ESTANDARIZACIÓN DE LOS REQUISITOS DE CIBERSEGURIDAD

JulioCésarMiguelCEOdeGrupoCFI

12denoviembrede2020

www.grupocfi.es

Algunas noticias recientes…

www.grupocfi.es

www.grupocfi.es

www.grupocfi.es

www.grupocfi.es

www.grupocfi.es

www.grupocfi.es

Ciberataques más frecuentes

www.grupocfi.es

1. Estafas por correo electrónico

Gracias a la ingeniería social los ciberdelincuentes pueden robar credenciales que les permiten

enviar emails a empleados desde cuentas legítimas solicitando el pago de impuestos o de facturas

pendientes

www.grupocfi.es

www.grupocfi.es

2. Mala configuración del Cloud

La mala configuración y uso de los entornos cloud (por ejemplo,

el almacenamiento de archivos en la nube) es la causa principal de

las brechas de datos en las organizaciones

www.grupocfi.es

www.grupocfi.es

www.grupocfi.es

3. Ataques de ransomware

Incremento de los ataques ransomware dirigidos a

organizaciones específicas

España es el 4º país del mundo con más incidentes

www.grupocfi.es

La primera respuesta de las víctimas…

www.grupocfi.es

Pero si yo tengo antivirus…

¡¡Un antivirus no sirve para estos ataques!!

Gestionar la ciberseguridad es mucho más complejo que simplemente

instalar un antivirus en los equipos

www.grupocfi.es

La gestión de la ciberseguridad

www.grupocfi.es

La gestión de la ciberseguridadPara gestionar correctamente la ciberseguridad se han de contemplar los siguientes ámbitos:

• Roles y responsabilidades

• Recursos humanos

• Gestión de los activos

• Normas de uso de dispositivos

www.grupocfi.es

La gestión de la ciberseguridad• Gestión de soportes físicos

• Clasificar la información

• Control de acceso

• Cifrado de la información

• Seguridad física

• Seguridad de los equipos

• Gestión de los cambios

www.grupocfi.es

La gestión de la ciberseguridad• Protección contra el malware

• Copias de seguridad

• Registro de la actividad

• Formación y concienciación

• Control del software instalado

• Gestión de vulnerabilidades técnicas

www.grupocfi.es

La gestión de la ciberseguridad• Seguridad de las comunicaciones

• Desarrollo seguro de software

• Relaciones con los proveedores

• Protección de dispositivos móviles

• Teletrabajo

• Gestión de los incidentes

• Continuidad TIC

www.grupocfi.es

La gestión de la ciberseguridad• Cumplimiento legal

• Propiedad intelectual (DPI)

• Protección de datos personales

• Legislación aplicable

• Revisión de la seguridad

• Políticas y procedimientos

• Cumplimiento técnico

www.grupocfi.es

NORMAS QUE NOS AYUDAN

www.grupocfi.es

ISO 27001 y 27002

www.grupocfi.es

La Norma UNE-EN ISO/IEC 27001

La norma ISO/IEC 27001 especifica los requisitos para establecer,

implantar, documentar y evaluar un Sistema de Gestión de la Seguridad

de la Información (SGSI)

www.grupocfi.es

Ciclo de Deming (PDCA)

ISO/IEC 27001

www.grupocfi.es

La Norma UNE-EN ISO/IEC 27001Los pasos para implantar la ISO 27001 son los siguientes:

1. Realizar un análisis y gestión de los riesgos

2. Seleccionar controles de la ISO 27002 para tratar los riesgos y cumplir requisitos

3. Desarrollar e implantar los protocolos, procedimientos y medidas de seguridad

www.grupocfi.es

La Norma UNE-EN ISO/IEC 27002La Norma ISO 27002 es un código de buenas prácticas para controles de seguridad de la información, y consta de:• 14 capítulos de controles de

seguridad• 35 categorías principales de

seguridad • 114 controles de seguridad

www.grupocfi.es

Otras normas útiles

www.grupocfi.es

ISO/IEC 27017Tecnologías de la información.

Técnicas de seguridad. Código de práctica para los controles de

seguridad de la información basado en la Norma ISO/IEC 27002 para servicios

en la nube (cloud services).Proporciona controles y guía de

implementación para servicios en la nube

www.grupocfi.es

ISO/IEC 27032

Tecnologías de la información - Técnicas de seguridad -

Directrices para la Ciberseguridad

Ofrece unas líneas generales de orientación para fortalecer el estado de

la ciberseguridad en una empresa

www.grupocfi.es

ISO/IEC 27033Tecnologías de la información

- Técnicas de seguridad - Seguridad en las redes

Conjunto de 6 normas que ofrecen una guía detallada de seguridad de la

administración, operación y uso de las redes

www.grupocfi.es

ISO/IEC 27701Técnicas de seguridad

— Ampliación a la norma ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la

información sobre privacidad — Requisitos y directrices.

Establece controles adicionales a la ISO 27002 para gestionar también la

privacidad (SGSIP)

www.grupocfi.es

ISO/IEC 22301Seguridad y resiliencia.

Sistema de Gestión de la Continuidad del Negocio. Requisitos.

Establece los requisitos para la planificación, el establecimiento, la implantación y la operación de un

Sistema de Gestión de la Continuidad del Negocio

www.grupocfi.es

Conclusiones

www.grupocfi.es

Conclusiones1. Digitalización y ciberseguridad van

de la mano2. Los incidentes de ciberseguridad

generan pérdidas financieras, de imagen y cuantiosas sanciones

3. Las Normas nos ayudan a acometer el proceso de forma metódica, consistente y reconocida

www.grupocfi.es

¡MUCHAS GRACIAS!

Contacto:• Julio César Miguel Pérez• Email: jcmiguel@grupocfi.es• Twitter: @juliocesarlopd• LinkedIn:

es.linkedin.com/in/juliocesarlopd