Ciber resiliencia

Cualquier tipo de empresa u organización, independientemente del tamaño o sector de actividad, es susceptible de sufrir ciberataques en continua evolución y con mayor grado de sofisticación lo que deja a las empresas en situaciones de mayor vulnerabilidad y aumenta las necesidades de protección y seguridad. Las deficiencias de las empresas frente a estos ataques se presentan por la inexistencia de medidas técnicas concretas o sistemas poco eficaces para hacerlos frente, carencia de recursos o déficit de formación al respecto e incapacidad de la organización para la obtención y análisis de pruebas que la permita comprobar su capacidad frente a este tipo de ataques. Por lo tanto las empresas deben de ser capaces de reaccionar frente a estos ciberataques con respuestas rápidas, de modo que sus servicios no se vean alterados ni interrumpidos, basándose en la identificación, detección, prevención, contención y recuperación frente a estos y en la mejora continua respecto a las ciberamenazas. Consecuentemente todas las organizaciones se ven obligadas a adaptarse a estos nuevos entornos en los que los mecanismos de ciberseguridad requieren de constante revisión y actualización. Se considera un sistema robusto aquel que es capaz de soportar cualquier tipo de presión sin afectar ni cambiar su comportamiento natural. Sin embargo, un sistema que no puede soportar tal presión, pero es capaz de integrar y asumir cambios para mitigar las presiones y continuar con su funcionamiento se le denomina ciber resiliente. La Asociación por la Resiliencia Cibernética define la resiliencia cibernética como la capacidad de los sistemas y organizaciones para resistir a los eventos cibernéticos mediante la combinación del promedio de tiempo necesario para que se...

Una estrategia para la ciberseguridad

El desarrollo del ciberespacio, entendido como el conjunto de infraestructuras de tecnologí­as de la información, Internet, redes y sistemas de la información y de telecomunicaciones, presenta una serie de riesgos y amenazas que se materializan en la ejecución de ciberataques caracterizados por su bajo coste (recursos fácilmente accesibles o gratuitos), fácilmente ejecutables (sin necesidad de grandes conocimientos técnicos y desde cualquier lugar), de gran efectividad e impacto y reducido riesgo para el atacante (facilidad de ocultación y marco legal disperso o inexistente). Para hacer frente a esta situación en diciembre de 2013 se aprobó la Estrategia de Ciberseguridad Nacional. Por su interés publicamos en este artí­culo un resumen del documento cuyo propósito es fijar unas directrices generales para el uso seguro del ciberespacio que garantice la seguridad y el progreso nacional. Se basa en un liderazgo y coordinación asumida por el Presidente del Gobierno; en una responsabilidad compartida entre agentes públicos, privados con responsabilidades en la materia y la implicación de los ciudadanos en la ciberseguridad; en un principio de proporcionalidad, racionalidad y eficacia en la gestión de los riesgos para proporcionar confianza en las TIC y evitar trabas al desarrollo de nuevos servicios y finalmente en la cooperación internacional para la adopción de medidas eficaces. Si bien se trata de alcanzar un objetivo global, hacer un uso seguro de las TIC fortaleciendo las capacidades de defensa, detección y respuesta a los ciberataques; se definen estos otros seis objetivos siguientes: Garantizar que todos los sistemas TIC de las Administraciones Públicas tienen el nivel adecuado de ciberseguridad y resiliencia. Impulsar la seguridad de los sistemas TIC en el sector empresarial...

Costes ocultos de la transición a cloud

  Existen una serie de factores que hay que tener en cuenta cuando se adopta la decisión de migrar a la nube, uno de ellos son los costes y especialmente la aparición de costes ocultos que pueden tener un impacto notable en la relación coste beneficio de los servicios cloud. En este artí­culo intentaremos descubrir y analizar cuáles son estos. Tradicionalmente las adquisiciones de hardware y software están debidamente presupuestadas y planificadas. La nube implica un cambio en las prácticas presupuestarias puesto que los gastos TI se diluyen en los presupuestos totales de la empresa propiciando que el departamento TI pudiera asumir o cargar con costes generales de la estructura empresarial. Para el salto a la nube hay que evaluar los costes y los beneficios potenciales. Uno de los atractivos más poderosos de la nube son los precios de los servicios cloud, pero existen unos costes imprescindibles, en algunos casos considerables, de transición, integración, etc. Un informe de Gartner sobre los servicios cloud publicado en abril de 2011 alertaba a los responsables de TI sobre las medidas para la gestión de los riesgos inherentes y gastos inesperados de la transición a la nube; entender los cambios que suponen y llevar a cabo planes realistas de adquisiciones y contratos cloud que puedan reducir el riesgo y contemplar que los costes están incluidos en el ciclo de vida de los servicios de aprovisionamiento constituido por una estrategia de compras, una selección adecuada de proveedores, el proceso de contratación y la gestión y gobernabilidad del servicio. Tanto el trasiego y movimiento de gran cantidad de datos como su almacenamiento durante tiempos prolongados pueden...

Dispositivos móviles y comunicaciones seguras (y V)

  Con este artí­culo finalizamos la serie de publicaciones respecto a la seguridad en las comunicaciones móviles haciendo referencia a la telefoní­a de 2G y 3G, respecto 4G no lo consideraremos debido a su escasa penetración y limitada cobertura actual. La telefoní­a móvil 2G se basa en el estándar GSM (Global System for Mobile communications) desarrollado por la CEPT (Conference Européene des Administrations des Postes et Telécommunications) que posibilita comunicaciones puno a punto (fax, mensajes SMS). Con la incorporación de los protocolos GPRS (General Packet Radio Service) y EDGE (Enhanced Data Rates for GSM Evolution) permite el acceso a Internet constituyendo ya un sistema digital donde se trata de garantizar la seguridad y privacidad de las comunicaciones mediante algoritmos criptográficos para la autenticación de usuarios y cifrado de las comunicaciones, obteniendo velocidades de transmisión de hasta 236 Kbps. Para incrementar la velocidad en la transmisión de datos se desarrolla la 3G a partir del estándar UMTS (Universal Mobile Telecommunications System) por el grupo 3GPP (3rd Generation Partnership Project) como una evolución del estándar GSM. Con la incorporación de los protocolos HSDPA (High Speed Downlink Packet Access), HSUPA (High Speed Uplink Packet Access) y HSPA+ (HSPA Evolucionado) se llegan alcanzar velocidades de hasta 42 Mbps. Por último aparece 4G desarrollado por 3GPP y basado en LTE-Advanced (Long Term Evolution Advanced) basado exclusivamente en la conmutación de paquetes con velocidades de 250 Mbps-1 Gbps. La seguridad en 2G es prácticamente inexistente, los protocolos GSM, GPRS y EDGE presentan múltiples vulnerabilidades y los algoritmos de cifrado están actualmente superados siendo objeto de diversos ataques. Ataques de escucha pasiva para la interceptación, escucha de...

Dispositivos móviles y comunicaciones seguras (IV)

La tecnología Wi-Fi permite la comunicación inalámbrica entre dispositivos en un rango de 1 a 250 m., variando según se realice la comunicación en interiores o al aire libre, a través de Internet mediante un punto de acceso o directamente entre los propios dispositivos utilizando redes de comunicaciones especí­ficas o Wi-Fi Direct (estándar mediante el cual uno de los dispositivos pasará a ser el punto de acceso). Se pueden desplegar redes Wi-Fi abiertas sin mecanismos de seguridad o redes seguras bajo autenticación y cifrado basadas en los protocolos WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) y WPA2. Hasta el momento el protocolo más seguro es el WPA2 que presenta dos modalidades, redes de tipo empresarial y de tipo personal. Además pueden ser visibles u ocultas, en este caso para poder efectuar la conexión es necesario conocer el nombre de la red. Hay que tener en cuenta que las conexiones se van almacenando en la PNL (Preferred Network List) del dispositivo para facilitar conexiones automáticas y rápidas posteriormente. Es evidente que una de las mayores amenazas en las comunicaciones Wi-Fi proviene de las conexiones a redes públicas abiertas, tan prolí­ficas en la actualidad y disponibles en aeropuertos, hoteles, autobuses, centros públicos, etc., en las que los mecanismos de seguridad son prácticamente inexistentes, carecen de métodos de autenticación y cifrado e imposibilidad de supervisión y control de la conexión por el propietario del dispositivo, arriesgándose a ataques de suplantación de red, denegación de servicio, inyección de tráfico o captura de datos. Igualmente las redes WEP se pueden considerar inseguras puesto que los mecanismos de cifrado en los que se basan...