Consúltenos
En las redes
Centro de conocimiento. Información útil y descargable
En esta sección ponemos a su disposición recursos en relación a los servicios que ofrecemos que le pueden resultar de utilidad.
Plantilla para registrar las particularidades, en términos de proceso, de los servicios que presta cualquier organización conforme la ISO/IEC 20000-1:2018.
Tabla comparativa entre los requisitos y medidas de seguridad del Esquema Nacional de Seguridad (ENS) y la ISO/IEC 27001:2013 diferente a la propuesta por el Centro Criptológico Nacional (CCN).
Plantilla para el registro y gestión de las peticiones de servicio conforme al apartado 8.6.2 de la norma ISO/IEC 20000-1:2018.
TISAX (Trusted Information Security Assessment Exchange) es el principal marco para la gestión de la ciberseguridad-seguridad de la información en la industria automotriz.
La gestión de los proveedores que tienen relación con los riesgos en materia de ciberseguridad-seguridad de la información es un aspecto fundamental en el aseguramiento de la cadena de suministro.
Aquí se propone una plantilla muy sencilla para definir y controlar el servicio prestado por los proveedores y, por tanto, cumplir este aspecto del Esquema Nacional de Seguridad y la ISO/IEC 27001.
Se presenta un análisis acerca de qué puede contener un inventario de activos de información para hacerlo desde cero.
En un sistema de gestión de seguridad de la información (SGSI) (conforme a la ISO/IEC 27001) los activos asociados a la información y a los recursos para el tratamiento de la información deben estar claramente identificados y debe elaborarse y mantenerse un inventario.
Este pasado 15 de septiembre de 2018 se publicó la nueva revisión de la norma ISO/IEC 20000-1 con el objetivo de proporcionar un conjunto claro de requisitos mejores prácticas para ayudar a las organizaciones a ofrecer servicios consistentes y robustos que continúen evolucionando de acuerdo a las demandas de sus partes interesadas (clientes, personas, propiedad, proveedores y Sociedad).
Aquí se presenta una comparativa con las normas ISO 9001, ISO/IEC 27001 e ISO/IEC 20000-1 (en sus versión de 2018 y 2011).
De acuerdo al RGPD, la protección de datos personales desde el diseño y por defecto se debe incluir dentro de las que debe aplicar la Organización con anterioridad al inicio del tratamiento y también cuando se esté desarrollando.
Esta medida refleja muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
La aplicación de las medidas previstas por el RGPD debe adaptarse al nivel de riesgo de las organizaciones.
El formato que se presenta puede servir como análisis básico de riesgos o como plan de gestión de los riesgos, una vez realizada la Evaluación de Impacto en la Protección de Datos (EIPD).
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) de la UE que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.
Desde el cumplimento de la LOPD, para adecuarse al RGPD, se deben desarrollar las actividades detalladas en este enlace.
Con los siguientes objetivos:
- Comprender los aspectos fundamentales de la ciberseguridad
- Entender el marco normativo nacional e internacional asociado
- Analizar y gestionar los ciberriesgos
Con el siguiente contenido:
- Introducción a la ciberseguridad
- Marco normativo
- Análisis de riesgos
- Gestión de riesgos
He sido hackeado, ¿y ahora qué? El eslabón más débil de la ciberseguridad eres tú
Siempre decimos que la seguridad es tan segura como tu eslabón más débil, y éste habitualmente somos nosotr@s, las personas usuarias.
Para gestionar esta vulnerabilidad, la medida de seguridad fundamental es la concienciación.
Aquí se muestra un ejemplo de “píldora” de concienciación aplicable en cualquier ámbito y organización.
De acuerdo a las últimas versiones de las normas ISO de sistemas de gestión (p.e. En el artículo 7.4 de la ISO 9001:2015 e ISO/IEC 27001:2013), la organización debe determinar las comunicaciones internas y externas pertinentes al sistema de gestión, que incluyan:
- Contenido
- Cuando
- Destinatario
- Canal
- Quien comunica
La mejor manera de garantizar que los servicios (en concreto los de TI) están cumpliendo con las necesidades del negocio es implantar un sistema de gestión de servicios (basado en la norma ISO/IEC 20000-1).
Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO/IEC 27001, es el medio más adecuado para gestionar los riesgos en esa materia, al asegurar que se identifican y valoran los activos, sus amenazas y vulnerabilidades, considerando el impacto para la organización, y que se adoptan las medidas de seguridad más coherentes con la estrategia de negocio.
Un plan de continuidad de negocio proporciona a la organización un marco que permite identificar las posibles amenazas y fortalecer su capacidad para afrontarlas, protegiendo los intereses de las partes interesadas (clientes, personas, socios, proveedores y entorno social), la reputación, la marca, y los procesos y actividades que proporcionan un valor añadido.
El objeto de este documento elaborado por el Centro Criptológico Nacional es servir de guía para comprobar el cumplimiento del Esquema Nacional de Seguridad (ENS).
Previa a la utilización de proveedores externos se establecerán contractualmente las características del servicio prestado y las responsabilidades de las partes, así como la calidad mínima del servicio prestado y las consecuencias de su incumplimiento.
Uno de los grandes retos de cualquier organización consiste en optimizar sus activos para lograr los mejores resultados posibles para sus partes interesadas (clientes, personas, proveedores, propietarios y Sociedad). La gestión por procesos plantea ordenar la organización atendiendo a la cadena de aportación de valor para el cliente, externo e interno. La gestión por procesos se documenta en fichas de proceso.