios se encuentran en constante evolución, adaptándose día a día a su entorno y mercado, exigiendo cada vez más iniciar un camino hacia la transformación digital de su modelo de operación que permita hacer más eficiente sus procesos, ser competitivos y generar mayor valor a sus clientes.

Si bien la adopción tecnológica promueve estas mejoras, también implica identificar y entender nuevos riesgos y amenazas que la organización enfrentará en este camino, por lo que diseñar una estrategia de protección de la información, alineada a los objetivos y capacidades de la organización se vuelve un aspecto fundamental para garantizar la continuidad del negocio y los beneficios que se esperan obtener aprovechando el uso de la tecnología.

La combinación de procesos, tecnología y personas es fundamental para desarrollar una estrategia integral de ciberseguridad que permita blindar a tú organización ante posibles amenazas y riesgos que existen hoy en el entorno digital considerando retos y desafíos como la movilidad, trabajo a distancia, outsourcing de servicios y computo en la nube, muchos de ellos acentuados a partir del nuevo ecosistema de colaboración que tuvo que adoptarse a partir de la pandemia por COVID-19.

Desde hace más de 10 años, el Centro de Seguridad para Internet CIS (Center Internet Security) ha publicado y actualizado una guía de controles de ciberseguridad seleccionando prácticas de esenciales para las organizaciones que les permita identificar las medidas mínimas de seguridad que se deben adoptar para prevenir, detectar y responder ante las amenazas y riesgos más comunes que afectan al entorno tecnológico.

El Centro de Seguridad para Internet (CIS) recomienda en su versión 8 de su marco de trabajo publicado en Mayo 2021, los controles y salvaguardas esenciales de protección de información para los ecosistemas de TI fisicos, virtuales y en nube que hoy existen en la mayoría de las organizaciones.

CIS v8 – Mayo 2021

En esta nueva versión del marco de ciberseguridad, se realizaron mejoras importantes considerando la retroalimentación de expertos y especialistas de diferentes industrias que con base a la experiencia de la implementación de los controles CIS y amenazas actuales del entorno digital se dieron a la tarea de reestructurar el marco en 18 controles y 153 salvaguardas distribuidos en 3 grupos de implementación.

Como parte también de las mejoras en esta nueva versión se incluyó un glosario al inicio para estandarizar conceptos y terminología utilizada en la guía, así como una referencia importante de cómo cada salvaguarda se alinea con las 5 funciones esenciales de NIST (Identificar, Proteger, Detectar, Responder, Recuperar).

Los 18 controles de nivel superior para mitigar las amenazas y riesgos más comunes de ciberseguridad se enlistan a continuación.

Figura 1. CIS v8 – 18 controles de nivel superior

Es l, comparado con la versión 7 anterior, se reagruparon de manera importante los controles reduciendo de 20 a 18 controles en esta nueva versión, de igual forma derivado del creciente apoyo que las organizaciones requieren de servicios de terceros se agregó el control 15. Gestión de proveedores de servicio, que tiene como objetivo “Desarrollar un proceso para evaluar a los proveedores de servicios que tienen datos confidenciales, o son responsables de las plataformas o procesos de TI críticos de una empresa, para garantizar que estos proveedores estén protegiendo esas plataformas y datos de manera adecuada”.

 Figura 2. Diferencias entre CIS v7 y V8

Para conocer con mayor nivel de detalle es posible descargar sin costo la Guía de Controles CIS v8 del sitio https://www.cisecurity.org/controls/v8.

Dentro de la guía se podrá identificar para cada uno de los 18 controles la siguiente información:

  1. Resumen: Descripción simplificada de la importancia del control y su utilidad.
  2. ¿Por qué es crítico el control?: Una descripción de la importancia de este control para bloquear, mitigar o identificar ataques relacionados con el control, asó como una explicación de cómo los atacantes explotan la ausencia de este control.
  3. Procedimientos y herramientas: Descripción técnica de procesos y tecnologías que pueden ser utilizados para implementar y automatizar el control.
  4. Descripción de las salvaguardas: Una tabla con acciones específicas para que la organización pueda implementar el control.

 Ejemplo de descripción del salvaguardas que integran un control:

Grupos de Implementación

Uno de los aspectos más relevantes de la estructura de la guía de controles CIS es la clasificación y priorización de la implementación de los 18 controles y las 153 salvaguardas tomando en consideración el tamaño, perfil de riesgo y recursos disponibles en la organización para implementar una estrategia de ciberseguridad, CIS define y clasifica sus salvaguardas considerando 3 grupos de implementación que se describen a continuación, conforme a la descripción podrás identificar de mejor manera que controles y prácticas de ciberseguridad son apropiadas para tu organización.

Grupo de Implementación Descripción Cantidad de Salvaguardas recomendadas
1 Una organización IG1 es una empresa pequeña o mediana con recursos limitados de TI y con expertise mínimo en ciberseguridad para proteger los activos de TI. La principal preocupación de estas organizaciones es mantener el negocio operativo dado que tienen una tolerancia limitada a las interrupciones tecnológicas. La sensibilidad de la información que manejan es baja y está vinculada principalmente con la información de los colaboradores o de carácter financiero

Las salvaguardas seleccionadas para este grupo de implementación pueden ser implementadas con un expertise en ciberseguridad limitado y van orientadas a proteger ataques no dirigidos.  Estas salvaguardas son las mínimas que toda organización se recomienda implemente para protegerse a los ataques más comunes (Higiene básica de ciberseguridad)

Estas salvaguardas van dirigidas también para pequeños negocios o esquemas de teletrabajo (Home office).

56
2 Una organización IG2 contrata posiciones responsables de administrar y proteger la infraestructura de TI. Esta organización soporta a múltiples departamentos con diferentes perfiles de riesgos basado en su función y misión. Algunas unidades de negocio pequeñas puede tener requerimientos regulatorios a cumplir.

Organizaciones IG2 con frecuencia almacenan y procesan información sensible de clientes o de la organización y pueden resistir interrupciones cortas a sus servicios.

Una preocupación importante es perder su la confianza de los clientes derivado de una brecha de seguridad.

Las salvaguardas seleccionadas para las organizaciones IG2 dependen del nivel de adopción tecnológico de la compañía y requieren de una mayor nivel expertise y especialización en seguridad para instalarlas y configurarlas.

130

 

3 Una organización IG3 contrata posiciones expertas y especializadas en diferentes facetas de ciberseguridad (Gestión de riesgos, Pentestets, seguridad en aplicaciones).

Los activos y datos de las organizaciones IG3 contienen información sensible o funciones que se encuentran bajo una supervisión de cumplimiento o regulación por parte de terceros/autoridades. Una organización IG3 debe gestionar la disponibilidad de sus servicios de TI y la confidencialidad, integridad de la información sensible.

Un ataque exitoso puede generar un daño significativo a la reputación y bienestar en el entorno.

Las salvaguardas seleccionadas para una organización IG3 van dirigidas para prevenir un ataque dirigido por parte de un adversario sofisticado y reducir el impacto de ataques de día cero.

153

¡No es solo la lista!

Es importante mencionar que como parte de esta actualización a la guía de controles CIS, existen un número de recursos adicionales que puedan ayudar a tu organización a implementar estos controles críticos como son:

Para conocer más vista el sitio oficial de la Guía actualizada de los controles CIS en

del sitio https://www.cisecurity.org/controls/v8

No existe una guía única e infalible de controles y recomendaciones de seguridad para tu negocio, pero consideramos que CIS v8 es un excelente punto de partida para iniciar a estructurar una estrategia de largo plazo para tu organización considerando iniciar por sentar las bases de lo que se considera son los controles esenciales.

José Iván, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de procesos de tecnologías de información apegados a marcos de referencia como COBIT, ITIL, PCI DSS e ISO 27001 para empresas del sector financiero, manufactura, automotriz, retail, telecomunicaciones, logística y educativo, en donde ha apoyado a diversas empresas en su certificación en estándares internacionales de seguridad de información. Es egresado del Tecnológico de Monterrey, Campus Monterrey, donde obtuvo su grado profesional de Ingeniero en Sistemas Electrónicos, además de tener un título como Master en Administración de Telecomunicaciones por parte de la EGADE, Campus Monterrey.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Por Gabriel Ramírez – Representante Comercial HK México

La protección de datos personales se ha convertido en un aspecto básico que toda organización debe tener en cuenta en el desarrollo de sus actividades. En cualquier actividad comercial (especialmente de clientes, proveedores, trabajadores, etc.) que procesan una gran cantidad de información, y la complejidad e interconectividad de los sistemas de información continúan aumentando.

Nuestra continua actividad a travéz de internet, significa que proporcionamos regularmente nuestros datos personales y, en la mayoría de los casos, transmitimos los datos personales por nosotros a terceros sin pensar en ello.

Por esta razón, en los últimos años han surgido nuevas regulaciones internacionales sobre seguridad de la información. Estos incluyen el estándar ISO 27701 y el Reglamento general de protección de datos (GDPR). En México contamos con la Ley Federal de Protección de Datos en Posesión de Particulares (LFPDPPP). Cuyo objetivo principal es garantizar un mejor procesamiento y protección de los datos personales

La protección de la información es cada vez más importante para las empresas. Actualmente  ISO 27701 es una extensión de protección de datos del estándar de seguridad de la información ISO 27001 (SGSI). Este nuevo estándar, publicado en agosto de 2019, proporciona pautas para las organizaciones que deseen configurar sistemas de gestión para respaldar el cumplimiento de las regulaciones europeas de protección de datos (GDPR) y otros requisitos de protección de datos.

El estándar también describe un marco que puede ayudar a reducir los riesgos de privacidad en el procesamiento de datos personales. Esta norma está destinada a ser utilizada por los responsables de datos personales.

Estructura ISO/IEC 27701

La norma ISO27701 es una extensión de las normas ISO27001 e ISO27002, por tanto, todo el trabajo realizado para el establecimiento de controles de seguridad para la certificación del SGSI, se tomará como base para definir y establecer el SGPI. Se pretende establecer los controles de privacidad de información considerando los roles de “controlador” y “procesador” de información, como sigue:

Se considerarán las 33 mejoras señaladas en la cláusula 6 de ISO/IEC 27701 respecto de las cláusulas 5 a 18 de la norma ISO27001, para que se amplíe el término a “seguridad y privacidad de la información”.

¿Cuáles son los que beneficios que puede aportarnos la implementación de la norma ISO/IEC 27701?

Las empresas que han implementado la norma ISO 27001 en sus organizaciones pueden utilizar esta nueva norma ISO 27701 para ampliar sus esfuerzos para proteger la privacidad de los datos que manejan.

Este estándar es una buena herramienta para implementar e integrar los principios del GDPR en un sistema de gestión de seguridad de la información (SGSI), mejorando las relaciones comerciales y reputacionales de la organización.

 

Gabrie Ramírez  – Licenciado en Mercadotecnia, experiencia de más de 15 años en posicionamiento de servicios consultivos, cursos y certificaciones; responsable de ofrecer a los usuarios de HKMX las mejores soluciones que se adapten a sus necesidades y presupuesto, creando planes específicos para tener la mayor eficiencia y proyección a futuro posible.

Por: Mercedes Sauceda – MKT

La ingeniería social se ha incrementado en el último año en un 29%, y el malware en un 26%, ambos aprovechando la inestabilidad de los entornos de trabajo con el Covid-19. El trabajo remoto fue un cambio radical para muchas empresas, que sorprendió a los habilitadores de TI y los puso contra reloj, generando rápidamente nuevos procesos, controles y accesos a plataformas que habilitarían el trabajo colaborativo.

Sin embargo, las empresas lograron habilitar sus plataformas para la nueva forma de trabajo, detonando así las vulnerabilidades que retaron los equipos de Seguridad.

Sabemos que el factor humano es gran responsable de numerosos ataques de ciberseguridad, y más aun con la nueva forma de trabajo, donde utilizamos equipos o redes personales que carecen de los controles internos, por esta razón es indispensable habilitar a los equipos para comenzar a desarrollar la competencia digital de ciberseguridad.

Es aquí donde comúnmente se desarrolla una Estrategia de Ciberseguridad, y una parte de esta es un programa de capacitación, generando cursos masivos para rápidamente habilitar a toda la organización sobre procesos, controles, etc..; sin embargo, muchas veces después de capacitar y cumplir con el programa completo, volvemos a tener ataques …

¿Por qué sucede esto?

¿Los capacitadores no lo hicieron bien? ¿Los contenidos eran muy generales? ¿La gente no tomo el curso?

Podemos tener todo tipo de respuestas para estas preguntas, pero lo que hemos encontrado en diversos casos es que un curso por sí solo no genera un aprendizaje significativo, muchas veces se queda a nivel informativo y como consecuencia el colaborador no estará preparado para un ataque, ya que no podrá distinguirlo.

Es importante aquí generar una estrategia de concientización según la cultura organizacional y el perfil de los colaboradores, que esté conectado con el objetivo de negocio y la estrategia de ciberseguridad, que tenga los controles necesarios para asegurar la eficacia y consolidación de la competencia en los colaboradores.

Este tipo de formación en ciberseguridad nos permitirá comenzar a construir una cultura de seguridad que convertirá al eslabón más débil de la cadena…en la primera línea de defensa.

“En promedio, las empresas obtienen un ROI general del 179% de sus inversiones en ciberseguridad. Eso significa que cada dólar de la inversión genera casi $ 2 en beneficios. El ROI de las inversiones varía desde el 271% para inversiones en personas, hasta 156% para procesos y 129% para tecnología.” (Driving Cybersecurity Performance – ESITHOUGHTLAB)

Esto nos muestra los beneficios de la inversión en ciberseguridad y los impactos positivos que tendrá en para nuestro ROI, construir bases sólidas a través de una correcta habilitación, permitirá la maduración de una Estrategia de Ciberseguridad integral.

En HK México contamos con servicios que habilitan las estrategias de ciberseguridad, que se tropicalizan a cada organización, para fusionarse con los objetivos de negocio.

 

 

 

 

 

 

Por:  Nicandro López Pompa -Desarrollo Comercial

Existen innumerables noticias, reportes y estadísticas sobre ciberataques y su impacto en los negocios, debido principalmente a la interrupción de sus procesos críticos que más están soportados por la tecnología. Todos concluyen que los ataques seguirán en aumento debido a las amenazas cada vez más frecuentes y dañinas, así como por la presencia de nuevas y mayores vulnerabilidades inherentes a las nuevas tecnologías.

Unos de los principales problemas que se han derivado por el avance de las tecnologías de información, son los delitos asociados al robo, manipulación y secuestro de información. Esto ha derivado que los propietarios y directivos de empresas consideren dichos problemas como un tema central para sus estrategias de negocio, no solo para su desarrollo, sino para su supervivencia.

Si bien es cierto, la mayoría de las empresas de todos tamaños y sectores tienes implementadas medidas de seguridad, no siempre se tiene claro su nivel de madurez. Estas medidas pueden ser desde la instalación de soluciones básicas, hasta arquitecturas de seguridad robustas, así como la definición y establecimiento de políticas y procedimientos de seguridad y la existencia de responsable (s) y/o área de la seguridad de información, a nivel estratégico, táctico y operativo.

Basados en nuestra experiencia de años, así como en referencias y normas de seguridad de información existentes, recomendamos adoptar el siguiente escalamiento que puede ser útil para las empresas que quieren incursionar en la seguridad, o bien, para aquellas que ya tienen implementadas diferentes medidas pero desean elevar su nivel de madurez, incluso certificarse:

Escalamiento para la seguridad de información

Cada una de las referencias tienen sus características particulares, pero también elementos comunes, lo que permite realizar un escalamiento natural en el nivel de seguridad de información como se muestra en la imagen. Aquí algunas de ellas:

CIS. Contempla 20 controles tecnológicos que se abren a 171 actividades de control, orientados principalmente a el área de TI. Es ideal para aquellas entidades que no tienen responsable de seguridad y que sólo cuentan con medidas básicas para proteger la infraestructura y la información. Es flexible y facilita el escalamiento, prácticamente desde cero, al contar con 3 niveles de madurez. https://www.cisecurity.org/

NIST. Tiene como base el Marco NIST de Ciberseguridad integrado por 5 funciones generales, 23 categorías y 108 subcategorías de control, que involucra a el área de TI y a las unidades de negocio. El marco está compuesto por algunos elementos de ISO27001, CIS, NIST SP 800-53, Cobit e ISA. NIST tiene además del marco, una serie de publicaciones que sirven de referencia para atender a detalle diferentes temas relacionados con la seguridad de información. Es para empresas que ya cuentan con un responsable de seguridad, con ciertas políticas y procedimientos de seguridad llevadas a la práctica, así como con soluciones tecnológicas para soportarla. https://www.nist.gov/

ISO27001. Es la norma de seguridad de información por excelencia y es certificable. Contempla 14 dominios, 35 objetivos de control y 144 controles, e involucra al área de TI, negocio, áreas operativas y gobierno, la cual se complementa con otras normas ISO como: 27002, 27005, 27032, entre otras. Es para empresas que ya tienen un responsable de seguridad operativa y responsable de la seguridad a nivel táctico y/o estratégico (Oficial de Seguridad y/o CISO), y que cuentan con estrategias, políticas y procedimientos de seguridad documentados y funcionando como un proceso, así como una arquitectura robusta para soportar el sistema de gestión.

ISO22301. Es una norma certificable y recomendable para definir e implementar un sistema de gestión para la continuidad de negocio y/o operativa. Implica realizar de inicio un análisis de impacto al negocio de riesgo de continuidad para la definición de estrategias, hasta definir y establecer planes de continuidad de negocio y de recuperación de desastres. Es recomendable para todo tipo de empresas que tienen cierto nivel de madurez de seguridad de información y desean mantener operando su negocio, aún en situación de contingencia.

ISO27701. Es una norma certificable y extensión de ISO27001, que permite con la implementación de controles adicionales, establecer un sistema de gestión de privacidad de información. Es una norma con alto nivel de especialización recomendable para empresas que desean o están obligadas a demostrar a diferentes partes interesadas, que cubren cualquier requerimiento para la protección de datos personales.

ISO20000. Se trata de una norma certificable que permite definir e implementar controles orientados a establecer un sistema de gestión de servicios. Esta norma contempla controles específicos y es recomendable para proveedores que ofrecen servicios relacionados con la tecnología y/o están obligados a demostrar a sus prospectos y clientes, que pueden continuar prestando los servicios ofrecidos.

Lo primero que debemos identificar y reconocer, es dónde estamos y en dónde queremos estar en el corto, mediano y largo plazo. Los elementos que sugerimos considerar para ubicarse desde dónde se podría empezar, son los siguientes:

 

 

Por Ing. Eduardo Torres

Hoy en día todos hemos oído hablar del cómputo en la nube, hoy en día muchas empresas han decidido migrar sus infraestructuras tecnológicas a una plataforma en la nube, esto debido a las numerosas ventajas que este servicio ofrece, desde la flexibilidad para escalar los servicios y adaptarlos a sus necesidades, el acceso por medio de una conexión a internet desde cualquier lugar, hasta el ahorro en gastos de infraestructura o mantenimiento. Básicamente, el computo en la nube ofrece un servicio adaptable a las necesidades de la empresa sin preocuparse por los costos de mantenimiento que una infraestructura física implica, una excelente opción para startups o para aquellas empresas que buscan optimizar en gastos.

Las ventajas que nos presenta el computo en la nube ha permitido que esta sea una tecnología clave para la transformación digital de las empresas, sin embargo, se sigue teniendo la idea errónea de que por el hecho de migrar a la nube ya no tenemos que preocuparnos por la seguridad de la información, y se cree que esto es responsabilidad del proveedor, la verdad es que es una responsabilidad compartida y en muchas ocasiones las empresas no se dan cuenta que esto no es del todo cierto y hay ciertos aspectos de ciberseguridad que deben de tomar en cuenta para tener a salvo sus servicios.

Para entender primero que responsabilidades tenemos nosotros en la ciberseguridad de nuestros activos en la nube, es necesario entender primero cuales son los servicios de esta tecnología:

Software como Servicio (SaaS: Software as a Service):  Este modelo entrega al cliente el software de las aplicaciones, accediendo a ellas por medio de internet. Algunos ejemplos son el correo electrónico, herramientas ofimáticas, software de ERP, calendarios. Si el servicio que estamos contratando consta de una aplicación a la que accedemos ya sea por el navegador o instalando algún software que requiere acceso a internet, entonces estamos utilizando un servicio de SaaS.

Plataforma como Servicio (PaaS: Platform as a Service):  Este modelo entrega a cliente un entorno de desarrollo sin tener que ocuparse de la infraestructura necesaria. En este servicio, una vez creado el código de la aplicación se despliega en la plataforma proporcionada por el proveedor. Si el servicio que estamos contratando consta de un servidor al que solo le enviamos información para actualizar el contenido de los aplicativos, sin embargo, nosotros no configuramos el software instalado en el o el sistema operativo, al igual que no contamos con acceso remoto a él, entonces estamos utilizando un servicio de PaaS.

Infraestructura como Servicio (IaaS: Infraestructure as a Service):  Ester modelo entrega al cliente la virtualización, el almacenamiento, la red y los servidores. En este servicio el cliente controla totalmente la infraestructura y maneja las aplicaciones, los datos, los sistemas operativos, el middleware y los tiempos de ejecución. Si el servicio que estamos contratando consta de uno o más servidores, a los cuales nosotros tenemos acceso remoto y podemos configurar tanto el sistema operativo como los servicios o software que corren en ellos, entonces estamos utilizando un servicio de IaaS.

Ahora que conocemos cuales son los servicios que ofrece el computo en la nube, y que podemos identificar cuales son los servicios que utilizamos, es necesario saber qué responsabilidad tenemos sobre la seguridad de nuestros activos en la nube, como se ve en la siguiente tabla:

IaaS PaaS SaaS
Datos Datos Datos
Aplicaciones Aplicaciones Aplicaciones
Runtime Runtime Runtime
Middleware Middleware Middleware
Sistema Operativo Sistema Operativo Sistema Operativo
Virtualización Virtualización Virtualización
Servidores Servidores Servidores
Almacenamiento Almacenamiento Almacenamiento
Networking Networking Networking

 

Gestionado por el cliente Gestionado por el proveedor

 

Como podemos ver, en servicio IaaS es donde se tiene más responsabilidad sobre el servidor, ya que en este el cliente es responsable de la configuración del servidor, es decir, el cliente es responsable de hacer las configuraciones de seguridad necesarias en el servidor para que este sea seguro, en este caso, el hardening y los controles del flujo sobre los servicios son responsabilidad del cliente al igual que la seguridad de las aplicaciones que este servidor está publicando.

En un servicio PaaS, el cliente es responsable de las aplicaciones que publica y de los datos que manejan, es decir, la responsabilidad del cliente está en evitar que algún tercero no autorizado modifique la información del aplicativo, así mismo, que este sea seguro y no presente vulnerabilidades.

Por último el servicio SaaS, que al parecer suena más seguro, ya que en este caso se podría decir que solo somos responsables de los datos que ingresamos, y suena lógico, estamos contratando un software que esperamos ya sea seguro, sin embargo, en este punto podemos decir que la responsabilidad del cliente es asegurarse que las credenciales de acceso sean seguras, y si es un servicio de almacenamiento en la nube, los permisos de los archivos que se suben, aquí no hay responsabilidades a nivel de infraestructura, aun así, no estaría de más revisar con el proveedor el nivel de seguridad que cuenta en su infraestructura.

Podemos concluir que si bien, el computo en la nube nos ha permitido ahorrar en los costos que implica tener un centro de datos además de que nos elimina una gran cantidad de responsabilidades en la seguridad física del mismo, el hecho de migrar a la nube no significa que estemos completamente seguros, como ya hemos visto, hay responsabilidades compartidas y hay que entender que parte nos corresponde para garantizar la seguridad de nuestros servicios, además, hay que tener presente que la seguridad de los datos procesados o almacenados en la nube final siempre será responsabilidad del cliente y no del proveedor. No hay que olvidar que la manera de acceder a los activos de nube que estamos contratando es por medio de internet, una red completamente publica a la que hoy en día todos tenemos acceso, además de que seguramente ya habrás escuchado algún dicho que dice que el computo en la nube significa “en algún lugar del mundo”. Es necesario que entendamos la parte que nos corresponde y que realicemos las configuraciones necesarias en nuestros activos para garantizar la seguridad de nuestra información.