“2016 será el primer año de la historia con más Ciberdelitos que crímenes violentos en España”. Con esta rotunda afirmación finalizaba Ignacio Cosidó, Director General de la Polícia Nacional, el Programa de Innovación en Ciberseguridad de la Deusto Business School.

Estamos ante una confirmación más de lo que venimos observando en los medios de comunicación, donde cada día salen a la luz nuevos casos de ataques cibernéticos sobre organismos públicos y empresas. Una realidad que no deja a nadie indiferente y a la que hay que enfrentarse con el suficiente conocimiento en la materia. Para ello, el primer y primordial paso es conocer la legislación española vigente relacionada con la Ciberseguridad. Con este objetivo, el INCIBE se ha encargado de recopilarla en un único documento, denominado “Código de Derecho de la Ciberseguridad” y que fue publicado el pasado jueves 21 de julio en el BOE.

Debe aclararse, como se indica en el documento, que “no es tanto un Código Legislativo como pudiera ser el Código Penal o el Civil, como un compendio que aglutina las principales normas relacionadas con Ciberseguridad”. Se trata de un documento que ronda las 900 páginas y que pone al alcance de cualquier persona una obra (disponible en formato digital), cuyo propósito es “fijar las directrices generales en el uso seguro del ciberespacio a través del impulso de una visión integradora que garantice la seguridad y el progreso en España”.

[Read more…]

Escalofriante es la palabra que me viene a la cabeza a la luz de los datos recogidos en el último informe elaborado por el BID (Banco Interamericano de Desarrollo) y la OEA (Organización de los Estados Americanos), llamado “Ciberseguridad 2016 ¿Estamos preparados en América Latina y el Caribe?”

Estamos ante el primer informe que ha sido capaz de analizar el estado en el que se encuentran 32 países de América Latina y el Caribe en el ámbito de la Ciberseguridad. Antes de saber a dónde queremos llegar, es necesario saber en qué punto estamos y más hoy en día, donde el ciberdelito le cuesta al mundo un montante que ronda los 575.000 millones de dólares al año, lo que se puede valorar en un 0,5 % del Producto Interior Bruto mundial.

El número de ciberdelitos está en constante crecimiento, y por tanto la exposición de las organizaciones a este tipo de delitos es mayor, con las consecuentes pérdidas económicas que puede suponer para dichas organizaciones. Este tipo de delito no solo afecta a entidades privadas, sino que los propios sistemas de información de entidades gubernamentales se encuentran a merced de ataques de esta índole. Con el objetivo de que esto no ocurra, lo primero es saber en qué punto se encuentran estas regiones y después comenzar a implantar medidas que reduzcan los niveles de riesgo.

[Read more…]

Empezaré contextualizando. Supongamos que nos hemos convertido en administradores  de sistemas de una gran empresa y comenzamos a darnos cuenta de que cada vez más empleados se están conectando a la red corporativa desde su smartphone o tablet personal. Para más inri, dichos empleados no están muy concienciados en términos de seguridad y mientras están trabajando con datos sensibles de la empresa, se encuentran descargando apps o accediendo a páginas webs afectadas por malware.

Ante esta situación podemos deducir que existe un descontrol sobre el uso de los dispositivos personales de los empleados sobre la red corporativa. Esta acción cada vez más común en las empresas está asociada al concepto BYOD, del que ya hablamos aquí en 2012 y cuatro años después continua en evolución.

La pregunta que se nos viene a la cabeza rápidamente es ¿cómo podemos gestionar esta situación? Una vía es repartir a todos los empleados un dispositivo corporativo configurado previamente en aras de que no utilicen el suyo personal, no obstante esta solución conlleva un gran desembolso. Otra posible alternativa y de la que vamos a hablar en este post es la gestión de forma centralizada mediante la herramienta MDM “Mobile Device Management”.

A través de las 6 populares W (what, why, where, when, how and who) intentaré explicar en que consiste este software. Allá vamos…

What? (¿Qué es?) MDM es un software que permite proteger, monitorizar y administrar el uso de los dispositivos sobre la red corporativa de la empresa.

Why? (¿Por qué?)
Es básico, si una empresa permite que usuarios se conecten con sus equipos a la red corporativa, se requiere de una seguridad para controlar el acceso y las acciones realizadas, por lo contrario los datos estarían totalmente expuestos ante cualquier ataque o pérdida del dispositivo por parte del propio empleado. Además MDM ofrece las siguientes ventajas:

• Seguridad
• Control
• Gestión de aplicaciones

Where? (¿Donde?)  El software MDM sería necesario para aquellas empresas con un número de empleados elevado. Cuantos más empleados se conecten a la red corporativa y traten con datos o aplicaciones de la organización, proporcionalmente aumentan las posibles amenazas.

When? (¿Cuando?) Existen varios casos por los cuales se puede decidir implantar el software MDM en una organización.

• Uso de BYOD
• Necesidad de los datos y cifrado de sesión
• Control integral
• Dispositivos con diferentes sistemas operativos
• Incumplimiento de la seguridad

How to choose MDM? (¿Cómo elegir MDM?) Depende absolutamente de las necesidades particulares de cada organización. Microsoft, Airwatch, Symantec son algunas de las empresas que ya ofrecen dicha solución en modalidad SaaS.   A la hora de elegir una de las soluciones MDM, la empresa se puede basar en los siguientes factores:

• Política de los dispositivos
• Escalabilidad
• Seguridad
• Conformidad
• Configuración remota
• Análisis

Who? (¿Quién?) A la hora de implantar el software MDM en una organización, la propuesta debería de partir del Comité de Seguridad de la misma. Actualmente existen varias empresas que ofrecen este servicio y que son compatibles con Microsoft Exchange por ejemplo o con los diferentes dispositivos Android, Apple iOS, BlackBerry, Symbian, Windows Mobile, Windows Phone desde la misma consola de administración.

En el siguiente cuadro se pueden ver las funcionalidades y los problemas que puede ofrecer el software MDM (fuente: [1]):

En el siguiente video podéis saber más sobre MDM:

Fuentes:

1. Rhee, Keunwoo, Woongryul Jeon, and Dongho Won. “Security requirements of a mobile device management system.” International Journal of Security and Its Applications 6.2 (2012): 353-358.
2. https://eugene.kaspersky.es/mdm-control-de-dispositivo-moviles/
3. http://www.air-watch.com/es/soluciones/administracion-de-dispositivos-moviles
4. http://www.track.es/mdm-mobile-device-management/

Imagen: https://pixabay.com/es/tel%C3%A9fono-m%C3%B3vil-llamar-alcanzable-586268/, por niekveerlan.

“Sí, se puede robar una cartera, pero nadie puede robarte la mano” o “No vamos a tener carteras llenas de pedazos de plástico en 20 años”. Así de contundente lo afirma Juan José Tara Ortiz, un ingeniero de sistemas em
bebidos en Arduino que ha desarrollado el hardware para grabar, escribir y leer la información del chip RFID que se ha implantado en su propia mano Patric Lanhed.

Sí, tal y como has leído, un desarrollador de software sueco de la empresa DigitasLBI en Malmö se ha implantado en su propia mano un chip RFID que le facilita mover dinero entre sus cuentas bancarias además de poder hacer compras online.

[Read more…]

Después de medio año trabajando en un centro de servicios, he de decir que el número de incidencias que se tratan al cabo del día, semana o mes, es increíblemente mayor del que yo pensaba cuando entré, sin contar la atención a usuarios o proyectos determinados. Bueno, en realidad es mucho más mayor del que yo pensaba cuando me explicaron en la universidad el concepto de centro de servicios TI.

La gestión de incidencias es uno de los pilares de un centro de servicios TI, engloba desde algo tan simple como la configuración de IE en un equipo de un usuario por escritorio remoto hasta la monitorización del estado de la infraestructura de la organización. Pero la realidad es que en todas las incidencias que trataba, resolvía o escalaba a otro nivel o departamento, no me daba cuenta del conjunto de implicaciones en materia de seguridad de la información que atañe a un centro de servicios TI.

[Read more…]