Ciberseguridad https://ciberseguridad.com Auditorías en Ciberseguridad Mon, 16 Apr 2018 16:04:56 +0000 es-ES hourly 1 https://wordpress.org/?v=4.9.6 https://ciberseguridad.com/wp-content/uploads/2018/02/FAVICON-CIBER.jpg Ciberseguridad https://ciberseguridad.com 32 32 RGPD como Oportunidad para las empresas https://ciberseguridad.com/la-rgpd-como-oportunidad-para-las-empresas/ https://ciberseguridad.com/la-rgpd-como-oportunidad-para-las-empresas/#respond Mon, 16 Apr 2018 16:04:56 +0000 https://ciberseguridad.com/?p=1572 Las empresas en la actualidad tienen informatizado la mayoría de sus procesos, lo que expone la información, la continuidad del negocio, la confidencialidad, la privacidad, la integridad, la disponibilidad y el grado de cumplimiento del marco legal a diferentes riesgos tanto internos en la organización...

La entrada RGPD como Oportunidad para las empresas se publicó primero en Ciberseguridad.

]]>
Las empresas en la actualidad tienen informatizado la mayoría de sus procesos, lo que expone la información, la continuidad del negocio, la confidencialidad, la privacidad, la integridad, la disponibilidad y el grado de cumplimiento del marco legal a diferentes riesgos tanto internos en la organización como externos. Ahora, acercándose el 25 de Mayo de 2018 como fecha tope para la adecuación al nuevo reglamento de protección de datos (RGPD), la seguridad de la información se erige como uno de las cuestiones más importantes dentro de una organización.

La RGPD como Oportunidad para las empresas

El nuevo reglamento de protección de datos ofrece diferentes cambios respecto de la clásica LOPD. Uno de ellos es que las empresas deben demostrar proactividad en asegurar los procesos y la información que maneja datos personales protegidos por el nuevo RGPD. Puesto que muchas empresas utilizan servicios en la nube así como exponen su información a Internet para integrar su información con terceras aplicaciones, están al mismo tiempo aumentando el riesgo de ciberataques y ciber-riesgos. El nuevo RGPD fomenta que las empresas mejoren la situación en materia de seguridad de la información y ciberseguridad.

Las medidas de responsabilidad proactiva son cinco principalmente:

  • Evaluación del impacto sobre la protección de datos. Sustituye las antiguas auditorias pero ahora no solo son sobre las medidas organizativas y técnicas sino es más amplio.
  • Registro de actividades del tratamiento. Sustituye a los ficheros que declarábamos en la agencia. La empresa se ve obligada a un registro que se mantendrá internamente.
  • Protección de datos desde el diseño y por defecto. Si vamos a crear un nuevo servicio o tratamiento antes debemos analizar el impacto en la norma, si hay que informar, medidas de seguridad, etc
  • Medidas de seguridad y análisis de riesgos. Antes habían 3 niveles, ahora desparecen y cada organización debe poner medidas de seguridad según un análisis de riesgos (aplicación PILAR, ISO27001)
  • Notificaciones de violaciones de seguridad de los datos antes de 72h.

Los auditores informáticos sabemos que las empresas necesitan tener un porque y conocer que beneficios obtendrá si son auditados por un auditor externo. En este caso las auditorias de seguridad ISO27001 y de ciberseguridad basadas en hacking ético y pentesting son una combinación ideal para conocer los riesgos en materia informática y procesos que la empresa posee, plantear un plan de acción de mejora a corto y medio plazo, aumentando el cumplimiento de la RGPD.

Habitualmente el CEO puede hacer preguntas a su área TI o el resto de la empresa de las cuales obtiene fácil respuesta:

  1. ¿Quién está accediendo a que información, cuando, y desde dónde?
  2. ¿Qué servicios tenemos expuestos a Internet, que medidas tenemos y que riesgos tenemos en las webs corporativas y comercios electrónicos, por ejemplo?
  3. ¿Cómo actuaremos en el caso que entre un virus tipo WannaCry que bloquea los sistemas de ficheros?
  4. ¿Qué debilidades tenemos en nuestros sistemas y modo de funcionamiento en la empresa?
  5. ¿Está el empleado debidamente concienciado y formado para conocer que debe y sobre todo que no debe hacer en materia informática?
  6. ¿Qué permisos tienen los usuarios para instalarse aplicaciones?
  7. Disponemos de algún antivirus corporativo debidamente actualizado?
  8. ¿El área TI recibe alertas de potenciales intentos de intrusión?
  9. ¿Qué medidas de continuidad de negocio tenemos en los sistemas?
  10. ¿Qué medidas estamos aplicando para cumplir con el nuevo reglamento de protección de datos desde el punto de vista de la seguridad de la información?

Existen multitud de preguntas que las auditorias de ISO27001 y ciberseguridad son capaces de dar respuesta o plantear mejoras para poder responderlas con una contestación de garantías.

Las empresas están ahora ante una Oportunidad con mayúsculas de conocer que ocurre en su empresa a nivel de los sistemas de información, reducir sus riesgos, aplicar mejoras que no solo van en favor del nuevo reglamento RGPD sino que, sobretodo, ayudan a que dirección conozca la situación real de su seguridad informática y mejore el nivel de riesgo.

Si quiere conocer y mejorar el estado de la seguridad de su información y por tanto aumentar en el grado de cumplimiento de RGPD contacte con nosotros.

911277300

info@ciberseguridad.com

Auditores CISA, ITIL, ISO27001 y master en ciberseguridad.

https://www.ciberseguridad.com

La entrada RGPD como Oportunidad para las empresas se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/la-rgpd-como-oportunidad-para-las-empresas/feed/ 0
ISO27001 y GDPR https://ciberseguridad.com/iso27001-y-gdpr/ https://ciberseguridad.com/iso27001-y-gdpr/#respond Mon, 29 Jan 2018 11:56:47 +0000 http://ciberseguridad.com/?p=1472 En este artículo nuestro CEO nos comenta la relación que existe entre ISO27001 y GDPR. La seguridad en las empresas de los sistemas de información en las empresas ha ido evolucionando conforme los sistemas adquirían más peso específico y llegaban a todas las áreas. La...

La entrada ISO27001 y GDPR se publicó primero en Ciberseguridad.

]]>
En este artículo nuestro CEO nos comenta la relación que existe entre ISO27001 y GDPR. La seguridad en las empresas de los sistemas de información en las empresas ha ido evolucionando conforme los sistemas adquirían más peso específico y llegaban a todas las áreas. La adopción de nuevos sistemas web, movilidad, Smartphone, soluciones Cloud SaaS etc. han transformado la seguridad de los sistemas hasta hacerlos incluso estratégico en algunos negocios.

 

ISO27001 y GDPR (Parte 1 de 2)

ISO27001 y GDPR (Parte 2 de 2)

ISO27001 y GDPR

Desde los sistemas aislados tipo mainframe, hasta los sistemas en red tipo cliente servidor, pasando por las soluciones cloud-SaaS unido a la multiintegración de los sistemas actuales, la seguridad se ha transformado, desde prácticamente el uso de un cable y un usuarios junto con una contraseña, a complejos sistemas de doble autenticación, sistemas VPN, sistemas firewall junto con DMZ y WAF etc. en un sinfín de medidas de seguridad que las empresas tratan de adoptar para defender uno de los activos más valiosos que tienen, su información.

La ISO/IEC 27001 es la norma internacional para la Gestión de Seguridad de la Información. Indica cómo establecer un sistema de Gestión de Seguridad de la Información auditado y certificado de forma independiente. Esto permite asegurar de un modo más eficaz todos los datos financieros y confidenciales, minimizando así el riesgo de accesos ilegales o sin permiso.

Las ventajas globales que la organización adquiere al auditar su seguridad de la información con la norma ISO27001 son:

  • Identificar los riesgos y establecer controles para gestionarlos o eliminarlos
  • Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas
  • Conseguir que las partes interesadas y los clientes confíen en la protección de los datos
  • Cumplir con buenas prácticas respecto de medidas de se4guridad informática y gobierno de la misma.

En este sentido el cumplimiento o demostración de nuestra proactividad, base del nuevo marco GDPR viene demostrado por la auditoria y seguimiento de los puntos de control de la ISO27001, riesgos detectados y plan de mejoras que se deriva.

Si necesita más información contacte con nosotros en info@ciberseguridad.com o en el 911277300

 

La entrada ISO27001 y GDPR se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/iso27001-y-gdpr/feed/ 0
Auditoria de digitalización certificada https://ciberseguridad.com/auditoria-digitalizacion-certificada-2/ https://ciberseguridad.com/auditoria-digitalizacion-certificada-2/#respond Wed, 10 Jan 2018 17:47:36 +0000 http://ciberseguridad.com/?p=1462 En este articulo queremos hablar como trabajamos la Auditoria de digitalización certificada para certificar un software de escaneo de Facturas y Tiques ante la Agencia Tributaria (AEAT). Para ello debemos entender que la digitalización certificada es el proceso tecnológico que permite, mediante la aplicación de técnicas...

La entrada Auditoria de digitalización certificada se publicó primero en Ciberseguridad.

]]>
En este articulo queremos hablar como trabajamos la Auditoria de digitalización certificada para certificar un software de escaneo de Facturas y Tiques ante la Agencia Tributaria (AEAT). Para ello debemos entender que la digitalización certificada es el proceso tecnológico que permite, mediante la aplicación de técnicas foto-electrónicas o de escáner, convertir la imagen contenida en un documento en papel a una imagen digital codificada conforme a alguno de los formatos estándares de uso común y con un nivel de resolución que sean admitidos por la Agencia Estatal de Administración Tributaria. Para ello es necesario usar un software de digitalización homologado por la Agencia Tributaria. Está recogido en el artículo 7 de la Orden EHA/962/2007.

Auditoria de digitalización certificada

Los pasos que hay que seguir para homologar un software de digitalización certificada están recogidos en el artículo 7 de la Orden EHA/962/2007. Dirigir la documentación correspondiente, que acredita que se cumple con los requisitos recogidos en el apartado 2 del artículo 7 de la citada Orden, al Director del Departamento de Informática de la Agencia Estatal de Administración Tributaria.

La documentación se puede presentar en cualquier Oficina de Registro de acuerdo con lo recogido en el artículo 38.4 de la Ley 30/92, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC).

La solicitud de homologación de un software de digitalización certificada, debe constar de:

  • Declaración responsable del cumplimiento de los requisitos exigidos en la Orden EHA/962/2007.
  • Documentación acreditativa que conste de:
  • Descripción de las normas técnicas en las que se basa el procedimiento de digitalización certificada, así como los protocolos o normas y procedimientos de seguridad, de control y de explotación referidos a la creación y consulta de la base de datos documental.
  • El Plan de Gestión de Calidad que se realiza en todo el proceso de digitalización y firma, y su influencia en la imagen obtenida y sus metadatos, así como la descripción del mantenimiento de los dispositivos.
  • Un informe emitido por una entidad de auditoría informática independiente, con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada, en el que se exprese la opinión acerca del cumplimiento por parte de la entidad solicitante, de las condiciones establecidas en la Orden citada anteriormente.

Este proceso de digitalización deberá cumplir los siguientes requisitos:

  1. Que el proceso de digitalización sea realizado por el propio obligado tributario o bien por un tercero prestador de servicios de digitalización, en nombre y por cuenta de aquél, utilizando en ambos casos un software de digitalización certificado en los términos del apartado 3 de este mismo artículo.
  2. Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que esta imagen digital sea firmada con firma electrónica en los términos de los artículos anteriores de esta Orden en base a un certificado electrónico instalado en el sistema de digitalización e invocado por el software de digitalización certificada. Este certificado debe corresponder al obligado tributario cuando la digitalización certificada se realice por el mismo o al prestador de servicios de digitalización en otro caso. Uno u otro, según corresponda, deberá disponer de los procedimientos y controles necesarios para garantizar la fidelidad del proceso de digitalización certificada.
  3. Que el resultado de la digitalización certificada se organice en torno a una base de datos documental y que por cada documento digitalizado se conserve un registro de datos con todos los campos exigibles en la llevanza de los libros de registros incluidos en los artículos 62 y siguientes del Real Decreto 1624/1992, de 29 de diciembre, además de un campo en el que se contenga la imagen binaria del documento digitalizado o que enlace al fichero que la contenga, en ambos casos con la firma electrónica de la imagen del documento conforme a como se indica en la letra b).
  4. Que el obligado a la conservación disponga del software de digitalización certificado con las siguientes funcionalidades:

Además:

  • Firma de la base de datos que garantice la integridad de datos e imágenes al cierre de cada período de liquidación al que esté sometido el obligado tributario.
  • Acceso completo y sin demora injustificada a la base de datos. A estos efectos, se entiende por acceso completo aquél que posibilite una consulta en línea a los datos que permita la visualización de los documentos con todo el detalle de su contenido, la búsqueda selectiva por cualquiera de los datos que deban reflejarse en los libros registro regulados en el artículo 62 y siguientes del Real Decreto 1624/1992, de 29 de diciembre, la copia o descarga en línea en los formatos originales y la impresión a papel de aquellos documentos que sean necesarios a los efectos de la verificación o documentación de las actuaciones de control fiscal.

Tenemos que entender que dependiendo del tipo de documento (tiquet, factura simplificada o factura completa) los metadatos que el sistema debe recoger y almacenar son diferentes.

¿Cómo ayudamos a las empresas?

Actualmente colaboramos en dos lineas. Por un lado como auditores para emitir el informe de auditoria necesario. Por otro lado como asesores para acompañar a los equipos de consultoría en el desarrollo de las soluciones que posteriormente deberán ser auditadas.

Contacte con nosotros en el 911277300 o  en luis.vilanova@ciberseguridad.com si necesita homologar ante la Agencia Tributaria su software o solución de digitalización de documentos.

Luis Vilanova Blanco.

CEO de www.ciberseguridad.com

Auditor CISA.

Perito colaborador con la justicia.

La entrada Auditoria de digitalización certificada se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/auditoria-digitalizacion-certificada-2/feed/ 0
Homologación digitalización certificada AEAT – SAP https://ciberseguridad.com/homologacion-digitalizacion-certificada-aeat-sap/ https://ciberseguridad.com/homologacion-digitalizacion-certificada-aeat-sap/#respond Fri, 10 Nov 2017 17:22:39 +0000 http://ciberseguridad.com/?p=1457 En este post vamos a tratar una de las últimas auditorias de digitalización certificadas orientadas a obtener el sello de la administración AEAT (Homologación digitalización certificada AEAT). En este caso nos encontramos ante un proyecto SAP con una APP desarrollada de forma nativa sobre Android...

La entrada Homologación digitalización certificada AEAT – SAP se publicó primero en Ciberseguridad.

]]>
En este post vamos a tratar una de las últimas auditorias de digitalización certificadas orientadas a obtener el sello de la administración AEAT (Homologación digitalización certificada AEAT). En este caso nos encontramos ante un proyecto SAP con una APP desarrollada de forma nativa sobre Android e IOS que digitaliza facturas y tiquetes e integra los mismos en el sistema ERP SAP.

Homologación digitalización certificada AEAT

Cuando una empresa nos llama para solicitar nuestros servicios de Auditoria Digitalización Certificada AEAT nos planteamos siempre como poder ayudar a nuestros clientes dependiendo en qué fase este el producto. Existen diferente casuística pero a grandes rasgos tenemos dos situaciones bien diferenciadas:

  1. Cuando el producto no está terminado, está en desarrollo, en fase de análisis etc nuestra labor puede ser la de consultores de desarrollo para que los procesos, los casos de uso, la cadena de custodia, la Integridad y confidencialidad de las imágenes gestionadas así como la de los metadatos sea la adecuada para que la posterior auditoria sea más sencilla, eficiente y se llegue a un estado positivo de la misma en el menor tiempo posible.
  2. Cuando estamos ante un sistema que quiere homologarse y ya está desarrollado nuestros servicios se basaran en la auditoria de homologación de digitalización certificada colaborativa, donde nosotros auditamos, detectamos NO conformidades y reportamos problemas así como posibles soluciones, para volver a auditar hasta el momento que no nos encontremos con NO conformidades.

En este caso nos encontramos con un sistema de APP integrado con SAP que no está finalizado, está desarrollándose. Nosotros nos incorporamos al equipo para detectar los problemas más graves que frenarían la auditoria. En este caso y en una fase temprana se detectó:

  1. Necesidad del uso de certificados digitales para la encriptación con clave asimétrica la información transmitida.
  2. Control de audit de acciones en la base de datos de los registros que contienen los metadatos.
  3. Desarrollo de hash en las imágenes y registros almacenados.
  4. Desarrollo de hash para la no alterabilidad del cierre de periodo.
  5. Otras recomendaciones, ver mas en https://ciberseguridad.com/auditoria-digitalizacion-certificada/

De esta manera cuando el producto esté finalizado, la auditoria final será positiva en un menor intervalo de tiempo, optimizando todos los recursos y obteniendo el sello de la AEAT antes.

Conclusiones

Si está desarrollando un producto que quiere homologar ante la AEAT como solución de digitalización certificada es probable que sea más positivo iniciar los trabajos conjuntamente desde las etapas tempranas del desarrollo.

Luis Vilanova Blanco. Auditor y perito informático

info@ciberseguridad.com

911277300

La entrada Homologación digitalización certificada AEAT – SAP se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/homologacion-digitalizacion-certificada-aeat-sap/feed/ 0
Auditoria ISO27001 y ciberseguridad en el sector automóvil https://ciberseguridad.com/auditoria-iso27001-y-ciberseguridad-en-el-sector-automovil/ https://ciberseguridad.com/auditoria-iso27001-y-ciberseguridad-en-el-sector-automovil/#respond Thu, 28 Sep 2017 10:23:17 +0000 http://ciberseguridad.com/?p=1417 En este post vamos a describir uno de nuestros últimos casos de éxito en la auditoria de seguridad de una empresa del sector automóvil, basada en Auditoria ISO27001 y motivada por un requisito marcado por su principal cliente que en este caso es Volskwagen. Auditoria ciberseguridad...

La entrada Auditoria ISO27001 y ciberseguridad en el sector automóvil se publicó primero en Ciberseguridad.

]]>
En este post vamos a describir uno de nuestros últimos casos de éxito en la auditoria de seguridad de una empresa del sector automóvil, basada en Auditoria ISO27001 y motivada por un requisito marcado por su principal cliente que en este caso es Volskwagen. Auditoria ciberseguridad e ISO27001 sector automóvil.

El resultado de la auditoría realizada en la empresa XXXXXX describe el grado de cumplimiento y riesgos de los sistemas de información, tanto automatizada como no automatizada, así como una revisión de buenas prácticas en materia seguridad de tecnologías de información bajo el estándar ISO27001 como marco líder de referencia en esta materia.

Auditoria ISO27001 y ciberseguridad en sector automóvil

Para la realización de esta auditoria se ha contado con la colaboración del área TI que, mediante sucesivas reuniones, visitas guiadas y documentación, hemos podido entrar en profundidad en todos aquellos puntos relevantes de la ISO27001 y en ocasiones de la LOPD y LSSI que pueden poner en peligro dos situaciones:

  • Riesgos en materia de privacidad de la información confidencial y buenas prácticas en materia de seguridad de la información, en general siguiendo el estándar ISO27001, centrándonos en el documento Excel information_security_assessment_en.xlsx que nos ha determinado el alcance y aplicabilidad de la ISO27001.
  • Algunos riesgos en materia de protección de datos de carácter personal o LOPD.

Quisiera reflejar la gran colaboración prestada tanto por el departamento de informática sin cuya ayuda hubiera sido imposible realizar este trabajo y haber establecido los puntos de mejora y proyectos que deberán abordarse.

El trabajo se centra, como se ha comentado en la auditoria ISO27001. La seguridad en las empresas de los sistemas de información ha ido evolucionando conforme los sistemas adquirían más peso específico y llegaban a todas las áreas. La adopción de nuevos sistemas web, movilidad, Smartphone, soluciones Cloud SaaS etc. han transformado la seguridad de los sistemas hasta hacerlos incluso estratégico en algunos negocios.

Desde los sistemas aislados tipo mainframe, hasta los sistemas en red tipo cliente servidor, pasando por las soluciones cloud-SaaS unido a la multiintegración de los sistemas actuales, la seguridad se ha transformado, desde prácticamente el uso de un cable y un usuarios junto con una contraseña, a complejos sistemas de doble autenticación, sistemas VPN, sistemas firewall junto con DMZ y WAF etc. en un sinfín de medidas de seguridad que las empresas tratan de adoptar para defender uno de los activos más valiosos que tienen, su información.

La ISO/IEC 27001 es la norma internacional para la Gestión de Seguridad de la Información. Indica cómo establecer un sistema de Gestión de Seguridad de la Información auditado y certificado de forma independiente. Esto permite asegurar de un modo más eficaz todos los datos financieros y confidenciales, minimizando así el riesgo de accesos ilegales o sin permiso.

Las ventajas globales que la organización adquiere al auditar su seguridad de la información con la norma ISO27001 son:

  • Identificar los riesgos y establecer controles para gestionarlos o eliminarlos
  • Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas
  • Conseguir que las partes interesadas y los clientes confíen en la protección de los datos
  • Cumplir con buenas prácticas respecto de medidas de seguridad informática y gobierno de la misma.

Conclusiones

El cliente obtuvo un informe donde punto por punto se describía la situación actual, valoración cuantitativa y cualitativa del problema así como, al final de todo el análisis, un plan de acción para los próximos 3 años con los proyectos necesarios para aumentar el nivel de seguridad de sus sistemas de información así como el nivel de cumplimiento de la ISO27001.

Proyectos como la información de un Firewall de última generación, implantación de una DMZ y WAF fueron descritos como necesarios para aumentar el control y capacidad preventiva ante posibles intrusiones o ataques.

Luis Vilanova Blanco. CEO en www.ciberseguridad.com

911277300

info@ciberseguridad.com

La entrada Auditoria ISO27001 y ciberseguridad en el sector automóvil se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/auditoria-iso27001-y-ciberseguridad-en-el-sector-automovil/feed/ 0
Auditoria de digitalización certificada AEAT y Man in the Middle https://ciberseguridad.com/auditoria-digitalizacion-certificada-aeat-man-in-the-middle/ https://ciberseguridad.com/auditoria-digitalizacion-certificada-aeat-man-in-the-middle/#respond Fri, 11 Aug 2017 16:54:12 +0000 http://ciberseguridad.com/?p=1398 En este post queremos comentar algunas de las cuestiones que nos hemos encontrado en recientes Auditoria de digitalización certificada AEAT que estamos llevando a cabo. En concreto nos centraremos en la importancia de auditar adecuadamente la “cadena de custodia” de la imagen digitalizada y metadatos...

La entrada Auditoria de digitalización certificada AEAT y Man in the Middle se publicó primero en Ciberseguridad.

]]>
En este post queremos comentar algunas de las cuestiones que nos hemos encontrado en recientes Auditoria de digitalización certificada AEAT que estamos llevando a cabo. En concreto nos centraremos en la importancia de auditar adecuadamente la “cadena de custodia” de la imagen digitalizada y metadatos en los diferentes procesos que el software pendiente de homologar y que auditamos contiene.

Auditoria de digitalización certificada AEAT

En primer lugar explicaremos que la auditoria de digitalización certificada es de obligado cumplimiento para aquellas empresas que desarrollan un software que escanea, digitaliza y asigna metadatos a documentos como facturas, tiquetes, etc. si quieren están homologadas por la AEAT y estar en la lista que les certifica.

Las ventajas de estar certificados para la empresa que desarrolla la app, web, etc. son evidentemente comerciales, en el sentido de poder ofrecer su software con una característica formal que le permite al cliente eliminar el papel, frente a otros que no están homologados.

Nuestra auditoria y la problemática de Man in the Middle

Desde www.ciberseguridad.com trabajamos de la siguiente forma para certificar el software de nuestros clientes:

  1. Si el software esta ya desarrollado:
    1. Analizar y comprender todos los procesos y características técnicas del software que estamos auditando que implican captura, procesado, transmisión o almacenamiento de imágenes.
    2. Evaluación y detección de vulnerabilidades.
    3. Test de intrusión y hacking ético.
    4. Revisión de los 114 puntos de control de la ISO27001 respecto de seguridad informática.
    5. Inventario de NO CONFORMIDADES y comunicación al cliente para su subsanación.
    6. Repetición de la auditoria hasta que el software está libre de NO CONFORMIDADES.
    7. Desarrollo de documento de auditoria y firma por perito informático colaborador con la justicia.
  2. Si el software no está desarrollado nos involucramos, si el cliente así lo desea, desde el principio, asesorando en cómo construir el software y sus procesos de forma segura y profesional, que garantice la cadena de custodia y la trazabilidad de acciones. De esta manera la auditoria final será positiva con mayor probabilidad.

man-in-the-middle

Explicado la problemática entendamos que siempre nos encontramos con software de digitalización, desarrollado (o no), que debe asegurar la cadena de custodia. En este sentido la problemática de man-in-the-middle (MITM) es fundamental.

MITM es un tipo de ataque informático donde un sistema se interpone entre dos sistemas, haciendo creer a ambos que se comunican directamente entre sí a través de una conexión privada, cuando en realidad toda la conversación es controlada por el atacante (el sistema que se ha interpuesto entre ambos). El atacante debe ser capaz de interceptar todos los mensajes que van entre las dos víctimas e inyectar nuevos, lo cual es sencillo en muchas circunstancias.  Este tipo de ataque tiene éxito solo cuando el sistema intermedio puede hacerse pasar por cada punto final a satisfacción de la otra.

Como hemos comentado anteriormente, en nuestras auditorias de digitalización certificada uno de los puntos clave es asegurar la no alterabilidad de la imagen y metadatos. Para ello la transmisión entre sistemas debe estar protegida ante MITM. Para ello existen diferentes buenas prácticas de las cuales, por ser la más estándar, recomendamos el uso de certificados SSL de nivel alto que utilizan sistemas de cifrado de clave pública y privada, aumentando el nivel de protección en las comunicaciones de los sistemas que forman el software de digitalización.

Luis Vilanova Blanco. CEO en www.ciberseguridad.com

Luis.vilanova@ciberseguridad.com

911277300

La entrada Auditoria de digitalización certificada AEAT y Man in the Middle se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/auditoria-digitalizacion-certificada-aeat-man-in-the-middle/feed/ 0
Ciberseguridad y transformación digital https://ciberseguridad.com/ciberseguridad-transformacion-digital/ https://ciberseguridad.com/ciberseguridad-transformacion-digital/#respond Sun, 06 Aug 2017 10:19:38 +0000 http://ciberseguridad.com/?p=1395 Ciberseguridad y transformación digital son conceptos directamente relacionados. Recientemente hemos tenido la suerte de poder finalizar el Máster en Ciberseguridad de Deloitte, pudiendo afirmar que como Interim Manager TIC la seguridad informática y la ciberseguridad son conceptos que debemos dominar, no solo por la trascendencia...

La entrada Ciberseguridad y transformación digital se publicó primero en Ciberseguridad.

]]>
Ciberseguridad y transformación digital son conceptos directamente relacionados. Recientemente hemos tenido la suerte de poder finalizar el Máster en Ciberseguridad de Deloitte, pudiendo afirmar que como Interim Manager TIC la seguridad informática y la ciberseguridad son conceptos que debemos dominar, no solo por la trascendencia de la protección de los activos de información sino por la gran importancia que toma la ciberseguridad en el ámbito de la transformación digital.

Ciberseguridad y transformación digital

Las auditorias que hemos realizado sobre transformación digital en empresas como Laboratorios Boiron, Colegio de Ingenieros de la Comunidad Valenciana, Grupo CONDALAB, Viaxpress transporte urgente, Plastic7a, etc tienen siempre una fuerte componente de ciberseguridad. La razón es simple, la exposición de recursos web, email, cloud, etc a internet conlleva siempre riesgos que deben ser, por lo menos, tenidos en cuenta en esa transformación digital.

Ciberseguridad y transformación digital

Las auditorias de ciberseguridad y de seguridad informática (estas últimas mediante el estándar ISO27001) aportan muchas ventajas corporativas relacionadas con la transformación digital:

  1. Mejoran los procesos de trabajo. Por ejemplo, una empresa que quiera compartir de forma segura un documento con un proveedor o cliente, quiera saber cuándo ha accedido, reducir la exposición del fichero a un periodo temporal tras el cual el acceso se bloquea es clave. Recientemente en una entidad deportiva que auditamos nos trasladaban que necesitaban demostrar que las actas de arbitraje se abrían por terceros con los que las compartían. Hasta el momento enviaban por email y perdían la trazabilidad.
  2. Aseguran la confidencialidad y privacidad interna y externamente. Cuantos gerentes nos trasladan que les gustaría conocer quien accede a que información, desde donde y cuando.
  3. Algunas empresas necesitan demostrar a sus clientes que realmente, dentro del llamado COMPLIANCE, fomentan y se preocupan que sus trabajadores y empresa en general utilizan los activos informáticos de una forma coherente.
  4. La transformación digital, con el apoyo del cloud, BYOD, movilidad, etc no tiene sentido sin un refuerzo y consistencia en los temas relevantes de seguridad y de ciberseguridad. Por ejemplo, disponer de certificados SSL, VPN, u otras herramientas de acceso puede evitar que terceros, por ejemplo un ex trabajador, acceda o siga con posibilidad de acceso a la información de la empresa. Recientemente auditamos una empresa cuyo principal comercial se había ido a la competencia y demostramos que seguía accediendo con una cuenta de usuario remota a los documentos comerciales y estratégicos de la empresa.
  5. Cumplimiento legal. Este tema que muchas empresa lo ven como remoto es de obligatorio cumplimiento. Además con la LOPD de 2018 que dará un vuelco a las empresas, nos acerca más a la necesidad de, dado que los activos informáticos ya no están en nuestras instalaciones, aplicar los conocimientos de ciberseguridad y auditoria de seguridad para que la empresa pueda tener cubierto este aspecto, alineado de nuevo con el COMPLIANCE.

Las ventajas podrían extenderse decenas de puntos, pero creo que en esos 5 puntos hemos reflejado la importancia capital que tienen y tendrán cada día más en las empresas la auditoria de ciberseguridad y de seguridad de la información, más cuando estemos ante una transformación digital de la empresa.

Luis Vilanova Blanco. CEO en www.ciberseguridad.com

info@ciberseguridad.com

911277300

La entrada Ciberseguridad y transformación digital se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/ciberseguridad-transformacion-digital/feed/ 0
Compliance, ciberseguridad y el nuevo reglamento de protección de datos https://ciberseguridad.com/la-ciberseguridad-nuevo-reglamento-proteccion-datos/ https://ciberseguridad.com/la-ciberseguridad-nuevo-reglamento-proteccion-datos/#respond Wed, 31 May 2017 15:36:12 +0000 http://ciberseguridad.com/?p=1391 Que la necesidad de auditar la ciberseguridad y la seguridad informática es una realidad en las empresas actuales es una cuestión cada vez más aceptada e instaurada en los comités de dirección, en especial en aquellas empresas que disponen de portales ecommerce o que el...

La entrada Compliance, ciberseguridad y el nuevo reglamento de protección de datos se publicó primero en Ciberseguridad.

]]>
Que la necesidad de auditar la ciberseguridad y la seguridad informática es una realidad en las empresas actuales es una cuestión cada vez más aceptada e instaurada en los comités de dirección, en especial en aquellas empresas que disponen de portales ecommerce o que el core de su negocio está basado en internet.

Compliance

No obstante no debemos olvidar que toda empresa que disponga de sistemas de gestión empresarial, ficheros, etc. con información personal o negocio, confidencial o privada, está obligado a disponer de medidas que garanticen su seguridad.

Cuestiones como:

  1. ¿Dónde se almacena la información confidencial?
  2. ¿Quién accede a esta información?
  3. ¿Se cumple el marco legal como LOPD y LSSI?
  4. ¿Están nuestros sistemas realmente protegidos?
  5. ¿Disponemos de sistemas actualizados?

…y otras muchas preguntas conviene que las empresas tomen conciencia pues si se duda de la respuesta de alguna de ellas podría provocar riesgos en la información que almacenan.

En concreto el nuevo Reglamento General de Protección de Datos (RGPD), el 27 de abril de 2016, por el que se deroga la antigua Directiva 95/46/CE, implica un modelo de privacidad diferente al anterior. Teniendo en cuenta que este reglamento entrará en vigor el 25 de mayo de 2018 las empresas deben adaptar sus organizaciones a las nuevas implicaciones.

El nuevo reglamento conlleva un cambio estructural y cultural en el tratamiento de datos que ha de abordarse de forma integral y que persigue generar la seguridad jurídica y tecnológica que la sociedad de la información actual, donde el volumen de información confidencial o privada, sus intercambios, almacenamiento, exposición a terceros, etc. debe de asegurarse de forma correcta. En concreto se da mucha importancia que las empresas sean proactivas en materia de seguridad de la información, en concreto esta proactividad se puede solventar mediante el uso de auditores y consultores de seguridad externos que emitan sus dictámenes y recomendaciones.

El nuevo reglamento da un foco importante en que la empresa demuestre que realmente dispone de sistemas, procesos y responsables (Delegado) que velan por la seguridad de los sistemas de información que almacenan datos de carácter personal, así como ponen al cliente o contacto en el foco del marco legal, permitiéndole actuar de manera más clara en el caso que su información pueda estar en peligro.

Este nuevo rol o también llamado Delegado de Protección de Datos tiene la misión de garantizar la protección de datos dentro de las organizaciones en su extenso significado. Entendamos que este rol puede llegar a ser muy amplio. Basta con que reflexiones en cuantos sistemas y procesos, ordenadores y servidores, webs e intercambio con terceras empresas se maneja información de clientes, contactos, proveedores o empleados, para darse cuenta que estamos hablando de un alcance muy grande.

Si bien este rol no es de obligado cumplimiento si lo será bajo ciertos supuestos, entre ellos administración pública y toda clase de empresas que dispongan de información de carácter personal cuya naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Este concepto de “gran escala” no está totalmente definido pero en cualquier caso siempre que hablemos de empresas cuyos procesos puedan manejar cientos o miles de datos de carácter personal, probablemente entren dentro de esta categoría.

Si realmente no solo queremos cumplir el expediente sino que nos preocupa lo que ocurre con nuestros datos, con la seguridad de nuestra información, con los procesos y modo de uso que hacemos de nuestra información confidencial, desde mi punto de vista el delegado o responsable debe ser un perfil profesional que combine competencias:

  1. Tecnologías de la información.
  2. Ciberseguridad.
  3. Visión transversal de los procesos que tratan nuestra información de carácter personal y más confidencial.
  4. Sobretodo INDEPENDENCIA, ser capaz de disponer de las competencias, capacidades y perfil profesional para actuar acorde con sus responsabilidades sin que esto le pueda suponer un problema en la empresa.

Conclusión

Desde mi punto de vista, un responsable EXTERNO (quizás en modalidad Interim Manager TIC) es más eficiente, mas imparcial, mas formado generalmente, más actualizado en material legal y seguridad, para cumplir con este rol, en modalidad de prestación de servicios, como si se contrata externamente un Delegado de Protección de Datos. www.ciberseguridad.com cumple con todos los aspectos para poder proporcionar este servicio que en realidad ya ejerce, de manera similar, en diferentes clientes en la actualidad. Los conocimientos en ciberseguridad resultan claves para un mundo conde el cloud y los servicios online obligan a las empresas a distribuir su riesgo y su información de caracter personal y negocio en Internet. Es obvio que el delegado debe dominar este terreno y que su apoyo al Compliance es clave para el éxito de este área.

info@ciberseguridad.com

911277300

La entrada Compliance, ciberseguridad y el nuevo reglamento de protección de datos se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/la-ciberseguridad-nuevo-reglamento-proteccion-datos/feed/ 0
Auditoria ciberseguridad – Riesgos de seguridad de la información https://ciberseguridad.com/auditoria-ciberseguridad-riesgos-seguridad-la-informacion/ https://ciberseguridad.com/auditoria-ciberseguridad-riesgos-seguridad-la-informacion/#respond Thu, 11 May 2017 17:27:25 +0000 http://ciberseguridad.com/?p=1386 En uno de nuestros últimos casos de éxito hemos trabajado la seguridad de la información de una empresa importante de la Comunidad de Madrid donde sus servicios core radican en la nube. El trabajo realizado no solo ha sacado a la luz las vulnerabilidades de...

La entrada Auditoria ciberseguridad – Riesgos de seguridad de la información se publicó primero en Ciberseguridad.

]]>
En uno de nuestros últimos casos de éxito hemos trabajado la seguridad de la información de una empresa importante de la Comunidad de Madrid donde sus servicios core radican en la nube. El trabajo realizado no solo ha sacado a la luz las vulnerabilidades de sus sistemas ante intrusiones no deseadas como un plan de acción que ahora acometeremos relacionado con la Auditoria ciberseguridad.

Auditoria ciberseguridad – Riesgos de seguridad de la información

En esta auditoria el trabajo ha consistido en analizar su CPD hospedado en Interxion (Madrid) para detectar vulnerabilidades que pudieran poner en peligro tanto la información almacenada en su cloud privada como evidenciar las debilidades y por tanto vulnerabilidades asociadas a la falta de sistemas profesionales de seguridad.

Las fases realizadas han sido:

  1. Definición de los componentes clave a securizar. En este sentido la continuidad del negocio y la información almacenada en su cloud.
  2. Análisis de la arquitectura de servidores, redes y sistemas operativos, así como las APP y web allí hospedadas, junto con los sistemas de repositorio y centralitas.
  3. Auditoria de infraestructura in-situ. Nos desplazamos a su CPD y analizamos todo tipo de malas prácticas en la securización de sus switches, routers, tráfico en claro, etc detectando mediante sniffer contraseñas y usuarios que viajan en claro por su red interna, puertos abiertos, entre otras cuestiones.
  4. Intrusión controlada contra los servicios RDP expuestos desde Internet, con descubrimiento de usuario y contraseña de Administrador sin alerta hacia los administradores de sistema, utilizando un sistema de fuerza bruta basado en diccionario.
  5. Hacking ético de sus portales web, detectando y categorizando en 3 niveles las vulnerabilidades detectadas.
  6. Entre otros…

De este análisis se planea un informe de riesgos así como unas recomendaciones en un plan de acción. El siguiente paso es realizar ese plan de acción que incluye medidas DMZ, WAF, switches de altas prestaciones entre otras medidas.

Conclusiones

Todas las empresas que disponen de información protegida por las diferentes leyes, información confidencial, de nivel privado y/o que exponen servicios a Internet que acceden a este tipo de información necesitan conocer que niveles de riesgo tienen sus sistemas frente a intrusiones externas. Por ejemplo en esta auditoria encontramos ataques constantes desde países extranjeros a los servidores. Una vez conocido y categorizado los riesgos identificar las mejoras aplicables y trazar un plan de acción con fases y presupuesto.

“Entendamos que la seguridad digital es cada día mas estratégica para las empresas”

Luis Vilanova Blanco. CEO en www.ciberseguridad.com

Auditor ISO27001, ITIL, Ciberseguridad, Hacking ético, Digitalización certificada y LOPD.

911277300

Luis.vilanova@ciberseguridad.com

La entrada Auditoria ciberseguridad – Riesgos de seguridad de la información se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/auditoria-ciberseguridad-riesgos-seguridad-la-informacion/feed/ 0
¿Debo dar mis datos personales siempre que me los pidan? https://ciberseguridad.com/cuando-dar-mis-datos-personales/ https://ciberseguridad.com/cuando-dar-mis-datos-personales/#respond Wed, 30 Nov 2016 14:57:13 +0000 http://ciberseguridad.com/?p=1352 Muchas son las veces que, al suscribirnos a una web, nos han pedido muchos datos personales y, posteriormente, pensándolo fríamente nos hemos preguntado si eran necesarios y para qué querrán tenerlos o qué harán con ellos. Efectivamente, esas dudas son lógicas. Muchas webs se valen...

La entrada ¿Debo dar mis datos personales siempre que me los pidan? se publicó primero en Ciberseguridad.

]]>
datos personales ciberseguridadMuchas son las veces que, al suscribirnos a una web, nos han pedido muchos datos personales y, posteriormente, pensándolo fríamente nos hemos preguntado si eran necesarios y para qué querrán tenerlos o qué harán con ellos.

Efectivamente, esas dudas son lógicas. Muchas webs se valen de ese ímpetu, de esa necesidad del usuario de disponer inmediatamente de una cuenta para, casi sin darnos cuenta, obtener de nosotros más datos personales de los que hiciera falta o fueran suficientes para el cometido que nos ocupa. Por ello, deberemos de analizar siempre quién nos está pidiendo dichos datos, para qué los va a utilizar y si es normal y necesario que disponga de dichos datos personales. Está claro que esto, a priori, parece una labor ardua de llevar a cabo pero, muchas veces, el sentido común y un poco de serenidad y calma nos ayudan a desempeñar dicha tarea de una forma sencilla para tomar después la decisión de dar o no nuestros datos personales.

Pongamos un ejemplo; Si quieres suscribirte en una web para realizar una compra online, en principio, datos como el nombre y apellidos, DNI, medio de pago y datos para la realización del pago, dirección de entrega, datos de facturación si necesitamos factura … estos datos son normales para dicho cometido pero, si además nos preguntaran, por ejemplo, nuestra marca y modelo de coche, año de compra, matrícula … pues para una web en la que voy a comprar de forma online ropa, pues no tiene mucho sentido pero si lo tendría si lo que quiero es hacerme un seguro para el coche. Como vemos, cuando nos damos de alta o nos suscribimos a algo, debemos de ser calmados y analizar lo que nos piden pues, en muchos casos, damos más datos de los necesarios.

¿Qué pasa si damos más datos personales de los que hiciese falta?

 

Si damos más información personal de la que es necesaria, nos podemos encontrar con que empezaremos a recibir spam, podemos ver nuestra identidad y privacidad comprometidas, si hubiésemos dado datos de terceros podríamos enfrentarnos a una denuncia e, incluso, podríamos llegar a ser víctimas de chantaje o extorsión por haber facilitado más datos personales de los que hacían falta, simplemente por el hecho de no pararnos a pensar y aceptar lo que ahí nos piden.

¿Sabes cuáles son tus derechos respecto a los datos personales?

 

Tanto en nuestra Constitución como en el Derecho Europeo, se reconoce el derecho que cada uno de nosotros tenemos respecto a la protección de nuestros datos personales. Ello nos otorga la capacidad de disponer y decidir sobre nuestra información personal. Si deseas conocer en profundidad todo lo referente al derecho a la protección de datos personales, puedes acudir a la Ley Orgánica de protección de datos personales (LOPD).

Cuándo alguien nos pide o solicita datos personales, tienen la obligación de informarnos sobre:

  • Para qué se van a utilizar. Cuál es la finalidad de recabar esos datos personales.
  • Cuál es el tratamiento que le van a dar (Derecho de información)
  • Cómo podemos ejercer los derechos ARCO que cada uno de nosotros tenemos, es decir, el poder de acceso, rectificación, cancelación y oposición sobre nuestros datos personales.
  • Debemos recordar que la duración del permiso para que dispongan de nuestros datos personales, lo marcamos cada uno de nosotros. En cualquier momento podemos denegar el consentimiento que dimos en su momento.

También debemos de saber que hay en ciertas ocasiones, excepciones, en las que sí se pueden tratar nuestros datos personales sin nuestro consentimiento. Estas excepciones son:

  • Cuando se protegen nuestros intereses vitales.
  • Cuando nuestros datos están incluidos en fuentes accesibles al público.
  • Cuando exista una ley que habilite a una entidad a poder hacerlo.

Para terminar, recuerda que nunca debes facilitar, como bien decíamos antes, información personal de terceros. Al igual que uno tiene derechos, el resto también lo tienen. Puedes incurrir en un delito salvo que te hayan dado su consentimiento o seas el representante legal o tutor.

info@ciberseguridad.com

911 277 300

662 399 243

La entrada ¿Debo dar mis datos personales siempre que me los pidan? se publicó primero en Ciberseguridad.

]]>
https://ciberseguridad.com/cuando-dar-mis-datos-personales/feed/ 0