Cybersecurity News

La importancia de la Seguridad Patrimonial



El término de Seguridad Patrimonial hace referencia a todas aquellas medidas necesarias para la prevención de riesgos y amenazas en una empresa, así como la identificación y análisis de vulnerabilidades en los activos, bienes o valores de la misma.

De la realización de esta actividad se debe obtener un Plan de Seguridad que permita proteger a la empresa contra daños causados por acciones humanas que, además, determine los procedimientos de seguridad a ejecutar, estableciendo al mismo tiempo los contratos de seguridad, la gestión de recursos de seguridad y las normas, políticas y protocolos de seguridad.

Su principal objetivo es la prevención del riesgo patrimonial (aquello que reduce el patrimonio y/o su valor), mediante la gestión de la seguridad patrimonial. Esta gestión y esa seguridad puede ser física y/o virtual (ciberseguridad).

En definitiva, lo que se busca es la minimización de riesgos en los activos patrimoniales, que redundará en el aseguramiento de la continuidad de negocio mediante la prevención, contención y respuesta ante amenazas (ya sean estas internas o externas, criminalidad, delincuencia, competencia desleal, etc.).

El proceso a seguir para garantizar la Seguridad Patrimonial consiste en:
  • Identificar los riesgos sobre los activos patrimoniales.
  • Mejora los procedimientos correspondientes a la continuidad de negocio y a la protección de activos.
  • Implementar medidas de defensa personalizadas a cada empresarial.
  • Preparar informes y recomendaciones.
En nuestro caso, Osane Consulting (empresa del Grupo Zerolynx) presta diferentes servicios y alcances de seguridad del patrimonio, siguiendo estos pasos:
  • Establecimiento de los objetivos y el alcance del servicio a prestar.
  • Recogida de información y análisis.
  • Reuniones periódicas con resultados parciales a valorar.
  • Entrega de los resultados de la prestación del servicio.
El portfolio de servicios de Protección Patrimonial con los que contamos, es el siguiente:
  • Auditoría de seguridad patrimonial: análisis en detalle de infraestructura física, sistemas y procedimientos, para determinar la protección necesaria.
  • Gestión y Dirección de la Seguridad Patrimonial: gestión integral y global de la seguridad patrimonial de toda la organización.
  • Amenazas internas: los insiders (empleados, colaboradores o proveedores internos) son una fuente de amenazas, especialmente en el caso del acceso y manipulación de información sensible que, mediante este servicio, se detectan y previenen.
  • OPSEC (Seguridad de las Operaciones): implantación de contramedidas para garantizar la seguridad física y lógica.
¿Quieres que te ayudemos a garantizar la seguridad patrimonial de tu empresa?

Puedes ampliar detalles sobre nuestros servicios de Seguridad Patrimonial visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.




Labels: , , , , ,

¿El término "GRC" te suena a chino?



¿Tu empresa cumple con las normativas, leyes, reglamentos y estándares en materia ciberseguridad y protección de datos?¿Sabes si está obligada a cumplir con ellas, o con alguna de ellas en concreto, debido a la actividad y el sector en el que se enmarca la organización?

Si eres una empresa te conviene tener muy claros estos tres conceptos, y aplicarlos en el día a día del desarrollo de la actividad de la compañía, en lo que se refiere a su organización y gestión:
  • Gobierno corporativo o gobernanza: es el conjunto de principios, normas y procedimientos que establecen cómo deben funcionar los diferentes órganos de la empresa (los órganos de gobierno) para dirigirla y gestionarla.
  • Riesgos: es la probabilidad de que ocurra una situación no deseada que tenga un impacto o produzca un daño, tanto en una empresa como en cualquier otro ámbito.
  • Cumplimiento: es la acción por la que se desempeñan, implementan y llevan a cabo debidamente, diferentes medidas, normas, o leyes, establecidas de antemano, específicamente destinadas al sector y tejido productivo de la empresa.
Pensando en el mundo digital, en el terreno de las Tecnologías de la Información (TI, IT, TIC), teniendo en cuenta estas definiciones, los tres conceptos se trasladan de forma similar:
  • Gobierno TI o Gobierno IT: es el conjunto de principios, normas y procedimientos que establecen y rigen cómo deben funcionar los diferentes sistemas de información, para que éstos den servicio y se alineen con el negocio y la estrategia corporativa.
  • Riesgos: probabilidad de que ocurra una situación no deseada que, en el caso las tecnologías de la información, consistirá en un incidente informático, o ciberincidente, que puede producir un impacto negativo en el negocio, e incluso que este se tenga que detener.
  • Cumplimiento o “compliance”: consiste en la conveniente implementación y cobertura de estándares, frameworks, reglas, reglamentos, decretos y leyes que, en materia de sistemas digitales, tecnologías de la Información, seguridad, privacidad y ciberseguridad, se deben llevar a cabo en la empresa, de forma recomendable e incluso obligatoria.
Algunas normas, normativas, estándares, regulaciones y leyes de las que seguro has oído hablar, en lo que a materia de IT y ciberseguridad se refiere, pueden ser:
  • RGPD/GDPR (Reglamento General de Protección de Datos).
  • LOPD (Ley Orgánica de Protección de Datos).
  • LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales).
  • LSSICE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).
  • LGC (Ley General de Comunicaciones).
  • LGT (Ley General de Telecomunicaciones).
  • ENS (Esquema Nacional de Seguridad).
  • NIST (Marco de Ciberseguridad del National Institute of Standards and Technology).
  • CIS (controles del Center for Internet Security).
  • SGSI (Sistema de Gestión de la Seguridad de la Información).
  • ISO 27001 (norma o estándar internacional para el establecimiento de un SGSI).
  • ISO 27701 (norma o estándar internacional para la gestión de la privacidad y el cumplimiento del RGPD).
  • ISO 22301 (norma o estándar internacional para la gestión de la continuidad de negocio).

En cualquier caso, conviene aclarar que las leyes son de obligado cumplimiento, mientras que los estándares de la industria, las normas y las normativas, son recomendaciones y referencias para favorecer el cumplimiento la gestión y el cumplimiento legal.

Pero, ¿Cómo saber si estamos obligados a cumplir con alguna de ellas? La respuesta no es “blanco o negro”. Depende de muchas cosas y de cada caso, de cada empresa, de cada tipo de empresa, de a qué se dedique, de cómo lo haga y de qué tipo de activos de información gestione o manipule, cómo lo haga y el grado de sensibilidad o confidencialidad de los mismos, si comercializa online (si tiene tienda online), en qué país resida y/u opere, etc.

Y, por otro lado, ¿Cómo podemos saber si ya cumplimos, o no (y qué puede faltar para conseguirlo), con determinadas normativas, reglamentos y leyes? En este caso, lo primero es analizar la situación, conocer el estado de los sistemas, procesos, activos y recursos al respecto. Esto se consigue mediante la realización de auditorías, de cumplimiento normativo o legal, específicas para cada caso.

Una vez realizada la auditoría, estaremos en condiciones de cumplirlas basándonos en el establecimiento de determinados controles, actividades o acciones sobre los elementos que se hayan identificado como no conformidades de cumplimiento en el caso que nos ocupe.

En el caso de nuestro servicio de GRC, nos encargamos tanto de la gobernanza, como de la gestión de riesgos, como del cumplimiento, haciendo lo siguiente:

  • En base a las necesidades y los objetivos que se establezcan, realizamos un análisis de la situación, desde el punto de vista del grado de madurez en ciberseguridad con el que cuenta la empresa.
  • Se determina un objetivo de grado de madurez que lograr y, por ende, el alcance y la planificación de actividades.
  • Se define el modelo de GRC a implantar basado en el marco normativo deseado.
  • Se determinan los mecanismos y herramientas a utilizar.
  • Se prepara y entrega un informe con el modelo de GRC implantado y recomendaciones.
  • Presentación de resultados.

¿Quieres que auditemos tu empresa con respecto al cumplimiento en materia de ciberseguridad?

Puedes ampliar detalles sobre nuestros servicios de Servicios GRC visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.







Labels: , , , , , , , ,

¡La mejor defensa es un ataque! Ataca para evitar ser atacado


¿Cómo está de protegida tu empresa? ¿Es cibersegura? ¿Cuánto de cibersegura? ¿Qué debilidades tiene y qué medidas deberías implementar para que sea (más) cibersegura?... ¿Quieres saberlo? ¡Pruébate a ti mismo y averígualo!

Es normal tener todas estas dudas, e incluso hasta muy bueno si no se quedan en el tintero y, en su lugar, forman parte de un ciclo continuo de mejora (PDCA), de la evaluación periódica del nivel de riesgo y ciberseguridad de nuestra organización y del establecimiento de acciones para fortalecerla aún más.

Cada organización tendrá que evaluarse (internamente, o mejor por parte de profesionales expertos externos) para analizar cuáles son las amenazas y riesgos que les afectan, en que cuantía, cuál sería su impacto en caso de materializarse y cómo se pueden mitigar e incluso evitar.

Pero, la empresa tiene muchos frentes, tiene muchos flancos donde podrían encontrarse muchas debilidades, agujeros de seguridad, vulnerabilidades, etc., a través de los cuales se podría ver envuelta en un ciberincidente o ser víctima de un grave ciberataque.

¿Por dónde comenzar? En primer lugar, haz un ejercicio de Seguridad Ofensiva con el que poder ver la situación en la que se encuentra la organización en materia de protección y ciberseguridad.

¿Seguridad Ofensiva? Sí, básicamente, consiste en ponerse a prueba, en poner a prueba la seguridad de la organización, actuando como lo haría un ciberdelincuente o ciberatacante para encontrar posibles debilidades y vulnerabilidades que poder explotar para atacar.

Así, una vez identificadas, sí será posible establecer controles y poner medidas o remedios de mejora y protección para evitar disgustos. De otro modo… sin esa identificación previa… ya sabemos que… “es imposible mejorar y proteger aquello que se desconoce”.

Dentro de esta estrategia de “atacarnos a nosotros mismos para evidenciar, identificar, corregir, mejorar y proteger” (hacking ético, pentesting, test de penetración, o red team), existen muchas alternativas, objetivos y caminos que seguir, que dependerán mucho de nuestra organización, del tipo de empresa del que se trata, del sector de actividad, de los servicios y productos que proveemos, exponemos y comercializamos, de si vendemos online o no, etc.

Se puede analizar y simular ataques a la web, a la tienda online, a los servidores, a la red corporativa, a sus usuarios perfiles, roles y accesos, a las bases de datos, a los accesos a Internet, a los servicios o entorno en la nube con los que cuenta la empresa, así como el modo en el que se utilizan y gestionan, los dispositivos, sistemas operativos, software y aplicaciones instaladas, etc.

¡Anticípate! Simula un ataque y busca. Identifica vulnerabilidades corporativas, los agujeros de seguridad, revisa tu plan de continuidad de negocio, seguridad y resiliencia, el software y hardware con el que cuentas, así como el estado de actualización del mismo y si se han aplicado todos los parches necesarios, si tienes establecida una correcta configuración, etc.

¡Actúa! Con toda esta información recopilada, ya puedes tener una noción mucho mejor de cuál es el nivel de seguridad de la organización y también conocerás el detalle de posibles “huecos” o debilidades que podría aprovechar un ciberdelincuente para entrar y atacar. ES el momento de poner remedio para prevenir y protegernos proactivamente.

Quizá no te parezca ni sencillo ni trivial hacerlo por tu cuenta. Quizá en la organización no exista un departamento ni personal con conocimientos, formación y experiencia en la materia. Quizá no sea el core business de la empresa.

¡No te preocupes! Existen profesionales externos que puedes contratar para que te ayuden, como Zerolynx y su Servicio de Seguridad Ofensiva:

· Nos convertimos en tu Red Team. Realizamos simulacros, pactados previamente contigo, de ataques a tu organización en diversos puntos, con el objetivo de encontrar debilidades en todo aquello que sea susceptible de mejora en términos de ciberseguridad y protección.

· Descubrimos y te trasladaremos cómo se encuentran y se comportan tus infraestructuras, tus sistemas, tu frontend, tu backend, tus políticas, planes, procesos y tus recursos frente a nuestros ataques, sin que esto afecte negativamente de ningún modo, ni a la continuidad del negocio.

· Te proponemos las acciones de mejora más apropiadas y personalizadas a llevar a cabo para solucionar esas fallas detectadas, fortaleciendo así la seguridad de la empresa y siendo capaces de defenderos de forma más eficiente contra los ciberdelincuentes, sus tácticas, tecnologías que emplean y agujeros que aprovechan.

¿Cómo lo hacemos?:

  • Analizamos tus necesidades y requisitos.
  • En base a ellas, definimos y planificamos el ejercicio de hacking ético a realizar, su alcance, cómo se va a realizar, sobre qué elementos, etc.
  • Lanzamos el pentesting tal y como se haya estipulado en el punto anterior.
  • Al finalizar, tendremos una foto precisa del estado de la seguridad de la empresa. En ese momento, preparamos un informe de todo lo que se haya encontrado y de todo lo sucedido durante el ataque, que estará acompañado además de unas recomendaciones de mejora y resolución, así como de un guion técnico de acciones concretas a realizar.

Este tipo de ejercicios de seguridad ofensiva puede ser todo lo detallado y en profundidad que se requiera, del mismo modo que se puede focalizar en aspectos concretos, sin tener que abordarlo en una única ocasión ni de forma completa revisando y atacando todos los posibles “flancos”:
  • Pentest externo: el ataque, análisis y la evaluación de riesgos se focaliza en la superficie expuesta a Internet.
  • Pentest interno: el ataque se basa en la red interna, como si un atacante hubiese accedido a ella, o como si lo hubiese hecho un insider (personal de la plantilla de la empresa) desde dentro.
  • Análisis de entornos cloud: si la empresa cuenta con entornos y servicios en la nube, lanzamos ataques sobre ellos para averiguar su grado de madurez al respecto.
  • Red team: averiguaremos cuánto de capacitados estáis para detectar repeler y responder ataques, de la mejor forma posible.

¿Quieres que evaluemos tu seguridad? Puedes ampliar detalles sobre nuestros servicios de Seguridad Ofensiva visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.



Labels: , , , , , , , , , , , , ,

Inteligencia para la continuidad, la mejora y el éxito del negocio




El concepto de inteligencia es muy amplio, abarcando diferentes ámbitos y matices, aunque en todos los casos hace referencia a la información, los datos, el conocimiento y la comprensión de éstos en un determinado contexto, su análisis, la investigación, la identificación de riesgos y amenazas, la resolución de problemas, la definición de estrategias basadas en ellos y, por tanto, el apoyo a la toma de decisiones (inteligentes, argumentadas y fundadas) y, en el caso de las empresas, la mejora del negocio.

Si centramos el foco en los “servicios de inteligencia”, acotamos su significado y alcance. A priori, suena a concepto gubernamental, a política, a relaciones entre naciones/estados, a defensa, a aspectos militares, a servicios secretos, agentes y espías… Y esa es la realidad, que podemos trasladar, del mismo modo y con objetivos similares, al entorno corporativo de las empresas, sus estrategias y objetivos de negocio.

La RAE (Real Academia de la Lengua Española) define la “Inteligencia” como la “capacidad de entender, comprender y resolver problemas (conocimiento, comprensión y acto de entender)”, mientras que define los “Servicios de Inteligencia” como la “organización del Estado que proporciona al poder ejecutivo análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales”.

Es decir, los componentes y factores esenciales de la inteligencia son los siguientes:

  • Información / datos.
  • Recopilación / obtención.
  • Comprensión y análisis.
  • Investigación y vigilancia.
  • Identificación de riesgos y amenazas.
  • Conclusiones y recomendaciones de resolución de problemas y/o de mejora.
  • Toma de decisiones, fundadas.

Por otro lado, debemos tener en cuenta que el ámbito de aplicación en ocasiones es tan específico que da lugar a un área de actuación, disciplina, ciencia, actividad muy concreta, con entidad propia, como es el caso de la ciberinteligencia.

Del mismo modo que hablamos de la seguridad y de la ciberseguridad, podemos hablar también de la inteligencia y de la ciberinteligencia, entendiendo siempre que trasladamos los conceptos originales al ámbito de la tecnología, y más en concreto, del entorno digital, de los sistemas informáticos, de las TIC (Tecnologías de la Información y las Comunicaciones) en la que todos, incluidas las organizaciones, nos desenvolvemos a diario (cada vez más, y cada vez será más aún).

Según el CCN-CERT (Centro Criptológico Nacional), la ciberinteligencia es “en conjunto de actividades que utilizan todas las fuentes de inteligencia en apoyo de la seguridad cibernética para mapear la amenaza cibernética general, recopilar las intenciones cibernéticas y las posibilidades de los adversarios potenciales, analizar y comunicar, e identificar, localizar y asignar la fuente de los ataques cibernéticos”.

Siendo así, parece que la inteligencia y la ciberinteligencia, cobran un enorme y muy relevante valor en el parabién de los estados y naciones, pero, obviamente, también en el de las organizaciones, las empresas y cualquier otro tipo de organismos que la utilicen y basen sus decisiones en ella (decisiones inteligentes).

¿Tienes dudas sobre qué tipo de estrategia seguir en tu negocio?

¿Desconoces el escenario y contexto en el que se debe desenvolver tu empresa dentro de tu sector y área de actuación, el de tus proveedores, el de tus partners, el de tus competidores, el de tus clientes y clientes potenciales, el del mercado, los condicionantes geopolíticos, gubernamentales, institucionales, legales, normativos, etc.?

¿Tienes identificados los riesgos y amenazas que podrían afectar a tu negocio y su continuidad?

En tu empresa, ¿seríais capaces de extraer información de fuentes abiertas, de la Dark Web, de la Deep Web… en definitiva de trabajar en labores de OSINT (Open Source Intelligence), HUMINT (inteligencia basada en fuentes de información humanas), IMINT (inteligencia basada en la extracción de información de imágenes, etc.)?

¿Tienes capacidad para realizar este tipo de labores de inteligencia y ciberinteligencia?

¿Cuentas con expertos para desarrollar esa tarea dentro de tu organización?

¿La inteligencia y la ciberinteligencia, forman parte de tu core business?

¡No te preocupes! Puedes contar con Zerolynx para ello. Nuestros Servicios de Inteligencia pueden con todo ello y pueden ofrecerte el apoyo que necesitas, no solamente para garantizar la continuidad de tu negocio, sino también para mejorarlo.


Investigamos allá donde sea necesario, buscamos la información que consideres de interés y valor para ti y tu empresa, la analizamos, te ofrecemos respuestas a tus dudas, te ayudamos y te aconsejamos sobre los mejores pasos a seguir para:

  • Conocer mejor a tu empresa y la huella digital que tiene en Internet.
  • Conocer mejor a tu competencia y la huella digital que tiene en Internet.
  • El establecimiento de tu estrategia corporativa.
  • El establecimiento de objetivos de negocio claros y sus prioridades.
  • Adelantarte a los posibles riesgos y amenazas de tu empresa y de tu sector
  • Obtener una importante y diferencial ventaja competitiva.

- Obtener éxito en el campo de actuación que requieras.

El primer paso es conocerse a uno mismo. También a tus competidores, a tus proveedores, a tus partners, a tus clientes y, en especial los posibles riesgos a los que se podría enfrentar tu compañía, el contexto en el que se desenvuelve la actividad corporativa de tu empresa y su negocio. Nos encargamos de ello. Analizamos por ti:

  • Descubrimos la huella en Internet.
  • Analizamos y protegemos tus activos contra riesgos y amenazas.
  • Investigamos, proponemos y actuamos.

¿Cómo lo hacemos? Nuestro equipo de expertos es multidisciplinar e internacional (no existen fronteras). Buscamos e investigamos en todas las fuentes posibles, siguiendo el proceso y los pasos más adecuados a tu caso y situación:

  • Tú nos marcas los objetivos de la investigación.
  • Investigamos. Encontramos toda la información necesaria en base a los objetivos.
  • Nuestros expertos la analizan e investigan más si fuese necesario.
  • Te mostramos resultados y conclusiones.

5. Nuestros ingenieros preparan y entregan informes y recomendaciones que se ajustan al cumplimiento de las normativas vigentes en materia de investigación privada, investigación pericial, etc.

Como la inteligencia y la ciberinteligencia son materias enormemente extensas (casi sin limitaciones) y pueden abarcar infinidad de ámbitos, si tus necesidades y las de tu empresa puede que estén más acotadas, siendo más concretas y específicas, siempre puedes optar por un servicio dedicado a cubrir tu necesidad:

  • Huella Digital Corporativa. Localización de exfiltraciones e información expuesta en Internet que pueda suponer un riesgo para tu empresa.
  • Huella Digital VIP. Localización de datos expuestos del personal clave de tu organización.
  • Búsqueda de Shadow IT. Identificación de riesgos buscando en activos e infraestructuras expuestas, no controlados por tu Dpto. de IT.
  • Procesos de Due Dilligence. Buscamos y analizamos información sobre proveedores, partners, para detectar sus posibles riesgos y ayudar en las decisiones de la organización.
  • Monitorización de Riesgos en Internet y en la Dark Web. Monitorizamos foros de eCrime para detectar la venta de datos exfiltrados de tu organización.
  • Análisis de Actor Malicioso. Si has tenido un incidente, analizamos la información del mismo (sus efectos y consecuencias) y de los actores maliciosos responsables de él.
  • Informe de Ciberamenazas. Te facilitamos informes periódicos sobre incidentes de seguridad que están ocurriendo y que podrían afectar a tu negocio.
  • Investigaciones Personalizadas Ad Hoc. Te ayudamos con investigaciones privadas adaptadas y personalizadas a la realidad del problema, de tus necesidades y las de tu organización.

Puedes ampliar detalles sobre nuestros servicios de Inteligencia visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.



Labels: , , , , , , , , , , ,
Suscribirse a: Comentarios (Atom)