lunes, 23 de mayo de 2022

Este junio estaremos en la RSA Conference 2022 en San Francisco (USA)



El próximo 6 de junio se celebrará en San Francisco (USA) una nueva edición de la RSA Conference, el foro mundial más importante de la industria de la ciberseguridad, un lugar para debatir las preocupaciones actuales y futuras y tener acceso a los expertos, y a ideas que ayuden tanto a individuos como empresas a avanzar en temas de ciberseguridad construyendo equipos más fuertes e inteligentes.

lunes, 16 de mayo de 2022

Vicente Aguilera miembro del jurado en los Trofeos de la Seguridad TIC de la revista Red Seguridad

Un año más la revista Red Seguridad celebrará este 30 de junio en Madrid una nueva edición de sus Trofeos de la Seguridad TIC. Estos prestigiosos galardones se entregarán en el marco del XIV Encuentro de la Seguridad Integral.

Primera empresa iberoamericana QSA con homologación para realizar proyectos en el continente asiático

Como empresa especialista en el estándar PCI DSS, y gracias a nuestra experiencia como QSA, hemos empezado a trabajar, a través de nuestros aliados en USA, con clientes que tienen presencia en India y Filipinas, ampliando así nuestra experiencia hacia nuevos sectores y países.

miércoles, 11 de mayo de 2022

Novedades de la actualización del Esquema Nacional de Seguridad de 2022

Fuente: CCN-CERT

El Boletín Oficial del Estado (BOE) publicó el pasado 4 de Mayo el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Este RD actualiza el ENS derogando el anterior de 2010, vigente hasta la fecha. Entró en vigor al día siguiente de su publicación en el BOE el pasado 5 de Mayo, estableciendo un período de transición de 24 meses para la plena adecuación de los sistemas de información preexistentes, y siendo de aplicación desde su concepción para los nuevos sistemas de información.


A continuación, podéis encontrar un resumen de sus principales novedades:

  • Perfiles de cumplimiento específicos. Estos nuevos perfiles serán validados y publicados por el Centro Criptológico Nacional (CCN) organismo adscrito al Centro Nacional de Inteligencia (CNI). Permitirán a determinadas entidades o sectores de actividad concretos, respecto a la declaración de aplicabilidad inicial para una categoría determinada y el preceptivo análisis de riesgos, implementar un conjunto de medidas de seguridad que podrá diferir de las que le corresponderían en un inicio del Anexo II.
  • Acreditación de entidades de implementación de configuraciones seguras. De forma análoga a los perfiles, el CCN también validará y publicará los nuevos esquemas de acreditación de entidades y validación de personas, que garantizarán la seguridad de las soluciones o plataformas de terceros y su conformidad respecto al ENS.
  • Protocolo de actuación ante ciberincidentes. El CCN pasa a articular la respuesta a los incidentes de seguridad en torno al CCN-CERT. Las entidades del sector público deberán notificar al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información, de acuerdo con la correspondiente Instrucción Técnica de Seguridad Resolución de 13 de abril de 2018. Y las organizaciones del sector privado que presten servicios a entidades públicas deberán notificar al INCIBE-CERT los incidentes que les afecten, el cual a su vez lo pondrá en conocimiento del CCN-CERT.
  • Sistema de codificación de los requisitos de las medidas de seguridad. El nuevo sistema codifica los requisitos de las medidas y los organiza diferenciando entre los requisitos base preexistentes, y los posibles refuerzos de seguridad (R) que se suman (+) a los respectivos requisitos base. Dichos refuerzos no siempre son incrementales, de forma que en ciertos casos se podrá elegir entre aplicar un refuerzo u otro distinto.
  • Anexo II Medidas de Seguridad. El Anexo sufre algunos cambios relevantes como la incorporación de los nuevos controles [op.ext.3] Protección de la cadena de suministro y [op.ext.4] Interconexión de sistemas, el nuevo grupo de control [op.nub] Servicios en la nube y control [op.nub.1] Protección de servicios en la nube, así como los nuevos controles [op.mon.3] Vigilancia y [mp.eq.4] Otros dispositivos conectados a la red. También se realizan cambios menores como la centralización de todos los controles relativos a Medios alternativos en [op.cont.4]. A su vez entre los controles que se mantienen, aumentan considerablemente su nivel de exigencia [op.acc.1] Identificación, [op.exp.2] Gestión de seguridad, [op.exp.3] Gestión de la configuración de seguridad, [op.exp.6] Protección frente a código dañino, [op.exp.8] Registro de la actividad, [op.pl.4] Dimensionamiento/gestión de la capacidad, [op.mon.1] Detección de intrusión, [op.mon.2] Sistema de métricas y [mp.sw.2] Aceptación y puesta en servicio.

Referencias


Autor: Carlos Antonio Sans - ISO 27001 L.A., ISO 22301 L.A., CISA, CRISC, CISSP, ENAC-AEPD DPD
Dpto. Consultoría