estandarización de los requisitos de ciberseguridad...los pasos para implantar la iso 27001 son los...
TRANSCRIPT
ESTANDARIZACIÓN DE LOS REQUISITOS DE CIBERSEGURIDAD
JulioCésarMiguelCEOdeGrupoCFI
12denoviembrede2020
www.grupocfi.es
Algunas noticias recientes…
www.grupocfi.es
www.grupocfi.es
www.grupocfi.es
www.grupocfi.es
www.grupocfi.es
www.grupocfi.es
Ciberataques más frecuentes
www.grupocfi.es
1. Estafas por correo electrónico
Gracias a la ingeniería social los ciberdelincuentes pueden robar credenciales que les permiten
enviar emails a empleados desde cuentas legítimas solicitando el pago de impuestos o de facturas
pendientes
www.grupocfi.es
www.grupocfi.es
2. Mala configuración del Cloud
La mala configuración y uso de los entornos cloud (por ejemplo,
el almacenamiento de archivos en la nube) es la causa principal de
las brechas de datos en las organizaciones
www.grupocfi.es
www.grupocfi.es
www.grupocfi.es
3. Ataques de ransomware
Incremento de los ataques ransomware dirigidos a
organizaciones específicas
España es el 4º país del mundo con más incidentes
www.grupocfi.es
La primera respuesta de las víctimas…
www.grupocfi.es
Pero si yo tengo antivirus…
¡¡Un antivirus no sirve para estos ataques!!
Gestionar la ciberseguridad es mucho más complejo que simplemente
instalar un antivirus en los equipos
www.grupocfi.es
La gestión de la ciberseguridad
www.grupocfi.es
La gestión de la ciberseguridadPara gestionar correctamente la ciberseguridad se han de contemplar los siguientes ámbitos:
• Roles y responsabilidades
• Recursos humanos
• Gestión de los activos
• Normas de uso de dispositivos
www.grupocfi.es
La gestión de la ciberseguridad• Gestión de soportes físicos
• Clasificar la información
• Control de acceso
• Cifrado de la información
• Seguridad física
• Seguridad de los equipos
• Gestión de los cambios
www.grupocfi.es
La gestión de la ciberseguridad• Protección contra el malware
• Copias de seguridad
• Registro de la actividad
• Formación y concienciación
• Control del software instalado
• Gestión de vulnerabilidades técnicas
www.grupocfi.es
La gestión de la ciberseguridad• Seguridad de las comunicaciones
• Desarrollo seguro de software
• Relaciones con los proveedores
• Protección de dispositivos móviles
• Teletrabajo
• Gestión de los incidentes
• Continuidad TIC
www.grupocfi.es
La gestión de la ciberseguridad• Cumplimiento legal
• Propiedad intelectual (DPI)
• Protección de datos personales
• Legislación aplicable
• Revisión de la seguridad
• Políticas y procedimientos
• Cumplimiento técnico
www.grupocfi.es
NORMAS QUE NOS AYUDAN
www.grupocfi.es
ISO 27001 y 27002
www.grupocfi.es
La Norma UNE-EN ISO/IEC 27001
La norma ISO/IEC 27001 especifica los requisitos para establecer,
implantar, documentar y evaluar un Sistema de Gestión de la Seguridad
de la Información (SGSI)
www.grupocfi.es
Ciclo de Deming (PDCA)
ISO/IEC 27001
www.grupocfi.es
La Norma UNE-EN ISO/IEC 27001Los pasos para implantar la ISO 27001 son los siguientes:
1. Realizar un análisis y gestión de los riesgos
2. Seleccionar controles de la ISO 27002 para tratar los riesgos y cumplir requisitos
3. Desarrollar e implantar los protocolos, procedimientos y medidas de seguridad
www.grupocfi.es
La Norma UNE-EN ISO/IEC 27002La Norma ISO 27002 es un código de buenas prácticas para controles de seguridad de la información, y consta de:• 14 capítulos de controles de
seguridad• 35 categorías principales de
seguridad • 114 controles de seguridad
www.grupocfi.es
Otras normas útiles
www.grupocfi.es
ISO/IEC 27017Tecnologías de la información.
Técnicas de seguridad. Código de práctica para los controles de
seguridad de la información basado en la Norma ISO/IEC 27002 para servicios
en la nube (cloud services).Proporciona controles y guía de
implementación para servicios en la nube
www.grupocfi.es
ISO/IEC 27032
Tecnologías de la información - Técnicas de seguridad -
Directrices para la Ciberseguridad
Ofrece unas líneas generales de orientación para fortalecer el estado de
la ciberseguridad en una empresa
www.grupocfi.es
ISO/IEC 27033Tecnologías de la información
- Técnicas de seguridad - Seguridad en las redes
Conjunto de 6 normas que ofrecen una guía detallada de seguridad de la
administración, operación y uso de las redes
www.grupocfi.es
ISO/IEC 27701Técnicas de seguridad
— Ampliación a la norma ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la
información sobre privacidad — Requisitos y directrices.
Establece controles adicionales a la ISO 27002 para gestionar también la
privacidad (SGSIP)
www.grupocfi.es
ISO/IEC 22301Seguridad y resiliencia.
Sistema de Gestión de la Continuidad del Negocio. Requisitos.
Establece los requisitos para la planificación, el establecimiento, la implantación y la operación de un
Sistema de Gestión de la Continuidad del Negocio
www.grupocfi.es
Conclusiones
www.grupocfi.es
Conclusiones1. Digitalización y ciberseguridad van
de la mano2. Los incidentes de ciberseguridad
generan pérdidas financieras, de imagen y cuantiosas sanciones
3. Las Normas nos ayudan a acometer el proceso de forma metódica, consistente y reconocida
www.grupocfi.es
¡MUCHAS GRACIAS!
Contacto:• Julio César Miguel Pérez• Email: [email protected]• Twitter: @juliocesarlopd• LinkedIn:
es.linkedin.com/in/juliocesarlopd