{"id":30259,"date":"2024-07-31T15:49:26","date_gmt":"2024-07-31T13:49:26","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30259"},"modified":"2024-08-01T12:24:10","modified_gmt":"2024-08-01T10:24:10","slug":"managing-cybersecurity-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/managing-cybersecurity-risks\/30259\/","title":{"rendered":"Un escudo de confianza"},"content":{"rendered":"

Ya ha pasado un mes desde que el Departamento de Comercio de EE. UU. emiti\u00f3 su determinaci\u00f3n final con respecto a la venta y uso de productos de Kaspersky por parte de personas en los EE. UU. Por si no lo sabes, la decisi\u00f3n de este organismo en t\u00e9rminos generales fue prohibir los productos de Kaspersky en el mercado, salvo algunas excepciones relacionadas con productos y servicios informativos y educativos. El resultado es el siguiente: los usuarios de EE. UU. ya no pueden acceder al software de ciberseguridad que escogen por su calidad y experiencia.<\/p>\n

A lo largo de sus 27\u00a0a\u00f1os de historia, nuestra empresa siempre ha sido reconocida por ofrecer la mejor protecci\u00f3n del mercado contra todo tipo de ciberamenazas, sin importar de d\u00f3nde provengan. Estos son algunos ejemplos. A principios de este a\u00f1o, nuestros productos recibieron una vez m\u00e1s el premio Producto del a\u00f1o<\/a> de un renombrado laboratorio de pruebas independiente. A\u00f1o tras a\u00f1o, nuestras soluciones han demostrado<\/a> una protecci\u00f3n del 100\u00a0% contra la amenaza m\u00e1s importante: el ransomware. Adem\u00e1s, el equipo de investigaci\u00f3n de amenazas de Kaspersky, respetado tanto por la comunidad global de seguridad inform\u00e1tica como por nuestros usuarios, es quien descubre, analiza y, lo m\u00e1s importante, revela al mundo las campa\u00f1as de espionaje m\u00e1s grandes y sofisticadas patrocinadas por estados.<\/p>\n

Entonces, \u00bfcu\u00e1l podr\u00eda ser la raz\u00f3n para prohibir las mejores soluciones de ciberseguridad en las que conf\u00edan millones de personas? \u00bfSe ha definido el problema de forma clara y objetiva? \u00bfHas visto alguna evidencia de esos riesgos a los que el Gobierno estadounidense lleva a\u00f1os refiri\u00e9ndose? Nosotros tampoco.<\/p>\n

Al tener que lidiar con los resultados del creciente proteccionismo (y sus duros efectos), como las denuncias de conducta indebida sin evidencia y las acusaciones basadas puramente en riesgos te\u00f3ricos, hemos estado desarrollando continuamente una metodolog\u00eda universal para evaluar productos de ciberseguridad y, al mismo tiempo, conservar nuestro principio clave: ser transparentes y abiertos sobre c\u00f3mo hacemos nuestro trabajo en la m\u00e1xima medida posible.<\/p>\n

Nos hemos convertido en la primera, y seguimos siendo la \u00fanica empresa importante de ciberseguridad, en proporcionar a terceros acceso a nuestro c\u00f3digo fuente, y tambi\u00e9n permitimos que nuestros partners de confianza y partes interesadas verifiquen nuestras reglas de detecci\u00f3n de amenazas y actualizaciones de software, en un gesto de buena voluntad que no tiene antecedentes. Desde hace varios a\u00f1os, contamos con nuestra Iniciativa de Transparencia Global<\/a>, \u00fanica en su alcance y valor pr\u00e1ctico, que una vez m\u00e1s refleja nuestra actitud de cooperaci\u00f3n y determinaci\u00f3n para abordar cualquier inquietud potencial con respecto a c\u00f3mo funcionan nuestras soluciones. Sin embargo, a\u00fan enfrent\u00e1bamos recelos con respecto a la fiabilidad de nuestros productos, generalmente de factores externos como conjeturas geopol\u00edticas, por lo que hicimos un esfuerzo adicional al sugerir un marco a\u00fan m\u00e1s completo, que eval\u00fae la integridad de nuestras soluciones de seguridad a lo largo de su ciclo de vida.<\/p>\n

Lo que describir\u00e9 a continuaci\u00f3n es un marco que hemos estado compartiendo de manera proactiva con las partes que expresan preocupaci\u00f3n sobre la credibilidad de las soluciones de Kaspersky, incluidas las pertenecientes al gobierno de los Estados Unidos. Creemos que el marco es lo suficientemente completo como para abordar las inquietudes expresadas con m\u00e1s frecuencia, y tiene la capacidad de formar una cadena fiable de confianza.<\/p>\n

Los pilares clave de la metodolog\u00eda de evaluaci\u00f3n de la ciberseguridad que hemos estado presentando (que, por cierto, creemos que tiene el potencial de formar la base de una metodolog\u00eda para toda la industria) incluyen (i) la localizaci\u00f3n del procesamiento de datos, (ii) la revisi\u00f3n de los datos recibidos y (iii) la revisi\u00f3n tanto de la informaci\u00f3n como de las actualizaciones suministradas a las m\u00e1quinas de los usuarios (como parte de las actualizaciones del software y de la base de datos de amenazas). Como sucede en el marco de nuestra Iniciativa de Transparencia Global, el objetivo principal de esta estrategia es la participaci\u00f3n de un revisor externo para verificar los procesos y las soluciones de la empresa. Sin embargo, lo nuevo en esta metodolog\u00eda es tanto el alcance como la profundidad de dichas revisiones. Veamos los detalles\u2026<\/p>\n

Localizaci\u00f3n del procesamiento de datos<\/h2>\n

El tema del procesamiento y almacenamiento de datos ha sido uno de los m\u00e1s delicados, no s\u00f3lo para Kaspersky, sino para todo el sector de la ciberseguridad. Con frecuencia recibimos preguntas razonables sobre qu\u00e9 datos pueden procesar nuestros productos, c\u00f3mo se almacenan estos datos y, lo que es m\u00e1s importante, por qu\u00e9 necesitamos estos datos. El objetivo clave del procesamiento de datos para Kaspersky es proporcionar a nuestros usuarios y clientes las mejores soluciones de ciberseguridad: mediante la recopilaci\u00f3n de datos sobre archivos maliciosos y sospechosos que detectamos en los equipos de los usuarios, podemos entrenar nuestros algoritmos, ense\u00f1\u00e1ndoles c\u00f3mo detectar nuevas amenazas y contener su propagaci\u00f3n.<\/p>\n

El marco que hemos estado presentando tambi\u00e9n implica una mayor localizaci\u00f3n de la infraestructura de procesamiento de datos<\/strong> y la implementaci\u00f3n de controles t\u00e9cnicos y administrativos que restringen el acceso a dicha infraestructura de procesamiento para los empleados fuera de un pa\u00eds o regi\u00f3n determinados. Ya hemos implementado un enfoque de este tipo en Arabia Saud\u00ed con nuestro servicio de Detecci\u00f3n y respuesta gestionados (MDR)<\/a>, y los mismos mecanismos se han sugerido en nuestras conversaciones con las autoridades de los EE. UU. para responder a sus inquietudes. Estas medidas garantizan que los datos locales se almacenen y procesen en un entorno f\u00edsico donde el control final sobre los datos recae en personas bajo la jurisdicci\u00f3n local o de un pa\u00eds aliado cercano, seg\u00fan lo consideren apropiado estas personas. Al igual que con los pasos mencionados anteriormente, se puede invitar a un validador externo independiente para que revise la efectividad de las medidas implementadas.<\/p>\n

El procesamiento de datos locales requiere el an\u00e1lisis de amenazas locales y el desarrollo de firmas de detecci\u00f3n de malware locales, y nuestra metodolog\u00eda contempla precisamente eso. La localizaci\u00f3n del procesamiento de datos requiere la expansi\u00f3n de los recursos humanos para respaldar la infraestructura local. Tenemos todo listo para desarrollar a\u00fan m\u00e1s nuestros equipos regionales de I+D y TI<\/strong> en pa\u00edses determinados. Estos equipos ser\u00e1n los \u00fanicos responsables de respaldar el procesamiento de datos nacionales, gestionar el software del centro de datos local y analizar el malware para identificar nuevas APT (Amenazas Persistentes Avanzadas por sus siglas en ingl\u00e9s) espec\u00edficas de la regi\u00f3n determinada. Esta medida tambi\u00e9n garantiza que haya m\u00e1s expertos internacionales involucrados en el desarrollo de futuras l\u00edneas de productos de Kaspersky, para que nuestras iniciativas de I+D sean a\u00fan m\u00e1s descentralizadas.<\/p>\n

Revisi\u00f3n del proceso de recuperaci\u00f3n de datos<\/h2>\n

Protegemos los datos que recopilamos contra posibles riesgos mediante pol\u00edticas, pr\u00e1cticas y controles internos rigurosos. Nunca atribuimos los datos recopilados a una persona u organizaci\u00f3n espec\u00edfica, los anonimizamos siempre que sea posible. Adem\u00e1s, limitamos el acceso a dichos datos dentro de la empresa y procesamos el 99 % de ellos autom\u00e1ticamente.<\/p>\n

A fin de mitigar a\u00fan m\u00e1s cualquier riesgo potencial para los datos de nuestros clientes, hemos sugerido contratar a un revisor autorizado independiente para que controle peri\u00f3dicamente nuestro proceso de recuperaci\u00f3n de datos<\/strong>. Este revisor en tiempo real evaluar\u00e1 peri\u00f3dicamente los datos recibidos con herramientas de an\u00e1lisis de datos y plataformas de procesamiento de datos para asegurarse de que no se transfiera informaci\u00f3n de identificaci\u00f3n personal u otros datos protegidos a Kaspersky, y para confirmar que los datos recuperados se utilicen \u00fanicamente para detectar y protegerse contra amenazas y se manejen apropiadamente.<\/p>\n

Revisi\u00f3n de las actualizaciones y los datos entregados a los equipos de los usuarios<\/h2>\n

Como siguiente paso en el lado del producto, se proporcionar\u00e1 el marco de mitigaci\u00f3n para las revisiones peri\u00f3dicas por terceros de nuestras actualizaciones de la base de datos de amenazas y el desarrollo de c\u00f3digo de software relacionado con los productos<\/strong> para mitigar los riesgos de la cadena de suministro para nuestros clientes. Es importante destacar que el tercero ser\u00e1 una organizaci\u00f3n independiente que informar\u00e1 directamente a un regulador local. Esto se sumar\u00e1 al proceso de desarrollo de software riguroso y seguro existente de Kaspersky, que se enfoca en mitigar los riesgos, incluido un escenario en el que hay un intruso en el sistema, para garantizar que nadie pueda a\u00f1adir c\u00f3digo no autorizado a nuestros productos o bases de datos de antivirus.<\/p>\n

Pero para mejorar a\u00fan m\u00e1s las garant\u00edas de seguridad, la participaci\u00f3n de un revisor externo en tiempo real tiene como objetivo evaluar la seguridad del c\u00f3digo desarrollado por los ingenieros de Kaspersky, sugerir mejoras e identificar riesgos potenciales para luego determinar las soluciones apropiadas.<\/p>\n

A continuaci\u00f3n, se muestra uno de los escenarios de c\u00f3mo se puede organizar dicha verificaci\u00f3n de las actualizaciones de la base de datos de amenazas:<\/p>\n

\"Uno<\/a>

Uno de los escenarios de revisi\u00f3n en tiempo real de bases de datos de amenazas<\/p><\/div>\n

Es importante enfatizar que la revisi\u00f3n de terceros puede incluir bloqueo o no, realizarse de forma regular o una vez que se acumule una masa cr\u00edtica de actualizaciones\/componentes para su revisi\u00f3n, as\u00ed como aplicarse a todos los componentes o solo a los que se elijan. La opci\u00f3n de revisi\u00f3n m\u00e1s avanzada que se propone incluye bloqueo en tiempo real, lo que permite a los revisores controlar completamente el c\u00f3digo suministrado a las m\u00e1quinas de los usuarios. Una revisi\u00f3n con bloqueo evita que cualquier c\u00f3digo se introduzca a un producto o actualizaciones (y, por lo tanto, a los clientes de Kaspersky) durante el proceso de revisi\u00f3n.<\/p>\n

Este proceso de revisi\u00f3n integral podr\u00eda mejorarse a\u00fan m\u00e1s con la firma del revisor en todas las actualizaciones suministradas a las m\u00e1quinas de los usuarios despu\u00e9s de que se haya confirmado y creado el c\u00f3digo subyacente. Esto garantiza que el c\u00f3digo no se modifique despu\u00e9s de ser revisado en tiempo real.<\/p>\n

La revisi\u00f3n propuesta no solo permite la verificaci\u00f3n en tiempo real de la seguridad del c\u00f3digo recientemente desarrollado, sino que adem\u00e1s proporciona acceso a todo el c\u00f3digo fuente, incluido su historial. Esto permite al revisor evaluar completamente el c\u00f3digo recientemente desarrollado, comprender sus cambios a lo largo del tiempo y ver c\u00f3mo interact\u00faa con otros componentes del producto.<\/p>\n

Una revisi\u00f3n de c\u00f3digo tan absoluta tambi\u00e9n ir\u00eda acompa\u00f1ada de acceso a una copia del entorno de desarrollo de software de la empresa, que refleja el que se usa en Kaspersky, incluidas las instrucciones de compilaci\u00f3n y scripts, la documentaci\u00f3n de dise\u00f1o detallada y las descripciones t\u00e9cnicas de procesos e infraestructura. Por lo tanto, el revisor en tiempo real podr\u00eda desarrollar o compilar c\u00f3digo de forma independiente y comparar binarios y\/u objetos de compilaci\u00f3n intermedios con las versiones enviadas. El revisor tambi\u00e9n podr\u00eda verificar la infraestructura de compilaci\u00f3n y el software para detectar cambios.<\/p>\n

Adem\u00e1s, se podr\u00eda proporcionar a un tercero independiente de confianza acceso a las pr\u00e1cticas de desarrollo de software de la empresa. Este an\u00e1lisis independiente tendr\u00eda como objetivo proporcionar m\u00e1s garant\u00edas de que las medidas y los procesos aplicados por Kaspersky se ajustan a las pr\u00e1cticas l\u00edderes de la industria. El acceso cubrir\u00eda toda la documentaci\u00f3n de seguridad relevante, incluida, entre otras, la definici\u00f3n de requisitos de seguridad, el modelado de amenazas, la revisi\u00f3n de c\u00f3digo, la verificaci\u00f3n de c\u00f3digo est\u00e1tico y din\u00e1mico, las pruebas de penetraci\u00f3n, etc.<\/p>\n

La conclusi\u00f3n es que, a nuestro juicio, la estrategia antes mencionada puede abordar la mayor\u00eda de los riesgos de la cadena de suministro de TIC relacionados con el desarrollo y la distribuci\u00f3n de productos de una manera eficaz y verificable. Como mencion\u00e9 anteriormente, estas son de hecho las medidas de mitigaci\u00f3n que hemos presentado en una propuesta para analizar con el Departamento de Comercio de los Estados Unidos, lo que confirma una vez m\u00e1s nuestra apertura al di\u00e1logo y la determinaci\u00f3n de proporcionar el m\u00e1ximo nivel de garant\u00edas de seguridad. Sin embargo, nuestra propuesta fue simplemente ignorada. Esto me lleva a creer que el motivo se basa en las ideas preconcebidas del Departamento de Comercio. Parece que en lugar de evaluar nuestra propuesta seg\u00fan su eficacia para abordar riesgos, se ha examinado para encontrar una excusa para rechazarla.<\/p>\n

Si bien tenemos que admitir que una vez m\u00e1s debemos lidiar con un acto de proteccionismo digital, s\u00e9 con certeza que el mundo necesita una estrategia global de gesti\u00f3n de riesgos de ciberseguridad. Es crucial poder abordar el cambiante panorama de amenazas de manera efectiva y garantizar un enfoque unificado de la gesti\u00f3n de los riesgos de ciberseguridad en los diversos \u00e1mbitos de la seguridad inform\u00e1tica. Este enfoque tambi\u00e9n podr\u00eda ayudar a evitar decisiones cortas de miras que privan a millones de usuarios de su libertad de elecci\u00f3n con respecto a una protecci\u00f3n de ciberseguridad fiable y la creaci\u00f3n de restricciones artificiales en el intercambio de datos entre los profesionales de la ciberseguridad. Permitamos que estos expertos se centren en su importante trabajo sin la carga adicional de la geopol\u00edtica, cuya influencia solo beneficia a los cibercriminales.<\/p>\n

En un mundo interconectado donde las ciberamenazas trascienden las fronteras, una estrategia global es vital para reforzar las defensas de la ciberseguridad, mejorar la confianza y promover un ecosistema digital m\u00e1s seguro. Nuestro marco abre la puerta a un debate dentro de la industria sobre c\u00f3mo deber\u00eda ser una evaluaci\u00f3n de la ciberseguridad de la cadena de suministro universal, con el objetivo final de construir un escudo de confianza s\u00f3lido y, en consecuencia, un mundo m\u00e1s seguro.<\/p>\n","protected":false},"excerpt":{"rendered":"

C\u00f3mo gestionar los riesgos de ciberseguridad a trav\u00e9s de un enfoque basado en la evidencia.<\/p>\n","protected":false},"author":13,"featured_media":30261,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,2202,2754,2019],"tags":[2736,1016],"class_list":{"0":"post-30259","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-technology","11":"tag-iniciativa-de-transparencia-global","12":"tag-kaspersky"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/managing-cybersecurity-risks\/30259\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/managing-cybersecurity-risks\/27775\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/managing-cybersecurity-risks\/23106\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/managing-cybersecurity-risks\/11987\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/managing-cybersecurity-risks\/30458\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/managing-cybersecurity-risks\/27986\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/managing-cybersecurity-risks\/27573\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/managing-cybersecurity-risks\/29135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/managing-cybersecurity-risks\/51786\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/managing-cybersecurity-risks\/22090\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/managing-cybersecurity-risks\/22846\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/managing-cybersecurity-risks\/31517\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/managing-cybersecurity-risks\/36919\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/managing-cybersecurity-risks\/29273\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/managing-cybersecurity-risks\/33919\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/managing-cybersecurity-risks\/33584\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/kaspersky\/","name":"Kaspersky"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/30259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=30259"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/30259\/revisions"}],"predecessor-version":[{"id":30265,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/30259\/revisions\/30265"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/30261"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=30259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=30259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=30259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}