SlideShare una empresa de Scribd logo
Ciberseguridad,
supuestos prácticos:
infraestructuras críticas
Pablo Fernández Burgueño
Pablo Fernández Burgueño
• Abogado e investigador jurídico
• Especializado en:
• Innovación jurídica
• Fintech – Insurtech
• Blockchain, criptomonedas e ICO
• Privacidad
• Ciberseguridad
11/27/2017
Índice de la sesión sobre ciberseguridad, supuestos
prácticos: infraestructuras críticas
1. Caso: Micro-segmentación en infraestructuras críticas
2. Infraestructura crítica, ¿qué es?
3. Operador crítico, ¿qué es?
4. ¿Qué medidas de seguridad necesitan las infraestructuras críticas?
5. La micro-segmentación
6. ¿Quién debe o tiene que integrar micro-segmentación?
7. Ley de medidas para la Protección de las Infraestructuras Críticas
8. Plan de Seguridad de Protección Específico (PPE)
9. Directiva NIS
10. Conclusiones
27/11/2017 @pablofb 3
Caso: Micro-segmentación en
infraestructuras críticas
Bloque 1
27/11/2017 @pablofb 4
Esquema de la investigación
1. Investigación en superficie
1. ¿Qué es una infraestructura crítica?
2. ¿Qué medidas de seguridad necesitan las infraestructuras críticas?
3. La micro-segmentación ¿Qué es? ¿Es necesaria su integración?
2. Investigación en profundidad
1. ¿Qué se indica en la normativa aplicable a las infraestructuras críticas?
2. ¿Hay normativa para infraestructuras por sectores de actividad?
3. ¿Existe normativa europea aplicable? ¿Se espera que exista?
3. Detalles finales: resumen ejecutivo y, si procede, conclusiones
27/11/2017 @pablofb 5
Camino hacia la fuente: www.CNPIC.es
27/11/2017 @pablofb 6
¿Qué es el CNPIC?
Centro Nacional de Protección de Infraestructuras y Ciberseguridad
- Desde 2007, en el Ministerio del Interior
- Funciones: impulsar, coordinar y supervisar la protección de las
infraestructuras críticas españolas y con la ciberseguridad
- Dónde aprender más:
- Ley 8/2011 de medidas para la protección de las infraestructuras críticas
- RD 704/2011 - Reglamento de protección de las infraestructuras críticas
27/11/2017 @pablofb 7
27/11/2017 @pablofb 8
Nivel de alerta en
Infraestructuras críticas
Fuente: CNPIC
27/11/2017 @pablofb 9
NAIC: Nivel de Alerta en Infraestructuras Críticas
• Indicador para el refuerzo sobre las medidas de
seguridad, vigilancia y protección exclusivamente
informáticas.
• Niveles:
• Nivel 1: Riesgo bajo. Activado el 02/07/2009.
• Nivel 2: Riesgo moderado. Activado el 09/09/2014.
• Nivel 3: Riesgo medio. Activado el 25/05/2015.
• Nivel 4: Riesgo alto. Activado desde el 26/06/2015 y
vigente desde entonces.
• Nivel 5: Riesgo muy alto. Aún no ha sido activado.
NAA: Nivel de Alerta Antiterrorista
• Indicador de alerta sobre la intención, la capacidad y la probabilidad de que terceros cometan un
atentado terrorista.
Infraestructura crítica, ¿qué es?
Bloque 2
27/11/2017 @pablofb 10
¿Qué es una infraestructura crítica?
Infraestructura crítica:
• Conjunto de elementos, dotaciones o servicios
• Su funcionamiento es indispensable para España
• No existen soluciones alternativas
Forman parte de las infraestructuras estratégicas, conformadas por:
- Instalaciones
- Redes
- Sistemas
- Equipos físicos y de tecnología de la información
27/11/2017 @pablofb 11
Inf. crítica española vs Inf.
crítica europea
Infraestructuras críticas = servicios esenciales
- Salud, seguridad, bienestar social y económico de
los ciudadanos
- Funcionamiento de las Administraciones Públicas.
Destrucción o perturbación = grave impacto
- Solo en España: infraestructura crítica del estado
(español).
- En 2 o más países europeos: inf. crítica europea.
Imagen cedida por Fsolda
27/11/2017 @pablofb 12
Clasificación de infraestructuras por sectores
Sector:
- Área diferenciada dentro
de la actividad laboral,
económica y productiva
- Proporciona un servicio
esencial o garantiza el
ejercicio de la autoridad
del Estado o de la
seguridad del país.
27/11/2017 @pablofb 13
Ejemplo: Sector TIC
Sector TIC (infraestructuras críticas):
• Subsector: Telecomunicaciones
• Subsector: Informática y Sociedad de la Información
• Subsector: Comunicación Audiovisual
Normativa del Sector TIC (infraestructuras críticas):
• Ley 09/2014, de las Telecomunicaciones.
• Estrategia de Ciberseguridad Nacional
• R.D. 863/2008 que aprueba Reglamento que desarrolla Ley 32/2003 General de las
Telecomunicaciones.
• Ley 17/2006 Radio y Televisión de Titularidad Estatal.
• R.D. 1066/2001 - Reglamento Protección Dominio Público Radioeléctrico y Medidas de Protección.
Operador crítico, ¿qué es?
Bloque 3
27/11/2017 @pablofb 15
¿Qué es un operador
crítico?
1. Operador crítico: Puede ser una entidad o un organismo
2. Gestiona uno o varios conjuntos de elementos, dotaciones o
servicios que conforman una infraestructura crítica.
3. Responsabilidades (una o varias de las siguientes):
1. Invertir en la instalación, la red, el sistema o el equipo
físico o de tecnología de la información de la
infraestructura
2. Mantener el funcionamiento continuado y sin
interrupciones de la infraestructura.
4. Los operadores son seleccionados por CNPIC
5. Forman parte del Sistema de Protección de Infraestructuras
Críticas.
Imagen cedida por Samson Duborg-Rankin
27/11/2017 @pablofb 16
Principal tarea del operador
en ciberseguridad
Principal tarea en ciberseguridad: optimizar la protección
de la infraestructura crítica que gestiona.
El operador deberá:
- Realizar un análisis de riesgo sobre el sector estratégico
- Elaborar el Plan de Seguridad del Operador y
mantenerlo actualizado
- Elaborar un Plan de Protección Específico para la
infraestructura crítica que gestione
Imagen cedida por Markus Spiske
27/11/2017
¿Qué medidas de seguridad
necesitan las infraestructuras
críticas?
Bloque 4
27/11/2017 @pablofb 18
Qué medidas tienen que
integrar las Inf. Cr.
Todas las necesarias
para garantizar la prestación continua
de los servicios esenciales
para el mantenimiento de las funciones sociales
básicas del país
Imagen cedida por Henry Hustava
27/11/2017 @pablofb 19
Tipos de medidas de
seguridad
Las medidas obligatorias establecidas por la normativa en
vigor se dividen en:
1. Medidas de Seguridad Tasadas
2. Medidas de Seguridad Personalizadas:
• Evaluación de riesgo:
1. identificación de las amenazas potenciales
2. estudio de las mismas y valoración de su
nivel de eficacia
3. selección de las medidas más adecuadas
para prevenir y proteger
Imagen cedida por James Pond
27/11/2017
@pablofb 20
¿Qué es el estado de la
técnica?
Soluciones adecuadas al estado de la técnica:
- Nuevas amenazas - > Nuevas soluciones
- Actualización constante con mejoras de la
versión (update)
- Ascenso a versiones mejores (upgrade)
- Renovaciones de licencias
- Muy importante: configuración adecuada de
la solución
Imagen cedida por NeONBRAND
27/11/2017 @pablofb 21
La micro-segmentación
Bloque 5
27/11/2017 @pablofb 22
Qué es la micro-segmentación
Micro-segmentación
1. Qué es: una solución informática
2. Qué hace: protege de forma autónoma cada elemento de una
infraestructura concreta
3. Cómo lo hace: Lleva el control perimetral a cada elemento de la
infraestructura.
4. Ejemplo: Logra que una brecha de seguridad solo pueda afectar a una
pequeña parte del sistema, dejando indemne y operativo el resto de la
estructura
27/11/2017 @pablofb 23
¿Alternativas a la micro-
segmentación?
Aproximación perimetral
1. Definir islas
2. Ubicar los recursos dentro de las islas.
3. Blindar perimetralmente las islas para proteger su contenido.
Problema de la aproximación perimetral:
- Una vez roto el perímetro, el ataque podría expandirse fácilmente por
los sistemas afectando gravemente al funcionamiento de la
infraestructura.
Imagen cedida por Lily Lvnatikk
27/11/2017 @pablofb 24
¿Quién debe o tiene que integrar
micro-segmentación?
Bloque 6
27/11/2017 @pablofb 25
¿Quién debe o tiene que integrar soluciones de
micro-segmentación?
• Se deben integrar en todas las infraestructuras críticas cuyos
operadores hayan determinado la necesidad de la misma.
¿Cómo se determina? Con el análisis de riesgo, cumpliendo:
- Ley de Medidas para La Protección de Infraestructuras Críticas
- Evaluación de riesgo del GDPR
- Plan de Seguridad del Operador (PSO)
- Plan de Protección Específico (PPE)
27/11/2017 @pablofb 26
Normas y docs. oficiales a tener en cuenta
• Estrategia de Seguridad Nacional
• Estrategia de Ciberseguridad
Nacional
• Estrategia de Seguridad Marítima
Nacional
• Ley de Seguridad Privada
• Ley 17/2015 del Sistema Nacional
de Protección Civil.
• R.D. 407/1992 Norma Básica de
Protección Civil
• R.D. 393/2007 Norma Básica de
Autoprotección de Centros y
Establecimientos
• R.D. 1468/2008
• R.D. 399/2007 Protocolo
Intervención Unidad Militar
Emergencia
• Contenidos mínimos PSO
• Contenidos mínimos PPE
• Guía de Buenas Prácticas para la
elaboración de los Contenidos
Mínimos de los Planes de
Seguridad del Operador
• Guía de Buenas Prácticas para la
elaboración de los Contenidos
Mínimos de los Planes de
Protección Específicos
• Directiva (UE) 2016/1148 del
Parlamento Europeo y del Consejo
de 6 de julio de 2016 relativa a las
medidas destinadas a garantizar
un elevado nivel común de
seguridad de las redes y sistemas
de información en la Unión
• Directiva 2008/114/CE del
Consejo, sobre Identificación y
Designación de las
Infraestructuras Críticas Europeas
y la Evaluación de la Necesidad de
Mejorar su Protección
• 106 normas específicas
adicionales:
cnpic.es/Legislacion_Aplicable/
• GDRP, LOPD, RLOPD y otras
27/11/2017 @pablofb 27
Apuntes adicionales
• NAA-NAIC. ¿En qué nivel estamos?
• La guía para el PSO menciona la ISO 27002
• Seguridad privada:
• Orden Ministerial 316/2011
• Referencia a la normativa UNE/EN
• Recomendaciones de la norma UNE/CLC TS 50131-7
• Ayuda en el CNPIC
Imagen cedida por Denys Nevozhai
27/11/2017 @pablofb 28
Ley de medidas para la Protección
de las Infraestructuras Críticas
Bloque 7
27/11/2017 @pablofb 29
La Ley de Medidas para la Protección de Inf. Cr.
Ley 8/2011 de Medidas para la Protección de las Infraestructuras Críticas
• Establece un marco de estrategias y estructuras
• Objetivos:
• Dirigir y coordinar las actuaciones en materia de protección
• Mejorar la prevención, preparación y respuesta de España
• Frente a atentados terroristas u otras amenazas que afecten a
infraestructuras críticas.
• Desde el 30 de abril de 2011
27/11/2017 @pablofb 30
Instrumentos de
Planificación
a) Plan Nacional de Protección de las Infraestructuras Críticas
(PNPIC)
b) Planes Estratégicos Sectoriales (PES)
c) Planes de Seguridad del Operador (PSO)
d) Planes de Protección Específicos (PPE)
e) Planes de Apoyo Operativo (PAO)
Imagen cedida por Patryk Grądys
27/11/2017 @pablofb 31
Responsables y delegados de
seguridad. Y datos clasificados
Responsable de Seguridad y Enlace con la Administración: representará
al operador crítico ante la Secretaría de Estado de Seguridad.
• Nombrado por cada uno de los operadores críticos
• Comunicado al Ministerio del Interior
• Con la habilitación de Director de Seguridad
Delegado de Seguridad (igual que el responsable pero sin habilitación):
enlace operativo y canal de información con las autoridades
competentes.
Especial protección para datos clasificados (personales y no personales)
Imagen cedida por rawpixel com
27/11/2017 @pablofb 32
Análisis de riesgos e
interdependencias
Análisis de riesgos:
- Estudio de las hipótesis de amenazas posibles
- Determinar la necesidad u oportunidad de integrar soluciones
Interdependencias:
- efectos que una perturbación en el funcionamiento de la instalación o
servicio produciría en otras instalaciones o servicios.
- Obligación: integrar soluciones informáticas que minimicen o anulen la
capacidad de un ataque para provocar interdependencias, aislando los
elementos de las infraestructuras a través de un control perimetral.
Imagen cedida por NASA
27/11/2017 @pablofb 33
Plan de Seguridad de Protección
Específico (PPE)
Bloque 8
27/11/2017 @pablofb 34
¿Qué son los Planes de Protección Específicos?
Los PPE son documentos operativos:
• Los elaboran los operadores críticos
• Definen medidas concretas permanentes, temporales y graduales
• Análisis de los potenciales riesgos de intrusión
• Evaluación de riesgo sobre los sistemas
• Estudio de las posibles interdependencias
• Indicación de las medidas de seguridad
• Explicación del motivo por el que se elige una medida, indicando los plazos
para su activación y para sus posteriores verificaciones de estado
27/11/2017 @pablofb 35
PPE y ciberseguridad
En el PPE se describen las soluciones de ciberseguridad sobre:
• Firewalls, DMZ, IPSs, IDSs, segmentación, micro-segmentación y
aislamiento de redes, cifrado, VPNs, elementos y medidas de control
de acceso de usuarios (tokens, controles biométricos, etc.), medidas
de instalación y configuración segura de elementos técnicos,
correladores de eventos y logs, protección frente malware, etc.
• Redundancia de sistemas (hardware y software).
27/11/2017 @pablofb 36
Recomendaciones
para elaborar el PPE
1. Seguir la Guía de Buenas Prácticas para el PPE
2. Proteger mediante el modelado de la
infraestructura crítica, tomando como base el
servicio o los sistemas.
1. Punto de partida identificación de los activos
a proteger
2. Clasificación de activos por:
1. impacto del incidente
2. capacidad de resolución del problema
3. tiempo de resolución posibilidad de propagación del problema
4. coste de la resolución
Imagen cedida por Sharon Pittaway
27/11/2017
@pablofb 37
Recomendación ciber: multi-capa
Multi-capa: defensa en general y ante la intrusión en particular
• Zona Exterior o ante-perímetro: Vigilancia y Control de las zonas más
externas al sistema o ubicación
• Perímetro: Control del perímetro conforme a la segmentación en
zonas de gestión
• Áreas protegidas: Áreas en las que el acceso debe estar restringido
para usuarios internos según la necesidad de acceder
27/11/2017 @pablofb 38
Directiva NIS
Bloque 9
27/11/2017 @pablofb 39
Acercamiento a la Directiva NIS
Directiva (UE) 2016/1148
• la Directiva es del 6 de julio de 2016
• como tarde, el 10 de mayo de 2018 tendrán que entrar en vigor las
leyes de transposición en el estado español
• tras la identificación de los operadores, que deberá hacerse, como
tarde, el 9 de noviembre de 2018, deberá hacerse una revisión del
cumplimiento cada dos años
27/11/2017 @pablofb 40
¿A qué obliga la Directiva NIS?
• Obligados: Estados europeos
• Obligación: Estrategia nacional de seguridad de las redes y TIC.
• Tareas:
• Identificación de operadores de servicios esenciales
• Establecer medidas para impedir efectos perturbadores, según:
• El número de usuarios afectados.
• La dependencia de otros sectores.
• La repercusión en las actividades económicas y sociales o en la seguridad pública.
• La cuota de mercado.
• La extensión geográfica.
• La importancia de la entidad para mantener un nivel suficiente del servicio.
27/11/2017 @pablofb 41
Deber de notificar brechas de ciberseguridad
• Quién: un operador o un proveedor de servicios digitales
• Qué ha debido sufrir:
• una brecha de seguridad u otro tipo de incidente
• que tenga efectos significativos
• Qué debe hacer: notificar los detalles de forma inmediata a:
• CNIPC o
• CSIRT (Computer Security Incident Response Team)
27/11/2017 @pablofb 42
10.- Conclusiones
¿Debe integrarse un sistema de
micro-segmentación
en una infraestructura crítica?
¿Por qué?
Consejo de cara a informes: Siempre has de referirte a artículos concretos de leyes y
documentos oficiales en los que bases tu respuesta.
27/11/2017 @pablofb 43
Gracias por la atención.
¿Comentarios? ¿Preguntas?
Pablo Fernández Burgueño – @pablofb
pablo@nevtrace.com www.nevtrace.com

Más contenido relacionado

Similar a Micro-segmentación para Infraestructuras críticas

Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospre
jtk1
 
Informatica Forense
Informatica ForenseInformatica Forense
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticos
Julio RS
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
Cristian Borghello
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
Viewnext
 
T04 03 ens
T04 03 ensT04 03 ens
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
Nextel S.A.
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Jack Daniel Cáceres Meza
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
Juan407916
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
Vicente Lingan
 
Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)
ninguna
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
cristiano546156
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
Miguel A. Amutio
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III  Politicas de Seguridad Lisby MoraUnidad III  Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
Lisby Mora
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Itconic
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
TGS
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
AlonsoCid
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
Miguel A. Amutio
 

Similar a Micro-segmentación para Infraestructuras críticas (20)

Aspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospreAspectos avanzados en_seguridad_en_redes_modulospre
Aspectos avanzados en_seguridad_en_redes_modulospre
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Analisis forense de sistemas informaticos
Analisis forense de sistemas informaticosAnalisis forense de sistemas informaticos
Analisis forense de sistemas informaticos
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
 
IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
T04 03 ens
T04 03 ensT04 03 ens
T04 03 ens
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)Seguridad física libro electrónico-tema 4 (2)
Seguridad física libro electrónico-tema 4 (2)
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III  Politicas de Seguridad Lisby MoraUnidad III  Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 

Más de Pablo Fernández Burgueño

¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?
Pablo Fernández Burgueño
 
Normativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedasNormativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedas
Pablo Fernández Burgueño
 
Realidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidadRealidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidad
Pablo Fernández Burgueño
 
Bitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchainBitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchain
Pablo Fernández Burgueño
 
Protección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al OlvidoProtección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al Olvido
Pablo Fernández Burgueño
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
Pablo Fernández Burgueño
 
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y SecretoModelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
Pablo Fernández Burgueño
 
Proteccion legal de la innovacion
Proteccion legal de la innovacionProteccion legal de la innovacion
Proteccion legal de la innovacion
Pablo Fernández Burgueño
 
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
Pablo Fernández Burgueño
 
Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019
Pablo Fernández Burgueño
 
Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)
Pablo Fernández Burgueño
 
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
Pablo Fernández Burgueño
 
Big Data y GDPR
Big Data y GDPRBig Data y GDPR
Cómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimientoCómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimiento
Pablo Fernández Burgueño
 
Clase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing onlineClase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing online
Pablo Fernández Burgueño
 
Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018
Pablo Fernández Burgueño
 
Propiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegosPropiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegos
Pablo Fernández Burgueño
 
Descubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedasDescubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedas
Pablo Fernández Burgueño
 
Consejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayoresConsejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayores
Pablo Fernández Burgueño
 
Las asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectadoLas asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectado
Pablo Fernández Burgueño
 

Más de Pablo Fernández Burgueño (20)

¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?¿Estamos preparados para un futuro sin “cookies”?
¿Estamos preparados para un futuro sin “cookies”?
 
Normativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedasNormativa sobre blockchain y criptomonedas
Normativa sobre blockchain y criptomonedas
 
Realidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidadRealidad Aumentada - Preguntas frecuentes sobre privacidad
Realidad Aumentada - Preguntas frecuentes sobre privacidad
 
Bitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchainBitcoin y Protección de datos en blockchain
Bitcoin y Protección de datos en blockchain
 
Protección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al OlvidoProtección de datos en Internet y Derecho al Olvido
Protección de datos en Internet y Derecho al Olvido
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
 
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y SecretoModelo de NDA gratis - Contrato de Confidencialidad y Secreto
Modelo de NDA gratis - Contrato de Confidencialidad y Secreto
 
Proteccion legal de la innovacion
Proteccion legal de la innovacionProteccion legal de la innovacion
Proteccion legal de la innovacion
 
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...RGPD en la monitorización analítica y creación de perfiles en la Administraci...
RGPD en la monitorización analítica y creación de perfiles en la Administraci...
 
Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019Una historia real sobre Bitcoin - TECOM 2019
Una historia real sobre Bitcoin - TECOM 2019
 
Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)
 
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
GDPR. Aplicación a cloud, IoT, Big Data, smartphones...
 
Big Data y GDPR
Big Data y GDPRBig Data y GDPR
Big Data y GDPR
 
Cómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimientoCómo cumplir GPDR - Puntos básicos de cumplimiento
Cómo cumplir GPDR - Puntos básicos de cumplimiento
 
Clase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing onlineClase de aspectos legales aplicables al eCommerce y el marketing online
Clase de aspectos legales aplicables al eCommerce y el marketing online
 
Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018Ciberseguridad en los videojuegos - T3chfest 2018
Ciberseguridad en los videojuegos - T3chfest 2018
 
Propiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegosPropiedad intelectual para desarrolladores de videojuegos
Propiedad intelectual para desarrolladores de videojuegos
 
Descubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedasDescubre los secretos de blockchain y las criptomonedas
Descubre los secretos de blockchain y las criptomonedas
 
Consejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayoresConsejos de ciberseguridad para proteger a tus mayores
Consejos de ciberseguridad para proteger a tus mayores
 
Las asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectadoLas asombrosas aventuras de un viajero conectado
Las asombrosas aventuras de un viajero conectado
 

Último

CLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdf
CLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdfCLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdf
CLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdf
EdwardWards
 
LA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIA
LA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIALA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIA
LA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIA
silvajimenezanayeli
 
CASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOS
CASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOSCASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOS
CASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOS
nayelitoapanta5
 
deslinde_titulacion. te comunidades campesinas
deslinde_titulacion. te comunidades campesinasdeslinde_titulacion. te comunidades campesinas
deslinde_titulacion. te comunidades campesinas
HynerHuaman
 
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
edwin70
 
EL MANDATO EN VENEZUELA, DERECHO CIVIL .
EL MANDATO EN VENEZUELA, DERECHO CIVIL .EL MANDATO EN VENEZUELA, DERECHO CIVIL .
EL MANDATO EN VENEZUELA, DERECHO CIVIL .
YamilyTorres1
 
Herramientas tecnológicas para los abogados.pptx
Herramientas tecnológicas para los abogados.pptxHerramientas tecnológicas para los abogados.pptx
Herramientas tecnológicas para los abogados.pptx
naomyrodelo
 
LEY 30057 - LEY DEL SERVICIO CIVIL.pptx
LEY 30057 - LEY DEL  SERVICIO CIVIL.pptxLEY 30057 - LEY DEL  SERVICIO CIVIL.pptx
LEY 30057 - LEY DEL SERVICIO CIVIL.pptx
BettyBravo4
 
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El SalvadorTarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
edwin70
 
LOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptx
LOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptxLOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptx
LOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptx
jbernardomaidana
 
EXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptx
EXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptxEXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptx
EXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptx
MarioChoque18
 
GUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOS
GUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOSGUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOS
GUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOS
AnonymousUn9IP20
 
ACCIONES CAMBIARIAS EN DERECHO PENAL PERU
ACCIONES CAMBIARIAS EN DERECHO PENAL PERUACCIONES CAMBIARIAS EN DERECHO PENAL PERU
ACCIONES CAMBIARIAS EN DERECHO PENAL PERU
03DEFCROCKYJIMMYACUA
 
TEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdf
TEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdfTEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdf
TEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdf
LIMBERMAQUERAMAMANI
 
Derechos Reales - Semana 12.pdf Casación 4742- 2017, Cusco
Derechos Reales - Semana 12.pdf Casación 4742- 2017, CuscoDerechos Reales - Semana 12.pdf Casación 4742- 2017, Cusco
Derechos Reales - Semana 12.pdf Casación 4742- 2017, Cusco
RenzoPaulChicnesFlor
 
Ley de Contrataciones públicas en Venezuela.ppt
Ley de Contrataciones públicas en Venezuela.pptLey de Contrataciones públicas en Venezuela.ppt
Ley de Contrataciones públicas en Venezuela.ppt
Dionimar
 
Derechos humanos. Unión Europea. Plan de Acción..pdf
Derechos humanos. Unión Europea. Plan de Acción..pdfDerechos humanos. Unión Europea. Plan de Acción..pdf
Derechos humanos. Unión Europea. Plan de Acción..pdf
José María
 
Apoyo al proyecto de vida. Personas con discapacidad..pdf
Apoyo al proyecto de vida. Personas con discapacidad..pdfApoyo al proyecto de vida. Personas con discapacidad..pdf
Apoyo al proyecto de vida. Personas con discapacidad..pdf
José María
 
CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...
CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...
CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...
Gonzalo Marin Art
 
Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...
Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...
Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...
edwin70
 

Último (20)

CLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdf
CLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdfCLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdf
CLASIFICACIÓN DE ACTOS ADMINISTRATIVOS.pdf
 
LA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIA
LA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIALA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIA
LA HIPOTECA EN EL PERU Y PUNTOS DE CONTROVERSIA
 
CASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOS
CASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOSCASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOS
CASO SALVADOR CHIRIBOGA VS ECUADOR CORTE INTERAMERICANA DE DERECHOS HUMANOS
 
deslinde_titulacion. te comunidades campesinas
deslinde_titulacion. te comunidades campesinasdeslinde_titulacion. te comunidades campesinas
deslinde_titulacion. te comunidades campesinas
 
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
 
EL MANDATO EN VENEZUELA, DERECHO CIVIL .
EL MANDATO EN VENEZUELA, DERECHO CIVIL .EL MANDATO EN VENEZUELA, DERECHO CIVIL .
EL MANDATO EN VENEZUELA, DERECHO CIVIL .
 
Herramientas tecnológicas para los abogados.pptx
Herramientas tecnológicas para los abogados.pptxHerramientas tecnológicas para los abogados.pptx
Herramientas tecnológicas para los abogados.pptx
 
LEY 30057 - LEY DEL SERVICIO CIVIL.pptx
LEY 30057 - LEY DEL  SERVICIO CIVIL.pptxLEY 30057 - LEY DEL  SERVICIO CIVIL.pptx
LEY 30057 - LEY DEL SERVICIO CIVIL.pptx
 
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El SalvadorTarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
 
LOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptx
LOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptxLOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptx
LOS PATRIARCAS DE LA PLATA HISTORIA DE BOLIVIA.pptx
 
EXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptx
EXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptxEXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptx
EXPOSICION LEY ORGANICA DE MUNICIPALIDADES. JUNIO.pptx
 
GUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOS
GUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOSGUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOS
GUIA DE AUDIENCIAS CIVILES, PROCESOS DE CONOCIMIENTOS
 
ACCIONES CAMBIARIAS EN DERECHO PENAL PERU
ACCIONES CAMBIARIAS EN DERECHO PENAL PERUACCIONES CAMBIARIAS EN DERECHO PENAL PERU
ACCIONES CAMBIARIAS EN DERECHO PENAL PERU
 
TEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdf
TEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdfTEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdf
TEMA GRECIA ROMA EN EL DERECHO ECONOMICO.pdf
 
Derechos Reales - Semana 12.pdf Casación 4742- 2017, Cusco
Derechos Reales - Semana 12.pdf Casación 4742- 2017, CuscoDerechos Reales - Semana 12.pdf Casación 4742- 2017, Cusco
Derechos Reales - Semana 12.pdf Casación 4742- 2017, Cusco
 
Ley de Contrataciones públicas en Venezuela.ppt
Ley de Contrataciones públicas en Venezuela.pptLey de Contrataciones públicas en Venezuela.ppt
Ley de Contrataciones públicas en Venezuela.ppt
 
Derechos humanos. Unión Europea. Plan de Acción..pdf
Derechos humanos. Unión Europea. Plan de Acción..pdfDerechos humanos. Unión Europea. Plan de Acción..pdf
Derechos humanos. Unión Europea. Plan de Acción..pdf
 
Apoyo al proyecto de vida. Personas con discapacidad..pdf
Apoyo al proyecto de vida. Personas con discapacidad..pdfApoyo al proyecto de vida. Personas con discapacidad..pdf
Apoyo al proyecto de vida. Personas con discapacidad..pdf
 
CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...
CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...
CAPÍTULO III, Catalogación de los panteones de Santa Paula de Guanajuato, Mun...
 
Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...
Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...
Tarea de Derecho Laboral I. diseñada para estudiantes de derecho laboral I de...
 

Micro-segmentación para Infraestructuras críticas

  • 2. Pablo Fernández Burgueño • Abogado e investigador jurídico • Especializado en: • Innovación jurídica • Fintech – Insurtech • Blockchain, criptomonedas e ICO • Privacidad • Ciberseguridad 11/27/2017
  • 3. Índice de la sesión sobre ciberseguridad, supuestos prácticos: infraestructuras críticas 1. Caso: Micro-segmentación en infraestructuras críticas 2. Infraestructura crítica, ¿qué es? 3. Operador crítico, ¿qué es? 4. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 5. La micro-segmentación 6. ¿Quién debe o tiene que integrar micro-segmentación? 7. Ley de medidas para la Protección de las Infraestructuras Críticas 8. Plan de Seguridad de Protección Específico (PPE) 9. Directiva NIS 10. Conclusiones 27/11/2017 @pablofb 3
  • 4. Caso: Micro-segmentación en infraestructuras críticas Bloque 1 27/11/2017 @pablofb 4
  • 5. Esquema de la investigación 1. Investigación en superficie 1. ¿Qué es una infraestructura crítica? 2. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? 3. La micro-segmentación ¿Qué es? ¿Es necesaria su integración? 2. Investigación en profundidad 1. ¿Qué se indica en la normativa aplicable a las infraestructuras críticas? 2. ¿Hay normativa para infraestructuras por sectores de actividad? 3. ¿Existe normativa europea aplicable? ¿Se espera que exista? 3. Detalles finales: resumen ejecutivo y, si procede, conclusiones 27/11/2017 @pablofb 5
  • 6. Camino hacia la fuente: www.CNPIC.es 27/11/2017 @pablofb 6
  • 7. ¿Qué es el CNPIC? Centro Nacional de Protección de Infraestructuras y Ciberseguridad - Desde 2007, en el Ministerio del Interior - Funciones: impulsar, coordinar y supervisar la protección de las infraestructuras críticas españolas y con la ciberseguridad - Dónde aprender más: - Ley 8/2011 de medidas para la protección de las infraestructuras críticas - RD 704/2011 - Reglamento de protección de las infraestructuras críticas 27/11/2017 @pablofb 7
  • 8. 27/11/2017 @pablofb 8 Nivel de alerta en Infraestructuras críticas Fuente: CNPIC
  • 9. 27/11/2017 @pablofb 9 NAIC: Nivel de Alerta en Infraestructuras Críticas • Indicador para el refuerzo sobre las medidas de seguridad, vigilancia y protección exclusivamente informáticas. • Niveles: • Nivel 1: Riesgo bajo. Activado el 02/07/2009. • Nivel 2: Riesgo moderado. Activado el 09/09/2014. • Nivel 3: Riesgo medio. Activado el 25/05/2015. • Nivel 4: Riesgo alto. Activado desde el 26/06/2015 y vigente desde entonces. • Nivel 5: Riesgo muy alto. Aún no ha sido activado. NAA: Nivel de Alerta Antiterrorista • Indicador de alerta sobre la intención, la capacidad y la probabilidad de que terceros cometan un atentado terrorista.
  • 10. Infraestructura crítica, ¿qué es? Bloque 2 27/11/2017 @pablofb 10
  • 11. ¿Qué es una infraestructura crítica? Infraestructura crítica: • Conjunto de elementos, dotaciones o servicios • Su funcionamiento es indispensable para España • No existen soluciones alternativas Forman parte de las infraestructuras estratégicas, conformadas por: - Instalaciones - Redes - Sistemas - Equipos físicos y de tecnología de la información 27/11/2017 @pablofb 11
  • 12. Inf. crítica española vs Inf. crítica europea Infraestructuras críticas = servicios esenciales - Salud, seguridad, bienestar social y económico de los ciudadanos - Funcionamiento de las Administraciones Públicas. Destrucción o perturbación = grave impacto - Solo en España: infraestructura crítica del estado (español). - En 2 o más países europeos: inf. crítica europea. Imagen cedida por Fsolda 27/11/2017 @pablofb 12
  • 13. Clasificación de infraestructuras por sectores Sector: - Área diferenciada dentro de la actividad laboral, económica y productiva - Proporciona un servicio esencial o garantiza el ejercicio de la autoridad del Estado o de la seguridad del país. 27/11/2017 @pablofb 13
  • 14. Ejemplo: Sector TIC Sector TIC (infraestructuras críticas): • Subsector: Telecomunicaciones • Subsector: Informática y Sociedad de la Información • Subsector: Comunicación Audiovisual Normativa del Sector TIC (infraestructuras críticas): • Ley 09/2014, de las Telecomunicaciones. • Estrategia de Ciberseguridad Nacional • R.D. 863/2008 que aprueba Reglamento que desarrolla Ley 32/2003 General de las Telecomunicaciones. • Ley 17/2006 Radio y Televisión de Titularidad Estatal. • R.D. 1066/2001 - Reglamento Protección Dominio Público Radioeléctrico y Medidas de Protección.
  • 15. Operador crítico, ¿qué es? Bloque 3 27/11/2017 @pablofb 15
  • 16. ¿Qué es un operador crítico? 1. Operador crítico: Puede ser una entidad o un organismo 2. Gestiona uno o varios conjuntos de elementos, dotaciones o servicios que conforman una infraestructura crítica. 3. Responsabilidades (una o varias de las siguientes): 1. Invertir en la instalación, la red, el sistema o el equipo físico o de tecnología de la información de la infraestructura 2. Mantener el funcionamiento continuado y sin interrupciones de la infraestructura. 4. Los operadores son seleccionados por CNPIC 5. Forman parte del Sistema de Protección de Infraestructuras Críticas. Imagen cedida por Samson Duborg-Rankin 27/11/2017 @pablofb 16
  • 17. Principal tarea del operador en ciberseguridad Principal tarea en ciberseguridad: optimizar la protección de la infraestructura crítica que gestiona. El operador deberá: - Realizar un análisis de riesgo sobre el sector estratégico - Elaborar el Plan de Seguridad del Operador y mantenerlo actualizado - Elaborar un Plan de Protección Específico para la infraestructura crítica que gestione Imagen cedida por Markus Spiske 27/11/2017
  • 18. ¿Qué medidas de seguridad necesitan las infraestructuras críticas? Bloque 4 27/11/2017 @pablofb 18
  • 19. Qué medidas tienen que integrar las Inf. Cr. Todas las necesarias para garantizar la prestación continua de los servicios esenciales para el mantenimiento de las funciones sociales básicas del país Imagen cedida por Henry Hustava 27/11/2017 @pablofb 19
  • 20. Tipos de medidas de seguridad Las medidas obligatorias establecidas por la normativa en vigor se dividen en: 1. Medidas de Seguridad Tasadas 2. Medidas de Seguridad Personalizadas: • Evaluación de riesgo: 1. identificación de las amenazas potenciales 2. estudio de las mismas y valoración de su nivel de eficacia 3. selección de las medidas más adecuadas para prevenir y proteger Imagen cedida por James Pond 27/11/2017 @pablofb 20
  • 21. ¿Qué es el estado de la técnica? Soluciones adecuadas al estado de la técnica: - Nuevas amenazas - > Nuevas soluciones - Actualización constante con mejoras de la versión (update) - Ascenso a versiones mejores (upgrade) - Renovaciones de licencias - Muy importante: configuración adecuada de la solución Imagen cedida por NeONBRAND 27/11/2017 @pablofb 21
  • 23. Qué es la micro-segmentación Micro-segmentación 1. Qué es: una solución informática 2. Qué hace: protege de forma autónoma cada elemento de una infraestructura concreta 3. Cómo lo hace: Lleva el control perimetral a cada elemento de la infraestructura. 4. Ejemplo: Logra que una brecha de seguridad solo pueda afectar a una pequeña parte del sistema, dejando indemne y operativo el resto de la estructura 27/11/2017 @pablofb 23
  • 24. ¿Alternativas a la micro- segmentación? Aproximación perimetral 1. Definir islas 2. Ubicar los recursos dentro de las islas. 3. Blindar perimetralmente las islas para proteger su contenido. Problema de la aproximación perimetral: - Una vez roto el perímetro, el ataque podría expandirse fácilmente por los sistemas afectando gravemente al funcionamiento de la infraestructura. Imagen cedida por Lily Lvnatikk 27/11/2017 @pablofb 24
  • 25. ¿Quién debe o tiene que integrar micro-segmentación? Bloque 6 27/11/2017 @pablofb 25
  • 26. ¿Quién debe o tiene que integrar soluciones de micro-segmentación? • Se deben integrar en todas las infraestructuras críticas cuyos operadores hayan determinado la necesidad de la misma. ¿Cómo se determina? Con el análisis de riesgo, cumpliendo: - Ley de Medidas para La Protección de Infraestructuras Críticas - Evaluación de riesgo del GDPR - Plan de Seguridad del Operador (PSO) - Plan de Protección Específico (PPE) 27/11/2017 @pablofb 26
  • 27. Normas y docs. oficiales a tener en cuenta • Estrategia de Seguridad Nacional • Estrategia de Ciberseguridad Nacional • Estrategia de Seguridad Marítima Nacional • Ley de Seguridad Privada • Ley 17/2015 del Sistema Nacional de Protección Civil. • R.D. 407/1992 Norma Básica de Protección Civil • R.D. 393/2007 Norma Básica de Autoprotección de Centros y Establecimientos • R.D. 1468/2008 • R.D. 399/2007 Protocolo Intervención Unidad Militar Emergencia • Contenidos mínimos PSO • Contenidos mínimos PPE • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Seguridad del Operador • Guía de Buenas Prácticas para la elaboración de los Contenidos Mínimos de los Planes de Protección Específicos • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión • Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección • 106 normas específicas adicionales: cnpic.es/Legislacion_Aplicable/ • GDRP, LOPD, RLOPD y otras 27/11/2017 @pablofb 27
  • 28. Apuntes adicionales • NAA-NAIC. ¿En qué nivel estamos? • La guía para el PSO menciona la ISO 27002 • Seguridad privada: • Orden Ministerial 316/2011 • Referencia a la normativa UNE/EN • Recomendaciones de la norma UNE/CLC TS 50131-7 • Ayuda en el CNPIC Imagen cedida por Denys Nevozhai 27/11/2017 @pablofb 28
  • 29. Ley de medidas para la Protección de las Infraestructuras Críticas Bloque 7 27/11/2017 @pablofb 29
  • 30. La Ley de Medidas para la Protección de Inf. Cr. Ley 8/2011 de Medidas para la Protección de las Infraestructuras Críticas • Establece un marco de estrategias y estructuras • Objetivos: • Dirigir y coordinar las actuaciones en materia de protección • Mejorar la prevención, preparación y respuesta de España • Frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas. • Desde el 30 de abril de 2011 27/11/2017 @pablofb 30
  • 31. Instrumentos de Planificación a) Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) b) Planes Estratégicos Sectoriales (PES) c) Planes de Seguridad del Operador (PSO) d) Planes de Protección Específicos (PPE) e) Planes de Apoyo Operativo (PAO) Imagen cedida por Patryk Grądys 27/11/2017 @pablofb 31
  • 32. Responsables y delegados de seguridad. Y datos clasificados Responsable de Seguridad y Enlace con la Administración: representará al operador crítico ante la Secretaría de Estado de Seguridad. • Nombrado por cada uno de los operadores críticos • Comunicado al Ministerio del Interior • Con la habilitación de Director de Seguridad Delegado de Seguridad (igual que el responsable pero sin habilitación): enlace operativo y canal de información con las autoridades competentes. Especial protección para datos clasificados (personales y no personales) Imagen cedida por rawpixel com 27/11/2017 @pablofb 32
  • 33. Análisis de riesgos e interdependencias Análisis de riesgos: - Estudio de las hipótesis de amenazas posibles - Determinar la necesidad u oportunidad de integrar soluciones Interdependencias: - efectos que una perturbación en el funcionamiento de la instalación o servicio produciría en otras instalaciones o servicios. - Obligación: integrar soluciones informáticas que minimicen o anulen la capacidad de un ataque para provocar interdependencias, aislando los elementos de las infraestructuras a través de un control perimetral. Imagen cedida por NASA 27/11/2017 @pablofb 33
  • 34. Plan de Seguridad de Protección Específico (PPE) Bloque 8 27/11/2017 @pablofb 34
  • 35. ¿Qué son los Planes de Protección Específicos? Los PPE son documentos operativos: • Los elaboran los operadores críticos • Definen medidas concretas permanentes, temporales y graduales • Análisis de los potenciales riesgos de intrusión • Evaluación de riesgo sobre los sistemas • Estudio de las posibles interdependencias • Indicación de las medidas de seguridad • Explicación del motivo por el que se elige una medida, indicando los plazos para su activación y para sus posteriores verificaciones de estado 27/11/2017 @pablofb 35
  • 36. PPE y ciberseguridad En el PPE se describen las soluciones de ciberseguridad sobre: • Firewalls, DMZ, IPSs, IDSs, segmentación, micro-segmentación y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biométricos, etc.), medidas de instalación y configuración segura de elementos técnicos, correladores de eventos y logs, protección frente malware, etc. • Redundancia de sistemas (hardware y software). 27/11/2017 @pablofb 36
  • 37. Recomendaciones para elaborar el PPE 1. Seguir la Guía de Buenas Prácticas para el PPE 2. Proteger mediante el modelado de la infraestructura crítica, tomando como base el servicio o los sistemas. 1. Punto de partida identificación de los activos a proteger 2. Clasificación de activos por: 1. impacto del incidente 2. capacidad de resolución del problema 3. tiempo de resolución posibilidad de propagación del problema 4. coste de la resolución Imagen cedida por Sharon Pittaway 27/11/2017 @pablofb 37
  • 38. Recomendación ciber: multi-capa Multi-capa: defensa en general y ante la intrusión en particular • Zona Exterior o ante-perímetro: Vigilancia y Control de las zonas más externas al sistema o ubicación • Perímetro: Control del perímetro conforme a la segmentación en zonas de gestión • Áreas protegidas: Áreas en las que el acceso debe estar restringido para usuarios internos según la necesidad de acceder 27/11/2017 @pablofb 38
  • 40. Acercamiento a la Directiva NIS Directiva (UE) 2016/1148 • la Directiva es del 6 de julio de 2016 • como tarde, el 10 de mayo de 2018 tendrán que entrar en vigor las leyes de transposición en el estado español • tras la identificación de los operadores, que deberá hacerse, como tarde, el 9 de noviembre de 2018, deberá hacerse una revisión del cumplimiento cada dos años 27/11/2017 @pablofb 40
  • 41. ¿A qué obliga la Directiva NIS? • Obligados: Estados europeos • Obligación: Estrategia nacional de seguridad de las redes y TIC. • Tareas: • Identificación de operadores de servicios esenciales • Establecer medidas para impedir efectos perturbadores, según: • El número de usuarios afectados. • La dependencia de otros sectores. • La repercusión en las actividades económicas y sociales o en la seguridad pública. • La cuota de mercado. • La extensión geográfica. • La importancia de la entidad para mantener un nivel suficiente del servicio. 27/11/2017 @pablofb 41
  • 42. Deber de notificar brechas de ciberseguridad • Quién: un operador o un proveedor de servicios digitales • Qué ha debido sufrir: • una brecha de seguridad u otro tipo de incidente • que tenga efectos significativos • Qué debe hacer: notificar los detalles de forma inmediata a: • CNIPC o • CSIRT (Computer Security Incident Response Team) 27/11/2017 @pablofb 42
  • 43. 10.- Conclusiones ¿Debe integrarse un sistema de micro-segmentación en una infraestructura crítica? ¿Por qué? Consejo de cara a informes: Siempre has de referirte a artículos concretos de leyes y documentos oficiales en los que bases tu respuesta. 27/11/2017 @pablofb 43
  • 44. Gracias por la atención. ¿Comentarios? ¿Preguntas? Pablo Fernández Burgueño – @pablofb pablo@nevtrace.com www.nevtrace.com