{"id":113158,"date":"2022-05-04T10:00:00","date_gmt":"2022-05-04T08:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=113158"},"modified":"2024-01-19T11:40:25","modified_gmt":"2024-01-19T10:40:25","slug":"seguridad-reimaginar","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/seguridad-reimaginar\/","title":{"rendered":"Una nueva comprensi\u00f3n de la seguridad"},"content":{"rendered":"

Seg\u00fan un informe publicado en Der Spiegel el 7 de marzo de este a\u00f1o, un informe de situaci\u00f3n especial de la Oficina Federal de Seguridad de la Informaci\u00f3n (BSI) advierte al Gobierno alem\u00e1n de que Alemania podr\u00eda enfrentarse pronto a un ataque contra \"objetivos de alto valor\" en relaci\u00f3n con la invasi\u00f3n rusa de Ucrania: Desde el comienzo de la crisis, se ve \"Los ciberataques, por ejemplo contra proveedores de energ\u00eda o instalaciones militares, en los c\u00edrculos de seguridad como actualmente la mayor amenaza para Alemania\".<\/em><\/p>\n\n\n\n

La Oficina Federal para la Protecci\u00f3n de la Constituci\u00f3n advierte de que los servicios de inteligencia rusos tienen capacidad para \"sabotear de forma significativa y duradera\" infraestructuras cr\u00edticas. Sin embargo, esta evoluci\u00f3n no es nueva: el Informe AXA sobre Riesgos Futuros 2021 ya describe los riesgos que plantean los ciberataques como la segunda amenaza mundial m\u00e1s importante despu\u00e9s del cambio clim\u00e1tico e incluso antes que las pandemias.<\/p>\n\n\n\n

Arquitecturas kritis<\/h3>\n\n\n\n

Nadie quiere imaginarse las consecuencias de un ataque inform\u00e1tico a una central nuclear o a un sistema de abastecimiento de agua. O incluso si los atacantes consiguieran cortar el suministro el\u00e9ctrico de forma generalizada. Las infraestructuras cr\u00edticas afectan a muchos \u00e1mbitos de la vida cotidiana. Adem\u00e1s del Estado y la Administraci\u00f3n, la energ\u00eda y el agua, tambi\u00e9n incluyen la sanidad, la alimentaci\u00f3n, el transporte y el tr\u00e1fico, las finanzas y los seguros, las tecnolog\u00edas de la informaci\u00f3n y las telecomunicaciones, los medios de comunicaci\u00f3n y la cultura. Su situaci\u00f3n de amenaza se aborda en la nueva Ley de Seguridad Inform\u00e1tica SiG 2.0, que entr\u00f3 en vigor a principios de a\u00f1o. <\/p>\n\n\n\n

La Ley de Seguridad exige medidas procedimentales, directivas y reactivas, incluida la supervisi\u00f3n de la seguridad en los sistemas, medidas de supervisi\u00f3n para endurecer los sistemas de antemano seg\u00fan las normas del mercado. Y hay requisitos espec\u00edficos sobre c\u00f3mo construir arquitecturas kritis. Es obligatorio definir la infraestructura y los procesos de tal manera que posteriormente puedan ser auditados y aceptados con respecto a SiG 2.0. Esta calidad de la arquitectura y los procesos debe demostrarse cada dos a\u00f1os y exige un cambio de mentalidad: no se puede seguir haciendo simplemente lo que siempre se ha hecho, sino que hay que cumplir unos requisitos espec\u00edficos.<\/p>\n\n\n\n

\"\"
Complejo, pero no complicado: Gesti\u00f3n de eventos e informaci\u00f3n de seguridad (SIEM)<\/figcaption><\/figure>\n\n\n\n

Un punto importante de la ley de seguridad es: se ha redefinido la responsabilidad y los mecanismos de vigilancia y control deben estar integrados y ser ahora evaluables en tiempo real. Esto se corresponde con nuestra experiencia de los \u00faltimos a\u00f1os: la mayor\u00eda de ellos funcionaban de forma puramente funcional y no dispon\u00edan de tecnolog\u00eda de sensores con la que hubi\u00e9ramos podido ser detectados de alguna forma, por ejemplo, durante las pruebas de penetraci\u00f3n encargadas. Y si lo conseguimos durante la prueba de penetraci\u00f3n acordada, tambi\u00e9n lo conseguir\u00e1 un atacante real. <\/p>\n\n\n\n

Esto significa que, hasta ahora, las empresas normalmente s\u00f3lo pod\u00edan detectar sus carencias cuando ya se hab\u00eda producido un incidente de seguridad grave, y no quedaba claro desde cu\u00e1ndo se hab\u00eda explotado esa vulnerabilidad. Por tanto, adem\u00e1s de la oficina general de informaci\u00f3n sobre seguridad inform\u00e1tica a nivel nacional, l\u00f3gicamente ahora tambi\u00e9n la BSI podr\u00e1 detectar riesgos de seguridad. El llamado p\u00e1rrafo hacker permite a la BSI \"atacar\" empresas e infraestructuras para exigir posteriormente la aplicaci\u00f3n de medidas t\u00e9cnicas y organizativas. La intenci\u00f3n es clara: el malware, las vulnerabilidades de seguridad y los riesgos deben encontrarse y eliminarse de forma proactiva.<\/p>\n\n\n\n

Ejemplo SAP<\/h3>\n\n\n\n

El ejemplo de los entornos de sistemas SAP muestra que los requisitos de la SiG 2.0 tambi\u00e9n van en la direcci\u00f3n correcta para las empresas no cr\u00edticas, pero naturalmente no pueden cubrir todos los puntos d\u00e9biles. En el caso de S\/4, por ejemplo, los requisitos han vuelto a cambiar, la base de datos, la interfaz de usuario, el gateway, las aplicaciones y las autorizaciones se han aproximado, el acceso a datos importantes se ha vuelto m\u00e1s complejo y, por tanto, tambi\u00e9n m\u00e1s dif\u00edcil de supervisar. SiG 2.0 requiere una planificaci\u00f3n detallada de la continuidad del negocio y escenarios de recuperaci\u00f3n de desastres con el uso de sistemas de detecci\u00f3n de intrusos (IDS) de acuerdo con el \"estado del arte\" (\u00a78a). <\/p>\n\n\n\n

Los IDS detectan y concretan los ataques con ayuda de los archivos de registro, que ahora no s\u00f3lo deben registrarse, sino tambi\u00e9n evaluarse. Esto significa que los sistemas SIEM ser\u00e1n indispensables en el futuro para identificar r\u00e1pidamente los ciberataques, aunque a menudo no sean suficientes para SAP. Esto se debe a que examinan principalmente las infraestructuras y aqu\u00ed SAP, como sistema en gran medida independiente, queda fuera de la red de detecci\u00f3n si no se utiliza la experiencia de los profesionales de seguridad de SAP y un software especial.<\/p>\n\n\n\n

A trav\u00e9s de su integraci\u00f3n con la herramienta SIEM, todos los incidentes relevantes para la seguridad de los entornos SAP pueden consolidarse con otros sistemas de TI relevantes y el cuadro de mandos integrado crea adem\u00e1s transparencia en todos los sistemas. De este modo, las empresas cr\u00edticas y cualquier persona con una necesidad realista de seguridad reciben una representaci\u00f3n basada en un cuadro de mando evaluado y documentaci\u00f3n de todo su estado de seguridad con s\u00f3lo pulsar un bot\u00f3n. Por lo tanto, en el caso de SAP, la participaci\u00f3n de un socio de seguridad profesional es esencial para la aplicaci\u00f3n inmediata de SiG 2.0. <\/p>\n\n\n\n

De este modo, el actual cliente de SAP rku-it, como proveedor de servicios inform\u00e1ticos para proveedores de energ\u00eda, no s\u00f3lo ha cumplido eficazmente los requisitos de la nueva Ley de Seguridad Inform\u00e1tica 2.0, sino que al mismo tiempo ha aumentado la seguridad de auditor\u00eda del entorno del sistema SAP. Mediante el uso de Sast Suite, se pudieron realizar derivaciones de los roles de plantilla en funci\u00f3n de la organizaci\u00f3n de los clientes. En funcionamiento, se utiliza para validar los roles y autorizaciones para la seguridad y SoD, para el an\u00e1lisis de uso, la optimizaci\u00f3n posterior de roles y autorizaciones y para el uso de la funcionalidad de usuario de emergencia para tareas de soporte de los empleados de rku-it.<\/p>\n\n\n\n

Problemas y oportunidades<\/h3>\n\n\n\n

Un grave problema para una estrategia de seguridad hol\u00edstica orientada hacia la SiG 2.0 sigue siendo la falta de enfoque. La direcci\u00f3n debe abordar esta cuesti\u00f3n con la urgencia y el orden de prioridades que ahora se requieren y, en consecuencia, tambi\u00e9n centrarse y poner recursos a disposici\u00f3n. Esto requiere atenci\u00f3n, personal y, por supuesto, dinero. Pero todav\u00eda se observa en muchas empresas que la formaci\u00f3n de puestos, departamentos, unidades de personal sigue siendo a menudo tan madrastra incluso en una organizaci\u00f3n que se preocupa por la disponibilidad y la seguridad, como si esto fuera opcional. Sin embargo, debido a la evoluci\u00f3n actual, esta configuraci\u00f3n y disponibilidad deben considerarse sencillamente un requisito, no s\u00f3lo para los operadores de Kritis, y cuesta primero una inversi\u00f3n de arriba abajo.<\/p>\n\n\n\n

SiG 2.0 y conversi\u00f3n<\/h3>\n\n\n\n

Volviendo al ejemplo de SAP: Una pr\u00f3xima migraci\u00f3n a S\/4 tambi\u00e9n puede aprovecharse como una oportunidad para elevar la propia seguridad inform\u00e1tica a un nuevo nivel desde la perspectiva de la SGI 2.0. Ofrece la oportunidad de limpiar las antiguas interfaces y, sobre todo, de estandarizarlas. Los operadores cr\u00edticos, como las empresas de servicios p\u00fablicos, ser\u00edan un caso cl\u00e1sico en este sentido. Hay cadenas de procesos muy largas, puntos de medici\u00f3n, operadores de puntos de medici\u00f3n, facturaci\u00f3n, separaci\u00f3n de distribuci\u00f3n y red. Sistemas muy complejos, en los que tambi\u00e9n se tiene en cuenta el hecho de que el negocio est\u00e1 muy estandarizado a trav\u00e9s de los requisitos reglamentarios, el software, los procesos, y estas son cosas que se pueden escalar muy bien, donde se pueden crear buenas plantillas para la energ\u00eda, el gas y el agua, armonizar las interfaces y luego introducir las plantillas para las autorizaciones, los usuarios y los procesos. Se gana mucho en seguridad cuando se estandarizan las cosas para que funcionen de la misma manera y los procesos se ejecuten de la misma manera.<\/p>\n\n\n\n

\n\n\n\n

Competencia en materia de seguridad<\/h3>\n\n\n\n

Ralf Kempf y su equipo trabajan para unos 200 clientes en el entorno de la ciberseguridad y la gobernanza del acceso de SAP, entre ellos muchos operadores de Kritis: conocemos los retos a los que se enfrentan ahora los operadores de Kritis y les ayudamos a cumplir eficazmente los requisitos de SiG 2.0 al tiempo que aumentamos la seguridad de su entorno de sistemas SAP. As\u00ed pues, los tiempos en que las empresas pod\u00edan permitirse tratar su seguridad inform\u00e1tica como una madrastra han pasado a la historia, y esto no s\u00f3lo se aplica a los operadores de Kritis. Por lo tanto, es crucial contar con un enfoque y una estrategia de seguridad hol\u00edsticos que unan todos los temas y tengan en cuenta los escenarios de amenazas actuales.<\/em><\/p>\n\n\n\n

\"https:\/\/e3mag.com\/partners\/sast-solutions-ag\/\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

Una constataci\u00f3n de estos d\u00edas es que la seguridad es un bien vulnerable. Las infraestructuras cr\u00edticas, como las centrales nucleares y los hospitales, se est\u00e1n convirtiendo en objetivos de agresiones b\u00e9licas y, al mismo tiempo, los ciberataques aumentan a una escala sin precedentes.<\/p>","protected":false},"author":2551,"featured_media":115110,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,40563],"tags":[15055,40583,143,39537,117],"coauthors":[40607],"class_list":["post-113158","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag-22-04","tag-cyberattacken","tag-mag-22-04","tag-management","tag-sast-solutions","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Eine Erkenntnis dieser Tage ist, dass Sicherheit ein verletzliches Gut ist. Kritische Infrastrukturen wie Atomkraftwerke und Krankenh\u00e4user werden zum Ziel kriegerischer Aggression und zeitgleich nehmen Cyberattacken in ungekanntem Ausma\u00df zu.<\/p>\n","category_list_v2":"Business-Management<\/a>, Mag 22-04<\/a>","author_info_v2":{"name":"Ralf Kempf, Pathlock","url":"https:\/\/e3mag.com\/es\/author\/ralf-kempf\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/113158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/2551"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=113158"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/113158\/revisions"}],"predecessor-version":[{"id":137537,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/113158\/revisions\/137537"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/115110"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=113158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=113158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=113158"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=113158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}