Guías Safer

Como ya sabéis Wannacry también hizo sus estragos en el Sistema Nacional de Salud de Reino Unido afectando a cerca de 25 hospitales y centros médicos. Las noticias hablan de que se paralizaron los sistemas y que en algunos casos se tuvo que desviar pacientes a otros hospitales.

En mi opinión, las organizaciones pertenecientes al sector sanitario deberían estar mínimamente preparadas para poder hacer frente a un ataque de este tipo y conseguir que la afectación fuese la menor posible.

Si hacemos un análisis diferencial de la organización con respecto a un estándar, mejores prácticas, etc., podremos tener una visión de cuáles son los puntos más débiles de la organización y sobre los que tendremos que actuar de manera inmediata. En el caso de los entornos sanitarios las referencias más conocidas son la HIPAA y la ISO 27799.
[Read more…]

Estoy certificado en la ISO 27001, ¿me sirve cómo conformidad con el ENS?

Esta es la pregunta que muchas organizaciones se estarán planteando en estos momentos. Pues la respuesta por suerte o por desgracia es NO, o mejor dicho no del todo. Aunque quienes poseen este certificado tienen bastante camino hecho, hay algunos detalles que van hacer que tengan que “arremangarse” para conseguir la conformidad con el ENS.

El CCN-CERT tiene publicada una guía con fecha de 2013, la CCN-STIC 825, que trata de aclarar algunos temas al respecto. Como este tema ha generado tanta controversia, en este post trataré de hacer un pequeño resumen de lo que se expone en esta guía para que seamos conocedores de aquello que, según el ENS, nos falta aunque tengamos la certificación.

Antes de entrar en lo que se expone en la guía, si nos paramos a leer el ENS y estamos certificados en la ISO 27001, o por lo menos sabemos de qué va, seguro que hay cosas que nos suenan muy de cerca, destacando por ejemplo Gestión de la seguridad basada en los riesgos, Proceso de Mejora Continua, etc.

[Read more…]

Cuidado con el Vishing: vigila quien te llama

A todos los que nos dedicamos al mundo de la seguridad nos puede parecer extraño pensar que pueda haber personas que a estas alturas “piquen” en las múltiples estafas relacionadas con las tecnologías y comunicaciones, pero seguro que en nuestro entorno más cercano conocemos personas que han sido víctimas de estos delitos o han estado a punto de serlo, bien sea por desconocimiento o porque a través del engaño se les ha hecho desvelar sus datos personales, económicos etc.

No debemos olvidar que hay muchas personas que han empezado hacer uso de la tecnología desde hace relativamente poco tiempo, principalmente el colectivo de personas mayores, que pueden ser potencialmente víctimas de estos engaños.

[Read more…]

Actualización del Esquema nacional de Seguridad

ensEn un post anterior comenté que estaba pendiente la publicación de la actualización del Esquema Nacional de Seguridad. Pues como podéis imaginar por el título de esta entrada, El Consejo de Ministros del pasado viernes 23 de octubre aprobó un Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, que modifica otro Real Decreto del 8 de enero de 2010.

Y como lo prometido es deuda y en ese post me comprometía a contaros las novedades o cambios, sirva éste para saldar mi deuda. Sobra decir que todo el mundo debería leer por lo menos una vez la actualización del ENS (N.d.E. quizá estás exagerando, Eva), pero para quien le de mucha mucha pereza, aquí les dejo un breve resumen…

Tal y como se indica en la página del CCN-Cert, el objeto de la norma entre otras cosas “es reforzar la protección de las Administraciones Públicas frente a las ciberamenazas”. De acuerdo a esto, con la reforma del ENS se pretende adecuar la normativa al marco regulatorio europeo en lo que se refiere a las transacciones electrónicas, en la que se han tenido en cuenta las experiencias adquiridas en la implantación del ENS desde su publicación en 2010. El plazo establecido para cumplir con lo dispuesto en la actualización del ENS es de 24 meses.

[Read more…]

¿Quién tiene mis datos?

Dadas las numerosas noticias que han aparecido últimamente sobre fugas de datos, a todos se nos pasan por la cabeza preguntas como «¿Dónde pueden estar nuestros datos?» y «¿Qué pasaría si la organización a la que se los hemos suministrado “voluntariamente” tuviera una brecha de seguridad que pudiera provocar el robo o fuga de los mismos?».

Buscando información para hacer este post, me he encontrado con esta página que muestra de forma gráfica información sobre las organizaciones que en los últimos años han sufrido una fuga de datos.

[Read more…]

Evaluación de Impacto en la Protección de Datos Personales (EIPD)

Hace algún tiempo que la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales [PDF]. La verdad es que hasta ahora no me había parado a leerla y la verdad es que es bastante interesante.

En la guía se hace referencia a términos como PIA por sus siglas en inglés (Privacy Impact Assements) y EIPD (Evaluación de Impacto en la Protección de Datos personales). Un término más conocido bastante relacionado con este tema es el de Privacy by Design, del cual podemos encontrar bastante documentación al respecto, pero por no mezclar ideas en este post nos centraremos en el EIPD y más concretamente en lo que la guía de AEPD propone al respecto.

[Read more…]

31 de Marzo, día mundial de las copias de seguridad

Sin entrar en valoraciones sobre los motivos por los que en los últimos tiempos se crean “días de…” para todo, quiero hacer una mención al pasado día 31 de Marzo, cuando se celebró el día mundial de las copias de seguridad.

Si nos remitimos a las diferentes normas y buenas prácticas relativas a la seguridad de la información, en todas existe un apartado específico de copias de seguridad, sirva el presente post para referenciar algunas de dichas recomendaciones/obligaciones y ver algunos de los controles que se deberán implementar para estar alineados con lo indicado en dichas normas.

Empecemos con algo que (casi) todos conocemos: la norma ISO 27001, cuyo objetivo de control A.12.3 Copias de Seguridad, hace referencia a que se debe evitar la pérdida de datos. En la descripción del control se cita que se deben realizar copias de seguridad de la información, del software y del sistema y se deben verificar periódicamente de acuerdo a la política de copias de seguridad acordada. Parece bastante lógico.

[Read more…]

INES: Informe Nacional del Estado de Seguridad

Desde este post quiero presentar un poco más en detalle a una de las amigas de mi compañero Toni: INES.

INES es el acrónimo de Informe Nacional del Estado de Seguridad, pero más que un informe, se trata de una plataforma telemática que proporciona a las Administraciones Públicas un conocimiento más rápido e intuitivo de su nivel de adecuación al Esquema Nacional de Seguridad. INES, junto con la Guía CCN-STIC 824, Informe del Estado de Seguridad [PDF] servirán para elaborar el Informe Nacional del Estado de Seguridad.

Tal y como se indica en el propio manual de la plataforma, el encargado de acceder a la plataforma es el “Responsable de Seguridad”, por lo que todas las Administraciones Públicas deberían tener nombrado al correspondiente Responsable de Seguridad, para poder realizar las gestiones en la plataforma. Esta frase daría para otro post: ¿tienen todas las Administraciones Públicas un Responsable de Seguridad que ejerza realmente como tal?

El objetivo de la plataforma es doble. Por un lado sirve para que cada Administración Pública tenga un “sitio” donde pueda ir albergando, validando y analizando la información de seguridad propia de su organismo y consolidada a nivel de Administración Pública. Por otro lado, la herramienta permite que el CCN tenga acceso a través de un repositorio común a toda la información que ponen a su disposición todas las Administraciones Públicas, con lo que se da cumplimiento al artículo 35 que señala: «El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas«.

En junio de 2014 el Observatorio de Administración Electrónica elaboró una nota técnica sobre el seguimiento de la adecuación a los Esquemas Nacionales de Seguridad (ENS) y de Interoperabilidad (ENI). En ésta destaca el esfuerzo notable que han hecho las AA.PP para adaptarse a dichos esquemas como suele decirse, “con la que está cayendo”. También se resalta que pese al carácter voluntario de la incorporación de los datos por parte de las AAPP, ha habido una buena respuesta, especialmente por parte de la Administración General del Estado, seguida de las Comunidades Autónomas, Diputaciones y Ayuntamientos.

Según el informe, las Administraciones Públicas que han ofrecido sus datos voluntariamente están bastante avanzados en los aspectos relacionados con protección de instalaciones e infraestructuras, la protección de datos de carácter personal, la identificación de personas, las copias de seguridad, la política de seguridad y la identificación de Responsables de Seguridad y Sistemas. A la vista de los resultados, donde más “pinchan” es en los aspectos relacionados con la concienciación y la formación. El informe insiste en que es esencial que haya un Plan de Adecuación, un Responsable de Seguridad nombrado, se haya realizado una Categorización de los Sistemas y que se realice un Análisis de Riesgos.

No podemos acabar este post sin hacer algunas referencias. La primera a CLARA, otra de las amigas de Toni. CLARA es una herramienta creada por el CCN para analizar las características de seguridad técnica definidas en el Esquema Nacional de Seguridad. Dicho análisis de cumplimiento está basado en las normas de seguridad que han sido proporcionadas a través de la aplicación de plantillas de seguridad, según las guías CCN-STIC de la serie 800: 850A, 850B, 851A y 851B. La segunda referencia es a PILAR, una vieja conocida en el sector de la seguridad, que incorpora desde hace tiempo soporte para el ENS y mediante la que es posible realizar la valoración del cumplimiento de cada medida del Anexo II del ENS.

Acabaré diciendo que espero que el proyecto de modificación del ENS, cuya admisión de comentarios se cerró el pasado lunes 9 de febrero, no contradiga mucho de lo que he escrito. Si así fuese, me comprometo a explicar los cambios en un futuro post.