LA VIGILANCIA COMPETITIVA

Para ilustrar cómo comenzar con un proyecto de inteligencia económica focalizada hacia el entendimiento de las acciones de nuestros competidores (lo que se conoce como inteligencia competitiva), empezaremos por hacernos las preguntas pertinentes que resolverán nuestras dudas. Es lo que se llama un plan de búsqueda.

El análisis de la competencia es un elemento clave para la estrategia de cualquier organización. Consiste en sistematizar la recolección de la información en cuanto a las acciones de dicha competencia a lo largo del tiempo.

Leer mas

METODOLOGÍA Y HERRAMIENTAS DE VIGILANCIA DENTRO DE LA INTELIGENCIA ECONÓMICA

 

Autor: Hugo Zunzarren Denis (Socio Director del Área de Inteligencia Económica de Grupo Paradell)

Continuando con el post anterior continuamos analizando la Vigilancia desde la perspectiva de la Inteligencia Económica.

En cuanto a la metodología es diferente según qué vigilancia queramos hacer. Por ejemplo, no es lo mismo identificar la concatenación de eventos a posteriori que indican la existencia o no de un  hecho (o “árbol de indicadores”) que hacer vigilancia con un objetivo prospectivo. Si bien es necesario saber lo que queremos para determinar qué método usaremos para lograrlo, también es necesario saber quiénes serán nuestros clientes internos, cómo absorben la información, para qué la quieren (y así darles eso, lo que quieren y nada más), cuáles son los procesos internos de decisión.

Las herramientas deben de facilitar el proceso metodológico que se va a usar de forma predominante, deben facilitar el análisis mediante una extracción de la información según los requisitos necesarios, permitiendo una visualización explícita del resultado y facilitar la discriminación de la información por tipología de actores.

Incluso podríamos decir que la herramienta debe adaptarse al conocimiento TIC de los usuarios y a la cultura de la empresa (en términos de inteligencia colectiva) porque no sirven de nada cientos de opciones que predisponen mal al analista y que no se usarán jamás. Es necesario conocer todos estos requisitos antes de adquirir la herramienta y antes de implantar una metodología.

La herramienta es un medio, no un fin; la metodología es un medio y no un fin. Tener medios coherentes permite un trabajo adaptado a las necesidades y una reducción de costes en tiempo de análisis y en herramientas. La clave de un buen sistema de Vigilancia se encuentra como ya dijimos en la detección de las necesidades.

En el siguiente post desglosaremos qué parámetros son los que creemos deben contemplarse a la hora de implantar un sistema de vigilancia. Para ser más concretos, hemos elegido un tipo de vigilancia que nos servirá de ejemplo: la “Vigilancia Competitiva”.

 

LA VIGILANCIA COMO PILAR FUNDAMENTAL DE LA INTELIGENCIA ECONÓMICA

Autor: Hugo Zunzarren Denis (Socio Director del Área de Inteligencia Económica de Grupo Paradell)

 

 

La vigilancia se puede definir como la monitorización a lo largo del tiempo de aspectos claves predefinidos, complementada con información puntual adicional y útil de fuentes pertinentes, relevantes y cotejadas, a través de herramientas TIC dedicadas, para su posterior análisis. Si este análisis es efectuado por personas denominadas analistas y tiene por objeto evitar la materialización del riesgo, entonces se consideraría Inteligencia económica.

 

Ahora el acceso a la información es muy sencillo gracias a Internet, a las bases de datos y a las posibilidades de Networking. Esta sencillez provoca exceso de información, exceso de fuentes, exceso de ruido.  Un profesional de la vigilancia es aquella persona que se dedica a encontrar la Información necesaria, de forma rápida. Pero también es quién la estructura en un todo coherente para que sirva a alguien en concreto a la hora de tomar decisiones concretas. Pero entonces ¿para qué sirve un analista si recoge información accesible por todo el mundo? 

 

El analista, al ser un profesional, recaba, coteja, analiza, estructura y difunde información mejor y más rápido que un “no profesional”; es decir, el analista lo que realmente hace es ganar tiempo y fiabilidad.

La labor previa de vigilancia por parte de los analistas de inteligencia requiere el perfecto conocimiento de la Web visible e invisible, de las bases de datos, de las herramientas de vigilancia dedicadas, de la creación y archivado de documentos, del conocimiento del sector o sectores de actuación del cliente, así como un amplio conocimiento en gestión empresarial, para que el análisis final que proporcionen tenga un sentido adecuado a la empresa que lo recibe. En algunos casos, es importante no olvidar las técnicas HUMINT para apoyar aspectos investigativos. Pero también deben, a nuestro juicio, tener conocimientos profundos sobre otras materias (como la Estadística, la Prospectiva, los sesgos de la cognición, las disonancias en el análisis…).

 

Como la vigilancia consiste en recabar información de diferentes ámbitos, hay una vigilancia para cada uno de ellos. Si buscamos y monitorizamos fuentes que nos den información sobre finanzas, estaremos haciendo “vigilancia financiera”; si monitorizamos fuentes para encontrar información sobre tecnología, estaremos haciendo “vigilancia tecnológica”. Y así sucesivamente. Si la clave de un buen sistema de vigilancia se encuentra en la detección de las necesidades para plasmarlas en un plan director de colecta, serán los analistas quienes harán la diferencia entre un simple resumen de información y un verdadero análisis de inteligencia: es el documento, sencillo de leer, de una o dos hojas máximo, en donde se encontrarán las claves del negocio.

 

¿La crisis de Nissan con un ejercicio de gestión de inteligencia territorial se podía haber evitado ?

 

Autor: David Sanromà (Managing Director of Corporate Intelligence en Grupo Paradell)

 

 

«El jueves pasado Hiroto Saikawa consejero delegado de Nissan , anunció el cierre de la tres plantas en Barcelona  sin coger por sorpresa a los players del sector … de hecho era un secreto a voces al que solo cabía prestar un poco de atención y que quizás un sobrio ejercicio de inteligencia económica sobre y desde el territorio hubiese podido minimizar el impacto y apuntar al futuro.  

 

Efectivamente por todos es conocido que desde hace tiempo la planta de Nissan en la Zona Franca de Barcelona arrastraba una crisis de producción perfectamente audible: el modelo Pulsar que tenía que ser la tabla de salvación según la dirección de la empresa estaba siendo poco aceptada comercialmente y muy costo de producir porque parte de sus componentes proceden del Reino Unido (sometido a la tensión Brexit que ha actuado positivamente en contra de lo que inicialmente se podría pensar) y el modelo logístico productivo en España encajaba mal con volúmenes altos resultando muy difícil encontrar la viabilidad al tamaño de dicha planta sólo pensada para productos de nicho que se vendiesen bien claro está.  

 

El resto de modelos producidos en dicha planta estaban sometidos a la competencia pero a la propia interna de la Alianza Renault – Nissan – Mitsubishi,  sobre todo Renault. Renault en un ejercicio de influencia del Estado francés recabó para sus plantas la mayor producción de furgonetas y pick ups antes producidas en Barcelona.

 

En muchas ocasiones la viabilidad de un proyecto  colapsa internamente y no por la competencia externa. En este caso, los miembros de la Alianza dejaron de competir hace tiempo para asegurarse la producción en sus territorios naturales. Así  el miércoles pasado el conglomerado  presentó  su nueva estrategia mundial en al que Nissan cede a Renault tanto la estrategia en Europa como en el segmento de las furgonetas, los vehículos que todavía se producían en Barcelona y en cuyas versiones eléctricas Renault trabajaba ya hace años.. Con los resultados negativos acumulados de Nissan en Europa y las opciones hoy abiertas de reducciones de aranceles para importaciones a la UE de Japón y para el Reino Unido post Brexit tiene todo su sentido concentra su producción en este último territorio.

 

La pregunta es qué harán próximamente  Ford y Wolkswagen en España, quizás solo hay que oír y saber que podemos hacer desde el territorio para hacerlo competitivo …El territorio debe adaptarse, anticiparse, leer las nuevas tendencias y el camino que marcan  los resultados de dichos conglomerados y alinearse aportando medios, conocimientos y políticas hacia donde estará el nuevo equilibrio. Un juego donde hay  que hacer coincidir los intereses de fabricantes, industria auxiliar y demás interesados.

 

Nos podíamos haber preguntado, ¿En qué cruce de caminos deberíamos habernos fijado para ver bien, mucho y lo más lejos posible? ¿Qué nos habría permitido adelantarnos a la hipótesis del cierre de Nissan? ¿Nos serviría volvernos a hacer estas preguntas?

 

En tu empresa es conveniente saber dónde está y qué hace tu competencia y sobre todos qué elementos la están impulsando.

 

Es a partir de una investigación rigurosa de dichos factores que sabrás anticiparte hacia donde hay que moverse o no hacerlo. Un mapa de riegos de tu competencia y tus y sus proveedores, y escanear las tendencias, aquellas que de verdad importan puede ser un buen inicio. “.

 

Recomendaciones en RGPD y ciberseguridad para videoconferencias en el teletrabajo.

Legal Services Concept Laptop Keyboard with Legal Services on Blue Enter Key Background, Selected Focus. 3D.

En este tercer artículo os hablaremos de la afectación que puede tener el teletrabajo para el RGPD y algunas recomendaciones sobre cómo realizar las videoconferencias de manera más segura.

En relación al RGPD, vamos a resumir algunas pautas básicas para que los trabajadores puedan trabajar desde casa con unos niveles adecuados de ciberseguridad, y con todas las garantías que el RGPD establece. Comentar, que ya lo hicimos en la revisión de la política, el definir y concretar la responsabilidad del trabajador en relación con la información y su gestión y las herramientas para poder desempeñar su “teletrabajo”.

1º.- Cláusulas de confidencialidad. El empleado ha de quedar correctamente informado de los parámetros de su acceso remoto y las condiciones del mismo y de las consecuencias de no cumplir con los niveles de confidencialidad requeridos.

2º.- Los dispositivos de acceso en remoto han de ser facilitados por el empresario, así como el software que garantice la seguridad de la conexión externa. Para ello le tendrá que formar  como establece El artículo 32.4 del RGPD, en relación a las medidas que han de tomarse medidas respecto al personal con acceso a datos que dependa tanto del responsable como del encargado, de forma que traten los datos siguiendo estrictamente sus instrucciones y lo establecido por el reglamento.

La formación también se debería establecer como pauta en relación a las medidas de seguridad humanas, conocimiento de técnicas de ciber delincuencia, y como destaparlas, el hecho de trabajar solo puede hacernos caer más fácilmente en estas actividades fraudulentas que si estamos en equipo, con los que podríamos consultar antes de tomar una decisión.

3º.-  Se deben evitar las aplicaciones de control remoto, implanta una VPN

Si bien la tentación es instalar software de control remoto como TeamViewer o Anydesk en cada uno de los equipos, esta opción incumple el RGPD por diversos motivos, ya que estás usando proveedores con los cuales no dispones de un contrato de terceros que establezca los compromisos y obligaciones a los que están sujetos, y de los cuales además no sabemos si tienen un nivel de seguridad adecuado al reglamento. Esto también abre la posibilidad a tener puertas traseras en nuestros sistemas que den lugar a accesos no deseados (incluso de los propios desarrolladores de esas aplicaciones), e incluso de perder el control de cuándo y cómo acceden nuestros empleados, entre otros problemas.

En su lugar, lo más recomendable es utilizar sistemas de acceso cifrado seguro, como una VPN, la cual es controlada completamente por el Responsable/Encargado del tratamiento y permite poder acceder desde fuera de la empresa a todos los recursos internos.

4º.- Sistemas de almacenamiento.  Si en tu negocio utilizáis proveedores de almacenamiento o copias de seguridad «en la nube» (cloud), también es necesario cumplir ciertos requisitos:

  • Asegúrate de tener un contrato de prestación de servicios con el proveedor
  • Ten firmado el contrato de terceros correspondiente, ya que ese proveedor pasa a ser un encargado del tratamiento
  • Es necesario que los servidores del proveedor se encuentren dentro de la Unión Europea (recomendable que se especifique en el contrato de terceros)
  • Busca un proveedor que facilite «control de versiones» para saber cuándo y quién ha modificado cada fichero (recuerda, estaréis todos en remoto), e incluso poder recuperar y consultar versiones anteriores de los ficheros.

Recomendaciones técnicas en ciberseguridad para el teletrabajo

Siguiendo con el artículo anterior  de recomendaciones en ciberseguridad para el teletrabajo en este artículo os hablaremos de las medidas técnicas en ciberseguridad, posteriormente publicaremos otro artículo de la parte legal, RGPD o LOPDGDD 3/2018.

Vamos a enumerar diferentes soluciones en ciberseguridad, viendo qué función realizan y en qué situación o contexto se pueden necesitar.

No explicaremos todos los contextos ni entraremos mucho en el detalle dado que si no sería una enciclopedia y no un artículo…

  • EDR, Endpoint Detection and Response, sería como la evolución del antivirus de toda la vida, pero que incorpora muchas más funcionalidades adaptadas a los nuevos vectores de ataque y otras como, HIPSFirewall o cifrado de disco, hay muchos fabricantes en ciberseguridad que tienen EDR entre sus soluciones y cada uno tiene sus funcionalidades que depende de nuestras necesidades se puede ajustar uno mejor que otro, pero siempre se ha de tener uno.
  • DLP, Data loss prevention, es una herramienta para asegurarse de que los usuarios finales no envían información sensible o crítica fuera de la red corporativa (ampliándose con el teletrabajo). Esta herramienta se suele usar cuando la información que se trata es sensible, dependiendo de un análisis de riesgos de la perdida de esa información puede requerir esta herramienta de ciberseguridad.
  • IRM, Information Rights Management, esta herramienta se podría decir que es parecida al DLP a nivel funcional, evitar que se pueda acceder a información sensible por un usuario no autorizado y el escenario de su uso la recomendación sería que saliera de un análisis de riesgos.
  • Vpn y Firewall, Virtual Private Network, es lo que nos permite que el cliente o usuario que usa teletrabajo se puede conectar a la red interna, en la red interna hay un terminador que es donde se conecta la VPN, que normalmente es un Firewall, que es la herramienta que se usa para bloquear el trafico entrante a la red interna, hoy en día realiza muchas más funciones y ambas soluciones en ciberseguridad son necesarias para un teletrabajo seguro, con el Firewall se deben definir diferentes arquitecturas de ciberseguridad con los servicios publicados para el acceso en modo teletrabajo de manera segura a la hora de acceder a esos servicios o la red interna.
  • Doble factor de autenticación, esta solución se basa en añadir una capa más de ciberseguridad, estas capas serian algo que sabemos, el user y password, algo que tenemos certificado digital, un token … y algo que somos, una huella dactilar, por ejemplo, entonces se basa en tener dos factores de los tres mencionados. Tenemos el usuario y contraseña,  pues añadir un token o huella dactilar, una solución que se usa mucho es la del certificado digital que es algo que tengo, es un fichero con información que permite validar en destino, cuando te conectas, que eres tú quien se conecta y no otro usuario malicioso, es un sistema que nos permite validar, a parte del usuario y contraseña, que es un usuario autorizado. El doble factor de autenticación, se deberían usar en cualquier conexión vía VPN, es una medida más de seguridad informática al usuario y password que puede ser robado al usuario o conseguido por fuerza bruta, por ejemplo.
  • Casb, Cloud Access Security Broker, podría ser como un supervisor de seguridad del acceso del usuario a las herramientas de la empresa que están en el Cloud y a otras que el usuario puede acceder y que no son corporativas. La tendencia con el teletrabajo puede ser migrar servicios al Cloud y que el usuario acceda desde su lugar de “teletrabajo”, esta herramienta permite extender la seguridad informática y su política a sus servicios en el Cloud.
  • Email, filtrados de ciberseguridad, cifrado de correos y con doble factor de autenticación, como ya hemos comentado y por la criticidad de correo que ahora se podría acceder sin VPN, estando publicado el portal de acceso en Internet en modo teletrabajo, el usuario y password puede ser “robado” de diferentes maneras y es muy necesario este doble factor a nivel de ciberseguridad en este escenario de teletrabajo. También se podrían cifrar correos según fuera necesario. Dependiendo el servidor de correo o servicio de correo se recomienda que se apliquen filtros para correo malicioso, como phishing, previamente a que el usuario pueda tener acceso.
  • Navegación segura, dado que el ordenador podría navegar directamente a Internet sin pasar por los filtros que teníamos en la red interna es conveniente aplicarlos de manera más local en el equipo, es decir en la oficina se navega por el proxy interno que en modo teletrabajo se podría no usar (si se navega desde la VPN sí que se aplicaría) añadiendo un proxy Cloud (Saas) y configurando DNS de navegación segura por reputación como puede ser OpenDNS.
  • Fugas de información de la compañía, los famosos Leaks, consiste por medio de ciberinteligencia (OSINT) descubrir si el usuario y el password de usuarios de la empresa se ha filtrado por Internet, esto es importante tenerlo en cuenda dado que con un usuario y contraseña correcto se puede acceder a muchos sitios de manera legítima y sin generar sospechas, por eso el uso de dobles factores de autenticación y una correcta política de contraseñas.
  • Cifrado del portátil, consiste en cifrar la información del ordenador, hay diferentes tipos de cifrado que no entraremos en detalle, pero diremos que el GDPR te obliga a que esté cifrado si hay información de protección de datos o datos que nos permitan acceder a ellos, y en este caso del teletrabajo hay la configuración de acceso y a lo mejor los passwords pudiendo haber información sensible de la empresa, por tanto, cifrar si o si.
  • Gestión, compartición y Backup de la información, en el caso que se use, se trate o genere información de la empresa en el ordenador, se ha de gestionar de manera segura, ya hemos comentado medidas anteriormente, pero también se ha de realizar un backup de dicha información para que no quede inaccesible por algún motivo o definir una gestión y trato de esos documentos conectado a servicios Cloud de tal manera que todo esté en el Cloud y no dejar ficheros en local, en el portátil, se ha de vigilar también con quien se comparte la información.
  • Seguridad perimetral y monitorización de las conexiones, este punto es muy importante, ya hemos comentado que, con el Firewall, WAF o IPS se han de crear arquitecturas informáticas seguras, dado que el volumen de accesos externos ha crecido y es importante mantener la ciberseguridad de toda la red interna, pero también se han de monitorizar esos accesos para detectar accesos sospechosos que acaben siendo ilegítimos, por el uso de credenciales “robadas”, se pueden detectar porque pueden ser desde ubicaciones diferentes a las habituales o en horarios diferentes a los habituales, esto es lo que se le llama alertas por patrones de comportamiento y las herramientas que permiten esta monitorización es el SIEM (security information and event management), Gestión de información y eventos de seguridad, que es muy importante para tener una visión global en ciberseguridad de tu empresa.

Primer artículo de la serie: Recomendaciones en Ciberseguridad para el teletrabajo.

Fuentes:

CCN-CERT

Agencia Catalana de Ciberseguridad

Links públicos

https://ciberseguretat.gencat.cat/ca/detalls/noticia/Normes-de-ciberseguretat-per-a-la-prestacio-de-serveis-en-la-modalitat-de-teletreball

https://www.europol.europa.eu/staying-safe-during-covid-19-what-you-need-to-know

Si necesita saber las medidas que necesita su empresa, póngase en contacto con Grupo Paradell y le recomendaremos las medidas en ciberseguridad o seguridad informática para su empresa.

Recomendaciones en ciberseguridad para el teletrabajo

Lock

En este artículo os queríamos hablar sobre las recomendaciones en ciberseguridad para el teletrabajo, ya que esta forma de trabajo parece que ha venido para quedarse y/o potenciarse. Para las empresas suponen cambios substanciales a nivel de ciberseguridad, dado que el perímetro de seguridad informática de los sistemas, pasa de ser la red interna, (en el menor de los casos) a Internet, dado que se tiene que publicar aplicaciones o servicios que antes solo se podría acceder desde la red interna y ahora se acceden desde Internet, es decir que el trabajador, en modo teletrabajo, pueda acceder a todos los servicios para poder realizar su trabajo desde fuera de la red corporativa de la oficina.

La ciberseguridad no es un gasto sino una inversión, dado que el riesgo ahora a sufrir ciberataques es mucho mayor.

Evidentemente no se puede hablar de todos los escenarios porque los hay para todos los gustos y colores, empresas/usuarios que ya tienen muy avanzado el teletrabajo y ya han migrado o planteado desde su creación esos servicios para que sean seguros informáticamente y accesibles desde Internet u otras empresas/usuarios que solo necesitan acceder al correo electrónico vía Internet.

Por eso en este artículo no os hablaremos tanto de escenarios de teletrabajo seguros a nivel informático, o lo más seguros posibles, sino de herramientas en ciberseguridad con su función y uso, para que, si se da ese caso, se aplique estas herramientas y acciones necesarias en ciberseguridad a realizar según se dé el caso.

Deberíamos hacer una primera puntualización que puede modificar mucho el teletrabajo a nivel de ciberseguridad, y es que no es lo mismo trabajar con un ordenador corporativo, maquetado y actualizado que con un ordenador privado (del usuario) que usa también para su uso particular.

Un ordenador privado siempre actualizado y con un antivirus o EDR con las funcionalidades en ciberseguridad que comentaremos en el siguiente artículo, e intentar tener dos usuarios, uno para personal/privado sin casi permisos y el usuario de trabajo.

Por otro lado estaría el ordenador de empresa, con maqueta corporativa, actualizado, con antivirus y las medidas en ciberseguridad que defina la empresa.

Nos gustaría dividir en tres partes las recomendaciones en ciberseguridad en el teletrabajo:

  • acciones a realizar para la ciberseguridad
  • aplicaciones o productos de ciberseguridad para dotar de seguridad al teletrabajo
  • y la tercera parte como puede afectar el teletrabajo para el nuevo Reglamento General de Protección de Datos (RGPD) o LOPDGDD 3/2018.

El Objetivo: Planificación, no reacción.

Acciones a realizar para mejorar la ciberseguridad en el teletrabajo:

  • Actualizar las políticas de seguridad de la empresa, reflejando el nuevo escenario y definiendo los nuevos procedimientos para los usuarios con la nueva modalidad del teletrabajo, como por ejemplo el borrado seguro de datos del pc. También se pueden generar perfiles de usuarios con niveles de acceso que teniendo la información categorizada nos facilitara la gestión y administración de los accesos a la información.
  • Revisar la política de contraseñas seguras, la caducidad de la contraseña y si fuera necesario definir un gestor de contraseñas, intentando en la medida de lo posible, aplicar un Segundo Factor. El tener credenciales fuertes y robustas es una de las principales recomendaciones.
  • Actualizar el documento de análisis de riesgos dado que al tener los datos fuera de la red interna, los riesgos en ciberseguridad se deben replantear y si fuera el caso definir medidas en ciberseguridad de mitigación de esos riesgos para proteger el dato.
  • Concienciación o formación, aquí se ha de realizar concienciación en teletrabajo a nivel de la protección y uso de la información sensible, no usar usb personales que luego puede usar cualquier persona de casa u otras medidas y seguir formando más aún en concienciación en ciberseguridad.
  • Establecer la postura de seguridad informática frente a esta nueva situación, es decir, requerir al usuario que, en su portátil personal, disponga de medidas de seguridad tales como un antivirus y un sistema operativo actualizado.
  • Revisión y actualización de la documentación de gestión de incidentes con el nuevo escenario.

Posteriormente  publicaremos otro artículo que hable de las medidas técnicas en ciberseguridad y otro que hable de las medidas que afectan al RGPD y alguna recomendación sobre el uso de herramientas de videoconferencia.

Fuentes :

CCN-CERT

Agencia Catalana de Ciberseguridad

Si necesita saber las medidas que necesita su empresa, póngase en contacto con Grupo Paradell y le recomendaremos las medidas en ciberseguridad o seguridad informática para su empresa.

UTILIZACIÓN DE DETECTIVES PRIVADOS EN EL ÁMBITO LABORAL

Tras el análisis de los datos de nuestra actividad en el ejercicio 2019, podemos destacar que las investigaciones privadas en el ámbito laboral contratadas por empresas a Grupo Paradell crecieron un 21% en el año 2019 respecto al ejercicio 2018.

Destacan principalmente dos tipos de conductas fraudulentas:

El 27% de los encargos tienen como objetivo la verificación de bajas fraudulentas.

Un 22 % de los temas laborales tienen relación con actividades que se encuadrarían en la esfera de la competencia desleal. Destaca en este ámbito como en años anteriores que los investigados tenían un puesto de mando medio o superior dentro de la jerarquía de la empresa en la que prestan sus servicios.

El resto de las investigaciones se reparte en control de equipos comerciales (12%), cobros indebidos de proveedores (11%), sustracción de efectivo (9%), fugas de información (9%), uso de horas sindicales (5%) y  robo de material (5%).

Como recomendación recordar que siempre se debe tener presente al iniciar una investigación en el ámbito laboral que se deben cumplir los siguientes requisitos:

  • Qué tal medida sea susceptible de conseguir el objetivo propuesto (juicio de idoneidad);
  • Qué además, sea necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia;
  • Que la misma sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

El threat hunting: una de las principales tendencias en ciberseguridad en 2020

Innovations systems connecting people and intelligence devices. Futuristic technology networking and data exchanges connection and computer industry from telecommunication and internet development.

El threat hunting es una de las técnicas de lucha contra los ciberdelicuentes que más importancia está ganando, en la medida en que las empresas quieren ir por delante de las últimas ciberamenazas y responder con rapidez cualquier potencial ataque.

¿Qué es el threat hunting?

Threat hunting es la práctica de buscar de manera proactiva ciberamenazas que puedan estar pasando desapercibidas en una red. Se investiga en profundidad para detectar elementos maliciosos en su entorno que se hayan podido filtrar por las barreras iniciales de seguridad.

Una vez se ha colado, un potencial atacante puede permanecer sigilosamente dentro de la red durante meses mientras recaba datos, busca información confidencial o se hace con claves de acceso que le permitirán moverse con soltura dentro del entorno.

Una vez que el adversario ha logrado con éxito saltarse los controles y un ataque ha traspasado las defensas de la organización, muchas empresas carecen de las herramientas necesarias para evitar que la amenaza persista en el sistema. Por eso el threat hunting es un componente esencial en toda estrategia de defensa.

¿Cuándo tiene cabida el threat hunting?

El threat hunting complementa los procesos estándar de detección, respuesta y resolución de incidencias. Mientras las soluciones tecnológicas de seguridad analizan datos para generar alertas, el threat hunting trabaja en paralelo para obtener pistas a partir de esa información. Posteriormente, es analizada por humanos especializados y preparados para identificar cualquier señal de actividad del potencial atacante.

Así, esta búsqueda activa de amenazas que no han hecho saltar las alarmas se ha convertido en una de las principales tendencias en ciberseguridad en 2020. 

Los cazadores de amenazas y son expertos en identificar los signos de la actividad irregular y, asumiendo que los intrusos ya están en el sistema, inician la investigación para encontrar un comportamiento inusual que pueda confirmar la presencia de actividad maliciosa. 

¿Cómo funciona el threat hunting?

En esta búsqueda proactiva de amenazas la investigación suele dividirse en tres categorías principales:

  1. Investigación impulsada por hipótesis.

Las investigaciones impulsadas por hipótesis a menudo se desencadenan por una nueva amenaza que se ha identificado gracias a la información disponible sobre las últimas tácticas, técnicas y procedimientos (TTP) de los atacantes. Una vez que se ha identificado un nuevo TTP, los threat hunters verificarán si los comportamientos específicos del atacante se encuentran en su propio entorno.

  • Investigación basada en indicadores conocidos de riesgo o indicadores de ataque.

Este enfoque para la búsqueda de amenazas implica aprovechar la inteligencia táctica de amenazas para catalogar los indicadores de riesgo y ataque con nuevas amenazas asociadas. Estos luego serán el detonante que alertará a los threat hunters  para descubrir posibles ataques ocultos o actividad maliciosa en curso. 

  • Analítica avanzada y machine learning.

El tercer enfoque combina un potente análisis de datos y aprendizaje automático para tamificar una enorme cantidad de información con el fin de detectar irregularidades que pueden sugerir actividad maliciosa potencial. Estas anomalías se convierten en pistas que son investigadas por analistas expertos para identificar amenazas que puedan pasar desapercibidas. 

Los tres enfoques requieren la participación humana directa, cuya combinación con recursos de inteligencia de amenazas y tecnología de seguridad avanzada es una protegerá de manera proactiva los sistemas y la información de una organización. 

El Threat hunting paso a paso.

El proceso de búsqueda proactiva de amenazas cibernéticas normalmente implica tres pasos: un desencadenante, una investigación y una resolución.

Paso 1: El detonante.

Un detonante señala hacia un sistema o área específica de la red que requiere una investigación adicional cuando se identifican acciones inusuales que pueden ser indicadoras de actividad maliciosa. A menudo, una simple hipótesis sobre una nueva amenaza puede ser el detonante del threat hunting. Por ejemplo, un equipo de seguridad puede buscar amenazas avanzadas que estén utilizando herramientas como el malware sin archivos para evadir las defensas existentes.

Paso 2: Investigación.

Durante la fase de investigación, el threat hunter se puede apoyar en soluciones tecnológicas para profundizar en los posibles riesgos de acción del malware en el sistema. La investigación continúa hasta que la actividad se considera benigna o se ha creado una imagen completa del comportamiento malintencionado. 

Paso 3: Resolución.

La fase de resolución implica la comunicación de información de actividad malintencionada relevante a las operaciones y los equipos de seguridad para que puedan responder al incidente y mitigar las amenazas. A lo largo de este proceso, los threat hunters recopilan tanta información como sea posible sobre las acciones, métodos y objetivos de un atacante. También analizan los datos recopilados para determinar las tendencias en el entorno de seguridad de una organización, eliminar las vulnerabilidades actuales y realizar predicciones para mejorar la seguridad en el futuro. 

Desde Grupo Paradell recomendamos la utilización de esta metodología tradicional para monitorizar e identificar de manera proactiva actividades sospechosas o potencialmente maliciosas con el objetivo de tomar medidas o minimizar, si no evitar, el daño, usada de forma combinada con otras soluciones inteligentes como la fórmula idónea para una óptima protección ante las posible amenazas.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies