Me van a auditar de 27001/ENS/LOPD o similares, ¿cómo será? ¿Qué debo saber?

La palabra auditoría da miedo. Todos hemos hecho cientos de exámenes desde el colegio, pero algo tiene la palabra auditoría que genera mucho más estrés que cualquier otra prueba.

Los que alguna vez hayan sido auditados saben que no es tan horrible como suena (incluso puede llegar a ser algo rutinario), pero quienes se enfrentan a una auditoría por primera vez acostumbran a tener infinidad de dudas sobre el “cómo será”: ¿se pueden preguntar cosas? ¿Qué van a mirar? ¿Interesa perder el tiempo para que auditen menos cosas? ¿Se puede consultar la norma/ley o apuntes durante la auditoría? ¿Se puede salir al baño? ¿Es obligatoria la corbata? ¿Y si me quedo en blanco? Algunas pueden parecer tonterías, pero seguro que más de uno agradecerá estas líneas si le llega el día de ser auditado.
[Read more…]

Certificación del ENS para empresas y administraciones públicas

En diciembre el CCN publicó la guía 809 sobre Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento.

Se trata de una guía que por un lado define un marco de auditoría y revisión de la conformidad con el Esquema Nacional de Seguridad (en adelante ENS), y por otro incluye explícitamente en el alcance a organizaciones del sector privado que participen en la prestación de servicios afectados por el ENS.

Es cierto que hasta ahora los sistemas dentro del alcance del ENS debían ser auditados cada dos años, pero los requisitos de esta auditoría no habían sido definidos. Además, si la administración pública contrataba servicios TI afectados por el ENS, era de esperar que durante su auditoría se auditase también a sus proveedores, de modo que la nueva guía parece no incluir demasiados cambios.

[Read more…]

La cada vez más complicada Revisión Anual de Todo

¿Cuántos amigos tienen la clave de tu WiFi? ¿Con cuántos contactos de Facebook no interactúas desde hace años? ¿Haces copias de seguridad de tus datos? ¿De cuándo es la última actualización de tu Linkedin?

Yo hace tiempo me marqué el inicio del año como el momento de poner al día mi vida digital y año tras año la lista de cosas a revisar no ha hecho más que crecer. Sí, ya sé que estamos a 1 de Febrero pero el mes de Enero no cuenta. Entre que te recuperas de la navidad y las rebajas, ya se te ha pasado el mes.

Algunos recordareis que en 2012 y 2013 ya plantee que tomásemos el inicio del año como el momento de la “revisión anual de todo”, así que aprovechando el empuje del año nuevo, os invito a empuñar este post como checklist actualizado de todo aquello que deberíais revisar al menos una vez al año (remarcamos mucho el “al menos”) y os pongáis conmigo manos a la obra.

[Read more…]

Informes de transparencia de Google: más información de lo que a priori suponemos

En  2010, Google lanzó una publicación periódica llamada “Informes de transparencia de Google donde se hacía eco principalmente de las peticiones de retirada de contenido de sus servicios por parte de gobiernos y organizaciones. Con el paso del tiempo, estos informes  han evolucionado a una plataforma en la que se pueden consultar diferentes datos, tanto de las peticiones servidas por sus servicios como del uso que se hace de estos.

ac0

[Read more…]

¿Necesito un SGSI? ¿Y un plan de continuidad? ¿Y un pentest? Lo que necesitas es un Plan Director de Seguridad

En ocasiones cuando una organización decide mejorar la seguridad de su información se lanza de cabeza a por un SGSI, al cumplimiento de la LOPD, o directamente a implantar controles sobre sus activos, sin plantearse previamente qué es exactamente lo que necesita.

Los profesionales del mundo de la seguridad de la información insistimos en que la seguridad debe estar alineada con los objetivos del negocio, y esto es precisamente lo que un Plan Director de Seguridad (o PDS) se encarga de hacer: decidir lo que nuestra organización necesita en materia de seguridad.

¿Qué es un PDS?

[Read more…]

Estado de adecuación al ENS en la Administración Pública española

Como ya se comentó en el anterior post, el ENS tendría que estar implantado al 100% en las diferentes administraciones públicas y proveedores:

  • Hace 5 años de su publicación.
  • Hace 4 años desde que todo nuevo proyecto debía “nacer” adecuado al ENS.
  • Hace 4 años desde que se debía empezar con los planes de adecuación.
  • Hace 1 año desde que todo plazo de adecuación acabó y por tanto la implantación debía estar realizada.

3 años parecían tiempo suficiente para llevar a buen puerto las adecuaciones, así que una vez pasado un cuarto año de cortesía, toca medir cómo ha ido esta adecuación. Vamos a verlo.

[Read more…]

El discutible artículo 30 del ENS ¿hasta dónde adecuar?

En teoría este post llega 5 años tarde: hace ya 5 años que se publicó el Esquema Nacional de Seguridad (a partir de ahora ENS) y por lo tanto han pasado 5 años desde que cada organización debía empezar su adecuación estableciendo el alcance sus sistemas afectados por el ENS.

La realidad es que, como ya trataremos en el próximo post, existen muchísimas administraciones públicas que aún no han abordado un plan de adecuación, o que incluso siguen desarrollando o contratando servicios que no cumplen con las medidas del ENS. Por ello vamos a arrojar algo de luz sobre la definición del alcance que tantas dudas causa.

El ENS establece en su artículo 3 su ámbito de aplicación:

El ámbito de aplicación del presente real decreto será el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio.

Recordemos que el ENS existe para proteger la seguridad de la información afectada por la Ley 11/2007 (de acceso electrónico de los ciudadanos a los servicios públicos), por lo que tiene todo el sentido del mundo que su alcance sea el mismo que el de la “Ley 11”.

[Read more…]

Seguridad para todos en la sociedad de la información

Como muchos de vosotros sabéis -y para los que no, os lo contamos ahora-, desde S2 Grupo tenemos en marcha diferentes líneas de trabajo relativas a la concienciación, a la consolidación de una cultura de seguridad que, a todos los niveles, trate de introducir la seguridad en nuestro día a día, más allá del ámbito profesional en el que todos nos movemos: colectivos especialmente desprotegidos, ciudadanos, etc. ... Leer Más

Migrar hacia la nueva ISO/IEC 27001:2013


Como muchos ya sabéis se ha publicado la nueva versión de la ISO/IEC 27001:2005 bajo el nombre ISO/IEC 27001:2013.

En esta revisión la norma ha sufrido grandes cambios destacando por ejemplo la flexibilidad a la hora de elegir metodologías de análisis de riesgos o mejora continua, la estructura de documentación, nuevos controles, nuevos conceptos, etc. pero sobre todo en su estructura pasando a utilizar el modelo del “anexo SL” del que ya habló nuestro compañero Alberto Olmos en estas entradas: Sistemas de Gestión Integrados: anexo SL (I), Sistemas de Gestión Integrados: anexo SL (II).

Una vez publicada la nueva norma, se ha abierto un periodo (presumiblemente de dos años) durante el cual las organizaciones que deseen seguir certificadas deberán adecuar sus SGSI a la nueva versión. Esta “actualización” podrá consolidarse durante una auditoría de seguimiento, de recertificación, o incluso mediante una auditoría extraordinaria si se considera oportuno.

Muchos se preguntan qué va a suponer este proceso de actualización y si van a tener que rehacer todo el sistema de gestión. La respuesta no es sencilla: depende (si no esté post no sería tan largo). Si bien a nivel técnico no parece que la actualización vaya a suponer ningún trauma, en lo que respecta a la organización del SGSI sí que existen muchas consideraciones a tener en cuenta por lo que analicémoslo por partes.

[Read more…]

La teoría es muy bonita, pero no recupera sistemas (BCP)

Al hilo de posts anteriores sobre continuidad de negocio (tipos de proyectos, pruebas, aspectos a tener en cuenta, tiempos, UNE 71599/BS 25999, …), hoy vamos a centrarnos en la realización de las pruebas, pero no de planes de prueba de esos que se revisan simbólicamente una vez al año para cumplir con requisitos de auditoría. Hablaremos de porqué hace falta hacer pruebas de verdad.... Leer Más