Ohiko galderak
Jarraian, JakinCode-ri eta zibersegurtasunari buruzko galderen erantzunak
Enpresa batek askotariko mehatxuak izan ditzake. Berez, antibirusak, suebakiak eta bestelako oinarrizko elementuak ez dira nahikoak zibersegurtasun profesionalak bermatzeko. Ziberdelikuentziaren egungo sofistikazioak JakinCode-k eskaintzen dituen moduko babes-sistema espezializatuak eskatzen ditu.
Babes efiziente, eraginkor eta proaktibo batek erakunde bati segurtasuna gehituko dioten produktu eta zerbitzu sorta edukitzea eskatzen du. JakinCode-k neurrirako soluzioak ematen ditu: zibersegurtasun-aplikazioak garatzen ditu edo enpresetako langileak gaitzeko eta kontzientziatzeko planak egiten ditu.
Segurtasunaren kudeaketa holistiko batetik sortutako gure baliabide aurreratuek babes profesionala ematen dute ahulguneak identifikatuta, jarduera susmagarriak monitorizatuz, estandarrak eta araudiak betez, gorabeheren arriskua arinduz eta, baita pertsonak gizarte-ingeniaritzako kanpainetan ez erortzeko prestatzea ere.
Nazioartean onartutako metodologiak direlako eta fidagarritasun kontrastatu eta aitortua duten estandarrak direlako txertatzen ditugu.
PTES metodologia (Penetration Testing Execution Standard) bidegabe sartzeen azterketak egiteko erabiltzen da. Probak zehatz eta metodo bati jarraituz egiten direla bermatzen du. Dituen faseek ikuspegi egituratu bat ematen dute, eta sistemen segurtasuna eta dituen ahulguneak ezagutzen uzten digu.
OWASP, edo Web-aplikazioen segurtasunaren proiektu irekia, softwarearen segurtasuna hobetu nahi duen kode irekiko ekimen bat da. Oinarri bat ematen du web-aplikazioen segurtasun-kontrol teknikoak eta garapen seguru bat egiteko eskakizun-zerrenda bat probatzeko.
CVSS (Common Vulnerability Scoring System) ahulguneen larritasuna sailkatzeko erreferentzia-sistema bat da. Ahulgune horiei ekiteko orduan lehentasuna emateko oso baliagarriak diren puntuazioak ematen ditu.
ISO 27001 araudia nazioarteko estandar bat da eta hura ezartzea eta ziurtatzea borondatezko erabaki bat da, baina Segurtasunaren Eskema Nazionala (SEN) Espainiara mugatzen da, eta derrigorrez aplikatu behar dute sektore publiko guztiak, klasifikatutako informazio-sistema guztiek eta gaitasun eta aginte administratiboa gauzatzeko soluzioak eta zerbitzuak ematen dituzten sektore pribatutako erakundeek.
ISO 27001 araudiaren edukia ez da inongo legetik abiatzen. SEN 311/2022 Errege Dekretuaren bidez arautzen da, eta beraz, estatuko aparatu judizialak zigorrak ezar ditzake.
ISO 27001 araudiak eta SENek segurtasunari buruzko informazioa kudeatzeko erreferentzia-esparru bat markatzen badute ere, lehenak ez ditu bere neurriak, kontrolak eta eskakizunak aplikatzeko maila desberdinak arautzen dituen kategorizaziorik egiten. Bestalde, SENek hiru kategoria ditu (Oinarrizkoa, Ertaina eta Altua), eta hartu beharreko kontrolen eta bete beharreko eskakizunen araberakoak dira.
Gure SIEM (Security Information and Event Management) norberaren garapen-ingurunean segurtasun-soluzio bat zabaltzea da, segurtasun-gorabeherak hautemateko, prebenitzeko eta aztertzeko gaitasunak ematen dizkigutenak, beste hornitzaile batzuengana jo beharrik gabe.
JakinCode-ko talde profesionala oso aditua da erregistroetako datuak aztertzeko, eta horri esker, berehala jardun dezakegu ezohiko zerbait hautemanez gero. Etengabeko zaintzaz gain, JakinCode-ren aholkulariek behar den informazio guztia ematen die bezeroei modu ulergarrian eginda eta argi azalduta dauden txosten pertsonalizatu xehatuen bidez.
Prozesuaren fase guztiak kontrolatzean, SIEM ingurunearen etengabeko garapen teknikotik emaitzen aurkezpenera arte, zerbitzuaren errendimendua optimoa dela eta bezeroaren beharrei erantzuten diola ziurta dezakegu.
Defentsa-katearen indarra kate-maila ahulenaren irmotasunaren araberakoa da. Azterketa espezializatuek etengabe erakusten duten moduan, azken maila hori, normalean, giza faktorea izan ohi da.
Asmo gaiztoko eragile batek erakunde bateko baliabideetan legez kanpo sartzeko bide nagusia erakunde horretako langileen zibersegurtasunari buruzko kontzientziazio eta trebakuntza faltan hasten da, eta horrek arrisku handian jartzen ditu erakundeak.
JakinCode-k eskaintzen dituen neurrirako trebakuntza-ibilbideak eta gaiak funtsezko balio bat dira zibersegurtasunari buruzko ezinbesteko enpresa-estrategietan. Iruzurrezko mezu bat (phishinga) edo enpresetako langileen aurka zuzendutako ohiko beste jarduera batzuk ezagutzen jakinez gero, erakundeko pertsonak zibersegurtasuneko gorabeheren hiru laurden baino gehiagotik babestuta egongo dira.
Datuen babeserako legeak errespetatuz jarduteaz gain beti, egin beharreko lanen irismena eta ezaugarriak adosten ditugu, ekindako ekintza bakoitza urratsez urrats monitorizatu eta erregistratuz.
Behar den moduan kontrolatutako prozeduren bidez, sistema baten ahulguneak hautematen ditugu. Ez ditugu azpiegituren elementu funtzionalak eta operatiboak aldatzen, helburua zibergaizkile batek kontrola nola beregana dezakeen erakustea delako.
Metodologia oso ezagunekin lan egiten dugu eta nazioarteko komunitateen onespena dute. Helburua ez da enpresa bateko ohiko jardueren fluxuen errendimendua gutxitzea, errendimendu horiek gutxitzea eragin dezaketen elementuak hautematea baizik.
“Zerbitzu gisa (as a Service)” eskaintza harpidetzan oinarritutako eskaintza da. Kontratatutako beharrezko produktuen eta zerbitzuen erabilerarengatik soilik ordaintzen duzu. Horrela, denbora eta diru asko aurrezten da, orain arte egiten den moduan, produktu edo zerbitzu horiek instalatu, kudeatu eta mantendu beharko balira.
Gastuak murrizteaz gain, eta inbertsioaren produktibitate handiagoa lortzeko, “zerbitzu gisa (as a Service)” modalitatearekin, enpresek bere jardueretan jartzen dute arreta, kontratatutako baliabideak ongi ote dabiltzan arduratu behar ez dutelako.
Horrez gain, hodeiaren bidez lan egitean eskaintzen duen malgutasuna ere kontuan hartu behar da. “as a Service” formatuak zure produktibitatea hedatzen du, horrela kontratatutako baliabidearen funtzionalitateak behar duen aktiboen kokapen zehatza edozein izanik ere. Gainera, gora egiteko aukerari esker, bezeroaren behar zehatzetara hobeto egokitzea dakar.
Araua borondatezko bada ere, arauan ziurtatuz gero abantaila lehiakorrak eskuratuko dira, eta negozioak aukera hobeak izango ditu.
ISO 27001 estandarra nazioartean ezartzen da informazioaren segurtasunaren kudeaketaren alorrean. Bere babesean erakunde bateko eta tratatzen dituzten sistemen eta aplikazioen informazioaren konfidentzialtasuna, integratzea eta eskuragarritasuna ziurtatzen duten politikak, prozedurak eta kontrolak diseinatzen laguntzen da.
Estandar honen irizpideekin konpromiso bat dagoela erakustean, erakundeak segurtasunarekin duen konpromisoa agerian uzten du, eta horrek harenganako konfiantza areagotzen du. Era berean, segurtasunarekin lotutako legediarekin bat etortzean (Datuen babeserako legearekin, esaterako), araudiak hobeto betetzen dira, eta horrek ez-betetzetik eratorritako balizko erantzukizun juridikoaren arriskuak gutxitzen ditu.
JakinSuma softwarearen bidez, dokumentazioaren prozesu guztia errazten da, eta kontuan hartu behar diren alderdi desberdinak modu efizienteago batean kudeatzen dira, adibidez, arriskuen analisia.
“Chief Information Security Officer (CISO) as a Service” funtzioarekin enpresak beren aurrekontuetara egokitu daitezke, baina zibersegurtasuneko ekintzen kalitatea murriztu gae. Alderdi hori azpikontratatzean, erakundeek ezagutzarik eguneratuena jaso dezakete.
CISO as a Service modalitatearen bidez, gure bezeroek zibersegurtasunean egindako inbertsioa errentagarri egiten dute, hartutako soluzioen eraginkortasuna ahalbidetzen duen askotariko erronkei aurre egitera ohituta dagoen esperientziaren alde eginez.
Gure aholkulariek balio erantsi bat ekartzen dute erakundeek dituzten arriskuak ulertzeko, eta ondorioz, kontrol hobeak inplementatzen dira.
JakinCode-n enpresak filtrazio-arriskuetatik, lehia desleialetik edo espioitza industrialetik babesteko bitartekoak ditugu.
Segurtasun-neurri espezifikoak inplementatzen ditugu TSCM (Technical Surveillance Counter-Measures) soluzioen bidez. Eskaneatze elektronikoak egiten ditugu gure bezeroen interesen aurka egiten duten helburuetarako instalatutako informazioa transmititzeko elementuak aurkitzeko.
Ekipoen eta languneen miaketa xeheak egiten ditugu azterketa fisikoen eta analisi termikoen, telefono bidezko analisien eta analisi erradioelektrikoen bidez.
Gorabeheren erantzun-plan batek zibersegurtasunean babesteko estrategia bat finkatzen du. Mundua hiperkonektatuta dago, erakundeek askotariko mehatxuei aurre egin beha die (datuen lapurreta, ransomwarea eta abar), eta horrek tratamendu egoki bat behar du aurre egiteko xehetasunik onenak lortzeko.
Modu egokian jarduteko prozedurak izateak ziberrerasoak gertatu baino lehen ekiditen ditu, eta horrek kostuak gutxitu eta ziberrerasoak gertatuz gero harekin lotutako negozio-etenak ekiditen ditu. Gainera, produktibitatean kalte handiagoak sortuko lituzketen asmo gaiztoko ekintzen efektuak zabaltzea ekiditen du.
Ere berean, gorabeheren erantzun-plan bat edukitzea ezinbestekoa da eraso baten eragina arintzeko, jarduera egoki berreskuratzeko denbora eta modua kudeatzen laguntzen duelako, eta horrek ekintza txar batetik erator litekeen inpaktu ekonomikoa murritz dezake.
Ziberrerresilentzia, edo ziberreraso bat jasateko eta handik errekuperatzeko gaitasunak negozioaren jarraipena bermatzeko helburuarekin diseinatutako neurri teknikoak eta antolamendu-teknikoak behar ditu, erakunde bateko sistemak, datuak eta eragiketak babestuz. Edozein erakunde izan liteke ziberdelikuentziaren asmo gaiztoko ekintzen biktima. Prestaketa oso ona eduki behar da aurre egiteko, sistema optimoen bidez, egiaztatutako prozeduren bidez, eta trebakuntza egoki batekin.
Ziberrerresilientzia-gaitasun on bat eskuratuz gero, finantza-galerak txikiagoak izango dira, enpresen izen-ona babesten da, segurtasun-legeek eta -araudiek eskatutako baldintzekin lerrokatzen da eta babesteko estrategia orokorra hobetzen du.
Horri esker, sistema bat identifikatutako mehatxuen aurrean egoki erreakzionatzeko prestatuta dago, baina horrez gain, baita aurreikusi gabeko gorabehera bat izan daitekeen eta aurrez aurreikusi gabeko mehatxuen aurrean ere.
Bai, baina zaintza-katean frogek ez dutela aldaketarik izan ziurtatu behar da. Lortutako datuekin lan egitean kontuz ibili behar da, jatorrizko egoera mantendu behar dutelako, geroagoko manipulazio batek frogen edukia, erreferentzia, identifikazioa edo ezaugarriak batere aldatu gabe.
Elementu teknologikoak tartean dituen egintza batzuk argitzeko prozesu batean baliozko froga gisa aurkezteko beharrezko informazio guztia erauztean datza.
Sistemaren erregistroetan duden informazio-frogak eskura daitezke, baita memoria hegazkorra, disko gogor eta gisako elementu sentikorretatik ere, eta erauzteko unean, xede horretarako aurreikusitako legezko eskakizunak bete behar dira.
Arriskuak aztertzen direnean, enpresa baten informazio-sistemetarako eragin negatiboak izan ditzakeen elementuak identifikatu eta ebaluatzen dira. Azterketa egin eta gero, ongi egindako eta oinarritutako erabakiak har daitezke, hautemandako arriskuetatik eratorritako nahi ez diren egoerak arintzeko.
Deskribapen xehatu horren araberakoa izango da sistemen defentsa-funtzionalitatea. Arrisku-azterketek arrisku horiek gertatzeko dagoen probabilitatea hartzen dute kontuan, baita duten eragina ere. Horregatik, garrantzitsua da erakunde bati dagozkion aktiboak osorik identifikatzea, ahulguneak ezagutzea eta mehatxuak ebaluatzea.
Azterketa horiek egiteko metodologia on bat MAGERIT izenekoa da. Aktibo desberdinen arteko mendekotasunak ezartzen uzten dizu, elkarrekin erlazionatzen diren moduaren arabera taldekatuta, eta baten arriskuak nola eragin dezakeen besteetan ezagututa.