Como os venimos anunciando desde hace meses, y los últimos acontecimientos lo confirman, los datos de carácter personal y la información confidencial se han convertido en el nuevo oro del siglo XXI. Grandes corporaciones, gobiernos y también piratas sin escrúpulos están dispuestos a cualquier cosa para obtener una ventaja sobre empresas, gobiernos o individuos. La actividad asociada al robo de información es muy rentable, si atendemos a ganancias y pérdidas que este tipo de delitos genera y que se estimada superarán 10.000 millones de dólares anuales, ya en 2025.
Desafortunadamente y aun cuando hoy conocemos que, pese a las altísimas medidas de seguridad, se han espiado en España los móviles del presidente de gobierno y de algunos de sus ministros, la sensación general de la población y de las empresas en España, con honrosas excepciones, es de una incomprensible despreocupación, a pesar de las obligaciones jurídicas.
Integra sabe que, el uso creciente de la tecnología para el tratamiento de la información, supone un riesgo que debe evaluarse y minimizarse aplicando medidas de seguridad en cada uno de los distintos vectores de ataque siguiendo un patrón predefinido de prevención, detección y reacción. Un elemento fundamental, antes de entrar en materia, sería desarrollar la base de conocimiento necesaria para abordar el Plan de Ciberseguridad para Centros e Instituciones.
Es indudable que la formación es el pilar fundamental para poder gestionar la Ciberseguridad y entender los riesgos, las amenazas y las medidas de protección, así como para elaborar un plan de acción unificado que contemple los distintos vectores, dispositivos y entornos a través de los cuales se puede aprovechar una vulnerabilidad.
Para ello, Integra propone dos tipos distintos y complementarios de cursos:
- Curso de Hacking Ético: Desarrollar el conocimiento de las técnicas y los procedimientos de los ataques más comunes
- Aprender todo lo referido al mundo del hacking ético, desde los conceptos más básicos hasta herramientas para realizar:
- Recopilación de información, reconocimiento, enumeración, escaneo de redes, técnicas de criptografía para romper contraseñas.
- Técnicas de ingeniería social para entrar en sistemas, hacking de sistemas Windows y GNU/Linux, escalada de privilegios, hacking en redes Wifi, hacking web.
- Pentesting, todo lo referente a la seguridad ofensiva, generación de informes y presentación de informes de auditoría.
- Dominar los fundamentos y principales técnicas del hacking ofensivo.
- Obtener las habilidades necesarias para desarrollar tu carrera profesional como pentester.
- Aprender todo lo referido al mundo del hacking ético, desde los conceptos más básicos hasta herramientas para realizar:
- Plataforma HackRocks: De manera general, es una obligación para todos desarrollar las habilidades que requiere la actividad humana a día de hoy. El uso de la tecnología y sus riesgos no pueden ser una excepción. Para que la adquisición y desarrollo de estas habilidades sean lo más universales posibles, es necesario que se haga de manera lúdica, gamificada e interactiva, potenciando el contacto, colaboración y competencia con otros usuarios. Eso es precisamente lo que proponemos con el uso de la plataforma Hackrocks.
Con la base de conocimiento anteriormente citada, es posible desarrollar los procesos y los equipos humanos necesarios para implantar el Plan de Ciberseguridad para Centros e Instituciones, que incluye las fases de prevención, detección y reacción:
- Prevención: Esta fase supone el estudio y análisis de las infraestructuras y equipamientos vinculados al tratamiento de información. A partir de dicho análisis se deben proponer mejoras en los siguientes segmentos:
- Antivirus
- Cortafuegos y herramientas de análisis del tráfico
- Análisis de red, sistemas, equipos y copias de seguridad
- Pentesting (para servidores)
- Análisis de sitios web, certificados y cookies
- Detección: En esta fase se supervisan y verifican los controles, medidas y alertas definidas para garantizar el uso correcto de los recursos y el tráfico de la red. Cualquier alerta en el número de intentos, orígenes y destinos, protocolos o recursos accedidos deben desencadenar un análisis de la posible situación o incidencia. Para ello se contará con una aplicación de monitorización especializada y personal cualificado:
- Coordinador de Ciberseguridad
- Responsable de actuación local
- Usuario avanzado (Red flaggers)
- Reacción: En esta fase, el equipo de monitorización realiza las acciones correctivas en base a protocolos predefinidos. El Coordinador de Ciberseguridad elevará las incidencias detectadas, así como las correcciones y mejoras al responsable del centro, equipo de titularidad o de la institución.
Como sabe, desde hace años Integra está trabajando en distintos aspectos de la tecnología, en especial en aquellos relacionados con la seguridad e IT Governance. Queremos transmitir nuestra idea de que el uso de la tecnología, imprescindible en toda organización sostenible y competitiva, puede ser al mismo tiempo segura y respetuosa con los derechos fundamentales de las personas. Para ilustrar esta idea, ponemos a su disposición una breve entrevista a Enrique Serrano, experto en ciberseguridad y hacking ético.
Si desea desarrollar un plan de Ciberseguridad para su centro u organización, o realizar algún tipo de consulta, no dude en ponerse en contacto con nosotros. Estaremos encantados de atenderle.
Madrid, a 17 de mayo de 2022
Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.
Artículos relacionados
1 de noviembre de 2024
25 de octubre de 2024
2 de octubre de 2024
18 de septiembre de 2024