Scribd
Cargar
14 vistas44 páginas

Ciber Ponencia

El documento aborda los requisitos legales y técnicos para cumplir con la normativa de ciberseguridad en España y Europa, incluyendo estándares como ISO/IEC 27001, GDPR y la Directiva NIS. Se detallan las medidas de seguridad organizativas, operativas y de protección, así como los derechos y deberes de los usuarios y responsables de datos. Además, se mencionan las sanciones y delitos relevantes en el ámbito de la ciberseguridad según el Código Penal.

Cargado por

rlcuriel6617
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
14 vistas44 páginas

Ciber Ponencia

El documento aborda los requisitos legales y técnicos para cumplir con la normativa de ciberseguridad en España y Europa, incluyendo estándares como ISO/IEC 27001, GDPR y la Directiva NIS. Se detallan las medidas de seguridad organizativas, operativas y de protección, así como los derechos y deberes de los usuarios y responsables de datos. Además, se mencionan las sanciones y delitos relevantes en el ámbito de la ciberseguridad según el Código Penal.

Cargado por

rlcuriel6617
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

CON PASO SEGURO

EN
CIBERSEGURIDAD
01/02/2024
JORNADAS DE CIBERSEGURIDAD
REQUISITOS LEGALES Y TÉCNICOS PARA CUMPLIR CON LA NORMATIVA ESPAÑOLA Y EUROPEA
Normativa Y
Estándares
NORMATIVA Y ESTÁNDARES

ISO/IEC Esquema GDPR Directiva NIS Código Penal


Serie Nacional de LOPDGDD Y NIS 2 (Prevención
27000+ Seguridad de Delitos en
la Empresa)
NORMATIVA Y ESTÁNDARES
ISO 27001 – 114 controles en 14 secciones

▪ Políticas
▪ Organización
▪ Seguridad en los recursos humanos
▪ Gestión de activos
▪ Controles de acceso
▪ Criptografía
ISO/IEC ▪ Seguridad física y del entorno
Serie ▪ Seguridad operacional
27000+ ▪ Seguridad de las comunicaciones
▪ Adquisición, desarrollo y mantenimiento del sistema
▪ Relación con proveedores
▪ Gestión de incidentes de seguridad de la información
▪ Aspectos de seguridad de la información para la gestión de
la continuidad del negocio
▪ Cumplimiento
NORMATIVA Y ESTÁNDARES
ISO 27001 – Declaración de Aplicabilidad
Controles
seleccionados y
Comentarios Comentarios (visión
Controles razones de
ISO 27001:2013 Controles de Seguridad (justificación de general de la
actuales selección
exclusión) implementación)
BR/
LR CO RRA
BP
Cláusula Sección Objetivo de control / control
Dirección de la alta gerencia para la seguridad
5,1
de la información
5 Políticas de
5.1.1 Políticas de seguridad de la información
Seguridad
Revisión de las políticas de seguridad de la
5.1.2
información

6,1Organización interna
Roles y responsabilidad de seguridad de la
6.1.1
información
6 6.1.2 Segregación de deberes
ISO/IEC Organización
de la
6.1.3
6.1.4
Contacto con autoridades
Contacto con grupos de interés especial
Seguridad de
Serie la
Información
6.1.5
Seguridad de la información en la gestión de
proyectos
6,2Dispositivos móviles y teletrabajo
27000+ 6.2.1
6.2.2
Política de dispositivos móviles
Teletrabajo

7,1Previo al empleo
7.1.1 Verificación de antecedentes
7.1.2 Términos y condiciones del empleo
7,2Durante el empleo
7 Seguridad
7.2.1 Responsabilidades de la Alta Gerencia
en los
Conciencia, educación y entrenamiento de
Recursos 7.2.2
seguridad de la información
Humanos
7.2.3 Proceso disciplinario
7,3Terminación y cambio de empleo
Termino de responsabilidades o cambio de
7.3.1
empleo
NORMATIVA Y ESTÁNDARES
ISO 27002 – Guía de Implantación de Controles

Control

Guía de
ISO/IEC
Serie Implantación
27000+

Información
Adicional
NORMATIVA Y ESTÁNDARES
El sistema será de
¿Cuándo?
categoría

Si alguna de sus dimensiones de


ALTA
seguridad alcanza el nivel ALTO

Si alguna de sus dimensiones de


Esquema
MEDIA seguridad alcanza el nivel MEDIO y
Nacional de ninguna el nivel ALTO
Seguridad

Si alguna de sus dimensiones de


BÁSICA seguridad alcanza el nivel BAJO y
ninguna el nivel medio o alto
NORMATIVA Y ESTÁNDARES

2. Las medidas de seguridad se dividen en tres grupos:


a) Marco organizativo [org]. Constituido por el conjunto de medidas
relacionadas con la organización global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para
proteger la operación del sistema como conjunto integral de
componentes para un fin.
c) Medidas de protección [mp]. Se centran en proteger activos
Esquema concretos, según su naturaleza y la calidad exigida por el nivel de
Nacional de seguridad de las dimensiones afectadas.
Seguridad

Real Decreto 311/2022, de 3 de mayo, por el que se regula el


Esquema Nacional de Seguridad. (Anexo II)

https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191
NORMATIVA Y ESTÁNDARES
Nivel de las dimensiones de seguridad
Por categoría o BAJO MEDIO ALTO
Medidas de Seguridad
dimensión(es) Categoría de seguridad del sistema
BÁSICA MEDIA ALTA
Marco
org
organizativo

Política de
org.1 Categoría aplica aplica aplica
seguridad
Esquema
Normativa de
Nacional de org.2
seguridad
Categoría aplica aplica aplica
Seguridad
Procedimientos de
org.3 Categoría aplica aplica aplica
seguridad

Proceso de
org.4 Categoría aplica aplica aplica
autorización

https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191
NORMATIVA Y ESTÁNDARES
Marco
op
operacional
op.pl Planificación

op.pl.1 Análisis de riesgos Categoría aplica + R1 + R2

Arquitectura de
op.pl.2 Categoría aplica + R1 + R1 + R2 + R3
Seguridad
Adquisición de
op.pl.3 nuevos Categoría aplica aplica aplica
Esquema componentes
Nacional de Dimensionamiento
Seguridad op.pl.4 /gestión de la D aplica + R1 + R1
capacidad
Componentes
op.pl.5 Categoría n.a. aplica aplica
certificados

https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191
NORMATIVA Y ESTÁNDARES
mp Medidas de protección

Protección de las
mp.if instalaciones e
infraestructuras
Áreas separadas y con
mp.if.1 Categoría aplica aplica aplica
control de acceso
Identificación de las
mp.if.2 Categoría aplica aplica aplica
personas
Esquema
Acondicionamiento de los
Nacional de mp.if.3
locales
Categoría aplica aplica aplica
Seguridad
mp.if.4 Energía eléctrica D aplica + R1 + R1

Protección frente a
mp.if.5 D aplica aplica aplica
incendios

https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191
NORMATIVA Y ESTÁNDARES
Derechos del Usuario

▪ Derecho de acceso
▪ Derecho de rectificación
▪ Derecho de oposición
▪ Derecho de supresión ("al olvido")
▪ Derecho a la limitación del tratamiento
▪ Derecho a la portabilidad
GDPR ▪ Derecho a no ser objeto de decisiones individuales automatizadas
LOPDGDD ▪ Derecho de información

https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
NORMATIVA Y ESTÁNDARES
Deberes del Responsable

▪ Registro de actividades de tratamiento


▪ Inventario de actividades de tratamiento
▪ Designación de un delegado de protección de datos
▪ Evaluación del riesgo que, para los derechos y libertades de los interesados,
podría suponer un tratamiento de datos personales
▪ Realización de evaluaciones de impacto para la protección de datos
▪ Consulta previa
GDPR ▪ Protección de datos desde el diseño
LOPDGDD ▪ Protección de datos por defecto
▪ Seguridad de los tratamientos de datos
▪ Notificación de brechas de datos personales a la Autoridad de Control
▪ Comunicación de brechas de datos personales a los interesados
▪ Códigos de conducta
▪ Establecimiento de garantías para las transferencias de datos personales a
terceros países u organizaciones internacionales

https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
NORMATIVA Y ESTÁNDARES
Sectores Críticos / Esenciales
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las
redes y sistemas de información.

Obligatoria
Entidades en el listado del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC)
▪ Proveedor de servicios digitales
▪ Administración
▪ Espacio
▪ Industria nuclear
Directiva NIS ▪ Industria química
▪ Instalaciones de investigación
▪ Agua
▪ Energía
▪ Salud
▪ Tecnologías de la Información y las Comunicaciones (TIC)
▪ Transporte
▪ Alimentación
▪ Sistema financiero y tributario

https://www.boe.es/buscar/pdf/2018/BOE-A-2018-12257-consolidado.pdf
NORMATIVA Y ESTÁNDARES
Sectores Críticos / Esenciales
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las
redes y sistemas de información.
Obligaciones de seguridad
▪ Designación de un Responsable de Seguridad de la Información
▪ Establecer una Política de Seguridad con atención al menos a los siguientes puntos:
▪ Análisis y gestión de riesgos.
▪ Gestión de riesgos de terceros o proveedores.
▪ Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
▪ Gestión del personal y profesionalidad.
▪ Adquisición de productos o servicios de seguridad.
Directiva NIS ▪ Detección y gestión de incidentes.
▪ Planes de recuperación y aseguramiento de la continuidad de las operaciones.
▪ Mejora continua.
▪ Interconexión de sistemas.
▪ Registro de la actividad de los usuarios.
▪ Notificar incidentes
▪ Supervisión por la autoridad
CSIRT de Referencia
▪ CCN-CERT
▪ INCIBE-CERT
▪ ESPDEF-CERT

https://www.boe.es/buscar/pdf/2018/BOE-A-2018-12257-consolidado.pdf
NORMATIVA Y ESTÁNDARES
Sectores Críticos / Esenciales
27 de diciembre de 2022 17 de octubre de 2024
Obligatoria
▪ 250+ empleados
▪ Facturación anual 50M+ €
▪ Balance anual 43M+ €
▪ Sectores críticos
Medidas de seguridad
▪ Análisis de riesgos
Directiva NIS 2 ▪ Políticas de seguridad
▪ Formación y concienciación
▪ Respuesta a incidentes
▪ Continuidad del negocio
▪ Gestión de crisis
▪ Encriptación
▪ Seguridad de la cadena de suministro
▪ Métricas en gestión de riesgos
▪ Divulgación de vulnerabilidades

https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963
NORMATIVA Y ESTÁNDARES
Sectores Críticos / Esenciales
27 de diciembre de 2022 17 de octubre de 2024

Notificaciones de Incidentes
▪ 24 h > Inicial
▪ 1 mes > Actualización

Multas por Incumplimiento


▪ 2% Facturación anual
Directiva NIS 2 ▪ 10M €

https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963
NORMATIVA Y ESTÁNDARES
Artículo 31 bis. (Código Penal)

1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto,
por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un
órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u
ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o
Código Penal indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas
mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente
(Prevención por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas
de Delitos en circunstancias del caso.

la Empresa)

https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
NORMATIVA Y ESTÁNDARES
Artículo 33. (Código Penal)

7. Las penas aplicables a las personas jurídicas, que tienen todas la consideración de graves, son las siguientes:

a) Multa por cuotas o proporcional.

b) Disolución de la persona jurídica. La disolución producirá la pérdida definitiva de su personalidad jurídica, así
como la de su capacidad de actuar de cualquier modo en el tráfico jurídico, o llevar a cabo cualquier clase de
actividad, aunque sea lícita.

c) Suspensión de sus actividades por un plazo que no podrá exceder de cinco años.
Código Penal d) Clausura de sus locales y establecimientos por un plazo que no podrá exceder de cinco años.
(Prevención
e) Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el
de Delitos en delito. Esta prohibición podrá ser temporal o definitiva. Si fuere temporal, el plazo no podrá exceder de quince años.
la Empresa) f) Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de
beneficios e incentivos fiscales o de la Seguridad Social, por un plazo que no podrá exceder de quince años.

g) Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores por el tiempo que se
estime necesario, que no podrá exceder de cinco años.

https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
NORMATIVA Y ESTÁNDARES
Delitos especialmente relevantes en materia de Ciberseguridad

▪ Descubrimiento y Revelación de Secretos


▪ Allanamiento Informático
▪ Daños Informáticos
▪ Revelación de Secretos de Empresa (Contra la Propiedad Intelectual e Industrial)
▪ Producción o tenencia de Pornografía Infantil
▪ Odio y Enaltecimiento
Código Penal
(Prevención
de Delitos en
la Empresa)

https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
Activos
TIPOS DE ACTIVOS

SISTEMAS SERVICIOS

PERSONAL INFORMACIÓN

DISPOSITIVOS DE SEGURIDAD REDES Y COMUNICACIONES

SERVICIOS AUXILIARES INSTALACIONES


Dimensiones de
Seguridad
Confidencialidad

Integridad Disponibilidad

DIMENSIONES DE SEGURIDAD
Autenticación Trazabilidad

Privacidad

DIMENSIONES DE SEGURIDAD
Riesgos
RIESGOS Amenaza

Activo

Riesgo

50 % Alta

Degradación Probabilidad

Valor Propio Impacto


RIESGOS Amenaza

Activo Activo
Dependiente 100 %
Riesgo
Acumulado

50 % Alta

Degradación Probabilidad

Valor Impacto
Valor Propio Acumulado Acumulado
Amenaza
RIESGOS
Activo Activo
Dependiente 100 %

Riesgo
Salvaguardas Residual

Degradación 25 % Baja Probabilidad


Residual Residual

Valor Impacto
Valor Propio Acumulado Residual
Medidas de
Seguridad
Organizativas
MEDIDAS DE SEGURIDAD ORGANIZATIVAS

Redacción de Asignación de Clasificación Segregación Asignación de


Políticas y Responsabilidades de la de Tareas Permisos
Protocolos Información

Control de Planes de Plan de Control de Auditorías y


Recursos Concienciación Recuperación Cadenas de Revisiones
Humanos de Desastres Suministro
Estrategias y
Posturas de
Ciberseguridad
ESTRATEGIAS Y POSTURAS
DE CIBERSEGURIDAD

Mínimo Zero Trust Cebolla Alcachofa Air Gapping Modelos de


Privilegio Movilidad
Necesario BYOD vs COBO
Medidas de
Seguridad Técnicas
MEDIDAS DE SEGURIDAD TÉCNICAS

Firewalls Antivirus / IDS/IPS EDR / XDR Sandbox / Bastionado de


Antimalware Virtualización Sistemas

Inventarios VPN Honeypots / SIEM SOAR Equipo DFIR


Honeyfiles
MEDIDAS DE SEGURIDAD TÉCNICAS

Certificados MFA Balanceadores Seguridad Copias de Exposición y


Digitales de Carga Física y Seguridad Huella Digital
Electrónica

Actualización NAC Filtros de Criptografía Alimentación Inteligencia de


y Parcheo Email Adecuada y Servicios Amenazas
Auxiliares
MEDIDAS DE SEGURIDAD TÉCNICAS

Y cada día más…


MEDIDAS DE SEGURIDAD TÉCNICAS
MEDIDAS DE SEGURIDAD TÉCNICAS

Modelar Fortalecer Ver Detectar Aislar Engañar Neutralizar Recuperar Aprender


Plataforma de Inteligencia
Inventario de activos Reducir la Exposición Sondas Análisis de IOC Sandbox Honeypots Antivirus / Antimalware Copias de Seguridad
de Amenazas

Inventario de Servidor de Escritorios Redundancia / Alta


Bastionado de sistemas Registros Alertas IDS Honeyfiles EDR / XDR Compartir IOCs
configuraciones Virtuales Disponibilidad

Mapa de Red Firewalls Capa 7 SIEM Análisis de Logs Segmentación de Redes Canary Files Vacunas Base de Conocimiento

Escaneo de Seguridad de las Monitorización de Ocultar Información


Alertas de Honeypots Firewalls Capa 3-4 Playbooks
Vulnerabilidades Instalaciones Hardware Sensible

Monitorización de Tráfico Monitorización de la


Análisis de Riesgos Balanceadores de Carga VPN Acciones Automatizadas
de Red Integridad

Actualización y Parcheado

Servidores AAA
Madurez de los
Sistemas
MADUREZ DE LOS SISTEMAS
Optimizado
Gestionado Se establecen objetivos
cuantitativos de mejora
de los procesos y se
Definido Procesos controlados y revisan continuamente
con métricas. para reflejar los cambios
Confianza cuantitativa en en los objetivos de
Repetible Se despliegan y se lugar de cualitativa como negocio, utilizándose
gestionan las medidas de en el nivel anterior. como indicadores en la
seguridad. gestión de la mejora de
Inicial La eficacia de las medidas Hay normativa
los procesos.
de seguridad depende de establecida y
la buena suerte y de la
Inexistente Las medidas de seguridad buena voluntad de las
procedimientos para
garantizar la reacción
existen, pero no se personas. profesional ante los
gestionan. Los éxitos son repetibles, incidentes.
No existe proceso o El éxito depende de la pero no hay plan para los
medida de seguridad. Se ejerce un
buena suerte. incidentes más allá de la mantenimiento regular
En este caso, las reacción a los hechos. de las protecciones.
entidades exceden con Todavía hay un riesgo El éxito es consecuencia
frecuencia presupuestos significativo de exceder del trabajo consciente y Basada en clasificación del ENS
y tiempos de respuesta. las estimaciones de coste riguroso.
y tiempo.
968 67 92 90

910 60 31 23

También podría gustarte