Salta el contingut

UT05 Normativa vigent de ciberseguretat d'àmbit nacional i internacional.

Al llarg d'aquesta unitat desenvoluparan competències sobre l'aplicació de normatives de ciberseguretat nacionals i internacionalss, com ara:

  • Establir pla de revisions de normativa i jurisprudència que pugui afectar l'organització.
  • Identificar nova normativa mitjançant la consulta de les fases de dades jurídiques proposades.
  • Analitzar nova normativa per determinar si s'aplica a l'organització.
  • Incloure nova normativa aplicable.
  • Determinar i implementar controls necessaris per garantir el compliment de les noves normatives.

Aquesta unitat tractarà fonamentalment normatives de ciberseguretat en l'àmbit nacional i internacional. desenvoluparan els següents continguts:

  1. Normes nacionals i internacionals.
  2. Sistema de gestió de seguretat de la informació (ISO 27001).
  3. Plans de continuïtat de negoci (ISO 22.301).
  4. Accés electrònic dels ciutadans als Serveis Públics.
  5. Esquema Nacional de Seguretat.
  6. Directiva NIS.
  7. Llei de protecció d'infraestructures públiques.

1.- Normes nacionals i internacionals.

Info

mohamed_hassan
Pixabay Ciberseguretat(Domini públic)

Són multitud d'empreses tant a Espanya com a la resta del món que han patit incidents greus relacionats amb la ciberseguretat.

S'han donat casos de ransomware, denegacions de servei, suplantacions d'identitat, frau, etc... i tots relacionats amb la seguretat dels sistemes d'informació de les organitzacions.

Davant aquesta situació és molt recomanable contractar a un CISO qui es cuidarà de millorar el nivell de maduresa en seguretat de l’organització.

Per ajudar a desenvolupar lestratègia de ciberseguretat i de continuïtat, es presentaran una sèrie de normes i estàndards àmpliament utilitzats amb lobjectiu de reduir així els riscos de ciberseguretat de lorganització.

Principals estàndards internacionals a ciberseguretat.

Model COSO - (Comitè d'Organitzacions Patrocinadores de la Comissió de les Autopistes Comercials): és una organització composta per organismes privats, establerta als Estats Units, que es dedica a proporcionar un model comú d'orientació a les entitats sobre aspectes fonamentals de gestió executiva i de govern, ètica empresarial, control intern, gestió del risc empresarial, control de frau i prestació d'informes financers.

Model CobIT – (Objectius de control per a la informació i les tecnologies relacionades): aquest és un conjunt de bones pràctiques per a la gestió dels sistemes dinformació de les companyies.

Controls de Servei i Organització 2 (SOC 2) - estàndard internacional realitzat per l'Institut Americà de Comptables Públics Certificats (AICPA): Aquests informes es desenvolupen sobre els controls que una organització implementa als seus sistemes i que tenen a veure amb la seguretat. Hi ha dos tipus d'informes SOC:

  • El SOC tipus 1 consisteix en una avaluació puntual en un moment concret amb l'objectiu de determinar si els controls implantats per l'organització han estat dissenyats degudament i són apropiats.
  • Pel que fa al SOC 2 tipus 2, es tracta d'una revisió més duradora, al voltant d'un any. Els controls de l'organització són avaluats durant un temps acordat per determinar funcionen de manera adequada durant tot el període d'avaluació.

Marc CIS CSC: Es tracta de 18 controls de seguretat crítics (CSC) desenvolupats per l'institut SANS juntament amb el Centre de Seguretat d'Internet (CIS) per millorar la defensa en ciberseguretat. Aquests controls prioritzen les accions més essencials que una organització pot establir per millorar-ne la ciberseguretat.

Marc SCF: El marc Secure Controls Framework (SCF) es tracta d'un projecte obert format per especialistes voluntaris en ciberguritat, privadesa i Govern, Risc i Control (GRC) que pretenen proveir d'una guia gratuïta de controls de privadesa i de ciberseguretat que cobreixin les necessitats estratègiques, tàctiques i operacionals de qualsevol organització amb independència de la seva organització.

Marc de ciberseguretat del NIST: És un marc de ciberseguretat creat per ajudar les empreses de totes les mides a comprendre, gestionar i reduir els riscos cibernètics i protegir-ne les xarxes i dades, proporcionant un llenguatge comú i un resum de les millors pràctiques en ciberseguretat.

Els seus resultats es basen en la millora dels 5 processos que constitueixen el cicle de la ciberseguretat que presenta el marc:

Ilustración que muestra una tabla de procesos NISTReeditat per cortesia de l'Institut Nacional d'Estàndards i Tecnologia.(CC BY)

Ilustración de los procesos NISTReeditat per cortesia de l'Institut Nacional d'Estàndards i Tecnologia.(CC BY)

El grau de maduresa dels controls s'avalua en funció de 4 nivells d'implementació:

Parcial: No formalitzat, realitzat puntualment o de manera reactiva.
Informat: Processos aprovats però podrien no ser establerts com a polítiques de tota l'organització. Activitats de seguretat basades en objectius de risc.
Repetible: Processos aprovats i amb polítiques definides, actualitzats regularment d'acord amb el perfil de risc de l'organització.
Adaptatiu: Processos mesurats i millorats, inclou lliçons apreses, l'organització s'adapta contínuament a un panorama canviant d'amenaces i tecnologies i respon de manera eficaç.

1.1.- Sistemes de Gestió de Seguretat de la Informació.

Sistemes de Gestió de Seguretat de la Informació

La ISO 27001 és una norma internacional de seguretat de la informació que pretén millorar el nivell de seguretat d'una organització a través de la implantació d'un Sistema de gestió de seguretat de la informació que suposi una millora contínua en el nivell de maduresa de seguretat i per tant assegurar la confidencialitat, integritat i disponibilitat de la informació d'una organització i dels sistemes i les aplicacions que la tracten. Aquest estàndard ha estat desenvolupat per l'Organització Internacional de Normalització i publicat en la darrera versió l'any 2013. És certificable.

Aquesta norma compta amb un mode de desenvolupament i gestió molt similar al de la resta dels estàndards ISO que implementen sistemes de gestió vists anteriorment, per la qual cosa únicament ens fixarem en els aspectes diferencials d'aquesta ISO, el marc de controls definits a la ISO 27002.

Tot i que aquesta és la més rellevant i la més coneguda, la Família ISO 27000 aquesta composta per multitud de normes sempre relacionades amb seguretat de la informació, a continuació es presenten diversos exemples:

Imagen de mujer eligiendo clasificadorAndrea Piacquadio(CC0)

  • ISO 27000: Conté les definicions i els termes que es faran servir durant tota la sèrie 27000.
  • ISO 27001: Sistema de gestió de seguretat de la informació.
  • ISO 27002: Manual de bones pràctiques on es detallen els objectius de control i les avaluacions.
  • ISO 27003: Informació necessària per a la utilització del cicle PHVA (Planificar, Fer, Verificar, Actuar).
  • ISO 27004: Tècniques de mesura i mètriques aplicables.
  • ISO 27005: Gestió dels riscs de seguretat de la informació.
  • ISO 27006: Requisits per assolir l'acreditació de les entitats d'auditoria i certificació.
  • ISO 27007: Manual d'auditoria de sistema de gestió de seguretat de la informació.
  • ISO 27011: Gestió de la seguretat de la informació específica per al sector de les telecomunicacions.
  • ISO 27017: Seguretat de la informació en entorns cloud.
  • ISO 27018: Privadesa de la informació en entorns cloud.

A més de les organitzacions, hi ha diverses certificacions per a professionals enfocats en la seguretat de la informació, que vulguin auditar o desplegar un SGSI, es tracta de la certificació ISO 27001 Lead Auditor (LA) i ISO 27001 Lead Implementer (LI).

Estructura de la norma ISO 27001

Objecte i camp d'aplicació: orientacions sobre l'ús, la finalitat i el mode d'aplicació d'aquest estàndard.

Referències Normatives: documents indispensables per a laplicació dISO27001.

Termes i Definicions: Descriu la terminologia aplicable a aquest estàndard.

Context de l'Organització: coneixement de lorganització i el seu context, la comprensió de les necessitats i expectatives de les parts interessades i la determinació de labast del SSGSI. Com ja hem vist en temes anteriors en aquest epígraf és indispensable:

  • Identificació de les parts interessades dins del sistema de gestió.
  • Identificació dobjectius i requeriments de les parts interessades.
  • Determinar a quina part del negoci afectarà el sistema de gestió.
  • Analitzar els riscs en seguretat de la informació. Aquesta anàlisi pot estar basada en la norma ISO 31000 o la 27005 específica de seguretat de la informació, ja que són compatibles.

Lideratge: Aquest apartat destaca la necessitat que tots els empleats de lorganització han de contribuir a lestabliment de la norma. Per fer-ho, l'alta direcció ha de demostrar el seu lideratge i compromís, ha d'elaborar una política de seguretat que conegui tota l'organització i assignar rols, responsabilitats i autoritats dins d'aquesta. Els elements més rellevants pel que fa a l'apartat de lideratge són:

  • Lexistència duna política de seguretat de la informació signada per la direcció, comunicada i disponible per a tots els empleats de lorganització.
  • La definició d¿un equip i recursos humans

Fotografía de puesto de trabajoFotografia de Vlada Karpovich(CC BY)

Planificació: En aquesta secció sestableix el pla per donar resposta als riscos oportunitats i objectius establerts lepígraf del context. Dins aquesta epígraf s'ha d'establir el pla de projectes i iniciatives a emprendre, juntament amb el detall dels paràmetres que justifiquen la priorització escollida.

Suport: En aquest epígraf cal detallar els recursos necessaris per operar el sistema de gestió de seguretat de la informació.

Per als recursos humans necessaris, caldrà detallar les competències necessàries amb què ha de comptar.

Així mateix, l'SGSI haurà de comptar amb un pla de comunicació i els documents rellevants com ara la política de seguretat han d'estar disponibles per a tots els empleats de l'organització.

Recursos, competències, consciència, comunicació i informació documentada amb què ha de comptar l'organització per al funcionament de l'SGSI.

Operació: aquesta part de la norma indica què cal planificar, implementar i controlar els processos de seguretat de l'organització, fer una valoració dels riscos de la Seguretat de la Informació i un tractament.

Per cadascun dels processos implementats dins del sistema de gestió de seguretat de la informació, s'ha de fer un seguiment i avaluació dels impactes a la maduresa i als riscos. Com a conseqüència d'aquest requeriment de la norma, cal fer una actualització de l'anàlisi de riscos a intervals planificats, almenys una vegada per cada cicle.

Avaluació de l'Acompliment: En aquest punt s'estableixen guies per al seguiment del sistema, el mesurament, l'anàlisi, l'avaluació, l'auditoria interna i la revisió per la direcció del sistema de gestió de seguretat de la informació.

El sistema de gestió ha de ser avaluat per facilitar-ne la millora. L'avaluació del sistema es pot dur a terme a través de diferents eines, per exemple:

  • Evolució de les mètriques i els indicadors de seguretat.
  • Auditories externes del sistema.
  • Auditories internes del sistema.
  • Revisió per part de la direcció.

Totes aquestes revisions han de deixar un suport documental. A més, la informació sobre les oportunitats de millora detectades seran utilitzades per a la millora del Sistema de Gestió de Seguretat de la Informació.

Millora: Defineix obligacions que tindrà una organització quan trobi una no-conformitat i la importància de millorar contínuament la conveniència, adequació i eficàcia del SGI.

En general, en aquest darrer epígraf s'evidencien les decisions preses respecte als punts de millora i accions correctives preses després de les avaluacions d'acompliment realitzades a la fase anterior.

Autoavaluació

L'auditor de l'SGSI vol analitzar quins projectes s'han emprès durant aquest cicle de l'SGSI. En quin epígraf del sistema de gestió podria trobar aquesta informació?

Context de l'organització

Operació

Planificació

Millora

ISO 27002

La ISO 27002, proporciona els controls de seguretat de la informació, ciberseguretat i privadesa per a una organització. És un estàndard complementari a la ISO 27001 que ajuda a implementar les millors pràctiques i controls més eficaços per prevenir atacs o vulneracions de privadesa.

A l'edició del 2013 comptava amb un total de 114 controls dividits en 14 dominis.

  • Polítiques de seguretat.
  • Aspectes organitzatius de la Seguretat de la Informació.
  • Fotografía de un sistema informáticoFoto de Pixabay(CC BY)
  • Seguretat lligada als recursos humans.
  • Gestió dactius.
  • Control daccessos.
  • Xifrat.
  • Seguretat física i ambiental.
  • Seguretat a l'operativa.
  • Seguretat a les telecomunicacions.
  • Adquisició, desenvolupament i manteniment dels sistemes dinformació.
  • Relacions amb proveïdors.
  • Gestió d'incidents a la Seguretat de la Informació.
  • Aspectes de la seguretat de la informació en la gestió de la continuïtat de negoci.
  • Compliment.
VERSIÓ D'ACTUALITZACIÓ DE LA ISO 27001 I LA ISO 27002 2022

El 15 de febrer es va publicar una nova versió de la norma, la ISO 27002:2022, si bé la 27001 encara no s'ha publicat, ja es coneix que serà publicada durant l'any 2022 i que no canviarà el nucli del sistema de gestió, sinó que adaptés els seus annexos per alinear-se amb la nova ISO 27002.

Pel que fa a la ISO 27002:2022 han estat diversos els canvis que ha patit:

El número de controls s'ha vist reduït de 114 a 93.

El número de dominis també s'ha reduït de 14 a 4.

  • Controls organitzacionals (37)
  • Controls de persones (8)
  • Controls físics (14)
  • Controls Tecnològics (34)

La norma ISO 27002:2022 incorpora11 nous controls per adaptar la norma a les noves tecnologies i necessitats sorgides en els darrers anys.

  • Intel·ligència d'amenaces.
  • Imagen de sistema operativo linuxPixabay(CC BY)
  • Seguretat de la informació al núvol.
  • Continuïtat del negoci.
  • Seguretat física i supervisió.
  • Configuració.
  • Eliminació de la informació.
  • Encriptació de dades.
  • Prevenció de fuites de dades.
  • Seguiment i monitoratge.
  • Filtratge web.
  • Codificació segura.

Una altra de les novetats en la nova versió és la possibilitat d'inclusió d'atributs per cada control, la qual cosa permet la seva implementació i avaluació per al compliment de l'estàndard ISO i qualsevol altre relacionat al qual se li puguin assignar controls. Segons el llistat adjunt:

  • Tipus de control: Preventiu, Detectiu i Correctiu.
  • Dimensions: Confidencialitat, Integritat i Disponibilitat.
  • Procés de ciberseguretat: Identificar, protegir, detectar, respondre i recuperar.
  • Capacitats Operatives: Governança, Gestió d'Actius, Protecció de la Informació, Seguretat de Recursos Humans, Seguretat Física, Seguretat de Sistemes i Xarxes, Seguretat d'Aplicacions, Configuració Segura, gestió d'identitats i accessos, gestió d'amenaces i vulnerabilitats, continuïtat, Seguretat de les relacions amb proveïdors, Legal i Compliment, gestió d'esdeveniments de seguretat de la informació i Assegurament/
  • Dominis de seguretat: Governança i ecosistema, Protecció, Defensa i Resiliència.

Reflexiona

Per obtenir la certificació ISO 27001, cal implementar els controls de l'annex A, basats en la norma ISO 27002, però, no cal implementar tots els controls!

Un dels documents més rellevants del Sistema de Gestió de Seguretat de la Informació és la declaració d'aplicabilitat de la norma.

En aquest document s'enumeren tots els controls de l'annex ISO 27002 i s'ha de justificar quins apliquen al sistema i quins no.

Per saber-ne més

Al següent article es poden consultar de manera detallada els nous controls que han aparegut amb la nova versió de la norma ISO 27002.

Explicació detallada dels nous 11 controls de la ISO 27002 (en anglès)

1.2.- Sistema de Gestió de Continuïtat de Negoci amb ISO 22301.

La continuïtat de negoci amb ISO 22301

La norma ISO 22301 estableix les directrius per al desenvolupament d'un Sistema de gestió de continuïtat de negoci.

Un Sistema de Gestió de Continuïtat d'un Negoci o SGCN identifica els actius més rellevants per al funcionament d'una organització i avalua els efectes que pot tenir una interrupció de l'activitat per establir mesures d'actuació en cas que passi. Per això, ha de tenir en compte qualsevol tipus de circumstància adversa que pugui esdevenir i quins processos i agents han d'actuar davant d'aquesta situació de risc.

Es tracta d'una norma que manté l'estructura de sistemes de gestió, basada en el cicle de Deming. És una norma certificable, i la seva darrera versió data del 2019.

Els canvis respecte altres sistemes de gestió són fonamentalment referents als conceptes de continuïtat de la informació i en operació del sistema. A continuació es presenten els conceptes més rellevants:

Continuïtat de negoci:

Capacitat d'una organització per continuar el lliurament de productes o serveis a nivells predefinits i acceptables després d'una interrupció.

Anàlisi d'impacte al negoci (BIA):

Procés danàlisi dactivitats i lefecte que una interrupció de negoci pot tenir sobre ella.

Interrupció:

Esdeveniment anticipat (per exemple, una vaga laboral o un huracà) o no anticipat (per exemple, una apagada o un terratrèmol), que causa una desviació negativa no planifiqueu

Període màxim tolerable d'interrupció (MTPD):

Temps perquè els impactes adversos, que poden sorgir com a resultat de no proporcionar un producte/servei o fer una activitat, es tornin inacceptable.

Requisits mínims de continuïtat de negoci (MBCO):

Nivell mínim de serveis i/o productes acceptable per a una organització per assolir els seus objectius comercials durant una interrupció.

Objectiu de punt de recuperació (RPO):

Punt on la informació utilitzada per una activitat es pot restaurar per permetre que l'activitat es reprengui.

Objectiu de temps de recuperació (RTO):

Període de temps després d'un incident dins del qual es reprèn un producte, servei o activitat o es recuperen recursos.

Ilustración de línea temporal de eventosIker Osorio - Elaboració pròpia (Domini públic)

A continuació es detallen les diferentsfases que han de ser dutes a terme per a l'operació del pla de continuïtat de negoci.

Anàlisi dimpacte en negoci:

L'objectiu d'aquesta fase és avaluar les activitats de negoci més crítiques que sustenten el negoci. Un cop identificades, s'han de identificar les aplicacions i sistemes informàtics que els donen servei, per establir prioritats i requisits de continuïtat.

Elements a tenir en compte:

  • Tipus dimpacte.
  • Activitats clau de negoci.
  • Avaluació dimpacte en la interrupció daquestes activitats.
  • Calcular el temps màxim tolerable d'interrupció (MTPD).
  • Calcular un temps de recuperació acceptable (RTO).

Avaluació de risc:

Permet a l'organització avaluar la probabilitat que es materialitzi una amenaça i causi un impacte negatiu a l'organització. L'objectiu d'aquest procés és establir un pla de mitigació de riscos de continuïtat per minimitzar els possibles efectes adversos que pugui ocasionar una disrupció en el negoci i recuperar els processos de negoci al més aviat possible.

Accions a dur a terme:

  • Identificar riscos per a les activitats critiques per a lorganització.
  • Analitzar els riscs identificats.
  • Determinar la millor decisió de tractament de riscs.

Amb les avaluacions d'impacte i riscos es determinarà la estratègia de continuïtat de negoci.

L'estratègia i les solucions de continuïtat adoptades es basaran en els elements següents:

  • Capacitat per complir amb requisits i continuar activitats.
  • Reduir probabilitat i període dinterrupció.
  • Recursos.
  • Tolerància al risc de lorganització.
  • Cost/Benefici.

Amb l'estratègia de continuïtat, caldrà fer-ne una avaluació dels recursos necessaris per completar-la, tenint en compte, almenys, els elements següents:

  • Personal.
  • Informació i dades.
  • Infraestructura i instal·lacions de suport.
  • Equipament i bens.
  • Sistemes de TI i telecomunicacions.
  • Transport i logística.
  • Finances.
  • Socis i proveïdors.

Un cop dissenyada l'estratègia i identificats els recursos, l'organització ha d'establir un pla i procediments de continuïtat de negoci, per gestionar l'organització en cas d'una incidència que suposi una interrupció i requereixi l'activació del pla de continuïtat.

Així mateix, cal crear-ne una estructura organitzativa de resposta amb equips de gestió de crisis responsables de gestionar i respondre les interrupcions, amb rols i responsabilitats ben definits, prou competència i procediments per comunicar-se amb parts interessades, autoritats i mitjans de comunicació.

Un cop es disposen dels procediments de resposta, es deuen generar els plans de recuperació, per tornar a la normalitat després duna situació de contingència.

L'organització ha de fer plans de prova per comprovar l'eficàcia dels plans dissenyats, les proves, es basaran en exercicis de resposta i recuperació creats a partir de casos reals que podrien ocórrer, verificant la idoneïtat dels plans i procediments de resposta i els equips assignats, aquests s'han de fer amb la freqüència necessària per garantir-ne l'efectivitat.

En general, les polítiques, plans i procediments de resposta han de ser revisats a intervals establerts o davant de canvis significatius per mantenir la seva adequació.

Reflexiona

El valor Return Point Objective, estableix el punt a partir del qual no es perdran transaccions.

Què seria millor, un RPO alt o baix?

Quin seria el control lògic per donar resposta encara a RPO?

Seria possible tenir un RPO de zero? Com?

1.3.- Accés electrònic dels ciutadans als Serveis Públics.

Accés electrònic dels ciutadans als Serveis Públics

La Llei 11/2007, de 22 de juny, de Accés Electrònic dels Ciutadans als Serveis Públics és la llei que reconeix als ciutadans el seu dret a relacionar-se electrònicament amb les administracions públiques, així com l'obligació d'aquestes a garantir aquest dret.

Dins un procés de reorganització i funcionament de les administracions públiques, va ser derogada el 2015 sorgint per dues lleis similars, però amb diferents enfocaments.

Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques referida a les relacions externes de lAdministració amb ciutadans i empreses.

Llei 40/2015, d'1 d'octubre, de règim jurídic del Govern i del sector públic referida a les relacions internes dins de cada administració i relacions entre les diferents administracions.

Procediment administratiu comú de les administracions públiques

Fotografía de pasaporte Covid DigitalNatàlia Vaitkevich(CC BY)

El procediment administratiu comú de les administracions públiques té objectius:

Millorar l'eficiència amb una Administració totalment electrònica amb zero paper i interconnectada en les relacions amb ciutadans i empreses, facilitar l'ús de mitjans electrònics i simplificar i agilitzar els procediments.

Incrementar la seguretat jurídica guanyant en certesa i predictibilitat en sistematitzar en una sola llei la regulació de les relacions externes de l'Administració amb els ciutadans i les empreses: procediment administratiu i principis aplicables a l'exercici de la iniciativa legislativa i potestat reglamentària.

Millorar la qualitat normativa de l'ordenament jurídic.

Administració amb zero paper. La tramitació de tots els procediments es realitzarà íntegrament a través de mitjans electrònics, mantenint, no obstant, els interessats el seu dret a la presentació presencial de documents.

Totes les Administracionsells seran interconnectades mitjançant plataformes comunes dintercanvi dinformació.

Es defineixen els col·lectius obligats a relacionar-se electrònicament amb lAdministració (persones jurídiques, entitats sense personalitat jurídica, empleats públics, professionals amb obligació de col·legiació i representants dun interessat obligat a relacionar-se a través de mitjans electrònics amb lAdministració)

1.4.- Esquema nacional de Seguretat.

L'esquema nacional de seguretat

El ENS estableix la política de seguretat per a la protecció adequada de la informació i els serveis prestats a per les administracions públiques, així com els proveïdors del sector privat que presten servei a les administracions públiques. Aquestes polítiques s'estructuren sobre la base d'un plantejament comú de principis, requisits, mesures de protecció, mecanismes de conformitat i monitorització per a totes les entitats a l'abast.

La última versió aquesta publicada al Reial Decret 311/2022, del 3 de maig de 2022, i substitueix la versió publicada el gener del 2010.

Objectius:

Fotografía de la plaza de colon de MadridMikhaïl Nilov(CC0)

  • Crear les condicions necessàries de seguretat en lús dels mitjans electrònics.
  • Promoure la gestió continuada de la seguretat.
  • Promoure la prevenció, detecció i correcció.
  • Promoure un tractament homogeni de la seguretat.
  • Servir de model de bones pràctiques.

Implantació de l'esquema nacional de seguretat:

A continuació es presenten les activitats que s'han de dur a terme per implantar l'ENS a una organització:

  • Preparar i aprovar la política de seguretat, incloent els objectius o la missió de l'organització, el marc regulador de les activitats, la definició de rols de seguretat, l'estructura i la composició del comitè per a la gestió i la coordinació de la seguretat, les directrius d'estructuració de la documentació de la seguretat, i els riscos derivats del tractament de dades personals.
  • Categoritzar els sistemes atenent a la valoració de la informació manejada i dels serveis prestats.
  • Realitzar l'anàlisi de riscos, incloent la valoració de les mesures de seguretat existents.
  • Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'Annex II del ENS.
  • Elaborar un pla dadequació per a la millora de la seguretat, sobre la base de les insuficiències detectades, incloent-hi terminis estimats d'execució.
  • Implantar, operar i monitoritzar les mesures de seguretat a través de la gestió continuada de la seguretat corresponent.
  • Auditar la seguretat per verificar el compliment dels requisits de l'ENS.
  • Obtenir i publicitar la de conformitat amb l'ENS.
  • Informar sobre l´estat de la seguretat.

Estructura del ENS

El Reial decret s'estructura en quaranta-un articles distribuïts en set capítols, tres disposicions addicionals, una disposició transitòria, una disposició derogatòria, tres disposicions finals i quatre annexos.

A continuació, repassarem els elements principals de l'ENS:

El Capítol 1 - Disposicions generals, defineix lobjecte de la norma, àmbit daplicació, informació, elements i entitats dins de labast. A més, també considera elements com l'ús de tecnologies de comunicació 5G i la protecció de dades de caràcter personal.

El Capítol 2 – Principis bàsics, estableix els principis bàsics de la norma, enumerats a l'article 5:

Ilustración de especialista en seguridadPixabay (Domini públic)

  1. La seguretat com a procés integral, formada per tots els elements relacionats amb els sistemes d'informació, com ara recursos humans, materials, tècnics, jurídics i organitzatius, i el desplegament de l'ENS és un procés integral i no un element atòmic i parcial a l'organització.
  2. Gestió de la seguretat basada en els riscos, elaborant una anàlisi de riscos com a element de base per a l'esquema i evolucionant-ho i actualitzant-ho a mesura que es despleguen eines i controls.
  3. Prevenció, detecció, resposta i conservació, amb l'objectiu de minimitzar precisament les vulnerabilitats que permetin materialitzar amenaces, o si no, limitar els seus danys.
  4. Existència de línies de defensa, constituint una estratègia que permeti protegir l'organització en cas que una capa de seguretat sigui vulnerada i hi ha capes de seguretat amb més profunditat i d'abast acotat.
  5. Vigilància continua, que implica la detecció d'activitats o comportaments anòmals i la resposta davant d'aquests.
  6. Reavaluació periòdica de les mesures de seguretat implementades, adaptant-ne la implementació a l'evolució del nivell de risc de l'organització.
  7. Diferenciació de responsabilitats entre el responsable dinformació, servei, seguretat i sistema.

Capítol 3 - Política de seguretat i requisits mínims per permetre una protecció adequada de la informació i els serveis:

La política de seguretat es desenvoluparà cobrint els següents continguts mínims:

  • Organització i implantació del procés de seguretat: La seguretat dels sistemes d'informació haurà de comprometre tots els membres de l'organització.
  • Anàlisi i gestió dels riscos: Cada organització haurà de realitzar la seva pròpia gestió de riscos, consistent en un procés d'identificació, avaluació i tractament dels mateixos.
  • Gestió de personal: El personal relacionat amb els sistemes IT de l'organització ha d'estar format en els deures i les responsabilitats en matèria de ciberseguretat.
  • Professionalitat: La seguretat dels sistemes dinformació estarà atesa i serà revisada i auditada per personal qualificat, dedicat i instruït.
  • Autorització i control dels accessos: L'accés controlat als sistemes d'informació compresos a l'àmbit d'aplicació d'aquest Reial decret ha d'estar limitat als elements autoritzats.
  • Protecció de les instal·lacions: Els sistemes dinformació i la seva infraestructura de comunicacions associada han de romandre en àrees controlades i disposar dels mecanismes daccés adequats i proporcionals al seu risc associat.
  • Adquisició de productes de seguretat i contractació de serveis de seguretat: S'utilitzaran aquells que tinguen certificada la funcionalitat de seguretat per a la qual han estat adquirits.
  • Logo del Esquema Nacional de SeguriadCentre Criptològic Nacional (Tots els drets reservats)
  • Mínim privilegi: Els sistemes d'informació s'han de dissenyar i configurar atorgant els mínims privilegis necessaris per a l'exercici correcte.
  • Integritat i actualització del sistema: La inclusió o modificació de qualsevol element a l'inventari d'actius requerirà autorització formal prèvia.
  • Protecció de la informació emmagatzemada i en trànsit: Es prestarà especial atenció a la seguretat de la informació en repòs i en trànsit enviada a través de dispositius portàtils. A més, s'analitzaran els suports extraïbles d'informació i les comunicacions a través de xarxes obertes per protegir-les convenientment.
  • Prevenció davant d'altres sistemes d'informació interconnectats: Es protegirà el perímetre del sistema dinformació, especialment, si es connecta a xarxes públiques, reforçant-se les tasques de prevenció, detecció i resposta a incidents de seguretat.
  • Registre de l'activitat i detecció de codi nociu: les activitats dels usuaris seran registrades, emmagatzemant la informació bàsica per monitoritzar, analitzar, investigar i documentar esdeveniments no autoritzats o activitats malicioses.
  • Incidents de seguretat: L'organització haurà de tenir procediments de gestió d'incidències. Així mateix, es disposarà de mecanismes de detecció, criteris de classificació, procediments danàlisi, resolució i comunicació.
  • Continuïtat de l'activitat: Els sistemes disposaran de còpies de seguretat i s'establiran els mecanismes necessaris per garantir la continuïtat de les operacions en cas de disrupció.
  • Millora continua del procés de seguretat.

L'article 28 regula el compliment dels requisits mínims, segons les mesures de lannex II, que podran no ser implementades sempre que sestableixin i justifiqui la implantació daltres mesures compensatòries.

L'article 29 promou la utilització d'infraestructures i serveis comunsa les administracions públiques amb l'objectiu de fomentar l'eficiència i la compartició d'informació de ciberseguretat i intel·ligència entre administracions públiques.

L'article 30 estableix la possibilitat d'implementar perfils de compliment específics establint una sèrie de mesures de seguretat en funció del nivell de riscs identificat.

Capítol 4 - Seguretat de sistemes: auditoria, informe i incidents de seguretat, estableix els requisits d'auditoria de seguretat de l'organització, i s'han d'executar almenys una vegada cada dos anys seguint criteris i mètodes reconeguts d'auditoria.

Per la seva banda, larticle 32, relatiu al informe de l'estat de la seguretat, precisa que aquest haurà de permetre elaborar un perfil general de l'estat de la seguretat a les entitats.

La prevenció, la detecció i la resposta a incidents de seguretat es defineixen els articles 33 i 34, indicant la necessitat d'existència de processos de gestió d'incidències i designant el CCN-CERT com a responsable de la coordinació de resposta a incidències en l'àmbit de les administracions i organitzacions dins l'abast de l'ENS.

Capítol 5 – Normes de conformitat, que es concreten en quatre:

  • Administració Digital.
  • Cicle de vida de serveis i sistemes.
  • Mecanismes de control i,
  • Procediments de determinació de la conformitat amb lENS.

Capítol 6 - Actualització de l'Esquema Nacional de Seguretat

Estableix l'obligació d'actualització d'acord amb el marc jurídic, l'evolució de la tecnologia i els estàndards en matèria de seguretat, amenaces noves i vectors d'atac.

Fotografía de un Firewall de redBru-no.Tallafocs de xarxa(CC0)

Capítol 7 - Categorització dels sistemes dinformació.

L'article 40 estableix la categorització de seguretat en funció de l'impacte d'un incident en termes de disponibilitat, autenticitat, integritat, confidencialitat o traçabilitat, seguint el procediment descrit a l'annex I;

El reial decret es complementa amb quatre annexos:

  • L'anexe I regula les categories de seguretat dels sistemes dinformació, detallant la seqüència dactuacions per determinar la categoria de seguretat dun sistema;
  • El annex II detalla les mesures de seguretat;

En particular, aquest annex detalla les mesures de seguretat estructurades en tres grups:

  1. el marc organitzatiu, constituït pel conjunt de mesures relacionades amb lorganització global de la seguretat.
  2. el marc operatiu, format per les mesures a prendre per protegir l'operació del sistema com a conjunt integral de components per a un fi, i
  3. les mesures de protecció, que se centren a protegir actius concrets, segons la seva naturalesa i la qualitat exigida pel nivell de seguretat de les dimensions afectades. * ElAnnex III s'ocupa de l'objecte, nivells i interpretació de la Auditoria de la seguretat i, * El annex IV inclou el glossari de termes i definicions.

Per saber-ne més

A més de la legislació vigent consultable a la web del BOE, el CCN ha habilitat un web específic per consultar les novetats de l'ENS amb multitud de materials i infografies.

Web del ENS CCN-CERT

Així mateix, el CCN proporciona una sèrie d'eines que donen suport al procés de compliment de l'ENS.

Eines suport ENS CCN

Autoavaluació

Quines eines proporciona el CCN específicament per al suport al compliment de l'ENS?

EMPARA

CLARA

INES

VANESA

1.5.- La Directiva NIS.

La directiva NIS

Batejada com directiva NIS (Directiva de seguretat de xarxes i informació), es tracta d'una directiva aprovada pel Parlament Europeu, que recull les mesures per garantir un nivell de seguretat elevat en entitats tant del sector privat com del sector públic a tot Europa, millorant-ne la resiliència i la capacitat de resposta a incidents.

Assenta les bases per a la gestió de riscos de ciberseguretat i l'obligació de notificació a les organitzacions dels sectors que cobreix.

Fotografía de banderas de EuropaNakNakNak.Banderes d'Europa(CC0)

Entre els seus objectius, destaquen l'homogeneïtzació de les mesures de seguretat entre organitzacions de diferents països, i l'establiment d'un marc de comunicació comú per a la resposta a esdeveniments i incidències de seguretat, anomenat, Xarxa Europea d'Organització d'Enllaç de Crisis Cibernètiques (EU-CYCLONe)

Què organitzacions estan afectades?

  1. Aquelles que siguin designades com Operadors de Serveis Essencials (OSE), en funció de si presten un servei essencial que depenguin de xarxes i sistemes dinformació. I si la seva pèrdua o indisponibilitat causen un perjudici sever a la societat. Són designats equiparant l'aplicabilitat a les organitzacions afectades per la Llei de protecció d'infraestructures crítiques. Poden ser entitats públiques o privades que s'activen en sectors específics, com ara l'energia, el transport, la banca i la salut, i que alhora compleix alguns criteris essencials que el qualifiquen com a servei essencial.
  2. Proveïdors de Serveis Digitals (PSD), aquests inclouen qualsevol persona jurídica que ofereixi un servei digital i més específicament un comerç en línia, un motor de cerca o un servei de computació al núvol. La seva regulació es justifica pel fet que moltes empreses depenen daquests proveïdors per a la prestació dels seus propis serveis. I per això, una parada del servei digital podria tenir importants efectes per a les activitats econòmiques i socials essencials a la UE. Cal assenyalar que la Directiva NIS no exigeix ​​que els Estats membres identifiquin els proveïdors de serveis digitals, cosa que garanteix un enfocament global.

Tres tipus de proveïdors de serveis digitals entren dins l'abast de la Directiva NIS:

  • proveïdors de mercats en línia,
  • proveïdors de motors de cerca en línia i
  • distribuïdors de serveis de computació al núvol.

Autoritats rellevants:

Es tracta de les autoritats competents, que seran les que exerceixin les funcions de vigilància i apliquin el règim sancionador.

Segons el tipus d'entitat, es distingeixen els següents:

  • Centre Nacional de Protecció d'Infraestructures Crítiques (CNPIC): per a tots aquells OSE que siguin Operadors Crítics.
  • Centre Criptològic Nacional (CCN): per a tots aquells OSE i PSD que no siguin Operadors Crítics i formin part del sector públic.
  • Autoritat sectorial corresponent per raó de la matèria, segons es determini reglamentàriament: per a tots aquells OSE que no siguin operadors crítics i no formin part del sector públic.
  • Secretaria d'Estat per a l'Avanç Digital, del Ministeri d'Energia, Turisme i Agenda Digital: per a tots aquells PSD que no siguin operadors crítics i no formin part del sector públic.

Elements rellevants definits a la directiva NIS:

Equips de resposta a incidents de seguretat informàtica de referència (CSIRT), que seran els encarregats d'analitzar els riscos i supervisar els incidents a escala nacional, difonent alertes i aportant solucions per mitigar-ne els efectes.

Segons el tipus d'entitat, es distingeixen els següents:

  • CCN-CERT: per als OSE que formin part del sector públic, i aquells PSD que formen part de la comunitat de referència del CCN-CERT.
  • Fotografía de una sala de ordenadoresPixabay (Domini públic)
  • INCIBE-CERT: per als OSE que no formin part del sector públic, i aquells PSD que no formen part de la comunitat de referència del CCN-CERT.
  • ESPDEF-CERT: cooperarà amb CCN-CERT i INCIBE-CERT quan ho requereixin per donar suport als OSE, i sempre que tingui incidència a la Defensa Nacional.

Punt de contacte únic, que serà l'encarregat de garantir una cooperació transfronterera amb les autoritats competents i els CSIRT d'altres estats membres, i que serà exercit per part del Departament de Seguretat Nacional del Consell de Seguretat Nacional.

Requisits de seguretat a complir per OSE i PSDs:

  1. Designar una persona, unitat o òrgan, com a responsable de Seguretat com a punt de contacte i coordinador tècnic.
  2. Establiment de desenvolupaments reglamentaris, ordres ministerials, instruccions i guies que permetin detallar les obligacions específiques.
  3. Definició de mesures tècniques i dorganització per gestionar els riscos.
  4. Proporcionar informació necessària per avaluar la seguretat de les xarxes i els sistemes dinformació.
  5. Proporcionar informació sobre la implantació de les polítiques de seguretat.
  6. Ser sotmès a una auditoria sobre la seguretat de les xarxes i els sistemes d'informació.
  7. Ser requerit a solucionar les deficiències detectades.

  8. Notificació a l'òrgan supervisor d'incidents de seguretat significatius, segons els paràmetres següents:

  9. Nombre dusuaris afectats.

  10. Durada de lincident.
  11. Àrea geogràfica afectada.
  12. Nivell de pertorbació del servei.
  13. Impacte en activitats econòmiques i socials crucials.
  14. Criticitat del sistema o informació afectada per l'incident en un OSE.
  15. Dany reputacional.

Autoavaluació

En cas que ACME pateixi un incident de seguretat greu, i requereixi suport d'un CERT. Quin seria el CERT de referència?

CCN-CERT

INCIBE-CERT

Estructura de la directiva NIS

La darrera versió de la directiva NIS pot ser consultada al portal de publicació de regulacions de la unió europea, a través d'aquest enllaç: Directiva NIS

La directiva compta amb un total de 27 articles distribuïts en 7 capítols:

El capítol 1 és de disposicions generals, compta amb els següents articles:

  • L'article 1 defineix l'objecte de la norma i el seu àmbit d'aplicació, s'hi detalla la finalitat de la norma i els diferents objectius que persegueix.
  • L'article 2 parla del tractament de les dades personals, especificant que s'ha de fer d'acord amb la directiva 95/46/CE.
  • L'article 3 estableix que la normativa suposa un mínim comú en seguretat a les xarxes i sistemes d'informació dels estats membres, però permet als Estats membres establir mesures addicionals.
  • L'article 4 defineix i descriu diferents termes utilitzats a la normativa.
  • Els articles 5 i 6 defineixen que són operadors de serveis essencials i efecte pertorbador definitiu.

Fotografía de un switch cableadoBru-nO.Switch Cablejat(CC0)

El capítol 2 versa sobre marcs nacionals de seguretat de les xarxes i sistemes d'informació, compost pels següents articles:

  • L'article 7 parla sobre l'estratègia nacional de seguretat de les xarxes i els sistemes d'informació.
    Els Estats membres tenen l'obligació d'aprovar una estratègia nacional sobre seguretat. L'enfocament específic de la transposició nacional de la Directiva NIS correspon a cada Estat membre. Perquè les disposicions nacionals sobre requisits de seguretat s'alinein en la major mesura possible, la Comissió encoratja els Estats membres a seguir el document d'orientació desenvolupat pel Grup de Cooperació. En aquest document s'estableixen alguns principis generals que tots els estats membres han de tenir en compte en adoptar mesures de seguretat. Aquestes mesures han de ser efectives, personalitzades, compatibles, proporcionades, concretes i verificables.
  • Larticle 8 defineix les autoritats nacionals competents i el punt de contacte únic.
  • L'article 9 parla sobre els equips de resposta a incidents (CSIRT).
  • Larticle 10 introdueix conceptes de cooperació a escala nacional i serveix dintroducció al capítol 3.

El capítol 3 tracta sobre la cooperació en matèria de seguretat, aquesta conformat pels següents articles:

  • L'article 11 tracta de la construcció de grups de cooperació entre els diferents estats membres.
  • L'article 12 parla sobre la construcció d'una sèrie de CSIRT nacionals i la col·laboració entre els diferents CSIRT dels Estats membres.
  • Larticle 13 versa sobre la cooperació internacional.

El Grup de Cooperació, establert per la directiva NIS, estarà presidit per la Presidència del Consell de la Unió Europea i conformat per diferents representants dels estats membres, la Comissió (en qualitat de secretaria) i ENISA.

Dins de les seves funcions, possibilita l'intercanvi d'informació i la cooperació estratègica i confiança entre els Estats membres.

També s'estableix la creació d'una xarxa nacional de CSIRT. La xarxa CSIRT estarà composta per representants dels CSIRT dels Estats membres i del CERT-EU (l'Equip de resposta davant d'emergències informàtiques per a les institucions, agències i organismes de la UE).

Entre les tasques dins de les competències de la xarxa CSIRT estan:

  • Intercanvi dinformació sobre els serveis, les operacions i les capacitats de cooperació dels CSIRT.
  • Intercanvi dinformació relacionada amb incidents i riscos associats.
  • Identificació duna resposta coordinada a un incident.
  • Prestació de suport per als Estats membres en abordar incidents transfronterers.

El capítol 4 estableix les normes de seguretat de les xarxes i sistemes d'informació dels operadors de serveis essencials, el formen els següents articles:

  • L'article 14 tracta sobre requisits en matèria de seguretat i notificació d'incidents i l'article 15 sobre l'observació i el seguiment d'aquestes.

Els requisits de seguretat per als OSE i per als PSD impliquen l'obligació de notificar a les autoritats competents qualsevol incident que tingui un impacte a la continuïtat dels serveis (essencials) que proporciona un operador. Tots dos no han de notificar incidents menors, sinó només incidents greus que afectin la continuïtat del servei essencial.

S'estableix una llista de paràmetres que cal tenir en compte en determinar la importància de l'impacte d'un incident:

Fotografía de planta nucleardistelAPPArath.Planta nuclear (Domini públic)

Nombre dusuaris afectats.
Durada de lincident.
Extensió geogràfica pel que fa a l'àrea afectada per l'incident.

El capítol 5 estableix les normes de seguretat de les xarxes i sistemes d'informació dels proveïdors de serveis digitals, el formen els següents articles:

  • L'article 16 tracta sobre requisits en matèria de seguretat i notificació d'incidents i el 17 sobre l'observació i el seguiment de les mateixes.
  • L'article 18 tracta sobre la jurisdicció i territorialitat dels prestadors de serveis digitals.

La Directiva descriu les mesures de seguretat que els proveïdors de serveis digitals han de prendre per mitigar els riscos que amenacen la seguretat de la xarxa i els sistemes dinformació que utilitzen per a la prestació del seu servei.

Els elements que un proveïdor de serveis digitals ha de tenir en compte en identificar i adoptar mesures de seguretat per a la xarxa són:

  • Seguretat dels sistemes i instal·lacions.
  • Maneig dincidents.
  • Gestió de la continuïtat del negoci.
  • Monitorització, auditoria i proves.
  • Compliment de les normes internacionals.

Els proveïdors de serveis digitals han de notificar a l'autoritat competent o al CSIRT qualsevol incident amb un impacte substancial en la prestació del servei.

Els paràmetres que cal tenir en compte per determinar si l'impacte d'un incident és substancial són:

  • nombre d'usuaris afectats per l'incident, en particular usuaris que confien en el servei per prestar els seus propis serveis;
  • durada de l'incident;
  • distribució geogràfica pel que fa a l'àrea afectada per l'incident;
  • abast de la interrupció del funcionament del servei;
  • impacte en les activitats econòmiques i socials.

El capítol 6 tracta sobre la normalització i notificació voluntària, compta amb els següents articles:

  • L'article 19 parla sobre la normalització, la utilització de normes agnòstiques a la tecnologia.
  • L'article 20 tracta de la notificació voluntària d'incidents per qualsevol entitat amb independència del nomenament com a operador de servei essencial.

El capítol 7 comprèn les disposicions finals, consta de diferents articles en què s'estableixen elements com el règim sancionador, procediments de comitè, la revisió de la interpretació i execució de la directiva pels estats membres, mesures transitòries, entrada en vigor, i destinataris.

Reglament de seguretat de les xarxes i sistemes d'informació

El Reglament de Seguretat de les Xarxes i Sistemes de la Informació (Reglament NIS) té com a objectiu desenvolupar al territori nacional el que estableix la Llei NIS europea, pel que fa al marc institucional en la matèria, la cooperació i la coordinació, la gestió i la notificació d'incidents, les mesures a implantar, la supervisió dels requisits de ciberseguretat o la funció del CISO.

Seransotmesos a aquest Reial decret,

  • Els operadors de serveis essencials (OSE) i els proveïdors de serveis digitals (PSD) que facin la seva activitat a Espanya.
  • Els operadors de xarxes i serveis de comunicacions electròniques i els prestadors de serveis electrònics de confiança que no es considerin operadors crítics.
  • Els proveïdors de serveis digitals quan siguin microempreses o petites empreses, segons les definicions establertes a la Recomanació 2003/361/CE de la Comissió.

Fotografía de antenas.Imatges de Wiki.Antenes de telecomunicacions(CC0)

El Reglament especifica així mateix, que les autoritats competents en ciberseguretat seran, amb caràcter general, les que recull la Llei:

  • Secretarias dEstat de Seguretat.
  • Defensa i per a l'avenç digital a través de diferents òrgans.

Per als operadors privats de serveis essencials que no siguin crítics, estableix que seran autoritats competents els organismes responsables per als sectors de transport, energia, TIC, sistema financer, espai, indústria química, instal·lacions de recerca, salut, aigua, alimentació i indústria nuclear.

La cooperació entre els CSIRT de referència i les autoritats competents, es durà a terme mitjançant la Plataforma Nacional de Notificació i Seguiment de Ciber incidents.

El Departament de Seguretat Nacional és el punt de contacte únic per actuar com a enllaç entre autoritats nacionals i la Unió Europea, el Grup de Cooperació Europeu i la xarxa de CSIRT.

El reglament especifica les funcions d'aquest organisme, entre les quals es troben:

  • Comunicar a la Comissió Europea la llista doperadors de serveis essencials nacionals.
  • Transmetre els punts de contacte d'altres estats membres, informació sobre incidents amb impacte transfronterer.
  • Enviar als CSIRT de referència ia les autoritats competents nacionals informació sobre incidents amb efectes pertorbadors en els serveis essencials que suposin la interrupció dels serveis esmentats.

Un dels aspectes destacats del Reglament NIS és la funció que exercirà el CISO en aquest marc normatiu:

Els operadors de serveis essencials hauran de designar una persona com a responsable de la seguretat de la informació perquè exerceixi les funcions de punt de contacte i coordinació amb les autoritats competents i CSIRT de referència. L'objectiu principal d'aquests professionals és elaborar les polítiques de seguretat per gestionar els riscos per a la seguretat de les xarxes i sistemes d'informació i reduir l'impacte dels ciberincidents.

Les funcions del responsable de seguretat són:

  • Supervisar i desenvolupar polítiques de seguretat, normatives i procediments.
  • Redactar una declaració d'aplicabilitat de les mesures de seguretat.
  • Actuar com a capacitador de bones pràctiques en seguretat de les xarxes i els sistemes d'informació, tant en aspectes físics com lògics.
  • Comunicar els incidents pertorbadors a lautoritat competent.

El Reglament NIS recull així mateix el procediment de gestió d'incidents de seguretat, el procés de notificació a través de la Plataforma Nacional de Notificació i Seguiment de Ciber incidents, així com el sistema de supervisió de compliment d'obligacions de seguretat i notificació d'incidents.

Els OSE i PSD estan obligats a implantar les mesures de seguretat tècniques i dorganització adequades i proporcionades per gestionar els riscos que afectin la seguretat de les xarxes i sistemes dinformació que usen per prestar els seus serveis, ja siguin xarxes i sistemes propis, o de proveïdors externs. A més, s'han d'aprovar unes polítiques de seguretat de les xarxes i els sistemes d'informació, tenint en compte els principis de seguretat integral, gestió de riscos, prevenció, resposta i recuperació, línies de defensa, reavaluació periòdica i segregació de tasques.

Aquestes polítiques tindran en compte, com a mínim, els aspectes següents:

Fotografía de FicherosPexels.Fotografia de fitxers. (Domini públic)

  • Anàlisi i gestió de riscos.
  • Gestió de riscs de tercers.
  • Catàleg de mesures de seguretat.
  • Gestió del personal.
  • Adquisició de productes o serveis.
  • Detecció d'esdeveniments de seguretat
  • Gestió dincidents.
  • Plans de recuperació i continuïtat de les operacions.
  • Millora continua.
  • Interconnexió de sistemes.
  • Registre de lactivitat dels usuaris.

Al capítol 4 del reglament es defineix que els OSE i els PSD han de gestionar els incidents de seguretat que afectin les xarxes i els sistemes d'informació que usen per a la prestació dels seus serveis. En el cas de les xarxes i els sistemes siguin propietat de proveïdors externs, s'han d'aplicar les mesures necessàries per garantir que aquestes accions es duguin a terme.

L'obligació de gestionar i resoldre els incidents de seguretat afecta tant aquells detectats per l'operador o un tercer que li proporcioni servei com els que siguin assenyalats pel CSIRT de referència, que podrà donar ajuda. La notificació dels incidents, ha de ser realitzada al CSIRT de referència, quan puguin tenir efectes pertorbadors significatius en els serveis. Igualment, hauran de donar compte dels successos o incidències que poguessin afectar les xarxes i els sistemes d'informació emprats per a la prestació dels serveis essencials, encara que no hagin tingut encara un efecte advers real sobre aquells.

La notificació dels incidents és una funció del responsable de la Seguretat de la Informació designat.

Els CSIRT de referència, el CCN-CERT, l'INCIBE-CERT i l'ESP-DEF-CERT del Comandament Conjunt del Ciberespai, podran facilitar els actors involucrats l'accés a la Plataforma Nacional de Notificació i Seguiment de Cibe rincidents, amb l'objectiu d'intercanviar informació i fer un seguiment d'incidents entre els operadors o proveïdors.

1.6.- Llei de protecció d'infraestructures crítiques.

Llei de protecció d'infraestructures crítiques

Una Infraestructura Crítica és aquella el funcionament és indispensable i no permet solucions alternatives. Aquestes inclouen instal·lacions, xarxes, sistemes i equips físics i de tecnologia de comunicacions sobre els quals funcionen els serveis essencials per a la població. Els serveis essencials són aquells necessaris per al funcionament de les funcions socials bàsiques: Salut, seguretat, benestar social i econòmic i sector públic.

La protecció d'infraestructures crítiques consisteix en el conjunt d'activitats destinades a garantir el funcionament, la continuïtat i la integritat de les infraestructures crítiques i prevenir, reduir o neutralitzar el dany causat per un atac deliberat contra aquestes.

La Llei 8/2011, del 28 d'abril, estableixen les directrius per a la protecció de les infraestructures crítiques i que està ampliada pel reglament de mesures de protecció descrites al reial decret 704/2011. Aquesta normativa sorgeix com a conseqüència de la transposició espanyola de la directiva europea Directiva 2008/114/CE.

Fotografía de una presaFrans van Heerden.Presa de generació hidroelèctrica (Domini públic)

Els dos objectius principals d'aquesta norma són:

Identificar el conjunt d'infraestructures que presten serveis essencials a la nostra societat.
Dissenyar un pla de prevenció i protecció eficaç contra les possibles amenaces físiques i tecnològiques sobre aquestes infraestructures.

La Llei 8/2011 de protecció d'infraestructures crítiques, consta de 18 articles, estructurats en 3 Títols.

  • Disposicions generals (articles 1 al 4): Definicions dels termes encunyats per la Directiva 2008/114/CE, així com establir les qüestions relatives a l'àmbit d'aplicació i objecte. Entre les definicions establertes, cal destacar:

  • Servei essencial: Es considera com el servei necessari per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o el funcionament eficaç de les institucions de l'Estat i les administracions públiques.

  • Sector estratègic: Cadascuna de les àrees diferenciades dins lactivitat laboral, econòmica i productiva, que proporciona un servei essencial.
  • Infraestructures estratègiques: Instal·lacions, xarxes, sistemes i equips físics i de tecnologia de la informació sobre les quals descansa el funcionament dels serveis essencials.
  • Infraestructures crítiques: Infraestructura estratègica el funcionament de la qual és indispensable i no permet solucions alternatives, per la qual cosa la seva pertorbació o destrucció tindria un greu impacte sobre els serveis essencials.

  • Criteris horitzontals de criticitat: Paràmetres en funció dels quals es determina la criticitat, la gravetat i les conseqüències de la pertorbació o destrucció d'una infraestructura crítica, sobre la base del potencial de víctimes mortals o ferits amb lesions greus i les conseqüències per a la salut pública, l'impacte econòmic en funció de la magnitud de les pèrdues econòmiques i el deteriorament de productes i serveis, l'impacte mediambiental, l'impacte mediambiental, ciutadà a les seves Institucions Públiques, el patiment físic o l'alteració de la vida quotidiana pel greu deteriorament de serveis essencials.

  • El Sistema de protecció d'infraestructures crítiques (articles 5 al 13): Descriu com es regulen els òrgans i instruments de planificació que s'integren al Sistema de Protecció de les Infraestructures Crítiques, compost per una sèrie d'institucions, òrgans i empreses, procedents públiques o privades amb responsabilitats en el funcionament correcte dels serveis essencials. La Llei involucra a els següents agents:

  • La secretaria d'estat de seguretat és nomenada responsable del sistema de protecció de les infraestructures crítiques nacionals i és l'encarregada de dirigir l'estratègia nacional de protecció d'infraestructures crítiques i aprovar els plans de seguretat.

  • El Centre Nacional per a la Protecció de les Infraestructures Crítiques (d'ara endavant CNPIC) encarregat de l'impuls, la coordinació i supervisió de totes les activitats que té encomanades la Secretaria d'Estat de Seguretat en relació amb la protecció de les Infraestructures Crítiques al territori nacional, a més correspondrà la realització d'altes, baixes i modificacions d'infraestructures al Catàleg, així com la determinació de la criticitat de les infraestructures.
  • Per cada sector estratègic, es designarà almenys un ministeri, organisme, entitat o òrgan de l'Administració General de l'Estat integrat al Sistema, que serà l'encarregat d'impulsar, en l'àmbit de les seves competències, les polítiques de seguretat del Govern sobre els diferents sectors estratègics nacionals i de vetllar per la seva aplicació, actuant igualment com a punts de contacte especialitzats en la matèria.
  • Fotografía de Banco de EspañaJuliol Irrazabal.Banc d'Espanya (Domini públic) *
  • Les Delegacions del Govern a les comunitats autònomes ia les ciutats intervindran, a través de les Forces i Cossos de Seguretat en la implantació dels diferents plans de les infraestructures crítiques de la seua demarcació.
  • Per a les comunitats autònomes i ciutats amb Estatut d'autonomia que ostenten competències estatutàriament reconegudes per a la protecció de persones i béns i per al manteniment de l'ordre públic participaran en la implantació dels plans a través dels seus cossos policials respectius, i seran membres de la Comissió Nacional per a la Protecció de les Infraestructures Crítiques. Les comunitats autònomes no incloses en els apartats anteriors han de participar en el sistema de protecció d'infraestructures crítiques i en els òrgans que preveu aquesta Llei, d'acord amb les competències que els reconeguin els Estatuts d'autonomia respectius.
  • Un altre òrgan de nova creació és la Comissió Nacional per a la Protecció de les Infraestructures Crítiques, que és un òrgan col·legiat competent per aprovar els diferents Plans Estratègics Sectorials així com per designar els operadors crítics a proposta del Grup de Treball Interdepartamental per a la Protecció de les Infraestructures Crítiques, al qual correspondrà l'elaboració dels diferents Plans Estratègics Sectorials i la proposta a la Comissió de la designació dels operadors crítics.

  • Especial atenció mereixen la figura de operadors crítics que són els encarregats de proveir un servei essencial a través de les infraestructures crítiques.

  • Instruments i comunicació del Sistema (articles 14 al 18): Defineix les mesures de protecció i els procediments que han de derivar de laplicació de la norma.

  • Els operadors considerats crítics en virtut d'aquesta Llei han de col·laborar amb les autoritats competents del sistema, a fi d'optimitzar la protecció de les infraestructures crítiques i de les infraestructures crítiques europees gestionats per aquests i, entre altres obligacions, elaborar el Pla de Seguretat de l'operador i un pla de protecció específic per cadascuna de les infraestructures considerades com a crítiques al Catàleg, així com designar un Responsable de Seguretat i Enllaç, que serà l'interlocutor amb el CNPIC en aquesta matèria, ia un Delegat de Seguretat per cadascuna de les infraestructures considerades Crítiques.

  • Il sistema de planificació comprèn els plans següents:

    • El Pla Nacional de Protecció de les Infraestructures Crítiques, elaborat per la Secretaria d'Estat de Seguretat, és un document per dirigir i coordinar les actuacions en aquesta matèria en la lluita contra el terrorisme.
    • Els Plans Estratègics Sectorials, elaborats pel Grup de Treball Interdepartamental, que inclouen per sectors els criteris de les mesures a adoptar davant d'una situació de risc.
    • Les empreses que siguin designades com a operadors crítics hauran de presentar un PSO (Pla de Seguretat de l'operador). En ell, es defineix la política general de seguretat de l'operador i el marc de govern; identificant els serveis essencials que presta; implantant una metodologia danàlisi de risc i desenvolupant els criteris daplicació de mesures de seguretat integral. Els plans de seguretat de l'operador són documents d'alt nivell que contemplen aspectes relatius a la seguretat organitzativa i procedimental de l'operador crític. Hauran de contenir, almenys, aspectes relacionats amb la política de seguretat de l'operador, el marc de govern de la seguretat, la identificació i l'estudi dels serveis essencials que presta, la metodologia d'anàlisi de riscos emprada, els criteris d'aplicació de les mesures de seguretat emprades i la documentació complementària.
    • Així mateix, també hauran de presentar un PPE (Pla de Protecció Específic) respecte a totes les infraestructures classificades com a crítiques, en què es defineixi l'organització de la seguretat associada a l'operador crític; descrivint les dades generals, actius, elements i interdependències de les infraestructures que hagin estat designades com a crítiques; identificant les amenaces internes o externes, físiques o lògiques, intencionades o aleatòries; detallant les mesures de seguretat i valors de risc i proposant les mesures a aplicar per protegir els actius crítics com a conseqüència dels resultats obtinguts a l'anàlisi de riscos. Els Plans de Protecció Específics són documents de seguretat de cadascuna de les infraestructures crítiques, on s'estableixen les mesures de seguretat adoptades pels operadors crítics per protegir-les.
    • Els Plans de Suport Operatiu són plans de caràcter tàctic, elaborats pel Cos Policial amb competència a la demarcació, per a cadascuna de les infraestructures crítiques, que hauran de contenir, almenys, els aspectes organitzatius de la seguretat de la infraestructura, la descripció d'aquesta, una anàlisi de riscos i un pla d'acció amb les mesures de seguretat a implementar.

Les entitats i organitzacions considerades infraestructures crítiques, no estan publicades, no obstant, pertanyen als següents sectors, considerats crítics:

Fotografía de carreterasJiarong Deng.Sector transport (Domini públic)

  • Salut.
  • Sistema Financer i Tributari.
  • Indústria Química.
  • Espai.
  • Instal·lacions de recerca.
  • Administració.
  • Energia.
  • Indústria Nuclear.
  • TIC.
  • Transport.
  • Aigua.
  • Alimentació.

Per saber-ne més

El CNPIC ha desenvolupat unes guies de bones pràctiques per al desenvolupament del Pla de seguretat de l'operador i del pla de protecció específic.

Aquestes poden ser visitades al apartat de Guies i metodologies del CNPIC

El Centre Nacional de Protecció d'Infraestructures Crítiques

El Centre Nacional per a la Protecció de les Infraestructures Crítiques (CNPIC) és un organisme creat mitjançant Acord de Consell de Ministres, el de 2 de novembre de 2007. Les seves competències, estan regulades per la Llei 8/2011, de 28 d'abril, per la qual s'estableixen mesures per a la protecció de les infraestructures crítiques i pel Reial decret 704/2011, de 20 de maig, pel qual s'aprova.

El CNPIC depèn de la Secretaria d'Estat de Seguretat, del Ministeri de l'Interior, màxim responsable del Sistema de Protecció de les Infraestructures Crítiques nacionals, assignant-li al CNPIC la direcció i coordinació de totes les activitats relacionades amb la protecció d'infraestructures crítiques davant de qualsevol tipus d'amenaça, com ara poden ser aquelles procedents d'atacs terroristes o organitzacions criminals.

El Centre Nacional per a la Protecció d'Infraestructures Crítiques exerceix les següents funcions:

  • Assisteix el secretari d'Estat de Seguretat en l'execució de les seves funcions en matèria de protecció d'infraestructures crítiques, i actua com a òrgan de contacte i coordinació amb els agents del sistema.
  • Executa i manté actualitzat el Pla Nacional de Protecció de les Infraestructures Crítiques.
  • Determina la criticitat de les infraestructures estratègiques incloses al Catàleg.
  • Manté operatiu i actualitzat el Catàleg d'infraestructures estratègiques.
  • Dirigeix ​​i coordina les anàlisis de riscos dels Plans Estratègics Sectorials.
  • Estableix els continguts mínims dels Plans de Seguretat dels Operadors, dels Plans de Protecció Específics i dels Plans de Suport Operatiu.
  • Analitza els Plans de Protecció Específics facilitats pels operadors crítics respecte a les diferents infraestructures crítiques que proposa, si escau, per aprovar-lo, al Secretari d'Estat de Seguretat.
  • Logo CNPICCNPIC.Logotip del CNPIC (Tots els drets reservats)
  • Validar els Plans de Suport Operatiu dissenyats per a cadascuna de les infraestructures crítiques existents al territori nacional pel Cos Policial estatal o autonòmic competent.
  • Implanta mecanismes permanents dinformació, alerta i comunicació amb tots els agents del Sistema.
  • Recopila, analitza, integra i valora la informació sobre infraestructures estratègiques procedent d'institucions públiques, serveis policials, operadors i dels diversos instruments de cooperació internacional per remetre'ls al Centre Nacional de Coordinació Antiterrorista del Ministeri de l'Interior oa altres organismes autoritzats.
  • Participa en la realització dexercicis i simulacres de protecció de les infraestructures crítiques.
  • Coordina els treballs i la participació d'experts als diferents grups de treball i reunions sobre protecció d'infraestructures crítiques, en els àmbits nacional i internacional.

El Servei de Plans i Seguretat és el responsable de coordinar tots aquells assumptes relacionats amb la seguretat integral de les infraestructures crítiques i estratègiques nacionals, duent a terme les tasques dimplantació del sistema de planificació de la normativa relativa a la protecció dinfraestructures crítiques. A més, és l'encarregat de la custòdia, el manteniment i l'explotació del Catàleg Nacional d'infraestructures estratègiques que és el registre amb la informació completa, actualitzada i contrastada de totes les infraestructures estratègiques ubicades al territori nacional, incloent les crítiques i de l'explotació de l'eina de missatgeria instantània ALERTPIC.

El servei està dividit en tres seccions: Anàlisi, Estudis sobre Infraestructures i Centre de Coordinació i Alerta.

Per a l'exercici de les seves comeses, es recolza en els serveis transversals següents:

  • Servei de Coordinació, que té com a funció l'auxili i la cooperació amb el titular del centre sobre el compliment de les seves funcions, assistida per la Secció de Relacions Internacionals, encarregada de les relacions internacionals, especialment amb la Unió Europea.
  • Servei de Normativa que té com a missions principals les relatives a l'àmbit normatiu en tot allò relacionat amb la protecció de les infraestructures crítiques i serveis essencials.

Reflexiona

ACME ha esdevingut una empresa de telecomunicacions, que dóna servei a una o diverses Forces i Cossos de Seguretat de l'Estat (FCSE).

Com a tal, podria ser considerada ACME com a infraestructura crítica?

A5.- Continguts Addicionals.

Codi de dret de la ciberseguretat: BOE

Normes per millorar la ciberseguretat: Globalsuite

Guies CCN-STIC

Institut Nacional d'Estàndards i Tecnologia (NIST):

Marc del NIST

Marc NIST en format PDF

Article sobre el NIST a Globalsuite:

Article

Article sobre el NIST a deacosta:

Article

Article sobre NIST CSCF, 800-53 i 800-171 a la web de reciprocity:

Article

Principals estàndards de seguretat a Comparaclouds:

Article

Pàgina del Marc de Controls Segurs (SCF)

Pàgina oficial del marc de controls segurs

Pàgina del CIS

Controls CIS CSC v8 – Pàgina oficial

Guia de controls CIS a Ciberseguretat.com

Article

Document Guia d'implementació norma ISO 22301 de Sistemes de gestió de continuïtat de negoci a NQA

Guia

Guia comparativa ISO 22301:2012 vs ISO 22301:2019

Guia

Presentació del procés administratiu comú de les administracions públiques

Document

Reial decret oficial de l'Esquema Nacional de Seguretat

BOE

Pagina oficial de l'Esquema nacional de Seguretat del Centre Criptològic Nacional (CCN)

Web

Resum novetats ENS 2022

Article

Entrada en vigor de la directiva NIS 2

Article

Article sobre la directiva NIS

Document