Guías Safer

Como ya sabéis Wannacry también hizo sus estragos en el Sistema Nacional de Salud de Reino Unido afectando a cerca de 25 hospitales y centros médicos. Las noticias hablan de que se paralizaron los sistemas y que en algunos casos se tuvo que desviar pacientes a otros hospitales.

En mi opinión, las organizaciones pertenecientes al sector sanitario deberían estar mínimamente preparadas para poder hacer frente a un ataque de este tipo y conseguir que la afectación fuese la menor posible.

Si hacemos un análisis diferencial de la organización con respecto a un estándar, mejores prácticas, etc., podremos tener una visión de cuáles son los puntos más débiles de la organización y sobre los que tendremos que actuar de manera inmediata. En el caso de los entornos sanitarios las referencias más conocidas son la HIPAA y la ISO 27799.
[Read more…]

Estoy certificado en la ISO 27001, ¿me sirve cómo conformidad con el ENS?

Esta es la pregunta que muchas organizaciones se estarán planteando en estos momentos. Pues la respuesta por suerte o por desgracia es NO, o mejor dicho no del todo. Aunque quienes poseen este certificado tienen bastante camino hecho, hay algunos detalles que van hacer que tengan que “arremangarse” para conseguir la conformidad con el ENS.

El CCN-CERT tiene publicada una guía con fecha de 2013, la CCN-STIC 825, que trata de aclarar algunos temas al respecto. Como este tema ha generado tanta controversia, en este post trataré de hacer un pequeño resumen de lo que se expone en esta guía para que seamos conocedores de aquello que, según el ENS, nos falta aunque tengamos la certificación.

Antes de entrar en lo que se expone en la guía, si nos paramos a leer el ENS y estamos certificados en la ISO 27001, o por lo menos sabemos de qué va, seguro que hay cosas que nos suenan muy de cerca, destacando por ejemplo Gestión de la seguridad basada en los riesgos, Proceso de Mejora Continua, etc.

[Read more…]

Cuidado con el Vishing: vigila quien te llama

A todos los que nos dedicamos al mundo de la seguridad nos puede parecer extraño pensar que pueda haber personas que a estas alturas “piquen” en las múltiples estafas relacionadas con las tecnologías y comunicaciones, pero seguro que en nuestro entorno más cercano conocemos personas que han sido víctimas de estos delitos o han estado a punto de serlo, bien sea por desconocimiento o porque a través del engaño se les ha hecho desvelar sus datos personales, económicos etc.

No debemos olvidar que hay muchas personas que han empezado hacer uso de la tecnología desde hace relativamente poco tiempo, principalmente el colectivo de personas mayores, que pueden ser potencialmente víctimas de estos engaños.

[Read more…]

Actualización del Esquema nacional de Seguridad

ensEn un post anterior comenté que estaba pendiente la publicación de la actualización del Esquema Nacional de Seguridad. Pues como podéis imaginar por el título de esta entrada, El Consejo de Ministros del pasado viernes 23 de octubre aprobó un Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, que modifica otro Real Decreto del 8 de enero de 2010.

Y como lo prometido es deuda y en ese post me comprometía a contaros las novedades o cambios, sirva éste para saldar mi deuda. Sobra decir que todo el mundo debería leer por lo menos una vez la actualización del ENS (N.d.E. quizá estás exagerando, Eva), pero para quien le de mucha mucha pereza, aquí les dejo un breve resumen…

Tal y como se indica en la página del CCN-Cert, el objeto de la norma entre otras cosas “es reforzar la protección de las Administraciones Públicas frente a las ciberamenazas”. De acuerdo a esto, con la reforma del ENS se pretende adecuar la normativa al marco regulatorio europeo en lo que se refiere a las transacciones electrónicas, en la que se han tenido en cuenta las experiencias adquiridas en la implantación del ENS desde su publicación en 2010. El plazo establecido para cumplir con lo dispuesto en la actualización del ENS es de 24 meses.

[Read more…]

¿Quién tiene mis datos?

Dadas las numerosas noticias que han aparecido últimamente sobre fugas de datos, a todos se nos pasan por la cabeza preguntas como “¿Dónde pueden estar nuestros datos?” y “¿Qué pasaría si la organización a la que se los hemos suministrado “voluntariamente” tuviera una brecha de seguridad que pudiera provocar el robo o fuga de los mismos?”.

Buscando información para hacer este post, me he encontrado con esta página que muestra de forma gráfica información sobre las organizaciones que en los últimos años han sufrido una fuga de datos.

[Read more…]

Evaluación de Impacto en la Protección de Datos Personales (EIPD)

Hace algún tiempo que la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales [PDF]. La verdad es que hasta ahora no me había parado a leerla y la verdad es que es bastante interesante.

En la guía se hace referencia a términos como PIA por sus siglas en inglés (Privacy Impact Assements) y EIPD (Evaluación de Impacto en la Protección de Datos personales). Un término más conocido bastante relacionado con este tema es el de Privacy by Design, del cual podemos encontrar bastante documentación al respecto, pero por no mezclar ideas en este post nos centraremos en el EIPD y más concretamente en lo que la guía de AEPD propone al respecto.

[Read more…]

31 de Marzo, día mundial de las copias de seguridad

Sin entrar en valoraciones sobre los motivos por los que en los últimos tiempos se crean “días de…” para todo, quiero hacer una mención al pasado día 31 de Marzo, cuando se celebró el día mundial de las copias de seguridad.

Si nos remitimos a las diferentes normas y buenas prácticas relativas a la seguridad de la información, en todas existe un apartado específico de copias de seguridad, sirva el presente post para referenciar algunas de dichas recomendaciones/obligaciones y ver algunos de los controles que se deberán implementar para estar alineados con lo indicado en dichas normas.

Empecemos con algo que (casi) todos conocemos: la norma ISO 27001, cuyo objetivo de control A.12.3 Copias de Seguridad, hace referencia a que se debe evitar la pérdida de datos. En la descripción del control se cita que se deben realizar copias de seguridad de la información, del software y del sistema y se deben verificar periódicamente de acuerdo a la política de copias de seguridad acordada. Parece bastante lógico.

[Read more…]

INES: Informe Nacional del Estado de Seguridad

Desde este post quiero presentar un poco más en detalle a una de las amigas de mi compañero Toni: INES.... Leer Más