lunes, 16 de mayo de 2022

Vicente Aguilera miembro del jurado en los Trofeos de la Seguridad TIC de la revista Red Seguridad

Un año más la revista Red Seguridad celebrará este 30 de junio en Madrid una nueva edición de sus Trofeos de la Seguridad TIC. Estos prestigiosos galardones se entregarán en el marco del XIV Encuentro de la Seguridad Integral.

Primera empresa iberoamericana QSA con presencia en el continente asiático


 

Como empresa especialista en el estándar PCI DSS, y gracias a nuestra experiencia como QSA, hemos empezado a trabajar, a través de nuestros aliados en USA, con clientes que tienen presencia en India y Filipinas, ampliando así nuestra experiencia hacia nuevos sectores y países.

miércoles, 11 de mayo de 2022

Novedades de la actualización del Esquema Nacional de Seguridad de 2022

Fuente: CCN-CERT

El Boletín Oficial del Estado (BOE) publicó el pasado 4 de Mayo el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Este RD actualiza el ENS derogando el anterior de 2010, vigente hasta la fecha. Entró en vigor al día siguiente de su publicación en el BOE el pasado 5 de Mayo, estableciendo un período de transición de 24 meses para la plena adecuación de los sistemas de información preexistentes, y siendo de aplicación desde su concepción para los nuevos sistemas de información.


A continuación, podéis encontrar un resumen de sus principales novedades:

  • Perfiles de cumplimiento específicos. Estos nuevos perfiles serán validados y publicados por el Centro Criptológico Nacional (CCN) organismo adscrito al Centro Nacional de Inteligencia (CNI). Permitirán a determinadas entidades o sectores de actividad concretos, respecto a la declaración de aplicabilidad inicial para una categoría determinada y el preceptivo análisis de riesgos, implementar un conjunto de medidas de seguridad que podrá diferir de las que le corresponderían en un inicio del Anexo II.
  • Acreditación de entidades de implementación de configuraciones seguras. De forma análoga a los perfiles, el CCN también validará y publicará los nuevos esquemas de acreditación de entidades y validación de personas, que garantizarán la seguridad de las soluciones o plataformas de terceros y su conformidad respecto al ENS.
  • Protocolo de actuación ante ciberincidentes. El CCN pasa a articular la respuesta a los incidentes de seguridad en torno al CCN-CERT. Las entidades del sector público deberán notificar al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información, de acuerdo con la correspondiente Instrucción Técnica de Seguridad Resolución de 13 de abril de 2018. Y las organizaciones del sector privado que presten servicios a entidades públicas deberán notificar al INCIBE-CERT los incidentes que les afecten, el cual a su vez lo pondrá en conocimiento del CCN-CERT.
  • Sistema de codificación de los requisitos de las medidas de seguridad. El nuevo sistema codifica los requisitos de las medidas y los organiza diferenciando entre los requisitos base preexistentes, y los posibles refuerzos de seguridad (R) que se suman (+) a los respectivos requisitos base. Dichos refuerzos no siempre son incrementales, de forma que en ciertos casos se podrá elegir entre aplicar un refuerzo u otro distinto.
  • Anexo II Medidas de Seguridad. El Anexo sufre algunos cambios relevantes como la incorporación de los nuevos controles [op.ext.3] Protección de la cadena de suministro y [op.ext.4] Interconexión de sistemas, el nuevo grupo de control [op.nub] Servicios en la nube y control [op.nub.1] Protección de servicios en la nube, así como los nuevos controles [op.mon.3] Vigilancia y [mp.eq.4] Otros dispositivos conectados a la red. También se realizan cambios menores como la centralización de todos los controles relativos a Medios alternativos en [op.cont.4]. A su vez entre los controles que se mantienen, aumentan considerablemente su nivel de exigencia [op.acc.1] Identificación, [op.exp.2] Gestión de seguridad, [op.exp.3] Gestión de la configuración de seguridad, [op.exp.6] Protección frente a código dañino, [op.exp.8] Registro de la actividad, [op.pl.4] Dimensionamiento/gestión de la capacidad, [op.mon.1] Detección de intrusión, [op.mon.2] Sistema de métricas y [mp.sw.2] Aceptación y puesta en servicio.

Referencias


Autor: Carlos Antonio Sans - ISO 27001 L.A., ISO 22301 L.A., CISA, CRISC, CISSP, ENAC-AEPD DPD
Dpto. Consultoría

martes, 26 de abril de 2022

Como gestionar una vulnerabilidad crítica en un entorno de PCI DSS: Ejemplo log4j

El objetivo de este artículo es describir un time-line de gestión de una vulnerabilidad crítica alineado con los requisitos de PCI DSS 3.2.1. Es importante comentar que no hay una única manera de gestionar vulnerabilidades alineadas con PCI DSS, pero sí que todas ellas deben contener al menos los puntos de control identificados en este artículo.

El siguiente esquema nos muestra, a alto nivel, los procedimientos de gestión que intervienen en la gestión de una vulnerabilidad crítica, alineado con los requisitos de PCI DSS.

viernes, 8 de abril de 2022

Crónica III Foro Regional ISMS Forum Barcelona

Fuente: ISMS Forum

Este año hemos tenido la oportunidad de poder asistir a la tercera edición del Foro Regional ISMS Forum Barcelona, organizado por ISMS Forum el pasado 17 de Marzo en la Casa Convalescència de la Universitat Autonònoma de Barcelona (UAB). En el Track 1: Cyber Security Strategy Toni Garcia, Board Member ISMS Forum Barcelona, dio inicio a la jornada dando la bienvenida a los más de 300 participantes en la primera edición presencial del foro desde el comienzo de la pandemia, y celebrando el 15 aniversario de ISMS Forum este enero de 2022.

A continuación, podéis encontrar un resumen de las principales ponencias que se llevaron a cabo en los Track 1 y 2 del evento.

miércoles, 6 de abril de 2022

Cambios en OWASP Top 10 2021

OWASP publicó el pasado 24 de septiembre de 2021 un nuevo listado de vulnerabilidades para el Top 10 de aplicaciones web. En él ha introducido varios cambios a la hora de clasificar los principales riesgos y en qué orden van en la lista, con el objetivo de que las vulnerabilidades que llevan 3 ediciones del top 10 en la misma posición, se clasifiquen de otra manera.

martes, 5 de abril de 2022

Nuestras últimas apariciones en medios

En estas últimas semanas nuestro responsable de ciberinteligencia Carlos Seisdedos ha estado muy ocupado. Varios medios han querido contar con él como experto.

Os dejamos un resumen de sus apariciones/participaciones:
📌1/04 – 120 minutos de programa de telemadrid:
https://bit.ly/3Kh2zZA

📌1/04 – ETB2 (EITB) (Portal de la radio-televisión pública vasca):
https://bit.ly/3jaoyp5

📌5/04 – Todo es Verdad programa de TV de Risto Mejide:
https://bit.ly/3LJH0Rx

📌Próximamente... -> Entrevista para HackerCar: Ciberseguridad vinculada a la automoción y la movilidad.
https://bit.ly/37lHcaF


Desde aquí queremos aprovechar para agradecer la confianza depositada en nuestro equipo para colaborar con medios tan destacados y felicitar a Carlos por sus logros!