Preguntes freqüents
A continuació, les respostes a preguntes sobre JakinCode i la ciberseguretat
Una empresa està exposada a moltes amenaces de diversa naturalesa. Per si sols, els elements bàsics com l’antivirus, els firewalls, etc., són insuficients per garantir una completa ciberseguretat professional. L’actual sofisticació de la ciberdelinqüència requereix uns sistemes de protecció especialitzats com els que ofereix JakinCode.
Una protecció eficient, eficaç i proactiva demana avui dia disposar d’una varietat de productes i serveis que afegeixin seguretat a una organització. JakinCode aporta solucions a mida que abasten, des del desenvolupament d’aplicacions de ciberseguretat pròpies, fins a l’elaboració de plans de capacitació i conscienciació per al personal de les empreses.
Els nostres recursos avançats, concebuts des d’una gestió holística de la seguretat, ofereixen respostes adaptades que aporten una salvaguarda professional, identificant vulnerabilitats, monitoratge d’activitats sospitoses, complint amb estàndards i normatives, minimitzant el risc dels incidents i, també, preparant les persones perquè no siguin víctimes de campanyes d’enginyeria social.
Les incorporem perquè són metodologies internacionalment acceptades i estàndards amb una solvència àmpliament contrastada i reconeguda.
La metodologia PTES (Penetration Testing Execution Standard) s’utilitza en la realització de proves d’intrusió. Garanteix que les proves es realitzin de manera exhaustiva i metòdica. Les seves diferents fases proporcionen un enfocament estructurat que ens permet conèixer la seguretat dels sistemes i les seves vulnerabilitats.
OWASP (Open Web Application Security Project) és una iniciativa de codi obert que busca millorar la seguretat del software. Proporciona una base per provar els controls tècnics de seguretat de les aplicacions web i una llista de requisits per a un desenvolupament segur.
CVSS (Common Vulnerability Scoring System) és el sistema de referència per a la classificació de la criticitat de les vulnerabilitats. Assigna puntuacions que ens resulten molt útils a l’hora de prioritzar l’abordatge d’aquestes.
La normativa ISO 27001 és un estàndard internacional, del qual la implantació i la certificació és una decisió voluntària, mentre que l’Esquema Nacional de Seguretat (ENS) se circumscriu a l’àmbit espanyol, i la seva adopció obligatòria afecta a tot el Sector Públic, als sistemes d’informació classificada i a les entitats del sector privat que els prestin solucions i serveis per a l’exercici de competències i potestats administratives.
La normativa ISO 27001 no desenvolupa el seu contingut a partir de cap llei. El ENS es regula a través del Reial decret 311/2022 i, per tant, ve sancionat des de l’aparell jurídic estatal.
Tot i que, tant la normativa ISO 27001 i el ENS procuren un marc de referència respecte a la gestió de la informació en matèria de seguretat, la primera no presenta una categorització que reguli diferents graus d’aplicació de les seves mesures, controls i requisits. Per la seva banda, l’ENS, presenta tres categories (Bàsica, Mitjana i Alta), que varien segons els controls a adoptar i els requisits a complir.
El nostre SIEM (Security Information and Event Management) és el desplegament d’una solució de seguretat en un entorn de desenvolupament propi que ens permet dotar-nos de capacitats de detecció, prevenció i anàlisi d’incidents de seguretat sense necessitat de recórrer a altres proveïdors.
L’equip professional de JakinCode està altament qualificat per analitzar totes les dades proporcionades pels registres, cosa que ens permet actuar a la major brevetat possible davant qualsevol anomalia detectada. A més d’aquesta vigilància constant, els consultors de JakinCode mantenen perfectament informats als seus clients mitjançant minuciosos i detallats informes personalitzats, presentats d’una manera comprensible i clarament explicada.
Controlar totes les fases del procés, des del desenvolupament tècnic continu de l’entorn SIEM fins a la presentació de resultats, ens permet assegurar un rendiment òptim del servei que doni resposta a les necessitats del client.
La fortalesa d’una cadena defensiva és tan sòlida com la més feble de les seves anelles. Com demostren constantment els estudis especialitzats, aquest últim correspon generalment al factor humà.
La principal via d’accés il·legítim als recursos d’una organització per part d’un actor malintencionat comença amb la manca de conscienciació i capacitació en ciberseguretat del personal de la mateixa, així és que posa en alt risc a les entitats.
Els itineraris formatius i temaris a mida oferts per JakinCode aporten un valor fonamental en la imprescindible estratègia empresarial en qüestions de ciberseguretat. Saber reconèixer un correu fraudulent (phishing) o altres pràctiques habituals dirigides directament contra la plantilla de les empreses permet a les persones d’una organització protegir-se davant més de les tres quartes parts d’incidències en ciberseguretat.
A part d’actuar sempre amb el màxim respecte cap a les lleis de protecció de dades, acordem l’abast i característiques del treball a realitzar, monitorant i registrant pas a pas cadascuna de les accions empreses.
Mitjançant procediments degudament controlats, detectem les vulnerabilitats d’un sistema. No alterem o modifiquem els elements funcionals i operatius de les infraestructures, sent l’objectiu demostrar com un ciberdelinqüent podria fer-se amb el seu control.
Treballem amb metodologies àmpliament reconegudes i que compten amb l’aprovació de la comunitat internacional. La seva finalitat no és provocar minvaments en el rendiment dels fluxos d’activitat habituals d’una empresa, sinó detectar aquells elements que sí que són capaços de provocar-les.
L’oferta “com a servei (as a Service)” és un model basat en la subscripció. Es paga solament per l’ús efectiu contractat dels productes i serveis necessaris. Això suposa un estalvi substancial en temps i diners respecte al que suposaria la instal·lació, gestió i manteniment dels mateixos segons el model tradicional.
A més de la reducció de despeses, i una major productivitat de la inversió, la modalitat “com a servei (as a Service)” permet que les empreses se centrin en les activitats que els són exclusivament pròpies, ja que no han de preocupar-se de la correcta operativitat dels recursos contractats.
Així mateix, cal tenir en compte també la flexibilitat que ofereix poder treballar a través del núvol. El format “as a Service” estén la seva productivitat independentment de la ubicació específica dels actius que necessiten la funcionalitat del recurs així contractat. A més, la seva escalabilitat permet una adaptació ajustada a les necessitats concretes dels clients.
Tot i que és una norma voluntària, la seva incorporació ofereix avantatges competitius que permeten optar a millors oportunitats de negoci.
L’estàndard ISO 27001 s’aplica internacionalment en matèria de gestió de la seguretat de la informació. Sota la seva empara s’ajuda al disseny de polítiques, procediments i controls que assegurin la confidencialitat, la integritat i la disponibilitat de la informació d’una organització i dels sistemes i aplicacions que la tracten.
Demostrar el compromís amb els criteris d’aquest estàndard posa de manifest el compromís d’una entitat amb la seguretat, cosa que incrementa la confiança en ella. Al mateix temps, en estar en perfecta sintonia amb la legislació relacionada amb la seguretat (com la Llei de Protecció de Dades, per exemple), ajuda a un millor compliment regulador, de manera que redueix els riscos d’una possible responsabilitat jurídica derivada de la seva no observança.
Per mitjà del nostre programari JakinSuma, es facilita tot el procés documental, i es gestionen de manera eficient els diferents aspectes que han de contemplar-se, com, per exemple, l’anàlisi de riscos.
“Chief Information Security Officer (CISO) as a Service” permet a les empreses ajustar els seus pressupostos sense que es produeixi un minvament en la qualitat de les seves actuacions en ciberseguretat. L’externalització d’aquesta figura propicia a les organitzacions la possibilitat de disposar del coneixement més actualitzat.
Mitjançant la modalitat CISO as a Service, els nostres clients rendibilitzen la seva inversió en ciberseguretat, beneficiant-se d’una experiència acostumada a fer front a una àmplia varietat de desafiaments que possibilita l’efectivitat en les solucions adoptades.
Els nostres consultors aporten un valor afegit en la comprensió dels riscos als quals s’exposen les organitzacions, amb el que es millora la implementació dels controls.
A JakinCode comptem amb els mitjans per a protegir les empreses dels riscos de filtracions, competència deslleial o espionatge industrial.
Implementem les mesures de seguretat específiques a través de solucions TSCM (Technical Surveillance Counter-Measures). Duem a terme escombratges electrònics per a descobrir elements de transmissió d’informació instal·lats amb finalitats que atemptin contra els interessos dels nostres clients.
Realitzem rigorosos escrutinis dels equips i dels espais de treball mitjançant inspeccions físiques i l’anàlisi tèrmica, telefònic i radioelèctric.
Un pla de resposta a incidents consolida l’estratègia de protecció en matèria de ciberseguretat. En un món hiperconnectat, les organitzacions estan exposades a amenaces de diversa índole (robatori de dades, ransomware, etc.) que requereixen un tractament adequat que detalli la millor manera d’enfrontar-les.
Disposar de procediments per a actuar eficaçment evita ciberatacs abans que es produeixin, i minimitza el cost i la disrupció del negoci associats als ciberatacs que arribin a produir-se. A més, evita que els efectes de les accions malicioses puguin propagar-se, causant danys majors a la productivitat.
Així mateix, comptar amb un pla de resposta a incidents és imprescindible per a mitigar l’impacte d’un atac, ja que ajuda a gestionar en temps i forma l’adequada recuperació de l’activitat, doncs redueix l’impacte econòmic que pogués derivar-se d’una mala acció.
La ciberresiliencia, o capacitat de resistir i recuperar-se davant un ciberatac, requereix de mesures tècniques i organitzatives dissenyades per garantir la continuïtat del negoci, protegint els sistemes, dades, i operacions d’una entitat. Cap organització està a resguard de ser víctima de les accions malicioses de la ciberdelinqüència. Cal tenir una molt bona preparació per poder fer-hi front, mitjançant òptims sistemes, procediments àmpliament contrastats i formació adequada.
Adquirir una bona capacitat de ciberresiliencia ajuda a reduir les pèrdues financeres, protegeix la reputació de les empreses, s’alinea amb els requisits exigits per les lleis i normatives de seguretat, i millora l’estratègia general de protecció.
Gràcies a això, un sistema està preparat per a reaccionar adequadament no sols enfront de les amenaces identificades, sinó també davant aquelles que poguessin suposar un incident imprevist i no contemplat anteriorment.
Sí, però per això s’ha d’assegurar que les evidències no han sofert cap tipus d’alteració en la seva cadena de custòdia. S’han d’extremar les precaucions a l’hora de treballar amb les dades obtingudes, ja que aquestes han de conservar en tot moment el seu estat original, sense que una manipulació posterior alteri, modifiqui o afecti de cap manera el contingut, referència, identificació o característiques de les proves.
Es tracta d’extreure tota la informació necessària que hagi de ser presentada com a prova vàlida en un procés que busqui l’aclariment d’uns fets que impliquin elements tecnològics.
Es poden obtenir proves d’informació continguda en els registres del sistema, fins i tot d’elements tan sensibles com pot ser la memòria volàtil d’un dispositiu, discos durs, etc., i la seva extracció ha de complir amb els requeriments legals estipulats a aquest efecte.
A través de les anàlisis de riscos s’identifiquen i avaluen aquells elements que poden suposar conseqüències negatives per als sistemes d’informació d’una empresa. Un cop realitzats, es poden prendre decisions ben elaborades i sustentades que mitiguin situacions indesitjables, derivades dels riscos detectats.
De la detallada descripció dels mateixos, depèn la funcionalitat defensiva dels sistemes. Els anàlisis de riscos tenen en compte la probabilitat que aquests es produeixin, així com el seu impacte. Per això és important realitzar una completa identificació dels actius que corresponen a una organització, conèixer les vulnerabilitats, i avaluar les amenaces.
Una bona metodologia per a dur-los a terme és la denominada MAGERIT, que permet establir dependències entre els diferents actius, agrupant-los per saber de quina manera es relacionen mútuament, i com el risc d’un pot repercutir en la resta.