¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Resiliencia cibernética en la empresa
  3. Directrices principales y guías cibernéticas
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Directrices principales y guías cibernéticas

Introducción

Tras explicar los principales desafíos a los que se enfrenta el panorama de la ciberseguridad, este capítulo ofrece una visión general de las principales normas y guías esenciales para comprender mejor el sector. Se trata, como mínimo, de los documentos más importantes, que deben resultar familiares y convertirse en puntos de referencia a lo largo del proceso de madurez de la ciberseguridad. 

Marco de referencia de ciberseguridad del NIST

En 2013, la agencia gubernamental estadounidense NIST (National Institute of Standards and Technology) creó uno de los principales marcos -junto con la norma ISO 27001- para ayudar a cualquier tipo de organización a gestionar los ciberriesgos: el NIST CyberSecurity Framework 1.1 (conocido como CFS, revisado el 16 de abril de 2018), que sigue considerándose un referente mundial. 

Este marco de referencia contiene principalmente normas de ciberseguridad y una metodología para aplicar y hacer cumplir la ciberseguridad en las empresas. Forma parte de un enfoque global de la ciberseguridad.

Fuente: https://www.nist.gov/cyberframework

1. Estructura del CSF (Cybersecurity Framework)

El CSF se compone de tres partes:

  • El núcleo, conocido como Framework Core

  • Los niveles de aplicación, conocidos como Terceros

  • Los perfiles

a. Framework Core

El núcleo se basa en tres elementos:

Cinco funciones de alto nivel

  • Identificar (Identity ID): las organizaciones deben identificar y gestionar los activos sensibles que componen el sistema de información que debe protegerse, definir las funciones y responsabilidades de las partes interesadas en la ciberseguridad y comprender los riesgos empresariales.

  • Proteger (Protect PR): las organizaciones deben aplicar medidas para proteger el ámbito objeto de estudio. Esto significa gestionar el acceso a los activos, concienciar a los empleados y aplicar procesos, políticas y procedimientos que garanticen que el sistema de información funcione de forma segura.

  • Detectar (Detect DE): en el caso de las organizaciones, esto significa implantar sistemas para identificar eventos de ciberseguridad (por ejemplo, programas antivirus para detectar e identificar virus informáticos).

  • Responder (Respond RE): en el caso de las organizaciones, se trata de implantar sistemas que permitan llevar a cabo una o x acciones para contrarrestar uno o x eventos de ciberseguridad (por ejemplo, un sistema antispam para bloquear el correo basura).

  • Recuperación (Recover RC): para las organizaciones, se trata de implantar sistemas que permitan reanudar la actividad, reduciendo así el impacto de un ciberataque (por ejemplo, un plan de recuperación de catástrofes en un centro externalizado permite continuar la actividad en caso de catástrofe grave en el centro de producción principal).

images/Nist%20framework.PNG

Las cinco...

RGPD (Reglamento General de Protección de Datos)

1. Preámbulo

Por datos personales se entiende cualquier tipo de información específica de una persona debidamente identificada, por ejemplo apellidos, nombre, fecha de nacimiento, número de teléfono, dirección de correo electrónico, peso, altura, intervenciones médicas o ADN.

Si los datos presentados no pueden atribuirse a una persona, no pueden considerarse datos personales. Por ejemplo, un fichero que sólo contenga líneas de números secuenciales con fechas de nacimiento no puede ser rastreado hasta un individuo, a menos que otro fichero del mismo sistema de información contenga líneas con el número secuencial y el nombre de un empleado.

2. Definición

El RGPD (o GDPR en inglés - General Data Protection Regulation) es la normativa europea que regula el tratamiento de datos personales en la Unión Europea. La idea general es proteger la privacidad de las personas afectadas.

En vigor desde el 25 de mayo de 2018, se aplica a todas las organizaciones públicas o privadas que traten datos personales.

3. Artículos del RGPD

El RGPD contiene 99 artículos repartidos en once capítulos:

Capítulo 1 - Disposiciones generales

Artículos 1-4

Capítulo 2 - Principios

Artículos 5-11

Capítulo 3 - Derechos del interesado

5 secciones; artículos 12-23

Capítulo 4 - Responsable del tratamiento y encargado del tratamiento

5 secciones; artículos 24-43

Capítulo 5 - Transferencias de datos personales a terceros países u organizaciones internacionales

Artículos 44-50

Capítulo 6 - Autoridades de control independientes

2 secciones; artículos 51-59

Capítulo 7 - Cooperación y coherencia

3 secciones; artículos 60-67

Capítulo 8 - Recursos, responsabilidad y sanciones

Artículos 77-84

Capítulo 9 - Disposiciones relativas a situaciones específicas...

Protección de datos sanitarios personales - Certificación HDS

Desde julio de 2018, la ley establece un marco para el alojamiento de datos sanitarios personales mediante una certificación, conocida como certificación HDS. Un requisito previo clave para esta certificación es la certificación ISO 27001.

A finales de 2022 se revisó y sometió a consulta una nueva norma de certificación HDS; la nueva norma de certificación HDS, de obligado cumplimiento. Este nuevo proyecto propone una serie de mejoras notables:

  • Los requisitos ISO 20000 e ISO 27018 ya no se aplican. Ahora todo se centra en la norma ISO 27001.

  • Obligación de hosting en suelo europeo o en un país que cumpla el RGPD.

    "Requisito nº 23 [EXI 23] Las instalaciones de alojamiento del proveedor deben estar ubicadas en países miembros del Espacio Económico Europeo o en países que garanticen un nivel de protección adecuado en el sentido del artículo 45 de la RGPD, con exclusión de las demás disposiciones establecidas en los artículos 46 y 47 de la RGPD." Fuente: https://esante.gouv.fr/sites/default/files/media_entity/documents/20221028-exigences-hds-1.1.pdf.

  • Obligación de las empresas de alojamiento de ser transparentes con los clientes sobre los posibles riesgos de la transferencia de datos (dentro o fuera de la UE).

  • Requisitos de la relación contractual....

La biblioteca ITIL

1. Organización de servicios informáticos

a. Verbatim

Los servicios informáticos, al igual que la gestión de proyectos o el desarrollo de software, deben organizarse para poder gestionar de forma inteligente toda la cadena de valor en cuestión. En efecto, la esfera de influencia de las TI es tan vasta: compras, marketing, ventas, logística, finanzas, RRHH, I+D - sector privado, sector público - informatización de los procesos empresariales - creación de nuevos productos, nuevos servicios. Es una carrera para conseguir el políptico "Productividad - Capacidad de respuesta - Rentabilidad - Competitividad".

Contar con una organización formada y centrada en ITIL contribuye sin duda a la ciberresiliencia de productos y servicios.

Ninguna empresa puede prescindir de la informática: está en todas partes. Permite producir más cosas a menor coste. La informática es cara, nunca funciona y sin embargo... está en todas partes, ¡vaya paradoja!

b. De la cultura de proyecto a la cultura de servicio

La cultura de proyectos es la capacidad de las TI para implantar nuevas funcionalidades: proyectos corporativos, nuevas tecnologías, cambios normativos, etc.

La cultura del servicio es la capacidad de las TI para prestar el servicio requerido: funcionamiento del servicio, seguimiento de la calidad del servicio, control de costes, etc.

c. Necesidad de directrices sobre buenas prácticas

Las Direcciones de los Sistemas de Información (DSI) deben tener acceso a los marcos de referencia de mejores prácticas: ITIL, COBIT (gobernanza de TI, Control Objectives for IT, auditorías), CMMI (proyectos de desarrollo), ISO xxx (gestión de calidad), etc.

ITIL (Infrastructure Technology Information Library) -Versión 3 de junio de 2007 o versión 4 de febrero de 2019- es la norma para implantar la gestión de servicios de TI. ITIL abarca todo el ciclo de vida del servicio y es la referencia estándar para la gestión de servicios de TI, desde las pymes hasta las grandes empresas.

2. ITIL V3

La versión 3 de ITIL consta de cinco fases (cinco libros):

  • Estrategia de servicio (creación de valor): hay que definir políticas y objetivos (¿para qué sirve crear tal o cual servicio?), crear valor para los clientes y para el departamento de TI, definir...