ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths Los mejores webinars de 2019 por ElevenPaths Aprende sobre las últimas tendencias en ciberseguridad y herramientas con nuestros expertos.
ElevenPaths La Alianza Global de Seguridad refuerza sus capacidades con la compartición de inteligencia de amenazas Telefónica, AT&T y Singtel aumentan sus esfuerzos para mejorar aún más la capacidad de detectar y eliminar las amenazas del entorno de los clientes.
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Yaiza Rubio Qué hemos presentado en el Security Innovation Day 2018: Stela FileTrack, el control de la información sensible (IV) En este post hablaremos de la parte centrada en el nuevo producto estrella de la Unidad de Ciberseguridad de Telefónica, Stela FileTrack. Rames Sarwat, VP de Alianzas Estratégicas en ElevenPaths,...
ElevenPaths Limitando el ámbito de uso de nuestros secretos en Latch con “Limited Secrets” Cuando creamos como desarrollador una aplicación de Latch, ésta nos proporciona un identificador de aplicación (appId) y un secreto. Éste par de claves nos permiten firmar las peticiones realizadas a...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
ElevenPaths ElevenPaths Radio 2×09 – Entrevista a David Marugán ¿Qué es el radio hacking y para qué se utiliza? Nos lo cuenta en este episodio David Marugán, consultor de seguridad y especialista en radiocomunicaciones.
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
Día Internacional de la Protección de DatosElevenPaths 28 enero, 2019 Como viene siendo habitual hoy, 28 de enero, celebramos el Día Internacional de la Protección de Datos. Su celebración está más de actualidad que nunca debido a las numerosas novedades normativas como la recién estrenada en España Ley Orgánica de Protección de Datos y Protección de los Derechos Digitales. Dicha ley adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD). Si bien es verdad que no supondrá grandes problemas de adaptación para las empresas, sí que conviene saber que se desarrollan algunos aspectos con más detalle. No es objeto de este post enumerar una lista exhaustiva de los mismos pero sí que queremos destacar algunas de las cuestiones que se especifican en la misma. Entre otros se explica la forma en que debe informarse a los interesados acerca del tratamiento que se realiza de sus datos personales a través de un sistema de capas de informació: la protección de datos de las personas fallecidas, el nuevo régimen sancionador del RGPD, y algunas cuestiones relacionadas con el Delegado de Protección de Datos, como son los supuestos en los que es necesaria su designación por parte de las organizaciones o sus atribuciones. Si algo ha caracterizado el RGPD es su característica supranacional. Uno de los aspectos que más llamó la atención desde su publicación es la cuestión de que esta regulación no sólo afecta a organizaciones dentro de la UE sino a todas aquellas que, aún estando ubicadas fuera de la Unión, hicieran algún tipo de tratamiento de datos de carácter personal de ciudadanos europeos. A esto hay que añadir que países de la región de Latino América tales como Colombia, Perú, Argentina, Uruguay, México, Costa Rica, Nicaragua, República Dominicana o Brasil, han incorporado o van a incorporar regulaciones en materia de privacidad equivalentes al RGPD. SandaS GRC habilita la posibilidad de gestionar cualesquiera que fueran los contextos regulatorios a los que ha de responder una organización, ya sea local o multinacional. Sin embargo la privacidad no solo está de actualidad debido a los últimos cambios normativos. Se trata de un cambio cultural. En esta nueva economía de datos y de la confianza cobra especial relevancia la protección de la información y el empoderamiento de las personas. Cambio del que cada vez son más conscientes tanto empresas como ciudadanos. Las primeras son conscientes del impacto que una brecha de datos puede suponer a nivel de negocio, y los segundos están cada vez más concienciados de los riesgos que puede suponer para ellos un mal uso de los mismos. En este escenario se torna de vital importancia disponer de todas las herramientas a nuestro alcance para realizar una gestión efectiva. Aprovechando sinergias y evitando repetir trabajos. En este sentido desde el punto de vista de la Gestión del Riesgo y Cumplimiento una herramienta como SandaS GRC nos puede ayudar desde distintas perspectivas. Al tratarse de un sistema integrado SandaS GRC nos puede facilitar mucho el trabajo desde la perspectiva de riesgo. Como ya es bien sabido el RGPD cambia el enfoque anterior, pasando de una serie de medidas tasadas acordes al nivel de los datos por un enfoque basado en riesgos, con el fin de establecer medidas de seguridad y control acorde al mismo. Debemos tener en cuenta que en muchas ocasiones ya tendremos algunos análisis de riesgos realizados sobre todos o parte de los activos involucrados en el tratamiento de los datos, bien porque fueron objeto de análisis para alguna certificación, otras normativas, etc. Lo ideal sería poder aprovechar ya esta información y solo completar aquello que nos falte como nuevas amenazas (las de ámbito legal, por ejemplo) u otros activos que contribuyan al riesgo. De esta forma, estaremos construyendo un sistema integrado que nos permita escalar. No debemos olvidar que la visión del riesgo es poliédrica. Y, si bien en un momento dado podemos poner el foco en el análisis de los riesgos derivados del tratamiento de la información de carácter personal, probablemente debamos tener en cuenta otros dominios del riesgo que puedan afectar a los servicios de la compañía: seguridad TI, vulnerabilidades, operacionales, penales, etc. Una herramienta de gestión integral del riesgo nos va a facilitar la valoración de nuestros activos en función de todas estas dimensiones y el análisis de riesgos efectivo dentro de cada ámbito. Partir del “folio en blanco” es muy complicado, y probablemente sea poco eficiente. La regulación no nació ayer y todas las organizaciones ya han venido haciendo los correspondientes trabajos de adecuación. Una herramienta de gestión eficiente debe ser capaz de reaprovechar este trabajo permitiendo la posibilidad de cargar el máximo posible del trabajo realizado y seguir construyendo a partir de ahí. Por otro lado, es importante poder realizar un seguimiento de manera rápida y efectiva. Para ello podremos configurar cuadros de mando que nos ayuden a una eficaz toma de decisiones. SandaS GRC dispone de un agregador de riesgos que nos permite visualizar mediante cuadros de mando tanto los riesgos apreciados por los consultores de distintos perfiles, legales y de seguridad, como los riesgos procedentes de distintas fuentes de la capa operativa. Es muy relevante que adaptemos la información a los distintos perfiles de la organización CEO, CISO, DPO…) y otros responsables de negocio, para que puedan conocer cuál es el nivel de riesgo al que están expuestos, si está evolucionando como era de esperar o qué ámbitos o procesos de negocio están contribuyendo en mayor o menor medida al mismo Ejemplo de cuadro de mando de riesgo en Sandas GRC En definitiva se trata de tener a nuestra disposición automatizaciones que nos hagan la vida más fácil con el objetivo de que podamos sacar el mejor partido posible a los recursos con los que contamos. De esta forma los consultores podrán aportar toda su experiencia en aquellas tareas de mayor utilidad para el negocio. Juan Antonio Gil Belles Alicia Hurtado López Product Management SandaS GRC – Risk & Compliance Campañas de concienciación para empleadosEl futuro post-cuántico está a la vuelta de la esquina y aún no estamos preparados
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...