Los riesgos del Shadow IT en las organizaciones

Curioso término el de Shadow IT. Algo como “Sombra o fantasma de IT”, que viene a consistir en el conjunto de todos los sistemas, servicios, aplicaciones, software y dispositivos que los empleados de una empresa utilizan en ella sin que el departamento de TI sea consciente y quizá incluso sin que sean elementos corporativos o cuyo uso se haya aprobado.

Del mismo modo, aquellos activos digitales, servicios, sistemas y aplicaciones que quizá la empresa utilizó (internamente o hacia el público externo) en el pasado pero que cayeron en el desuso, en la obsolescencia, en el olvido, podrían consistir en parte del “inventariado de Shadow IT” de una compañía, ampliando así la superficie de ataque y exponiéndola a futuros problemas de seguridad.

Esto, al margen de parecer una nimiedad, puede entrañar graves riesgos y amenazas para la ciberseguridad de cualquier organización. Por ese motivo es crítico identificar qué empleados realizan esta actividad, con qué herramientas, cómo, y qué otras herramientas corporativas descontroladas existen para tomar medidas al respecto que eliminen o mitiguen riesgos.

Las políticas y procedimientos establecidos a nivel corporativo, son vitales y de obligatorio cumplimiento para toda la plantilla. En realidad, un empleado que se salte dichas reglas está incurriendo en una falta muy grave, pudiéndosele considerar incluso como un insider.

Asimismo, el mantenimiento (e incluso la retirada) de los activos, servicios, aplicaciones y sistemas en desuso o no actualizados de la organización, es una tarea que debería ser obligatoria para todo departamento de IT que se precie.

Los empleados recurren al Shadow IT como alternativa cuando los servicios, aplicaciones y herramientas corporativas son complejas, difíciles de utilizar, lentas, antiguas, etc. Algunos servicios o aplicaciones habitualmente utilizadas como Shadow IT podrían ser las colaborativas, dispositivos, repositorios o incluso nubes propias personales, servicios de videoconferencia y mensajería, etc., todas ellas no autorizadas previamente por el departamento de TI ni la organización.

Por tanto, el Shadow IT provoca una brecha de seguridad amplia y continua ya que esas herramientas que utilizan los empleados de forma no autorizada, no están controladas, ni gestionadas, siendo imposible mantenerlas y tampoco actualizados. Esto se traduce en que la empresa se encontrará desprotegida ante una posible explotación de vulnerabilidades y otras consecuencias.

Nuestro servicio de Búsqueda de Shadow IT, identifica riesgos a través de la búsqueda de activos e infraestructuras expuestas que no se encuentran bajo el control del área de IT.

¿Qué deberían hacer las organizaciones? El primer paso debería ser la identificación. La búsqueda de Shadow IT requiere que se rastreen y monitoricen proactivamente todas y cada una de las actividades tecnológicas para identificar aplicaciones, servicios y sistemas no autorizados en le organización. Para ello se pueden realizar tareas de:

• Auditoría de software en todos los dispositivos y sistemas corporativos, para identificar aplicaciones no aprobadas.

• Control de acceso para identificar quién tiene acceso a recursos no autorizados.

• Monitorización de los servicios y sistemas en la nube corporativa, para identificar cuentas utilizadas sin permisos.

• Análisis del tráfico de red, en busca de dispositivos y servidores desconocidos no inventariados, conexiones extrañas, comportamientos y patrones inusuales, etc.

Cuando ya conozcamos y tengamos identificados los focos de Shadow IT, deberíamos realzar un análisis de riesgos de cada uno de ellos, determinando si podrían llegar a provocar problemas de accesos indebidos, fuga de datos, agujeros de seguridad debido a vulnerabilidades, etc.

El siguiente paso es la mitigación de riesgos, gracias al conocimiento obtenido previamente y al análisis de lo detectado. Es necesario tomar medidas entre las cuales pueden estar la eliminación de los elementos Shadow IT detectados, la concienciación de empleados, e incluso la aceptación de dichas herramientas y su consistente y segura integración entre las herramientas corporativas de la empresa.

¿Te ayudamos a encontrar os Shadow IT de tu empresa?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Protección de datos empresariales, exfiltración y fuga de datos

La protección de datos empresariales cada vez es más compleja debida a la sofisticación de las técnicas, mecanismos y tecnologías empleadas por los ciberdelincuentes. Esto hace obligatorio el uso de estrategias, enfoques, mecanismos y tecnologías cada vez más avanzadas.

A día de hoy, para las empresas es esencial la monitorización continua de riesgos en Internet y la vigilancia de foros de eCrime de la Dark Web con el objetivo de detectar alguna posible exfiltración de datos propiedad de la empresa.

La Dark Web es el hábitat y refugio de actividades ilegales para los ciberdelincuentes, desde dónde evaden su detección, y desde dónde sacan rédito a sus actividades delictivas, por ejemplo con la venta de datos robados.

Este seguimiento y monitorización continua de riesgos en Internet y en la web profunda u oscura, requiere la utilización de herramientas y tecnologías potentes, innovadoras y muy avanzadas.

Lo que se busca en dicho análisis son menciones a la empresa y a algunos de sus datos corporativos, e incluso datos de clientes, usuarios, partners, o empleados. Los motores de búsqueda de la web profunda y los algoritmos de detección de amenazas permiten identificar cualquier actividad sospechosa al respecto.

Allí, en la Dark Web existen lo que se conoce como foros de eCrime a modo de mercadillos o puntos de encuentro para ciberdelincuentes que buscan vender y comprar información robada. Sí, es como un mercadillo para el mejor postor. Los datos robados de empresas concretas se ofrecen al peso, a cambio de dinero, en modo de criptomonedas generalmente, mediante subastas o venta directa.

Generalmente, la mayoría de las empresas, no cuentan con un equipo de IT dedicado a esta tarea ni con expertos en la materia. Por ese motivo, lo habitual es recurrir a servicios profesionales y especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: Monitorización de Riesgos en Internet y Dark Web.

Para conseguir un elevado grado de confianza digital, y reconocimiento de marca y negocio por lo tanto, las empresas deben garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de los datos que obtienen, crean, almacenan y gestionan. Sólo así las empresas podrán contar con un buen nivel de protección de la información y secretos empresariales.

Como sabemos, la Dark Web consiste en una "parte" oculta de Internet que requiere de navegadores específicos para acceder a ella y que es el caldo de cultivo para actividades ilegales, fraudulentas y delictivas.

Los foros de venta de datos robados y las comunidades de ciberdelincuentes dedicadas al eCrime son habituales en este entorno, siendo el escaparate y "tienda" donde los cibercriminales ofertan los datos corporativos que previamente han robado a una/s determinada/s empresa/s.

La primera línea de defensa debe consistir en la monitorización continua de riesgos en Internet, rastreando la web en busca de cualquier indicio de datos corporativos comprometidos, o que se encuentren a la venta (nombres de la empresa, direcciones de correo electrónico, información de clientes, etc.).

La exploración de los foros de eCrime en la Dark Web es otra de las actividades que debe realizarse en paralelo. Los datos más deseados e incluso solicitados son números de tarjetas bancarias, contraseñas, números de cuentas bancarias, números de identidad, etc.

Detectar la presencia de datos corporativos en la Dark Web es solo el primer paso. El siguiente paso crucial es el análisis de estos datos exfiltrados. Este análisis puede proporcionar información valiosa sobre la magnitud del ataque, los posibles puntos de entrada y las vulnerabilidades en la seguridad de la empresa.

Los equipos de seguridad cibernética pueden rastrear las actividades de los ciberdelincuentes en la Dark Web e incluso actuar como detectives e infiltrarse en sus comunidades para obtener información adicional de más valor.

Ambos componentes, tanto la monitorización continua de riesgos en Internet como el rastreo de foros de venta y eCrime en la Dark Web, son, por tanto, esenciales para lograr un enfoque integral y holístico, puesto que la protección de datos empresariales es esencial para la continuidad del negocio, la supervivencia y la reputación de una empresa.

¿Te ayudamos a averiguar si tu empresa ha sufrido alguna exfiltración de datos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Zerolynx arranca el curso escolar de la Universidad Europea de Madrid

El pasado 11 de septiembre marcó el inicio de un nuevo año académico en la UEM. Juan Antonio Calles, CEO de Zerolynx, participó en una de las mesas redondas diseñadas para dar la bienvenida a los estudiantes y profesores y abordar cuestiones cruciales en el mundo de la seguridad de la información.

La mesa redonda de este webinar se centró en el estado actual de la ciberseguridad, un tema de creciente relevancia en nuestra sociedad digital. Calles y otros expertos compartieron su visión sobre las amenazas cibernéticas emergentes y las estrategias para proteger la información en un mundo cada vez más interconectado.

Además, los consejos para futuros alumnos de seguridad de la información fueron uno de los puntos destacados del evento. Los estudiantes tuvieron la oportunidad de obtener información valiosa sobre cómo prepararse para una carrera en el campo de la ciberseguridad, incluyendo la importancia de la formación continua y la adquisición de habilidades técnicas.

La participación de Juan Antonio Calles en la inauguración del curso escolar de la UEM no solo marcó el comienzo de un año académico prometedor, sino que también inspiró a los estudiantes a explorar el emocionante mundo de la ciberseguridad. Estamos ansiosos por ver cómo estos futuros profesionales contribuirán a garantizar la seguridad en el mundo digital en constante evolución. ¡Que sea un año escolar exitoso y lleno de logros!

Si te perdiste este interesante webinar no dudes en acceder a su grabación desde el perfil de YouTube de la UEM.

Due Diligence, protegiendo ante riesgos de terceros

Mediante nuestro servicio de Due Diligence o Diligencia Debida, localizamos en Internet información sobre proveedores, partners, socios, contratistas y cadena de suministro, que analizamos detalladamente desde el punto de vista de la seguridad y ciberseguridad, con el objetivo de identificar amenazas y riesgos potenciales que éstos podrían trasladar a nuestro negocio.

Este servicio consiste en la investigación de una o varias organizaciones con las que se trabaja, colabora, tiene algún tipo de relación, o se espera tenerla en breve. También es un servicio muy habitualmente solicitado y prestado en el caso de análisis de empresas, antes de que se realice una adquisición de las mismas.

Los factores a analizar pueden ser muchos y muy variopintos. Desde los económicos, financieros, fiscales, legales, de cumplimiento, laborales, sociales, etc., hasta aquellos que afectan a las infraestructuras, a las tecnologías, a los productos y servicios, y al grado de seguridad y ciberseguridad con el que éstos cuentan.

En el caso de la ciberseguridad, el garantizar la diligencia debida es algo de carácter esencial para proteger los activos digitales de una empresa en un mundo digital donde las comunicaciones, relaciones y los negocios, tienen lugar en ese plano.

Este tipo de servicio proporciona una visión completa de los riesgos y vulnerabilidades de terceros, permitiendo que las empresas pueden tomar decisiones informadas y, al mismo tiempo, medidas proactivas para salvaguardar sus datos, información, dispositivos, sistemas e infraestructuras, garantizando de ese modo la reputación y la continuidad del negocio.

Con el objetivo de garantizar la integridad de sus datos y activos digitales y la protección de la información confidencial, las empresas solicitan cada vez más la prestación de servicios de Due Diligence en ciberseguridad.

La clave es la identificación, evaluación y mitigación de riesgos. En el ámbito de la ciberseguridad, el proceso de diligencia debida es muy exhaustivo ya que evalúa todos los sistemas posibles, políticas y procedimientos de seguridad corporativos de un tercero.

Estos servicios, como decíamos, abarcan diversos aspectos, como la evaluación de la infraestructura tecnológica, la revisión de políticas de seguridad, la formación del personal y la identificación de amenazas actuales o potenciales.

En el caso de la evaluación de las infraestructuras, los elementos a analizar son las arquitecturas tecnológicas, identificando en ellas puntos débiles, configuraciones y vulnerabilidades (en sistemas, aplicaciones, redes, dispositivos, etc.).

En el caso de la revisión de políticas y procedimientos, el análisis se centra en el chequeo de políticas de contraseñas, de acceso a datos sensibles y en los procedimientos de respuesta a incidentes y recuperación (resiliencia).

El factor humano es clave. De ahí que la concienciación y la formación jueguen un papel de vital importancia. Por este motivo, un servicio de due diligence también deberá analizar el nivel de conocimientos y formación de la plantilla en cuando a seguridad y ciberseguridad.

Además, las tareas de los servicios de due diligence también pueden centrarse en la identificación de amenazas en curso y posibles futuras, como la detección de malware, las posibles actividades de hacking o intrusión, filtración de datos y amenazas internas.

Con todo ello, al final, lo que se pretende es realizar una labor de identificación de riesgos, de gestión de riesgos y de mitigación de riesgos que puedan llegar a nuestra organización de terceras partes, reduciendo significativamente la exposición a amenazas.

Por supuesto, este tipo de servicios favorecen y facilitan enormemente el cumplimiento normativo (compliance), ayudando a las empresas a cumplir con las normativas, regulaciones, legislaciones, frameworks y estándares de seguridad y ciberseguridad, que evitarán problemas y posibles sanciones o multas derivadas del incumplimiento.

¿Te ayudamos a averiguar si tus proveedores o partners podrían llegar a ser un riesgo para tu negocio?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

La huella digital corporativa y de empleados VIP

Mediante nuestros servicios de Huella Digital Corporativa y Huella Digital VIP localizamos exfiltraciones e información expuesta en Internet de la empresa y del personal clave de la misma (VIP) que pueda suponer un riesgo para la compañía.

Como ya sabemos, cada acción, cada actividad, cada paso que damos en Internet, tanto particulares como empresas, deja una marca imborrable, una profunda huella.

Las empresas, todos sus empleados y personas VIP (Very Important People / Very Important Persons) o personas de relevancia, importancia, o clave que trabajan en ella (inversores, miembros del Consejo de Administración, el CEO, los miembros del Equipo Directivo, tesoreros, personal que tiene permiso para manejar información confidencial y realizar transacciones económicas, etc.), están dejando continuamente huellas digitales de mucho valor e interés en múltiples sentidos.

Estas huellas pueden pasar generalmente inadvertidas, pero identifican y definen en detalle a la persona, a la empresa, a sus actividades, a sus comportamientos, a sus datos, a sus preferencias, a sus relaciones, etc.

Hoy en día la presencia digital es inevitable y no podríamos vivir sin ella. Las empresas se apalancan en ella para mantener, evolucionar y crecer sus relacione y negocio, mediante sus páginas web corporativas, plataformas y software colaborativo de trabajo en grupo y videoconferencia, redes sociales, servicios de mensajería y correo electrónico, etc.

En ese entorno digital diario, cada acción, cada acceso a entornos y servicios internos y externos online, cada lectura de contenidos, cada descarga, cada upload, cada email enviado, cada transacción realizada, cada relación con otras empresas y personas, cada compartición y colaboración, contribuye a la huella digital corporativa.

Con todo ello, una huella digital importante, robusta, sólida y de calidad puede generar confianza y sinergias positivas. Sin embargo, una mala gestión de la huella digital puede provocar daños irreparables a la reputación y, por ende, al negocio.

Uno de los aspectos con quizá más relevancia a día de hoy son las reseñas que otros usuarios y empresas hacen de nuestra empresa. Estas menciones y colaboraciones además nutren los motores de búsqueda que compilan dicha información para presentar una imagen completa a quienes buscan información.

Por ese motivo, es de vital importancia controlar, gestionar y monitorizar convenientemente la huella digital, mediante políticas de actuación y publicación, configuración de perfiles y permisos, estrategia corporativa y estrategias de posicionamiento de contenidos (SEO, Search Engine Optimization).

Además de particulares que puedan ser influencers, famosos, personajes públicos, políticos, empresarios, expertos en diversas materias, etc., todas las empresa cuentan con personal VIP entre sus empleados y/o partners, proveedores y colaboradores. La correcta exposición de este tipo de usuarios, es de vital importancia.

La huella digital de un usuario VIP puede extenderse más allá de lo que comparten. Los seguidores, medios de comunicación, etc., contribuyen a la narrativa digital, lo que puede llevar a la creación de malentendidos. Gestionar la huella de este colectivo corporativo, es un equilibrio delicado entre la autenticidad y la protección de la privacidad.

Tanto para las empresas como para las personas VIP, la gestión de la huella digital es crucial. Las estrategias cuidadosas pueden influir en la percepción pública, construir confianza y generar oportunidades, o todo lo contrario si no se llevan a cabo correctamente.

La transparencia, la autenticidad y el compromiso son los valores fundamentales para mantener una huella digital positiva.

El definitiva, la huella digital es un reflejo de quién es la empresa y lo que ésta representa. Es, por tanto, un activo de enorme valía, como cualquier otro.

Tanto las empresas como los empleados de la misma deben asumir la responsabilidad de forjar una excelente huella digital que resista el paso del tiempo y contribuya de manera positiva al negocio y a la presencia y crecimiento del mismo en internet.

Y, en caso de que, en algún momento, la huella digital se resienta, en primer lugar habrá que detectarlo, en segundo lugar identificar acciones correctivas y en tercer lugar aplicarlas, siempre con la ayuda de expertos para que "no se nos dé la vuelta la tortilla" que pueda llegar a producir efectos contrarios o indeseados.

¿Quieres que te ayudemos a proteger la huella digital de tu empresa y empleados VIP?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.