ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
Gonzalo Álvarez Marañón Piedra, papel o tijera y otras formas de comprometerte ahora y revelar el compromiso luego ¿Alguna vez has jugado a piedra, papel o tijera? Apuesto a que sí. Bien, vamos a rizar el rizo: ¿cómo jugarías a través del teléfono? Una cosa está clara:...
ElevenPaths ElevenPaths Radio – 1×10 Entrevista a Ramón López de Mántaras En este episodio hablamos con Ramón López de Mántaras, director del Instituto de Investigación en Inteligencia Artificial del CSIC, pionero de IA en España.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...
ElevenPaths Nueva herramienta ProxyMe y ataques de cache poisoning (y II) ProxyMe es una aplicación proxy desarrollada por nuestro compañero Manuel Fernández de Eleven Paths. Fue presentada durante el evento Arsenal del congreso de seguridad Black Hat, que se celebró entre...
Claudio Caracciolo Nuevos informes sobre información pública de los países de Latinoamérica Cualquier persona que trabaja en seguridad desde hace años es capaz de comprender que no existe el Plan Estratégico de Defensa perfecto. Sin duda alguna, también estará de acuerdo...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
Gonzalo Álvarez Marañón Piedra, papel o tijera y otras formas de comprometerte ahora y revelar el compromiso luego ¿Alguna vez has jugado a piedra, papel o tijera? Apuesto a que sí. Bien, vamos a rizar el rizo: ¿cómo jugarías a través del teléfono? Una cosa está clara:...
Julia Perea Una visita a la Start-up Nation de Israel Hace unos días, un grupo de 15 mujeres españolas dedicadas al mundo de la ciberseguridad, viajamos hasta Israel para mantener una serie de reuniones con instituciones públicas y privadas...
Teletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (I)Antonio Gil Moyano Juan Carlos Fernández Martínez 17 diciembre, 2020 A estas alturas, cerrando el año 2020 y mirando hacia atrás, nadie se hubiera imaginado el avance en la digitalización de organizaciones y empresas por la irrupción del teletrabajo debido a la actual situación global de pandemia. Un avance ante el que empleadores y trabajadores se han tenido que adaptar implementando metodologías de trabajo a distancia y, en vista de que el teletrabajo ha venido para quedarse, algunos gobiernos han optado por su regulación, como por ejemplo España, que lo hizo el pasado mes de septiembre con el Real Decreto-Ley 28/2020, Argentina el pasado agosto con la Ley 27.555 o Chile en el mes de marzo con la Ley 21.200. También observamos como otros países de la región ya la tenían previamente regulada en su ordenamiento jurídico como son Colombia que lo hizo ya por el año 2008 con la Ley 1.221 o Perú en el año 2013 con la Ley 30.036 o, por último, Costa Rica que se sumó el pasado año 2019 con la Ley 9.738. Regulación del teletrabajo en España La Ley de Trabajo a Distancia viene a armonizar los estándares básicos que los empleadores tienen que aplicar para la implantación del teletrabajo en sus organizaciones. Esta modalidad ya era una realidad para empresas pequeñas y ágiles como las startups; sin embargo, para organizaciones y administraciones de mayor tamaño, ha sido una improvisación total, como se pudo comprobar con los confinamientos que se produjeron a partir del mes marzo. Esta circunstancia evidenció la falta de metodologías y sistemas de adaptación del trabajo en remoto, aumentando la superficie de exposición de los datos de las organizaciones y, en consecuencia, agravando los problemas de ciberseguridad, más aún teniendo en cuenta que el uso de equipos informáticos personales y conexiones a través de redes particulares provocó que la información corporativa saliese del perímetro de seguridad que ofrecen las instalaciones de las organizaciones. Pese a las críticas del sector empresarial en la tramitación del anteproyecto de la ley del trabajo a distancia, finalmente Gobierno, empresarios y sindicatos lograron alcanzar un acuerdo. Uno de los puntos de fricción fue la obligación de cubrir los gastos ocasionados a los trabajadores. La decisión es que competerá el pago por los empleadores en aquellos casos en los que sus trabajadores teletrabajen en un porcentaje superior al 30% de su jornada, es decir, para jornadas de cinco días y cuarenta horas semanales, aplicará la norma para aquellos que trabajen desde su domicilio más de un día y medio semanal, computados en periodos trimestrales. Esta circunstancia podría lastrar el auge del teletrabajo, ya que supone para el empleador un doble desembolso, mantenimiento de oficinas y pago de gastos del teletrabajador. Lo más interesante de la norma y que une el binomio técnico y legal, lo encontramos en el apartado h) del artículo 7, en el que se trata la necesidad de la regulación de los medios de control empresarial, los cuales deben de constar por escrito en el acuerdo de teletrabajo. En este sentido, existe un interesante campo legal que requiere el estudio de la jurisprudencia de los altos tribunales, caso por caso, y comprobar cómo los juzgadores entienden que se consigue el lícito acceso a la información de equipos informáticos y/o correos electrónicos corporativos de los empleados. Siendo las bases para el éxito de un buen acuerdo la confianza y el equilibrio del poder de control del empleador y el derecho a la intimidad del trabajador. Seguridad y privacidad en el teletrabajo Dentro de este nuevo paradigma en la forma de trabajar es evidente que, después de las personas, la información continúa siendo el principal activo de las empresas y que su seguridad, ahora más que nunca, puede estar comprometida debido al uso de equipos personales que están fuera del control de la empresa. La ausencia de una política de uso adecuado de los sistemas de información en la mayoría de las empresas es uno de los motivos principales por los que no se está realizando una gestión adecuada de estos recursos, que en muchos casos puede afectar gravemente a la continuidad del negocio. Como auditor de seguridad de la información, perito tecnológico y empresario, me encuentro con la responsabilidad de implantar las medidas necesarias para mitigar o reducir los riesgos asociados a la seguridad de la información pero, si el incidente se produce, también de investigarlo recopilando y analizando evidencias que ayuden a identificar el origen del problema. El objetivo de la norma ISO/IEC 27001:2013 es proteger la confidencialidad, integridad y disponibilidad de la información en las empresas, entre otros, incluye aspectos relativos al Teletrabajo y al Uso Aceptable de los Activos de la empresa. El punto 8.1.3 marca como objetivo documentar el uso apropiado de la información describiendo los requisitos de seguridad de los activos puestos a disposición del empleado, como el ordenador o portátil, móvil, cuenta de correo… siempre comunicándolo de forma adecuada para evitar el uso indebido como la extracción de información sin autorización (confidencialidad) manipulación de la información (integridad), suplantación de identidad o ransomware (disponibilidad), entre otros. Esta política de uso aceptable puede ser adoptada por la empresa al margen de la certificación. La pregunta es, si firmamos un acuerdo de confidencialidad o NDA con nuestros empleados, ¿por qué no documentamos una política y firmamos un documento de uso adecuado de los activos? Esto evitaría muchos problemas técnicos y legales ante posibles incidentes relacionados con la seguridad y privacidad en el teletrabajo, en primer lugar, porque se informa y se explica debidamente al empleado de lo que puede o no hacer con los recursos de la empresa, en segundo lugar, se firma un documento que así lo acredita y si finalmente se produce el incidente, no se podrá alegar desconocimiento de las normas y políticas relacionadas con la seguridad de la información de la empresa. El punto 6.2 se habla específicamente de garantizar la seguridad de la información en el uso de recursos para movilidad y teletrabajo, igualmente se trata de un objetivo muy extenso que no podemos tratar en profundidad, pero que resumimos en el siguiente punto, que aplica a los riesgos asociados a esta práctica, a los controles que deben implantarse para reducirlos o mitigarlos y al establecimiento de métricas que permitan hacer un seguimiento adecuado. Este es un ejemplo de documento a firmar por el empleado, que debe incluir los aspectos RGPD relativos al tratamiento de sus datos personales por parte de la empresa: En la segunda parte de este post seguiremos profundizando sobre este tema, puntualizando tanto en el equilibrio entre el control empresarial y la privacidad como en las herramientas de control. Esperamos que os sea de utilidad. Segunda parte del artículo ya disponible: Teletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (II) El 46% de las principales webs españolas utiliza cookies de Google Analytics antes del consentimiento exigido por la Agencia Española de Protección de DatosNoticias de Ciberseguridad: Boletín semanal 12-18 de diciembre
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
Gonzalo Álvarez Marañón El cifrado plausiblemente negable o cómo revelar una clave sin revelarla Cuando la policía secreta detuvo a Andrea en el control del aeropuerto, ella pensó que era un mero trámite reservado a todos los ciudadanos extranjeros. Cuando registraron su equipaje...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 2-8 de enero Actualización sobre SolarWinds Para cerrar el año, Microsoft emitió una actualización de sus investigaciones sobre el impacto en sus sistemas del compromiso de SolarWinds. Recalcan en este comunicado que tanto...
Carlos Ávila Actualización de términos y condiciones de WhatsApp: ¿una jugada atrevida? Seguramente a estas alturas muchos ya han aceptado los nuevos términos y políticas de privacidad sin saber en realidad de qué se trataba o el impacto en la privacidad...
