Entrada destacada

PRESENTACION

“Toda idea nueva pasa inevitablemente por tres fases: primero es ridícula, después es peligrosa, y finalmente… ¡todos lo sabían!.      ...

miércoles, 30 de mayo de 2018

La seguridad informática en el nuevo reglamento de seguridad privada: oportunidades y obligaciones (II)


MEDIDAS DE SEGURIDAD INFORMÁTICA 


Vamos a estudiar las oportunidades de negocio que se inician debido a las obligaciones de terceros: Las medidas de seguridad informática a adoptar, con carácter general, por los sujetos obligados a ello, consistirán en: 

a) Política de gestión de incidentes que defina su resolución y la relación con otros centros operativos de seguridad. 

b) Definición de roles y funciones de seguridad que garanticen que la ciberseguridad forme parte de su estructura organizativa. 

c) Plan de formación e información sobre responsabilidades asignadas al personal en materia de ciberseguridad. 

Y estas medidas comprenden, según el caso y adaptado a su nivel de criticidad: 
  • Medidas específicas de detección y protección contra el software dañino. 
  • Dispositivos o herramientas de monitorización y control de accesos a la red, cuya configuración permita establecer restricciones y protecciones adicionales sobre los flujos de datos permitiendo o bloqueando los accesos en función del nivel de autorización requerido. 
  • Normas y procedimientos robustos específicos de protección de la información mediante técnicas de control de accesos y/o cifrado. 
  • Redes privadas virtuales (VPNs), con fines de extensión segura de la red local sobre una red pública o no controlada, para permitir accesos o conexiones virtuales punto a punto, autorizados. 
  • Elementos, dispositivos o medidas de control de accesos, con sistemas de autenticación robusta o fuerte, en su caso, que permitan a las personas autorizadas el acceso a los activos, recursos del sistema o zonas o áreas protegidas e integren soluciones de detección de accesos no autorizados en tiempo real. 
  • Medidas de configuración segura de elementos técnicos, mediante el establecimiento de normas de seguridad, disponiendo de planes de actualización que minimicen las eventuales vulnerabilidades detectadas. 
  • Protección de activos y copias de respaldo, aplicando medidas específicas en todo su ciclo de vida, incluyendo su destrucción. 
  • Medidas de protección específica de los servicios del sujeto obligado expuestos en redes públicas, como accesos remotos, servicios y aplicaciones webs, o servidores de mensajería o correo electrónico. 
  • Establecimiento de normas y configuraciones seguras para los equipos portátiles y dispositivos móviles del sujeto obligado y protección de sus accesos desde redes públicas a redes internas. 
  • Tecnologías o dispositivos específicos de detección y prevención de intrusos, (IDS/IPS), con finalidades de detección y bloqueo de accesos no autorizados y/o actividades maliciosas y posibilidad de respuesta automatizada. 
  • Zona desmilitarizada, (DMZ). Entendida como zona segura ubicada entre la red interna de una organización y una red externa o pública, para la ubicación de elementos expuestos a redes públicas o privadas ajenas al sujeto obligado con finalidades de intermediación de los accesos externos a la red protegida. 
  • Tecnologías que permitan la captura de eventos y su correlación y gestión inteligente de logs, (SIEM). Con finalidades de establecer mecanismos de supervisión, control y auditoria del uso realizado sobre los sistemas de información. 
  • Establecimiento de medidas técnicas y organizativas para prevenir, detectar y contener ataques de denegación de servicio, sobre los sistemas de información del sujeto obligado. 
  • Monitorización de la integridad del sistema, eventos de seguridad de la información y comunicaciones y de las medidas de seguridad informáticas, entendidas como el conjunto de actividades necesarias para supervisar el funcionamiento permanente de las medidas de seguridad informática y el uso legítimo de los sistema de información, permitiendo garantizar la disponibilidad y la continuidad de los servicios que prestan los sujetos obligados y la confidencialidad e integridad de la información tratada por estos sistemas. 
  • Medidas específicas de segmentación y aislamiento de redes de datos, con la finalidad de reducir los riesgos de exposición de los activos informáticos frente a amenazas internas o externas. 
  • Establecimiento de registros de accesos, con fines de almacenamiento de la información sobre los accesos y uso de los usuarios, conforme a sus privilegios o perfil.
MEDIDAS DE SEGURIDAD A ADOPTAR POR EMPRESAS DE SEGURIDAD INFORMÁTICA 

  • Organizativas 
    • Plan de integral de seguridad 
    • Procedimientos de seguridad 
  • Físicas 
    • Puertas de accesos grado 5 
    • Protección de escaparates, huecos y ventanas exteriores 
    • Área restringida 
    • Control individualizado de acceso de personas 
  • Electrónicas 
    • Sistema de alarma grado 3 
    • Doble vía comunicación 
    • Conexión a central receptora de alarmas 
    • Doble sistema de alarma o partición activa 
    • Detectores sísmicos en paredes medianeras, en su caso 
    • Detectores volumétricos 
    • Detectores magnéticos 
    • Pulsadores atraco 
    • Sistema de videovigilancia conectado a central receptora de alarmas 
    • Sistema de registro de imágenes 
    • Sistema de alimentación ininterrumpida 
  • Informáticas 
    • Medidas de detección y protección contra software dañino 
    • Herramientas de control de accesos a la red 
    • Procedimiento de cifrado 
    • Redes privadas virtuales (vpns) 
    • Control de accesos - autentificación 
    • Configuración segura de elementos técnicos 
    • Protección de activos y copias de respaldo 
    • Medidas de protección servicios web y correo electrónicos. 
    • Normas de protección de equipos portátiles y sus accesos
    • Tecnologías de detección de intrusos (ids/ips) 
    • Zona desmilitarizada (dmz) 
    • Correlación eventos y gestión de logs (siem) 
    • Medidas de protección ataques ddos 
    • Monitorización de integridad/ eventos 
    • Medidas de segmentación y aislamiento de redes 
    • Registro de accesos 
Las empresas que están obligadas a tomar algunas o todas de las medidas anteriores son: 
  • Empresas de seguridad
    • Vigilancia y protección.
    • Acompañamiento, defensa y protección 
    • Deposito, custodia de fondos y valores
    • Transporte de seguridad y distribución de fondos y valores 
    • Deposito, custodia de explosivos, armas y cartuchería y sustancias peligrosas 
    • Transporte y distribución de explosivos, armas y cartuchería 
    • Instalación y mantenimiento 
    • Explotación de central receptora de alarmas 
  • Detectives 
    • Despachos y sucursales 
  • Empresas de seguridad informática 
    • Instalación, integración y mantenimiento de medidas 
    • Alojamiento virtual y almacenamiento de datos 
    • Análisis, monitorización, y/o respuesta a incidentes
  • Sector financiero 
    • Entidades bancarias, financieras o de crédito 
    • Centro de proceso de datos de entidad bancaria o financiera o de crédito 
    • Oficina/sucursal bancaria 
    • Cajeros desplazados 
    • Bancos móviles 
    • Módulos transportables 
    • Oficina cambio divisas 


CONCLUSIONES 

No es un texto definitivo, se pueden mandar sugerencias a ucsp.reglamento@policia.es

Si tienes una empresa de seguridad informática o relacionada con las nuevas tecnologías, contrata un director de seguridad te hará la vida más agradable y generará nuevas líneas de negocio. 

Si tienes una empresa de seguridad privada, contrata a un experto en dirección y gestión de la ciberseguridad, a partir de ahí analiza el cumplimiento normativo y analiza la posibilidad de ampliar líneas de negocio. 


Salvador Gamero 
Director y Jefe de Seguridad 
Máster en Dirección y Gestión de la Ciberseguridad 


Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)