¿Qué esperáis para certificaos en el ENS?
El Esquema Nacional de Seguridad (ENS) está a punto de actualizarse, tras más de diez años de haberse aprobado su creación. El texto del Proyecto de Real Decreto que va a regular el nuevo ENS incluye medidas más rígidas, por lo que se espera que la obtención del certificado sea un poco más difícil.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. Desde su creación, el Centro Criptológico Nacional ha creado 61 guías (serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad publicadas en el BOE.
Estaba claro que era preciso realizar una revisión del ENS para afrontar las nuevas amenazas, mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Además también era necesario alinearlo con el marco legal actual.
Por todo ello en mayo de 2021, el Consejo de Ministros aprobó un paquete de medidas urgentes en materia de ciberseguridad, con tres pilares básicos:
– Adoptar un Plan de Choque de Ciberseguridad.
– Actualización del Esquema Nacional de Seguridad.
– Medidas destinadas a los proveedores tecnológicos del sector público.
Recordamos que el ENS establece principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la gestión continuada de la seguridad para la administración digital, de aplicación a las entidades del sector público y de las privadas que colaboren en la prestación de servicios públicos.
“También están obligadas a cumplir el ENS
todas las empresas del sector privado
que sean dependientes o estén vinculadas
con las Administraciones públicas.”
¡También entidades privadas!
Todavía hay empresas que piensan que el ENS no va con ellas, que sólo afecta al Sector Público. Pero eso no es así. Las empresas privadas que prestan servicios o soluciones tecnológicas a la Administración pública, estarán obligadas a cumplir con el ENS.
Estamos hablando de empresas que proveen a las Administraciones Públicas de aplicaciones comerciales, desarrollo de software, servicios de soporte y mantenimiento de sistemas de información, servicios de computación en nube, etc.
Las empresas que se presenten a licitaciones públicas relativas a servicios o productos tecnológicos deberán tener el Certificado de Conformidad con el ENS en su nivel medio o alto.
Si necesitáis un poco más de información de lo que es exactamente el ENS, las 75 medidas de seguridad que recoge o los tres niveles de riesgo (medio, alto, bajo) os invitamos a leer nuestro artículo de enero de 2021 publicado en este blog.
¿Qué esperáis para certificaos en el ENS?
TECNOideas os ayuda a obtener el ENS.
Estamos especializados en certificación, tanto a nivel
de empresa privada
como del Sector Público.
De hecho, varios ayuntamientos ya nos han confiado
el desarrollo de su certificación.
No esperéis la nueva reglamentación. Adelantaos a ella obteniendo
el Certificado de Conformidad con el ENS a través de TECNOideas.
Y si no tenéis dinero, ¿sabéis que casi lo están regalando?
Os podemos ayudar a conseguir financiación, si con eso os ayudamos a obtener esta certificación, y que consigáis más clientes.
- Publicado en Certificaciones, General, Normativa, Noticias, Protección de datos
Cambios en la norma ISO 27002 para este año 2022
¡Más motivos para certificarse! Se actualiza la norma ISO 27002 que va íntimamente ligada a la certificación ISO 27001 sobre la seguridad de la información. Con ello se facilitan algunos mecanismos de control y se permite una certificación más light y barata para algunos temas concretos.
Las certificaciones son cada vez más importantes para las empresas. Entre ellas destacan las ISO, debidas a la Organización Internacional de Normalización. Su nombre en inglés, Internacional Organization for Standardization, es lo que da lugar al acrónimo ISO.
Hay muchas certificaciones ISO, pero la que afecta a nuestro sector es la ISO 27001, que es la que se encarga de gestionar la seguridad de la información en cualquier tipo de organizaciones, sean pequeñas o grandes.
La ISO 27001 nació en el año 2005. La norma se encuentra dividida en dos partes: una primera que se compone de 10 puntos y una segunda que establece los mecanismos de control, que se conoce popularmente como Anexo A.
Está íntimamente unida a la ISO 27002, que no es más que una guía de buenas prácticas para implementar la ISO 27001, que es la que se certifica. Por ello los cambios en la norma ISO 27002 para este año 2022 permiten agilizar la certificación.
La Organización Internacional de Normalización se fundó en Londres en 1947.
Desde su creación, la ISO ha ido sufriendo revisiones para adaptarse a las necesidades de cada momento. Básicamente las revisiones han facilitado las mejores prácticas en seguridad de la información. Las últimas revisiones datan del año 2013. Pero durante este tiempo ya se ha visto que la 27002 se iba quedando obsoleta. Por ello en este 2022 se ha lanzado la nueva versión ISO 27002, que, a nivel general, viene a simplificar varios aspectos. Comporta principalmente los siguientes cambios:
- Cambio de nombre: ahora la norma se denominará “Controles de Seguridad de la Información”.
- Reestructuración de los 14 dominios que había en la versión de 2013, pasándose ahora a 4 grandes temas:
– Controles Organizacionales (37 controles)
– Controles de personas (8 controles)
– Controles físicos (14 controles)
– Controles tecnológicos (34 controles) - Definición de atributos. Se redefinen los atributos como tipo de control, propiedades de seguridad de la información, capacidades operacionales, dominios de seguridad o conceptos de ciberseguridad.
En este caso se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar. - El número de controles se reduce de 114 a 93, pero incluirá controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.
- Introduce cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
Si queréis tener más información de los cambios en la norma ISO 27002 para este año 2022, os recomendamos este artículo de Segu·Info.
Ventajas
Todo esto que os puede parecer muy engorroso de leer y explicar viene a significar una serie de procesos nuevos, pero más sencillos para obtener una parte de la certificación. Como os decimos al principio, la ISO 27001 es apta para cualquier tipo de organizaciones, sean pequeñas o grandes. Pero quizá alguno de vosotros no necesita toda la certificación ISO 27001 por el trabajo que realizáis. Ahora podréis tener más fácilmente la ISO 27002 y os servirá para tener algunas ventajas competitivas y de mercado.
TECNOideas se ha especializado también en certificaciones.
Podemos ayudaros a conseguir diversas certificaciones, entre ellas la ISO 27001. Dejad que os orientemos y nos ocupemos de todo el trabajo y papeleo.
¡Contactadnos!
- Publicado en Certificaciones, General, Historia, Normativa, Noticias
Una Game Boy para robar coches
Los que tengais unos añitos recordaréis, sin duda con añoranza, la famosa Game Boy, con la que infinidad de niños y no tan niños jugaban horas y horas. Ahora los que juegan con ella (o mejor dicho con un sucedáneo de ella), son ciberdelincuentes que la utilizan para abrir coches y robarlos.
No es la primera vez que os alertamos de la pobre seguridad que ofrecen los automóviles conectados, especialmente por sus sistemas keyless, los que permiten la apertura y arranque manos libres o abrir el maletero cuando llevas un bulto para cargarlo ahí. O si lo preferís, los que han dejado de usar la tradicional llave por un dispositivo o llavero o incluso un smartphone. Una ventaja obvia para los propietarios de los automóviles, pero poco segura, si no se tiene el “aparato” securizado.
Técnicamente no es ningún secreto. Se basa en transmisores y receptores de corto alcance, ubicados en el nuevo sistema de apertura y en el propio vehículo y que, lógicamente, se comunican entre ellos.
Y sí, como os decimos, ya hemos publicado algunos artículos al respecto. El último, titulado “¿Se roban más coches por culpa de la cibertecnología?”, lo podéis leer AQUÍ.
¡Qué tiempos los del Tetris!
Vale por adelantado deciros que nuestro CEO es un romántico tecnológico y que todavía es capaz de pasarse algunas horillas jugando, cual friki, con su Super Nintendo y las aventuras de Mario Bros y por supuesto con su Game Boy, que se compró para disfrutar plenamente del juego del Tetris. No os extrañe, porque debemos recordaros que ese juego sigue siendo uno de los preferidos del público. Y que a pesar de su edad (fue lanzado en junio de 1984), goza de buena salud. En enero de 2010, por ejemplo, se anunció que se habían vendido más de 100 millones de unidades para teléfonos móviles desde 2005.
Pues bien, todo eso viene a cuento porque jugando, jugando, tres individuos británicos robaron varios automóviles simplemente simulando que jugaban con una Game Boy cerca de los coches.
que les permitió acceder al interior.
Vayamos por partes: en realidad no era una Game Boy, ya lo habréis supuesto. Entonces, ¿qué era? La historia de este caso, que no es nueva, se dio a conocer en octubre de 2021. Una empresa búlgara había diseñado un software para hacer auditorías de seguridad en automóviles. Su finalidad era ayudar a mecánicos y electricistas de vehículos a hacer su trabajo. El precio en el mercado rondaba los 23.000 euros. La pandilla de tres ladrones británicos se dieron cuenta que el aparato en cuestión cabía perfectamente en la carcasa de una Game Boy, lo que les permitió estar cerca del automóvil que querían robar tranquilamente, sin despertar sospechas. Solamente tardaban unos segundos en conseguir abrir la puerta y unos pocos más en ponerlo en marcha. De esta forma robaron varios SUV de marcas asiáticas, especialmente cinco Mitsubishi Outlanders cuyo valor ascendía a más de 220.000 euros.
El distribuidor de este software, que es un ruso, incluso realizó un vídeo para demostrar lo fácil que era usar el software. La historia terminó con la detención de los tres ladrones treintañeros por parte de la policía, que se había extrañado que en la ciudad de Leeds se robaran tantos coches de la misma marca. Si tenéis curiosidad por ver estos vídeos o leer la noticia en un medio, os invitamos a que la leíais en HackerCar, una publicación especializada en motor y ciberseguridad.
No os resignéis, hay solución y se llama TISAX
Quizá os preguntaréis el por que ahora os contamos eso si ya era un tema conocido que había saltado a los medios hace unos meses. La respuesta es fácil: estamos ya en 2022 y eso significa que según el Reglamento Europeo de Seguridad de Vehículos, a partir de este año, ningún automóvil sin el certificado de ciberseguridad se podrá comercializar. Os lo contamos también en un artículo de octubre de 2020 que podéis consultar AQUÍ.
Nuestra intención es advertiros de lo que viene y que estéis muy atentos a las nuevas reglamentaciones y a los vehículos que queréis adquirir. No todo es escoger vehículo eléctrico o de gasolina; de hidrógeno o híbrido, sino que cosas como la ciberseguridad deben estar en vuestro pensamiento en el momento de escoger.
Tampoco queremos que os asustéis. Los robos de coches siempre han estado ahí y no podíamos esperar… ¿o sí?… que los vehículos hiperconectados no iban a ser objeto del deseo de los amigos de lo ajeno. Lo que debéis saber es que las marcas de automóviles van cumpliendo las exigencias de seguridad, no sólo física de los ocupantes, sino también de las conexiones tecnológicas. Para ello se crean respuestas a estos incidentes que os narramos. Una de las mejores herramientas es la nueva normativa TISAX. Pronto os hablaremos de ella, pero os avanzamos que verifica el cumplimiento de los criterios clave de IT. Algo así, para entendernos, como una ISO 27001 aplicada al mundo del automóvil.
TECNOideas se ha especializado también en las certificaciones ISO 27001, como ya sabéis. Así que no os perdáis nuestro blog, porque pronto os hablaremos más ampliamente de TISAX, porque alguno de nuestros técnicos ya está familiarizándose con él.
Por cierto, debo deciros que nuestro CEO ha colgado la Game Boy. Ahora está en una vitrina, para deleite de los amantes de los primeros juegos que nos convirtieron en frikis tecnológicos.
- Publicado en Consultoría, General, Normativa, Seguridad
Español 
Català