Estefanía Carrera: loca del Compliance y la Protección de Datos
TECNOideas crece. Y a nosotros nos gusta compartir nuestras buenas noticias con vosotros. Por eso hoy queremos presentaros a Estefanía Carrera, nuestra nueva consultora / auditora en gestión de riesgos tecnológicos.
Estamos muy contentos con Estefanía porque muy pocos perfiles aúnan tanta profesionalidad. Es graduada en Derecho por la Universidad de Málaga y máster en nutrición deportiva avanzada por el Instituto Nacional de Ciencias de la Salud.
En el campo tecnológico podemos decir que es experta en Python (un lenguaje de programación de alto nivel que se utiliza para desarrollar aplicaciones de todo tipo). También es especialista en IBM online. En los últimos meses ha finalizado otro máster: dirección de Compliance y Protección de Datos. De ahí que en su Linkedin se presente como “Estefanía Carrera: loca del Compliance y la Protección de Datos”. Compliance es un término inglés que hace referencia a las normas, tanto internas como externas establecidas por una empresa o ente público. Tan importante es en la actualidad que incluso existe la Asociación Española de Compliance (ASCOM).
Rocordaros también que es uno de nuestros servicios esenciales y por ello tenemos en nuestra web una pestaña propia titulada Normativa / Compliance.
Estefanía también destaca por su experiencia. En los últimos cinco años se ha dedicado tanto a la gestión de la documentación en el ámbito del Compliance y la Protección de Datos, como a la gestión del canal de denuncias y al ámbito administrativo (resolución de incidencias, procesos de selección y formación de personal, actos jurídicos documentados y transmisiones patrimoniales, etc.).
Andaluza de nacimiento y vocación, añade a su simpatía innata su resiliencia ante situaciones adversas, proactividad y capacidad de comunicación.
Podéis seguir a Estefanía a través de su canal de Linkedin AQUÍ, y certificar todo lo que os contamos a través de su video de presentación AQUÍ.
En TECNoideas va a ocuparse de acompañar a nuestros clientes en todo el proceso de las normativas y certificaciones, la ISO 27001, el Esquema Nacional de Seguridad (ENS) o todo lo referido a la Ley de Protección de Datos y su reglamento.
¡Bienvenida!
- Published in Certificaciones, Consultoría, General, Normativa, Noticias, Protección de datos, Sobre TECNOideas
Hoy es el CISO Day 2022
Posiblemente no exista una figura más relevante en el mundo empresarial relacionado con la ciberseguridad que el CISO, o persona encargada de la seguridad de los sistemas de la información. Por ello nos parece más que justificada la iniciativa de dedicarle un evento. Así nació el CISO Day, que en pocos años ya ha pasado a ser el mayor evento de España en torno a la figura del CISO.
En tan solo cuatro años este evento ha alcanzado una notoriedad muy merecida. Basta mirar los temas a tratar en la presente edición para corroborarlo: estrategia, ciberinteligencia, hacking, ciberseguridad o ciberinnovación.
La iniciativa de organizar un CISO Day la tuvo CyberSecurity News, el mayor medio de comunicación especializado en el sector de la ciberseguridad en España. Y naturalmente sigue siendo el organizador del evento. Eso sí, cuenta con el apoyo institucional del Centro Criptológico Nacional y los necesarios patrocinadores.
El CISO Day 2022 se celebra en los Cines Palacio de Hielo de Madrid y cuenta con dos salas. El congreso tiene un formato híbrido, presencial por un lado y virtual por otro. La buena noticia es que se puede seguir en directo a través del canal de YouTube de CyberSecurity News. Aun así hay que comprar la entrada. En la web del certamen, www.cisoday.es, tenéis el programa completo, los ponentes y todo lo relacionado con la jornada, que comienza a las 9.15 con la bienvenida a cargo de Vicente Ramírez, redactor jefe de CyberSecurity News y creador del CISO Day.
TECNOideas puede ser vuestro CISO Externo
Os queremos recordar que la figura del CISO es esencial. Tanto es así que la ley 43/2021 especifica que las empresas de ciertos sectores estratégicos, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Tenéis toda la información sobre la ley, los sectores definidos como estratégicos en el anexo de la norma y las opciones que os ofrecemos en el apartado Normativa/Compliance de nuestra web.
El trabajo del CISO es verdaderamente indispensable y poco tiene que ver con el que realiza un informático. Sin embargo es también muy estresante y dado el nivel que se le exige, implica una remuneración elevada, que muchas empresas ne se pueden permitir. Quizá por todo ello la propia ley también reconoce la posibilidad que el CISO sea externo. Y ahí es donde TECNOideas os puede ayudar.
Para entenderlo mejor, os invitamos a leer un par de artículos publicados en este blog. En el primero de ellos, explicamos detenidamente las funciones que debe tener un CISO.
En el segundo os explicamos la problemática que están teniendo los CISO en todo el mundo, como por ejemplo el burnout y por eso lo titulamos 5 motivos para preferir un CISO externo en ciberseguridad.
¡Que disfrutéis del día!
- Published in CISO, Congresos, Evento, General, Medios de comunicación, Normativa, Noticias, Seguridad, Serveis, Sobre TECNOideas
¿Qué esperáis para certificaos en el ENS?
El Esquema Nacional de Seguridad (ENS) está a punto de actualizarse, tras más de diez años de haberse aprobado su creación. El texto del Proyecto de Real Decreto que va a regular el nuevo ENS incluye medidas más rígidas, por lo que se espera que la obtención del certificado sea un poco más difícil.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. Desde su creación, el Centro Criptológico Nacional ha creado 61 guías (serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad publicadas en el BOE.
Estaba claro que era preciso realizar una revisión del ENS para afrontar las nuevas amenazas, mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Además también era necesario alinearlo con el marco legal actual.
Por todo ello en mayo de 2021, el Consejo de Ministros aprobó un paquete de medidas urgentes en materia de ciberseguridad, con tres pilares básicos:
– Adoptar un Plan de Choque de Ciberseguridad.
– Actualización del Esquema Nacional de Seguridad.
– Medidas destinadas a los proveedores tecnológicos del sector público.
Recordamos que el ENS establece principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la gestión continuada de la seguridad para la administración digital, de aplicación a las entidades del sector público y de las privadas que colaboren en la prestación de servicios públicos.
“También están obligadas a cumplir el ENS
todas las empresas del sector privado
que sean dependientes o estén vinculadas
con las Administraciones públicas.”
¡También entidades privadas!
Todavía hay empresas que piensan que el ENS no va con ellas, que sólo afecta al Sector Público. Pero eso no es así. Las empresas privadas que prestan servicios o soluciones tecnológicas a la Administración pública, estarán obligadas a cumplir con el ENS.
Estamos hablando de empresas que proveen a las Administraciones Públicas de aplicaciones comerciales, desarrollo de software, servicios de soporte y mantenimiento de sistemas de información, servicios de computación en nube, etc.
Las empresas que se presenten a licitaciones públicas relativas a servicios o productos tecnológicos deberán tener el Certificado de Conformidad con el ENS en su nivel medio o alto.
Si necesitáis un poco más de información de lo que es exactamente el ENS, las 75 medidas de seguridad que recoge o los tres niveles de riesgo (medio, alto, bajo) os invitamos a leer nuestro artículo de enero de 2021 publicado en este blog.
¿Qué esperáis para certificaos en el ENS?
TECNOideas os ayuda a obtener el ENS.
Estamos especializados en certificación, tanto a nivel
de empresa privada
como del Sector Público.
De hecho, varios ayuntamientos ya nos han confiado
el desarrollo de su certificación.
No esperéis la nueva reglamentación. Adelantaos a ella obteniendo
el Certificado de Conformidad con el ENS a través de TECNOideas.
Y si no tenéis dinero, ¿sabéis que casi lo están regalando?
Os podemos ayudar a conseguir financiación, si con eso os ayudamos a obtener esta certificación, y que consigáis más clientes.
- Published in Certificaciones, General, Normativa, Noticias, Protección de datos
Cambios en la norma ISO 27002 para este año 2022
¡Más motivos para certificarse! Se actualiza la norma ISO 27002 que va íntimamente ligada a la certificación ISO 27001 sobre la seguridad de la información. Con ello se facilitan algunos mecanismos de control y se permite una certificación más light y barata para algunos temas concretos.
Las certificaciones son cada vez más importantes para las empresas. Entre ellas destacan las ISO, debidas a la Organización Internacional de Normalización. Su nombre en inglés, Internacional Organization for Standardization, es lo que da lugar al acrónimo ISO.
Hay muchas certificaciones ISO, pero la que afecta a nuestro sector es la ISO 27001, que es la que se encarga de gestionar la seguridad de la información en cualquier tipo de organizaciones, sean pequeñas o grandes.
La ISO 27001 nació en el año 2005. La norma se encuentra dividida en dos partes: una primera que se compone de 10 puntos y una segunda que establece los mecanismos de control, que se conoce popularmente como Anexo A.
Está íntimamente unida a la ISO 27002, que no es más que una guía de buenas prácticas para implementar la ISO 27001, que es la que se certifica. Por ello los cambios en la norma ISO 27002 para este año 2022 permiten agilizar la certificación.
La Organización Internacional de Normalización se fundó en Londres en 1947.
Desde su creación, la ISO ha ido sufriendo revisiones para adaptarse a las necesidades de cada momento. Básicamente las revisiones han facilitado las mejores prácticas en seguridad de la información. Las últimas revisiones datan del año 2013. Pero durante este tiempo ya se ha visto que la 27002 se iba quedando obsoleta. Por ello en este 2022 se ha lanzado la nueva versión ISO 27002, que, a nivel general, viene a simplificar varios aspectos. Comporta principalmente los siguientes cambios:
- Cambio de nombre: ahora la norma se denominará “Controles de Seguridad de la Información”.
- Reestructuración de los 14 dominios que había en la versión de 2013, pasándose ahora a 4 grandes temas:
– Controles Organizacionales (37 controles)
– Controles de personas (8 controles)
– Controles físicos (14 controles)
– Controles tecnológicos (34 controles) - Definición de atributos. Se redefinen los atributos como tipo de control, propiedades de seguridad de la información, capacidades operacionales, dominios de seguridad o conceptos de ciberseguridad.
En este caso se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar. - El número de controles se reduce de 114 a 93, pero incluirá controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.
- Introduce cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
Si queréis tener más información de los cambios en la norma ISO 27002 para este año 2022, os recomendamos este artículo de Segu·Info.
Avantatges
Todo esto que os puede parecer muy engorroso de leer y explicar viene a significar una serie de procesos nuevos, pero más sencillos para obtener una parte de la certificación. Como os decimos al principio, la ISO 27001 es apta para cualquier tipo de organizaciones, sean pequeñas o grandes. Pero quizá alguno de vosotros no necesita toda la certificación ISO 27001 por el trabajo que realizáis. Ahora podréis tener más fácilmente la ISO 27002 y os servirá para tener algunas ventajas competitivas y de mercado.
TECNOideas se ha especializado también en certificaciones.
Podemos ayudaros a conseguir diversas certificaciones, entre ellas la ISO 27001. Dejad que os orientemos y nos ocupemos de todo el trabajo y papeleo.
¡Contactadnos!
- Published in Certificaciones, General, Historia, Normativa, Noticias
Una Game Boy para robar coches
Los que tengais unos añitos recordaréis, sin duda con añoranza, la famosa Game Boy, con la que infinidad de niños y no tan niños jugaban horas y horas. Ahora los que juegan con ella (o mejor dicho con un sucedáneo de ella), son ciberdelincuentes que la utilizan para abrir coches y robarlos.
No es la primera vez que os alertamos de la pobre seguridad que ofrecen los automóviles conectados, especialmente por sus sistemas keyless, los que permiten la apertura y arranque manos libres o abrir el maletero cuando llevas un bulto para cargarlo ahí. O si lo preferís, los que han dejado de usar la tradicional llave por un dispositivo o llavero o incluso un smartphone. Una ventaja obvia para los propietarios de los automóviles, pero poco segura, si no se tiene el “aparato” securizado.
Técnicamente no es ningún secreto. Se basa en transmisores y receptores de corto alcance, ubicados en el nuevo sistema de apertura y en el propio vehículo y que, lógicamente, se comunican entre ellos.
Y sí, como os decimos, ya hemos publicado algunos artículos al respecto. El último, titulado “¿Se roban más coches por culpa de la cibertecnología?”, lo podéis leer AQUÍ.
¡Qué tiempos los del Tetris!
Vale por adelantado deciros que nuestro CEO es un romántico tecnológico y que todavía es capaz de pasarse algunas horillas jugando, cual friki, con su Super Nintendo y las aventuras de Mario Bros y por supuesto con su Game Boy, que se compró para disfrutar plenamente del juego del Tetris. No os extrañe, porque debemos recordaros que ese juego sigue siendo uno de los preferidos del público. Y que a pesar de su edad (fue lanzado en junio de 1984), goza de buena salud. En enero de 2010, por ejemplo, se anunció que se habían vendido más de 100 millones de unidades para teléfonos móviles desde 2005.
Pues bien, todo eso viene a cuento porque jugando, jugando, tres individuos británicos robaron varios automóviles simplemente simulando que jugaban con una Game Boy cerca de los coches.
que les permitió acceder al interior.
Vayamos por partes: en realidad no era una Game Boy, ya lo habréis supuesto. Entonces, ¿qué era? La historia de este caso, que no es nueva, se dio a conocer en octubre de 2021. Una empresa búlgara había diseñado un software para hacer auditorías de seguridad en automóviles. Su finalidad era ayudar a mecánicos y electricistas de vehículos a hacer su trabajo. El precio en el mercado rondaba los 23.000 euros. La pandilla de tres ladrones británicos se dieron cuenta que el aparato en cuestión cabía perfectamente en la carcasa de una Game Boy, lo que les permitió estar cerca del automóvil que querían robar tranquilamente, sin despertar sospechas. Solamente tardaban unos segundos en conseguir abrir la puerta y unos pocos más en ponerlo en marcha. De esta forma robaron varios SUV de marcas asiáticas, especialmente cinco Mitsubishi Outlanders cuyo valor ascendía a más de 220.000 euros.
El distribuidor de este software, que es un ruso, incluso realizó un vídeo para demostrar lo fácil que era usar el software. La historia terminó con la detención de los tres ladrones treintañeros por parte de la policía, que se había extrañado que en la ciudad de Leeds se robaran tantos coches de la misma marca. Si tenéis curiosidad por ver estos vídeos o leer la noticia en un medio, os invitamos a que la leíais en HackerCar, una publicación especializada en motor y ciberseguridad.
No os resignéis, hay solución y se llama TISAX
Quizá os preguntaréis el por que ahora os contamos eso si ya era un tema conocido que había saltado a los medios hace unos meses. La respuesta es fácil: estamos ya en 2022 y eso significa que según el Reglamento Europeo de Seguridad de Vehículos, a partir de este año, ningún automóvil sin el certificado de ciberseguridad se podrá comercializar. Os lo contamos también en un artículo de octubre de 2020 que podéis consultar AQUÍ.
Nuestra intención es advertiros de lo que viene y que estéis muy atentos a las nuevas reglamentaciones y a los vehículos que queréis adquirir. No todo es escoger vehículo eléctrico o de gasolina; de hidrógeno o híbrido, sino que cosas como la ciberseguridad deben estar en vuestro pensamiento en el momento de escoger.
Tampoco queremos que os asustéis. Los robos de coches siempre han estado ahí y no podíamos esperar… ¿o sí?… que los vehículos hiperconectados no iban a ser objeto del deseo de los amigos de lo ajeno. Lo que debéis saber es que las marcas de automóviles van cumpliendo las exigencias de seguridad, no sólo física de los ocupantes, sino también de las conexiones tecnológicas. Para ello se crean respuestas a estos incidentes que os narramos. Una de las mejores herramientas es la nueva normativa TISAX. Pronto os hablaremos de ella, pero os avanzamos que verifica el cumplimiento de los criterios clave de IT. Algo así, para entendernos, como una ISO 27001 aplicada al mundo del automóvil.
TECNOideas se ha especializado también en las certificaciones ISO 27001, como ya sabéis. Así que no os perdáis nuestro blog, porque pronto os hablaremos más ampliamente de TISAX, porque alguno de nuestros técnicos ya está familiarizándose con él.
Por cierto, debo deciros que nuestro CEO ha colgado la Game Boy. Ahora está en una vitrina, para deleite de los amantes de los primeros juegos que nos convirtieron en frikis tecnológicos.
- Published in Consultoría, General, Normativa, Seguridad
Català 
Español