Cybersecurity News
Mostrando entradas con la etiqueta fugadedatos. Mostrar todas las entradas
Mostrando entradas con la etiqueta fugadedatos. Mostrar todas las entradas

OPSEC, estrategia de protección de información crítica y sensible



Que la información (tanto personal como corporativa) es poder, no es ninguna novedad. Que, además, con ella (tanto si se le da buen uso como mal uso) se pueden generar negocios muy rentables, tampoco es noticia.

Lamentablemente, estamos muy acostumbrados a facilitar a diario (con consentimiento, explícito, expreso, informado, tácito, etc., o no) datos de carácter personal, empresarial, corporativo, confidencial, e incluso de carácter crítico, como “moneda de cambio” para la prestación de servicios (generalmente gratuitos, pero no siempre), o por otros motivos.

Ya sabemos que debemos proteger la información. Pero, esto nos lleva a que quizá debamos ir un paso más allá, especialmente en el caso de las empresas y organizaciones que manejan datos, propios o de terceros (clientes, empleados, proveedores, partners, etc.), de carácter sensible y/o confidencial.

Se trata de una pieza más en la gestión de riesgos corporativos, los cuales se deben mitigar mediante mecanismos y acciones de seguridad física, seguridad lógica (ciberseguridad)

Antes de gestionar los riesgos, debemos conocer cuáles son los activos a proteger que podrían verse afectados por amenazas y ser víctimas potenciales de su acceso, modificación o extracción (exfiltración o fuga de datos). Obviamente será la información, serán los datos. Sin embargo, lo que necesitamos averiguar es ¿Cuáles son exactamente?, ¿Dónde están?, ¿De qué tipo son?, ¿Cómo se almacenan y gestionan?, etc. Es decir, debemos realizar una tarea previa de descubrimiento y clasificación.

Con todo ello, tendremos más claro qué datos vamos a proteger y cómo debemos hacerlo debido a sus características.

Este es el objetivo de los procesos y servicios OPSEC (Operational Security, Seguridad de las Operaciones), que vienen a cubrir dichas necesidades. Con ellos conseguiremos evitar los casos de fuga de información estableciendo metodología y mecanismos de protección de datos y data loss prevention (prevención de pérdida de datos, o DLP).

Con un servicio OPSEC integral se identifica, se clasifica y se protege la información importante de una organización y, al mismo tiempo, se implementan contramedidas de protección para dificultar que los adversarios obtengan información crítica.

El objetivo de un servicio 𝗢𝗣𝗦𝗘𝗖, por tanto, es proteger la información sensible y la información crítica de una organización, identificando amenazas potenciales y estableciendo contramedidas efectivas para mitigar riesgos.

Consiste en un servicio complejo con diferentes actividades que pasan desde un exhaustivo análisis preliminar de la información que gestiona la empresa, con su identificación y clasificación, hasta el establecimiento de todo tipo de medidas de protección:

  1. Identificación de la información crítica y sensible. Se debe trabajar para determinar qué información existente es la que realmente debe ser considerada como crítica y/o sensible para la empresa.
  2. Clasificación de la información, por tipos y por grados. Cuando ya tenemos identificada la información a proteger, y dado que no todo tipo de información se protegerá del mismo modo, debemos conocer sus características, en base a dos factores: su importancia en la organización y el nivel de sensibilidad.
  3. Identificación de amenazas potenciales. Si ya conocemos la información a proteger, de qué tipo es, e incluso el nivel de importancia y sensibilidad, es el momento de averiguar qué amenazas (externas o internas y de toda clase de índole) podrían poner en riesgo la seguridad de esa información en concreto.
  4. Análisis de vulnerabilidades. Conociendo los activos y las amenazas que podrían afectarles, además del modo en el que se almacena, trata y gestiona la información, seremos capaces de identifican posibles agujeros de seguridad y debilidades a corregir en la gestión de dicha información.
  5. Desarrollo de contramedidas. Abordemos la prevención en detalle desde todo el conocimiento previo adquirido, definiendo, construyendo, desarrollando e implementando medidas (técnicas o no), procedimientos, herramientas, servicios, técnicas, recursos, y capacidades de protección proactiva.
  6. Implantación de contramedidas. Despleguemos, apliquemos, pongamos en marcha y configuremos las medidas desarrolladas, asegurándonos de que sean aplicadas correctamente.
  7. Revisión y proceso continuo. Por su puesto, un ejercicio o servicio OPSEC no es algo aislado que se realiza en una ocasión para cubrir expediente y listo. Se trata de un proceso continuo que requiere una evaluación constante de activos (datos, información), amenazas potenciales, vulnerabilidades y contramedidas existentes. Sólo esto asegurará que la información crítica y sensible continúa estando protegida.

Aplicando de forma regular este tipo de evaluaciones o servicios OPSEC conseguiremos mejorar la seguridad de nuestra empresa y de sus datos, obteniendo importantes beneficios para la organización:

  • Protección contra amenazas, externas y también internas .Ya sabemos que las amenazas pueden ser de carácter externo (ciberdelincuentes, ciberataques, por ejemplo) y también de carácter interno (insiders que actúan de forma intencionada o no). Un servicio OPSEC nos permitirá proteger ambos casos, por lo que aporta una protección de datos integral. 
  • Reducción de riesgos. Dado que los riesgos asociados a los activos son descubiertos y mitigados pudiendo establecer medidas con antelación, esto se traduce en la disminución de casos de pérdida de información crítica.
  • Cumplimiento normativo (compliance). Muchas empresas están obligadas a cumplir (e incluso estar certificadas) bajo determinados marcos, regulaciones, estándares o normativas de seguridad y de protección de datos (LOPD, LOPDGDD, RGPD/GDPR, ENS, NIS, DORA, entre otras). La realización de ejercicios o servicios OPSEC ayuda a garantizar el cumplimiento normativo de dichas empresas.
  • Toma de decisiones informadas. Al proteger la información crítica de la organización, es más fácil poder tomar decisiones con mayor conocimiento y, por tanto, estratégicas más sólidas basadas en datos seguros y confiables.

Sin embargo, no todas las empresas están capacitadas ni preparadas para realizar este tipo de ejercicio de introspección, análisis y establecimiento de medidas, debiendo solicitar la prestación de servicios profesionales por parte de expertos en OPSEC. Es decir, es probable que una empresa adolezca de características como las siguientes como para implementarlo por su cuenta:

  • Concienciación. Donde, sino toda, una inmensa parte de la plantilla de la organización conoce la importancia de la seguridad y protección del dato, así como lo que son los servicios de seguridad de las operaciones.
  • Conocimientos y capacidades. En este caso, además de tener conciencia, lo que debería tener una empresa son recursos y capacidades (humanas, técnicas y económicas) para ejecutar plantes OPSEC internos por su propia cuenta.
  • Recursos limitados. Aun cumpliendo los dos aspectos anteriores, es más que probable que una organización carezca de personal y de presupuesto para implementar medidas de este tipo internamente.
  • Estado del arte y evolución continua de las amenazas. Otro factor en contra es que las amenazas, técnicas y tecnologías de ataque para la obtención de datos, cambian constantemente y a un ritmo vertiginoso como para que una empresa que no se dedica a la ciberseguridad, pueda hacer frente a ello.

Por estos motivos, siempre es más recomendable contar con expertos que nos ayuden a ejecutar este tipo de servicios de seguridad en las operaciones (OPSEC), atendiendo tanto a la seguridad física como a la lógica e implantando contramedidas que dificulten que el ciberatacante pueda llegar a conocer información y características de los datos con los que cuenta la organización.


¿Tu empresa tiene la capacidad y destreza necesarias para realizar actividades OPSEC?


¿Necesitas tu empresa ayuda con este tipo de servicios, como los que ofrecemos en Zerolynx: 𝗦𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 𝗱𝗲 𝗹𝗮𝘀 𝗢𝗽𝗲𝗿𝗮𝗰𝗶𝗼𝗻𝗲𝘀 (𝗢𝗣𝗦𝗘𝗖)?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.


Protección de datos empresariales, exfiltración y fuga de datos



La protección de datos empresariales cada vez es más compleja debida a la sofisticación de las técnicas, mecanismos y tecnologías empleadas por los ciberdelincuentes. Esto hace obligatorio el uso de estrategias, enfoques, mecanismos y tecnologías cada vez más avanzadas.

A día de hoy, para las empresas es esencial la monitorización continua de riesgos en Internet y la vigilancia de foros de eCrime de la Dark Web con el objetivo de detectar alguna posible exfiltración de datos propiedad de la empresa.

La Dark Web es el hábitat y refugio de actividades ilegales para los ciberdelincuentes, desde dónde evaden su detección, y desde dónde sacan rédito a sus actividades delictivas, por ejemplo con la venta de datos robados.

Este seguimiento y monitorización continua de riesgos en Internet y en la web profunda u oscura, requiere la utilización de herramientas y tecnologías potentes, innovadoras y muy avanzadas.

Lo que se busca en dicho análisis son menciones a la empresa y a algunos de sus datos corporativos, e incluso datos de clientes, usuarios, partners, o empleados. Los motores de búsqueda de la web profunda y los algoritmos de detección de amenazas permiten identificar cualquier actividad sospechosa al respecto.

Allí, en la Dark Web existen lo que se conoce como foros de eCrime a modo de mercadillos o puntos de encuentro para ciberdelincuentes que buscan vender y comprar información robada. Sí, es como un mercadillo para el mejor postor. Los datos robados de empresas concretas se ofrecen al peso, a cambio de dinero, en modo de criptomonedas generalmente, mediante subastas o venta directa.

Generalmente, la mayoría de las empresas, no cuentan con un equipo de IT dedicado a esta tarea ni con expertos en la materia. Por ese motivo, lo habitual es recurrir a servicios profesionales y especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: Monitorización de Riesgos en Internet y Dark Web.

Para conseguir un elevado grado de confianza digital, y reconocimiento de marca y negocio por lo tanto, las empresas deben garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de los datos que obtienen, crean, almacenan y gestionan. Sólo así las empresas podrán contar con un buen nivel de protección de la información y secretos empresariales.

Como sabemos, la Dark Web consiste en una "parte" oculta de Internet que requiere de navegadores específicos para acceder a ella y que es el caldo de cultivo para actividades ilegales, fraudulentas y delictivas.

Los foros de venta de datos robados y las comunidades de ciberdelincuentes dedicadas al eCrime son habituales en este entorno, siendo el escaparate y "tienda" donde los cibercriminales ofertan los datos corporativos que previamente han robado a una/s determinada/s empresa/s.

La primera línea de defensa debe consistir en la monitorización continua de riesgos en Internet, rastreando la web en busca de cualquier indicio de datos corporativos comprometidos, o que se encuentren a la venta (nombres de la empresa, direcciones de correo electrónico, información de clientes, etc.).

La exploración de los foros de eCrime en la Dark Web es otra de las actividades que debe realizarse en paralelo. Los datos más deseados e incluso solicitados son números de tarjetas bancarias, contraseñas, números de cuentas bancarias, números de identidad, etc.

Detectar la presencia de datos corporativos en la Dark Web es solo el primer paso. El siguiente paso crucial es el análisis de estos datos exfiltrados. Este análisis puede proporcionar información valiosa sobre la magnitud del ataque, los posibles puntos de entrada y las vulnerabilidades en la seguridad de la empresa.

Los equipos de seguridad cibernética pueden rastrear las actividades de los ciberdelincuentes en la Dark Web e incluso actuar como detectives e infiltrarse en sus comunidades para obtener información adicional de más valor.

Ambos componentes, tanto la monitorización continua de riesgos en Internet como el rastreo de foros de venta y eCrime en la Dark Web, son, por tanto, esenciales para lograr un enfoque integral y holístico, puesto que la protección de datos empresariales es esencial para la continuidad del negocio, la supervivencia y la reputación de una empresa.

¿Te ayudamos a averiguar si tu empresa ha sufrido alguna exfiltración de datos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.