1. El documento describe las principales amenazas cibernéticas que se esperan entre 2022 y 2030, como ransomware, malware, ingeniería social, ataques a los datos y servicios, y desinformación. 2. También analiza el contexto normativo europeo de ciberseguridad y las capacidades que se están reforzando, como la certificación de productos, la protección de la cadena de suministro y la cooperación entre los estados miembros. 3. Finalmente, resume las medidas que España está adoptando para gestionar los riesgos cibernéticos,
La seguridad es un tema esencial que debemos considerar siempre que interactuamos con las tecnologías informáticas, puesto que diariamente surgen amenazas que pueden afectar la información y causarnos daños tangibles e intangibles.
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Mario Ureña
Conferencia presentada en ISACA - Latin CACS 2011 (Puerto Rico) sobre el Sistema de Gestión de Continuidad del Negocio basado en BS25999 e ISO22301. 03 Octubre 2011. Mario Ureña
Hoy en día, organizaciones con distintos fines operativos cuentan como mínimo con un sistema de redes interno, así sea solo una computadora con acceso a internet. Estos equipos pueden contar con información valiosa o con un servicio
valioso para la organización. Estos activos o equipos valiosos pueden ser víctimas de distintas amenazas y el impacto puede ser catastrófico de acuerdo al nivel de criticidad que representa el activo.
Para evitar que pase este tipo de eventos existen sistemas
correlacionador de eventos SIEM que busca notificar a los administradores de la red entre otros monitores, los distintos eventos que están ocurriendo en la red.
Los eventos que pueden ocurrir varían entre el tipo de acción que se deba aplicar al activo.
Por ejemplo un virus informático puede estar recorriendo la red,
esperando que un equipo con información valiosa se conecte a red y así pueda hacer diferentes cosas que tiene como objetivo tal virus. Otros ejemplos son las notificaciones por actualización, puertos abiertos, contraseñas débiles, etc.
En el siguiente proyecto queremos mostrar cómo podemos implementar una de estas herramientas de correlacionación con el fin de que sirva como buena práctica al momento de querer monitorear los eventos que ocurren en la red.
La seguridad es un tema esencial que debemos considerar siempre que interactuamos con las tecnologías informáticas, puesto que diariamente surgen amenazas que pueden afectar la información y causarnos daños tangibles e intangibles.
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Mario Ureña
Conferencia presentada en ISACA - Latin CACS 2011 (Puerto Rico) sobre el Sistema de Gestión de Continuidad del Negocio basado en BS25999 e ISO22301. 03 Octubre 2011. Mario Ureña
Hoy en día, organizaciones con distintos fines operativos cuentan como mínimo con un sistema de redes interno, así sea solo una computadora con acceso a internet. Estos equipos pueden contar con información valiosa o con un servicio
valioso para la organización. Estos activos o equipos valiosos pueden ser víctimas de distintas amenazas y el impacto puede ser catastrófico de acuerdo al nivel de criticidad que representa el activo.
Para evitar que pase este tipo de eventos existen sistemas
correlacionador de eventos SIEM que busca notificar a los administradores de la red entre otros monitores, los distintos eventos que están ocurriendo en la red.
Los eventos que pueden ocurrir varían entre el tipo de acción que se deba aplicar al activo.
Por ejemplo un virus informático puede estar recorriendo la red,
esperando que un equipo con información valiosa se conecte a red y así pueda hacer diferentes cosas que tiene como objetivo tal virus. Otros ejemplos son las notificaciones por actualización, puertos abiertos, contraseñas débiles, etc.
En el siguiente proyecto queremos mostrar cómo podemos implementar una de estas herramientas de correlacionación con el fin de que sirva como buena práctica al momento de querer monitorear los eventos que ocurren en la red.
Hosted by ControlCase and the PCI Security Standards Council, this 45-minute webinar will cover:
History of PCI DSS (including current version 3.2)
PCI DSS v4.0 High-Level Changes
PCI DSS v4.0 Timeline
Deep Dive into notable changes:
Promote Security as a Continuous Process
Increased Flexibility and Customized Approach
Increased Alignment between PCI ROC and PCI SAQ
Keep up with the security needs of the Payment Industry and landscape (such as MFA/phishing, etc.)
ControlCase Methodology for v4.0
Q&A
Data Leakage is an important concern for the business organizations in this increasingly networked world these days. Unauthorized disclosure may have serious consequences for an organization in both long term and short term. Risks include losing clients and stakeholder confidence, tarnishing of brand image, landing in unwanted lawsuits, and overall losing goodwill and market share in the industry.
Information Security Governance: Concepts, Security Management & MetricsMarius FAILLOT DEVARRE
The goal of information security governance is to establish and maintain a framework to provide assurance that information security strategies are aligned with the business objectives and consistent with applicable laws and regulations.
Let Aprio perform your next Technology Assessment
There are many aspects, components and dependencies to consider when designing or improving a comprehensive technology environment for passing audits or compliance readiness. This framework was created back in 2015, revised in 2017 and improved again in January 2019 to help our clients' leadership, stakeholders and technology management teams understand the breadth of their 'current-state' environment and then help us articulate the many moving targets and critical controls requirements for 'future-state' planning, budgeting, execution, testing, operations hand-off, monitoring and achieving sustainability.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.Jerimi Soma
(Remarks) This presentation is not affiliated with any company I have been associated with, either now or in the past. Additionally, no copyrights have been violated. However, I cannot guarantee the accuracy of this information, and it may be subject to updates.
ISO27001:2022 must be applied to the organizations before October 2025 if your organization has currently certified with the previous version; 2013 !
Third-Party Risk Management: Implementing a StrategyNICSA
Two Part Series: Part I of II
Third-Party Risk Management: Implementing a Strategy
Sleep Better at Night: Learn techniques to manage risks associated with third-party relationships.
As we enter the digital economy, companies will quickly realize that the differentiator in the digital economy is information and information being a valuable resource is subject to theft, hacking, phishing and a host of other issues which compromise a company’s ability to participate in the digital economy. Cybersecurity misfires compromise the trust of buyers and partners necessary to participate in the digital economy. It is up to every company to ensure that the information shared with them is protected to the best of their ability and proactively notify persons and organizations who entrust their information necessary to transact business (any personal identity information including but not limited to addresses, credit card information, social security numbers, account information, credit information, medical records, etc.) with any potential compromises which can yield harm to them by that information either being used maliciously or shared with others.
This purpose of this writing is to cover some of the core requirements for implementing cybersecurity, the accountabilities for cybersecurity risks and the information used to manage a viable cybersecurity program.
Segurinfo colombia Estado de ciberseguridad en latinoaméricaMateo Martinez
En el evento Segurinfo Colombia 2016, Mateo Martínez de la empresa KOD LATAM SECURITY (www.kod.uy) ha realizado la presentación "Estado de Ciberseguridad en Latinoamérica", presentando los informes de la OEA y el BID sobre la situación de los países latinos y el análisis FODA (DAFO) realizado por el CCI (Centro de Ciberseguridad Industrial).
The development and deployment of an enterprise Security Policy that defines the what and how of enterprise security is now mandated by numerous regulatory and industry standards, such as HIPAA and PCI-DSS. The development of a Security Policy, however, generally takes specialized skills that most organizations do not have. As a result, the process either takes a significant amount of time, or a significant amount of money.
Info-Tech’s Security Policy Solution Set will help you:
•Understand what goes into a Security Policy and why.
•Determine which specific policies are required by your organization.
•Streamline the creation of a policy set via customizable standards-based templates.
•Implement policies in an order that makes sense.
•Understand policy enforcement.
Use this material to build the Policies you need to be protected and compliant without spending a penny.
Hosted by ControlCase and the PCI Security Standards Council, this 45-minute webinar will cover:
History of PCI DSS (including current version 3.2)
PCI DSS v4.0 High-Level Changes
PCI DSS v4.0 Timeline
Deep Dive into notable changes:
Promote Security as a Continuous Process
Increased Flexibility and Customized Approach
Increased Alignment between PCI ROC and PCI SAQ
Keep up with the security needs of the Payment Industry and landscape (such as MFA/phishing, etc.)
ControlCase Methodology for v4.0
Q&A
Data Leakage is an important concern for the business organizations in this increasingly networked world these days. Unauthorized disclosure may have serious consequences for an organization in both long term and short term. Risks include losing clients and stakeholder confidence, tarnishing of brand image, landing in unwanted lawsuits, and overall losing goodwill and market share in the industry.
Information Security Governance: Concepts, Security Management & MetricsMarius FAILLOT DEVARRE
The goal of information security governance is to establish and maintain a framework to provide assurance that information security strategies are aligned with the business objectives and consistent with applicable laws and regulations.
Let Aprio perform your next Technology Assessment
There are many aspects, components and dependencies to consider when designing or improving a comprehensive technology environment for passing audits or compliance readiness. This framework was created back in 2015, revised in 2017 and improved again in January 2019 to help our clients' leadership, stakeholders and technology management teams understand the breadth of their 'current-state' environment and then help us articulate the many moving targets and critical controls requirements for 'future-state' planning, budgeting, execution, testing, operations hand-off, monitoring and achieving sustainability.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.Jerimi Soma
(Remarks) This presentation is not affiliated with any company I have been associated with, either now or in the past. Additionally, no copyrights have been violated. However, I cannot guarantee the accuracy of this information, and it may be subject to updates.
ISO27001:2022 must be applied to the organizations before October 2025 if your organization has currently certified with the previous version; 2013 !
Third-Party Risk Management: Implementing a StrategyNICSA
Two Part Series: Part I of II
Third-Party Risk Management: Implementing a Strategy
Sleep Better at Night: Learn techniques to manage risks associated with third-party relationships.
As we enter the digital economy, companies will quickly realize that the differentiator in the digital economy is information and information being a valuable resource is subject to theft, hacking, phishing and a host of other issues which compromise a company’s ability to participate in the digital economy. Cybersecurity misfires compromise the trust of buyers and partners necessary to participate in the digital economy. It is up to every company to ensure that the information shared with them is protected to the best of their ability and proactively notify persons and organizations who entrust their information necessary to transact business (any personal identity information including but not limited to addresses, credit card information, social security numbers, account information, credit information, medical records, etc.) with any potential compromises which can yield harm to them by that information either being used maliciously or shared with others.
This purpose of this writing is to cover some of the core requirements for implementing cybersecurity, the accountabilities for cybersecurity risks and the information used to manage a viable cybersecurity program.
Segurinfo colombia Estado de ciberseguridad en latinoaméricaMateo Martinez
En el evento Segurinfo Colombia 2016, Mateo Martínez de la empresa KOD LATAM SECURITY (www.kod.uy) ha realizado la presentación "Estado de Ciberseguridad en Latinoamérica", presentando los informes de la OEA y el BID sobre la situación de los países latinos y el análisis FODA (DAFO) realizado por el CCI (Centro de Ciberseguridad Industrial).
The development and deployment of an enterprise Security Policy that defines the what and how of enterprise security is now mandated by numerous regulatory and industry standards, such as HIPAA and PCI-DSS. The development of a Security Policy, however, generally takes specialized skills that most organizations do not have. As a result, the process either takes a significant amount of time, or a significant amount of money.
Info-Tech’s Security Policy Solution Set will help you:
•Understand what goes into a Security Policy and why.
•Determine which specific policies are required by your organization.
•Streamline the creation of a policy set via customizable standards-based templates.
•Implement policies in an order that makes sense.
•Understand policy enforcement.
Use this material to build the Policies you need to be protected and compliant without spending a penny.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
Checkpoint Technologies, empresa a la que hemos ayudado a certificar/cualificar varios de sus soluciones con el fin de formar parte del catálogo CPSTIC / CCN STIC-105, nos invitó como ponentes a este webinar en el que tuvimos la oportunidad de explicar lo siguientes puntos:
• Introducción al Centro Criptológico Nacional (CC) y el Esquema Nacional de Seguridad (ENS)
• En qué consiste el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)
• Beneficios de la certificación/cualificación de una solución y el cumplimiento del ENS para tu organización y principales
Presentación de la Mesa de debate 12: 'Programas y aciones públicas de impulso a la industria española' en el 32º Encuentro de la Economía Digital y las Telecomunicaciones, Santander (3-5 septiembre 2018)
Durante la conferencia internacional "Dual-Use Technologies and RIS3 Strategies in Europe", y tras el trabajo previo realizado por un grupo de expertos (entre el que se ha encontrado CITIC representado por Andrés Méndez), se llevó a cabo el "Focus Group 3. Cybersecurity and Critical Infrastructure Protection. An example of dual-use Tech".
Dicho grupo de trabajo estuvo liderado por Javier Candau (Jefe de Política y Servicios del Centro Criptológico Nacional) y Viíctor Manuel Iglesias (Gabinete de Seguridad y Calidad de la Consejería de Innovación, Ciencia y Empleo de la Junta de Andalucía).
En estas diapositivas se muestran las conclusiones obtenidas por el grupo de debate y que se expusieron en el plenario el 28 de octubre de 2015.
La certificación de ciberseguridad en Europa, un desafío común.Javier Tallón
Europa es una potencia mundial en cuanto a certificaciones de ciberseguridad se refiere, por eso existen iniciativas y planes de desarrollo comunes impulsados por la Unión Europea para crear marcos y certificaciones comunes en los próximos años.
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
En esta introducción explico el papel que se vislumbró en su momento para la interoperabilidad en la administración electrónica/digital; los antecedentes; el contexto europeo; la elaboración del Esquema Nacional de Interoperabilidad, de sus Normas Técnicas de Interoperabilidad, junto con el Esquema de Metadatos para la Gestión del Documento Electrónico y la extensa colección de guías aplicación y documentos de soporte interpretativo; la interacción bidireccional en la redacción del ENI y del Marco Europeo de Interoperabilidad; las referencias cruzadas con el Esquema Nacional de Seguridad (ENS); el apunte hacia el futuro; el método aplicado para la elaboración del ENI y de sus Normas Técnicas de Interoperabilidad, a menudo abriendo camino, sin referencias o modelos orientativos, partiendo de un folio en blanco, acotando alcances para poder avanzar, a la vez que siendo conscientes de los retos por delante; y la referencia al esfuerzo colectivo, multidisciplinar, sostenido en el tiempo, así como a las personas que han contribuido especialmente a lo que el Esquema Nacional de Interoperabilidad y sus Normas Técnicas de Interoperabilidad son actualmente; y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo de las Administraciones Públicas (véase, por ejemplo, en las Guías de Aplicación de las Normas Técnicas de Interoperabilidad el anexo de Equipo Responsable), así como del ámbito más amplio de la Comunidad, tanto del sector público como del sector privado, que han contribuido a lo largo del tiempo con tantas aportaciones significativas; más quienes se han sumado a su implantación práctica, tarea que les ha ofrecido una oportunidad de protagonismo en sus propias organizaciones.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
XXVII Jornadas de Archivos Universitarios. Logroño, 10 de noviembre de 2022. CRUE - CAU Conferencia de Archivos de las Universidades Españolas. Universidad de La Rioja.
La preservación digital de datos y documentos a largo plazo: 5 retos próximos.
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de los datos y los servicios. En particular, la intensificación de la orientación al dato, que ha de convivir con la orientación al documento, lleva aparejada la aparición de nuevas regulaciones, dinámicas de gobernanza y roles, y servicios, junto con las correspondientes políticas, procedimientos y prácticas, estándares e instrumentos para su manejo, su protección en el escenario de la ciberseguridad, a la vez que su preservación a largo plazo.
En esta intervención se exponen cinco retos que se suscitan, entre otros posibles, en relación con la preservación digital de datos y documentos en el contexto de las tendencias en cuanto a la interoperabilidad, la ciberseguridad y la preservación de los datos.
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
La actualización del ENS ha perseguido, en primer lugar, alinear el instrumento con el marco normativo de referencia a la fecha para facilitar la seguridad en la administración digital. En segundo lugar, introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados colectivos de entidades, o de determinados ámbitos tecnológicos, dando respuesta a las nuevas demandas. Y, en tercer lugar, actualizar los principios básicos, los requisitos mínimos y las medidas de seguridad para facilitar la respuesta a las nuevas tendencias y necesidades de ciberseguridad.
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
Revista SIC. Nº 150. Junio 2022. Coautores Miguel A. Amutio y Pablo López.
La reciente aprobación del nuevo Esquema Nacional de Seguridad ha sentado las bases para afrontar con un nuevo marco regulatorio firme la transformación digital del sector público y sus proveedores del sector privado. Y hacerlo con la resiliencia y las medidas de prevención y protección necesarias para afrontar los retos en materia de ciberseguridad que la sociedad actual demanda.
En esta segunda entrega, el periódico Tierra se adentra en la operación «Inherent Resolve», una de las dos en las que participa el Ejército de Tierra en Irak. Personal de las Fuerzas Aeromóviles del Ejército de Tierra y del Mando de Operaciones Especiales forman parte de la coalición internacional para la lucha contra el Dáesh.
Este documento presenta una guía para encontrar soluciones a problemas complejos. Explica qué es un problema público, cómo podríamos definir un problema público, cómo podríamos definir un problema público de forma innovadora, cómo podríamos resolver un problema público con herramientas de pensamiento sistémico, sistemas complejos y pensamiento sistémico: ¿con qué herramientas contamos?
Con esta píldora formativa podrás comprender cómo implementar herramientas como el Arco del proceso de resolución de problemas (Beth S. Noveck / The GovLab), GovLab's Public Problem Solving Canvas o la Guía Un conjunto de herramientas introductorias al pensamiento sistémico para funcionarios públicos del Government Office for Science del Gobierno de Reino Unido.
Características del ESTADO URUGUAYO establecidos en la ConstituciónGraciela Susana Bengoa
Concepto General de ESTADO.
Características y estructura del Estado Uruguayo.
Normas Constitucionales donde se establece los distintos elementos que componen el Estado Uruguayo.
Informe de Movilidad / Abril 2024 - Caja de JubilacionesCórdoba, Argentina
El Informe de Movilidad es una publicación de carácter mensual en la cual se detallan los sectores con reajustados en la liquidación de haberes. Se tratan temas relacionados a haber medio, haber mínimo, ley 10.333 y tope previsional, entre otros. A su vez se efectúa una estimación del impacto financiero que tendrá la movilidad sobre las erogaciones corrientes del sistema previsional.
Informe de Movilidad / Abril 2024 - Caja de Jubilaciones
El nuevo ENS ante la ciberseguridad que viene
1. El nuevo ENS
ante la
ciberseguridad
que viene
Miguel A. Amutio Gómez
Director de Planificación y
Coordinación de Ciberseguridad
2. Cuál es el panorama de amenazas y tendencias
2022 2030
1. Ransomware
2. Malware
3. Amenazas de ingeniería social
4. Amenazas a los datos
5. Amenazas contra la disponibilidad de los servicios
6. Amenazas contra la disponibilidad de internet
7. Desinformación
8. Ataques contra la cadena de suministro
1. Compromiso de la cadena de suministro de dependencias de software
2. Campañas avanzadas de desinformación
3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad
4. Error humano y sistemas heredados explotados dentro de ecosistemas
ciberfísicos
5. Ataques dirigidos mejorados por datos de dispositivos inteligentes
6. Falta de análisis y control de la infraestructura y los objetos basados en el
espacio
7. Aumento de las amenazas híbridas avanzadas
8. Escasez de habilidades
9. Los proveedores transfronterizos de servicios de TIC como punto único de
fallo
10. Abuso de inteligencia artificial
3. Ciberseguridad, dónde estamos
Fuente: Miguel A. Amutio
2019
Guía nacional de
notificación y Gestión
ciberincidentes
Estrategia Nacional de
Ciberseguridad 2019
Cybersecurity Act
ACM Centro de
Operaciones de
Ciberseguridad de la AGE
2021
EU Digital Strategy
EU Strategy for Data
EU on AI White Paper
EU Cybersecurity Package
España Digital 2025
Foro Nacional de Ciberseguridad
Declaración Ministerial del Berlín
RD 43/2021 desarrollo RD-l 12/2018 (NIS)
Plan de Digitalización de las AAPP 2021 – 20215
Plan de Recuperación, Transformación y Resiliencia
RD 203/2021 Reglamento leyes 39 y 40
Reglamento Centro Europeo de Competencias en
Ciberseguridad
Proyecto RD actualización ENS (Audiencia e
información Pública)
NTI SICRES 4
Carta de derechos digitales
ACM Plan de choque de ciberseguridad
2020 2021
2020
2019
2022
RDL 7/2022 Seguridad 5G
Plan Nacional de Ciberseguridad
Propuesta Reglamento ciberseguridad instituciones
UE
Propuesta Reglamento seguridad de la información
instituciones UE
RD 311/2022 ENS
Propuesta de Reglamento sobre Ciber resiliencia
Conclusiones del Consejo sobre protección de la
cadena de suministro
Propuesta Directiva NIS2
2022 2023
4. Cuál es el contexto europeo
Fuente: Miguel A. Amutio
(No exhaustivo)
Gobernanza
Cooperación
Comunidad
Marco legal
Capacidades
• Reglamento 910/2014 eIDAS
• Reglamento 2016/679 Protección de datos
• Reglamento 2019/881 Ciberseguridad
• Reglamento 2021/887 Centro Europeo de Competencias
en Ciberseguridad
• Directiva 2016/1148 NIS
• Conclusiones del Consejo sobre la seguridad de la
cadena de suministro
• Propuestas de Esquemas de Certificación
• Propuesta de Directiva NIS2
• Propuesta de Directiva sobre resiliencia de entidades
críticas
• Propuesta de Reglamento de ciber resiliencia
• Propuesta Reglamento ciberseguridad instituciones UE
• Propuesta Reglamento seguridad de la información
instituciones UE
• Cooperación internacional en normas y especificaciones de
ciberseguridad
• Cooperación con terceros países
• Cooperación sobre ciberdelito / ciberdefensa
• Grupo de Cooperación NIS
• Centro Europeo de Competencias en Ciberseguridad- ECCC
• Red de Centros Nacionales de Coordinación
• Comunidad de Ciberseguridad
• ENISA
• CERT-UE (para Instituciones y agencias de la UE)
• Redes 5G Toolbox
• Seguridad en internet (DNS4EU)
• Ejercicios de ciberseguridad
• …
• Joint Cyber Unit – Cooperación de comunidades de
ciberseguridad
• Red de CSIRT (Directiva NIS)
• Red CyCLONe – para gestión de crisis
• …
Photo by Sara Kurfeß on Unsplash
+ Recursos de
financiación
+ Recursos de
financiación
• Digital Europe Programme: Ciberseguridad
• Horizon Europe
5. Foto de Sara Kurfeß en Unsplash
La ciberseguridad
que viene…Qué
aspectos se
refuerzan
Y cómo nos estamos
preparando
6. Se refuerzan las medidas para gestión de los riesgos
NIS2
Ámbito de aplicación ampliado: AAPP (AGE, CCAA; EELL a determinar)
Obligaciones principales para las entidades en su ámbito:
Photo by Annie Spratt on Unsplash
Gobernanza
Notificación de
incidentes con impacto
significativo
Medidas para la gestión de riesgos
• Políticas de seguridad
• Gestión de incidentes (prevención, detección y respuesta)
• Continuidad de las actividades
• Seguridad de la cadena de suministro
• Seguridad en adquisición, desarrollo y mantenimiento de
redes y sistemas. Cadena se suministro
• Políticas y procedimientos para evaluar la eficacia de las
medidas.
• Prácticas básicas de ciberhigiene y formación en
ciberseguridad.
• Políticas y procedimientos relativos a criptografía y de cifrado
• Seguridad de recursos humanos, …
• Vulnerabilidades específicas de proveedor y prestador servicios.
Utilización de esquemas
europeos de
certificación de la
ciberseguridad
Intercambio información
- Notificación voluntaria
7. Se refuerzan las obligaciones para los EEMM
NIS2
✓ Registro de entidades esenciales e importantes
✓ Estrategia Nacional de Ciberseguridad – Políticas
✓ Autoridades competentes y puntos de contacto únicos
✓ Marcos nacionales de gestión de crisis de ciberseguridad
✓ Equipos de respuesta a incidentes CSIRT
✓ Divulgación coordinada de vulnerabilidades
✓ Coordinación a escala nacional, UE e Internacional.
✓ Mecanismos de intercambio de información
✓ Mecanismos de supervisión y ejecución
Photo by Annie Spratt on Unsplash
8. Se refuerza la protección de la cadena de suministro
Aspectos generales
Reforzar la resiliencia y la seguridad generales de las
cadenas de suministro de las TIC
Relevancia de los instrumentos legislativos
Atención no solo a los proveedores primarios, sino
también a los subcontratistas
Red de Centros Nacionales de Coordinación tenga en
cuenta en su programa estratégico la seguridad de la
cadena de suministro de las TIC
Conclusiones del
Consejo sobre la
seguridad de la cadena
de suministro
Medidas
Evaluación coordinada de riesgos de cadena de
suministro en virtud de NIS2
Medidas para reducir los riesgos de las cadenas de
suministro de las TIC críticas
Aplicar soluciones sistemáticas, como los principios
de confianza cero (mínimo privilegio), la lista de
componentes software y otras
Adquisición de productos
Necesidad de que los procedimientos de adjudicación
de contratos públicos tengan en cuenta la
importancia de la seguridad de la cadena de
suministro de las TIC
INVITA a la Comisión a que elabore directrices
metodológicas, para Q3 2023, con el fin de alentar a los
poderes adjudicadores a prestar atención a las
prácticas de ciberseguridad de licitadores y sus
subcontratistas
9. Se promueve la confianza en productos y servicios
EUCC - Common Criteria based European candidate Cybersecurity Certification Scheme
Persigue la certificación de la ciberseguridad de productos de las tecnologías de la
información sobre la base de:
✓ los Criterios Comunes,
✓ la Metodología Común de Evaluación de la Seguridad de Tecnología de la
Información
✓ y de las normas correspondientes (ISO/IEC 15408 e ISO/IEC 18045).
EUCS - European Union Certification Scheme on Cloud Services – EUCS
✓ Aplicable a todo tipo de servicios en la nube
✓ Definición de un conjunto de requisitos de seguridad
✓ Tres escalones: ‘BAJO’, ‘MEDIO’ y ‘ALTO’
El Reglamento (UE) 2019/881 establece un marco europeo voluntario de certificación
de la ciberseguridad para productos, procesos y servicios de TIC.
Los esquemas europeos de certificación se establecen mediante acto de ejecución
de la Comisión.
+ Posibles nuevos esquemas europeos de certificación de la ciberseguridad para
productos con elementos digitales (Propuesta de reglamento de ciber resiliencia)
10. Reglamento de ciber resiliencia
Aplica a productos con elementos digitales cuyo uso previsto y razonablemente
previsible incluya conexión de datos directa o indirecta, lógica o física, a un dispositivo de
red.
a) normas para la introducción en el mercado de la UE de productos con elementos
digitales destinadas a garantizar su ciberseguridad;
b) requisitos esenciales para el diseño, desarrollo y fabricación de productos con
elementos y obligaciones para operadores económicos en relación la ciberseguridad;
c) requisitos esenciales para los procesos de gestión de vulnerabilidades
establecidos por los fabricantes para garantizar la ciberseguridad de los productos con
elementos digitales durante todo el ciclo de vida, y obligaciones de los operadores
económicos en relación con estos procesos;
d) normas relativas a la vigilancia del mercado y del cumplimiento de las reglas y
requisitos establecidos – designación autoridades de vigilancia del mercado y
autoridades de notificación.
Los productos con elementos digitales que pertenezcan a alguna de las categorías
enumeradas en el Anexo III se considerarán productos críticos con elementos digitales
Se promueve la confianza en productos y servicios
11. Se impulsan las capacidades de ciberseguridad
Estrategia Europea de Ciberseguridad: La Comisión propone crear una red de
centros de operaciones de seguridad en toda la UE y apoyar la mejora de los centros
existentes y el establecimiento de otros nuevos.
Digital Europe Programme - Cybersecurity
22 November 2022
12. Se promueve la seguridad de la información
Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre la
seguridad de la información en las instituciones, órganos y organismos de la Unión. 22.3.2022
COM(2022) 119 final
Esencialmente, categorías armonizadas de información y normas comunes de tratamiento.
• 3 grados de información no clasificada: uso público, normal y sensible no clasificada;
• 4 grados de información clasificada de la UE: EU RESTRICTED, EU CONFIDENTIAL, EU
SECRET, TRES EU TOP SECRET.
+ Un sistema de cooperación sencillo en materia de seguridad de la información
De interés:
10.1 b) establecer un sistema de metadatos para las marcas y toda la información técnica necesaria para
contribuir a un intercambio de información interoperable y sin fisuras entre las instituciones y órganos de la
Unión,…
17.1. e) se utilizarán metadatos interoperables para registrar el nivel de confidencialidad de los documentos
electrónicos y facilitar la automatización de las medidas de seguridad;…
13. Foto de Sara Kurfeß en Unsplash
La ciberseguridad
que viene…Qué
aspectos se
refuerzan
Y cómo nos estamos
preparando
14. Ciberseguridad sector público*, enfoque global
Fuente: Miguel A. Amutio
Liderazgo:
* Y sus proveedores de soluciones y prestadores de servicios
Marco Legal
Gobernanza
Cooperación
Comunidad
Capacidades
Servicios
Soluciones
Interacción
Evolución
Administración
Digital
▪ Ciberseguridad
Nacional:
▪ CNCS
▪ FNCS
▪ Administración Digital
▪ AGE
▪ Comisión
Sectorial
Administración
Electrónica
▪ ENS - CoCENS
+ Recursos de
financiación
Productos certificados
(Catálogo CPSTIC)
15. Medidas para la gestión de los riesgos
Photo by Annie Spratt on Unsplash
• Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4)
• Principios básicos, que sirven de guía. (arts. 5 – 11)
• Política de seguridad y requisitos mínimos de seguridad, obligado cumplimiento. (arts. 12 –
28)
• Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas
(arts. 28, 40, 41, A-I y A-II)
• Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II)
• Uso de infraestructuras y servicios comunes (art. 29)
• Los perfiles de cumplimiento específicos (art. 30)
• La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III)
• Informe del estado de la seguridad (art. 32)
• Respuesta a incidentes de seguridad (arts. 33 y 34)
• La conformidad con el ENS (arts. 35 a 38)
• La actualización permanente (art. 39)
• La formación (D.a. 1ª)
• Las instrucciones técnicas de seguridad (D.a. 2ª)
• Las guías de seguridad (D.a. 2ª)
• Respeto del principio de «no causar un perjuicio significativo» al medioambiente (D.a. 3ª)
• Adecuación de sistemas (D.t.u) -> 24 meses
• Derogación normativa (Disposición derogatoria única): RD 3/2010.
• Anexo I. Categorías de seguridad de los sistemas
• Anexo II. Medidas de seguridad
• Anexo III. Auditoría de la seguridad
• Anexo IV. Glosario
16. ✓ Proveedores de soluciones y prestadores de servicios en ámbito de
aplicación
✓ Requisitos de conformidad con el ENS en pliegos de prescripciones
técnicas
✓ Requisitos extensibles a cadena de suministro
✓ Obligación de disponer de política de seguridad
✓ Disponer de punto o persona de contacto
✓ Condiciones relativas a los productos de seguridad
Nuevas medidas
✓ Protección de la cadena de suministro
✓ Protección de los servicios en la nube
✓ Otros dispositivos conectados a la red
Refuerzos relativos a la lista de componentes software
✓ [op.pl.5] Componentes certificados – R2
✓ [op.ext.3] Protección de la cadena de suministro (ALTA) – R3
✓ [op.exp.1] Inventario de activos – R4
✓ [mp.sw.1] Desarrollo de aplicaciones – R5
Protección de la cadena de suministro
17. Artículo 19
…se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados,
aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición
El OC determinará ciertos aspectos…
Componentes certificados [op.pl.5]
[op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de
las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para
seleccionar los productos o servicios suministrados por un tercero …
En caso de que no existan productos o servicios en el CPSTIC que implementen las
funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito
en el artículo 19.
Confianza en productos de seguridad
18. Protección de servicios en la nube [op.nub.1]
Requisito [op.nub.1.2] servicios en la nube suministrados por
terceros, -> conformes con el ENS o cumplir con guía del CCN:
auditoría de pruebas de penetración, transparencia, cifrado y
gestión de claves y jurisdicción de los datos.
Refuerzo [op.nub.1.r1.1] servicios en la nube suministrados por
terceros -> deberán estar certificados bajo una metodología de
certificación reconocida por el OC del Esquema Nacional de
Evaluación y Certificación de Seguridad de las Tecnologías de la
Información.
…y protección de servicios en la nube
19. Adquisición de productos en la práctica…
CERTIFICACIÓN DE LA FUNCIONALIDAD DE SEGURIDAD DE LOS PROGRAMAS
CONDICIONES GENERALES PARA EXIGIR LAS CERTIFICACIONES DE SEGURIDAD
✓ Que el sistema se encuentre bajo el alcance del ENS
✓ Declaración de Categoría Media o Alta, y de aplicación la medida [op.pl.5]
✓ Que la función de seguridad esté relacionada con el objeto de su adquisición, y la exigencia de
certificación sea proporcionada a la categoría y el nivel de seguridad.
MEDIOS ADMISIBLES PARA ACREDITAR LA SEGURIDAD DE LOS PROGRAMAS EN
INFRAESTRUCTURA LOCAL
✓ El programa está incluido en el Catálogo CPSTIC
✓ El programa está incluido en otro catálogo considerado equivalente por el CCN
✓ El programa tiene certificada la funcionalidad de seguridad, según los criterios y metodologías de
evaluación reconocidas por el OC del CCN conforme al artículo 19.2 del ENS
✓ El producto tiene certificada la funcionalidad de seguridad dentro del EUCC o cualquier otro que
sea aprobado por la Comisión Europea en virtud del artículo 49 del Reglamento (UE) 2019/881
III.2.3. MEDIOS ADMISIBLES PARA ACREDITAR LA SEGURIDAD DE
LOS PROGRAMAS EN LA NUBE
✓ El programa tiene certificada la conformidad con el ENS al nivel y
categoría del sistema de información
✓ El programa está incluido en el Catálogo CPSTIC
✓ El programa está incluido en otro catálogo considerado equivalente
por el CCN
✓ El programa y la infraestructura de nube estén certificados de manera
conjunta dentro del EUCS (European Cybersecurity Certification
Scheme for Cloud Services) o cualquier otro que sea aprobado por la
Comisión Europea en virtud del artículo 49 del Reglamento (UE)
2019/881.
La certificación deberá extenderse al programa y a la infraestructura de
nube sobre la que se ejecuta como un todo unitario.
6 lotes, incluyendo Lote 4 – Software de ciberseguridad
NORMAS COMUNES A TODOS LOS LOTES:
20. Despliegue de capacidades de ciberseguridad
FUENTE: Presentación Balance PRTR
FECHA: 30 de agosto de 2022
LaSGADparticiparealizandolavaloracióntécnicadelosproyectospropuestosporlasEELL,conlaevaluacióndelaadecuación
alascondicionestécnicasestablecidasenlaconvocatoria.
PrimeraconvocatoriadetransformacióndigitaldeEELL
1.000Mill.€inversiónC11.I3
92,77Mill.€yarepartidosen2021
149EELLdemásde50.000habitantes
Infraestructuras
Digitales
Mayorimporte
Ciberseguridad
Líneaconmayornúmerodeproyectos
Másde20Mill.€parala
creacióndeCentrosdeOperacionesde
Ciberseguridad(COCS)
16
90proyectos
60proyectoscon
actuacionescomunes
89,4Mill€
332PROYECTOS
Presentadospor145EELL
96,22%del
presupuestototal
391,4Mill.€transformacióndigitalEELL
43Mill€
Administración
orientadaal
ciudadano
10Mill€
Operaciones
inteligentes
13Mill€
Gobierno
delDato
2Mill€
Próximas acciones en ciberseguridad. Coordinación de la
SGAD en colaboración con las Diputaciones provinciales,
modelo de gobernanza a diseñar con la Secretaría de
Estado de Política Territorial
Promoción de capacidades de ciberseguridad
Mejora de la adecuación al Esquema Nacional de Seguridad (ENS)
21. Cooperación, gobernanza y comunidad
1. Foro Nacional de Ciberseguridad, previsto en la ENCS2019, constituido en 2020.
2. Participación en el Consejo de Administración del Centro Europeo de Competencias en
Ciberseguridad -> apoyar las capacidades, las competencias y los medios tecnológicos de la UE.
3. INCIBE como Centro Nacional de Coordinación en España.
Punto de contacto a escala nacional para
la comunidad de ciberseguridad.
Promover, fomentar y facilitar la
participación de la sociedad civil, la industria,
la comunidad académica y de investigación y
otras partes interesadas en proyectos de
ciberseguridad transfronterizos
financiados por la UE.
Establecer sinergias.
…
22. Cuál es el panorama de amenazas y tendencias
2022 2030
1. Ransomware
2. Malware
3. Amenazas de ingeniería social
4. Amenazas a los datos
5. Amenazas contra la disponibilidad de los servicios
6. Amenazas contra la disponibilidad de internet
7. Desinformación
8. Ataques contra la cadena de suministro
1. Compromiso de la cadena de suministro de dependencias de software
2. Campañas avanzadas de desinformación
3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad
4. Error humano y sistemas heredados explotados dentro de ecosistemas
ciberfísicos
5. Ataques dirigidos mejorados por datos de dispositivos inteligentes
6. Falta de análisis y control de la infraestructura y los objetos basados en el
espacio
7. Aumento de las amenazas híbridas avanzadas
8. Escasez de habilidades
9. Los proveedores transfronterizos de servicios de TIC como punto único de
fallo
10. Abuso de inteligencia artificial
23. Cuál es el panorama de amenazas y tendencias
2022 MEDIDAS
1. Ransomware
2. Malware
3. Amenazas de ingeniería social
4. Amenazas a los datos
5. Amenazas contra la disponibilidad de los servicios
6. Amenazas contra la disponibilidad de internet
7. Desinformación
8. Ataques contra la cadena de suministro
En general:
✓ Aplicación del ENS (Sector Público, proveedores, cadena de
suministro)
✓ Despliegue de capacidades de ciberseguridad (AGE, CCAA, EELL)
✓ Red Nacional de Centros de Operaciones de Ciberseguridad
✓ Plataforma Nacional de Notificación y Seguimiento de
Ciberincidentes
Ciertas medidas con especial impacto:
✓ Implantación de protección anti-ransomware (microCLAUDIA)
✓ Implantación de agente de seguridad de punto final EDR
✓ Implantación de segundo factor de autenticación
✓ Actualización y aplicación de parches de seguridad
✓ Vigilancia continua…
24. Cuál es el panorama de amenazas y tendencias
Evolución permanente ¿2030?
1. Compromiso de la cadena de suministro de dependencias de software
2. Campañas avanzadas de desinformación
3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad
4. Error humano y sistemas heredados explotados dentro de ecosistemas
ciberfísicos
5. Ataques dirigidos mejorados por datos de dispositivos inteligentes
6. Falta de análisis y control de la infraestructura y los objetos basados en el
espacio
7. Aumento de las amenazas híbridas avanzadas
8. Escasez de habilidades
9. Los proveedores transfronterizos de servicios de TIC como punto único de
fallo
10. Abuso de inteligencia artificial
Evolución permanente
Mayor coordinación, complejidad
Aprovechamiento de la mayor
conectividad y de la superficie
de exposición
Ampliación a todo tipo de
organizaciones y objetos
Impacto de la evolución de
las tecnologías y de nuevos
conceptos
Inteligencia Artificial, 5G,
Quantum Computing, IoT,
Móvil, Cloud, …
Mayor demanda de gobernanza, coordinación, cooperación
Desarrollo de capacidades conjuntas y de interconexión
Requisitos evolutivos y crecientes: adaptación permanente
25. ¿Qué esperamos por vuestra parte?
1. Que seáis partícipes y agentes activos de la
ciberseguridad, para contribuir a la defensa frente a las
ciberamenazas y los ciberataques.
Photo by Paul Rysz on Unsplash
2. Si trabajáis para el Sector Público
(directa o indirectamente), vuestra
colaboración para la aplicación del ENS
y la gobernanza de la ciberseguridad.
3. Vuestra colaboración en la
implantación del COCS (AGE) y, en
general, de las capacidades de
ciberseguridad e integración en la Red
Nacional de Centros de Operaciones
de Ciberseguridad.