#partedelasolucion

Ante la situación extraordinaria que está atravesando nuestro país con motivo de la crisis del Covid-19 y como reflejo del firme compromiso que Sothis mantiene con sus clientes y con la sociedad en general, en esta página te ofrecemos algunos de los servicios que ofreceremos de forma completamente gratuita mientras dure el estado alarma a todas empresas que requieran de los mismos.

Nuestro objetivo siempre ha sido y seguirá siendo transformar el negocio de las empresas y en un momento tan complicado como este, garantizar la seguridad de los puestos de trabajo y de la información de las compañías y el correcto tratamiento de los datos es más importante que nunca.

RECOMENDACIONES EN MATERIA DE CIBERSEGURIDAD Cómo evitar riesgos y proteger a personas y el negocio

Debido al cambio de escenario se está potenciando por necesidad el teletrabajo para mantener la operativa de las organizaciones, exponiéndonos a nuevos riesgos que deben ser tenidos en cuenta y gestionados para disponer de las máximas garantías posibles de seguridad.

Por ello, recomendamos abordar esta situación empezando por definir una Política de uso de medios tecnológicos, que describan de forma breve, sencilla y comprensible, tanto las medidas técnicas a aplicar, como las medidas de carácter organizativa en lo que respecta al uso correcto, e incorrecto, de la información y los medios (teléfonos móviles corporativos, portátiles corporativos, entre otros) propiedad de la organización y puestos a disposición de los empleados para el desarrollo de su trabajo.

Esta política debe ser aprobada y apoyada por la Dirección, y distribuida a todos los empleados por igual, recordando la obligatoriedad de su aplicación y las posibles consecuencias de su incumplimiento.

Asimismo, entre los aspectos y requisitos de seguridad que deben ser considerados dentro de esta política se encuentran:

Utilizar herramientas colaborativas entre sus trabajadores para facilitar la comunicación y la gestión de proyectos.

Utilizar algún sistema para sincronizar lo que sus empleados guardan en los portátiles con los sistemas centralizados, de esa manera no perderá información.

Las conexiones entre los dispositivos en régimen de teletrabajo y los servidores centrales deben estar cifradas. Para ello deberían establecerse redes privadas virtuales, VPN, o bien acceder por escritorio remoto.

Es imprescindible que los dispositivos se encuentren cifrados en caso de pérdida o robo.

  • Windows: disponible “Bitlocker”
  • Mac: OSX dispone de la función “Filevault” en Preferencias del Sistema – Seguridad y Privacidad
  • IOS: el cifrado del dispositivo está por defecto en el momento en el que usted establece un código de bloqueo para acceder al terminal
  • Android: Puede cifrar su dispositivo en Ajustes – Seguridad – Cifrar teléfono.

Es necesario utilizar únicamente usuarios nominales o individuales para poder saber quién entra realmente al sistema. Adicionalmente las contraseñas deben ser robustas, caducar e implementar un sistema de doble factor. Por otro lado, no todos los empleados deberían tener acceso a toda la información o activos de la empresa de manera remota; lo recomendable es definir unos roles de los usuarios que requieren acceso y la información concreta a la que puede acceder cada uno de estos perfiles.

Habilitar la traza de auditoria en las aplicaciones y bases de datos, de modo que pueda conocer quién hace qué en cada momento sobre los sistemas y aplicaciones.

Los sistemas operativos de servidores, portátiles y móviles deben estar actualizados para evitar vulnerabilidades de seguridad que pudiesen ser aprovechadas por un tercero malintencionado.

Realizar una correcta segmentación de red donde los usuarios de VPN únicamente tengan acceso a aquellos sistemas que sean necesarios para el desempeño de su trabajo.

Para aumentar el grado de seguridad de la información es necesario habilitar dos medios de validación de la identidad, uno de los cuales debe tener un soporte físico (teléfono móvil, tarjeta de claves o algún medio similar al que solamente tenga acceso el usuario).

COVID-19 Y TRATAMIENTO DE DATOS PERSONALES Para asegurarnos de que incluso teletrabajando estamos haciendo las cosas bien

COVID-19 y tratamiento de datos personales para asegurarnos de que incluso teletrabajando estamos haciendo las cosas bien.

La Agencia Española de Protección de Datos (AEPD), en el contexto de la emergencia de salud pública derivada de la extensión del Covid-19, ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de dicho contexto.

El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir el tratamiento legítimo de datos personales en situaciones en las que exista una emergencia sanitaria de alcance general. Según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades.

 Destacamos los siguientes puntos a tener en cuenta en relación con la legislación de protección de datos vigente y posibles tratamientos derivados del Covid-19:

El tratamiento de datos personales se considera lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física.

La empresa podrá conocer si la persona trabajadora está infectada o no, con el objetivo de diseñar los planes de contingencia necesarios.

Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.

Podrán realizarse preguntas, las cuales se limitarán exclusivamente a indagar sobre la existencia de síntomas, o sobre si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena.

Los empleadores tienen justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito.

La persona trabajadora que, tras haber tenido contacto con un caso de coronavirus, pudiera estar afectada por dicha enfermedad, se verá sometida al correspondiente aislamiento preventivo para evitar los riesgos de contagio, deberán informar a su empleador y al servicio de prevención.

La persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, este derecho individual puede ceder frente a la defensa de otros derechos como el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población.

El personal sanitario podrá tomar la temperatura a los trabajadores con el fin de detectar síntomas de Covid-19. El tratamiento de estos datos se limitará a dicha finalidad y no se extenderá a otras distintas.

Respecto a la información recopilada referente a datos de carácter personal, deberemos tener en cuenta los siguientes puntos:

En todo caso, el tratamiento de estos datos debe cumplir los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación. 

Es decir, la información a recopilar será la justa y necesaria, estará limitada a la finalidad concreta por la cual se recopila, y deberá ser conservada únicamente durante el tiempo que sea necesario para cumplir su función.  

Durante el período de vigencia del estado de alerta, según lo descrito en el RD 463/2020, Sothis prestará a cualquier empresa que lo solicite servicios de Asistencia en la Notificación a la AEPD y de Análisis y Asesoramiento en sospecha de Phishing, según se describen en este apartado.

En caso de que su organización sufra un incidente de seguridad que afecte a datos de carácter personal, y por ende deba notificarlo a la AEPD como autoridad de control en materia de protección de datos, desde Sothis se le podrá prestar asistencia para cumplir con los plazos requeridos conforme los siguientes puntos:

1.- Análisis preliminar de la brecha para determinar si es necesario notificar a la autoridad de control.

2.- Clasificación de la brecha y asesoramiento en el establecimiento de medidas de seguridad organizativas orientadas a mitigar la brecha sufrida.

3.- Acompañamiento y aclaración de dudas para completar el formulario (inicial, adicional, completa) de notificación de la brecha de seguridad.

4.- Análisis de necesidad de comunicar la brecha de seguridad a los afectados.

5.- Asesoramiento en cuanto a comunicación de brecha a afectados en caso que resultara obligatorio.

6.- Seguimiento y apoyo en proceso de posibles notificaciones complementarias de la brecha de seguridad.

Este servicio consiste en la comprobación del grado de seguridad de correos que sean susceptibles de riesgo para el receptor, para evitar la introducción cualquier tipo de malware en la organización, o el robo de datos personales para suplantación.

Este servicio estará limitado a la capacidad de actuación del equipo de Sothis y los medios habilitados necesarios para su prestación. (accesos al cliente, capacidad disponible, etc.).

Para obtener este asesoramiento, se deberá reenviar el correo sospechoso a  security@sothis.tech anteponiendo el texto [INCIDENTE PHISHING]

Servicios gratuitos exclusivos para las empresas pertenecientes a los sectores críticos incluidos en el RD 463/2020, mientras esté vigente el Estado de Alarma

Suscripción gratuita al servicio de alerta temprana 

El objetivo de este servicio es entregar periódica y puntualmente, en aquellos casos necesarios, un boletín de alerta temprana en el que, en formato de correo electrónico, comunicamos cuáles son las amenazas y riesgos más incipientes del mercado. Con estos comunicados, informamos y ayudamos a tomar las medidas necesarias para prevenir un ciberataque y, en el caso de que este se hubiese producido, tratamos de ayudar a contener su expansión y minimizar el impacto en el negocio.

El objetivo del servicio es actuar antes de que se produzca un incidente de seguridad o, por lo menos, detectarlo en un primer momento para reducir su impacto y alcance.

El servicio identificará las amenazas y riesgos más incipientes en el mercado y comunicará, en forma de correo electrónico, el detalle de dichas amenazas y las medidas de mitigación.

Con este comunicado formal, ayudamos a los equipos de operaciones, a tomar las medidas necesarias para prevenir un ciberataque y, en el caso de que este se hubiese producido, ayudamos a contener su expansión y minimizar el impacto en el negocio.

Dicho informe es construido por el equipo técnico de SOC Sothis ERIS-CERT®.

He leído y acepto la Política de Privacidad

(*) Campos obligatorios

Respuesta ante incidentes y análisis forense 

Mientras dure el estado de alarma, Sothis pone al servicio de las empresas un equipo de respuesta ante incidentes de seguridad (DFIR) para poder asistir a las empresas de los sectores del DL ante incidentes de seguridad graves.

Este servicio consiste en la identificación del incidente y la prescripción de medidas de contención y respuesta a tomar por parte del cliente, si procedieran. Ante la comunicación de un incidente de seguridad, Sothis asignará un interlocutor único para dar soporte a la identificación de la amenaza y prescribir las medidas de contención, respuesta y erradicación, según la metodología y criterio de Sothis.

Este servicio estará limitado a la capacidad de actuación del equipo de Sothis y los medios habilitados necesarios para su prestación (accesos al cliente, capacidad disponible, etc.).

Para acceder al mismo, se deberá enviar un correo a security@sothis.tech con el asunto [INCIDENTE] o llamar al teléfono +34 902 88 35 33 de Sothis.