Huella Digital: gestionando la identidad profesional digital

“Tu huella digital te pinta como persona.” ―Internet Society

¿Qué nos identifica o pinta cómo personas? Aquellas cosas que nos hacen únicas, la huella dactilar, nuestra personalidad, nuestro iris y por supuesto que el ADN.

Sabemos que las huellas dactilares son únicas, no lo ponemos en duda. Los científicos y especialistas afirman que no hay manera de que existan dos idénticas. Al ser el resultado de un proceso de formación de patrones no lineal con fuerte dependencia con las condiciones iniciales de su proceso de formación, es improbable que se repitan.

Dos matemáticos de la Universidad de Arizona proponen que los dibujos de las huellas dactilares son el resultado de un proceso en el que están implicadas las tensiones que se acumulan en las diferentes capas de la piel durante el desarrollo del feto en el útero. La teoría de Kücken-Newell es la aproximación más aceptada para resolver la incógnita, es un modelo que reproduce bien las huellas digitales reales aplicando unas ecuaciones y realizando un análisis por ordenador llevan a inferir que: “Pequeños cambios en el campo de fuerzas elástico que genera las huellas son amplificados y conducen a grandes cambios en el patrón final.”

Las huellas digitales son utilizadas en el sistema de «bloqueo-desbloqueo» del teléfono móvil por millones de personas en el mundo. Otros,tantos, utilizan sus huellas para acceder a sus oficinas o complejos residenciales, son ampliamente utilizados en los controles de acceso y seguridad. Cuando viajamos y pasamos por el control de migración de los países, sin oponernos a ello, colocamos nuestra huella digital―en algunos países hasta de los diez dedos―en bases de datos biométricas de forma usual.

Los sensores de huellas son dispositivos que pueden leer, guardar e identificar las huellas dactilares para usos varios. Nos acostumbramos a su uso, hasta sentimos que es algo normal. Podríamos decir que, con la misma naturalidad como aceptamos que las huellas son únicas, hemos aceptado que sean requeridas, almacenadas y utilizadas sin preguntarnos por y para qué lo hacen. Tal vez, debemos cuestionar su uso antes de facilitarla, con ella nos identifican o nos implican. ¿Es esa su única huella rastreable?

Otra huella digital con la que nos identifican

Tan pronto visitamos el sitio Internet Society, organización global unida por una causa común y regida por una variada Junta de fideicomisarios que se dedica a asegurar que Internet siga siendo abierta, transparente y definida para que todos podamos disfrutar de ella, encontramos esta reflexión sobre la huella digital de las personas:

“Todos los días, lo queramos o no, la mayoría de nosotros contribuye a la elaboración de un retrato de lo que somos en línea; un retrato que es probablemente más público de lo que nosotros suponemos. Por lo tanto, no importa lo que tú hagas en línea, lo que importa es que sepas qué tipo de huella estás dejando, y cuáles pueden ser los posibles efectos.”

Estamos haciendo, creando, dejando una huella digital con cada una de las interacciones que tenemos en los diversos medios, dispositivos y aplicaciones que funcionan en torno a Internet.

Y aunque pareciese que es un tema muy personal, que solo interesa al propietario de los perfiles en redes sociales y a las personas con las que se relaciona, nuestras respuestas, lo que colocamos―”posteamos”―, las horas en que decidimos publicar, navegar, visitar los sitios, lo que compramos, las búsquedas que realizamos, aquello que decidimos que nos gusta o nos desagrada, nuestra hoja de vida e intereses profesionales, todo deja huellas en un ambiente virtual que se hace cada día más dominante.

 “Nuestra huella digital está formada por los rastros que dejamos al utilizar Internet. Comentarios en redes sociales, llamadas de Skype, el uso de aplicaciones, registros de correo electrónico – todo esto forma parte de nuestro historial en línea y, potencialmente, puede ser visto por otras personas o almacenado en una base de datos.” ―Internet Society

¿Cuida su huella digital?

Al caminar descalzos o con calzados por las orillas de una playa vamos dejando un patrón de nuestras pisadas, ya sea en forma lineal o siguiendo la forma natural del espacio físico, en lo que menos pensamos en los rastros que dejamos. Al retirarnos, y salvo que las olas o que la marea suba y las borre, permanecen allí y son visibles para otras personas, no reparamos en ello. Igual sucede con lo que hacemos en Internet, con la diferencia de que estas huellas son seguidas, estudiadas, almacenadas y utilizadas por empresas o personas que tienen intereses de diversos tipos.

Pocas veces, si lo hacemos, pensamos en quién o quiénes utilizan nuestros patrones de búsquedas, nuestros gustos y preferencias, o qué hacen con la información que están recopilando. Pocas veces pensamos qué nuestras emociones manifestadas en un trino (Twitter), algo temperamental, en malos términos pueden ser utilizados a futuro de forma inconveniente para nuestra reputación.

Casi pasamos por alto, los anuncios que se ajustan perfectamente a lo que hemos buscado, o comprado últimamente, a los últimos perfiles visitado o seguidores aceptados. ¿Y qué decir de la relación o cruce que hacen las redes sociales para sugerirnos de amigos? Es usual que nos sugieran a aquellas personas que hemos agregado últimamente a nuestro directorio de la mensajería instantánea o del correo electrónico.

Video: Internet Society

Olvidamos nuestra huella digital, su valor y nadie nos enseña a cuidarla, protegerla, a estar pendientes de lo que hacemos en la red. A dejar de ser impulsivos, a cesar de entrar en discusiones infértiles que deslucen nuestra imagen profesional, a subir información comprometedora o banal que al final juega en nuestra contra.

Huella digital profesional

Todo prácticamente deja rastros, los motores de búsquedas, los robots que relacionan y procesan nuestros datos no descansan, en la Nube se encuentra básicamente cada interacción que hacemos “los conectados”.

Es importante saber administrar y proteger nuestra huella digital, estar anuentes a lo que publicamos, a lo que proyectamos. Inclusive para temas profesionales, creamos una imagen de expertos a través de los temas que compartimos, artículos que leemos y sugerimos, horas en las que utilizamos las redes, a quienes seguimos y quienes nos siguen.

Tal cual lo hace un artista con sus rasgos únicos al plasmarlos en un lienzo, su huella digital lo pinta como persona en un universo que cada vez es más inmediato, sin fronteras ni límites, es momento de aprender a cuidarla.

Recursos Consultados:
Disponible en: https://www.internetsociety.org/internet/

Imágenes: Pixabay

La ciberseguridad empieza con usted

“La máxima seguridad es tu comprensión de la realidad”. H. Stanley Judd

Todos, de alguna manera, somos conscientes de las necesidades que se tienen en materia de seguridad en la red, casi siempre pensando en el ámbito corporativo. A título personal nos preocupa que una entidad bancaria no cuide nuestros datos, o nuestros activos. Nos aterra que la base de datos de las tarjetas de crédito y débito del banco, donde tenemos el dinero, sea objeto de un ciberataque o se encuentre en riesgo. Pero ¿Cuántos hemos tomado medidas para cuidar la información que utilizamos en nuestro entorno laboral? ¿Cuánta atención le prestamos a las capacitaciones sobre ciberseguridad que recibimos?

Al trabajar para las empresas, somos usuarios y custodios de datos, que pudiesen ser de gran atractivo para aquellos que se dedican a encontrar debilidades de seguridad en el entorno digital y a tomar lo que no les pertenece, sin que nos demos cuenta. Y aun cuando, siempre se menciona que el primer anillo de seguridad inicia con nosotros mismos, los hechos muestran que es precisamente, en ese primer anillo de seguridad donde existe mayor vulnerabilidad para las empresas. ¿Por qué sucede esto? ¿Cómo podemos mejorarlo?

Fabián Chiera, experto en ciberseguridad de Eleven Paths, estuvo de visita y nos compartió información valiosa sobre el tema, llevándonos a reflexionar sobre las debilidades que tenemos y debemos mejorar en materia de seguridad dentro del entorno laboral.

Más allá de las contraseñas, las políticas de uso y manejo de la información que debemos seguir por formar parte de una organización que tiene un entorno digital cada vez más grande, es necesario que recordemos que la vulnerabilidad a la que nos exponemos es un asunto de todos.

La ciberseguridad es mencionada con frecuencia en conferencias, en capacitaciones y en noticias. Durante un año fiscal promedio, al menos una o dos veces, se nos pide participar en formaciones o reuniones cuyo objetivo es alertar sobre posibles debilidades y concienciarnos al respecto.

El primer y más común, error que, usualmente cometemos, es tomar a la ligera esta información, no asistir por estar ocupados en “el negocio” o asistir y estar “mental y cognitivamente ausentes” respondiendo correos o mensajes en el móvil.

Impulsar la ciberseguridad en todos los niveles y áreas de la empresa es cada día más importante y urgente. Pareciese ser una actividad consecuente con las inversiones que en materia de tecnología se realizan cada año, pero muchas veces, se considera que es un asunto del encargado de seguridad, de los departamentos de tecnología y de aquellos que tienen cargos sensitivos como los que administran bases de datos de clientes y tienen interacción con usuarios.

Cuidar la ciberseguridad es una preocupación mundial, tanto así que en otras latitudes existen instituciones que se dedican a fomentar y promover esta práctica, Tal es el caso de Instituto Nacional de Ciberseguridad (INCIBE), entidad española que pone a disposición de todos un Manual de Concienciación sobre Ciberseguridad. Organismo creyente en que, “la ciberseguridad es cosa de todos, desde el eslabón inferior al superior, y está presente en todos los sectores,”, por esta razón, comparten buenas prácticas que podemos aplicar.


Insituto Nacional de Ciberseguridad-España

Escuchando hablar a Fabián, llamó poderosamente nuestra atención una frase que, aunque es sencilla, esconde una máxima de la gestión de la información que todos debemos convertir en un “motto” o lema de uso diario en nuestro trabajo.

“Si tienes bien en claro que lo importante son los datos, deberías proteger tus datos. Independientemente de dónde estén o en que formato estén.”


―Fabián Chiera
Fabián Chiera. Eleven Paths

Es necesario que todos en la organización seamos conscientes del valor de los datos, de la responsabilidad individual que tenemos al tener acceso a ellos. La confidencialidad y las políticas de cumplimiento deben ser conocidas, promovidas y claras.

El desconocer lo que involucra una superficie de ataque― comprendida como todos aquellos puntos susceptibles de atacar ― no nos hace menos vulnerables o menos responsables, al ser víctimas de algún incidente de seguridad.

“Sólo después de que los usuarios hayan sido engañados, realmente prestarán atención a la capacitación”.


―Todd Fitzgerald

No podemos dejar el trabajo de concienciar sobre seguridad en las manos del CISO (Chief Information Security Officer), es un trabajo compartido y de cumplimiento en el que todos podemos contribuir. Situaciones tan normales como bajar información y colocarla en dispositivos externos, dejar sin supervisión nuestras computadoras portátiles en sitios públicos, conectar dispositivos con accesos a la empresa en redes públicas(que no son seguras), comentar en redes sobre nuevos proyectos o productos de la empresa, ponen en riesgo la seguridad de toda una organización, justamente por un pequeño descuido de un colaborador, que muy probablemente tiene poca comprensión del tema seguridad y sus repercusiones para el negocio o la imagen de marca de la empresa.

El ciberespacio no conoce de barreras ni fronteras, eso lo saben muy bien los que se dedican a atentar contra las empresas y organizaciones haciendo uso de las vulnerabilidades de seguridad en la red.

“Las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma segura, y es dinero malgastado, porque ninguna de estas medidas corrige el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”.


―Kevin Mitnick

Analizar la organización para luego de su comprensión, proponer planes que se actualicen y se cumplan en temas de ciberseguridad es primordial. Desarrollar y promover altos estándares de ciberseguridad basados en prevención, seguimiento continuo y charlas de concienciación periódicas, es una parte fundamental. La otra parte se encuentra en manos de los usuarios.

Dimensionemos la responsabilidad que tenemos, recordemos cada día que la ciberseguridad empieza y termina con cada uno de nosotros. Lo que haga o deje de hacer para proteger los datos que utiliza, contribuye en gran manera a todo el esfuerzo que se hace para cuidar los activos de la organización.

Imagen: Pixabay

Internet Seguro para todos ¿Utopía?

Esta semana se celebró el Día Internacional del Internet Seguro, “Safer Internet Day” (SID, por sus siglas en inglés), celebración que busca hacer un llamado a millones de personas con la intención de promover cambios positivos y que todos seamos conscientes de lo importante que es la seguridad en Internet.

“Juntos por un mejor Internet”, es el lema utilizado, frase que nos hace pensar en lo necesario que es colaborar desde todos los frentes para que los usuarios, más jóvenes e inexpertos, tomen conciencia de los peligros que involucra la red.

A medida que pasa el tiempo y la red tiene un uso cotidiano, se hace más frecuente obviar las medidas básicas de seguridad, que se deben tomar, al utilizarla desde nuestros dispositivos móviles y portátiles.

Aunque la campaña se enfocó en los pequeños, la seguridad en la red es más que un asunto para la protección de los niños, es un tema muy serio que involucra a todos los miembros de la sociedad.

Promover un uso más seguro y responsable en la red se hace necesario, seamos usuarios ocasionales o frecuentes. De hecho, entre más tiempo pasamos utilizando la red, nos relajamos y pasamos por alto extremar medidas para cuidarnos mientras estamos haciendo uso de ella.

En materia de protección física, ante ataques o situaciones que nos expongan, en el mundo real se nos dice que el primer anillo de seguridad lo hace uno mismo, en su entorno, funciona igual para temas de seguridad en la red.  Debemos asegurarnos de crear conciencia individual en el uso de nuestras redes sociales, al acceder a Internet por trabajo o por intereses individuales.

¿Qué medidas podemos tomar para protegernos en la red?

  • De las medidas más sencillas que podemos implementar se encuentran no facilitar datos personales sin antes revisar lo que involucra y leer la reglamentación que avala el manejo, la administración y gestión de nuestros datos por parte de la empresa que los solicita.
  • En esa misma línea, es necesario que tomemos conciencia al no suministrar datos de otras personas, de la empresa en la que laboramos, de amigos o contactos y extremar las medidas cuando se trate de información de menores de edad.
  • Hacer uso correcto de las contraseñas, dejar de anotarlas en sitios de alta vulnerabilidad como lo son las agendas o en “post it” que colocamos debajo de las computadoras portátiles o detrás de la pantalla del computador.
  • Cambiar las contraseñas periódicamente y utilizar combinaciones alfanuméricas.
  • En el ecosistema de las redes sociales es necesario que apliquemos la misma lógica que en la vida real, si no le damos acceso a nuestras vidas a desconocidos por seguridad, no hacer lo contrario al recibir invitaciones de extraños. Dejar de coleccionar seguidores sin que tengamos control de quienes están viendo o accediendo a los contenidos que publicamos o compartimos.
  • De igual manera, es prudente considerar que niveles de privacidad y acceso tienen los contenidos y nuestras redes sociales. Hay que recordar que un perfil público implica que nuestras acciones y nuestros comportamientos están expuestos al mundo sin filtros y son más riesgosos.
  • De compartir fotos o vídeos que deseamos sean vistos por otros, considerar que antes de etiquetar a personas es preferible contar con su consentimiento. En caso de fotografías donde salgan personas que no nos han autorizado a compartir su imagen es bueno reconsiderar su publicación.
Tomar conciencia de lo sensitivo que son los contenidos que compartimos en grupos o a titulo personal
Confirmar la procedencia y legitimidad de las aplicaciones que instalamos en nuestros móviles,
  • Utilizar más de una dirección de e-mail para distintos tipos de acceso a la red. No facilitar las direcciones de correo sin antes confirmar a quien se la proporcionamos.
  • A los más pequeños y no tan pequeños, es necesario recordarles que las personas que están al otro lado de la pantalla pueden no ser quienes vemos en sus fotografías de perfil.  
  • No facilitar direcciones de amistades o familia sin su permiso.
  • El uso de antivirus tanto en la computadora como en el teléfono móvil debe ser parte de nuestra rutina de protección y seguridad.
Cuidar lo que compartimos con otros y ser conscientes que nuestra intimidad puede ser vulnerada con acciones tan simples como una fotografía en manos de la persona inadecuada.

Con los hashtags #SID2019 y #SaferInternetDay se buscó darle visibilidad a la fecha.  La seguridad en Internet es responsabilidad de todos.

Las empresas y organizaciones están poniendo de su parte para lograr un ambiente más seguro dentro de las limitantes con las que se encuentran. Telefónica, está promoviendo el uso adecuado y conductas apropiadas al utilizar la red, tal cual lo muestran los mensajes que hemos compartido en esta entrada.

A título personal debemos tomar en cuenta que Internet más seguro es menos utópico en la medida que somos conscientes de las vulnerabilidades y actuamos preventivamente.

Referencias Consultadas:

https://www.saferinternetday.org/

Imagen: Pixabay

2018 un año de incidentes en Latinoamérica

«Es urgente contar con aliados estratégicos expertos y con capacidad de apoyarnos en la prevención, detección y control de los incidentes.»

El 2018 fue un año en el que la Ciberseguridad tomó gran importancia, debido a varios factores, como la puesta en marcha de normas para la protección de los datos personales en la Comunidad Europea, el uso inapropiado de redes sociales en campañas políticas, incremento de vulnerabilidades en dispositivos móviles, ataques dirigidos a países y la exposición en medios de muchos de los incidentes, esto sin duda está generando una conciencia colectiva sobre la importancia de proteger nuestra información.

Latinoamérica no es ajena a esta problemática, como se evidencia en el informe de estado de la ciberseguridad en el sector financiero, que publicó a principio de año la OEA, demostrando que el 92% de las entidades han sido víctimas de ataques cibernéticos. Sin lugar a dudas, los incidentes de México y Chile fueron los más sonados, por su impacto económico y su avanzadas características técnicas, como el malware detectado en operaciones contra sitios web de la banca chilena, que saltaba las protecciones de smartscreen que se usan.

Pero este no es el único tipo de ataque orientado a la región, que según estudios presentados en la conferencia de CyberCrimeCon, en la región de Latinoamérica se incrementó en un 60% el número de incidentes, logrando una medía de 9 detecciones por segundo, usando el ransomware y el cryptojacking como las principales herramientas de ataque, debido principalmente  la lenta implementación de las empresas en controles efectivos a las nuevas amenazas, convirtiéndolas en un blanco fácil para el crimen organizado.

En un estudio de Ransomware que realizo ESET en Latinoamérica, se puede ver que Colombia tiene el 30% de las detecciones de este tipo de malware en la región, debido a un evento puntual que inicio en agosto y que prácticamente iba dirigido contra ese país, situándolo en el séptimo puesto mundial de los países afectados por Ransomware.

Y fue un ransomware llamado Crysis o Crytowall, que en agosto inicio el ataque contra Latinoamérica, pero principalmente Colombia, usando técnicas de phishing e ingeniería social, lograban engañar a sus víctimas con un correo electrónico que indicaba una deuda con alguna entidad privada o estatal con un documento adjunto que contenía los detalles de la deuda. Y con este engaño Colombia pasó a ser el país más afectado por ransomware en agosto, disminuyendo paulatinamente en el resto del año.

Sin embargo, en la no deseada lista le siguen México y Perú, donde también fueron afectados por campañas puntuales, pero más diversas. En el caso de Perú son dos versiones diferentes de malware con los que han sido atacadas las empresas del país, pero con un agravante pues adicional a ser Ransomware tienen características de un malware denominado RAT, que permite control remoto a los atacantes sobre las maquinas infectadas.

En México es muy variado el espectro de malware usado para los incidentes, detectando los usados en Colombia y Perú se le suma GandCab, el cual es un peligroso Ransomware que tiene la particularidad de mutar según las necesidades del atacante y de las características de la víctima en un Cryptojacking que aproveche el hardware afectado para minar ilegalmente criptomonedas. Con lo cual se vieron afectadas varias instituciones en el país, generando perdidas no solo de datos sino economicas al no poder facturar sus labores por periodos prolongados de tiempo.

En el mundo móvil

Las organizaciones criminales usan las tendencias de tecnología para así mismo migrar sus atacas a estas plataformas, por lo que en los últimos 10 años se han enfocado en usar las tiendas de aplicaciones de iOS y de Android para desplegar malware y robar información. Por supuesto el 2018 no fue la excepción, pero con unas características diferentes, pues se han detectado menos muestras de malware pero más peligrosas. Como se ve en las imágenes a continuación del informe de ciberseguridad del segundo semestre generado por ElevenPaths

Donde para Android el 18% de las detecciones generan una calificación de riesgo igual o superior a 7 sobre 10 y en iOS el 56% tiene una calificación de riesgo igual o superior a 7 sobre 10. Detectando que cerca de la tercera parte de las aplicaciones con malware que se cargan en Google Play están disponibles por un plazo entre 22 y 42 días.

Esto supone un riesgo crítico para las empresas, teniendo en cuenta que la mayoría de los empleados usan sus dispositivos móviles para desarrollar procesos laborales sin ningún tipo de protección ni control por parte de las empresas.

Nuestros datos personales

Por último, este 2018 fue el año donde las fugas de información y el uso de datos personales sin autorización generó la mayor cantidad de noticias, siendo Facebook el centro de la mayoría de estas notas, pero desafortunadamente no es el único que tuvo estos incidentes, pues Google, Twitter, Equifax, Marriot, entre otros, expusieron la información de sus clientes y con ella su reputación.

El año pasado propició que estás empresas y las de su sector tomaran medidas de seguridad contundentes, como en el caso de Facebook, que cambió toda su política de seguridad en TLS, lo que supone una inversión considerable de desarrollo e implementación, aunque de cara al usuario no genera impacto ni entrega una sensación de mejoría en su privacidad, esta medida permite controlar mejor la seguridad de las conexiones y del cifrado de los datos en curso.

Google tomó una medida que se podría calificar como más drástica, al anunciar el cierre definitivo de Google+, su red social, debido a la exposición de la información de más de 500 millones de sus usuarios, en incidentes presentados en Octubre y en Diciembre.

Estos incidentes cada vez más comunes tienen unos costos económicos y reputacionales muy altos para  las empresas afectadas, según un informe de IBM en promedio a una empresa le cuesta US$148 cada dato filtrado, por lo que incidentes como los antes mencionados tienen unas repercusiones multimillonarias para las empresas y ahora con normas como el GDPR estos incidentes deben ser reportados en menos de 72 horas a cada uno de los usuarios afectados.

¿Qué podemos hacer?

Es evidente que las amenazas del mundo de la ciberseguridad crecen a un ritmo alarmante y que las medidas de control no se implementan con la velocidad y capacidad suficiente para contener de manera eficiente los riesgos. Por lo que, los expertos recomiendan que se tome un papel activo en las medidas de control, que no se espere que el incidente ocurra, sino que se tengan mecanismos para prevenirlos, detectarlos y controlarlos en el menor tiempo posible. Para que esto sea efectivo no pueden seguir actuando como “el llanero solitario en el salvaje oeste”, es obligatorio y necesario, tener aliados estratégicos expertos y con capacidad de apoyar a las empresas y organizaciones en la prevención, detección y control de los incidentes, solo así podrán combatir de manera efectiva las principales amenazas en ciberseguridad.

Escrito por:

Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths Cybersecurity Unit Telefónica
@dsespitia

Imagen Principal: Pixabay

¿Cambiaremos las llaves por cerraduras inteligentes?

“Las llaves son un símbolo de poder y seguridad, que nos permiten entrar a lugares restringidos”-Teodoro de Samos

La razón principal para cambiar las llaves de una residencia es sin dudas la seguridad. Es prudente hacerlo cuando las extraviamos, nos mudamos, cuando sentimos que la cerradura no está cumpliendo con su función o cuando hemos sido victimas de un robo.

La mancuerna llave-cerradura es y ha sido, durante años, inseparable. Muchos tenemos como mínimo dos llaves con nosotros; la llave de la casa y la llave del automóvil. Ambas tienen la misma función: abrir, cerrar y darnos la sensación de que nuestras pertenencias, nuestros bienes preciados, están seguros. Esta realidad la conocen bien los empresarios de la cerrajería, seguridad y suministro de productos relacionados.

El sector de la seguridad tanto física como virtual, se encuentra muy activo en el desarrollo de nuevas propuestas y soluciones, porque al igual que ellos, su contraparte no deja de buscar nuevas maneras de violar los mecanismos que nos hacen sentir relativamente seguros, dentro de nuestros hogares e intimidad.

Los mecanismos de seguridad existen mucho antes del siglo VII A.C. y se le atribuye a Teodoro de Samos la invención de la llave. Ese pequeño dispositivo que es capaz de darnos la confianza de salir y entrar, abrir y cerrar puertas a diario.

La tecnología digital, los avances, invenciones y artilugios están impactando a todos los sectores económicos, a la vida diaria y se han ido colando en nuestros hogares de manera silenciosa. Las cerraduras han ido adaptándose a los nuevos estilos de vida y al uso del móvil, integrándose a las soluciones de domótica cada vez más comunes.

Dos usos principales de la Domótica lo son la seguridad y la accesibilidad. En materia de seguridad se desarrollan redes encargadas de procurar proteger los bienes patrimoniales, la seguridad personal y la vida de los habitantes de las viviendas. Otro lo es la accesibilidad, con ella en mente se desarrollan aplicaciones e instalaciones de control remoto del entorno que favorecen la autonomía de las personas. Y es cada vez más común observar que el teléfono móvil es el centro de comando y control de todas estas funciones

Las cerraduras inteligentes hicieron su aparición en el mercado, adaptándose al ecosistema digital y buscando ofrecer opciones tecnológicas de seguridad física a sus usuarios. Los desarrolladores y comercializadores del sector encontraron un nicho de mercado interesante que se acrecienta con rapidez.  Pensadas para brindar mayor seguridad, mayor facilidad al abrir y cerrar, comodidad, hacer uso del dispositivo móvil, de las comunicaciones entre redes inhalámbricas e integrarse a los sistemas de hogares inteligentes.

Existen opciones de cerraduras con llaves y sin llaves, con comandos de voz, las que funcionan con las aplicaciones de asistentes personales más conocidos. Otras son activadas a través de PIN de seguridad, pero si existe una característica que parece deslumbrar a sus usuarios es poder controlarlas a distancia, observarlas y verificar su estado. Las opciones son diversas, sus funcionalidades también. Hoy es posible abrir una puerta sin utilizar una llave tradicional, tan solo haciendo uso del móvil y una aplicación, una tarjeta de acceso, un mando a distancia, un código alfanumérico utilizando un teclado y la lista de formas para acceder continua.  

Las clasificaciones mas populares de cerraduras son: Cerradura Inteligente Biométrica, Cerradura Inteligente con Contraseña, Cerradura Inteligente con Teclado Inalámbrico, Cerradura Inteligente Invisible, Cerradura Inteligente con Alarma, Cerradura Inteligente para Puertas De Vidrio, Cerradura Inteligente Motorizada.  Con este número de opciones, es importante enfatizar que la seguridad debería ser prioridad al seleccionar la que utilizaremos en casa.

No existe en la actualidad un sistema digital cien por ciento libre de riesgos y amenazas, y esto aplica a las cerraduras inteligentes. Los fabricantes lo saben y por ese motivo, invierten recursos económicos y tiempo, en investigación y desarrollo, para proveer de actualizaciones para las cerraduras y disminuir riesgos de hackeo.

Antes de invertir en una cerradura inteligente, sugieren los expertos, que el futuro usuario se asegure de que las contraseñas no se transmitan en texto plano (sin encriptar), que cuente con contraseñas anti-fuerza bruta alfanuméricas, utilicen protocolos de seguridad que encripte la clave de apertura, que los paquetes de datos no sean malformados y propicien la aparición de errores que hagan que se abra por defecto. Recuerde que la criptografía es un elemento importantísimo al adquirir y hacer uso de ellas.

Tal cual está sucediendo con otros usos de la tecnología aplicada a la vida diaria, los cambios y el ensayo y error están presentes. La transición de lo analógico a lo digital es cada día más visible, y está presente en actividades tan básicas como abrir y cerrar las puertas de nuestras residencias.

Cambiar las llaves por códigos y sistemas inteligentes es una opción que nos ofrece la tecnología digital. Tal vez, más pronto de lo esperado, tendremos que decidir cuando la hacemos parte de nuestras vidas.

Imágenes: Pixabay

¿Cuánto cuidamos nuestra privacidad y nuestros datos?

Había luchado hasta la muerte por sus creencias: el derecho de todo individuo a la privacidad. ―Dan Brown


«La fortaleza digital» (1998)

A diario damos por sentado que nuestra privacidad es un derecho y que nadie debe conocer aquello que no deseamos que sea conocido. Nuestra intimidad, nuestros datos médicos, nuestro salario, cuentas bancarias, nuestras rutinas de vida, nuestros hijos y más. Es así, como encontramos un grupo de situaciones, informaciones, conductas y otros, que son de carácter privado. Lo privado no es dominio público e inclusive las leyes penan a aquellos que se adentran a sitios etiquetados como “propiedad privada”, pero todo parece cambiar cuando estamos en la red.

Desde hace unos días vengo reflexionando en la privacidad y en lo poco cuidadosos que, pareciese, somos cuando estamos en la red. Comparto algunas preguntas que, como usuaria de dispositivos móviles, cada vez más poderosos, me he hago. ¿Por qué facilitamos de buena gana datos? ¿Por qué hacemos publicas nuestras ubicaciones y gran parte de lo que realizamos a diario? ¿Por qué aceptamos términos y condiciones para acceder a una aplicación sin siquiera leerlos? ¿Por qué no nos detenemos a pensar a que información desea acceder la aplicación de moda antes de autorizarle el acceso?

Según definición, la Privacidad en Internet se refiere al control de la información que posee un determinado usuario que se conecta a la red, interactuando con diversos servicios en línea en los que intercambia datos durante la navegación. Hasta aquí parece sencillo, tenemos control sobre la información, pero todo cambia cuando analizamos si realmente controlamos la información que compartimos o no, cada vez que utilizamos internet, entramos a una aplicación o red social.

En la misma definición de Wikipedia citada anteriormente, amplían el concepto al mencionar que “Implica el derecho o el mandato a la privacidad personal con respecto al almacenamiento, la reutilización, la provisión a terceros y la exhibición de información a través de Internet.”

Para todo usuario es importante saber que implica la privacidad y cómo cuidar de la suya en la red. ¿Lo sabemos realmente? ¿Cuán serio lo tomamos?

En Internet la privacidad es un subconjunto de la privacidad de los datos. Implica información de identificación personal o información no personal, como el comportamiento de un visitante en un sitio web, es decir que hacemos mientras visitamos una página, si abrimos o no otros enlaces, si cierra o no los anuncios, y el tipo de información que usualmente buscamos,.

Cuando se habla de Información de identificación personal se refieren a cualquier dato que pueda usarse para identificar a un individuo. inclusive el famoso reconocimiento facial, la huella dactilar y el “eye tracking”, Si usted las utiliza debe saber que esas aplicaciones y soluciones guardan sus datos, no cualquier dato, los que le hacen único.

Mediante cookies, bugs, tracking mercadológico, spam y los navegadores se recopila información. No olvidemos que estos recursos están presentes y con las nuevas regulaciones de privacidad, nos lo hacen saber al momento de acceder, solo que no leemos por tener prisa o simplemente porque no lo consideramos. Tanto los proveedores de Internet como los operadores de sitios en la red tienen la capacidad de recopilar nuestros datos e información. No es un secreto, casi todo lo que se transmite por Internet genera rastros, incluso los mensajes en foros, las conversaciones en servicios de mensajería con programas de encriptación débiles y las compras en línea.

La privacidad online tiene mucho que ver con quiénes somos, dónde estamos y qué hacemos. En Internet, los datos son muy valiosos, son deseados, bien valorados y pagados, por esa razón son objeto de robo (hackeados), venta, recopilación y análisis.

Investigando descubrí que hay empresas que se conocen como “corredores de datos” que recopilan y mantienen datos sobre millones de personas, los analizan, los anonimizan, los envasan y los venden sin el consentimiento ni el conocimiento del usuario (Aquí radica el problema, es completamente distinto cuando sabemos que se hace con nuestra información y en vez de apretar el botón de aceptar sin siquiera leer, somos conscientes y aprobamos) que no imagina lo que sucede. Los datos son utilizados para marketing directo publicidad dirigida y evaluación de riesgo crediticio, lo ideal sería que estuviésemos enterados y lo aprobemos.

¿Cómo hacernos más conscientes de nuestra privacidad y del valor de datos?

La respuesta está en aprender, en saber, en comprender y hacer uso de nuestro derecho a la privacidad, poner en práctica protocolos de privacidad a título propio.  El dominio del móvil y de la red nos tomó sin más información o preparación para hacerle frente, aún hoy se escriben las leyes y normativas que regirán el sistema social digital al que nos encaramos.  Y todo sigue cambiando rápidamente en el entorno.

Lo primero es leer, si leer la política de privacidad con atención para saber qué clase de información registra sobre nosotros esa aplicación, ese sitio, esa empresa que nos brinda un servicio, configurar las redes sociales con los filtros de privacidad que consideramos convenientes, decidir quienes ven o no lo que compartimos y que le permitimos realizar a esa plataforma con nuestra información. Dejar de compartir (sin razón aparente) nuestra ubicación o localización, salvo que sea consensuado y aceptado con una finalidad especifica.  Borrar el historial de búsqueda cada cierto tiempo, utilizar en ocasiones los modos incognitos y más que otra, conocer la política de privacidad de los sitios―empresas― con los que nos relacionamos.

Es necesario comprender y valorar nuestra privacidad y los datos, saber con qué sitios y porque los compartimos, pero sobre todo entender la política de privacidad de la empresa. Hoy no parece tan relevante, pero en un mundo que gira cada vez más hacia los datos, será uno de los requisitos necesarios para realizar nuestras rutinas, donde habrá tanto interacción física como virtual de forma automática.

«Consciente de que el ecosistema digital ha experimentado una espectacular transformación y ha modificado las relaciones sociales, comerciales y la capacidad de expresión y comunicación de los ciudadanos. Además, ha facilitado el acceso a una gran cantidad de información por parte de las compañías y los usuarios, y ha multiplicado la facilidad y velocidad a la que se puede trasmitir entre diferentes redes, empresas y países.» (Privacidad Telefónica)

Este volumen de datos supone una importante oportunidad de avance para la sociedad, pero también una responsabilidad para las compañías que, como Telefónica, gestionamos datos, bien como información personal, anónima o agregada.

Economía de datos y Plan Global de Negocio Responsable

«El compromiso con la privacidad y la seguridad de nuestros clientes y el trabajo diario para generar una relación de confianza con todas aquellas personas con las que estemos vinculados es una responsabilidad y a la vez un pilar fundamental de nuestra estrategia dentro de la economía de datos y forma parte de nuestro.»!

Los tres objetivos del compromiso con la privacidad de Telefónica

  1. La autorregulación de los derechos y la seguridad de los usuarios, más allá de las leyes locales e internacionales con el fin de hacer frente a los intereses y necesidades de nuestros clientes.
  2. La privacidad como base de una relación de transparencia con nuestros clientes.
  3. La privacidad como facilitador de la innovación, el bienestar y el desarrollo de la sociedad.

No olvide que sus datos son importantes, es un valor que poseemos todos, la privacidad es igual, tanto en el mundo físico como en el virtual, simplemente lo hemos pasado por alto. Conocer las políticas de privacidad, comprender que los datos son y seguirán siendo un activo valiosísimo nos hace conscientes de que es necesario aprender a gestionarlos, a utilizarlos y sobre todo cuidarlos.

Descargue la política de privacidad

Fuentes de referencia

https://www.telefonica.com/es/web/about_telefonica/centro-de-privacidad

https://www.telefonica.com/documents/153952/67280426/politica-global-privacidad.pdf/6fea1f96-5d36-31fb-b997-11123bdb8830

https://www.bbc.com/mundo/noticias-44806950

Imagen: Pixabay

Acerca de la autora

La transformación digital y la ciberseguridad de tus datos médicos

Con la transformación digital a nadie nos sorprende que cuando visitas a un médico o un hospital, muchos datos sobre la historia clínica, facturación, medicamentos,imágenes radiológicas, entre otros; son almacenados en una computadora centralizada –servidor– que permite desde la toma de decisiones para una enfermera suministrar medicamentos hasta que revises toda tu información clínica desde cualquier parte de Internet.

La movilidad y la tecnología avanzan de manera acelerada y juegan un papel fundamental en nuestra sociedad. Como usuarios seguimos utilizando, almacenando y gestionando información de todo tipo en nuestros dispositivos, desde entretenimiento y ocio hasta llegar a datos financieros y ahora de la salud. Además, nosotros como pacientes dependemos de dispositivos (equipo de tomografía) y programas (por ejemplo aplicativos que gestionan y almacenan datos de equipamiento hospitalario) cuando estamos en estas instalaciones, que ya de por si, infringen en un riesgo por mal funcionamiento o similares.

¿Y qué hay de los riesgos de seguridad informática en esta industria? En base a la importancia que en la actualidad este tipo de instalaciones, catalogadas en el mundo de la ciberseguridad como infraestructuras críticas, las amenazas y los atacantes están constantemente intentando irrumpir sus controles de seguridad para poder robar datos de pacientes, extraer investigación de laboratorios o ¨secretos¨, secuestrar equipos (casos de ransomware) y entre otras actividades maliciosas.

En Elevenpaths hemos estado investigando en varios ámbitos donde se han encontrado fallos de fabricantes, principalmente en software médico para gestionar imágenes radiológicas o registros médicos (EHR/EMR). A su vez hemos identificados en base a experiencias, conversaciones y compartir con la comunidad que estos sistemas muchos de ellos están descentralizados en las instalaciones de salud de los países, gestionan diferentes tipos de implementaciones, mantienen bajos estándares de seguridad y sumado a todo esto el incremento de este tipo de servicios en la nube y dispositivos médicos conectados (IoT) a sus redes para convergencia sus servicios.

Al igual que muchos, vemos con preocupación que para este tipo de industria tan relevante en la vida de las personas continúe implementándose más tecnología sin los controles necesarios o al menos mínimos de seguridad, ya que, a diferencia de otros sectores, en el hospitalario se pone en riesgos aspectos más críticos que perdidas monetarias a través de un posible ataque informático.

La comunidad establece muchos esfuerzos en explorar estas nuevas implementaciones y buscar fallos de seguridad que sirvan como retroalimentación para las empresas propietarias de los dispositivos o aplicaciones para seguir despertando la conciencia en el sector y que brinden las soluciones integrales necesarias para que los usuarios sientan mayor seguridad de sus datos, o porque no, de su vida.

Carlos Avila

Chief Security Ambassador

[email protected]

@badboy_nt

Imágenes: Pixabay

¿Puede estar una crisis financiera a un solo clic?

Sin duda las entidades financieras han sido históricamente pilares del sector económico más buscado por los delincuentes, debido a que un incidente les puede dar acceso a manejar grandes cantidades de dinero y puede generar un gran impacto social o reputacional, permitiendo al atacante obtener sus principales motivadores en un solo ataque.

A estas características descritas anteriormente se suma que el sector financiero es de las industrias donde la transformación digital ha llegado con mayor fuerza y rapidez. Existen bancos en todo el mundo que ofrecen facilidades de operaciones financieras a través de sitios web, pagos automáticos, aplicaciones móviles o mensajes de texto, entre otras. Entregando así, a los delincuentes una variedad de fuentes para perfeccionar los ataques hacia los usuarios del sistema o directamente hacia las entidades.

Esta combinación de factores ha aumentado la calificación del riesgo de los incidentes cibernéticos considerablemente, llevando esto a las mesas directivas de todas las entidades y a que los organismos de control de los países exijan a sus entidades financieras el cumplimiento de varios requisitos de control para la mitigación de esta amenaza. Esto debido no únicamente a la inminente amenaza, sino a la dependencia tecnológica del sector, aumentando la posibilidad de generar una crisis financiera con un clic.

Según estudios de las entidades de control de los sistemas financieros, los incidentes cibernéticos han generado costos por cerca de un billón de dólares, posicionando este riesgo como el de mayor costo para el sector financiero, por encima de los desastres naturales o del terrorismo.

Uno de los grupos criminales que en los últimos años ha sobresalido por el perfeccionamiento en los ataques a la banca es “Lazarus”, quienes están ubicados en Corea del Norte, según datos e información de inteligencia de agencias como el FBI. Este grupo ciberdelincuente se ha distinguido por métodos muy avanzados técnicamente y por generar un alto impacto mediático en sus operaciones, donde sobresalen el robo de las películas de Sony en 2014, el robo de 81 millones de dólares al banco de Bangladesh en 2016 y los ataques a las olimpiadas de 2016.

Desde 2016 el US-CERT (Equipo de respuesta de emergencias computacionales) alertó sobre ataques de Lazarus a las redes de cajeros electrónicos en todo el mundo, mediante una característica común en estas redes: el uso de Windows XP que permitía acceder a la red interna, buscando redes ocultas.

Y desde finales de 2017 este tipo de incidentes llegó a Latinoamérica, impactando principalmente al Banco Nacional de Comercio Exterior (Bancomext) de México en enero y al Banco de Chile en mayo. Ambas entidades aceptaron pérdidas de 25 millones de dólares; pero no fueron las únicas entidades afectadas en cada uno de los países, por lo que se cree que el impacto fue mucho mayor.

Los ataques tiene en común el grupo que lo realizó y el método usado en ambos incidentes; evidenciando problemas de seguridad no sólo a nivel técnico sino de respuesta de incidentes en las entidades de la región. En ambos casos los equipos de seguridad de las entidades fueron víctimas de un ataque inicial que sólo tenía como objeto distraer del real ataque a las finanzas de las entidades. En el caso de Bancomext se desplegó un malware que afectó el funcionamiento de los equipos administrativos, mientras que en el caso de Banco de Chile fue un ataque a los equipos de las sucursales que obligó a apagar miles de terminales.

Lo anterior se evidenció en el informe de la organización de estados americanos (OEA), que indica que el 92% de las entidades de la región han sido víctimas de un incidente cibernético, donde cerca del 37% de estos ataques afectaron las finanzas de la organización, resaltando que las entidades ya tienen este riesgo como uno de los más altos y que se realizarán las inversiones necesarias para mitigarlo en un corto plazo.

Estas cifras y los estudios realizados evidencian las debilidades de uno de los sectores económicos más críticos para los países, revelando un riesgo inminente de crisis social y económica que puede ser generada por el no aseguramiento de los procesos de transformación digital y que aunque se está tomando conciencia de esto, las medidas de control y mitigación no se toman de forma ágil y han dado pie para que grupos criminales aprovechen, saquen provecho económico y generen desconfianza en el sistema financiero.

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador

ElevenPaths – Telefonica Cybersecurity Unit

La seguridad de la información es responsabilidad de todos

En el día de la #SeguridadDeLaInformación, aquí les comparto algunos pensamientos y conclusiones.

«La seguridad de la información es responsabilidad de todos.»

¡Qué frase! Es una de las más dichas y sin embargo debe ser una de las menos aplicadas.  Comencemos primero por sumar a estar frase, todos aquellos que nos dedicamos a esta hermosa actividad.

Primero deberíamos preguntarnos: ¿Qué estamos haciendo por la seguridad?  ¿Realmente es posible tener un ciberespacio más seguro, no solo desde el punto de vista de los negocios, sino de cualquier actividad, donde todas las personas del mundo puedan tener la posibilidad de acceder a diferentes contenidos en la red (Internet) de la forma más segura posible?  Cuando reflexiono en la red “segura”, se me vienen diferentes pensamientos, y seguramente a ustedes también, pero uno de ellos que vamos a coincidir sería la privacidad y la protección de todos sus datos.

Estamos recorriendo un trayecto dentro de la historia de la seguridad de la información, donde vemos especial relevancia en la protección de la privacidad y los datos personales.  Donde hay ataques todos los días, los que intentan conseguir, o consiguen, los datos de muchas personas: datos privados, datos personales, identidades.  Este tipo de ataques que buscan robar información es historia de todos los días y cada vez con mayor frecuencia.

Por mucho tiempo, y aún en la actualidad, quienes nos dedicamos a la seguridad de la información hemos hecho de esta profesión algo místico, complejo, donde pareciera que muy pocos pueden estar en este ámbito, donde la competencia por ver quién es el mejor, quien es el más “descubridor”, pasan a ser las guías o la ruta a seguir en esta profesión.  ¿Y cuál ha sido el resultado?  Complejidad.  Muy complejos para toda persona que se conecta a las redes, muy complejo para transmitir, parece una utopía, algo imposible de hacer o lograr.  Esto se traduce en todo, miremos por ejemplo en los softwares dedicados a brindar seguridad: esta complejidad está inmersa en los cimientos de sus diseños, ¡y luego cuando llegan al usuario…wow! ¡Sí que es compleja la seguridad!!! Es lo primero que verá un usuario.

Veámoslo desde el punto de vista de una organización.  En este caso tenemos colaboradores que ven exactamente lo que les comento en el párrafo anterior, donde la aplicación de que cada aspecto de seguridad en su ámbito es complejo y casi casi, que, si la persona no es un experto en seguridad, difícilmente podría alcanzarlo.  ¿Cómo vemos reflejado esto?

  • Cuando nos comunicamos con directores: pocas veces nos comprenden.
  • Cuando nos comunicamos con colaboradores de otras áreas: ven que es muy difícil.
  • Cuando realizamos divulgaciones internas o concientizaciones: intentamos mostrar al usuario que esto es realmente fácil y qué con unos pocos pequeños cambios en su actuar diario, se protegería un montón.

Pero, con todo esto volvemos a nuestra frase inicial, la seguridad de la información es responsabilidad de todos.

Sé que estamos cambiando y buscamos un ambiente de seguridad cada vez, lo más protegido posible, teniendo en cuenta toda la carrera tecnológica que estamos viviendo, pero no perdamos de vista las bases.

Este día, al menos hoy, intentemos reflexionar sobre la manera cómo estamos llevando adelante estas actividades.

Aprovecho a felicitar a todos aquellos profesionales que hacen de esta profesión una forma de vida y a todas aquellas empresas y organizaciones comprometidas con la seguridad de la información

Fabián Chiera

Chief Security Ambassador

ElevenPaths

[email protected]

www.elevenpaths.com    @fabianchiera

Imágenes: Pixabay

 

Ciber-resiliencia: “Game Is Never Over”

“La resiliencia es la capacidad de un sistema, empresa o persona para mantener su propósito principal e integridad ante circunstancias radicalmente cambiantes.” ―Andrew Zolli y Ann Marie Healy

Generar planes estratégicos que propongan enfrentar ciber-riesgos con un enfoque de inversión de negocios y no un gasto, es parte del cambio de paradigma que deben propiciar los altos directivos y gerentes generales de las empresas que buscan transformarse digitalmente. Esta decisión deben tomarla de manera oportuna, porque los ataques de seguridad son sorpresivos e inesperados.

Al igual que sucede con otros temas inherentes a la organización, gestionar el riesgo supone invertir y estar conscientes de que las amenazas, las probabilidades y las ocurrencias se deben cuidar diariamente debido al valor de los datos y la fragilidad que representa la naturaleza humana en materia de protección informática y vulnerabilidad.  Afirmamos lo anterior, porque la realidad es que, en la mayoría de las organizaciones la seguridad se le atribuye al área de tecnología y por estar involucrados en el día a día, son muchos los empleados que descuidan cumplir con las acciones individuales para mitigar esas posibles fallas en los sistemas de seguridad.

Por lo general y más allá del conocimiento que puedan tener los directivos de las organizaciones sobre los procesos, las necesidades y los riesgos, se les sugiere apoyar decisivamente la adopción de un enfoque de Ciber-resiliencia, cuya mayor virtud es contar con la capacidad de conocer qué tecnologías se deben implementar en un mediano o largo plazo.  Cuando los empresarios logran comprender la importancia de los equipos especializados ―personas y soluciones de tecnología―para la prevención de ciberataques se implementan planes estratégicos coherentes con la realidad.

En Ingeniería se llama resiliencia a la unidad que mide la capacidad que tienen los materiales de recuperar su antigua forma después de haber sido deformados por una presión externa. Trasladando esta situación a la seguridad implicaría que la organización sea capaz de resistir, de afrontar, corregir y seguir funcionando tras haber sido objeto de un ciber-ataque. Lograrlo no es sencillo, permanecer anuentes y con un plan se antoja como la mejor manera de estar medianamente preparados, porque nunca se está en un 100% listo para lo imprevisto.

Se dice que una organización tiene resiliencia cuando posee la capacidad de resistir a la incertidumbre, a las crisis, a los cambios y a situaciones conflictivas. Esa entidad es capaz de aprender de las experiencias aprovechándolas como parte del camino hacia el progreso y la mejora, no solo como mecanismo de supervivencia ante las pruebas.

Resilio, resilire ¿Rebotan las empresas?

La palabra resiliencia deriva del latín «resilire» que significa ‘rebotar’. La resiliencia organizacional es la adaptación del término resiliencia al enfoque gerencial – administrativo de la organización, unión de términos que crean un concepto relativamente nuevo pero muy necesario.  Es la cualidad intrínseca, una característica innata, propia forma parte de la naturaleza de dicho organismo y está implícita en su estructura.

Cuando una entidad se hace llamar resiliente debe ser capaz de reaccionar y salir airosa ante una serie de sucesos y externamente continuar operando como si nada hubiera ocurrido, lo que es sumamente difícil. Son estas las empresas capaces de rebotar sin romperse ante la adversidad y es el modelo que toda empresa debería considerar para afrontar los riesgos.

Ciber-resiliencia

A partir de la definición de resiliencia que ya hemos explorado y enmarcando las posibles fuentes de crisis a eventos tecnológicos y procedentes del ciberespacio, se habla de Ciber-resiliencia. Otros limitan esta definición a las afectaciones en sus sistemas de proceso de datos y sus comunicaciones.

Del documento sobre Ciber-resiliencia de IEEE nos llama poderosamente la atención la manera de abordar el tema, cuando propone que: «Dada la complejidad de las organizaciones, y la interdependencia entre los distintos elementos que las forman: personal, entorno social, suministros, infraestructura TIC, procesos, …; no se puede trazar una línea divisoria clara entre lo que supone la resiliencia de la misma y la ciber-resiliencia de sus sistemas. Una y otra están íntimamente relacionadas, es más, son un mismo concepto. No se puede crear una infraestructura tecnológica ciber-resiliente si la organización en sí no es resiliente. La organización es un todo, y el departamento TIC no es un ente independiente que puede sobrevivir o pretender ser inmune a los eventos que pueden sacudir a su personal y sus usuarios.»

Desde el punto de vista del riesgo, el análisis de una organización se basa en identificar vulnerabilidades una por una y fijar una acción para cada una de ellas. Somos parte de las organizaciones que se preocupan por minimizar el riesgo y proveer soluciones para mitigarlo en pro de la Ciber-resiliencia. Telefónica se ha consolidado como un MSSP (Managed Security Services Provider, proveedor de servicios de seguridad gestionados), trabajando en tres propuestas:

  • Visión 360°de riesgos en ciberseguridad
  • La automatización de la ciberseguridad
  • Ciberinteligencia

ElevenPaths, la Unidad Global de Ciberseguridad de Telefónica crea soluciones a la medida y trabaja a diario con el compromiso de hacer frente al riesgo en el ciberespacio.  Entre sus propuestas de formación y actualización se encuentra el Security Innovation Day, que se llevó a cabo en España el pasado 7 de noviembre. En esta oportunidad, colocó en la mira del mundo la Ciber-resiliencia como su foco principal y en torno a ello, se presentó ante los asistentes, toda la actividad desarrollada en los centros de innovación de la compañía y los servicios que se ofrecen. Destacando Stela FileTrack, descrita como una especie de metaconsola de toda la información y documentación sensible de una empresa, con el fin de poder hacer su seguimiento y tener la trazabilidad. Permite a las organizaciones una visibilidad online del ciclo de vida completo de cada documento con monitorización, geolocalización, etiquetado y aplicación de políticas basadas en el grado de confidencialidad de los documentos. Este producto es la solución para la protección de la información documental sensible de las organizaciones que añade una capa de trazabilidad, permitiendo en todo momento una visibilidad online del ciclo de vida completo de cada documento.

Junto a Stela FileTrack se presentaron:

  • RightsKeeper, permite gestionar los documentos que se comparten, limitando o eliminando permisos de edición y acceso a los mismos, incluso, una vez distribuidos. Se muestra la relación de nuestra herramienta Shadow y cómo se puede proteger un documento de manera imperceptible unido al IRM de ElevenPaths.
  • SmartPattern y CapaciCard, las nuevas tecnologías del equipo de Innovación y Laboratorio de ElevenPaths. SmartPattern es un nuevo concepto de autenticación que permite autorizar la entrada a servicios y firmar documentos a través de un patrón inteligente de movimiento realizado en un smartphone. Capacicard permite autenticar o autorizar a un usuario aprovechando las características capacitivas inherentes a una pantalla de móvil o touchpad de un portátil. No necesita NFC ni conexión alguna, solo una económica tarjeta y sin hardware adicional.
  • Connected Car, aplicación de tres servicios de IoT (provisión de credenciales, detección de anomalías y DNS seguro) sobre el entorno del coche conectado.

Valorar el impacto del riesgo es importantísimo, las amenazas no contempladas acechan, gestionar el riesgo en tiempo real se hace perentorio. La ciber-inteligencia es una apuesta clave para Telefónica, en esta línea con la adquisición de DinoFlux y con la creación de ALDARA se avanza en el camino correcto para ofrecer las mejores opciones para que su organización sea ciber-resiliente.

Al revisar documentos como el Informe de investigación del Ponemon Institute© (Organización que realiza investigaciones independientes sobre privacidad, protección de datos y política de seguridad de la información con el  objetivo de permitir que las organizaciones tanto del sector público como privado tengan una comprensión más clara de las tendencias en las prácticas, percepciones y amenazas potenciales.), sobre el valor de la ciber-resiliencia que se realizó contemplando en la muestra a Estados Unidos, Reino Unido, Francia, Alemania, Australia, Emiratos Árabes Unidos y Brasil, encontramos enseñanzas y pasos claros para mejorar esta área en las organizaciones:

  • Incrementar el personal dedicado a la seguridad de TI. El promedio de equivalente a tiempo completo (ETC) es de 39 empleados y los encuestados creen que debería ser de 55 para alcanzar un nivel superior de ciber-resiliencia.
  • Extender la influencia y la implicación de los CSIRP a toda la empresa.
  • Invertir en tecnologías como la automatización, machine learning, inteligencia artificial y orquestación, que ayudan a abordar el mayor volumen y gravedad de los ciberataques, así como la dificultad que entraña la contratación de profesionales de seguridad de TI especializados.
  • Incrementar la financiación destinada a actividades de ciber-resiliencia para poder contratar y retener a profesionales cualificados e invertir en tecnologías.
  • Tomar medidas para reducir el tiempo de detección, contención y respuesta a los ciberataques

Recuerde que la unidad de Ciberseguridad de Telefónica está a su entera disposición para ofrecerle todo lo que en materia de gestión del riesgo y ciber-resiliencia requiere su organización.  No lo olvide: “Game Is Never Over”.

 

Imagen: Pixabay

Fuentes de Consulta:

https://iot.telefonica.com/press/stela-filetrack-protagonista-de-la-vi-edicion-del-sid-2018

https://factorhuma.org/attachments_secure/article/8264/resiliencia_cast.pdf

http://www.ieee.es/Galerias/fichero/docs_opinion/2015/DIEEEO35-2015_Ciber-resiliencia_LuisdeSalvador.pdf

https://blogthinkbig.com/security-innovation-day-2018-claves