¿Ya conocéis el alcance del ENS para entidades locales?
Si sois una entidad local o una empresa que trabaja con ella debéis conocer el “Prontuario de ciberseguridad para Entidades Locales” relacionada con el Esquema Nacional de Seguridad (ENS), que se acaba de actualizar.
Os hemos hablado en varias ocasiones del Esquema Nacional de Seguridad (ENS), una certificación muy necesaria para toda empresa que trabaje con la Administración. Posiblemente las entidades locales son las que tienen más empresas realizando algún tipo de servicio o de suministro para ellas. Por eso es de vital importancia conocer el prontuario de ciberseguridad que acaba de actualizar el Centro Criptológico Nacional junto a la Federación Española de Municipios y Provincias (FEMP).
Este documento tiene dos propósitos claramente definidos. Por un lado se quiere mostrar a las entidades locales (EE.LL.) y a todo su personal responsable, la realidad de las amenazas y riesgos actuales en todos los temas relacionados con el ciberespacio y la digitalización.
Por otro lado señala con claridad las garantías que ofrece el Esquema Nacional de Seguridad a las EE.LL. Debemos recordar que las EE.LL., al igual que otras Administraciones, tienen la obligación de certificarse con el ENS, ya que es la única manera de garantizar la seguridad de la información tratada, así como los servicios prestados.
Según la RAE, un prontuario es, en su primera acepción, un “resumen o breve anotación de varias cosas a fin de tenerlas presentes cuando se necesiten”. Y eso es exactamente este prontuario, que tiene 39 páginas, siete capítulos y un anexo consistente en una tabla de Funciones y Responsabilidades, tanto de los cargos electos como de los funcionarios.
A los operadores del sector privado que presten servicios o provean soluciones
a las entidades locales, se les exigirá el cumplimiento del Esquema Nacional de Seguridad.
Para ello deberán exhibir la DECLARACIÓN DE CONFORMIDAD
con el ENS, cuando se trate de sistemas de categoría BÁSICA, o la
CERTIFICACIÓN DE CONFORMIDAD cuando se trate de categorías MEDIA o ALTA.
Los principales capítulos son:
- Objeto del documento. Se explica el doble propósito que hemos mencionado en el párrafo anterior.
- La problemática de la ciberseguridad local. Se explica que la reducción presupuestaria de las EE.LL. y se demanda a los responsables locales encontrar formas innovadoras de garantizar la sostenibilidad de sus servicios. Se destaca también que “la ciberseguridad es vital para garantizar que los ciudadanos confíen en los Ayuntamientos cuando les remitan sus datos.”
Finalmente se añade una lista con las principales amenazas, con una breve descripción de cada una de ellas. - El cumplimiento del Esquema Nacional de Seguridad en las EE.LL. En este capítulo se recuerda que el objeto del ENS es determinar la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos por parte de las entidades del sector público.
- Los responsables públicos y la ciberseguridad. Es el capítulo más extenso. Se determinan las funciones y responsabilidades de todos los integrantes de las corporaciones locales.
- La prestación de servicios externos. Este capítulo es muy importante para las empresas del sector privado que presten servicios o provean soluciones a las entidades locales.
Tenéis más información sobre este tema en la Guía de Seguridad CCN-STIC 830 y también
en la Guía de Seguridad CCN-STIC IC-01/19.
Podéis acceder al documento “Prontuario de ciberseguridad para EE.LL.” AQUÍ.
TECNOideas cuenta entre sus servicios la posibilidad de que las empresas y entes locales
puedan certificarse en el Esquema Nacional de Seguridad.
Para ello contamos con experto personal técnico y jurídico. En 2022 ya hemos acompañado a diversas entidades locales en su proceso de certificación del ENS.
Además, ofrecemos la opción de la doble certificación
en sistemas de seguridad de la información: ENS + ISO 27001.
Imagen principal: Imagen Oberholster Venita en Pixabay
- Published in Certificaciones, General, Normativa, Noticias, Seguridad
Armonizada la ciberseguridad europea con el NIS-2
Ya está aquí. Poco a poco Bruselas va extendiendo su mano en cuestiones de ciberseguridad y ahora llega al cenit con la aprobación de la Directiva NIS-2, que mejora la resiliencia y la capacidad de respuesta ante ciberincidentes en toda la Unión Europea. De esta forma, quedará armonizada la ciberseguridad europea con el NIS-2.
Hay que remontarse al 6 de julio de 2016, fecha en la que entró en vigor la Directiva 2016/1148 del Parlamento Europeo y del Consejo sobre las medidas que garantizaban un nivel común de seguridad de las redes y sistemas de la información. Esta instrucción fue conocida con el nombre de Directiva NIS, del inglés Network and Information Security.
Pero debido a la rapidez con que se desarrolla la técnica y el ingenio de los ciberdelincuentes, pronto se empezó a trabajar en una actualización y ampliación, que se la ha bautizado, con una increíble creatividad, como NIS-2. El Parlamento Europeo la aprobó por amplia mayoría en mayo de este año y aunque todavía falta que el Consejo Europeo (el gobierno de los países de la UE) la apruebe, se espera que entre en vigor en 2023. Por supuesto que la nueva normativa se integra totalmente en la amplia legislación que Bruselas ha ido creando sobre el tema, especialmente el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER).
Un marco normativo común
Lo más llamativo de la Directiva es que pretende garantizar un nivel elevado de protección y mejorar la resiliencia en todos los Estados de la Unión. Y es que Bruselas reconoce que en muchos ámbitos no existe una cultura de aplicación de la ciberseguridad y la poca coordinación entre Estados lleva a una falta de respuestas comunes.
Destacamos los siguientes puntos de la NIS-2.
- Será obligada la notificación en los diferentes sectores que cubre: energía, transporte, sanidad e infraestructura digital.
- Creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.
- Se amplían y aclaran algunos conceptos, como “entidades esenciales” o “sectores críticos” y se introducen los “sectores importantes”, como por ejemplo gestión de residuos; sector aeroespacial; producción, transformación y distribución de alimentos; fabricantes y proveedores de servicios digitales; servicios postales de mensajería y la fabricación, producción y distribución de sustancias y mezclas químicas.
- La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como “importantes” en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, vehículos y aparatos digitales, etc.
- Quedan excluídos del ámbito de aplicación de la Directiva la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales.
- Se va a promover la cooperación público-privada a través de los ppp (Public – Private – Partnerships). Para ello se van a desarrollar asociaciones público-privadas especializadas en ciberseguridad.
- Se preocupará de la seguridad de las cadenas de suministro así como las relaciones con los proveedores. Para ello se va a permitir a las empresas exigir a sus proveedores el cumplimiento de la normativa en caso de ser operadores críticos.
- La responsabilidad recaerá sobre la dirección de la empresa, ya que deberá preocuparse de cumplir las medidas de gestión de riesgos de ciberseguridad.
- Se podrá sancionar. Las amonestaciones, instrucciones y multas podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
- Nacen nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo. Se impone la privacidad por defecto y desde diseño, la respuesta a incidentes y gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad de acuerdo con normativa comunitaria, o el tratamiento y divulgación de vulnerabilidades.
- En muchos casos se deberán crear nuevos departamentos y/o procesos internos para cumplir los requisitos de la Directiva, así como la selección de perfiles con capacidades digitales para cumplir estos requisitos, todo ello colaborando con entidades esenciales e importantes.
Podéis leer un extracto de la norma en esta web del Parlamento Europeo AQUÍ.
Y también podéis leer la Directiva al completo, en castellano, AQUÍ.
Como es habitual, los estados contarán con 21 meses para trasponer la nueva norma a su legislación nacional. Como podéis ver muchas empresas tendrán que adaptarse a esta normativa y además, en muchos casos, deberán contar también con certificaciones. Por ejemplo, en España será necesario que tengan el certificado del Esquema Nacional de Seguridad (ENS).
Es justo señalar que muchos de estos servicios para empresas ya los esta ofreciendo TECNOideas, como es el caso del CISO Extern o el de las certificaciones como el CISO.
Imagen principal: S. Hermann / F. Richter en Pixabay
- Published in Certificaciones, CISO, General, Normativa, Noticias
La nueva ISO 27032 es un estándar de ciberseguridad
Ya se ha hecho pública la nueva versión de la norma ISO 27032, que se convierte en la más específica certificación sobre ciberseguridad. Se trata de una nueva oportunidad para que las empresas demuestren a sus clientes que cumplen con la ley y las diferentes normativas. Y además que son sensibles a los problemas de ciberseguridad, protegiendo y preservando la confidencialidad, integridad y disponibilidad de la información.
Llevamos mucho tiempo insistiendo en la necesidad de que las empresas se certifiquen en los estándares de las tecnologías de la información y os hemos hablado a menudo de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Pero hoy queremos hablaros de la ISO/IEC 27032, porque es un nuevo estándar concreto de ciberseguridad.
La ISO 27032 nació en el año 2012 con el objetivo de mejorar el estado de la ciberseguridad o lo que entonces se llamó “la seguridad del ciberespacio”. Se entendía el ciberespacio como “el entorno complejo resultante de la interacción de personas, software y servicios en Internet por medio de dispositivos tecnológicos y redes conectadas a él, que no existe en cualquier forma física”. Por su parte la RAE lo define como “Ámbito virtual creado por medios informáticos”. Y por lo tanto la seguridad del ciberespacio es “la preservación de la confidencialidad, integridad y disponibilidad de la información en el Ciberespacio”.
Podéis ver un artículo sobre la nueva norma en la web del Centro Criptológico Nacional AQUÍ.
La nueva ISO 27032 es un estándar de ciberseguridad
Desde hace un tiempo la Organización Internacional de Normalización estaba trabajando en una nueva versión de esta norma y ahora finalmente se ha presentado. Entre las novedades más destacadas se encuentra el cubrir los espacios que hasta ahora no quedaban encuadrados en anteriores normas de seguridad de la información. También es importante señalar que la empresa que se va a certificar debe ser muy proactiva en las medidas de seguridad y en los mecanismos de prevención.
Con la ISO 27032 se pretende garantizar la seguridad en los intercambios de información en la red con este nuevo estándar, que puede ayudar a combatir el cibercrimen con cooperación y coordinación. La certificación proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros todos los procesos.
Una vez más debemos recomendar a las empresas que consideren el certificarse, porque la ISO 27032 ayuda a prepararse, detectar, monitorizar y responder a los ataques. Al mismo tiempo permite luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
¿Cómo es la certificación?
TECNOideas puede ayudar a certificaros, como en el caso de la ISO 27001 y del Esquema Nacional de Seguridad. Con el método TECNOideas os será sencillo el trabajo a realizar porque os acompañamos de principio a fin.
La certificación engloba cuatro partes:
- Seguridad de las redes
- Seguridad de la información
- Seguridad en internet
- Protección de las infraestructuras críticas
A partir de ahí, trabajamos con nuestro cliente para revisar los productos y servicios que posee, el marco normativo, su documentación de seguridad, los flujos de información de los procesos, etc. con el fin de llegar al análisis de riesgos.
Sobre ellos establecemos el plan de acción, según las directrices que marca la ISO 27032. Naturalmente, este plan supone la implicación de los diferentes departamentos de la empresa.
En la web de la Organización Internacional para la Estandarización tenéis toda la información sobre esta norma desde sus inicios en 2012, la información general, etc. AQUÍ.
Precisamente la semana pasada publicamos un artículo sobre la necesidad que tienen de certificarse los Centros de Procesos de Datos (CPD). Y es que las certificaciones son necesarias para grandes y pequeñas empresas y por supuesto para los CPD’s, que si no pueden acreditar que cumplen los estándares exigidos, se van a quedar sin clientes.
Esta certificación, como las anteriormente citadas, son de gran ayuda en el modelo de negocio de las empresas que la obtienen porque:
- Asegura el cumplimiento de la ley y las normativas.
- Ofrecen seguridad y seriedad a sus clientes.
- Certifican el buen uso de los datos que sus clientes les confían.
- Ordenan internamente los distintos departamentos en temas de ciberseguridad.
- Ofrecen formación personalizada (según las necesidades de cada departamento) a todo el personal.
- Es una importante ventaja frente a la competencia.
¡Podéis obtener la certificación ISO 27032
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: mcmurryjulie en Pixabay
- Published in Certificaciones, General, Normativa, Noticias, Seguridad
Ha llegado la hora de los CPD’s: certificarse o morir
Los Centros de Procesos de Datos (CPD) han ido cogiendo protagonismo poco a poco, con la moda de servicios CLOUD. En la actualidad esto se ha acelerado de tal modo que ya conforman uno de los sectores de mayor crecimiento tras la pandemia. Pero muchos de ellos tienen un grave problema: no poseen las certificaciones necesarias. Particularmente no poseen la ISO 27001 ni el Esquema Nacional de Seguridad (ENS), lo que los deja en fuera de juego, con los clientes o posibles clientes que tengan que cumplir en cadena.
Un centro de datos es una instalación que alberga todas las estructuras básicas e infraestructuras de tecnología de la información (TI) de una organización. Hablamos de servidores, equipamiento eléctrico, electrónico e informático. También se encarga de centralizar las operaciones de TI realizadas. Por ejemplo tener acceso a la información de todos los datos de sus clientes y las operaciones que realizan. Por ello es una estructura básica para cualquier empresa, sea pública o privada.
En un principio, las empresas tenían sus propias instalaciones, pero con el tiempo, los problemas de ciberseguridad, legislativos, económicos o de espacio ha ido obligando a las empresas a renunciar a su propia instalación para alojar todas sus operaciones en CPD’s. Y esto es válido para empresas grandes, medianas o pequeñas. De este modo los CPD’s también han crecido y actualmente se pueden encontrar desde centros en pequeños espacios hasta grandes centros que ocupan edificios enteros.
Podéis leer más información (también técnica) sobre los CPD’s en la Wikipedia o en un artículo algo antiguo y básico del Incibe pero muy claro y esquemático AQUÍ.
Quin és el problema?
Desde su origen los CPD’s estaban obligados a seguir una serie de estándares muy variados. Entre ellos podríamos citar los geográficos (no pueden estar en lugares potencialmente inundables, por ejemplo); técnicos (deben tener infraestructuras fácilmente disponibles como energía eléctrica, carreteras, centrales de telecomunicaciones o bomberos); seguridad física (cámaras de seguridad, detectores de movimiento, cerraduras electromagnéticas, etc.); seguridad lógica de la propia instalación (medidas de protección y/o alertas ante caídas de tensión, desastres naturales, incendios, accesos no autorizados…).
Y esto que comentamos no es banal. Lo podemos comprobar en nuestro día a día. Últimamente son varios los clientes que nos llegan por circunstancias de este sector. Ya no es solo porque tengan que cumplir leyes en protección de datos, sino que tienen clientes, y posibles clientes que han de cumplir con la “rueda” o cadena normativa.
Dicho de otra manera: si una empresa quiere o debe certificarse en el Esquema Nacional de Seguridad va a exigir que sus proveedores, al menos los que afectan a la certificación, y por lo tanto, datos, que también estén certificados. Y esto es válido para el ENS, la ISO 27001 y otras del estilo.
El problema es que estos estándares ya no bastan, porque el mercado y la legislación obliga a que estos centros tengan una certificación dentro del área de la seguridad de la información. Particularmente hablamos de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Los CPD’s que no dispongan de estas certificaciones quedarán automáticamente fuera de las necesidades del mercado, porque muchos de sus clientes se ven obligados a cumplir la cadena normativa. Así que no exageramos nada cuando decimos que a llegado la hora de los CPD’s: certificarse o morir
Para las empresas es fundamental, porque si a la seguridad que ofrece un CPD se le añade haber seguido el proceso de una certificación (recordamos que no solo es burocracia), está incorporando competitividad, diferenciarse de la competencia y en consecuencia, más negocio.
Os recordamos que la certificación es un paso más en todo este proceso. Si pensáis que con un CPD todo está resuelto para vuestra empresa, dejad que os recordemos este artículo publicado en este blog titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
Y es que todo el tema relacionado con los datos es un tema muy serio. Al contrario de lo que suele pensarse, no solo es un proceso burocrático a cumplir, como estamos viendo en muchos casos de protección de datos en nuestros clientes. Pero de eso, ya hablaremos otro día…
¡Podéis obtener estas certificaciones
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: evertonpestana en Pixabay
- Published in Certificaciones, General, Mantenimiento, Normativa, Noticias, Seguridad
La UE quiere que los dispositivos sean más ciberseguros
Adquirir teléfonos móviles, televisores, cámaras o frigoríficos que sean ciberseguros es lo que pretende la nueva normativa común que está preparando la Unión Europea. Se busca que todos los consumidores estén protegidos al adquirir un dispositivo electrónico. La responsabilidad será de los fabricantes y durará toda la vida útil de los aparatos.
Hace ya tiempo que se trabaja en esta nueva normativa, anunciada en septiembre de 2021. La novedad más interesante de la propuesta la encontramos en que la responsabilidad de los fabricantes no se circunscribirá al momento de la compra, sino que se deberá mantener durante toda la vida de los dispositivos.
La norma forma parte de la Estrategia de Ciberseguridad Europea y antes de que se convierta en ley aun tendrá que superar diversas etapas, que pueden durar años. La maquinaria europea no solo es lenta, sino que también es pesada. Pero no debemos menospreciarla por eso. Muy al contrario, lo que pretende es que los particulares y empresas dispongan de toda la información posible sobre la ciberseguridad de los dispositivos que se adquieran. Y va a tener un efecto importante en la industria, donde el IoT o Internet de las cosas afecta a dispositivos de muy larga vida.
El tema es importante, porque muchos de los ciberataques con ransomware en empresas comienzan precisamente a través de estos dispositivos. Y la Comisión Europea asegura que cada 11 segundos se produce un ataque de ransomware a una organización de cualquier parte del mundo. El coste de ello se eleva a 5,5 billones de euros.
Hace unos pocos meses ya publicamos el artículo “Ciberseguridad a golpe de ley” en el que explicábamos que la Comisión Europea había decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Y lo hizo mediante la Ley de Resiliencia Cibernética.
Y ahora la Comisión da un paso más, interesándose por los dispositivos que más afectan al ciudadano de a pie. Podéis leer el documento en la web de la Comisión Europea AQUÍ. Pero si preferís un documento más asequible, os invitamos a enlazar ESTE ARTÍCULO de la web CyberSecurity News, como sabéis una revista líder en cibereguridad.
Imagen de OpenClipart-Vectors en Pixabay
En este contexto legal hay que recordar el interés creciente de la Unión Europea por todos los temas de ciberseguridad. Ya en diciembre de 2020 el portal de administración electrónica del Gobierno publicó un artículo con el título “La nueva Estrategia de Ciberseguridad de la UE”. Y podéis acceder a la resolución del Parlamento Europeo del 10 de junio de 2021 sobre la Estrategia de Ciberseguridad de la UE para la década digital AQUÍ.
También podéis leer un artículo sobre la directiva de los dispositivos inalámbricos publicado este año en la web de la Oficina de Seguridad del Internauta.
Nosotros no cesamos de repetiros que seáis cautos y toméis medidas para evitar en lo posible este tipo de acciones. En este blog de TECNOideas ya publicamos el año pasado el artículo “Ciberseguridad en dispositivos móviles” donde explicábamos el peligro que pueden representar si no actuamos con diligencia.
Y hoy os recordamos tres de las más sencillas y esenciales medidas de seguridad:
- Actualizar los programas. Las actualizaciones, que nos parecen tan pesadas, suelen llevar potentes herramientas de seguridad.
- Proteger las cuentas. No basta con proteger los dispositivos. Proteged vuestras cuentas con contraseñas seguras (más largas y complicadas, cambiarlas a menudo, etc.).
- Haced copias de seguridad de los datos importantes.
- Published in Ataques / Incidencias, General, Normativa, Noticias, Seguridad
¡Esos malditos algoritmos!
Hay palabras que a duras penas sabemos lo que significan, pero están en boca de todos. Una de las más usadas con el desarrollo de la tecnología es “algoritmo”. Y es que gobiernan totalmente nuestra vida sin que ni siquera seamos conscientes de ello. Pero… ¿qué pasa con los sistemas algorítimicos que utiliza la Administración? ¿Todo lo que averiguan de nosotros es legal? ¿Cumplen la ley?
La Real Academia Española, en su primera acepción, define algoritmo como “Conjunto ordenado y finito de operaciones que permite hallar la solución a un problema”.
Aunque la definición, lógicamente, es correcta, en los sistemas informáticos las cosas no son tan sencillas. Basta con intentar saber como actúa y posiciona el famoso “algoritmo de Google” para que nos demos cuenta de lo complejo que puede llegar a ser. En la actualidad los algoritmos gobiernan las redes sociales, los portales informáticos, las Apps, los smartphones, las puntuaciones de los videojuegos o el averigüar los asientos libres de un avión o tren al comprar un billete. Y claro, por todo ello, hay muchas familias de algoritmos. Tenéis mucha información sobre lo que es un algoritmo en la Wikipedia.
Los algoritmos de la Administración
Suele decirse que los datos son el petróleo del siglo XXI. Además de Google, seguramente quien maneja más datos de ciudadanos es la Administración. Quizá por ello y para que el manejo de esos datos fuera el adecuado, se creó el Esquema Nacional de Seguridad. A pesar de ello, pocas administraciones se han certificado, pero en la actualidad se exige a las empresas que trabajen con datos de la Administración, como podéis ver en este artículo.
No suele hablarse mucho de ello, pero las diferentes administraciones también usan, lógicamente, algoritmos. Y la Fundación Éticas, que se ocupa de la defensa de los derechos digitales, a través de su Observatorio de Algoritmos con Impacto Social (OASI), se ha ocupado de investigar los sistemas algorítmicos utilizados por distintos organismos públicos.
Así descubrimos VioGén, un sistema que detecta el riesgo de reincidencia de agresores en casos de violencia de género; Riscanvi, usado en Cataluña para calcular la probabilidad que tiene un preso en libertad de voler a reincidir o VERIPOL, que se encarga de detectar denuncias falsas.
Pero hay muchos más, que afectan a todos los ciudadanos, como es el caso de la identificación facial o el de los servicios sociales, que clasifican a las personas según sus necesidades o urgencias.
También hemos conocido que el chatbox de la Seguridad Social es ISSA, y parece que deja bastante que desear. BOSCO regula el bono social. En el ámbito laboral, los que están en búsqueda de empleo deben saber que existe el algoritmo SEND@.
Podéis leer un artículo sobre todos estos ejemplos en la web ZonaMovilidad.es un portal especializado en tecnología móvil del que ya hemos hablado en otras ocasiones. Y en la zona del OASI de la web de l a Fundación Éticas tenéis un listado de un centenar de algoritmos de diversos países con la explicación de su uso y por parte de quien.
¿Están fuera de la ley los algoritmos que usa la Administración?
Lógicamente hemos querido ir un poco más allá para ver si todos estos algoritmos cumplen la ley. Y para ello le hemos pedido a Inma Barrufet, abogada especializada en Tecnologias de la Información y la Comunicación y colaboradora habitual de TECNOideas que nos de su opinión. A continuación podeís leer sus comentarios.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula las relaciones entre los propios órganos de la Administración pública. Entiéndase por organismo público cualquier institución que esté participada por capital público, desde un Ayuntamiento, pasando por organismos públicos hasta sociedades participadas de capital público. Dicha normativa regula la interoperabilidad y cooperación entre las propias administraciones públicas, sometidas a los siguientes principios:
- Lealtad institucional.
- Adecuación al orden de distribución de competencias establecido en la Constitución y en los Estatutos de Autonomía y en la normativa del régimen local.
- Colaboración: deber de actuar con el resto de Administraciones públicas para el logro de fines comunes.
- Cooperación: cuando dos o más Administraciones publicas, asumen compromisos en aras de una acción común.
- Coordinación: cuando una Administración pública y, singularmente, la Administración General del Estado, tiene la obligación de garantizar la coherencia de las actuaciones de las diferentes Administraciones públicas afectadas por una misma materia para la consecución de un resultado común, cuando así lo prevé la Constitución y el resto del ordenamiento jurídico.
- Eficiencia en la gestión de los recursos públicos, compartiendo el uso de recursos comunes, salvo que no resulte posible o se justifique en términos de su mejor aprovechamiento.
- Responsabilidad de cada Administración pública en el cumplimiento de sus obligaciones y compromisos.
- Garantía e igualdad en el ejercicio de los derechos de todos los ciudadanos en sus relaciones con las diferentes Administraciones.
- Solidaridad interterritorial de acuerdo con la Constitución.
Las Administraciones públicas tienen ingentes masas de datos de sus administrados y necesitan darles un uso práctico para obtener el máximo de información del contribuyente. Para ello, se han hecho acopio de la tecnología de inteligencia artificial, el big data y algoritmos muy tecnificados que entran en tromba en la privacidad de las personas y la confidencialidad de las comunicaciones. Hemos de tener en cuenta que en un mundo global como el actual, los datos solo deben usarse para fines legítimos y con expreso consentimiento de su propietario.
Los chatbots del internet de las cosas (IoT) automatizan las respuestas a las preguntas de los ciudadanos. Con un sencillo software reconocen a los individuos por sus rasgos personales, se canalizan los estados de ánimo, la ansiedad, la alegría, la depresión… Pasando por el reconocimiento facial y biométrico de las personas, en nombre de la más estricta seguridad de los ciudadanos.
Con el fin de mejorar las comunicaciones electrónicas, la seguridad de los pagos y la supuesta integridad de todo este mapa tecnológico se deja a un lado y se olvidan plenamente los derechos individuales de las personas, lo más preciado que se tiene como ser humano: la privacidad, el derecho a la intimidad y al secreto de las comunicaciones, conceptos consagrados en nuestra Constitución.
Si como sociedad estamos dispuestos a sacrificar la intimidad personal por una supuesta seguridad legal y física, entonces adelante. Pero en el momento que tal sacrificio solo se canaliza por el beneficio de unos pocos en detrimento del propio individuo, es cuando se debería hacer un parón en el camino para poner negro sobre blanco el detrimento de la más estricta intimidad personal por un falso avance social.
Existe un gran conflicto entre la recopilación de datos masivos y la privacidad. Por un lado se quiere y se necesita avanzar para no impedir el desarrollo tecnológico, que dicho sea de paso, nos aporta muchos beneficios. Pero por otro lado, con menos datos existe menos pérdida de privacidad. Es necesario investigar más profundamente salvaguardas legales que anonimicen datos estructurados que protejan al ciudadano.
Como habréis observado, no nos queda otra que exclamar ¡Esos malditos algoritmos! Pero el margen de maniobra que nos queda es prácticamente cero, cuando la Administración obliga a que cantidad de trámites se hagan online. En consecuencia todos nuestros datos pasan a estar en una nube sideral, muy dificilmente accesible a la ciudadanía. Hemos de ser conscientes que muchas decisiones importantes de nuestra vida de administrados dependen de unos algoritmos que deciden lo que las distintas Administraciones públicas van a hacer con nuestros trámites y peticiones.
Imagen principal: Gerd Altmann en Pixabay
- Published in Consultoría, Estudios, General, Normativa, Noticias, Privacidad, Seguridad, Tecnología
Aumento de litigios por problemas en la protección de datos y ciberseguridad
Se ha publicado recientemente en el BOE el nuevo Esquema Nacional de Seguridad (ENS), una certificación necesaria para toda empresa que trabaje con la Administración.
La nueva regulación se adapta a las diferentes leyes estatales y europeas e incide en el papel de los CISO. ¿Y dónde queda el papel del delegado de protección de datos (DPD)?
¿Qué es un CISO?
Es la persona encargada de la seguridad de los sistemas de la información. La ley obliga, en determinados casos, a tener esta figura en plantilla, siendo un activo muy valioso, que debe integrarse dentro de la estructura y organigrama de la empresa, a alto nivel.
Tiene que organizar la ciberseguridad de la compañía y es el responsable máximo del tema, así como el interlocutor con la Administración, incluidos los trámites cuando hay un percance.
No hay que olvidar que cualquier empresa, pequeña o grande, de cualquier sector, tiene una gran exposición de sus activos. Si estos no se protegen, puede llevar a la pérdida de partes valiosas de la empresa y, por supuesto, puede afectar a la continuidad del negocio.
Quin és el problema?
La realidad del CISO no se corresponde con lo expuesto. ¿Cuenta con los recursos necesarios? ¿Se recorta su presupuesto desde áreas como dirección o finanzas, que poco saben de ciberseguridad? ¿Es un cabeza de turco? ¿Tiene que estar siempre en alerta? ¿Sufre burnout? Son muchos los problemas que puede tener un CISO, como podéis ver en este artículo publicado en nuestro blog. Quizá por todo ello, se permite que el CISO pueda ser externo a la empresa o incluso que forme parte de otra compañía de servicios de ciberseguridad.
Casos reales. ¿Es el CISO siempre el responsable?
Os explicamos a continuación un par de casos reales, de problemas con mayúsculas de dos empresas muy conocidas y con implantación global.
• CISO de SolarWinds.
SolarWinds es una empresa estadounidense con sede en Austin (Texas) y que desarrolla software para empresas. Unos piratas informáticos llevaron a cabo un ataque a la cadena de suministro a través de SolarWinds y violaron las redes de varios departamentos del gobierno de EE.UU., incluida la agencia a cargo del arsenal de armas nucleares del país. Todo eso como parte de una campaña mundial de ciberespionaje de meses de duración revelada en diciembre de 2020. Parece el caso más claro de “cabeza de turco”, por la resonancia que tuvo el caso, y porque le acusaron de negligencia. Resultado: lo demandaron por nada más y nada menos que 1.500 millones de dólares.
• CISO de UBER.
Este caso es diametralmente opuesto al anterior. Encubrió un posible pago de ransomware. Recordamos que pagar a ciberdelincuentes es delito. Y a este delito abría que añadir que si había sido negligente en su cargo, doble error.
Acabamos dejando claro el concepto de NEGLIGENCIA. Según la Real Academia Española es:
1. f. Descuido, falta de cuidado.
2. f. Falta de aplicación.
Conocer la legalidad
Como podéis ver, y siguiendo nuestro título de hoy, Aumento de litigios por problemas en la protección de datos y ciberseguridad las leyes cobran un protagonismo esencial. Por eso nos pusimos en contacto con uno de los despachos profesionales más especializado en Derecho Tecnológico: Tecnogados, con el que colaboramos asiduamente. Y les pedimos que nos explicaran su visión de estos temas. Y el resultado es este post compartido que estáis leyendo. Como venimos de casos reales, retoman el tema con un caso real vivido directamente.
En Tecnogados estuvimos muy atentos a la resolución de la Agencia Española de Protección de Datos, la nº E/09159/2020, respecto a la brecha de privacidad que sufrió la empresa Mapfre.
En dicha resolución, se puede leer la actuación de la compañía en relación al ataque que sufrió por la infección de un ransomware, y como la empresa una vez puesta la denuncia pertinente, comunico los hechos al INCIBE y CCN-CERT, así como publicó lo acaecido en su web y redes sociales.
De las actuaciones llevadas a cabo pudimos ver como la empresa, una vez detectado el virus, realizó una búsqueda en la web de VirusTotal y como en esa fecha el malware también era indetectable.
Mapfre también obtuvo las evidencias forenses necesarias para detectar el origen de la infección, con el fin de evitar posibles reinfecciones.
En relación a las medidas proactivas que tenía implementadas, consta que la compañía estaba suscrita a un código de conducta en materia de protección de datos y contaba con un plan de contingencia. El conjunto de actuaciones, como no pudo ser de otra manera, acabo con el archivo del expediente.
¿Y qué queremos haceros ver con todo esto? Pues que el trabajo en materia de ciberseguridad (CISO) va unido de la mano al del delegado de protección de datos (DPD). Donde el primero dice que medidas técnicas aplicar y, el segundo, que información proteger respecto a datos personales o potencialmente identificables.
Ambas figuras CISO y DPD también deberían tener una obligada colaboración, respecto a que medidas implementar en ciberseguridad y privacidad, desde el diseño y por defecto, donde la anticipación y la proactividad sean un valor para garantizar el cumplimiento normativo y así cumplir con el Reglamento Europeo de Protección de Datos, en relación a principios como la minimización de información para cumplir la finalidad del tratamiento o implementar medidas que permitan cumplir efectivamente el ciclo de vida del dato y el efectivo ejercicio del derecho de supresión del interesado.
Respecto al ENS y en relación al perfil de nuestros lectores, aquí cabría traer a colación que pasa con aquellas pymes que trabajan para la Administración, sobre todo en dos aspectos.
Primero, que requisitos tienen que cumplir estas empresas con relación al trabajo que llevan a cabo a entidades públicas y que medidas tiene que aplicar.
En este sentido, sería interesante que la Autoridad pertinente estandarizará procedimientos de cumplimiento para que cualquier proveedor de servicios de la Administración supiese que medidas tiene que aplicar.
Pero, en segundo lugar, también sería interesante para los entes públicos, el saber que requisitos tendrían que sacar en sus concursos, para que el candidato pueda garantizar un nivel óptimo de cumplimiento en materias como la ciberseguridad y la privacidad y que estos pudieran ser un factor determinante para la adjudicación del trabajo.
Por último, indicar que teniendo que ser el CISO y el DPD personas distintas dentro de la organización conforme al ENS, su labor, sin embargo, es totalmente complementaria donde, por un lado, uno aporta el conocimiento técnico y el otro garantiza el cumplimiento normativo.
Imagen principal: Pete Linforth en Pixabay
- Published in Ataques / Incidencias, CISO, Consultoría, Formació, Historia, Normativa, Noticias, Protección de datos, Seguridad
Hoy es el CISO Day 2022
Posiblemente no exista una figura más relevante en el mundo empresarial relacionado con la ciberseguridad que el CISO, o persona encargada de la seguridad de los sistemas de la información. Por ello nos parece más que justificada la iniciativa de dedicarle un evento. Así nació el CISO Day, que en pocos años ya ha pasado a ser el mayor evento de España en torno a la figura del CISO.
En tan solo cuatro años este evento ha alcanzado una notoriedad muy merecida. Basta mirar los temas a tratar en la presente edición para corroborarlo: estrategia, ciberinteligencia, hacking, ciberseguridad o ciberinnovación.
La iniciativa de organizar un CISO Day la tuvo CyberSecurity News, el mayor medio de comunicación especializado en el sector de la ciberseguridad en España. Y naturalmente sigue siendo el organizador del evento. Eso sí, cuenta con el apoyo institucional del Centro Criptológico Nacional y los necesarios patrocinadores.
El CISO Day 2022 se celebra en los Cines Palacio de Hielo de Madrid y cuenta con dos salas. El congreso tiene un formato híbrido, presencial por un lado y virtual por otro. La buena noticia es que se puede seguir en directo a través del canal de YouTube de CyberSecurity News. Aun así hay que comprar la entrada. En la web del certamen, www.cisoday.es, tenéis el programa completo, los ponentes y todo lo relacionado con la jornada, que comienza a las 9.15 con la bienvenida a cargo de Vicente Ramírez, redactor jefe de CyberSecurity News y creador del CISO Day.
TECNOideas puede ser vuestro CISO Externo
Os queremos recordar que la figura del CISO es esencial. Tanto es así que la ley 43/2021 especifica que las empresas de ciertos sectores estratégicos, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Tenéis toda la información sobre la ley, los sectores definidos como estratégicos en el anexo de la norma y las opciones que os ofrecemos en el apartado Normativa/Compliance de nuestra web.
El trabajo del CISO es verdaderamente indispensable y poco tiene que ver con el que realiza un informático. Sin embargo es también muy estresante y dado el nivel que se le exige, implica una remuneración elevada, que muchas empresas ne se pueden permitir. Quizá por todo ello la propia ley también reconoce la posibilidad que el CISO sea externo. Y ahí es donde TECNOideas os puede ayudar.
Para entenderlo mejor, os invitamos a leer un par de artículos publicados en este blog. En el primero de ellos, explicamos detenidamente las funciones que debe tener un CISO.
En el segundo os explicamos la problemática que están teniendo los CISO en todo el mundo, como por ejemplo el burnout y por eso lo titulamos 5 motivos para preferir un CISO externo en ciberseguridad.
¡Que disfrutéis del día!
- Published in CISO, Congresos, Evento, General, Medios de comunicación, Normativa, Noticias, Seguridad, Serveis, Sobre TECNOideas
¿Qué esperáis para certificaos en el ENS?
El Esquema Nacional de Seguridad (ENS) está a punto de actualizarse, tras más de diez años de haberse aprobado su creación. El texto del Proyecto de Real Decreto que va a regular el nuevo ENS incluye medidas más rígidas, por lo que se espera que la obtención del certificado sea un poco más difícil.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. Desde su creación, el Centro Criptológico Nacional ha creado 61 guías (serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad publicadas en el BOE.
Estaba claro que era preciso realizar una revisión del ENS para afrontar las nuevas amenazas, mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Además también era necesario alinearlo con el marco legal actual.
Por todo ello en mayo de 2021, el Consejo de Ministros aprobó un paquete de medidas urgentes en materia de ciberseguridad, con tres pilares básicos:
– Adoptar un Plan de Choque de Ciberseguridad.
– Actualización del Esquema Nacional de Seguridad.
– Medidas destinadas a los proveedores tecnológicos del sector público.
Recordamos que el ENS establece principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la gestión continuada de la seguridad para la administración digital, de aplicación a las entidades del sector público y de las privadas que colaboren en la prestación de servicios públicos.
“También están obligadas a cumplir el ENS
todas las empresas del sector privado
que sean dependientes o estén vinculadas
con las Administraciones públicas.”
¡También entidades privadas!
Todavía hay empresas que piensan que el ENS no va con ellas, que sólo afecta al Sector Público. Pero eso no es así. Las empresas privadas que prestan servicios o soluciones tecnológicas a la Administración pública, estarán obligadas a cumplir con el ENS.
Estamos hablando de empresas que proveen a las Administraciones Públicas de aplicaciones comerciales, desarrollo de software, servicios de soporte y mantenimiento de sistemas de información, servicios de computación en nube, etc.
Las empresas que se presenten a licitaciones públicas relativas a servicios o productos tecnológicos deberán tener el Certificado de Conformidad con el ENS en su nivel medio o alto.
Si necesitáis un poco más de información de lo que es exactamente el ENS, las 75 medidas de seguridad que recoge o los tres niveles de riesgo (medio, alto, bajo) os invitamos a leer nuestro artículo de enero de 2021 publicado en este blog.
¿Qué esperáis para certificaos en el ENS?
TECNOideas os ayuda a obtener el ENS.
Estamos especializados en certificación, tanto a nivel
de empresa privada
como del Sector Público.
De hecho, varios ayuntamientos ya nos han confiado
el desarrollo de su certificación.
No esperéis la nueva reglamentación. Adelantaos a ella obteniendo
el Certificado de Conformidad con el ENS a través de TECNOideas.
Y si no tenéis dinero, ¿sabéis que casi lo están regalando?
Os podemos ayudar a conseguir financiación, si con eso os ayudamos a obtener esta certificación, y que consigáis más clientes.
- Published in Certificaciones, General, Normativa, Noticias, Protección de datos
Cambios en la norma ISO 27002 para este año 2022
¡Más motivos para certificarse! Se actualiza la norma ISO 27002 que va íntimamente ligada a la certificación ISO 27001 sobre la seguridad de la información. Con ello se facilitan algunos mecanismos de control y se permite una certificación más light y barata para algunos temas concretos.
Las certificaciones son cada vez más importantes para las empresas. Entre ellas destacan las ISO, debidas a la Organización Internacional de Normalización. Su nombre en inglés, Internacional Organization for Standardization, es lo que da lugar al acrónimo ISO.
Hay muchas certificaciones ISO, pero la que afecta a nuestro sector es la ISO 27001, que es la que se encarga de gestionar la seguridad de la información en cualquier tipo de organizaciones, sean pequeñas o grandes.
La ISO 27001 nació en el año 2005. La norma se encuentra dividida en dos partes: una primera que se compone de 10 puntos y una segunda que establece los mecanismos de control, que se conoce popularmente como Anexo A.
Está íntimamente unida a la ISO 27002, que no es más que una guía de buenas prácticas para implementar la ISO 27001, que es la que se certifica. Por ello los cambios en la norma ISO 27002 para este año 2022 permiten agilizar la certificación.
La Organización Internacional de Normalización se fundó en Londres en 1947.
Desde su creación, la ISO ha ido sufriendo revisiones para adaptarse a las necesidades de cada momento. Básicamente las revisiones han facilitado las mejores prácticas en seguridad de la información. Las últimas revisiones datan del año 2013. Pero durante este tiempo ya se ha visto que la 27002 se iba quedando obsoleta. Por ello en este 2022 se ha lanzado la nueva versión ISO 27002, que, a nivel general, viene a simplificar varios aspectos. Comporta principalmente los siguientes cambios:
- Cambio de nombre: ahora la norma se denominará “Controles de Seguridad de la Información”.
- Reestructuración de los 14 dominios que había en la versión de 2013, pasándose ahora a 4 grandes temas:
– Controles Organizacionales (37 controles)
– Controles de personas (8 controles)
– Controles físicos (14 controles)
– Controles tecnológicos (34 controles) - Definición de atributos. Se redefinen los atributos como tipo de control, propiedades de seguridad de la información, capacidades operacionales, dominios de seguridad o conceptos de ciberseguridad.
En este caso se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar. - El número de controles se reduce de 114 a 93, pero incluirá controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.
- Introduce cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
Si queréis tener más información de los cambios en la norma ISO 27002 para este año 2022, os recomendamos este artículo de Segu·Info.
Avantatges
Todo esto que os puede parecer muy engorroso de leer y explicar viene a significar una serie de procesos nuevos, pero más sencillos para obtener una parte de la certificación. Como os decimos al principio, la ISO 27001 es apta para cualquier tipo de organizaciones, sean pequeñas o grandes. Pero quizá alguno de vosotros no necesita toda la certificación ISO 27001 por el trabajo que realizáis. Ahora podréis tener más fácilmente la ISO 27002 y os servirá para tener algunas ventajas competitivas y de mercado.
TECNOideas se ha especializado también en certificaciones.
Podemos ayudaros a conseguir diversas certificaciones, entre ellas la ISO 27001. Dejad que os orientemos y nos ocupemos de todo el trabajo y papeleo.
¡Contactadnos!
- Published in Certificaciones, General, Historia, Normativa, Noticias
- 1
- 2
Català 
Español