26 feb 2021

Seguridad en la búsqueda en Bing y aplicaciones de Microsoft 365. Si eres empresa, esto te interesa

Por el 26 feb 2021 con 0 comentarios

Buenas a todos, en el artículo de hoy me gustaría hablaros de las búsquedas en Bing, en concreto, de la nueva característica para usuarios de Microsoft 365 orientada a la búsqueda en archivos, sitios de SharePoint, contenido de OneDrive, conversaciones de Teams, Yammer y otros orígenes de datos compartidos en nuestra organización. Para los que no sepáis a que me estoy refiriendo, os dejo con un ejemplo de nuestra empresa, usuaria de 365:


En resumen, se trata de una funcionalidad que integra en el navegador oficial de Microsoft la posibilidad de buscar "dentro de nuestro perímetro" cuando estamos autenticados con una cuenta corporativa. Marco entre comillas lo de dentro de nuestro perímetro, dado que hoy en día es algo etéreo, dado que hablamos de datos situados en la nube. Esta funcionalidad también está disponible para Chrome (parcialmente, porque entre los países que han recibido la actualización, no se encuentra España aún). Podéis encontrar más información en el siguiente enlace:

https://docs.microsoft.com/en-us/deployoffice/microsoft-search-bing#how-does-the-microsoft-search-in-bing-extension-for-google-chrome-get-installed

Como os imagináis, es una funcionalidad muy útil para las empresas, dado que te puedes abstraer y recurrir a un único buscador para localizar cualquier documento, ya sea en Internet o en el propio repositorio de la empresa. Sin embargo, si nuestra organización no ha configurado las cosas "adecuadamente", podemos tener problemas. Cuando hacemos auditorías de hacking ético, además de localizar algún que otro 0-day, la mayor parte de los hallazgos suelen provenir por fallos de configuración. En muchas ocasiones, tras estos trabajos han salido a relucir infinidad de problemas derivados del uso de configuraciones por defecto y políticas con una seguridad bastante "ligera" en lugares tan críticos como SharePoint. Pues bien, en estas semanas muchas compañías se están dando cuenta gracias a esta funcionalidad de que sus configuraciones no eran del todo adecuadas, y que cualquier empleado podía acceder a cualquier documento de, por ejemplo, su SharePoint interno. 

¿Es esto culpa de Microsoft? En absoluto. Sin embargo, si se quiere desactivar esta funcionalidad para que los usuarios de nuestra organización no puedan buscar archivos internos a través de Bing, existe un check que encontraréis en el Centro de administración de Office 365:


Dentro del menú de configuración, en "Búsqueda e Inteligencia", nos dirigiremos a la quinta pestaña, "Configuraciones":


Y en este nuevo menú, encontraremos la opción para desactivar las búsquedas en nuestra organización:


Para concluir el artículo, me gustaría remarcar que esta desactivación no supone la aplicación de ninguna medida de protección. La seguridad por oscuridad es un mal que sufrimos la gente que nos dedicamos a ciberseguridad. Y, la única forma de resolver los problemas de accesos en nuestra organización, se basa en configurar las cosas adecuadamente.

¡Saludos!


Leer más
      editar

25 feb 2021

Mañana arranca MorterueloCON en Twitch

Por el 25 feb 2021 con 0 comentarios

Mañana 26 de febrero dará inicio la edición 2021 de MorterueloCON, uno de los congresos habituales de nuestro sector, donde numerosos compañeros de profesión compartirán sus conocimientos para hablar de numerosos temas de rabiosa actualidad. En el congreso participarán buenos amigos, como mi compañero de Flu Project, Pablo González, mis compañeros de X1RedMasSegura, Josep Albors e Iván Vázquez, Eduardo Sánchez con quién tuve el placer de compartir los inicios de Hack&Beers por Madrid, Iván Portillo de Ginseg (además, comunidad amiga de Flu Project) y un largo etcétera. ¿Os lo vais a perder?

Este año, dada la situación propiciada por la Covid-19, se celebrará en formato online a través de Twitch, por lo que no hay excusa:

https://www.twitch.tv/morteruelocon

La agenda del evento es muy intensa :). Comenzará a las 9:00h y finalizará a las 23:30h. Casi 15 horas de congreso (descansos mediante). Así que preparad un buen bidón de café y tened aperitivos a mano, que la jornada promete:

https://www.morteruelo.net/3/horarios-morteruelocon


¡Saludos!

Leer más
      editar

24 feb 2021

Séptima Edición de los Ciberejercicios Multisectoriales de ISMS Forum y el Cyber Security Centre

Por el 24 feb 2021 con 0 comentarios

Hoy, ISMS Forum -International Information Security Community- inaugurará su Capítulo Regional de Valencia durante un evento online que transcurrirá entre las 09:30h y las 12:30h.

Durante la jornada tendrá lugar la presentación de los resultados de la Séptima Edición de los Ciberejercicios Multisectoriales de ISMS Forum y el Cyber Security Centre. Como cada año, los “CiberMS” tienen el objetivo de fomentar el intercambio de conocimientos entre los principales actores y expertos implicados en el sector para impulsar y contribuir a la mejora de la ciberseguridad en España a través de un ejercicio de ciberseguridad consistente en la comparativa de un conjunto de pruebas de seguridad y simulacros de ataque a los sistemas de las compañías españolas participantes. Las pruebas han sido creadas con la finalidad de poner a prueba los mecanismos de seguridad lógica de las entidades, así como la cultura de seguridad de los empleados y su capacidad para detectar y comunicar de forma correcta estos incidentes a los equipos de respuesta.

Zerolynx ha sido una de las compañías seleccionadas para la realización de los CiberMS de este año, y tendré el placer de presentar los resultados junto a los representantes de las entidades que nos hemos encargado de la organización y realización de todas las pruebas: 

  • DANIEL GARCÍA, Managing Director, ISMS Forum.
  • JUAN MANUEL ZARZUELO, Director IT Risk, KPMG.  
  • DANIELA KOMINSKY, Country Manager, Spain and Portugal, Cymulate.  
  • VICENTE DE LA MORENA, Country Leader, Spain and Portugal, Riskrecon.  
  • JUAN ANTONIO CALLES, CEO, Grupo Zerolynx.
  • MAURO SÁNCHEZ, CTO & Co-Founder, SMARTFENSE.    

Más información y registro en: https://www.ismsforum.es//evento/680/inauguracion-del-capitulo-regional-valenciano-de-isms-forum/

Leer más
      editar

23 feb 2021

elhacker.NET hace 20 años

Por el 23 feb 2021 con 1 comentario

Buenas a todos, en el artículo de hoy nos gustaría hacernos eco y rendir así un pequeño homenaje a elhacker.Net, una de las comunidades que sin duda han marcado la evolución de la ciberseguridad en habla hispana y que ayer cumplió la friolera de 20 años.



Muchos somos los que hemos pasado horas y horas en su foro, compartiendo dudas e intercambiando conocimientos con otros miembros de la comunidad. Sus largos hilos vivieron, entre otros, el nacimiento de Flu Project en 2010. 

https://www.elhacker.net/historia.html

Un abrazo muy fuerte a todo su Staff (y ex staff) y enhorabuena por el trabajazo de estos 20 años, ¡a por otros 20!

Leer más
      editar

22 feb 2021

Entrevista a Marta Barrio

Por el 22 feb 2021 con 0 comentarios


Hoy comienzo una serie de artículos para Flu Project dónde entrevistaremos a varias personas del mundo de la ciberseguridad. El rincón se llamará "Entrevista a..." y cada 7-14 días iremos publicando diferentes entrevistas de personas que para nosotros son relevantes, y que consideramos que aportan a la comunidad de la ciberseguridad. 

Hoy, para inaugurar la sección, tenemos a Marta Barrio. Marta es una de esas personas que no paran de hacer cosas, que sacan el tiempo para dejarse liar de cualquier lugar y que siempre está dispuesta a sumar. Sin duda, Marta tiene una carrera intensa y si no la conocéis, os recomiendo echarle un ojo a su CV para ver que ha dedicado esfuerzo y tiempo a una de sus pasiones, la ciberseguridad. 

Sin más, os dejo con Marta Barrio. 


1.- ¿Quién es Marta Barrio?

Una persona que intenta ser feliz disfrutando de las pequeñas cosas, que cuida su salud, tanto mental como física, que le gusta practicar crossfit y leer todo lo que cae en sus manos. Además de eso, se dedica a la ciberseguridad, intenta aprender cada día algo nuevo y, si puede ayudar a alguien por el camino, mejor que mejor.

2.- ¿Cómo te das cuenta que el mundo de la informática es lo tuyo? ¿Cómo te das cuenta que en ese mundo lo que realmente te llama es la ciberseguridad? 

Me di cuenta de lo primero, siendo muy pequeña, en el colegio, teníamos clase de informática muy variada, cada semana en un ordenador y en cada ordenador te enseñaban una cosa, desde cosas básicas de office, hacerte un primer correo electrónico, juegos de lógica... Ahí vi que los ordenadores en general me entretenían, y como no se me daban mal unos cuantos compañeros y yo pasamos a ser un poco "equipo de soporte", nos llamaban en horas libres para hacer pequeñas cosillas como actualizar los equipos, instalar las impresoras, poner a punto equipos nuevos... y nosotros encantados. De la parte de ciberseguridad, con casi la carrera ya terminada, y de casualidad, empecé a trabajar en desarrollo y vi que no era lo que quería hacer el resto de mi vida, así que empecé a buscar otras opciones. En la empresa en la que estaba un buen amigo buscaban gente recién licenciada y no hacía falta experiencia, era de ciberseguridad, ahí lo terminé de descubrir y confirmé que esto sí lo puedo estar haciendo el resto de mi vida.

3.- ¿Cómo son los comienzos para ti en el mundo de la ciberseguridad? 

Pues de primeras muy perdida, pero fue un aprendizaje continuo (y lo sigue siendo), tienes alrededor gente que sabe mucho más que tú, les preguntas, empiezas a investigar por tu cuenta, y de repente estás en tu tiempo libre montando entornos y replicando pruebas que has leído en un blog, visto en un vídeo, te surgen preguntas, buscas respuestas, y comienza el bucle de diversión.

4.- Hace ya unos cuantos años que nos conocemos. Incluso, podemos decir que hemos estado metidos en varias historias: Retos de ISACA, hackersClub, hemos compartido docencia en Másteres, etc. ¿Qué es lo que te motiva a meterte en estas historias aparte de tu trabajo? 

Que no se decir que no. Me explico, veo una oportunidad de aprender y de poder ayudar a alguien, como me ayudaron a mi cuando empezaba, y esa es la verdadera recompensa. A veces en medio del proceso me arrepiento de haber dicho que sí porque no tengo tiempo, pero al final llego y la satisfacción de haber dado lo mejor de mí termina ganando a las dudas de los días previos.

5.- Para mí eres una referente que impulsa a las mujeres a meterse en este tipo de carreras profesionales, ya que andas con eventos, participando en muchas formaciones, haciendo una gran labor en tu trabajo ¿Cómo ves este tema? 

En estos años he visto una gran evolución, el número de mujeres en este mundo es cada vez mayor, antes en conferencias lo raro era ver una mujer, ahora lo raro es ver algún grupo sin que las haya, seguimos siendo menos claro, pero el cambio está ahí. La clave, en mi opinión, no está en dar más facilidades a las mujeres para becas, puestos etc. porque tengas que alcanzar un mínimo "para quedar bien" sino en dar visibilidad a que hay mujeres en todos los departamentos. Y es un cambio que tiene que suceder en la base de la educación, aquí podemos debatir mucho tiempo...

6.- ¿Cómo ves el sector de la ciberseguridad en los próximos años? ¿Somos una burbuja o somos una necesidad creciente por la transformación digital? 

A día de hoy creo que somos una necesidad creciente, por lo que en los próximos años va a seguir creciendo, ¿hasta donde? Dependerá de la importancia que los usuarios comiencen a dar a sus datos. Cuando la gente deje de decir "mis datos, ¿quién va a querer mis datos? si yo no soy famoso", puede significar que se le esté dando la importancia que se debe, pero no creo que seamos una burbuja.

7.- ¿Cómo crees que ha evolucionado la ciberseguridad en este último año debido a la pandemia? 

Ha avanzado mucho, a la fuerza, en un año puede que se haya dado una evolución que en la situación previa hubiera tardado por lo menos 5 años. Las empresas se han tenido que poner las pilas si querían sobrevivir, han tenido que hacer cambios que ni planteaban, con los riesgos de seguridad asociados, y de repente se han dado cuenta de que ese mundo de ciberseguridad que veían de lado les afectaba directamente.

8.- ¿Cómo crees que debería ser un buen entrenamiento para un Red Team? Recientemente hemos hablado de ello en un coloquio de Eniit, ¿Cómo fue la experiencia? 

Mi opinión personal, tienen que tener un plazo de tiempo de ejecución alto (¿un año?), un red team no comienza el día que se lanza la primera herramienta, puede empezar mucho antes creando el entorno de ataque (cuentas de correo, web falsas, etc.), y a partir de ahí ir registrando las acciones que se llevan a cabo y los resultados, para una vez que se entregue el informe final, poder validar con el blue team si los ataques exitosos se podrían haber detectado y cómo, para implantar soluciones, si los logs recogieron toda la información, etc. para identificar puntos de mejora. No hay que olvidar que el red team sirve para alimentar al blue team con el objetivo común de mejorar el estado de seguridad de la organización.

En cuanto al coloquio de Eniit, lo disfruté mucho, era la primera vez que participaba en una charla de este estilo y fue un placer compartirla con los grandes profesionales que participaron, y poder hablar en un ambiente relajado de lo que más nos gusta.

9.- Antes de acabar, ¿Qué consejos darías a todos los lectores que quieren meterse en este mundo de la ciberseguridad? 

Lo primero, que si se quieren meter en este mundo sea porque les guste, no como "sector con mucho futuro", lo segundo, que lean, se formen, no tengan miedo de preguntar, que por regla general en este mundo la gente te va a ayudar y te va a facilitar recursos para ayudarte. Ah, y paciencia, para aprender de verdad, las prisas no son buenas compañeras.

10.- Para finalizar, ¿Cómo conociste a Flu Project? Después de tantos años, ¿Qué diferencias ves en el blog en estos años? 

Pues echando la vista atrás... lo conozco desde hace algo más de 8 años, en cuanto empecé en ciberseguridad me lo recomendaron, reconozco que creo que leí todas las entradas desde ese momento hacia atrás, cacharreé con flu, aprendí con los retos de hacking, así que puedo decir que he aprendido mucho en él. En cuanto a diferencias, habéis madurado con la edad, al principio era mucho más técnico en cuanto a los trucos más técnicos que enseñábais, entiendo que por ocio y/o trabajo de ese momento, viví el bajón de pasar a post diario a posts "cuando podíais" y el nuevo renacer con más colaboradores que le ha dado dinamismo (cantidad de contenido) y nuevas temáticas. Así que espero seguir leyéndolo muchos años más. PD: Yo sigo siendo fan de los post más técnicos :)



Leer más
      editar

19 feb 2021

IV Congreso de Auditoría & GRC de ISACA

Por el 19 feb 2021 con 0 comentarios

 


En plena aceleración del proceso de digitalización ¿Estamos preparados para una caída prolongada de los grandes proveedores tecnológicos? ¿Qué medidas adoptan las infraestructuras críticas para garantizar la continuidad de los servicios esenciales? ¿Cómo identifican, valoran y abordan nuestras empresas e instituciones los riesgos sistémicos? Estas son algunas de las cuestiones que serán tratadas en el IV congreso de Auditoría y GRC, que tendrá lugar los próximos días 4, 11 y 18 de marzo, donde la temática general versará sobre las grandes amenazas a las que estamos expuestos en los tiempos actuales, de gran dinamismo y complejidad.

Este año tenemos el placer de patrocinar el congreso desde Zerolynx, y además, me encargaré de moderar la mesa "Grandes riesgos, vector proveedores" que tendrá lugar el 11 de marzo a las 18:50h, y en la que participarán varios actores de gran relevancia para nuestro sector:

  • Jorge Pérez, Responsable de Auditoría de Mutua
  • Antonio Ramos, CEO y socio fundador de LEET Security
  • Enrique Salgado, Global IT Manager de Cabify

En esta jornada tendremos el placer además de escuchar la Keynote "Securing ecosystems in an era of rapid transformation" de Chris Dimitriadis, tras la presentación de la presidenta Vanesa Gil.

La inscripción es totalmente gratuita para los asociados al capítulo de Madrid, y se entregarán 2,5 créditos CPE para todos los asistentes.

Más información en:

https://engage.isaca.org/madridchapter/eventos/audgrc

Leer más
      editar

18 feb 2021

101 del Real Decreto 43/2021

Por el 18 feb 2021 con 0 comentarios

Hola lectores. 

En el anterior artículo de esta cadena os comenté que se había producido un nuevo hito en el sector de la ciberseguridad con la publicación en el BOE del Real Decreto 43/2021. Como os dije, no es un tema del que solamos hablar en este blog, pero dado que el Real Decreto 43/2021 está teniendo bastante repercusión considero, que es necesario aportaros un poco más de información.


Y otra vez con el decretito...

En el artículo anterior os hablé de una conferencia que impartían desde ISACA Madrid y aesYc. Para todos los que no os pudisteis conectar, y debido a las buenas críticas que ha recibido, os la dejamos enlazada. Desde mi punto de vista fue muy interesante y tuvo un gran éxito de asistencia, con más de 1.500 personas conectadas en directo. 


Para todos aquellos que no podáis sacar tiempo suficiente para ver el video, os dejamos enlazada la publicación realizada por uno de los participantes en el debate, Vicente Moret, donde se hace un resumen de las principales obligaciones para las empresas en materia de ciberseguridad derivadas del RD 43/2021. Son dos páginas en PDF que considero de obligada lectura para todos aquellos que nos dedicamos al sector. Podéis encontrarlo aquí. 

Espero que os sea de interés a todos.
Leer más
      editar

17 feb 2021

TOP 15 de Amenazas de ENISA - SPAM

Por el 17 feb 2021 con 0 comentarios
¡Buenos días a todos!

En este artículo hablaremos de la siguiente amenaza analizada por ENISA, que en este caso se trata de los correos electrónicos no solicitados, también conocidos como SPAM.


Para que nos hagamos una idea de la magnitud de la basura que se envía a través de Internet, durante el tiempo en que se realizó el estudio, el spam llegó a alcanzar el 85% de todos los emails enviados a lo largo del mundo. Ahí es nada.

Aunque generalmente el spam no deja de ser una simple molestia para usuarios expertos, se debe recordar que a nivel corporativo también puede ser utilizado para extraer información de los sistemas y personas a los que va dirigido:

  • ¿Qué filtros antispam tienen? ¿Eliminan los adjuntos, los enlaces, los ficheros con contraseña...?
  • ¿Tienen filtros de contenido web?
  • ¿Qué información me rebotan sus servidores cuando un usuario no existe?
  • ¿Está un usuarios fuera de la oficina? ¿Hasta cuándo?
  • ¿Cuál es la firma típica de los usuarios dentro de la organización?
  • ¿Cómo y cuánto tarda en responder la organización ante una ola de correos maliciosos?

Toda esta información, recopilada en una campaña masiva, puede ser utilizada más tarde en una campaña dirigida de Spear-Phishing muchísimo más peligrosa para la organización.

Por otro lado, y de forma global, también puede tener finalidades bastante peligrosas, como la sextorsión o el envío de malware. EMOTET, que reciéntemente ha sido cerrada por Europol, por ejemplo, ha utilizado campañas de este tipo para su propagación. Sin embargo, esta misma técnica ha sido utilizada muchas veces para propagar familias de malware como Loki, Dharma, Crysis y Ryuk.

Mención especial deben recibir las campañas lanzadas a través de SMS, en las que se incluyen enlaces a páginas maliciosas que buscan capturar información, o que ofrecen descargas de APPs maliciosas que buscan robar datos bancarios.

Desgraciadamente, la crisis del COVID ha sido aprovechada por los atacantes para perfilar sus campañas, por lo que se han producido bastantes acciones de envío de spam, phishing dirigido, o difusión de malware que han utilizado este pretexto para intentar confundir a sus víctimas. En este sentido, sólo el complicado mes de marzo de 2020 se detectaron  más de 2500 ataques de estas características.

Como veis, al final se trata una amenaza que la mayoría consideraríamos de bajo perfil, pero que también requiere ser correctamente gestionada desde las empresas para evitar sustos mayores.

Las acciones de mitigación recomendadas ante este tipo de ataques son:

  • Configurar correctamente SPF, DMARC, DKIM y otros mecanismos de protección para el correo.
  • Implementar filtros de contenido que eliminen adjuntos no deseados, enlaces, o correos de orígenes no legítimos, y que marquen debidamente el correo externo a nuestros empleados.
  • Actualizar de forma periódica las listas de reputación web e IP.
  • Habilitar doble factor de autenticación, para la protección adicional de las cuentas de usuario.
  • Deshabilitar la ejecución de código automática, las macros, y la carga automática de imágenes y enlaces recibidos por correo.
  • Y sobre todo, es fundamental la concienciación de nuestros empleados para que sepan identificar y alertar ante la presencia de correos maliciosos. Y es que... ¿cuántas veces habéis levantado las debidas defensas, para daros cuenta de es el propio usuario el que ha sacado el correo de la bandeja de spam, y ya de paso, lo ha reenviado dentro de la organización? 

¡Nos vemos en la próxima, saludos!

Leer más
      editar

16 feb 2021

Cómo evaluar y hacer exámenes en remoto de forma segura

Por el 16 feb 2021 con 0 comentarios


Buenas a todos, el Centro Criptológico Nacional lanzó ayer una interesante guía con el objeto de recoger en un documento las principales medidas y condiciones necesarias para preservar la seguridad e integridad de los métodos de evaluación y examen en remoto.  

La guía viene propiciada por el Covid-19 y el inevitable aumento de las formaciones y evaluaciones online, lo que está conllevando numerosos problemas en diferentes instituciones. 

El documento se subdivide en 2 apartados, el primero orientado a la certificación de las personas, donde tratan los requerimientos plasmados en la norma ISO/IEC 17024:2012, y el segundo, sobre la evaluación y la realización de exámenes en remoto.

Desde el siguiente enlace podréis descargar el documento completo:

https://www.ccn-cert.cni.es/informes/abstracts/5711-metodos-de-evaluacion-y-examen-en-remoto/file.html

Un saludo!

Leer más
      editar

15 feb 2021

Estrenamos branding en Open Mobility Security Project (#OMSP)

Por el 15 feb 2021 con 0 comentarios

Buenas a todos, en el artículo de hoy, y aprovechando que en breve nuestro proyecto OMSP hará su primer año, queríamos compartir con todos vosotros el rebranding que estrenamos en el día de ayer. Con este nuevo diseño, acuñado por la diseñadora Olga Borrallo, a la que aprovecho para dar las gracias por su excelente trabajo, buscamos aunar todo lo que aglutina y representa en la actualidad OMSP. Hasta el momento, el isotipo que componía el logo principal del proyecto, incluía un tren y la rueda de un coche, sin embargo, y como muchos ya sabréis, el proyecto ha ido creciendo y hemos ido añadiendo controles que realmente aplican a muchos más tipos de vehículos. Es más, el propio proyecto nació con esa idea de escalabilidad. Por este motivo, nos decidimos a plasmar todo ello en un logotipo más abierto y que representase mejor aún a la ciberseguridad de cualquier medio de transporte.

El nuevo logo de OMSP es más sencillo, con colores más neutros y con una flecha que simboliza el movimiento. Así mismo, ese movimiento también se ve reflejado en la letra "m", colocada estratégicamente en una posición inclinada.

¡Esperamos que os guste!

https://github.com/zerolynx/omsp

Por otro lado, el pasado viernes, mi compañero Martín compartió con vosotros un interesante artículo sobre la propuesta para una nueva regulación de Naciones Unidas en relación a la ciberseguridad y a los sistemas de gestión de la ciberseguridad (ECE/TRANS/WP.29/2020/79). Como también os trasladó, en Europa, el Reglamento 2019/2144 del 27 de Noviembre de 2019 relativo a los requisitos de homologación de tipo de los vehículos de motor (...) establece en su considerando 26 la aplicación obligatoria del nuevo reglamento de Naciones Unidas en materia de ciberseguridad, reconociendo los riesgos que implican las nuevas tecnologías de conectividad y automatización. A nivel normativo, las organizaciones ISO y SAE trabajan actualmente en la norma ISO/SAE 21434, centrada en establecerse como estándar de facto relativo a la implantación de un sistema de gestión de la seguridad de la información y sus procesos asociados en automoción, de cara a cumplir los requisitos impuestos en el marco legislativo. Por nuestra parte, estamos apoyando directamente a estas organizaciones, con todo el conocimiento que llevamos varios años adquiriendo en la materia, para ayudar a reflejar con todo el rigor y el criterio posible, las amenazas a las que nos enfrentamos de forma diaria, y las posibles vías para reducir su impacto.

OMSP no pretende ser una alternativa a WP29 o a la norma 21434, sino todo lo contrario (como bien os hemos dicho, nosotros mismos estamos en el comité que define esta norma). El objetivo de OMSP es dar herramientas para el cumplimiento de esta normativa, es facilitar la labor a los desarrolladores de productos, durante toda la cadena de valor (OEMs, Tiers y Aftermarkets) y a todas las empresas que, como nosotros, tienen la necesidad de contar con un marco técnico de controles para definir un itinerario de pruebas repetible con el que evaluar si los primeros no han cometido ningún error.

Somos conscientes de la dificultad de lanzar un proyecto de estas características, pero también somos conscientes de que la información debe ser libre. Si buscamos evaluar la ciberseguridad de algo tan crítico como un medio de transporte, no podemos recurrir a proyectos privativos, hay que recurrir a marcos de controles abiertos, que puedan ser utilizados por todos los interlocutores, desde el que fabrica la primera pieza, hasta el que da el último check antes de salir a producción. Es la única manera de garantizar que todos los actores evalúan los problemas con los mismos criterios.

Por nuestra parte, aunque OMSP se haya forjado en el área de I+D de Zerolynx, queremos que sea un proyecto que se use por la comunidad, al igual que nosotros utilizamos otros marcos fantásticos realizados por otras consultoras de nuestro sector o por algunas entidades bancarias, entre otras organizaciones. Y es que vivimos en un mundo interconectado, donde la colaboración es clave para poder dar respuesta a un reto tan exigente como el de la ciberseguridad. Desde el equipo que impulsa OMSP seguiremos mejorando el itinerario de pruebas para seguir cubriendo nuevos vehículos y añadiendo poco a poco nuevo contenido con el que ir facilitando estas labores de evaluación. ¿Nos acompañáis en este viaje?

¡Un saludo!



Leer más
      editar
>