Sistemas Informáticos y de Información

1. Mejora de la Infraestructura de Seguridad: Las empresas deben actualizar y fortalecer sus infraestructuras de TI para cumplir con los nuevos estándares de seguridad. Esto incluye la implementación de firewalls avanzados, sistemas de detección y prevención de intrusiones (IDS/IPS), y soluciones de cifrado.
2. Evaluaciones de Riesgos y Auditorías: La Directiva NIS2 exige evaluaciones periódicas de riesgos y auditorías de seguridad. Las empresas deben identificar vulnerabilidades en sus sistemas y tomar medidas correctivas para mitigarlas.
3. Gestión de Identidades y Accesos (IAM): Se requiere una gestión más estricta de las identidades y accesos para garantizar que solo el personal autorizado tenga acceso a información crítica. Esto incluye el uso de autenticación multifactor (MFA) y políticas de acceso basadas en roles.

Ciberseguridad

1. Respuesta a Incidentes: Las empresas deben establecer y mantener capacidades robustas de respuesta a incidentes. Esto incluye la creación de equipos de respuesta a incidentes de seguridad informática (CSIRT) y la implementación de planes de respuesta a incidentes detallados.
2. Notificación de Incidentes: La Directiva NIS2 impone requisitos estrictos para la notificación de incidentes de ciberseguridad. Las empresas deben informar rápidamente a las autoridades competentes sobre cualquier incidente significativo, lo que facilita una respuesta coordinada y efectiva.
3. Formación y Concienciación: Es esencial que las empresas inviertan en la formación continua de sus empleados en materia de ciberseguridad. La concienciación sobre las amenazas cibernéticas y las mejores prácticas de seguridad es crucial para reducir el riesgo de ataques exitosos.
4. Colaboración y Compartición de Información: La Directiva fomenta la colaboración entre empresas y autoridades para compartir información sobre amenazas y vulnerabilidades. Esto ayuda a crear una red de defensa más sólida y coordinada contra los ciberataques.

La Directiva NIS2 impulsa a las empresas a adoptar un enfoque más proactivo y riguroso en la gestión de la ciberseguridad y la protección de sus sistemas informáticos y de información.

Desde LISOT, como empresa de mantenimiento y soporte informático para empresas podemos guiarles en este camino.

La entrada Cómo impacta la Directiva NIS2 en los sistemas informáticos se publicó primero en LISOT.

Aquí te dejamos algunos pasos para utilizar un EDR:

1. 1. Selecciona el software EDR adecuado: Antes de comenzar, asegúrate de seleccionar el software EDR adecuado para tu organización. Hay varias opciones en el mercado, cada una con diferentes características y precios. Investiga y selecciona la que mejor se adapte a tus necesidades.
   2. Instala y configura el software EDR: Una vez que hayas seleccionado el software EDR adecuado, instálalo en los dispositivos que deseas proteger y configúralo según tus necesidades. El software EDR suele ser fácil de instalar y configurar, pero si tienes alguna dificultad, revisa la documentación o comunícate con el soporte técnico del proveedor.
   3. Monitorea y analiza los datos: Una vez instalado y configurado el software EDR, comienza a monitorear los datos que se recopilan. Analiza los eventos, alertas y amenazas detectados para identificar patrones y tendencias. Utiliza la herramienta para investigar incidentes y determinar la causa raíz de las amenazas.
   4. Toma medidas de respuesta: En caso de que se detecte una amenaza, el EDR debe proporcionar opciones de respuesta. Algunas acciones típicas incluyen bloquear la actividad sospechosa, aislar el dispositivo afectado, tomar una instantánea de memoria del dispositivo, realizar una limpieza de virus, entre otros.
   5. Actualiza regularmente: Asegúrate de actualizar regularmente el software EDR y mantenerlo actualizado con las últimas definiciones de virus y amenazas para garantizar la máxima protección.

En general, el uso de un software EDR es una forma efectiva de detectar, investigar y responder a las amenazas en los dispositivos finales de tu organización.

Desde Lisot, como expertos en seguridad informática para empresas en Barcelona, podemos ayudarte a elegir la solución más efectiva para proteger los dispositivos y sistemas informáticos.

La entrada ¿Cómo se utiliza un EDR? se publicó primero en LISOT.

1. Enfoque: Los antivirus se enfocan en detectar y bloquear malware conocido, como virus, troyanos y spyware, utilizando una base de datos de firmas y patrones conocidos. Por otro lado, los EDR se enfocan en detectar y responder a amenazas avanzadas y desconocidas, como ataques de día cero y malware personalizado.
2. Ámbito de protección: Los antivirus protegen principalmente los dispositivos individuales, mientras que los EDR protegen endpoints múltiples dentro de una organización.
3. Capacidad de respuesta: Los antivirus no suelen tener la capacidad de responder a amenazas de manera automatizada. Por otro lado, los EDR a menudo incluyen herramientas de automatización y respuesta para acelerar la respuesta a amenazas y reducir el tiempo de resolución.
4. Capacidad de análisis: Los antivirus tienden a ofrecer menos capacidad de análisis de amenazas y menos detalle sobre el comportamiento de los procesos y aplicaciones, mientras que los EDR ofrecen capacidades de análisis avanzado de eventos y alertas, lo que permite una respuesta más efectiva y rápida a amenazas.

En resumen, mientras que los antivirus son herramientas más tradicionales y enfocadas en la protección de malware conocido, los EDR son herramientas más avanzadas que se enfocan en detectar y responder a amenazas avanzadas y desconocidas. En general, los EDR son más completos y efectivos para proteger endpoints y prevenir ataques cibernéticos.

Desde Lisot, como profesionales de la seguridad informática para empresas, podemos configurar un plan de ciberseguridad completo para prevenir y proteger tu sistema de las amenazas.

La entrada ¿Cuáles son las diferencias entre un antivirus y un EDR? se publicó primero en LISOT.

1. Recopilación de datos: El EDR recopila información sobre el comportamiento de los endpoints, incluyendo archivos, procesos, conexiones de red, registros de eventos, y otros datos importantes que permiten la detección de amenazas.
2. Análisis de comportamiento: El EDR utiliza técnicas avanzadas de análisis de comportamiento para identificar patrones de actividad sospechosa en los endpoints, como la ejecución de archivos maliciosos, la inyección de código malicioso en procesos legítimos, la comunicación con servidores de comando y control, y otros indicadores de compromiso.
3. Detección y alerta: Cuando se detecta una actividad sospechosa en un endpoint, el EDR genera una alerta para notificar al equipo de seguridad de TI, proporcionando información detallada sobre la amenaza para que pueda ser investigada.
4. Investigación y respuesta: El EDR proporciona herramientas para investigar la alerta y determinar la gravedad de la amenaza, como la capacidad de revisar los registros de actividad, el seguimiento de la propagación de la amenaza en la red, y la identificación de otros endpoints afectados. También proporciona herramientas para responder a la amenaza, como la eliminación del malware y la aplicación de parches de seguridad.
5. Automatización y mejora continua: Los EDR a menudo cuentan con herramientas de automatización para responder rápidamente a las amenazas y reducir el tiempo de resolución. Además, los EDR pueden mejorar continuamente su capacidad de detección y respuesta mediante el aprendizaje automático y la integración con otros sistemas de seguridad informática.

En resumen, los EDR son una solución de seguridad avanzada que utiliza técnicas avanzadas de análisis de comportamiento para detectar y responder a amenazas en los endpoints de una red, proporcionando alertas detalladas y herramientas para investigar y responder a las amenazas de forma rápida y efectiva.

Desde Lisot, como expertos en seguridad informática para empresas, podemos configuraros un EDR para proteger vuestros equipos y sistemas informáticos.

La entrada ¿Cómo funciona un EDR? se publicó primero en LISOT.

El EDR se enfoca en monitorear y proteger los endpoints (dispositivos finales) en lugar de enfocarse en la red en su totalidad. Utiliza técnicas de detección avanzadas para analizar el comportamiento de los dispositivos finales y detectar cualquier actividad sospechosa, incluyendo actividades maliciosas, como la ejecución de archivos maliciosos, la inyección de código malicioso en procesos legítimos, entre otros.

Los EDR también tienen la capacidad de investigar eventos y alertas de seguridad en tiempo real, permitiendo a los equipos de seguridad de TI realizar una respuesta más rápida y efectiva a las amenazas. A menudo, incluyen herramientas de automatización y respuesta para automatizar respuestas a incidentes y reducir el tiempo de resolución.

Para resumir, podríamos decir que el EDR es una solución de seguridad informática de última generación que se enfoca en proteger los dispositivos finales de un organización y reducir el riesgo de amenazas cibernéticas.

Desde Lisot, como expertos en seguridad informática, podemos configurarte un EDR para proteger los equipos informáticos de tu empresa.

La entrada ¿Qué es un EDR? se publicó primero en LISOT.

Estadísticas y tendencias más recientes de España relacionados con el cibercrimen y la ciberseguridad:

El año pasado, el 91,8 % de las organizaciones españolas se vieron comprometidas por uno o más ataques

El informe de defensa contra ciberamenazas del CyberEdge Group de 2022 (CDR) descubrió que, en un periodo de 12 meses, nueve de cada diez empresas españolas sufrieron algún tipo de ciberataque. De todas las organizaciones analizadas mundialmente, un 40,7 % declaró ser «víctimas frecuentes» al tener que lidiar con seis o más ataques en un año.

España es uno de los tres países más atacados por malware orientado a la banca móvil

El informe sobre malware móvil de Kaspersky revela los países más afectados en aplicaciones de banco para móviles en 2021. El estudio descubrió que el 1,55 % de los usuarios españoles fue atacado por troyanos orientados a aplicaciones móviles de bancos. Es significativamente menos que el porcentaje de Japón, país que ocupa la primera posición con un 2,18 %, pero más del doble que el de Turquía, con un 0,71 %.

Más de un 40 % de las organizaciones españolas se vieron afectadas por el ransomware en 2021

El informe de Sophos de 2021 sobre el estado del ransomware revela que hubo muchas organizaciones afectadas en los distintos países. Con un 44 %, España se situó por encima de la media global del 37 %. Según el informe, estuvo muy por encima de países como Polonia (solo un 13 %) o Japón (15 %). Pero aun así se situó muy por debajo de los porcentajes de la India (68 %) o Austria (57 %).

El cifrado de los datos se evitó en aproximadamente un cuarto de los ataques

El informe de Sophos de 2022 sobre el estado del ransomware indica con qué frecuencia las organizaciones lograron detener los ataques antes de que consiguieran cifrar los datos. Las empresas españolas se comportaron bastante bien, al lograr detener un 26 % de los ataques antes de que se consumaran del todo. Pero hubo países que lo hicieron mucho mejor. Como Arabia Saudí, que detuvo un 62 % de todos los intentos de cifrado.

Solo el 16 % de las víctimas pagó el rescate

Aunque en el 84 % de los ataques restantes sí se consumó con el cifrado de datos, solo un 16 % de sus víctimas accedió a pagar el rescate exigido. Es un porcentaje menor que el de muchos otros países analizados. Probablemente, la preparación de las organizaciones fue un factor determinante. Sophos descubrió que el 73 % de las empresas consiguieron recuperar los datos mediante copias de seguridad.

Los ataques de ransomware costaron a las empresas españolas 750 000 $ de media

Sophos revela que el coste derivado del ransomware se incrementó un 25 % entre 2020 y 2021. En 2020, las compañías españolas gastaron una media de 600 000 $ como resultado de ataques de ransomware. Ese valor ascendió a 750 000 $ en 2021. Aunque parezca un valor muy alto, es sustancialmente menos que la media global, que asciende a 1,85 millones de dólares. Las empresas austríacas pagaron la mayor cuenta, con una media de más de 7,75 millones de dólares; seguidas de las belgas, con 4,75 millones; y de las empresas de Singapur, con 3,46 millones.

El 83 % de las empresas españolas tienen un seguro de ciberseguridad

Uno de los aspectos de mayor interés tratados por Sophos es la popularidad de los seguros relacionados con la ciberseguridad en España. Más de ocho de cada diez empresas españolas tienen una política de seguros relacionados con la ciberseguridad, y el 70 % de las organizaciones incluyen el ransomware en el seguro.

Desde LISOT, como empresa de ciberseguridad y mantenimiento informático os ofrecemos sistemas, aplicaciones y formación a usuario para incrementar la seguridad de vuestros equipos.

La entrada Radiografía de la ciberseguridad en España: estadísticas 2020 -2022 (parte I) se publicó primero en LISOT.

1.- Visibilizar los activos

Clasificar como activo todo lo que representa un valor para la organización como estructuras físicas (edificios o equipamiento), digitales (documentación y proyectos) y virtuales (reputación e impacto de marca).

Para cada activo:

1. Identificar amenazas: Una amenaza es todo lo que puede dañar la integridad de un activo o la información que gestiona
2. Reconocer vulnerabilidades: Las vulnerabilidades son todo lo que hace susceptible de daños a un activo o la información que gestiona.
3. Contemplar requisitos legales: Estos requisitos son las responsabilidades que la organización tiene con terceros como clientes, proveedores, industria, entre otros.

2.- Analizar el impacto

Conocer la solidez de su infraestructura.

1. Identificar los riesgos: Cualificar y cuantificar la probabilidad de que una amenaza pueda dañar los activos de información de acuerdo a su disponibilidad, confidencialidad e integridad.
2. Calcular el nivel de riesgo: Para establecer prioridades de control para los riesgos es necesario calcular el nivel de riesgo por medio de la siguiente fórmula: (Riesgo = Probabilidad de ocurrencia * Impacto).

3.- Gestionar del riesgo

Definir las políticas para cada uno de los riesgos.

1. Asumirlo
2. Reducirlo
3. Eliminarlo
4. Transferirlo

Si estás planeando realizar un análisis de seguridad de tu sistema informático, desde LISOT te podemos ayudar a realizarlo.

La entrada 3 buenas prácticas para mejorar la ciberseguridad se publicó primero en LISOT.

Existe una creencia de que una mayor ciberseguridad dificulta incluso el acceso de los empleados a lo que necesitan. En ese aspecto, se cree que las políticas de seguridad estrictas dificultan la productividad en el trabajo. Sin embargo, eliminar la seguridad puede tener consecuencias nefastas. Un ataque exitoso, como un ataque de ransomware o de DDoS puede paralizar su negocio días e incluso a veces semanas.

2.- Los ataques son causados ​​por amenazas externas

Las amenazas internas van en aumento y pueden incluir empleados, proveedores, contratistas, socios comerciales.

Un ciberataque puede empezar de forma involuntaria por alguien conocido.

3.- Los ciberdelincuentes solo atacan a grandes empresas

En un informe reciente se desveló que los piratas informáticos atacan a las pequeñas empresas casi la mitad del tiempo. Un dato importante es que únicamente el 14% de estas empresas estaban preparadas para defenderse.

Generalmente a los ciberdelincuentes les merece más la pena atacar a pequeñas y medianas empresas porque tienen menos seguridad, por lo que podrían colarles un ransomware de manera más fácil y luego pedir el rescate de los archivos.

4.- Con un antivirus y antimalware es suficiente

El software antivirus y antimalware es un buen punto de partida de cara a los equipos finales. No obstante, sólo protege un punto de entrada.

Por lo tanto, se necesita una solución de seguridad integral, como un firewall de aplicaciones web, un sistema de detección y prevención de intrusiones entrenado para detectar cualquier posible ataque. Gracias a éste se pueden monitorizar las amenazas de manera continua y brindar una protección de extremo a extremo en todo momento.

5.- La ciberseguridad es demasiado cara

Los ciberataques cuestan millones a las empresas y a pesar de eso las empresas se preguntan todavía si las inversiones en ciberseguridad merecen la pena. La seguridad de los datos a menudo se pasa por alto el coste de una violación de datos, que generalmente ronda los millones de euros. A esto hay que añadirle el daño de las pérdidas de reputación y de las pérdidas de clientes,

Qué hacer para minimizar el riesgo y las consecuencias de un ataque informático:

• Revisar las políticas de seguridad periódicamente.
• Realizar auditorías de seguridad.
• Monitorizar sus activos críticos continuamente.
• Invertir en las nuevas medidas en materia de seguridad.
• Mantenerse informado sobre las mejores prácticas de seguridad.

Desde LISOT os ayudamos a establecer estas buenas prácticas de seguridad informática para su empresa.

La entrada Los mitos sobre ciberseguridad más comunes que son mentira se publicó primero en LISOT.

La mejor defensa ante la ciberdelincuencia es la PREVENCIÓN. Esa prevención empieza conociendo nuestros sistemas realizando un test de intrusión o Pentesting.

¿Qué es un test de intrusión?

El servicio de Basic Penetration Testing (BPT) es el proceso de evaluar el estado de seguridad actual de un sistema o red de una organización para encontrar vulnerabilidades que un atacante podría explotar para obtener acceso no autorizado a los sistemas y la información. En definitiva, detectamos, categorizamos y proponemos pautas de corrección de vulnerabilidades conocidas o desconocidas en los sistemas de hardware o software.

Objetivos del Pentesting

• Recopilar información pública de la organización relacionada con TI e identificar los activos de tecnología de la información (TI) para producir una lista de vulnerabilidades conocidas presentes en los sistemas y aplicaciones ayudando a mitigarlas antes de que puedan ser explotadas.
• Simular un evento de hacking real para probar la solidez de sus sistemas, sus defensas y las medidas de seguridad existentes.
• Evaluar el estado del sistema de TI frente a ataques.

Alcance de un test de intrusión

Realizamos nuestros Ensayos de Penetración en dos formatos:

• Pruebas de penetración básica externas: Realizadas de forma remota sin acceso interno por nuestros expertos en seguridad. El objetivo es identificar y, clasificar las debilidades de los activos del cliente públicos en internet (los activos de TI de una organización) como servidores web, puertas de enlace de red, VPN, servidores de correo electrónico y firewalls.
• Pruebas internas de penetración básica: Realizadas desde las instalaciones de la organización, identificamos y clasificamos amenazas y vulnerabilidades en la red interna desde el punto de vista de alguien que ya tiene acceso a la red de la organización, como un empleado, colaborador o invitado. También ayuda a una  organización  a  determinar  su  cumplimiento de las políticas, estándares y procedimientos globales o locales en términos de seguridad de la información, protección de datos y segmentación de la red.

Procedimiento del test de intrusión:

Utilizaremos una combinación de métodos de escaneo automatizados y manuales y empleando herramientas comerciales  y  disponibles  públicamente,  así como scripts personalizados  y aplicaciones desarrolladas por LISOT.

El proceso de prueba de penetración consta de los siguientes pasos:

• Reconocimiento: recopilación de datos preliminares sobre la organización objetivo. Los datos se recopilan con el fin de planificar mejor el ataque. La información recopilada en este paso incluye intervalos de direcciones IP, direcciones de correo electrónico públicas, sitios web, etc.
• Análisis y enumeración: recopila más información sobre los sistemas conectados, así como la ejecución de aplicaciones y servicios en la red de la organización. También se recopila información como el tipo y la versión de sistemas operativos, cuentas de usuario, direcciones de correo electrónico, la versión del servicio y, números de versiones entre otros.
• Identificar vulnerabilidades: en función de la información recopilada en las dos fases anteriores, identificaremos los servicios vulnerables que se ejecutan en su red o las aplicaciones que tienen vulnerabilidades conocidas.
• Explotación: Usamos código fácilmente disponible o creamos uno personalizado para aprovechar las vulnerabilidades identificadas para obtener acceso al sistema objetivo.
• Escalada de privilegios: en algunos casos, la vulnerabilidad existente proporciona acceso de bajo nivel, como el acceso normal de los usuarios con privilegios limitados. En este paso, intentaremos obtener acceso administrativo completo en la máquina.

¿Por qué realizar un Pentesting?

La mejor forma de conocer cuán segura es una web, red o sistema informático de una compañía es poniéndolo a prueba. Por eso, cuando se contrata un servicio de test de intrusión, el auditor actúa con técnicas similares a las de un ciberdelincuente que realiza un ataque con malas intenciones. Es decir, actúa como si quisiera robar información o actuar de forma ilegítima. De esta manera, pone a prueba los sistemas y descubre hasta qué punto están preparados para afrontar un ataque real de tipo intrusivo.

¿Te interesa poner a prueba tus sistemas? Contáctanos para realizar un test de intrusión.

La entrada El test de intrusión: la mejor defensa ante un ciberataque se publicó primero en LISOT.

Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.

La Seguridad de la Información no es una excepción, y por eso es necesaria una aproximación seria y objetiva a la ciberseguridad, que nos permita determinar de manera fiable los riesgos a los que estamos expuestos, en qué medida lo estamos y cuáles son las consecuencias. En la época actual no podemos seguir ya con el tradicional‚ “acordarse de Santa Bárbara cuando truena”.

La herramienta principal para remontar la empresa en caso de ciberataque es disponer de una copia de seguridad fiable y actual.

Realizar una copia de seguridad completa, diferencial e incremental es la mejor forma de garantizar la continuidad del negocio, y aplicando un método como la regla 3-2-1 se dispondrá siempre de una copia lista para ser recuperada, independientemente del tipo de incidente (externo o interno) que se haya producido.

¿Qué es la regla 3-2-1 para backups?

La regla 3-2-1 es un método para realizar copias de seguridad que persigue conseguir el acceso a una copia de seguridad para poder ser respaldada siempre que sea necesario. Da igual que el incidente que requiera del respaldo del backup se haya producido de forma interna (error humano, corrupción de datos, incendio, robo de datos, o similar) o de forma externa (ataque por malware, denegación de servicio o cualquier otro ataque externo), con esta regla siempre se dispondrá de una copia lista para utilizar y volver a la normalidad en el menor tiempo posible.

La regla del 3-2-1 dice lo siguiente:

• Siempre se deben realizar y mantener tres copias de seguridad de los datos a respaldar.
• Se utilizarán al menos dos soportes distintos para realizar estas copias
• y uno de ellos tiene que estar siempre fuera de la empresa (en el entorno actual de trabajo, en la nube).

Ejemplo de la regla 3-2-1

La mejor forma de comprender cómo funciona y se aplica esta regla de copias de seguridad es viendo un ejemplo.

Imaginemos una empresa que maneja datos de su software de facturación y contabilidad, correos electrónicos y documentos PDF con presupuestos, contratos, nóminas, y otra información relevante para el negocio. Esta información es vital y necesaria para el funcionamiento de la empresa por lo que realiza de forma periódica (diariamente) una copia de seguridad con todos esos datos.

Para aplicar la regla 3-2-1 de copias de seguridad en esa empresa se podría instalar un NAS al que volcar diariamente dos de las copias de seguridad. Esas copias se realizan en directorios diferentes dentro del NAS.

También se contrataría un espacio de almacenamiento en la nube en un proveedor cloud seguro, y se subiría un backup al mismo.

De esta forma se harían tres copias, en dos soportes distintos y una de ellas se encuentra fuera de la empresa (dos en el NAS y una en la nube), garantizando que la empresa siempre podrá acceder a una de estas copias cuando lo necesite.

La regla del 3-2-1 es un método que permite a la empresa disponer siempre de un backup listo para su respaldo.

Desde LISOT, como proveedor de soluciones de seguridad informática y Partner CLOUD, podemos ofreceros la implementación de estas soluciones.

La entrada Qué nos salva en caso de un ataque informático (o la regla 3-2-1 para backups) se publicó primero en LISOT.