31 Mar

1. Instituciones Europeas e Internacionales

  • CERT-UE: CERT exclusivo para instituciones de la UE.
  • ENISA: Asesora a estados y empresas, y gestiona la red de CSIRTs.
  • EC3: Centro contra el cibercrimen, parte de Europol.
  • FIRST: Foro mundial que aglutina más de 300 CERTs.
  • UIT: Fomenta la cooperación global y publica el índice GCI.

2. Instituciones Nacionales (España)

  • CCN-CERT: Protege AAPP y empresas estratégicas. Herramientas: SAT, LUCIA, REYES.
  • CERTSI: Protege ciudadanía, empresas e infraestructuras críticas. Operado por INCIBE, coordinado por CNPIC.
  • INCIBE: Promueve la ciberseguridad y confianza digital en ciudadanos y empresas.
  • CNPIC: Protege infraestructuras críticas en 12 ámbitos estratégicos.
  • OCC: Coordina cibercrimen/ciberterrorismo con Fuerzas de Seguridad.
  • MCCD: Mando de Ciberdefensa, coordina ejércitos y Armada.
  • SOC AGE: Centro de operaciones para la Administración del Estado.
  • B.C.I.T. (Policía) / GDT (Guardia Civil): Unidades de investigación de delitos tecnológicos.

3. Protección de Datos (GDPR)

Ámbito y Roles

  • Ámbito: Datos de personas físicas en la UE.
  • Datos: Básicos (identificativos) y Especiales (sensibles: salud, biometría, etnia).
  • Roles: Responsable (decide fines/medios), Encargado (trata por cuenta del responsable), DPD (supervisa, obligatorio en AAPP/tratamiento masivo).

Principios y Derechos

  • Principios: Licitud, transparencia, limitación de finalidad, minimización, exactitud, limitación de conservación, integridad y responsabilidad proactiva.
  • Derechos: Acceso, rectificación, supresión (olvido), limitación, portabilidad, oposición y rechazo a decisiones automatizadas.
  • Consentimiento: Debe ser libre, específico, informado e inequívoco. Prohibido el consentimiento tácito.
  • Brechas: Notificación obligatoria a la Autoridad de Control en 72 horas y a los interesados si hay riesgo elevado.
  • Sanciones: Categorizadas según gravedad (leves, graves, muy graves) con multas basadas en facturación anual.

4. Tarjetas de Pago (PCI-DSS)

Normativa y Conceptos

  • Ámbito: Comerciantes o proveedores que procesen, transmitan o almacenen tarjetas.
  • Niveles: 1 (>6M transacciones/año) a 4 (<20K transacciones/año).
  • Elementos: PAN (número de cuenta principal), BIN (identificador de banco).
  • Términos: SAQ (autoevaluación), QSA (auditor), AOC (documento de cumplimiento), PFI (investigador forense).

Requisitos y Seguridad Técnica

  • Requisitos clave: Uso de firewalls, cambio de claves por defecto, cifrado de datos almacenados y en tránsito, uso de antivirus y software seguro.
  • Control de acceso: Restricción por necesidad de conocer, asignación de ID único por usuario y control de acceso físico a los datos.
  • Mantenimiento: Monitorización de accesos a la red y pruebas periódicas de los sistemas de seguridad.
  • Truncado PAN: Eliminación de dígitos centrales del número de tarjeta en recibos y almacenamiento.
  • FPE: Cifrado que preserva el formato original del dato para evitar cambios en las aplicaciones.
  • Tokenización: Sustitución del número real por un código sin valor (token) usable solo en contextos específicos.

5. Normativa EEUU (SOX y FISMA)

  • SOX: Aplica a empresas que cotizan en bolsa de EEUU. Previene fraude corporativo y regula auditorías. Organismos: PCAOB y SEC. Exige controles internos para garantizar integridad financiera y protege a empleados denunciantes (whistleblowers).
  • FISMA: Aplica a agencias federales/estatales y contratistas de EEUU. Exige programas de seguridad basados en guías del NIST. Proceso de gestión de riesgos que incluye categorizar información, seleccionar controles mínimos y monitorización continua.

6. Directivas UE (NIS y NIS2)

  • NIS: Seguridad para operadores de servicios esenciales y proveedores digitales.
  • NIS2: Amplía alcance. Clasifica en: Entidades Esenciales (sectores de alta criticidad) y Entidades Importantes (otros sectores críticos).
  • Gestión de incidentes: Notificaciones (alerta temprana, actualización e informe final) y clasificación para determinar nivel de supervisión y sanciones.

7. Marco Nacional (ENS y LSN)

Esquema Nacional de Seguridad (ENS)

  • Roles: Responsable del Servicio, Responsable de la Información, Responsable de Seguridad y Responsable del Sistema.
  • ASEG: Administrador que aporta conocimientos técnicos cuando el Responsable de Seguridad tiene un perfil más estratégico.
  • Política y Conformidad: PSI (Política de Seguridad), Comité de Seguridad, Declaración de Conformidad (Básico) y Certificación de Conformidad (Medio/Alto).

Ley de Seguridad Nacional (LSN)

  • Regula la gestión de crisis y amenazas del Estado.

8. Código de Derecho de Ciberseguridad

  • Constitución: Límite al uso de la informática para proteger la intimidad y el secreto de las comunicaciones.
  • Infraestructuras Críticas: Uso de Planes Sectoriales y del Catálogo Nacional para servicios esenciales como energía o sanidad.
  • Telecomunicaciones: Obligación de los operadores de colaborar con los CERT y reportar pérdidas de integridad.
  • Ciberdelincuencia: Tipificación de delitos como sexting, daños informáticos, estafas y piratería en el Código Penal.
  • AAPP: Obligación de identificación y comunicación segura con los ciudadanos a través de sedes electrónicas.

Etiquetas: , , , ,

Deja un comentario