ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 30 de marzo-3 de abril ZOOM – Amenazas en la app de videovigilancia Como consecuencia del confinamiento y las nuevas necesidades de comunicación está proliferando la descarga de nuevas aplicaciones de videoconferencia como Zoom, de...
ElevenPaths ¿Qué tipo de profesionales trabajan en el Security Operations Center (SOC)? Descubre en este post los diferentes perfiles de los profesionales del SOC, que trabajan día y noche para proporcionar seguridad a nuestros clientes.
ElevenPaths Nuevo Informe sobre vulnerabilidades: “Las organizaciones siguen haciendo la vida más fácil a los atacantes” Descárgate aquí el informe completo Ya puedes descargarte el nuevo estudio “Informe de Tendencias: Vulnerabilidades 2014-2015” elaborado por nuestro equipo de analistas. En este documento se analizan los...
ElevenPaths ¿Cómo hemos vivido la RSA Conference 2019? Haciendo la seguridad más humana Con motivo de la RSA Conference 2019, del 4 al 8 de marzo estuvimos participando con nuestro estand, en la XXVIII edición de este gran evento de ciberseguridad que...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 30 de marzo-3 de abril ZOOM – Amenazas en la app de videovigilancia Como consecuencia del confinamiento y las nuevas necesidades de comunicación está proliferando la descarga de nuevas aplicaciones de videoconferencia como Zoom, de...
ElevenPaths ¿Qué tipo de profesionales trabajan en el Security Operations Center (SOC)? Descubre en este post los diferentes perfiles de los profesionales del SOC, que trabajan día y noche para proporcionar seguridad a nuestros clientes.
ElevenPaths Susan Kare: pionera en diseño gráfico y creadora de iconos emblemáticos de Apple y Windows Ilustración realizada por Catalina Guzmán “Es más fácil entender imágenes que palabras”. Susan Kare Susan Kare es creadora de algunos de los iconos más reconocidos de Apple, y a pesar de haberlos creado...
Gabriel Bergel Biohackers, biohackers everywhere Así tal cual, últimamente ya no soy sólo yo. En muchos países, medios, conferencias, sitios web, etc. están hablando de biohacking. De hecho, nosotros también lo hemos hecho en...
ElevenPaths ElevenPaths Radio – 2×05 Entrevista a Ofelia Tejerina Hoy en día la transmisión de información ha pasado a depender en gran parte de Internet y con ella la ciberseguridad. Sin embargo, no debemos olvidarnos de los canales...
ElevenPaths Conexión Segura, bloqueando ataques antes de que lleguen a tu dispositivo Durante las últimas semanas estamos viendo cómo diferentes fraudes y ciberataques amenazan la seguridad de nuestras conexiones, por lo que desde nuestro servicio Conexión Segura están trabajando a pleno...
ElevenPaths Eventos en los que participa ElevenPaths en diciembre Un completo resumen de los eventos, charlas y conferencias en los que van a participar los expertos de ElevenPaths durante el mes de diciembre.
ElevenPaths Eventos en los que participamos en el mes de Abril Como cada mes, os dejamos este post resumen con los principales eventos que visitaremos este mes de abril. ¡Hasta pronto, hacker!
Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (2/3)Carlos Rodríguez Morales 21 diciembre, 2018 Bien, ya nos hemos acercado a la norma y tenemos claro que a nivel regulatorio el cifrado de datos es un “must have”. Ahora vamos a dedicar un momento a saber algo más acerca del cifrado a nivel de archivos, de disco, etc., pero vamos a centrarnos en el cifrado de las BBDD, de aquellas que cumplen la norma y cómo hacerlo. Aun se usan en las empresas aplicaciones de terceros que no soportan el cifrado en sus bases de datos, por lo que la primera recomendación lógica es la siguiente: Consulten a su proveedor por el lenguaje de desarrollo y la base de datos usadas por sus aplicaciones. Seguramente las aplicaciones obsoletas no cumplan el regulamiento normativo, y sus datos y los de sus clientes pueden ser susceptibles a ser atacados por terceros y se estén exponiendo a sanciones legales. Antes de hablar de los enfoques de cifrado, vamos a ver los diferentes estados de los datos digitales y los respectivos métodos de encriptación: Datos en reposo: datos que no se mueven activamente de un dispositivo a otro, o de una red a otra, como los datos almacenados en un disco duro, computadora portátil, unidad flash o archivados / almacenados de alguna otra manera. Para proteger los datos en reposo, las empresas pueden simplemente cifrar archivos confidenciales antes de almacenarlos y/o elegir cifrar la propia unidad de almacenamiento. Datos en movimiento / tránsito: datos que se mueven activamente de una ubicación a otra, como a través de Internet o de una red privada. Para proteger los datos en tránsito, las empresas a menudo eligen cifrar datos confidenciales antes de la transmisión y/o usar conexiones encriptadas (es decir, HTTPS, TLS y FTPS) para proteger el contenido de los datos en tránsito.Datos en uso: datos que se almacenan en una memoria no persistente, generalmente en la memoria de acceso aleatorio (RAM) de la computadora, en el caché de la CPU o en los registros, mientras los equipos informáticos los procesan de forma activa. Los datos en uso son particularmente difíciles de cifrar porque se están procesando activamente y el cifrado puede afectar el rendimiento o hacer que el procesamiento sea imposible. Teniendo esto claro podemos ver los enfoques de cifrado, como os decía, cifrado de disco, de sistema de archivos, de aplicación y el que nos ocupa hoy, de bases de datos desde aqui Enfoques de cifrado Cifrado de disco completo: utiliza software o hardware de cifrado de disco para cifrar cada bit de los datos que van en un disco o dispositivo de almacenamiento (como SAN o NAS) para evitar el acceso no autorizado al almacenamiento de datos.Cifrado del sistema de archivos: es una forma de cifrado de disco donde los archivos o directorios individuales están cifrados por el propio sistema de archivos. Esto contrasta con el cifrado completo del disco donde se encripta toda la partición o el disco en el que reside el sistema de archivos. Esta es la forma de manejar el cifrado de tipos de datos no estructurados, como correos electrónicos, documentos, imágenes y archivos de audio y video.Cifrado a nivel de la aplicación: una solución de seguridad de datos que, a nivel de la aplicación, cifra los datos confidenciales, por lo que solo las partes autorizadas pueden leerlos. Esta solución puede admitir diferentes mecanismos, como el cifrado para preservar el formato (FPE), el cifrado para preservar el orden (OPE) y la tokenización. Por ejemplo, con FPE, un número de tarjeta de crédito de 16 dígitos sigue siendo un número de 16 dígitos después del proceso de cifrado. Este esquema es útil cuando terceros procesan información que necesita ser encriptada, pero la aplicación que la usa debe ser ajena al cambio. Y por ultimo, Cifrado de base de datos: el proceso de conversión de datos, dentro de una base de datos, de formato de texto simple a texto cifrado sin sentido mediante un algoritmo adecuado. El cifrado de la base de datos se puede proporcionar a nivel de archivo o columna. Se han desarrollado varias tecnologías, por ejemplo Transparent Data Encryption (TDE) empleado por Microsoft SQL, IBM DB2 y Oracle DB y MongoDB para cifrar archivos de base de datos, y aunque es seguro, el cifrado se hace en reposo, en el lado del servidor y encripta la base de datos completamente, por lo que es menos funcional, ya veremos mas adelante como se puede utilizar conjuntamente con Always Encrypted de MS SQL, ya que permite el cifrado de datos en reposo y en movimiento, se hace en el lado cliente, sin claves de cifrado en el servidor y permite encriptación por columnas. Para los desarrolladores, la recomendación es .NET 4.6. Como os decía, al cifrar los datos en el lado del cliente, Always Encrypted también protege los datos almacenados en columnas cifradas, en reposo y en tránsito, pero a menos que el objetivo sea proteger los datos confidenciales en uso, TDE es la opción recomendada para el cifrado en reposo, y TLS para proteger los datos en tránsito, de hecho, la recomendación es utilizar conjuntamente Always Encrypted, TDE y TLS: TDE como la primera línea de defensa (y para cumplir con los requisitos de cumplimiento comunes) para cifrar toda la base de datos en reposo. TLS para proteger todo el tráfico a la base de datos. Always Encrypted para proteger datos altamente confidenciales de usuarios de alto privilegio y malware en el entorno de base de datos. También te puede interesar: » Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (1/3) » Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (3/3) Nuevo informe: Detección de botnets en Twitter durante eventos deportivosFrustración del mantenimiento open source como superficie de ataque
ElevenPaths ElevenPaths Radio – 2×05 Entrevista a Ofelia Tejerina Hoy en día la transmisión de información ha pasado a depender en gran parte de Internet y con ella la ciberseguridad. Sin embargo, no debemos olvidarnos de los canales...
ElevenPaths Conexión Segura, bloqueando ataques antes de que lleguen a tu dispositivo Durante las últimas semanas estamos viendo cómo diferentes fraudes y ciberataques amenazan la seguridad de nuestras conexiones, por lo que desde nuestro servicio Conexión Segura están trabajando a pleno...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 30 de marzo-3 de abril ZOOM – Amenazas en la app de videovigilancia Como consecuencia del confinamiento y las nuevas necesidades de comunicación está proliferando la descarga de nuevas aplicaciones de videoconferencia como Zoom, de...
ElevenPaths ¿Qué tipo de profesionales trabajan en el Security Operations Center (SOC)? Descubre en este post los diferentes perfiles de los profesionales del SOC, que trabajan día y noche para proporcionar seguridad a nuestros clientes.
Gabriel Bergel Análisis de riesgo aplicado al COVID-19 Nuestro CSA Gabriel Bergel muestra cómo es posible aplicar la metodología del Análisis de Riesgos para la gestión de la amenaza del COVID-19.
Gonzalo Álvarez Marañón Las 10 mejores charlas TED para aprender sobre ciberseguridad Descubre las 10 mejores charlas para aprender sobre ciberseguridad y, al mismo tiempo, sobre formas de mejorar tus propias presentaciones.
