//
Archivos

Archivos para

Soluciones de seguridad para la empresa: contingencia y continuidad

Sobrevivir a los incidentes de seguridad se ha convertido en una prioridad para las empresas.

En el ámbito de la seguridad TIC, la protección tiene dos vertientes o facetas distintas, por un lado, podemos hablar de la seguridad anterior a un incidente, es decir, medidas de tipo preventivo, destinadas a evitar que se produzca y por otro, seguridad posterior a un incidente, es decir, medidas de contingencia y continuidad, destinadas a conseguir la vuelta a la normalidad.

La faceta de prevención es muy conocida y es la vertiente de la seguridad más extendida y en la cual se centra una buena parte de los esfuerzos que realizan las organizaciones y las empresas, pero en los últimos años se han producido importantes cambios en el mapa de las amenazas relacionado con su número y con su origen. En la práctica, el resultado ha sido, por un lado, un aumento del número de incidentes y del impacto o daño que pueden llegar a producir y por otro, un aumento de la probabilidad de que cualquier empresa u organización sufra un incidente, puesto que la dependencia de la tecnología también ha aumentado y por ende, las amenazas y el posible impacto.

La conclusión es evidente: la prevención no basta, puesto que siempre existe la posibilidad de sufrir un incidente. Esta idea lleva aplicándose muchos años en otros ámbitos y sectores, por eso existen los seguros: “Nadie concibe conducir un vehículo sin un seguro (además de otras medidas de seguridad del propio vehículo, como puede ser un airbag), puesto que cualquier persona es consciente de que puede sufrir un accidente. Las medidas de contingencia y continuidad son el equivalente del seguro de coche o del airbag aplicado al ámbito de la seguridad.

La industria de seguridad centra una buena parte de sus esfuerzos al desarrollo de soluciones que están destinadas a aquellos escenarios en los cuales finalmente se produce un incidente de seguridad. En estas situaciones, hay que hacer frente a dos problemas fundamentales:

  • Contingencia. El primer problema tiene que ver con el impacto que puede tener el incidente si este consigue producirse. Si las medidas de prevención no han funcionado, tienen que existir otras que permitan reducir el impacto de un incidente, por ejemplo, mediante las copias de seguridad. Es decir, las medidas de contingencia están destinadas a hacer posible la recuperación ante un incidente.
  • Continuidad. El segundo problema, tiene que ver con la velocidad a la que es posible recuperarse. No es lo mismo recuperarse de un incendio en el que se han quemado todos los equipos e infraestructuras, que recuperarse de un corte de alimentación que ha estropeado varios ordenadores o de un virus. En cada escenario y en función de muchos factores, variará el tiempo necesario para volver a la normalidad y en cualquier caso, siempre se intentará que sea el mínimo posible.

Entre las soluciones de seguridad relativas a contingencia y continuidad más conocidas se encuentran las copias de seguridad, o las soluciones de rescate o de recuperación de sistemas, que permiten recuperar el sistema completo (sistema operativo y aplicaciones). Entre estas soluciones también están disponibles servicios de consultoría destinados al diseño de planes de contingencia y continuidad, puesto que además de soluciones técnicas, también hay que contemplar aspectos organizativos y jurídicos.

Desde INTECO-CERT, recomendamos la utilización de soluciones de copias de seguridad como primera línea de recuperación ante un incidente de seguridad. Por otro lado, en el Catálogo STIC, están disponibles más de 700 soluciones relacionadas con la contingencia y la continuidad de negocio.

Fuente: Inteco

Prevención de blanqueo de capitales y protección de datos personales.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10.4, establece que será posible la cesión de datos de carácter personal sin contar con el consentimiento del interesado cuando “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.

En este sentido la entrada en vigor de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, recoge la obligación de los sujetos enumerados en su artículo 2, de establecer requisitos de control y conservación de documentos en operación que excedan de 15.000 euros, en una o varias operaciones siempre que el pago se efectúe en metálico, cheques bancarios al portador o pagos electrónicos que tengan la consideración de pago al portador; identificando a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, realizando una comprobación previa, mediante documentos fehacientes.

Quedan fuera del sometimiento a las obligaciones, como sujetos obligados, los abogados, en relación al entablar relaciones de negocio, comunciación por indicio y colaboración con el SEPBLAC, con respecto a la información que éstos tengan de sus clientes al defenderles en procedimientos judiciales.

La Ley incorpora a nuestro sistema normativo la Directiva 2005/60/CE del Parlamento europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006, por la que se establecen disposiciones de aplicación de la citada Directiva, en lo relativo a la definición de personas del medió político y a los criterio técnicos aplicables en los procedimientos simplificados de diligencia debida con respecto al cliente así como en lo que atañe a la exención por razones de actividad financiera ocasional o muy limitada.

La citada Ley establece como obligaciones dentro del control citado, la identificación formal de la persona física o jurídica que realice la operación, la realización de un examen de comportamientos y operaciones complejas que puedan tener relación con el blanqueo de capitales o financiación del terrorismo, la obligatoriedad de comunicar cualquier indicio al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), estableciendo la prohibición de revelación de dichas comunicaciones a terceras personas; en la medida de los posible se abstendrán de ejecutar dichas operaciones, así mismo se establece la obligación de conservar dicha información diez años.

En lo relativo a la conservación, tratamiento y comunicación de datos de carácter personal, el artículo 32 somete el cumplimiento de la norma a la Ley Orgánica 15/1999,d e 13 de diciembre, de protección de datos de carácter personal y normativa de desarrollo. Especificando que no se requerirá, como es lógico, el consentimiento del interesado para el tratamiento de los datos necesarios para el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales, ni para las obligadas comunicaciones el SEPBLAC, estableciéndose una excepción legal al deber de información recogido en el artículo 5 de la citada Ley Orgánica. Existiendo una prohibición expresa de revelar a los propios clientes o terceros que su informaciçon ha sido comunicada al SEPBLAC o que la misma esta siendo objeto de exámen .

Como se desprende del espíritu de la Ley 10/2010, la excepción al deber de información se amplia al ejercicio de derechos de acceso, rectificación, cancelación y oposición por el afectado, debiendo los sujetos obligados, informarle en los términos del artículo 32.3.

La Ley otorga la condición de encargados de tratamiento a los órganos centralizados de prevención, y eleva al nivel alto de seguridad las medidas aplicables a los ficheros que contengan datos de prevención de blanqueo de capitales y financiación del terrorismo.

La Ley, así mismo se centra en el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude, cuando concurran circunstancias excepcionales que se determinen reglamentariamente, pudiendo la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, acordar dicho intercambio de información, referida a determinado tipo de operaciones distintas o a clientes sujetos a determinadas circunstancias, siempre que se encuentren en la categorías de sujetos obligados, previstas en el artículo 2 de la Ley.

La Ley establece, además, la obligación de los sujetos obligados de establecer medidas en las operaciones con personas que desempeñen o hayan desempeñado responsabilidades públicas, tanto en otros Estados miembro de la Unión Europea, como en terceros países, así como sus damiliares y personas con la consideraciíon de allegados.

Los sujetos obligados podrán intercambiar información relativa a las operaciones con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o financiación del terrorismo cuando las características y operativa del supuesto, implique la posibilidad de que una vez rechazada por el sujeto obligado, al operación pueda llevarse a cavo, con otro sujeto obligado, con idéntico desarrollo u operativa.

Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes podrán consultar la información contenida en los ficheros siempre que el acceso fuese necesario para el cumplimento de las obligaciones recogidas en la Ley. Dicho acceso deberá quedar limitado a los órganos de control interno y las unidades técnicas de control creadas en el ámbito de los sujetos obligados.

En relación a la conservación de documentos, el artículo 25 de la Ley establece que los sujetos obligados conservarán durante un periodo de diez años la documentación en que se formalice el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo, así como el lo referente a la investigación o análisis, en materia de posibles casos infractores, especificando el artículo que documentos se deben conservar. Dicha conservación se realizar, preferiblemente, en soportes ópticos, magnéticos o electrónicos, que garanticen su integridad, la correcta lectura, la imposibilidad de manipulación y su adecuada conservación y localización.

De los citados preceptos de la Ley 10/2010, deducimos la obligatoriedad por parte de los sujetos obligados, de creación e inscripción del correspondiente Fichero de datos de carácter personal ante la Agencia Española de Protección de Datos; quedando clara su finalidad (la prevención del blanqueo de capitales y financiación del terrorismo), el Responsable del Fichero y encargado de tratamiento, así como las medidas aplicables (nivel alto de seguridad) y los destinatarios de cesiones y comunicaciones, así como los propios usuarios del sujeto obligado que podrán acceder a la información con la correspondiente obligatoriedad de llevar los necesarios registros de acceso a la información, así como los registros destinados al inventariado de los soportes que la contienen.

En relación al registro de personas con responsabilidad pública, se faculta a los sujetos obligados, para la creación de gficheros, aún cuando no se mantengan con ellos relaciones negociales, pudiendo los sujetos obligados, recabar toda la información necesaria sin necesidad de tener el previo consentimiento, sólo pudiendo ser utilizada la información para el cumpliento de las medidas previstas en la Ley 10/2010.

Fuente:http://www.dlcarballo.com/2012/02/prevencion-blanqueo-capitales-y-lopd/

El Hospital Clínico de Valladolid es sancionada por extraviar una historia clínica.

Los hechos ocurrieron en 2009, cuando la denunciante solicitó al Hospital Clínico de Valladolid su historial clínico y tuvo constancia de que la información había sido extraviada, recibiendo contestación por parte de la dirección del centro hospitalario mediante carta, en la que se decía “que su historial clínico ha sido reconstruido y archivado para su utilización en sucesivas ocasiones, a la espera de su próxima localización. El hospital se encuentra inmerso en un proceso de digitalización de la historia clínica, que evitará en un futuro situaciones como la que usted relata en su escrito”.

En su resolución R/02182/2010, La Agencia Española de Protección de Datos, en relación a la conservación de la historia clínica, tal y como se recoge en el artículo 18 de la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, expone que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado para cada caso y, como mínimo, cinco años, desde la fecha de alta de cada proceso asistencial”, continuando citando el artículo 19 de la Ley, por el que se establece que “el paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas”.

El artículo 14 de la citada Ley define historia clínica como conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro. Estableciendo que cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal atribuye al responsable del fichero, o en su caso el encargado de tratamiento, la responsabilidad de adoptar cuantas medidas, técnicas y organizativas, fueren necesarias para garantizar la seguridad de los datos, evitando así su pérdida, alteración o acceso no autorizado, independientemente de que los riesgos provengan de la acción humana o del medio físico o natural.

El Reglamento de desarrollo de la Ley Orgánica de protección de datos, en su articulo 5.1.g) dispone que se entenderá por “datos de carácter personal relacionados con la salud: las informaciones concernientes a la saluda pasada, presente y futura, física o mental, de un individuo”. Conforme a la clasificación de niveles de seguridad recogidos en la norma, a los datos referentes a la salud pasada, presente o futura de las personas deberán aplicarse la medidas de nivel alto. El artículo 81.3.a) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que “además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual”.

Además de la carencia de medidas de seguridad en cuanto a su localización, la acción del Hospital pone de manifiesto otras irregularidades en el cumplimiento normativo en materia de protección de datos, como son el inventariado de soportes, o el registro de personas que acceden a la información, entre otros, cuya correcta llevanza habría facilitado la localización del historial clínico y su entrega a la paciente solicitante. La resolución sancionadora de la Agencia Española de Protección de Datos califica los hechos como infracción grave, en virtud al artículo 44.3.h) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”.

La resolución, de diciembre de 2010, no lleva aparejada sanción económica por tratarse de una administración pública, pero si sienta un precedente aplicable a cualquier centro de trabajo, y con mayor relieve a aquellos que tratan datos especialmente protegidos, la falta de celo profesional o el descuido en las medidas de seguridad, puede conllevar un riesgo en la confidencialidad de la información de la que somos responsables, el extravío de la misma lleva consigo la posibilidad de que un tercero no autorizado pudiera acceder a la misma y, utilizarla con fines no autorizados, pudiendo poner en riesgo el honor e intimidad del afectado.

En relación a las medidas de seguridad, cabe recordar las expuestas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, artículos 101 y siguientes en lo relativo a datos informatizado y, 111 y siguientes en lo referente a datos en formato papel; además de las referentes a los niveles medio y básico.

Fuente:http://www.dlcarballo.com/2012/02/sancion-extraviar-historia-clinica/

 

Una residencia de ancianos es sancionada por facilitar datos de ancianos a una farmacia.

El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.

El titular de la farmacia reconoció que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información de sus residentes: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.

En los contratos suscritos entre la residencia y los residentes, tal y como quedó probado, no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por su parte, la residencia de ancianos argumentó que presta a los residentes un servicio de atención integral, que permita cubrir todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añadiendo que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.

La Sala del Tribunal Supremos, mantiene que no está en condiciones de determinar el modo en que se debería proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por la Residencia, contra sentencia de la Audiencia Nacional, que confirma la sanción de la Agencia Española de Protección de Datos de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Fuente: http://www.dlcarballo.com/2012/04/sancion-por-facilitar-datos-de-ancianos-a-una-farmacia/

 

Publicación del 5º Monográfico de Seguridad: seguridad en dispositivos móviles

INTECO, aborda la seguridad en dispositivos móviles en la quinta edición de los monográficos de seguridad.

En los últimos años hemos asistido a una revolución tecnológica sin precedentes de la mano de las tecnologías móviles, y hemos comenzado a ser conscientes del enorme potencial de estas tecnologías, las cuales literalmente, están influyendo en todos los aspectos de nuestras vidas.

Las tecnologías móviles han traído consigo el desarrollo de nuevos servicios, nuevos modelos de desarrollo y de comercialización de aplicaciones y servicios, que han supuesto un aumento de la demanda de estos dispositivos, una demanda que está revitalizando e impulsando a la industria de las tecnologías de la información a nuevos niveles.

Al mismo tiempo que crece la demanda de más y mejores funcionalidades, más servicios y más aplicaciones, ha comenzado a aumentar la preocupación en torno a la seguridad de las tecnologías móviles y es que los ciberdelincuentes y las organizaciones criminales no son ajenas a esta revolución y se han dado cuenta del enorme potencial criminal que encierran estas tecnologías.

Dada la importancia que está adquiriendo la seguridad en dispositivos móviles, desde INTECO-CERT, y a través del quinto monográfico de seguridad, queremos dar la oportunidad a los usuarios, empresas y organizaciones en general, de conocer las soluciones de seguridad que el mercado pone a su alcance y que les van a permitir hacer un uso más seguro de las tecnologías móviles, poniendo a su alcance todo un abanico de soluciones de seguridad, las cuales están actualmente disponibles en el mercado nacional de seguridad TIC.

En la sección de publicaciones del catálogo STIC, se pueden consultar los anteriores monográficos publicados, que abordan temáticas tan interesantes como el cumplimiento legal o la seguridad perimetral.

El documento PDF accesible está disponible en el siguiente enlace:
Monográfico de Seguridad de Dispositivos Móviles

Fuente: Inteco

Pérdida y fuga de información

La pérdida o fuga de información es una de las principales amenazas a las que se enfrentan las empresas y las organizaciones.

Cada vez es más habitual ver en los medios de comunicación noticias relacionadas con incidentes de seguridad, en los cuales, un grupo de hackitivistas, cibercrimales o la competencia, roban o sustraen información confidencial de una organización, que suelen provocar consecuencias importantes: pérdidas económicas, daño de la imagen y pérdida de reputación, o incluso multas o sanciones por incumplimiento de legislación en materia de protección de datos personales.

Los incidentes relacionados con la pérdida o fuga de información se pueden clasificar según el motivo o causa que las origina. Por un lado, puede tratarse de un incidente provocado, por ejemplo, en el robo de secretos industriales o la venganza de un empleado descontento, pero también, puede tratarse de un incidente, por ejemplo, el extravío de un ordenador portátil o un teléfono móvil, o el envío de información fuera de la organización sin tomar las debidas precauciones o por error.

El problema de la fuga de información siempre ha estado presente en las empresas, pero las tecnologías móviles y los mecanismos de almacenamientos han agravado y multiplicado este tipo de incidentes, puesto que, cada vez almacenamos más información en estos dispositivos y cada vez existen más aplicaciones, servicios y herramientas para compartir, transferir y procesar información desde cualquier lugar y en cualquier momento, generalmente fuera de la organización, lo que aumenta la probabilidad de este tipo de incidentes.

Luchar contra las fugas de información requiere acciones en tres ámbitos, con medidas de tipo técnico, de tipo organizativo y de tipo jurídico:

  • Medidas de tipo técnico. Por un lado, es necesario disponer de medidas técnicas, en forma de soluciones, servicios o herramientas que permitan mecanismos de seguridad para la prevención y detección de la fuga de información. Muchas de estas soluciones están destinadas a la monitorización y control, son las denominadas soluciones de DLP (Data Loss Prevention). Por otro lado, existen soluciones de seguridad destinadas al control de contenidos, que restringen y limitan el acceso a la información o a los dispositivos, como es el caso de las memorias USB.
  • Organizativo. La pérdida o fuga de información está muy relacionada con la forma en que se maneja o se trata la información y en muchas ocasiones, este tipo de incidentes se producen por una mala práctica, o la falta de conocimiento del usuario. En este sentido es fundamental establecer políticas de seguridad, además de formar e informar a todos los empleados. En el ámbito organizativo, existen soluciones destinadas a la gestión del ciclo de vida de la información o ILM (Information Lifecycle Management) que ayudan a las organizaciones a gestionar la vida de la información desde que esta es generada o elaborada hasta su archivado o destrucción final.
  • Jurídico. Por otro lado, es fundamental contar con mecanismos jurídicos, tanto internos como externos, de forma que por un lado, los empleados conozcan sus obligaciones en relación con la información que utilizan y por otro, se cumplan las normativas que apliquen en relación con la información que se gestiona en la organización, como puede ser aquella relacionada con datos de carácter personal, de forma que en caso de un incidente, la organización esté lo más protegida posible ante posibles sanciones o denuncias.

Finalmente, cuando se diseñan y seleccionan las medidas de seguridad, hay que tener en cuenta el posible impacto ante un robo o perdida de información ya que este puede tener distintas consecuencias en función del tipo de información y del tipo de organización.

Desde INTECO-CERT, recomendamos extremar las precauciones en relación con este tipo de incidentes, sobre todo si se trata de organizaciones que proporcionan servicios en la nube, o empresas que comercializan productos on-line, puesto que un robo de datos puede tener importantes consecuencias sobre sus clientes y sobre la imagen de la organización.

Fuente: Inteco

Soluciones de seguridad para la empresa: protección contra código malicioso

El código malicioso continúa siendo una de las principales amenazas a las que se enfrentan las organizaciones, las empresas y los usuarios.

Cuando hablamos de amenazas en seguridad TIC, hay una entre todas ellas que es recurrente y que ha logrado sobrevivir a más de tres décadas, creciendo, evolucionando y adaptándose conforme avanza la tecnología informática: el código malicioso (malware) o en lenguaje coloquial, los “virus”.

Para los expertos en seguridad, cualquier programa diseñado con fines maliciosos o dañinos, como robar información, alterar un sistema o impedir su uso (entre otros), es denominado código malicioso.

Actualmente, la variedad de estos programas es tal que referirse a estos como “virus” es hablar únicamente de una de las formas que pueden adoptar estos programas. Es más, el término “virus” hace referencia a una característica muy particular, la capacidad para copiarse a sí mismos, de forma similar a como lo hacen los virus que atacan a organismos biológicos, como es el caso de los virus humanos. Lo cierto es que la tipología de estos programas es muy extensa, tanto como lo son las actividades para las cuales son diseñados. Algunos de los tipos de código malicioso más conocidos son los siguientes:

  • Virus. Tal y como se ha comentado son programas capaces de crear copias de sí mismos, de forma que anexan estas copias a otros programas legítimos o en zonas especiales de soportes de almacenamiento, como en el caso de los disquetes o los discos duros. Los virus suelen diseñarse para producir todo tipo de problemas en un ordenador, como volverlo más lento, bloquearlo o impedir el acceso a la información.
  • Gusanos. Los gusanos son un tipo de código malicioso que se diseño originalmente para su propagación a través de redes de comunicaciones, mediante el uso de servicios como el correo electrónico. En la actualidad, son capaces de propagarse a través de servicios de mensajería instantánea o de redes de intercambio de ficheros (P2P) y su velocidad de propagación es muy alta en comparación con los virus, alcanzando además, zonas geográficas muy amplias. En realidad las técnicas de propagación de los gusanos son usadas por otros tipos de código malicioso.
  • Troyanos. Son programas diseñados para acompañar o ser incorporados a programas legítimos. Su propagación es, a diferencia de los virus o los gusanos, “manual”, en el sentido de que es el usuario el que, mediante la distribución del programa que contiene el troyano facilita su propagación. Los troyanos se han especializado en el robo de credenciales bancarias y son una de las mayores amenazas en la actualidad, por la proliferación de este tipo de código malicioso, muy utilizado por los ciberdelincuentes.
  • Spyware. Son programas destinados a la recolección de información sobre la actividad de un usuario. Están diseñados para pasar inadvertidos, de forma que el usuario no perciba ningún tipo de actividad fuera de lo normal. Cuanto más tiempo pasen sin ser detectados, más información serán capaces de recopilar, que luego es enviada a servidores o direcciones de correo que la recogen y la usan para todo tipo de fines.
  • Adware. Son programas diseñados para mostrar publicidad al usuario. Suelen ser instalados junto con otros programas legítimos. Estos programas pueden recopilar información sobre la actividad del usuario con objeto de mostrar publicidad dirigida y específica. En general este tipo de aplicaciones son más bien una molestia, pero su instalación puede suponer un peor funcionamiento del ordenador y también, el acceso a sitios y páginas Web que pueden contener a su vez código malicioso.

Además del código malicioso descrito, hay muchos más, pero no es objeto de esta nota explicar todos y cada uno de ellos. Por otro lado, hoy día el código malicioso se ha vuelto muy complejo, hasta el punto de que es difícil en ocasiones saber de qué se trata o clasificarlo, puesto que hay código malicioso que incorpora características de los virus, pudiendo actuar como un troyano, con las capacidades de propagación de un gusano y recopilando información como si se tratara de Spyware. En definitiva, el código malicioso es capaz de propagarse a través de diversas vías y medios y una vez llega a un sistema, es capaz de realizar múltiples tareas, incluso son capaces de recibir órdenes o funcionar como parte de un grupo de programas maliciosos.

El código malicioso siempre ha sido una amenaza tanto para los usuarios domésticos como para las empresas y las organizaciones, pero en los últimos años se han producido cambios importantes en el ámbito del desarrollo del código malicioso, también conocida como industria del Ciber Crimen que han convertido el código malicioso en una amenaza que hay que tomarse muy en serio.

  • Hoy día, detrás de la mayoría del código malicioso actual se esconden grupos criminales perfectamente organizados, que cuentan con medios y profesionales que son captados para desarrollar este tipo de programas.
  • Por otro lado, la motivación detrás del desarrollo de este tipo de programas es fundamentalmente económica, lo que implica que tanto los usuarios como las organizaciones y las empresas son objetivos potenciales de estas amenazas. Nadie está a salvo.
  • Además, han aparecido los primeros casos de código malicioso diseñado para la ciberguerra, diseñados para infiltrarse y causar daños a infraestructuras tecnológicas del ámbito industrial, lo que ha añadido otro jugador más al terreno del código malicioso, el ciberterrorista.

El código malicioso ha pasado de ser una amenaza que en ocasiones no suponía más que un mensaje divertido en la pantalla del ordenador o un mal funcionamiento del sistema a programas que roban datos bancarios, que secuestran ordenadores impidiendo a sus dueños el acceso a la información a cambio de dinero o convierten el ordenador infectado en parte de una red de ordenadores zombie (Botnet) que es utilizada para el envío masivo de correos de spam o para realizar campañas de phishing.

Para defendernos de esta amenaza la industria de seguridad ofrece múltiples soluciones, que podríamos englobar en tres grupos principales:

  • Soluciones para el puesto de trabajo. Son soluciones de protección contra código malicioso que se instalan en el puesto de trabajo, en el ordenador de sobre mesa o en el portátil. Su ámbito de protección es precisamente, el puesto de trabajo.
  • Soluciones corporativas. Son soluciones de protección contra este tipo de amenaza cuyo ámbito de protección es toda la organización o un gran número de sistemas. Habitualmente son soluciones en formato UTM (Unified Threat Management), pero también las hay como software que se instala en servidores o equipos que proporcionan servicios a muchos usuarios. También existen soluciones en modalidad de servicio, como las que ofrecen los SOC (Security Operation Center) o incluso los propios ISP (Internet Service Provider) que proporcionan servicios de protección que filtran todo el tráfico que llega y sale de la organización en busca de código malicioso.
  • Soluciones para dispositivos móviles. Las soluciones de seguridad para dispositivos móviles son aquellas que se instalan en teléfonos inteligentes y tabletas. Son soluciones destinadas a sistemas operativos como iOS, Android o Blackberry OS, sistemas operativos diseñados originalmente para dispositivos con capacidad para conectarse a redes de telefonía móvil. A diferencia de las soluciones para el puesto de trabajo o las tradicionales para entornos corporativos, las soluciones para dispositivos móviles están en pleno desarrollo y en una fase temprana de su evolución.

Este tipo de aplicaciones ofrecen protección contra muchos tipos de código malicioso. Inicialmente, era muy habitual que las soluciones estuvieran más especializadas, de forma que podíamos encontrar Anti-Virus, Anti-Troyanos, Anti-Spyware, por separado. Hoy día la tendencia son las soluciones que protegen contra múltiples tipos de amenazas que pueden llegar además, a través de múltiples vías: dispositivos de almacenamiento, correo electrónico, mensajería instantánea, etc.

Dentro de las medidas de seguridad básicas, es fundamental contar con una solución para la protección contra el código malicioso, que disponga de actualizaciones constantes y que nos proteja contra el amplio abanico de código malicioso que existe y que no para de crecer.

Por último, desde INTECO-CERT os recordamos que la mejor defensa es contar con información sobre las amenazas y riesgos que aparecen constantemente.

FUENTE: INTECO

Necesidad de un plan de contingencia

Una vez conocidas las razones más importantes para la implantación del plan, cualquier empresa cuyo flujo de negocio lo requiera, debería comenzar a estudiar la posibilidad de crear un plan de continuidad de negocio con su plan de contingencia correspondiente.

Este plan debe contemplar los elementos críticos que afectan al funcionamiento normal de la empresa y aquellos que necesitan estar disponibles. De igual modo, no sólo ha de centrarse en los elementos tecnológicos, si no también en los procedimientos y procesos.

Evaluación económica: ¿Cuánto me puede costar?

No existe un precio o porcentaje fijo que indique el coste de implantación de un plan de contingencia. Sin duda, se trata de una de los elementos más importantes que componen el plan de continuidad de negocio y como tal, el coste dependerá en función del tamaño de la empresa, de los elementos a implementar para cumplir el plan, etc.

Desarrollo y mantenimiento del plan

El plan de contingencia sigue un ciclo de vida iterativo denominado PDCA (->Planificar -> hacer -> comprobar -> actuar ->). Este plan nace de un análisis de riesgos donde se identifican las amenazas que pueden afectar a la continuidad de negocio.

Sobre el análisis previo se seleccionan las contramedidas o soluciones más adecuadas reflejándolas en el plan de contingencia junto con los recursos necesarios para implementarlo. Se ha de tener en cuenta que en principio no es necesario contemplar todos los procesos de la empresa, si no los que sean más críticos e impidan el normal funcionamiento del negocio o la falta de servicio.

El plan de contingencia se revisará periódicamente. Generalmente la revisión suele venir acompañada sobre un nuevo análisis de riesgos.

Adicionalmente, el plan de contingencia debe expresar claramente:

  • El personal implicado en el cumplimiento del plan y su rol dentro del mismo
  • Qué recursos materiales y técnicos son necesarios
  • Cómo son los protocolos de actuación que se deben seguir

Impacto sobre el negocio

Los elementos a determinar en el análisis del impacto sobre el negocio incluyen la clasificación de recursos y procesos críticos, y el período de tiempo en el que se debe efectuar la recuperación de los mismos antes de que las pérdidas sean significativas o inaceptables.

Un menor tiempo de recuperación del desastre requerirá un mayor inversión

Obviamente, todo este análisis tiene una repercusión en los costes del plan, por cuanto un menor tiempo de recuperación va a requerir de una mayor inversión para su restablecimiento efectivo.

Plan de recuperación ante desastres

El plan de recuperación de desastres es un procedimiento que se ocupa de la restauración de un sistema (informático o no) después de un incidente no planificado o desastre. Este plan sobre todo trata todo lo relacionado con la parte tecnológica, es decir, restaurar los Sistemas de Información al estado previo al desastre.

El “plan de recuperación” restaura el sistema al estado previo al incidente

El proceso de recuperación puede comprender la restauración de copias de seguridad, reposición de elementos de hardware, desinfección de software malicioso, etc.

Integración en el plan de seguridad

El plan de contingencia es uno de los elementos, si no el más importante que componen el plan de seguridad, y está contenido dentro del plan de continuidad de negocio que a su vez se integra en el Sistema de Gestión de Seguridad de la Información (SGSI – Certificación) o del Plan Director de Seguridad (sin certificación).

Fuente: Inteco

¿Qué es un plan de contingencia?

Cualquier tipo de empresa o compañía debería contar con un mínimo sistema que garantice su operabilidad o servicio ante un desastre o fallo que pueda darse. En ocasiones se cree que únicamente las grandes amenazas o catástrofes son las que pueden incidir de una manera más directa y negativa sobre nuestro negocio. Esta idea es un error.

Es un error pensar que nuestro negocio únicamente se puede ver afectado por grandes catástrofes

Existen multitud de amenazas de menor magnitud como un corte eléctrico, un virus informático, empleados descontentos, etc. que pueden repercutir sobre el servicio y generar desconfianza sobre clientes, proveedores, etc.


Para evitar lo expuesto previamente, es necesario desarrollar el denominado “Plan de Contingencia”. Se trata de una serie de directivas técnicas, humanas y organizativas a implementar que tienen como fin mantener la continuidad del negocio ante un incidente. El plan de contingencia está unido al Plan de Seguridad.

Objetivo

El objetivo principal de un plan de contingencia es definir las acciones que una empresa ha de realizar en caso de que alguna contingencia (incidente) impida su funcionamiento normal, y recuperar, en el periodo más breve de tiempo, las operaciones y servicios que se han definido como críticas para el negocio.

Razones para implantar el plan

Actualmente en España, entre las PYMES, no existe una conciencia clara en relación a la adopción de planes de continuidad de negocio y por ende, de contingencia. Las razones para implantar un plan de contingencia pueden ser muy numerosas en función de los controles a aplicar. A continuación se listan las más importantes:

  • El hecho de tener pérdidas significativas de datos, en muchas empresas supone el cierre de la misma
  • Existen estudios que afirman que el 40% de las empresas que sufren un desastre de importancia y no tienen implantado un plan de contingencia, cesan su negocio
  • Contar con un plan de contingencia asociado a un plan de seguridad, aporta confianza frente a terceros
Fuente: Inteco

La importancia de disponer de un plan ante desastres

La gestión posterior a un incidente de seguridad, es tan importante como la prevención.

Cuando se habla de seguridad TIC, las empresas y organizaciones suelen concentrar una buena parte de sus esfuerzos en aumentar la protección y la prevención, con el objetivo de evitar que se produzcan incidentes. La prevención es una faceta fundamental de la seguridad, y las empresas y organizaciones dedican importantes esfuerzos en este sentido, tratando de luchar contras las posibles amenazas y riesgos de seguridad.

La seguridad al 100% no existe, por lo que finalmente, siempre hay un pequeño porcentaje de las amenazas que pueden terminar materializándose, generando incidentes de seguridad con diversas consecuencias para las empresas y las organizaciones, afectando a su actividad, infraestructuras o activos, o incluso, provocando su desaparición.

La gestión de las consecuencias derivadas de los incidentes de seguridad, ha cobrado fuerza en los últimos años y las organizaciones y las empresas cada vez otorgan mayor importancia a contar con planes de gestión y de recuperación ante desastres ante incidentes de seguridad, de forma que en la actualidad, se ha convertido en una rama más de la seguridad TIC y de la seguridad en general agrupándose bajo el término “Contingencia y Continuidad de Negocio”, precisamente en referencia al objetivo de mantener a toda costa la actividad de la organización y reducir al mínimo el impacto sobre su actividad.

Los planes de contingencia y continuidad de negocio intentan dar respuesta a dos preguntas que se plantean cuando una amenaza finalmente consigue generar un incidente de seguridad:

  • ¿Cómo podemos minimizar las consecuencias? Es necesario contar con medidas y procedimientos que permitan reducir lo más posible las consecuencias de un incidente a todos los niveles. Dichas medidas serán de carácter técnico, organizativo y jurídico. El objetivo es por tanto, minimizar el impacto.
  • ¿Cómo podemos retomar la actividad lo antes posible? Por otro lado, el plan deberá de establecer las medidas y mecanismos que permitan retomar la actividad lo antes posible o devolverla a un estado lo más parecido posible a como se encontraba antes del incidente. Se trata por tanto, de reducir el tiempo de recuperación.

El diseño de planes de contingencia y continuidad de negocio es complejo, y depende del tipo de actividad de la organización, su estructura y organigrama, sus activos, procesos e infraestructura así como de los recursos disponibles y finalmente, de las amenazas potenciales y su impacto.

En este sentido, se debe de tener en cuenta, no sólo amenazas de tipo tecnológico, como el código malicioso o el fallo de un disco duro, sino también aquellas relacionadas por ejemplo, con los desastres naturales, el fuego, o las posibles dependencias de proveedores externos, es decir, amenazas cuyo origen no es necesariamente tecnológico, pero que pueden tener impacto sobre las infraestructuras y los activos de información, y por tanto sobre la organización y su actividad.

Desde INTECO-CERT recomendamos contar con medidas de contingencia y continuidad de negocio, como las copias de seguridad, así como contar con asesoramiento profesional o apoyo en caso de que se produzca un incidente que ponga en peligro la actividad de la organización.

Fuente: Inteco

Estadística del blog

  • 108,410 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: