tisec-seguros

Espacio tiSec: El despegue de los Seguros de Responsabilidad Cibernética

El pasado Jueves 25 de Febrero, estuve en el espacio tiSec de Revista SIC. Un encuentro de profesionales del sector en el que casi 200 personas pudimos escuchar de primera mano las impresiones sobre una tendencia al alza, la de los seguros de responsabilidad cibernética.

Allí, José de la Peña Muñoz, Director de la revista, nos puso en situación al contarnos que este tema se empezó a escuchar en el 2014 y que, poco a poco, va tomando forma. Desde Revista SIC están totalmente convencidos de que los seguros van a estar muy presentes en un futuro cercano.

Para entender bien todo esto, tuvimos la oportunidad de escuchar tres presentaciones muy interesantes…

 

Modelo de proyecto de integración de la transferencia de riesgos en la transformación digital de las empresas

Fernando Picatoste Mateu, Socio Responsable de Cyber Risk Services en Deloitte, hizo hincapié en que las innovaciones rompen el perímetro de seguridad de las empresas. Hemos pasado a un mundo full digital que expande la actividad de los empleados y usuarios a entornos antes no controlados, como el hogar en dispositivos móviles.

Este cambio, que hace que el trabajo y los activos dejen de estar exclusivamente en la oficina para quedarse en nuestro móvil, tablet, cloud… es algo a lo que el departamento de seguridad y la gestión de riesgos tiene que entender y adaptarse cuanto antes.

La actividad actual pasa por poner controles, pero es imposible estar 100% seguro, por lo que el trato del riesgo residual se convierte en asumirlo o traspasarlo.

En este escenario, las empresas están expuestas a ciberataques y a presión regulatoria, que las empuja poco a poco a la necesidad de contratar seguros que se puedan hacer cargo de cierto tipo de riesgos.

Sin embargo, las empresas siguen reticentes a este cambio, principalmente por:

  • Subestiman los costes (pérdidas) derivados de un ataque.
  • Creen estar protegidas por la normativa legal.
  • Los contratos con las aseguradoras son complejos.

Si se deciden dar el paso, el proceso consistirá en:

  • Realizar un análisis de riesgos sobre los activos de la empresa.
  • Entender las pólizas para saber en qué caso cumpliríamos las condiciones o exclusiones.
  • Valorar el coste de la implantación de controles contra el coste del seguro.
  • Entender correctamente el proceso de reclamación cuando ocurra un suceso.

Por último, nos recuerda que es importante entender que este tipo de seguros cubren los casos de robo, fraude, forense, interrupción… pero nunca van a poder cubrir las pérdidas de reputación o el hecho de que no vuelva a ocurrir.

 

Servicios de ciberseguridad gestionada con coberturas de seguro asociadas

Juan Miguel Velasco López-Urda, Partner Managin Director en Aiuken Solutions, ofreción una visión un tanto catastrófica, pero en gran parte real, de la situación actual.

Estamos en un mundo en el que la conectividad es la base de todo y está basada en unos pilares que dejan bastante que desear. Nos basamos en una arquitectura de red insegura por definición, en unos sistemas operativos vulnerables, en dispositivos que piensan más en el diseño que en la seguridad… y en un entorno que nos adiestra para tener “confianza visual”, nos creemos todo lo que nos cuentan.

Es por eso que estamos en un mundo lleno de peligros, lo que hace que los seguros sean reacios a entrar en el mundo de los riesgos cibernéticos. Sin embargo aseguran a pilotos de F1, a gente que hace puenting…

El problema de fondo es que en España no cuantificamos ataques ni impactos, lo que deja a los seguros sin capacidad para evaluar hasta qué punto les puede ser viable ofrecer productos.

Es muy importante que las empresas pierdan el miedo a ofrecer esta información. En América es un dato público que permite medir de forma correcta lo que los ataques representan a las compañías.

En este punto nos contó la experiencia de Aiuken, por lo que os invitamos a visitar su web y conocer sus servicios.

 

Pólizas de seguros para empresas ante riesgos de ciberseguridad

Jesús Marcos de la Fuente, Director del área técnica de seguros patrimoniales en Reale Seguros, vino a contarnos de primera mano el nuevo servicio “Reale Ciber Seguridad”, un producto orientado a pymes y autónomos y que cubre:

  • Asistencia Técnica y gastos de investigación del siniestro
  • Gastos de reparación y recuperación de datos borrados y equipos dañados
  • Responsabilidad Civil frente a terceros
  • Responsabilidad por datos de carácter personal
  • Defensa Jurídica

Todo por una cuota que oscila entre los 200 y 400€ anuales y que ofrece asesoramiento e incluso auditoría de los sistemas del cliente.

Un servicio muy interesante y pionero en España que, seguro, irá a más en la versión 2.0 que Jesús nos anunció para medio plazo.

 

El despegue de los Seguros de Responsabilidad Cibernética

Para finalizar, se realizó una mesa de debate. A los anteriores ponentes se unieron Rafael Hernández González, Responsable de Seguridad de la Información de Cepsa, y Alfredo Zorzo Losada, Responsable de Seguros de Orange España.

Los asistentes pudimos realizar todo tipo de preguntas sobre las dudas y complicaciones derivadas de este tipo de servicios, así como la acogida que pueden tener y el futuro de los mismos. Sin duda, un interesante intercambio de ideas muy enriquecedor.

 

Por supuesto, no quiero terminar sin agradecer la invitación al evento a la revista SIC y a los copatrocinadores del evento, Aiuken Solutions y Reale Seguros.

P.D.: Por si te ha sabido a poco, también puedes visitar la crónica oficial del evento.

¿Están mis datos y ficheros personales y empresariales que están alojados en el Cloud cumpliendo con lo exigido en la LOPD?

Hola! de nuevo, hoy vengo con un tema un poco controversial, sobre los servicios en la nube llamado también cloud y su cumplimiento con la LOPD (Ley de Orgánica de Protección de Datos)  que en España protege los derechos de las personas a salvaguardar su honor e intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Esta Ley está regida y controlada por la AGPD (Agencia Española de Protección De Datos) en este sentido es de por sí controversial los servicios en la nube como en este caso en particular los ofrecidos por la empresa Microsoft.

Uno de sus productos estrella y que aloja una serie de soluciones empresariales es el Office 365 que contiene los productos Exchange Online (Correo electrónico), SharePoint Online (Gestión de documentos y contenido), Project Server Online (Gestión de Proyectos), Skype Empresarial (Comunicaciones Unificadas), Onedrive Empresarial (Almacenamiento de Ficheros) y la suite de productos de Office 2016 (Word, Excel, PowerPoint y NotePad).

En este sentido la pregunta que muchos nos hacemos es la siguiente.

¿Están mis datos y ficheros personales y empresariales que están alojados en el Cloud cumpliendo con lo exigido en la LOPD?

La respuesta es un rotundo “SI” de hecho ha sido Microsoft pionero en España en cumplir la LOPD, de por si existe un libro que habla exclusivamente de este tema y que puedes descargar en el siguiente enlace:

LOPD Libro Microsoft

https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CCAQFjAAahUKEwjDy97wxp_IAhVBBBoKHbi5AC8&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2FC%2F2%2F6%2FC2689C05-2B67-4D11-BD2A-43CF9DBCE59E%2FLibro_LOPD_V2_Alta.pdf&usg=AFQjCNFVe8JwJ0y4lEOt45oRpm-2KKhNoQ&sig2=m1B9K8Vaq3jKw7q7-AkvzA

Tambien la AGPD ha publicado una nota donde ha certificado que las soluciones corporativas de Microsoft cumple con las garantías para la exportación de los datos.

Los productos y soluciones corporativos son: Office 365, Dynamics CRM Online y Microsoft Azure.

Cloud

Hay que aclarar que esto es una garantía en cuanto a que da a los usuarios corporativos la tranquilidad de la protección de su intimidad personal y a las empresas la tranquilidad que sus datos están protegidos.

Aumentando la confianza de las empresas en migrar sus datos desde su CPD tradicional a la nube (Cloud), con todas las ventajas que trae ello consigo.

Nota: https://news.microsoft.com/es-es/2014/06/06/aepd-servicios-cloud-microsoft/

Asi que dormir tranquilos que los datos en Microsoft están a salvo y cumpliendo la ley…..

Hasta la próxima.

Sigue #Windows10 heredando el mismo REGEDIT ¿?

Hola a todos, recientemente Microsoft ha lanzado su nuevo sistema operativo de escritorio bajo el nombre de “Windows 10” e invita a todas las personas con sistemas operativos Windows XP, Windows 7, Windows 8 y Windows 8.1 a descargarlo gratuitamente bajo la única condición de tener una licencia legal http://www.microsoft.com/es-es/windows/windows-10-upgrade

 

Aunque se ha rumorado por allí que hay equipo “no legales” que están recibiendo igualmente la actualización.

 

En este sentido y viendo curiosamente una idea que se ha ocurrido es ver si el famoso REGEDIT sigue teniendo la misma estructura de código que viene arrastrando desde Windows 7.

 

El REGEDIT es el corazón del sistema operativo de Windows y no son muchos los administradores de sistemas y CISO que toman las medidas necesarias para que los usuarios comunes o delincuentes informáticos entren en el y realicen algunas travesuras como eliminar programas, cambiar las fuentes al sistema, corromper el sistema operativo etc. etc.….. hay que reconocer que dentro de nuestro grupo PIRULETO HACKING TEAM ya se ha realizado una travesura “sana” en algún Kiosco digital.

 

Ahora a ponernos manos a la obra.

 

En este ejemplo vamos a ver si la clave RUN, que es la que permite ejecutar programas apenas iniciar Windows (el malware le encanta esta llave de registro) sigue estando en el mismo sitio en los diferentes sistemas operativos arrancando desde Windows 7, luego Windows 8.1 y finalmente Windows 10.

 

Como siempre he dicho una imagen vale mas que mil palabras:

 

Advertencia: Tocar el REGEDIT es muy peligroso sino tienes conocimientos técnicos ni se te ocurra tocarlo.

 

Windows 7

2015-08-20_19-09-55Figura 1. Menú de Inicio de Windows 7

2015-08-20_19-11-02Figura 2. Registro de Windows 7

Windows 8.1

2015-08-20_19-13-39Figura 3. Búsqueda de Registro en Windows 8.1

2015-08-20_19-14-42Figura 4. Registro de Windows 8.1

Windows 10

2015-08-20_19-18-15Figura 5. Menú de Inicio de Windows 10

2015-08-20_19-19-56Figura 6. Registro de Windows 10

Como podemos ver y concluir sigue teniendo el mismo formato lo que nos hace deducir por ende que seguimos con el mismo REGEDIT heredado desde Windows 7.

Comprensible que realizar un cambio de arquitectura de software es muy costoso y se sigue una misma estructura para facilitar las migraciones de versiones y programas pero, en mi opinión se puede mejorar a medida que se evoluciona el sistema operativo esto con respecto al REGEDIT que como hemos visto no ha cambiado nada.

Medidas preventivas para evitar que nos modifiquen el REGEDIT.

  • No dar privilegios administrativos a los usuarios de nuestra red corporativa
  • Desplegar políticas de seguridad a través de nuestro directorio activo vía Group Policies Management Console GMPC https://technet.microsoft.com/es-es/library/Cc754948(v=WS.10).aspx
  • Utilizar software de terceros para proteger cambios en nuestro REGEDIT
  • Utilizar sistemas de alertas e intrusión en nuestros sistemas operativos que detecten cambios en el REGEDIT

 

Hasta una próxima……..

money

¿Cuánto cuesta la Seguridad?

Muchas veces nos hemos puesto a pensar cuando estamos en puestos de responsabilidad informática, siendo consultores o arquitectos esta pregunta, ¿Cuánto cuesta la seguridad?, pensemos por un momento que depende desde el punto de vista de donde lo estemos enfocando, porque la pregunta es muy amplia con muchas respuestas inclusive.

Puede ser que lo estemos enfocando desde el punto de vista del negocio, en ese caso no vamos a pensar no evaluar la inversión en hardware y software que tenemos que invertir (CAPEX) porque los que nos importa es sacar los números de ¿cuánto dinero le cuesta a la empresa el estar fuera de servicio por un fallo de seguridad?. Muchos son los ejercicios prácticos que se han reflejado en los últimos tiempos como el fallo informáticos en Bancos, Grande Cadenas de Hoteles, Empresas de Corretaje de Bolsa entre otras… Donde el un segundo sin servicio informático por un ataque, fallo o vulnerabilidad son millones de euros o dólares.

Desde este punto de vista somos nosotros responsables de buscar planes de contingencia y planes de continuidad de negocios que nos permitan afrontar y mitigar estos flecos de seguridad así podemos tener una previsión del tiempo que nos costara levantar nuevamente la empresa, con una previsión aproximada de costes asumidos por el tiempo fuera de servicio.

Existe además otro punto de vista el mas técnico, que es el que realizan los arquitectos y consultores de seguridad para proveer soluciones que abarquen los 5 anillos de protección (Firewalls – IDS/IPS – Proxy – SIEM – Antivirus), en este sentido la inversión se mide en el coste que nos representa en hardware y software para las empresas.

Mucho mas difícil de cuantificar tomando en cuenta el mercado actual con múltiples soluciones en el área de seguridad que nos permiten elegir el proveedor mas indicado que nos permita estar “protegidos” ante posibles ataques, vulnerabilidades y/o fallos de nuestros sistemas informáticos.

En conclusión, ¿Cuánto cuesta la seguridad? Diría que depende de nuestro objetivo, desde el enfoque que le demos pero muy importante del valor que le demos a la SEGURIDAD INFORMATICA en nuestras organizaciones.

Hasta la próxima………………….

malware-money

Malware is Money

En muchas ocasiones hemos escuchado el termino “Malware” pero en realidad sabemos que es? cual es su finalidad?  y como nos protegemos?

¿Que es el malware?

“El malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.1 El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.”

Fuente: Wikipedia http://es.wikipedia.org/wiki/Malware

Se puede decir que la finalidad principal del malware es desarrollar software malicioso con el fin de “obtener dinero” basándose básicamente en desarrollar una aplicación con el único objetivo de bloquear sistemas operativos o neutralizar un computador y/o servidor.

El Malware no distingue de sistema operativo ni tampoco de dispositivos puede desarrollarse tanto para un gran servidor como para un Smartphone de cualquier fabricante.

De por si en el área de dispositivos móviles es donde mas se ve el desarrollo de código malicioso, tanto para obtener control del equipo a través de aplicaciones gratuitas que no pasan ningún tipo de control por parte de los fabricantes “destacando que unos menos que otros”.

¿Cual es la finalidad?

La finalidad el Malware puede ser variante pero esta claro que su objetivo principal es de robar información, daño o perjuicio del equipo o simplemente obtener dinero fácil.

Uno de los casos mas recientes famosos casos de Malware y que tuvo un impacto bastante importante es el Criptolocker que cifra el disco duro del ordenador y luego pide te pagues con dinero para enviarte las claves para descifrarlo.

https://www.osi.es/gl/actualidad/avisos/2013/09/criptolocker-virus-que-cifra-los-ficheros-del-ordenador

Es importante destacar que el malware se propagaba a través del correo electrónico utilizando como “sebo” un envió urgente de la casa de Correos (Empresa Española de entrega de mensajería y paquetes)

Aunque el Criptoloker ha tenido algunas variantes o mutaciones como los detalle el report advisory de McAfee (Intel Security), aunque va enfocada a su solución EPO:

https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24786/en_US/McAfee_Labs_Threat_Advisory_Ransom_Cryptolocker.pdf

image

¿Como nos protegemos?

En este sentido no es mucho lo que nos toca hacer para protegernos del fulano Malware siguiendo estos simples consejos podemos estar un poco tranquilos porque en Seguridad Informática nada es “imposible” en el buen sentido de la palabra.

  1. Si tienes sospechas de que tu ordenador tiene un malware puedes extraerlo con un fichero comprimido .zip y subirlo a la pagina de virustotal.com  https://www.virustotal.com/ es una comunidad que investiga y trabaja codo a codo con los fabricantes para prevenir, detectar y eliminar códigos maliciosos con una muy buena reputación ganada desde hace muchos años. (http://tecnologia.elpais.com/tecnologia/2012/09/10/actualidad/1347276010_539192.html)
  2. Mantener nuestros sistemas independientemente de la casa fabricantes en los últimos updates (parches)
  3. Si tu ordenador o servidor es Windows es conveniente que lo revises periódicamente con la herramienta Malicious Software Removal Tool http://www.microsoft.com/es-es/download/malicious-software-removal-tool-details.aspx en un porcentaje muy elevado elimina los malware que afectan a los sistemas Microsoft
  4. Estar atento a las publicaciones de organismos e instituciones como por ejemplo INCIBE https://www.incibe.es
  5. NO ABRIR CORREOS ELECTRONICOS “FRAUDULENTOS” O DESCONOCIDOS Y TAMPOCO INSTALAR NO EJECUTAR SOFTWARE NO LEGITIMO, principalmente en los ordenadores y Smartphone.
  6. No tener ordenador ni conectarse a Internet (es un chiste!!)