MEDIDAS DE SEGURIDAD INFORMÁTICA
Vamos a estudiar las oportunidades de negocio que se inician debido a las obligaciones de terceros: Las medidas de seguridad informática a adoptar, con carácter general, por los sujetos obligados a ello, consistirán en:
a) Política de gestión de incidentes que defina su resolución y la relación con otros centros operativos de seguridad.
b) Definición de roles y funciones de seguridad que garanticen que la ciberseguridad forme parte de su estructura organizativa.
c) Plan de formación e información sobre responsabilidades asignadas al personal en materia de ciberseguridad.
Y estas medidas comprenden, según el caso y adaptado a su nivel de criticidad:
- Medidas específicas de detección y protección contra el software dañino.
- Dispositivos o herramientas de monitorización y control de accesos a la red, cuya configuración permita establecer restricciones y protecciones adicionales sobre los flujos de datos permitiendo o bloqueando los accesos en función del nivel de autorización requerido.
- Normas y procedimientos robustos específicos de protección de la información mediante técnicas de control de accesos y/o cifrado.
- Redes privadas virtuales (VPNs), con fines de extensión segura de la red local sobre una red pública o no controlada, para permitir accesos o conexiones virtuales punto a punto, autorizados.
- Elementos, dispositivos o medidas de control de accesos, con sistemas de autenticación robusta o fuerte, en su caso, que permitan a las personas autorizadas el acceso a los activos, recursos del sistema o zonas o áreas protegidas e integren soluciones de detección de accesos no autorizados en tiempo real.
- Medidas de configuración segura de elementos técnicos, mediante el establecimiento de normas de seguridad, disponiendo de planes de actualización que minimicen las eventuales vulnerabilidades detectadas.
- Protección de activos y copias de respaldo, aplicando medidas específicas en todo su ciclo de vida, incluyendo su destrucción.
- Medidas de protección específica de los servicios del sujeto obligado expuestos en redes públicas, como accesos remotos, servicios y aplicaciones webs, o servidores de mensajería o correo electrónico.
- Establecimiento de normas y configuraciones seguras para los equipos portátiles y dispositivos móviles del sujeto obligado y protección de sus accesos desde redes públicas a redes internas.
- Tecnologías o dispositivos específicos de detección y prevención de intrusos, (IDS/IPS), con finalidades de detección y bloqueo de accesos no autorizados y/o actividades maliciosas y posibilidad de respuesta automatizada.
- Zona desmilitarizada, (DMZ). Entendida como zona segura ubicada entre la red interna de una organización y una red externa o pública, para la ubicación de elementos expuestos a redes públicas o privadas ajenas al sujeto obligado con finalidades de intermediación de los accesos externos a la red protegida.
- Tecnologías que permitan la captura de eventos y su correlación y gestión inteligente de logs, (SIEM). Con finalidades de establecer mecanismos de supervisión, control y auditoria del uso realizado sobre los sistemas de información.
- Establecimiento de medidas técnicas y organizativas para prevenir, detectar y contener ataques de denegación de servicio, sobre los sistemas de información del sujeto obligado.
- Monitorización de la integridad del sistema, eventos de seguridad de la información y comunicaciones y de las medidas de seguridad informáticas, entendidas como el conjunto de actividades necesarias para supervisar el funcionamiento permanente de las medidas de seguridad informática y el uso legítimo de los sistema de información, permitiendo garantizar la disponibilidad y la continuidad de los servicios que prestan los sujetos obligados y la confidencialidad e integridad de la información tratada por estos sistemas.
- Medidas específicas de segmentación y aislamiento de redes de datos, con la finalidad de reducir los riesgos de exposición de los activos informáticos frente a amenazas internas o externas.
- Establecimiento de registros de accesos, con fines de almacenamiento de la información sobre los accesos y uso de los usuarios, conforme a sus privilegios o perfil.
MEDIDAS DE SEGURIDAD A ADOPTAR POR EMPRESAS DE SEGURIDAD INFORMÁTICA
- Organizativas
- Plan de integral de seguridad
- Procedimientos de seguridad
- Físicas
- Puertas de accesos grado 5
- Protección de escaparates, huecos y ventanas exteriores
- Área restringida
- Control individualizado de acceso de personas
- Electrónicas
- Sistema de alarma grado 3
- Doble vía comunicación
- Conexión a central receptora de alarmas
- Doble sistema de alarma o partición activa
- Detectores sísmicos en paredes medianeras, en su caso
- Detectores volumétricos
- Detectores magnéticos
- Pulsadores atraco
- Sistema de videovigilancia conectado a central receptora de alarmas
- Sistema de registro de imágenes
- Sistema de alimentación ininterrumpida
- Informáticas
- Medidas de detección y protección contra software dañino
- Herramientas de control de accesos a la red
- Procedimiento de cifrado
- Redes privadas virtuales (vpns)
- Control de accesos - autentificación
- Configuración segura de elementos técnicos
- Protección de activos y copias de respaldo
- Medidas de protección servicios web y correo electrónicos.
- Normas de protección de equipos portátiles y sus accesos
- Tecnologías de detección de intrusos (ids/ips)
- Zona desmilitarizada (dmz)
- Correlación eventos y gestión de logs (siem)
- Medidas de protección ataques ddos
- Monitorización de integridad/ eventos
- Medidas de segmentación y aislamiento de redes
- Registro de accesos
Las empresas que están obligadas a tomar algunas o todas de las medidas anteriores son:
- Empresas de seguridad
- Vigilancia y protección.
- Acompañamiento, defensa y protección
- Deposito, custodia de fondos y valores
- Transporte de seguridad y distribución de fondos y valores
- Deposito, custodia de explosivos, armas y cartuchería y sustancias peligrosas
- Transporte y distribución de explosivos, armas y cartuchería
- Instalación y mantenimiento
- Explotación de central receptora de alarmas
- Detectives
- Despachos y sucursales
- Empresas de seguridad informática
- Instalación, integración y mantenimiento de medidas
- Alojamiento virtual y almacenamiento de datos
- Análisis, monitorización, y/o respuesta a incidentes
- Sector financiero
- Entidades bancarias, financieras o de crédito
- Centro de proceso de datos de entidad bancaria o financiera o de crédito
- Oficina/sucursal bancaria
- Cajeros desplazados
- Bancos móviles
- Módulos transportables
- Oficina cambio divisas
CONCLUSIONES
No es un texto definitivo, se pueden mandar sugerencias a ucsp.reglamento@policia.es
Si tienes una empresa de seguridad informática o relacionada con las nuevas tecnologías, contrata un director de seguridad te hará la vida más agradable y generará nuevas líneas de negocio.
Si tienes una empresa de seguridad privada, contrata a un experto en dirección y gestión de la ciberseguridad, a partir de ahí analiza el cumplimiento normativo y analiza la posibilidad de ampliar líneas de negocio.
Salvador Gamero
Director y Jefe de Seguridad
Máster en Dirección y Gestión de la Ciberseguridad