Esta web utiliza cookies. Conoce aquí nuestra política de cookies.
Cerrar

Seguridad informática

La Evaluación del Riesgo de Delincuencia Organizada en Internet (IOCTA) del 2015 de la Europol dio como resultado que los delitos informáticos "se están volviendo más agresivos y conflictivos" y "la frecuencia de violaciones de datos divulgados [públicamente] está aumentando increíblemente".

En lugar de "idear nuevos métodos de ataque, la mayoría de los ataques informáticos utilizan proezas existentes, probadas y demostradas, códigos de malware y metodologías como la ingeniería social, que se ha vuelto a utilizar y se ha reciclado para crear amenazas nuevas".

"La falta de concienciación de la seguridad y la higiene digital", explica, genera "oportunidades y logros en las masas criminales".

Ya que los delitos informáticos aumentan manifiestamente en magnitud y gravedad, todas las organizaciones europeas tienen que reconocer que solamente el software de seguridad no es suficiente para protegerlas de vulnerabilidades informáticas: las tecnologías de la seguridad IT son solo eficaces cuando se lleven a cabo los procesos adecuados, y los procesos solo son eficaces cuando las personas están formadas adecuadamente para cumplirlos".

Una seguridad informática eficaz confía en las políticas, gestión de riesgos, herramientas, formación, buenas prácticas y tecnologías para proteger la confidencialidad, la disponibilidad y la integridad (CIA) de los recursos de información corporativa.

Seguridad informática en Europa

Los objetivos clave de la seguridad informática de la Comisión Europea son:

  1. Aumentar la cooperación y las capacidades de la seguridad informática.
  2. Hacer que la UE sea un jugador fuerte en la seguridad informática.
  3. Incorporar la seguridad informática en las políticas de la UE.

La estrategia de la seguridad informática en la Unión Europea y la agenda europea en temas de seguridad proporcionan el marco estratégico general para las iniciativas de la seguridad informática de la UE.

 

Directiva acerca de la seguridad de la red y los sistemas de información

Propuesta en febrero de 2013 y aprobada en 2016, la Directiva (UE) 2016/1146 (la Directiva NIS) es el instrumento principal que apoya los objetivos de la seguridad informática de Europa. Su objetivo es lograr un alto nivel común de seguridad de los sistemas de información y de la red en la Unión Europea:

  1. Mejorando las capacidades de la seguridad informática nacional.

  2. Aumentando la cooperación entre los Estados miembro de la UE.

  3. Solicitando "operadores de los servicios esenciales y proveedores del servicio digital" para tomar las medidas de seguridad adecuadas y notificar a las autoridades nacionales relevantes de los incidentes graves.

Haz clic aquí para obtener más información acerca de la Directiva NIS >>

 

Reglamento General de Protección de Datos

El RGPD también tiene implicaciones de la seguridad informática para las organizaciones que procesen información personalmente identificable (PII).

Entre otras obligaciones, los procesadores de datos deben notificar a los controladores las violaciones de datos personales "sin demoras indebidas" y los controladores de datos, por su parte, deben notificarlo a la autoridad supervisora en 72 horas. Los procesadores y los controladores serán responsables de los daños causados por el procesamiento que no cumpla con el Reglamento.

Todas las organizaciones que procesen PII de residentes de la UE deben cumplir con el Reglamento a partir del 25 de mayo del 2018, de lo contrario, se harán cargo de multas de hasta 20 millones de euros o un 4 % del volumen de negocios anual, lo que sea mayor.

Haz clic aquí para obtener más información acerca del RGPD >>

 

Descarga de manera gratuita nuestro libro verde ecológico sobre la seguridad informática

Seguridad informática: una cuestión crítica a nivel comercial que proporciona una perspectiva general de la seguridad informática y explica cómo aplicar las medidas eficaces de la seguridad informática en todas las organizaciones.

Descarga gratis nuestro libro verde ecológico sobre la seguridad informática >>

 

Violaciones de datos notorias en la UE

 

Fecha Víctima Detalles
Enero del 2016 FACC

El departamento de contabilidad financiera del fabricante de piezas aeroespaciales FACC fue objeto de un fraude cibernético que le provocó una pérdida de 50 millones de euros.

Junio del 2015 LOT

La aerolínea nacional de Polonia, LOT, sufrió un 'ataque de TI' que provocó que varios vuelos quedasen en tierra. El ataque fue dirigido a los sistemas de computación en tierra en el aeropuerto Okicie de Varsovia, obligando a cancelar diez vuelos y a retrasar a otros 12 vuelos más.

Junio del 2015 Bundestag

Partes de los sistemas de Bundestag (incluyendo las unidades de las alegaciones de las investigaciones de la comisión parlamentaria de la vigilancia de la BDN (Oficina de Inteligencia Exterior de Alemania) en nombre de la NSA (Agencia de Seguridad Nacional de los EE. UU.) fueron apagados después de un ataque informático

Abril de 2015 Ryanair

Los fondos de la aerolínea Ryanair "se vieron afectados por una estafa criminal en la cual 5 millones de dólares (4,6 millones de euros) fueron transferidos electrónicamente desde una de sus cuentas bancarias a un banco chino”.

Abril de 2015 TV5Monde

La red de televisiones francesas TV5Monde (que emite en más de 200 países) sufrió un ataque informático "sin precedentes" y tuvieron que cerrar 11 canales. Las personas que realizaron el ataque proclamaron su afiliación con el Estado islámico y además piratearon la página web de los canales de televisión y la página de Facebook.

Enero del 2015 19.000 páginas web francesas

Alrededor de 19.000 páginas web francesas fueron atacadas por grupos "más o menos estructurados", según el jefe de defensa cibernética de Francia, Adm. Arnaud Coustilliere. Los ataques de denegación de servicio afectaron a una amplia gama de páginas web, desde regimientos militares a pizzerías.

Enero del 2015 Páginas web del Gobierno de Alemania

CyberBerkut, un grupo de piratas pro-rusos, afirmó que acabó con las páginas webs del Parlamento de Alemania y de la presidenta Angela Merkel.

Diciembre del 2014 Planta de hierro alemana

Criminales cibernéticos accedieron a la planta de hierro y provocaron "un daño masivo a todo el sistema" cuando una caldera no pudo apagarse adecuadamente.

Julio del 2014 Banco Central Europeo (ECB)

20.000 direcciones de correo electrónico, además de números de teléfono y direcciones postales fueron robados cuando piratearon la página web del ECB.

 

 

ENISA y EC3

Los Estados miembros de la UE y las instituciones europeas están protegidas por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA). La función de ENISA es mejorar la seguridad informática y responder a los desafíos de la misma en toda la Unión Europea. La agencia busca desarrollar la concienciación acerca de la seguridad de la información para beneficio de los ciudadanos, los consumidores, los negocios y las organizaciones del sector público europeas.

El Centro Europeo de la Ciberdelincuencia (EC3) se estableció en 2013 como parte de la Europol – el organismo encargado de la aplicación de la ley de la UE – para "fortalecer la aplicación de la ley en respuesta a la ciberdelincuencia en la Unión Europea y ayudar a proteger a los ciudadanos, los negocios y los gobiernos en Europa". El EC3 se centra en tres áreas:

  • Delitos informáticos cometidos por grupos organizados, especialmente los que generan grandes beneficios criminales como fraude online.
  • Delitos informáticos que causan un daño grave a la víctima, como la explotación sexual infantil.
  • Delitos informáticos (incluyendo ataques informáticos) que afectan a la infraestructura y los sistemas de información críticos de la Unión Europea.
 

Buena práctica de seguridad informática e ISO 27001

La norma sobre la seguridad informática internacional, ISO 27001, establece los requisitos para un SGSI (Sistema de Gestión de Seguridad de la Información) basado en los riesgos que engloban a las personas, los procesos y la tecnología. Esta norma constituye la columna vertebral de cada estrategia de gestión de riesgos de la seguridad informática inteligente.

Al aplicar la norma ISO 27001 se está proporcionando seguridad a las empresas y, además, se ayuda a desarrollar y mejorar las buenas prácticas de la seguridad de la información. Los beneficios de la certificación ISO 27001 son:

  • Ganar y conservar oportunidades empresariales.
  • Proteger y mejorar su reputación.
  • Crear confianza (interna y externa).
  • Demostrar el cumplimiento.
  • Satisfacer los requisitos de la auditoría.
  • Mejorar la eficacia.
  • Identificar las vulnerabilidades.

Haz clic aquí para obtener más información acerca de ISO 27001 >>

 

Resistencia informática

Las organizaciones sensatas reconocen que es imposible defenderse contra todos los posibles ataques. Una resistencia informática eficaz combina la seguridad informática y la continuidad comercial para establecer planes coordinados e integrados para rechazar, responder y recuperarse de una amplia gama de posibles ataques y fenómenos perjudiciales.

La resistencia informática es un principio clave fundamental de la norma ISO 27001 y la cuestión más amplia de la función del ICT en la continuidad comercial tratado por la ISO 27031.

Haz clic aquí para obtener más información acerca de la resistencia informática >>

 

IT Governance está especializado en ayudar a las organizaciones con la seguridad, la gestión y el cumplimiento informático.

 

Obtén más información acerca de nuestros productos y servicios aquí.

 

También te puede interesar: