Enlaces de interés

 

Asociarme

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

boletin

Home / "boletin"
Featured image
por ASECOPS GESTION26 de julio de 2023 boletin0 comentarios

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “SEGURIDAD PRIVADA DENTRO DEL ECOSISTEMA DE LA CIBERSEGURIDAD”

Por D. JULIO CAMINO BURGUILLOS (Inspector de Policía de la Unidad Central de Seguridad Privada – Policía Nacional)

Contextualización de la ciberseguridad dentro de la Seguridad Privada, comenzando por la definición del término de ciberseguridad, que aunque no está recogido en la Real Academia Española, se trata del conjunto de tecnologías, procesos, procedimientos y servicios encaminados a proteger los activos (físicos, lógicos, o de servicios) de una persona, empresa u organismo, los cuales dependan en la medida de un soporte TIC.

La ciberseguridad ya está contemplada en al Ley 5/2014 de Seguridad Privada conceptualizada como seguridad informática

En ella se define la actividad de seguridad informática “Como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas”

También define la finalidad de las medidas de seguridad informática “la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida”

  • Establece un marco regulado y un régimen sancionador
  • Crea la obligación de inscripción en el Registro Nacional de Seguridad Privada Nacional o autonómicos
  • Tipificación de las posibles infracciones en el ámbito de la seguridad informática en el sector de la SP.
  • Pendiente el desarrollo reglamentario, donde se concretarán niveles de criticidad, medidas y sujetos.

La Ley 5/2014establece un marco regulado para los integrantes del ecosistema:

  • Se concibe como un conjunto de medidas de protección de activos
  • Regula la actividad realizada por y para empresas de seguridad
  • Impulsa la digitalización empresarial
  • Incorpora de forma trasversal la cultura de seguridad informática
  • Complementa a futuras regulaciones multisectoriales
  • Refuerza los canales de comunicación con la seguridad publica
  • Impulsa la creación de mecanismos de defensa en profundidad
  • Proporciona procedimientos de actuación ante ciberamenazas
  • Proporciona un plus de seguridad en el ámbito de las infraestructuras críticas.

En el proyecto desarrollo reglamentario de la ley 5/2014 de seguridad privada se integran los principios básicos y requisitos mínimos en seguridad informática dentro de  la seguridad privada que se establecen en el Esquema Nacional de Seguridad para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

El Plan Nacional de Ciberseguridad cuyo principal objetivo es concretar, a través de actuaciones y proyectos específicos, las medidas recogidas en la Estrategia Nacional de Ciberseguridad 2019, actualizándose el texto tras la aprobación del ENC 2021.

Son y serán las herramientas de referencia en el desarrollo reglamentario de la Ley de Seguridad privada.

Los sujetos obligados, con carácter general, vendrán obligados a adoptar las siguientes medidas de seguridad:

  • Políticas de gestión de incidentes que defina su resolución y la relación con otros centros operativos de seguridad
  • Definición de roles y funciones de seguridad que garanticen que la ciberseguridad forma parte de su estructura organizativa
  • Plan de formación e información sobre responsabilidades asignadas al personal en materia de seguridad informática.
  • Implementación de medidas de seguridad informáticas concretas en función de la clasificación de riesgo por su nivel de criticidad.
  • Se pretende una clasificación de las actividades de seguridad informática
    • La instalación o integración y mantenimiento de medidas de seguridad informática, físicas o lógicas.
    • Los servicios de alojamiento virtual y compartido o almacenamiento de datos digitales prestados a terceros.
    • Los procesos destinados al análisis, monitorización, operación y administración de los sistemas de seguridad informática y, en su caso, respuesta a incidentes o eventos de seguridad.
    • La fabricación o desarrollo de software y hardware de seguridad, siempre que no sea de propósito general
    • La consultoría, entendida como el asesoramiento experto en el diseño de plataformas tecnológicas, modelos de gestión de la seguridad, o cualquier otro relacionado con la seguridad informática.
  • Se busca la excelencia en la calidad de la prestación de actividades de seguridad informática, mediante la exigencia del cumplimiento de estándares, para asegurar, además de la calidad, la seguridad y eficiencia de sus servicios o productos, dando confianza al mercado y a los consumidores
  • Las certificaciones de sistemas de gestión es una declaración por una tercera parte de que un sistema de gestión de una organización cumple con los requisitos establecidos en una norma de referencia.
Leer más
Featured image
por ASECOPS GESTION26 de julio de 2023 boletin0 comentarios

Jornada ASECOPS de Ciberseguridad (MAN – 21 de junio) “CIBERAMENAZAS 2023″ D. JAVIER CANDAU – Jefe de Dpto. Ciberseguridad del Centro Criptológico Nacional (CCN) –

Por D. JAVIER CANDAU – Jefe de Dpto. Ciberseguridad del Centro Criptológico Nacional (CCN) –

El CCN es un organismo, dependiente del CNI, encargado de responder a cualquier agresión que sufran las administraciones desde el ciberespacio, y contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente para afrontar las nuevas amenazas.

Cómo toma el control el ciberatacante:

  1. Objetivos en masa u objetivos definidos
  2. Usuarios con altos privilegios son el principal objetivo
  3. Buscan credenciales (cacheadas, cuentas de acceso a dominio, correo electrónico, etc.
  4. Si logran acceder a toda la red, han conseguido el objetivo y la empresa es víctima.

SERVICIOS DEL CCN:

Servicios de Prevención reduciendo la exposición:

  • Guías y estándares de seguridad
  • Avisos y vulnerabilidades:
    • amenazas,
    • malware,
    • mejores prácticas)
  • Auditorías e inspecciones.
  • Formación
  • Implantación del Esquema Nacional de Seguridad

Servicios de Detección vigilancia continua:

  • Sistemas de Alerta Temprana
  • Análisis de Anomalías
  • Intercambio de información:
    • Ciberincidentes y ciberamenazas
    • Plataforma Nacional

Servicios de Respuesta eficiente e integrada:

  • Despliegue de equipos RRT para ataque complejos.
  • Centro de Operaciones de Ciberseguridad.
  • Coordinación técnica de CERT / SOC para ataques no complejos.

Hay vulnerabilidades que se venden en el mercado por dos o tres millones de dólares. Como ejemplo, la empresa Zerodium, compra y vende exploits para hackear dispositivos. Sus clientes pasan por agencias de gobierno y grandes empresas. Y es que los estados están cada vez más implicados en una ciberguerra.

No hay transformación digital sin ciberseguridad.  En este sentido el CCN no solo defiende las administraciones sino también sectores estratégicos como la energía que se ha visto en ocasiones desbordada y sin capacidad de respuesta, cuando varios incidentes han coincidido en el tiempo. En 2022 se produjeron 55.000 incidentes y que para 2023 se estima que puedan llegar a 70.000.

Es muy importante la libertad de acción, ya que siempre detectamos el ciberataque cuando ya se ha producido. Necesitamos ser más prácticos y proactivos, no reactivos, para llevar el combate no a nuestra trinchera sino a la del atacante y esto solo se puede conseguir con un mayor intercambio de información.

Los ciberataques se dirigen desde países como Rusia, China o Corea del Norte que a través del ciberespionaje buscan adquirir el conocimiento tecnológico del país objetivo. Ciberataques perpetrados por bandas organizadas que buscan rescates económicos y las acciones de hacktivistas que difunden FakeNews o impulsan ataques DDOS.

El problema para luchar contra ellos está en la diferencia presupuestaria, la inferioridad numérica y el hecho de jugar en campo contrario. Deberíamos utilizar tecnología para atacar a la tecnología que nos ataca.

Leer más
Featured image
por ASECOPS GESTION28 de junio de 2023 boletin0 comentarios

Jornada ASECOPS de Ciberseguridad en el Museo Arqueológico Nacional

El pasado 21 de junio, la Asociación Española de Compañías Privadas de Seguridad, ASECOPS organizó una jornada dedicada al análisis de la situación actual de la ciberseguridad en el ecosistema de las empresas de Seguridad en las impactantes instalaciones del Museo Arqueológico Nacional. Desde ASECOPS queremos agradecer en primer lugar al Museo Arqueológico Nacional por su colaboración, a sus técnicos y recursos. Asimismo ASECOPS agradece:

Al Coronel D. Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN) que arrancó su ponencia con el mensaje «Hay vulnerabilidades que se venden en el mercado por dos o tres millones de dólares» tras una impactante exposición concluyó que «la transformación digital no será posible si no existe ciberseguridad».

A D. Julio Camino Burguillos, inspector de Policía de la Unidad Central de Seguridad Privada de la Policía Nacional, quien enmarcó a través del punto de vista del regulador, la ciberseguridad en el sector de la seguridad privada con referencias específicas a la legislación sectorial vigente regulatoria y a las certificaciones de sistemas de gestión en materia de seguridad de la información para empresas e instituciones.

A D. Diego Alejandro Palomino, inspector-jefe de la Sección de Fraude en Comercio Electrónico de la Policía Nacional, en su ponencia atribuyó el auge de la ciberdelincuencia a ser “una actividad que comporta un alto rendimiento con muy bajo riesgo”. Con ejemplos nos facilitó un valioso truco para detectar intentos de phishing: cambiar la dirección del remitente de minúsculas a mayúsculas. Ello nos permite detectar más fácilmente errores tipográficos que no son tan inocentes. Asimismo, advirtió de la existencia de herramientas como Fake Calls, para simular llamadas o Fake Apps, para simular aplicaciones o redes sociales falsas.

A los letrados D. Joaquín Jiménez Rubio y D. Jesús Villamor, socios del despacho Ayuela-Jiménez Abogados que abordaron los aspectos legales concernientes a la ciberseguridad, defendieron la importancia del compliance en las empresas y aseveraron que “para evitar que se produzcan delitos informáticos, una compañía necesita códigos éticos, formación y protocolos de actuación, que le permitan afrontar un proceso judicial con garantías en caso de ser necesario”.

A D. Pedro Benito Durán, responsable de Auditoría y Pen Testing de GLOBAL TECHNOLOGY, en su impactante intervención, demostró lo sencillo que puede ser hackear una infraestructura crítica, ya que “sus protocolos se diseñaron con objeto de ser funcionales, no de ser seguros”.

A D. Fernando Montero Romero, y a D. Agustín García Llobregat, director de Operaciones y director Comercial respectivamente de FREEMATICA quienes relataron su propia experiencia de un ciberataque que sufrieron, en el que tomaron la decisión de no pagar un rescate y de cómo supieron recuperarse gracias a su Plan de Contingencias, no viéndose amenazada su continuidad de negocio, ni los clientes a los que prestan sus servicios ERP: “Nuestra gran recomendación es tener siempre una Plan de Contingencia, eso fue lo que nos salvó de daños mayores».

A Doña Carolina Daantje, Directora de Ciberriesgo en WTW, quien explicó todos los daños que puede cubrir una póliza de seguros que contemple los ciberriesgos. Según los datos de la empresa WTW (multinacional con más de 40.000 empleados en 140 países) los incidentes cibernéticos constituyen el mayor temor para las empresas a nivel mundial. Un 42% de los encuestados lo identifican como su principal miedo, por delante del fuego o explosión (40%) o los desastres naturales (39%). Indicó que el ransomware es la principal causa de siniestros en estos seguros.

Y a D. Andrés Calvo Medina, inspector de datos de la División Tecnológica de la Agencia Española de Protección de Datos (AEPD), quien, en su intervención, insistió en que la seguridad no debe sustituir a la privacidad, ni tampoco a la inversa. Aseveró que la tecnología es por naturaleza insegura, las personas físicas son el punto más fácil de atacar y uno de los objetivos de la ciberdelincuencia. «Vivimos en un contexto de ciberguerra permanente, la inseguridad por defecto desde el diseño es una realidad”, dijo.

Todo ello presentado y moderado por D. Manuel Giménez Cuevas, portavoz de la Policía Nacional durante varios años, presentador y colaborador en numerosos programas de radio y televisión a quien ASECOPS agradece su trabajo y dedicación.

Leer más