Parece obvio reconocer que el tiempo de inactividad de una empresa tiene un impacto económico negativo, aun así, muchas pequeñas y medianas empresas desconocen y subestiman su verdadero alcance. Una interrupción en la infraestructura IT puede traducirse en pérdidas significativas, no solo en ingresos, sino también en productividad y reputación.
Pongamos como ejemplo, una empresa de 10 empleados, con sueldos en torno a 25.000€ anuales y una facturación de 1.000.000€ al año. Si nos ceñimos solamente a las pérdidas por cese de la facturación y a las derivadas de los salarios y cotizaciones sociales, cada hora de inactividad le costará entre 710€ y 1.000€. Por lo que, si la interrupción se prolonga durante dos jornadas, el coste se situará entre los 11.360€ y los 16.000€.
Contar con un buen Plan de Recuperación ante Desastres y asegurar tiempos de respuesta rápidos puede significar la diferencia entre una interrupción manejable y una crisis financiera.
Plan de Recuperación ante Desastres (DRP), La Importancia de tener un Plan
Un Plan de Recuperación ante Desastres (DRP, por sus siglas en inglés) es una estrategia documentada que define los procesos y tecnologías necesarias para restaurar los sistemas, aplicaciones y datos críticos en caso de una interrupción. Su objetivo es minimizar el impacto de un desastre y garantizar la continuidad del negocio en el menor tiempo posible.
Dentro de un DRP, hay dos conceptos fundamentales que todo responsable de Informática debe conocer:
Recovery Point Objective (RPO) Objetivo de punto de recuperación
El RPO define la cantidad máxima de datos que una organización puede permitirse perder en caso de un desastre. En última instancia, determina cada cuánto tiempo hemos de realizar una copia de seguridad para que, en caso de necesitar recuperarla, el negocio continúe operando sin consecuencias graves.
Si el RPO de una empresa es de 4 horas, significa que la organización puede permitirse perder como máximo los datos generados en las últimas 4 horas antes de un incidente.
Recovery Time Objective (RTO) Objetivo de tiempo de recuperación
El RTO es el tiempo máximo de que dispone una organización para recuperar sus operaciones tras un desastre. Es decir, el tiempo que la empresa puede tolerar estar inactiva antes de que la situación se convierta en crítica.
¡ANTICIPARSE! los partidos se ganan en los entrenamientos
¿Sabría acotar en su caso concreto, cada cuánto tiempo debe de realizar una copia de seguridad y cuál es el tiempo máximo de que dispone para restaurarla, sin que afecte de forma drástica a su empresa?
Si no está seguro, quizás sea el momento de tomar medidas.
La solución está en la prevención. Contar con un Plan de Recuperación ante Desastres bien estructurado, que contemple RPO y RTO adecuados a las necesidades de su negocio, es clave para reducir el impacto de cualquier contingencia.
En SETEINCO, Eliminamos la incertidumbre
Se acabaron las dudas, con Seteinco, usted podrá decir que dispone de una Solución Hiperconvergente Syneto que, realiza copias de seguridad inmutables de sus datos cada 15 minutos y garantiza la recuperación de la actividad de la empresa, en solo 15 minutos tras un ciberataque o corrupción de datos. (RPO y RTO de 15 minutos).
¿Por qué su empresa necesita un PDS para protegerse de las amenazas de seguridad informáticas?
A medida que los ataques informáticos y las amenazas digitales evolucionan, Europa reconoce que la seguridad informática no solo es esencial para proteger activos empresariales, sino también para salvaguardar la estabilidad económica y social.
Normativas como el Reglamento General de Protección de Datos (RGPD) y la Directiva NIS2 exigen a las empresas una mayor responsabilidad y preparación ante riesgos digitales.
Los fondos europeos están incentivando proyectos encaminados a reforzar la infraestructura de seguridad y la continuidad de negocio de las empresas.
Llegados a este punto, entra en juego el Plan Director de Seguridad (PDS), en las siguientes líneas, explicamos qué es y los pasos fundamentales para su implementación.
¿Qué es un Plan Director de Seguridad y por qué es esencial para su empresa?
Un Plan Director de Seguridad (PDS) es un marco de trabajo que permite evaluar, organizar y optimizar los recursos destinados a la seguridad informática en una empresa. Su objetivo principal es reducir los riesgos a los que está expuesta y asegurar la continuidad del negocio ante amenazas o incidentes. A diferencia de medidas de seguridad aisladas, el PDS ofrece una estrategia integral y alineada con los objetivos empresariales.
Paso 1: Evaluar la situación actual y los riesgos específicos
El primer paso a llevar a cabo es evaluar la situación actual de la empresa en términos de ciberseguridad. Esto implica identificar los sistemas críticos y el tipo de información que maneja (facturación, datos de clientes, pedidos, etc.), así como realizar un análisis de riesgos para detectar vulnerabilidades. Esta evaluación permitirá que el equipo de IT y la dirección financiera tengan una visión clara de los riesgos más probables y de los activos de la empresa que necesitan mayor protección.
Paso 2: Conocer el plan de estrategia de la empresa
El Plan Director de Seguridad debe estar alineado con la estrategia de negocio de la empresa. Es esencial entender si la organización está en crecimiento, si está externalizando servicios o si planea ofrecer nuevos servicios. Estos factores influyen directamente en las decisiones de ciberseguridad. Un error común es considerar la ciberseguridad como un gasto aislado; sin embargo, un PDS bien planificado ayuda a proteger los recursos clave sin comprometer el presupuesto, proporcionando un retorno tangible y estratégico de la inversión.
Paso 3: Definir, clasificar y priorizar proyectos de ciberseguridad
Con los riesgos identificados y la estrategia definida, el siguiente paso es determinar los proyectos de ciberseguridad necesarios para mitigar esos riesgos. Estos pueden incluir desde la mejora en la gestión de copias de seguridad y recuperación, la implementación de políticas de acceso seguro hasta la segmentación de la red para reducir la exposición de datos sensibles. Es fundamental clasificar y priorizar estos proyectos entre los departamentos de IT y financiero, asegurando que los recursos se destinen primero a los proyectos con mayor impacto y menor coste.
Paso 4: Obtener el respaldo de la dirección
Para que un Plan Director de Seguridad sea efectivo, es esencial que cuente con el apoyo y la aprobación de la alta dirección. Los responsables de IT y finanzas juegan un papel fundamental en esta etapa, pues deben comunicar la importancia de cada proyecto, el coste de los riesgos asociados y el valor de la inversión en ciberseguridad. Un buen ejercicio, puede ser comparar el coste de una posible brecha de datos con la inversión necesaria para prevenirla.
Paso 5: Puesta en marcha de las acciones aprobadas
Con el Plan Director de Seguridad aprobado, es momento de implementar las acciones definidas. La ejecución puede adaptarse a la metodología de cada organización, y debe considerar aspectos como la dotación de los recursos necesarios y el establecimiento de una supervisión continua. Es recomendable realizar un seguimiento periódico de los avances para asegurar que cada acción cumpla con los objetivos y plazos establecidos.
Paso 6: Medir, ajustar y volver a comenzar con el paso 1
La ciberseguridad es un proceso continuo. Una vez implementado el Plan Director de Seguridad, es fundamental realizar revisiones periódicas. Las necesidades y amenazas cambian, por lo que el plan debe adaptarse para seguir siendo efectivo. La revisión constante permite optimizar la seguridad de la empresa sin incurrir en gastos innecesarios y mejora la capacidad de respuesta ante nuevos riesgos. Este ciclo constante asegura que el PDS se mantenga alineado con la evolución de la organización y su entorno.
Conclusión
Implementar un Plan Director de Seguridad Informática le permite alinear las inversiones en seguridad informática con el plan estratégico de su empresa.
Propone las medias para proteger los datos críticos y asegurar la continuidad de la actividad del negocio.
Fortalece la confianza de la propia organización, de clientes y socios comerciales.
En un entorno en el que las amenazas evolucionan constantemente, un PDS puede marcar la diferencia entre un incidente de seguridad o una crisis de negocio.
¡Mi mejor cliente, me pide un análisis de la postura de seguridad de mi empresa, para seguir trabajando conmigo!
El próximo 18/10/2024 se producirá la transposición de la Directiva Europea (UE) 2022/2555, también llamada Directiva NIS 2 a la legislación española.
Dicha directiva tiene como objetivo garantizar un elevado nivel común de ciberseguridad en toda la Unión.
Inicialmente, la directiva europea ha definido 18 sectores industriales como de alta criticidad o críticos.
En esta transposición entre otras cosas, España deberá especificar a qué empresas pertenecientes a estos 18 sectores, afecta en base a su tamaño y en qué grado les afecta, diferenciando entre “Esenciales” e “Importantes”.
En el artículo 21 de la Directiva NIS 2, se señalan una serie de medidas de seguridad, encaminadas a protegerse, que las empresas “esenciales” e “importantes deben de aplicar.
En concreto en el apartado, 21 d de la Directiva Europea NIS 2, se especifica de entre todas las medidas a implementar sobre la gestión de los riesgos de ciberseguridad, la Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.
Por lo tanto, para poder cumplir con la nueva normativa, lo que su cliente le está pidiendo es que realice un análisis del grado de exposición de su empresa a posibles riesgos en ciberseguridad y que le facilite los informes resultantes.
Qué debería de hacer
Un análisis inicial, de la postura de seguridad de su empresa que incluya:
Análisis de la superficie de ataque externa.
Detección de vulnerabilidades.
Informe con medidas de corrección a implementar.
Un análisis final, tras la corrección de vulnerabilidades del que se desprenda un informe final con la nueva postura de seguridad de la empresa.
Qué puede hacer SETEINCO por su empresa
En SETEINCO disponemos de un servicio de monitorización de la superficie de ataque con capacidades para validar Playbooks de ataque, detectar vulnerabilidades, priorizar actividades de remediación e indicar inversiones para mejorar la postura de ciberseguridad de su empresa.
La superficie de ataque
Es todo el frente expuesto que un posible atacante puede utilizar para llevar a cabo sus actividades delictivas. Está formada por activos digitales, identidades digitales, información pública, servicios web, API etcétera.
Enfoque proactivo
Simulamos la actividad de un ciberdelincuente, para recuperar toda la información preliminar necesaria para preparar un ataque, empezando por las URL públicas que exponen a la víctima.
Una vez recopilada toda la información, procedemos a detectar las aplicaciones expuestas y sus vulnerabilidades, para después validarlas y mitigarlas antes de que puedan ser explotadas.
Informes
Tras el análisis de superficie de ataque, elaboramos un documento que muestra el grado de evaluación de la postura de seguridad, junto con una especificación de las vulnerabilidades detectadas.
De este modo, su empresa dispondrá de informes detallados con los que comprender qué acciones deben emprender para solucionar sus lagunas de seguridad y para demostrar posteriormente que han tomado las medidas correctoras necesarias.
Como mencionamos en nuestro artículo sobre HIPERCONVERGENCIA, en SETEINCO disponemos de una solución informática que garantiza la recuperación de la actividad de una empresa tras un ataque informático en solo 15 minutos, con una pérdida de información de entre 5 y 15 minutos.
En nuestro compromiso por proteger los datos, el activo más valioso de cualquier empresa, hemos dado un paso más aplicando el modelo de Confianza Zero (ZERO TRUST), que asume que las amenazas pueden provenir tanto desde fuera como desde dentro de la red de una organización. Por ello hoy queremos hablarle de una solución de software para Data Security Posture Management (DSPM) en la que estamos certificados y que ya está a disposición de nuestros clientes.
Data Security Posture Management (DSPM)
El DSPM es un enfoque que las organizaciones adoptan de cara a identificar, gestionar y asegurar su información, minimizando el riesgo de fuga o pérdida. Dicho enfoque ayuda a estas organizaciones a entender, supervisar y mejorar continuamente la seguridad de sus datos a lo largo de su ciclo de vida.
“Auditamos, clasificamos y protegemos el Dato, proporcionado visibilidad y trazabilidad.”
¿Qué ofrecen nuestras soluciones? DSPM
Descubrimiento, clasificación y control de los datos.
Control total de permisos de acceso a los datos.
Auditoría de actividad de todos los datos.
Monitorización de los puestos de trabajo.
Descubrimiento, clasificación y control de los datos.
Gestión de Clasificación Multi-entorno: Ofrece herramientas para clasificar y localizar datos sensibles en diversos entornos, incluyendo repositorios locales, nubes, y estaciones de trabajo, ampliando la seguridad más allá del perímetro organizacional.
Registro de Auditoría de Acceso a Datos Sensibles: Un sistema que documenta todas las actividades relacionadas con el acceso a datos sensibles, permitiendo rastrear quién accedió a qué información y en qué momento.
Protección contra la Fuga de Datos: Funcionalidades para prevenir o detectar la exfiltración de datos sensibles, ya sea a través de medios electrónicos o impresiones físicas.
Gestión del Ciclo de Vida de los Datos: Permite definir políticas para el almacenamiento, retención y eliminación adecuada de datos sensibles, cumpliendo con los requisitos legales y normativos.
Control total de permisos de acceso a los datos.
Registro de Auditoría de Permisos: Un sistema que documenta todas las actividades relacionadas con la gestión de permisos, incluyendo las acciones realizadas por los usuarios autorizados.
Notificaciones de Cambios de Permisos: Capacidad para recibir alertas o notificaciones cuando se realizan cambios en los permisos, ayudando a detectar posibles problemas de seguridad o intentos no autorizados.
Informes y Análisis de Permisos: Generación de informes y análisis detallados sobre los permisos asignados y su uso, facilitando la identificación de posibles vulnerabilidades o incoherencias en la configuración de los permisos.
Gestión de Permisos en Tiempo Real: Posibilidad de aplicar cambios de permisos de forma inmediata, sin necesidad de reiniciar o interrumpir los servicios o sistemas.
Revisiones Periódicas de Permisos: Funcionalidad para realizar auditorías y revisiones periódicas de los permisos asignados, garantizando que los usuarios solo tengan acceso a lo que realmente necesitan.
Auditoría de actividad de todos los datos.
Registro de Actividades: Mantiene un registro detallado de todas las acciones realizadas en los ficheros, incluyendo quién accedió, cuándo, desde dónde y qué acciones se llevaron a cabo.
Reportes y Análisis: Proporciona informes periódicos o en tiempo real sobre las actividades de los ficheros, ayudando a evaluar la eficacia de las políticas de seguridad y a detectar tendencias o anomalías.
Auditoría Forense: Facilita la investigación de incidentes de seguridad pasados al ofrecer un historial detallado de eventos relacionados con los ficheros.
Protección contra Cambios no Autorizados: Permite alertar, identificar y revertir cambios inesperados en los ficheros críticos que puedan ser indicativos de una intrusión.
Centralización: Ofrece una visibilidad global de todos los eventos de archivos en su organización, independientemente de su ubicación (local, en la nube, endpoints).
Monitorización de los puestos de trabajo.
Informes de Actividad y Productividad: Proporciona informes detallados sobre el uso del tiempo por parte de los usuarios, ayudando a mejorar la eficiencia y optimizar las operaciones.
Monitorización de Aplicaciones y Uso de Recursos: Permite supervisar qué aplicaciones se están utilizando, cuánto tiempo se emplea en cada una y cómo se utilizan, facilitando la gestión de recursos.
Registro de Actividad: Registra la actividad de los usuarios en sus estaciones de trabajo, incluyendo acceso a aplicaciones, sitios web y archivos. Permite bloquear o restringir el acceso a aplicaciones o sitios web no autorizados, mejorando la seguridad y la productividad.
Alertas de Actividad Sospechosa: Genera alertas automáticas cuando se detecta actividad inusual o sospechosa en el puesto de trabajo, permitiendo una respuesta rápida a posibles amenazas.
Cumplimiento de Políticas y Normativas: Asegura que los usuarios sigan las políticas y regulaciones establecidas por la organización, como las relacionadas con el uso aceptable de recursos informáticos.
En SEINCO estamos decididos a convertirnos en su socio tecnológico, desde la nube hasta la planta de producción. Acompañamos y liberamos a su departamento IT y OT de la operativa rutinaria, las tareas de mantenimiento, monitorización y gestión de incidencias, para que éste se pueda centrar en planificar y supervisar.
Es posible que, por mi profesión, tenga el foco demasiado puesto en los Ataques Informáticos, ya sabes lo que quiero decir, tienes un bebé y de repente la ciudad se llena de carritos de bebés. Este pasado mes de mayo tuve la sensación de que fueron demasiados, los ataques declarados por empresas a las que se presupone capacidad económica, para tomar todas las medidas necesarias de cara a proteger sus datos y los datos de sus clientes.
Algo está ocurriendo en/con España
La UNIVERSIDAD COMPLUTENSE de Madrid sufre un ciberataque y avisa de que se han podido exponer datos personales de los usuarios.
El BANCO SANTANDER informa de un ciberataque que afecta a clientes y a toda la plantilla.
IBERDROLA sufre un ciberataque y deja al descubierto los datos de unos 850 000 clientes.
La DGT investiga la posible venta de datos de 27 millones de conductores.
TELEFÓNICA investiga una supuesta filtración de datos de 120 000 clientes y empleados.
DECATHLON España anuncia que ha sufrido un ciberataque.
El grupo de hackers ShinyHunters asegura haber accedido a la información de 560 millones de clientes de TICKETMASTER.
Filtración de datos tras un ataque
Una filtración de datos ocurre cuando información sensible, confidencial o protegida es robada y divulgada sin autorización. Esta información puede incluir datos personales de los clientes, información financiera, propiedad intelectual, etcétera.
Dicha información es vendida posteriormente por lotes, que se usan para distintos fines como, por ejemplo:
Phishing Específico
A diferencia del phishing genérico, el spear phishing es altamente dirigido. Utilizando datos personales como nombres, direcciones, empleadores y otra información específica, los atacantes pueden crear correos electrónicos o mensajes que parecen legítimos y personalizados. Esto aumenta significativamente la probabilidad de que las víctimas caigan en la trampa, proporcionando más información sensible o descargando Malware.
Robo de Identidad
Con acceso a información personal detallada, los ciberdelincuentes pueden asumir la identidad de las víctimas para abrir cuentas bancarias, solicitar tarjetas de crédito o realizar compras en línea. El robo de identidad puede tener consecuencias devastadoras para las víctimas, incluyendo daños a su calificación crediticia y problemas legales.
Ingeniería Social
La ingeniería social implica manipular a las personas para que revelen información confidencial. Con datos detallados obtenidos de una filtración, los atacantes pueden hacerse pasar por colegas, amigos o familiares, solicitando información adicional o acceso a sistemas. Este tipo de estafa se basa en la confianza y la familiaridad, lo que lo hace especialmente peligroso.
Extorsión y Fraude
Los datos personales también pueden ser utilizados para extorsionar a las víctimas. Por ejemplo, si un atacante obtiene acceso a información comprometedora, puede amenazar con hacerla pública a menos que se pague un rescate. Además, los estafadores pueden utilizar datos financieros para realizar transacciones fraudulentas, vaciando cuentas bancarias o realizando compras no autorizadas.
Ataques a Empresas
Las empresas también son blanco de estafas personalizadas. Utilizando información filtrada sobre empleados, estructura organizativa y operaciones internas, los ciberdelincuentes pueden lanzar ataques dirigidos (personalizados), como el compromiso de correo electrónico empresarial (BEC), donde se hacen pasar por ejecutivos para autorizar transferencias de dinero fraudulentas.
¿Tiene sentido reclamar judicialmente a las empresas atacadas por los posibles daños sufridos por las personas cuyos datos han sido filtrados?
Uufff amigos, ¡con la ley hemos topado!, reclamar judicialmente a las empresas que han sufrido filtraciones de datos es un tema complejo que depende de diversos factores, desde las leyes y regulaciones locales, a las circunstancias específicas de la filtración y la capacidad de demostrar que la empresa fue negligente en la protección de los datos. Pero no olvidemos que “Las empresas tienen la responsabilidad legal de proteger los datos personales de sus clientes”.
Para reclamar judicialmente, generalmente es necesario demostrar que la empresa fue negligente en sus prácticas de seguridad. Esto puede incluir la falta de implementación de medidas de seguridad adecuadas, la ausencia de protocolos de respuesta a incidentes, o la falta de cumplimiento con las normativas de protección de datos. Si la filtración de datos fue el resultado de una negligencia clara, esto podría fortalecer el caso de la demanda.
Demandas exitosas contra empresas por filtraciones de datos
Pues sí, no solo es que tenga sentido, sino que existen precedentes que lo avalan.
La cadena hotelera Marriott se enfrentó a una demanda colectiva tras una filtración que expuso los datos de aproximadamente 500 millones de personas entre 2013 y 2014. Aunque no se mencionan detalles específicos del acuerdo, se destaca como una de las mayores brechas de seguridad y una de las más significativas en términos de la cantidad de personas afectadas.
En 2014, Home Depot sufrió una filtración que comprometió más de 50 millones de números de tarjetas de crédito y 53 millones de direcciones de correo electrónico. La compañía pagó múltiples acuerdos, incluyendo $19.5 millones a los consumidores afectados, $25 millones a instituciones financieras y $17.5 millones a 46 estados de EE. UU. y Washington D.C., sumando un total de aproximadamente $179 millones.
En 2017, Equifax acordó pagar hasta 700 millones de dólares para resolver las reclamaciones relacionadas con una masiva filtración de datos que afectó a aproximadamente 147 millones de personas.
La mayor compañía de seguros de Estados Unidos, Anthem, Inc., acordó pagar $115 millones en 2017 para resolver una demanda colectiva tras una filtración de datos que comprometió la información privada de 80 millones de clientes. Dichos datos incluían números de Seguridad Social e información bancaria.
En 2022, T-Mobile llegó a un acuerdo de $350 millones tras una filtración de datos que afectó a aproximadamente 77 millones de personas. Los datos comprometidos fueron puestos a la venta en un foro de ciberdelincuencia. Además del acuerdo, T-Mobile se comprometió a gastar $150 millones adicionales en seguridad de datos y tecnología relacionada.
La inversión en seguridad informática
La inversión en seguridad informática debe ser considerada una prioridad estratégica esencial para las empresas, no solo desde una perspectiva de cumplimiento normativo, sino también como una forma de proteger activos críticos, mantener la confianza de los clientes y asegurar la continuidad del negocio.
La cuestión ya no es si voy a sufrir o no un ciberataque, sino cuándo ocurrirá.
