Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesMiguel A. Amutio
El documento resume los principales puntos del Esquema Nacional de Seguridad para principiantes. Explica que el Esquema Nacional de Seguridad establece la política de seguridad para garantizar la protección de la información tratada electrónicamente y crear confianza en el uso de medios digitales. También promueve la gestión continua de la seguridad, la prevención de ciberamenazas y la cooperación entre administraciones.
This document discusses CISSP training. It provides information on the Certified Information Systems Security Professional (CISSP) certification and recommends training courses to help professionals prepare to pass the CISSP exam. The document suggests reviewing training materials that cover the 10 domains of knowledge required by the exam, including security and risk management, asset security, security engineering, and communication and network security.
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
ISO 27001:2013 is the international standard that provides a framework for Information Security Management Systems (ISMS) to provide continued confidentiality, integrity and availability of information as well as legal compliance.
ISO 27001 certification is essential for protecting your most vital assets like employee and client information, brand image and other private information. The ISO standard includes a process-based approach to initiating, implementing, operating and maintaining your ISMS.
This implementation guide will help you run through the benefits, PDCA Cycle and Annex SL structure in detail for implementing ISO 27001.
Find out more or get a quote for certification here – https://www.nqa.com/en-gb/certification/standards/iso-27001
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesMiguel A. Amutio
El documento resume los principales puntos del Esquema Nacional de Seguridad para principiantes. Explica que el Esquema Nacional de Seguridad establece la política de seguridad para garantizar la protección de la información tratada electrónicamente y crear confianza en el uso de medios digitales. También promueve la gestión continua de la seguridad, la prevención de ciberamenazas y la cooperación entre administraciones.
This document discusses CISSP training. It provides information on the Certified Information Systems Security Professional (CISSP) certification and recommends training courses to help professionals prepare to pass the CISSP exam. The document suggests reviewing training materials that cover the 10 domains of knowledge required by the exam, including security and risk management, asset security, security engineering, and communication and network security.
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
ISO 27001:2013 is the international standard that provides a framework for Information Security Management Systems (ISMS) to provide continued confidentiality, integrity and availability of information as well as legal compliance.
ISO 27001 certification is essential for protecting your most vital assets like employee and client information, brand image and other private information. The ISO standard includes a process-based approach to initiating, implementing, operating and maintaining your ISMS.
This implementation guide will help you run through the benefits, PDCA Cycle and Annex SL structure in detail for implementing ISO 27001.
Find out more or get a quote for certification here – https://www.nqa.com/en-gb/certification/standards/iso-27001
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
This document outlines a project plan for implementing an Information Security Management System (ISMS) compliant with ISO 27001 in an organization. The plan defines the project goals as obtaining ISO 27001 certification by a target date, identifies key results and risks, and provides a schedule and roles. It also describes tools and documents that will be used, such as a shared folder for all project materials and regular reporting from the project manager.
ISO 27001 is the central standard for information security management systems (ISMS). It provides requirements and implementation guidance for organizations to manage risks to security assets. The standard outlines requirements for establishing the scope of the ISMS, leadership responsibilities, risk assessment and treatment processes, resource management, and continual improvement. It includes an annex that lists 93 controls across organizational, people, physical and technological categories that can be used to demonstrate compliance. The 2022 version updates and restructures some controls to better reflect risk-based approaches.
This document provides an overview of information security management systems (ISMS) and the ISO/IEC 27001 standard. It discusses how ISMS establishes a top-down, risk-based approach to securely managing an organization's information assets. Key points covered include the business drivers for ISMS, the components of an effective ISMS based on ISO 27001, and the steps involved in implementing, certifying and maintaining an ISMS over time.
This chapter discusses managing risk through various strategies and processes. It explains how risk assessments involve identifying threats, vulnerabilities, impacts, and determining risks through qualitative or quantitative analyses. Key aspects of risk assessments include annualized rate of occurrence, single loss expectancy, and annual loss expectancy. The chapter also covers risk measurements, acting on assessments through avoidance, transference, mitigation or acceptance. Specific risks related to cloud computing, virtualization and policies/guidelines are examined.
This document provides information about an ISO 27001 awareness training course held by K2A Training Academy. The one-day course aims to help participants understand how to safeguard organizational data and information from both external and internal threats. It covers topics such as information security background, risks and controls, and the ISO 27001 certification process. Breaks are scheduled during the day for tea and lunch. Attendees are not permitted to smoke or use their mobile devices during the sessions.
This document provides a mapping between the requirements of ISO/IEC 27001:2005 and ISO/IEC 27001:2013. It includes tables that map the ISMS requirements and Annex A controls between the two versions, noting new, unchanged, deleted and reverse requirements. The purpose is to provide guidance on the changes between the standards.
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
La Direttiva NIS2 è stata approvata e introduce gravosi obblighi in materia di cybersecurity per un ampio numero di società.
Gli ultimi anni hanno visto un aumento esponenziale del rischio cyber tale da indurre i legislatori nazionali ed europei ad innalzare le difese contro eventuali attacchi informatici. La nuova Direttiva NIS2, appena approvata dal Parlamento europeo, si pone in tale ottica quale strumento volto ad aumentare i sistemi di sicurezza di un numero sempre crescente di settori contro i cyberattacchi.
L'infografica realizzata da Enila Elezi dello studio legale DLA Piper analizza i nuovi obblighi legali più rilevanti.
Sul medesimo argomento, può essere interessante l'articolo https://dirittoaldigitale.com/2022/11/14/direttiva-nis2-approvata-cybersecurity/
ISO 27701 is important for privacy compliance because it provides a comprehensive framework for organizations to manage the privacy of personal data. The standard covers all aspects of privacy management, from data collection and processing to security and compliance.
ISO 27701 is aligned with the General Data Protection Regulation (GDPR), which is the most comprehensive privacy law in the world. The standard also supports compliance with other privacy laws, such as the California Consumer Privacy Act (CCPA) and the Brazilian General Data Protection Law (LGPD).
By implementing ISO 27701, organizations can demonstrate to their customers, employees, and regulators that they are committed to protecting personal data. The standard can also help organizations to reduce their risk of data breaches and other privacy incidents.
Here are some of the benefits of implementing ISO 27701:
Demonstrate compliance with privacy laws and regulations
Reduce the risk of data breaches and other privacy incidents
Improve customer trust and confidence
Enhance the organization's reputation
Gain a competitive advantage
If your organization handles personal data, then ISO 27701 is an important standard to consider. The standard can help you to protect personal data, comply with privacy laws, and improve your organization's overall privacy posture.
Here are some of the specific requirements of ISO 27701:
Establish a privacy management policy
Conduct a privacy risk assessment
Implement technical and organizational measures to protect personal data
Implement procedures for managing data breaches
Provide individuals with access to their personal data
Respond to data subject requests
Monitor and improve the privacy management system
The Next Generation of Security Operations Centre (SOC)PECB
The document discusses the key aspects of building a next generation Security Operations Centre (SOC). It emphasizes that skilled people, well-defined processes, and integrating new technologies are critical. Specifically, it recommends adopting automation and analytics to analyze large datasets, integrating threat intelligence from multiple sources, and establishing red and blue teams to continuously test defenses. The goal of a next generation SOC is to use predictive analysis of vast security data to improve threat detection, response, and the overall security posture of an organization.
This document provides an overview of security fundamentals including the CIA triad of confidentiality, integrity and availability. It discusses common security threats and countermeasures for each component. Additional concepts covered include identification, authentication, authorization, auditing, accountability, non-repudiation, data classification, roles in security management, due care/diligence, security policies, standards/guidelines, threat modeling and prioritization. The document is intended as a high-level introduction to fundamental security concepts.
Understand and apply concepts of confidentiality, integrity and availability, Apply security governance principles,
Understand legal and regulatory issues that pertain to information security in a global context, Develop and implement documented security policy, standards, procedures, and guidelines, Understand business continuity requirements
Contribute to personnel security policies, Understand and apply risk management concepts, Understand and apply threat modeling, Integrate security risk considerations into acquisition strategy and practice, Establish and manage information security education, training, and awareness
This document provides implementation tips and potential metrics for ISO/IEC 27001 and 27002. It covers tips and metrics for each control objective in ISO/IEC 27002 sections 4 through 15. The tips are meant to help others implementing the ISO information security standards in their organization. The document is collaboratively created and copyrighted but licensed for sharing and derivative works.
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
The EU has implemented a range of regulations aimed at strengthening its cybersecurity posture. In this context, the ISO/IEC 27001 standard offers a comprehensive framework for managing and safeguarding sensitive information, such as personal data.
Amongst others, the webinar covers:
• Quick recap on the ISO/IEC 27001:2013 & 2022
• ISO/IEC 27001 vs legislation
• The EU Cyber Legislation landscape
• Some considerations and consequences
• How to stay on top of the ever changing context
Presenters:
Peter Geelen
Peter Geelen is the director and managing consultant at CyberMinute and Owner of Quest for Security, Belgium. Over more than 20 years, Peter has built strong experience in enterprise security & architecture, Identity & Access management, but also privacy, information & data protection, cyber- and cloud security. Last few years, the focus is on ISO/IEC 27001 and other ISO certification mechanisms. Peter is accredited Lead Auditor for ISO/IEC 27001, ISO 9001, PECB Trainer and Fellow in Privacy. Committed to continuous learning, Peter holds renowned security certificates as certified ISO/IEC 27701 lead implementer and lead auditor, ISO/IEC 27001 Master, Sr. Lead Cybersecurity Manager, ISO/IEC 27002 lead manager, ISO/IEC 27701 Lead Implementer, cDPO, Risk management, Lead Incident Mgr., Disaster Recovery, and many more.
Jean-Luc Peters
Jean-Luc Peters brings 25 years of IT technology, information and cybersecurity expertise to boards, executives, and employees. Since the younger age he has held management positions in the private and government sector. He is currently the Head of the Cyber Emergency Response team for the National Cybersecurity Authority in Belgium. In addition to this, he is also a trainer, coach and trusted advisor focusing on enhancing cyber resilience.
Jean-Luc has helped in the technical implementation of the NIS 1 (Network and Information Security) Directive transposition in Belgium, defining the Baseline Security Guidelines governmental ISMS framework and many other projects. He holds several certifications, including ISO/IEC 27001 Lead Implementer, ISO/IEC 27005 Auditor, CISSP, GISP, Prince 2 Practitioner, ITIL etc.
Date: May 31, 2023
Tags: ISO, ISO/IEC 27001, Information Security, Cybersecurity
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27001
Webinars: https://pecb.com/webinars
Article: https://pecb.com/article
Whitepaper: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
YouTube video: https://youtu.be/rsjwwF5zlK8
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
The document discusses information life cycle and asset security. It covers the following key points:
1. Information goes through a 4 phase life cycle of acquisition, use, archival, and disposal. Controls are needed at each phase to protect the information.
2. Data classification and categorization help determine the appropriate security controls for different types of sensitive data based on their value, sensitivity, and criticality.
3. Roles such as data owner, data custodian, and system owner are defined along with their responsibilities to ensure proper management and protection of data throughout its life cycle.
Este documento presenta una introducción a los estándares y normas de seguridad ISO 27000. Explica por qué son importantes las normas de seguridad, e introduce los conceptos clave de un Sistema de Gestión de Seguridad de la Información. Resume los orígenes e historia de la serie ISO 27000, así como algunos de sus estándares específicos como ISO 27001 y 27002. Finalmente, destaca los beneficios de implementar estas normas de seguridad.
Learn more about the importance of ISO 27001 and its role on GRC, what the advantages of starting with ISO 27001 are and the importance of its structure.
Main points covered:
• Definition and goals of GRC (Governance, Risk and Compliance)
• How the structure of ISO/IEC 27001 implements GRC
• Advantages of starting with ISO/IEC 27001
Presenter:
This webinar was presented by Jorge Lozano. He is a senior manager at the Cybersecurity & Privacy practice of PwC Mexico. He has over 17 years of experience in information security and holds the CISSP, CISM, CEH, and ISO27001LI certifications. He is an instructor of PECB for the ISO27001 Introduction, Foundation and Lead Implementer courses.
Link of the recorded session published on YouTube: https://youtu.be/sLfAarQ8cf0
ISO 27001 is an international standard that outlines best practices for an Information Security Management System (ISMS). It requires organizations to take a risk-based approach to information security by identifying security risks and selecting appropriate controls from Annex A to reduce, eliminate or manage those risks. Annex A contains 114 controls across 14 categories that provide options for treating risks, though not all controls will apply to every organization depending on their risks and needs. Organizations must map their selected controls in a Statement of Applicability and provide justification for any exclusions.
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaMiguel A. Amutio
El documento presenta una actualización del Esquema Nacional de Seguridad para mejorar la ciberseguridad en España. La actualización tiene como objetivos alinear el esquema con el nuevo marco legal, introducir la capacidad de ajustar los requisitos de forma eficaz y eficiente, y revisar principios, requisitos y medidas de seguridad. El documento también describe las principales novedades de la actualización como la codificación de requisitos, la categorización de sistemas, y un enfoque mejorado para la respuesta a incidentes de ciberseg
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICMiguelAmutio1
El documento presenta una actualización del Esquema Nacional de Seguridad para mejorar la ciberseguridad en España. La actualización tiene como objetivos alinear el esquema con el nuevo marco legal, introducir la capacidad de ajustar los requisitos de forma eficaz y eficiente, y revisar principios, requisitos y medidas de seguridad. El nuevo esquema amplía el ámbito de aplicación, introduce perfiles de cumplimiento específicos, revisa los procesos de respuesta a incidentes y la codificación de requisitos.
This document outlines a project plan for implementing an Information Security Management System (ISMS) compliant with ISO 27001 in an organization. The plan defines the project goals as obtaining ISO 27001 certification by a target date, identifies key results and risks, and provides a schedule and roles. It also describes tools and documents that will be used, such as a shared folder for all project materials and regular reporting from the project manager.
ISO 27001 is the central standard for information security management systems (ISMS). It provides requirements and implementation guidance for organizations to manage risks to security assets. The standard outlines requirements for establishing the scope of the ISMS, leadership responsibilities, risk assessment and treatment processes, resource management, and continual improvement. It includes an annex that lists 93 controls across organizational, people, physical and technological categories that can be used to demonstrate compliance. The 2022 version updates and restructures some controls to better reflect risk-based approaches.
This document provides an overview of information security management systems (ISMS) and the ISO/IEC 27001 standard. It discusses how ISMS establishes a top-down, risk-based approach to securely managing an organization's information assets. Key points covered include the business drivers for ISMS, the components of an effective ISMS based on ISO 27001, and the steps involved in implementing, certifying and maintaining an ISMS over time.
This chapter discusses managing risk through various strategies and processes. It explains how risk assessments involve identifying threats, vulnerabilities, impacts, and determining risks through qualitative or quantitative analyses. Key aspects of risk assessments include annualized rate of occurrence, single loss expectancy, and annual loss expectancy. The chapter also covers risk measurements, acting on assessments through avoidance, transference, mitigation or acceptance. Specific risks related to cloud computing, virtualization and policies/guidelines are examined.
This document provides information about an ISO 27001 awareness training course held by K2A Training Academy. The one-day course aims to help participants understand how to safeguard organizational data and information from both external and internal threats. It covers topics such as information security background, risks and controls, and the ISO 27001 certification process. Breaks are scheduled during the day for tea and lunch. Attendees are not permitted to smoke or use their mobile devices during the sessions.
This document provides a mapping between the requirements of ISO/IEC 27001:2005 and ISO/IEC 27001:2013. It includes tables that map the ISMS requirements and Annex A controls between the two versions, noting new, unchanged, deleted and reverse requirements. The purpose is to provide guidance on the changes between the standards.
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
La Direttiva NIS2 è stata approvata e introduce gravosi obblighi in materia di cybersecurity per un ampio numero di società.
Gli ultimi anni hanno visto un aumento esponenziale del rischio cyber tale da indurre i legislatori nazionali ed europei ad innalzare le difese contro eventuali attacchi informatici. La nuova Direttiva NIS2, appena approvata dal Parlamento europeo, si pone in tale ottica quale strumento volto ad aumentare i sistemi di sicurezza di un numero sempre crescente di settori contro i cyberattacchi.
L'infografica realizzata da Enila Elezi dello studio legale DLA Piper analizza i nuovi obblighi legali più rilevanti.
Sul medesimo argomento, può essere interessante l'articolo https://dirittoaldigitale.com/2022/11/14/direttiva-nis2-approvata-cybersecurity/
ISO 27701 is important for privacy compliance because it provides a comprehensive framework for organizations to manage the privacy of personal data. The standard covers all aspects of privacy management, from data collection and processing to security and compliance.
ISO 27701 is aligned with the General Data Protection Regulation (GDPR), which is the most comprehensive privacy law in the world. The standard also supports compliance with other privacy laws, such as the California Consumer Privacy Act (CCPA) and the Brazilian General Data Protection Law (LGPD).
By implementing ISO 27701, organizations can demonstrate to their customers, employees, and regulators that they are committed to protecting personal data. The standard can also help organizations to reduce their risk of data breaches and other privacy incidents.
Here are some of the benefits of implementing ISO 27701:
Demonstrate compliance with privacy laws and regulations
Reduce the risk of data breaches and other privacy incidents
Improve customer trust and confidence
Enhance the organization's reputation
Gain a competitive advantage
If your organization handles personal data, then ISO 27701 is an important standard to consider. The standard can help you to protect personal data, comply with privacy laws, and improve your organization's overall privacy posture.
Here are some of the specific requirements of ISO 27701:
Establish a privacy management policy
Conduct a privacy risk assessment
Implement technical and organizational measures to protect personal data
Implement procedures for managing data breaches
Provide individuals with access to their personal data
Respond to data subject requests
Monitor and improve the privacy management system
The Next Generation of Security Operations Centre (SOC)PECB
The document discusses the key aspects of building a next generation Security Operations Centre (SOC). It emphasizes that skilled people, well-defined processes, and integrating new technologies are critical. Specifically, it recommends adopting automation and analytics to analyze large datasets, integrating threat intelligence from multiple sources, and establishing red and blue teams to continuously test defenses. The goal of a next generation SOC is to use predictive analysis of vast security data to improve threat detection, response, and the overall security posture of an organization.
This document provides an overview of security fundamentals including the CIA triad of confidentiality, integrity and availability. It discusses common security threats and countermeasures for each component. Additional concepts covered include identification, authentication, authorization, auditing, accountability, non-repudiation, data classification, roles in security management, due care/diligence, security policies, standards/guidelines, threat modeling and prioritization. The document is intended as a high-level introduction to fundamental security concepts.
Understand and apply concepts of confidentiality, integrity and availability, Apply security governance principles,
Understand legal and regulatory issues that pertain to information security in a global context, Develop and implement documented security policy, standards, procedures, and guidelines, Understand business continuity requirements
Contribute to personnel security policies, Understand and apply risk management concepts, Understand and apply threat modeling, Integrate security risk considerations into acquisition strategy and practice, Establish and manage information security education, training, and awareness
This document provides implementation tips and potential metrics for ISO/IEC 27001 and 27002. It covers tips and metrics for each control objective in ISO/IEC 27002 sections 4 through 15. The tips are meant to help others implementing the ISO information security standards in their organization. The document is collaboratively created and copyrighted but licensed for sharing and derivative works.
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
The EU has implemented a range of regulations aimed at strengthening its cybersecurity posture. In this context, the ISO/IEC 27001 standard offers a comprehensive framework for managing and safeguarding sensitive information, such as personal data.
Amongst others, the webinar covers:
• Quick recap on the ISO/IEC 27001:2013 & 2022
• ISO/IEC 27001 vs legislation
• The EU Cyber Legislation landscape
• Some considerations and consequences
• How to stay on top of the ever changing context
Presenters:
Peter Geelen
Peter Geelen is the director and managing consultant at CyberMinute and Owner of Quest for Security, Belgium. Over more than 20 years, Peter has built strong experience in enterprise security & architecture, Identity & Access management, but also privacy, information & data protection, cyber- and cloud security. Last few years, the focus is on ISO/IEC 27001 and other ISO certification mechanisms. Peter is accredited Lead Auditor for ISO/IEC 27001, ISO 9001, PECB Trainer and Fellow in Privacy. Committed to continuous learning, Peter holds renowned security certificates as certified ISO/IEC 27701 lead implementer and lead auditor, ISO/IEC 27001 Master, Sr. Lead Cybersecurity Manager, ISO/IEC 27002 lead manager, ISO/IEC 27701 Lead Implementer, cDPO, Risk management, Lead Incident Mgr., Disaster Recovery, and many more.
Jean-Luc Peters
Jean-Luc Peters brings 25 years of IT technology, information and cybersecurity expertise to boards, executives, and employees. Since the younger age he has held management positions in the private and government sector. He is currently the Head of the Cyber Emergency Response team for the National Cybersecurity Authority in Belgium. In addition to this, he is also a trainer, coach and trusted advisor focusing on enhancing cyber resilience.
Jean-Luc has helped in the technical implementation of the NIS 1 (Network and Information Security) Directive transposition in Belgium, defining the Baseline Security Guidelines governmental ISMS framework and many other projects. He holds several certifications, including ISO/IEC 27001 Lead Implementer, ISO/IEC 27005 Auditor, CISSP, GISP, Prince 2 Practitioner, ITIL etc.
Date: May 31, 2023
Tags: ISO, ISO/IEC 27001, Information Security, Cybersecurity
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27001
Webinars: https://pecb.com/webinars
Article: https://pecb.com/article
Whitepaper: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
YouTube video: https://youtu.be/rsjwwF5zlK8
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
The document discusses information life cycle and asset security. It covers the following key points:
1. Information goes through a 4 phase life cycle of acquisition, use, archival, and disposal. Controls are needed at each phase to protect the information.
2. Data classification and categorization help determine the appropriate security controls for different types of sensitive data based on their value, sensitivity, and criticality.
3. Roles such as data owner, data custodian, and system owner are defined along with their responsibilities to ensure proper management and protection of data throughout its life cycle.
Este documento presenta una introducción a los estándares y normas de seguridad ISO 27000. Explica por qué son importantes las normas de seguridad, e introduce los conceptos clave de un Sistema de Gestión de Seguridad de la Información. Resume los orígenes e historia de la serie ISO 27000, así como algunos de sus estándares específicos como ISO 27001 y 27002. Finalmente, destaca los beneficios de implementar estas normas de seguridad.
Learn more about the importance of ISO 27001 and its role on GRC, what the advantages of starting with ISO 27001 are and the importance of its structure.
Main points covered:
• Definition and goals of GRC (Governance, Risk and Compliance)
• How the structure of ISO/IEC 27001 implements GRC
• Advantages of starting with ISO/IEC 27001
Presenter:
This webinar was presented by Jorge Lozano. He is a senior manager at the Cybersecurity & Privacy practice of PwC Mexico. He has over 17 years of experience in information security and holds the CISSP, CISM, CEH, and ISO27001LI certifications. He is an instructor of PECB for the ISO27001 Introduction, Foundation and Lead Implementer courses.
Link of the recorded session published on YouTube: https://youtu.be/sLfAarQ8cf0
ISO 27001 is an international standard that outlines best practices for an Information Security Management System (ISMS). It requires organizations to take a risk-based approach to information security by identifying security risks and selecting appropriate controls from Annex A to reduce, eliminate or manage those risks. Annex A contains 114 controls across 14 categories that provide options for treating risks, though not all controls will apply to every organization depending on their risks and needs. Organizations must map their selected controls in a Statement of Applicability and provide justification for any exclusions.
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaMiguel A. Amutio
El documento presenta una actualización del Esquema Nacional de Seguridad para mejorar la ciberseguridad en España. La actualización tiene como objetivos alinear el esquema con el nuevo marco legal, introducir la capacidad de ajustar los requisitos de forma eficaz y eficiente, y revisar principios, requisitos y medidas de seguridad. El documento también describe las principales novedades de la actualización como la codificación de requisitos, la categorización de sistemas, y un enfoque mejorado para la respuesta a incidentes de ciberseg
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICMiguelAmutio1
El documento presenta una actualización del Esquema Nacional de Seguridad para mejorar la ciberseguridad en España. La actualización tiene como objetivos alinear el esquema con el nuevo marco legal, introducir la capacidad de ajustar los requisitos de forma eficaz y eficiente, y revisar principios, requisitos y medidas de seguridad. El nuevo esquema amplía el ámbito de aplicación, introduce perfiles de cumplimiento específicos, revisa los procesos de respuesta a incidentes y la codificación de requisitos.
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
El documento presenta el nuevo Esquema Nacional de Seguridad aprobado por Real Decreto 311/2022. El Esquema actualiza los principios, requisitos y medidas de seguridad para alinearlos con el marco legal y estratégico actual y facilitar la seguridad de la administración digital. Se revisaron de forma pormenorizada los requisitos mínimos, principios y 73 medidas de seguridad para hacer el Esquema más eficaz y eficiente. El Esquema tiene como objetivo mejorar la ciberseguridad del sector público mediante la actualización
Este documento describe el Esquema Nacional de Seguridad (ENS) en España. El ENS establece la política de seguridad para el uso de medios electrónicos en el sector público español y consta de principios básicos, requisitos mínimos, categorización de sistemas, auditorías de seguridad, uso de infraestructuras comunes, productos certificados, y respuesta a incidentes de seguridad. El documento explica los elementos clave del ENS y el proceso de adecuación que deben seguir las entidades públicas para cumplir con sus está
Nuevos retos en ciberseguridad para la administración digitalMiguel A. Amutio
El documento describe los nuevos retos en ciberseguridad para la administración digital en España. Se están intensificando las ciberamenazas y ciberincidentes a medida que avanza la transformación digital. El gobierno está trabajando para mejorar la ciberseguridad mediante la actualización del Marco Estratégico Nacional de Ciberseguridad, la implementación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y el fortalecimiento de las herramientas del Centro Criptológico Nacional.
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
El documento describe la reciente aprobación del nuevo Esquema Nacional de Seguridad en España, que actualiza el marco regulatorio para la ciberseguridad del sector público. El nuevo Esquema introduce varias novedades como perfiles de cumplimiento específicos, un tratamiento más detallado de los incidentes de seguridad, y una revisión de los principios, requisitos y medidas de seguridad. El Centro Criptológico Nacional jugará un papel clave en la coordinación de la respuesta a incidentes y en impulsar la formación y herramientas
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
El documento resume una presentación sobre el Esquema Nacional de Seguridad en España. El ENS establece políticas de seguridad para las administraciones públicas españolas y requisitos mínimos para proteger la información. Se explican los objetivos del ENS, su situación actual y formas en que las agencias pueden adecuarse a él, incluyendo el uso de infraestructuras comunes, guías, comunicación de incidentes y certificación de productos.
El documento discute la actualización del Esquema Nacional de Seguridad (ENS) después de 10 años de su implementación. Explica que la actualización alineará el ENS con el marco legal actualizado, precisará su ámbito de aplicación, introducirá perfiles de cumplimiento específicos, y actualizará las medidas de seguridad para mejorar la respuesta a las tendencias emergentes de ciberseguridad. La conclusión es que la actualización permitirá que el ENS continúe proporcionando un enfoque común para la protección de la información y
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
El documento resume el progreso de la adecuación al Esquema Nacional de Seguridad en España. Señala que los aspectos más avanzados son las políticas de seguridad y la protección de infraestructuras e instalaciones, mientras que los responsables de seguridad y la protección de servicios requieren más atención. También describe las herramientas disponibles como guías CCN-STIC y el Centro CERT para la respuesta a incidentes de seguridad. Los próximos pasos incluyen la actualización del marco legal y la mejora del seguimiento
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
El documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad, incluyendo una mayor énfasis en la gestión continua de la seguridad, la introducción de profesionales cualificados, y mejoras en la gestión de incidentes y auditorías de seguridad. También discute cómo la norma ISO/IEC 27001 puede servir como soporte para el cumplimiento del ENS y los retos continuo de mejorar la ciberseguridad de las administraciones públicas.
Este documento describe la importancia creciente de la ciberseguridad debido al aumento de la conectividad y las conexiones transfronterizas. Detalla varias iniciativas internacionales para abordar la ciberseguridad y las acciones tomadas por Colombia entre 2007 y 2009, incluida la publicación de documentos, encuestas y proyectos para desarrollar una estrategia nacional de ciberseguridad. El objetivo final era establecer normas y responsabilidades claras para proteger la infraestructura nacional y los datos frente a las crecientes amen
El acuerdo 1502 de la CNO establece lineamientos de ciberseguridad que deben adoptar agentes del sector eléctrico y operadores de infraestructuras críticas para coordinar acciones que prevengan amenazas cibernéticas. Define un marco de referencia con roles y responsabilidades de ciberseguridad, e identifica activos cíber críticos asociados con activos críticos que soportan la operación del Sistema Interconectado Nacional.
Este documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad en España. Se explica que se está revisando el Esquema a la luz de la experiencia adquirida y los cambios tecnológicos y regulatorios. Algunas de las actualizaciones incluyen enfatizar la gestión continua de la seguridad, introducir medidas compensatorias y mejorar los mecanismos para conocer el estado de la seguridad. También se introducen instrucciones técnicas de seguridad y se refuerza la capacidad de respuesta
Ähnlich wie El nuevo Esquema Nacional de Seguridad (20)
Mejora de la adecuación de los sistemas de la Administración General del Esta...Miguel A. Amutio
Este documento describe un proyecto para mejorar la adecuación de los sistemas de información de la Administración General del Estado al Esquema Nacional de Seguridad. El proyecto ayudará a más de 100 entidades a alcanzar la certificación de conformidad mediante diagnósticos, planes de adecuación, formación y acompañamiento en la auditoría. El proyecto también establece una gobernanza para coordinar el proceso y garantizar el cumplimiento continuo de los requisitos de seguridad.
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
Este documento presenta una introducción al concepto de interoperabilidad y su importancia para la administración pública en España. Explica que la interoperabilidad ha sido un esfuerzo colectivo que ha requerido la elaboración del Esquema Nacional de Interoperabilidad y otras normas para garantizar que los sistemas y aplicaciones de las administraciones públicas puedan compartir y transferir datos e información. También resume brevemente la evolución del marco normativo de la interoperabilidad en España.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
1. El documento describe las principales amenazas cibernéticas que se esperan entre 2022 y 2030, como ransomware, malware, ingeniería social, ataques a los datos y servicios, y desinformación. 2. También analiza el contexto normativo europeo de ciberseguridad y las capacidades que se están reforzando, como la certificación de productos, la protección de la cadena de suministro y la cooperación entre los estados miembros. 3. Finalmente, resume las medidas que España está adoptando para gestionar los riesgos cibernéticos,
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMiguel A. Amutio
El documento describe las medidas del Estado español para garantizar la seguridad en la Administración Pública a través de la transformación digital. Se destaca la importancia de la ciberseguridad en el contexto de la mayor dependencia de la tecnología y el aumento de ciberamenazas. También se resumen los instrumentos clave de la estrategia española de digitalización como España Digital 2025 y el Plan de Recuperación, Transformación y Resiliencia.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
Here are some key aspects to consider for the long-term preservation of databases:
- Migration - Database formats and software change over time, so the database may need to be migrated to new formats periodically to ensure future accessibility and usability.
- Backup and redundancy - Multiple copies of the database should be kept in different locations and formats (e.g. physical and cloud backups) to guard against data loss from hardware/software failures or natural disasters.
- Documentation - Comprehensive documentation about the database structure, fields, relationships, software/hardware used, and any other contextual information is critical for future users to understand and use the data properly over time.
- Access controls - Permissions and security measures need to be
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
Implementation of the European Interoperability framework in SpainMiguel A. Amutio
1. Spain has made considerable efforts to implement interoperability across its complex administrative system involving multiple levels of government.
2. Spain's approach to interoperability involves developing a strong legal framework, cooperation and governance structures between administrations, and shared digital services.
3. Spain closely aligned its National Interoperability Framework with successive versions of the European Interoperability Framework, reusing many European solutions and participating in pilots to further interoperability goals.
La desinformación es información falsa o engañosa creada deliberadamente para engañar al público. Se facilita por las redes sociales y se usa para erosionar la confianza pública, influir en debates y comportamientos. La UE y las plataformas han tomado medidas como códigos de buenas prácticas, pero son insuficientes. Se necesitan mayores esfuerzos de las plataformas y aplicar tecnologías emergentes para hacer frente a este problema complejo.
The document discusses Spain's use of the TESTA network to connect its national administrative network RedSARA to the networks of European Union institutions and other member states. Some key points:
- RedSARA connects Spanish public administrations, and its connection to TESTA allows integration with EU services and other member state administrations.
- Connecting to TESTA helped Spain overcome challenges and participate in pilot experiences and migrations of the TESTA platform.
- The connection allows Spain to integrate into at least 21 cross-border services across 18 sectors like interior, justice, and social security.
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoMiguel A. Amutio
El documento presenta el discurso de apertura de la sesión sobre el Esquema Nacional de Seguridad y el cumplimiento normativo en las XIV Jornadas CCN-CERT. El orador destaca que la ciberseguridad requiere un enfoque integral que combine medidas normativas, organizativas, técnicas y de cooperación. También resalta que el ENS ha sentado las bases de la seguridad en el sector público español en los últimos 10 años, pero que es necesario actualizarlo para hacer frente a los nuevos retos como la transformación digital, la
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
Implementation of the European Interoperability Framework in SpainMiguel A. Amutio
The document summarizes Spain's implementation of the European Interoperability Framework (EIF). It discusses how interoperability is an enabler for ensuring rights and providing digital public services. Spain has taken a global approach aligned with the EIF, including legal frameworks, common rules, engagement of stakeholders, and governance led by Chief Information Officers. An ecosystem has been established with 12 interoperability agreements, standards, and solutions. Spain continuously aligns with updates to the EIF, participates in EU initiatives, and monitors interoperability as an ongoing effort.
Boe Código de Administración Electrónica - Nota del autorMiguel A. Amutio
La transformación digital de la administración pública requiere una estrategia a largo plazo, un marco legal que proporcione seguridad jurídica, y la colaboración de múltiples actores. El marco legal español, resultado de hitos como la Ley 11/2007 y las Leyes 39/2015 y 40/2015, regula aspectos como la administración electrónica, firma electrónica, notificación electrónica y protección de datos, y debe completarse con normativa autonómica y local. Además, España debe cumplir la normativa
Informe de Movilidad / Mayo 2024 / Caja de JubilacionesCórdoba, Argentina
El Informe de Movilidad es una publicación de carácter mensual en la cual se detallan los sectores con reajustados en la liquidación de haberes. Se tratan temas relacionados a haber medio, haber mínimo, ley 10.333 y tope previsional, entre otros. A su vez se efectúa una estimación del impacto financiero que tendrá la movilidad sobre las erogaciones corrientes del sistema previsional.
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...Baker Publishing Company
El Gobierno de Chile promulgó la Ley para Prevenir, Sancionar y Erradicar la Violencia Contra las Mujeres en Razón de su Género, que fue ingresada durante el segundo gobierno de la presidenta Michelle Bachelet (2017). Esta ley entrega un marco normativo que establece los deberes de los distintos órganos del Estado para enfrentar la violencia contra las mujeres, acorde a los de la “Convención de Belem do Pará“, instrumento internacional que consagró el derecho de las mujeres de vivir una vida libre de violencia. Según destacaron las autoridades, esta normativa cuenta con un mecanismo de supervisión judicial de medidas cautelares para garantizar su cumplimiento y permanencia, mientras que también fortalece el rol de representación jurídica del país. Asimismo, define el concepto de violencia de género y sus distintas expresiones, entre ellas la física, psicológica, sexual, simbólica, económica y gineco-obstétrica.
Pilar Argüello Trujillo: Primer caso de feminicidio en Veracruz admitido por ...
El nuevo Esquema Nacional de Seguridad
1. El nuevo Esquema Nacional
de Seguridad
26 de mayo de 2022
Miguel A. Amutio Secretaría General de Administración Digital
Javier Candau Centro Criptológico Nacional
Photo by Marvin Meyer on Unsplash
2. Transformación digital
Perspectiva global - Dinámica permanente
+ Contexto de valores compartidos
y derechos fundamentales de nuestra sociedad
Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las
leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.
Mayor dependencia de la tecnología:
complejidad
interdependencia
se incrementa la superficie de
exposición a ciberamenazas.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con la robustez en
ciberseguridad.
Digitalización acelerada…
con ciberseguridad
3. La información y los datos
en el punto de mira de los ciberataques
Orientados a la información
Con sustracción (con o sin revelación)
Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
Con quiebra de la disponibilidad de los servicios, ( y de acceso a la información)
Combinación de los anteriores
Impacto
Ejercicio de derechos y libertades; cumplimiento de deberes.
Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía.
Esfuerzo de recuperación ante incidentes.
Reputacional. Photo by Philipp Katzenberger on Unsplash
4. La seguridad, el largo camino…
Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
Fuente: Miguel A.Amutio
5. CoCENS
Servicios CCN-CERT
Guías CCN-STIC (Serie 800)
Catálogo CPSTIC
Administración Digital
Órganos de Gobernanza
y cooperación en la
AGE de las AA.PP.
Enfoque global
Liderazgo conjunto:
Contexto de
Gobernanza
Ciberseguridad
Nacional
Fuente: Miguel A. Amutio
6. Desarrollo
Conformidad Monitorización Informe INES
-
Soporte
Base legal Ámbito de aplicación
Sector Público
Información
clasificada
4 ITS publicadas
Real Decreto 3/2010
Actualizado en 2015
Real Decreto 311/2022
Anclado en leyes
40/2015 y 39/2015
Informe estado de
a seguridad
Conformidad con el ENS
Auditoría
Notificación de incidentes
Acreditación con ENAC
Certificadores
acreditados por ENAC
Entidades certificadas
(públicas/privadas)
Consejo de
Certificación del ENS
(CoCENS)
>90 guías CCN-STIC Serie 800
-
23 Soluciones de
ciberseguridad
Referente
8 ediciones del informe INES
Ley Orgánica 3/2018
Real Decreto 43/2021
+ Instrucciones
Técnicas de Seguridad
Proveedores
Esfuerzo colectivo, multidisciplinar,
sostenido en el tiempo + liderazgo conjunto de
7. Por qué era necesaria
la actualización
Photo by Annie Spratt on Unsplash Fuente: Infografías ENS
8. Impulso tractor de la actualización
ACM sobre medidas urgentes
en materia de ciberseguridad
(25.05.2021)
LA 2 – Medida 3 Reformas
normativas – 9.3
9. Cuáles son los objetivos
de la actualización
Photo by Annie Spratt on Unsplash
1. Mejorar y alinear el ENS con el nuevo marco
legal y estratégico para facilitar la seguridad de
la administración digital
2. Introducir la capacidad de ajustar los requisitos
del ENS para una aplicación más eficaz y
eficiente
3. Revisar de forma pormenorizada principios,
requisitos y medidas para facilitar la adaptación
a tendencias y necesidades en ciberseguridad
10. 1. Principios básicos, que sirven de guía. (arts. 5 – 11)
2. Requisitos mínimos, de obligado cumplimiento. (arts. 12 – 27)
3. Categorización de los sistemas para la adopción de medidas de
seguridad proporcionadas. (arts. 28, 40, 41,A-I y A-II)
4. Uso de productos certificados. Papel del Organismo de Certificación (OC-
CCN) (art. 19 y A-II)
5. Uso de infraestructuras y servicios comunes (art. 29)
6. Los perfiles de cumplimiento específicos (art. 30)
7. La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31)
8. Informe del estado de la seguridad (art. 32)
9. Respuesta a incidentes de seguridad (arts. 33 y 34)
10. La conformidad con el ENS (art. 38)
11. La formación (D.a. 1ª)
12. Las instrucciones técnicas de seguridad (D.a. 2ª)
13. Las guías de seguridad (D.a. 2ª)
RD 311/2022 - Panorámica
Fuente: Infografías ENS
Disposición transitoria única:
Adecuación de sistemas -> 24 meses
11. Todo el sector público según artículo 2 de la Ley 40/2015.
Sistemas que tratan información clasificada.
Entidades del sector privado cuando presten servicios o
provean soluciones.
Referencia a que los pliegos de prescripciones recojan los
requisitos de conformidad con el ENS.
Referencia a los sistemas que traten datos personales.
Referencia a la instalación, despliegue, explotación de redes 5G
o prestación de servicios 5G por entidades del sector público.
Grandes novedades
El ámbito de aplicación
Photo by Marvin Meyer on Unsplash
12. Comprenderán aquel conjunto de medidas de
seguridad que resultando del preceptivo análisis de
riesgos, resulten idóneas para una concreta categoría de
seguridad.
Persiguen introducir la capacidad de ajustar los
requisitos del ENS a necesidades específicas de
determinados
Colectivos: Entidades Locales, Universidades, Organismos
Pagadores, …
Ámbitos tecnológicos: servicios en la nube, …
Photo by Alex Perez on Unsplash
Grandes novedades
Perfiles de cumplimiento específico
Photo bClaudio Schwarz | @purzlbaum on Unsplash
13. Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad.
Las organizaciones del sector privado que presten servicios a las entidades
públicas notificarán al INCIBE-CERT quien lo pondrá inmediatamente en
conocimiento del CCN-CERT.
El CCN-CERT determinará técnicamente el riesgo de reconexión de
sistemas afectados, indicando procedimientos a seguir y salvaguardas a
implementar.
La SGAD autorizará la reconexión a los medios y servicios comunes
comprendidos bajo su ámbito de responsabilidad, incluidos los compartidos o
transversales, si un informe de superficie de exposición del CCN-CERT
hubiere determinado que el riesgo es asumible.
Papel de otros actores: Coordinación con el Ministerio del Interior a través de
la OCC (RD-l 12/2018); ESPDEF-CERT; IGAE.
Grandes novedades
Respuesta a incidentes de ciberseguridad
Photo by Hack Capital on Unsplash
14. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de principios y requisitos
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash
15. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de medidas de seguridad
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash
16. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de medidas de seguridad
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash
17. RD 3/2010 RD 311/2022
Evolución del ANEXO II
Marco
organizativo
4 Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización
Marco operacional
31
Medidas de protección
40
Planificación (5)
Control de acceso (7)
Explotación (11)
Servicios externos (3)
Continuidad del servicio (3)
Monitorización del sistema (2)
Instalaciones e infraestructuras (8)
Gestión del personal (5)
Protección de los equipos (4)
Protección de las comunicaciones (5)
Protección de los soportes de información
(5)
Protección de aplicaciones informáticas (2)
Protección de la información (7)
Protección de los servicios (4)
Marco
organizativo
4 Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización
Marco operacional
33
Medidas de protección
36
Planificación (5)
Control de acceso (6)
Explotación (10)
Recursos externos (4)
Servicios en la nube (1)
Continuidad del servicio (4)
Monitorización del sistema (3)
Instalaciones e infraestructuras (7)
Gestión del personal (4)
Protección de los equipos (4)
Protección de las comunicaciones (4)
Protección de los soportes de información
(5)
Protección de las aplicaciones informáticas
(2)
Protección de la información (6)
Protección de los servicios (4)
Grandes novedades
Revisión de medidas de seguridad
18. RD 3/2010 RD 311/2022
Categoría
básica
45
Marco organizativo (4)
Marco operacional (16)
Medidas de protección (25)
Categoría media
63
Categoría alta
75
Marco organizativo (4)
Marco operacional (26)
Medidas de protección (33)
Marco organizativo (4)
Marco operacional (31)
Medidas de protección (40)
Marco organizativo (4)
Marco operacional (22)
Medidas de protección (26)
Categoría
básica
52
Categoría media
68
Categoría alta
73
Marco organizativo (4)
Marco operacional (29)
Medidas de protección (35)
Marco organizativo (4)
Marco operacional (33)
Medidas de protección (36)
Grandes novedades
Revisión de medidas de seguridad
Evolución del medidas por categoría
19. Photo by Alex Perez on Unsplash
Grandes novedades
Codificación de requisitos y refuerzos
Más adecuada, para facilitar de manera proporcionada la seguridad de
los sistemas de información, su implantación y su auditoría.
Se han codificado los requisitos de las medidas
• Requisitos base
• Posibles refuerzos de seguridad (R), alineados con el nivel de
seguridad perseguido, que se suman (+) a los requisitos base de la
medida, pero que no siempre son incrementales entre sí; de
forma que, en ciertos casos, se puede elegir entre aplicar un
refuerzo u otro. Algunos refuerzos son de carácter opcional.
Photo by You X Ventures on Unsplash
20. Con el liderazgo de la Secretaría General de
Administración Digital en estrecha colaboración con
el Centro Criptológico Nacional, junto con sus
equipos de colaboradores, el ENS es el resultado
de un esfuerzo colectivo de las
Administraciones Públicas de España,
con la colaboración del sector privado,
que vienen contribuyendo activamente a su
elaboración, desarrollo, aplicación y evolución.
Photo by Paul Rysz on Unsplash
21. 1. Que seáis partícipes y agentes de la
ciberseguridad, para llevarla a la realidad práctica.
2. Si trabajáis para el Sector Público, directa o
indirectamente como prestadores de servicios o
proveedores de soluciones (cadena de suministro),
vuestra colaboración para la plena
aplicación del ENS.
3. En cualquier caso, que tengáis presente en
vuestros proyectos el caudal de recursos
que os aporta el ENS.
Qué esperamos
por vuestra parte
Photo by Paul Rysz on Unsplash
22.
23. Muchas gracias
26 de mayo de 2022
Miguel A. Amutio Secretaría General de Administración Digital
Javier Candau Centro Criptológico Nacional