Seguridad informática en la Ley de Seguridad Privada. Territorio no explorado
-
Upload
antonio-ramos -
Category
Technology
-
view
336 -
download
0
description
Transcript of Seguridad informática en la Ley de Seguridad Privada. Territorio no explorado
Seguridad informática en la Ley de Seguridad Privada
Territorio no explorado
(CC) Rob, “Magenta [Confini]”, https://www.flickr.com/photos/ro_buk/11433308563/
(CC) Fernando, “¿Todo?”, https://www.flickr.com/photos/ro_buk/11433308563/
(CC) Dan Paluska, “All you need is love, and accountability”, https://www.flickr.com/photos/sixmilliondollardan/3675896785/
(CC) Álvaro Millán, “Europe flags at comission”, https://www.flickr.com/photos/soroll/2952431988/
(CC) Urleske, “Cyber Police”, https://www.flickr.com/photos/urlesque/5136877222/
SeguridadFísica = Informática
(CC) Antonio Rull, “AVE”, https://www.flickr.com/photos/arull/3119128732/
Actitud “ágil” - Abrazar el cambio
Artículo 6.6
A las empresas […] que se dediquen a las actividades de seguridad informática […] por su
incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán
imponer reglamentariamente requisitos específicos para garantizar la calidad de los
servicios que presten.
¿Qué servicios?
¿Qué medidas?
Medidas para
asegurar calidad
Certificación equipos
Publicación parches
(fabricantes)
Clausulas confidencialidad
Auditoría independienteOperación 24 x 7
Acuerdos de Nivel de Servicio
…
(Opción) Verificación por sector privado
Supervisor
Evaluador
Proveedor de
servicios
Usuario Homologa
Paga
Consume
Envía eva
luaciones
Normativas (requisitos) Publica
Consulta
Cumple
Repositorio evaluaciones
Publica
Consulta
Cumple
Monitoriza
Evalúa
Y, por supuesto, no olvidemos pedir medidas de seguridad informática al resto de empresas de seguridad privada.
¿Café para todos?
Riesgo
¿Cómo las verificamos?
Auditoría
Certificación
Calificación
Security labelling
Ventajas de la calificación:Cada servicio/usuario, su nivel de riesgo
Riesgo
Precio
Nivel de riesgo del servicio
Necesidades de los usuarios
Usuarios que contratan el
servicio
Sin calificación
Riesgo
Precio
Servicio riesgo medio
Servicio riesgo alto
Usuarios que contratan el
servicio
Servicio riesgo bajo
Con calificación
Artículo 47.3
Cuando los servicios se refirieran al análisis y monitorización de eventos de seguridad de la
información y las comunicaciones, estarán sujetos a las especificaciones que […] se
determinen. Las señales de alarma […] deberán ser puestas, cuando corresponda, en
conocimiento del órgano competente […].
(CC) Bernat Gascón Cabestany, “Sirena sense cua”, https://www.flickr.com/photos/bgcabestany/3990020965/
Notificar intrusiones (con independencia de las consecuencias)…
(CC) Roberto García Padón, “Corriendo…”, https://www.flickr.com/photos/rgarcia/3068415969/
… ¿para qué? ¿Vendrán las FFCCSE a ayudarme?
(CC) Andrew Menage, “Sync 9550”, :https://www.flickr.com/photos/amenage/7475336684/
Si no, mejor near-misses, incluyendo intentos de ataques que no han tenido éxito
Policía Nacional
Mossos d’esquadra
Guardia Civil
Ertzaintza
CNPIC/Inteco
CCN-CERT
(CC) Chris Blakeley, “one way”, https://www.flickr.com/photos/csb13/38789359/
¿Qué tal una ventanilla única de notificaciones?
Artículo 16.1
El Ministerio del Interior o, en su caso, el órgano autonómico competente adoptará las medidas
organizativas que resulten adecuadas para asegurar la coordinación de los servicios de seguridad privada con los de las Fuerzas y
Cuerpos de Seguridad.
(CC) Andrew Becraft, “Standoff!”, https://www.flickr.com/photos/dunechaser/2937238712/
¿Hasta qué punto puede contraatacar un servicio privado de seguridad?
Los equipos de respuesta a emergencias informáticas (CSIRT/CERT) ya han resuelto hace tiempo el asunto de la colaboración…
Artículo 52
1. A los exclusivos efectos de esta ley, se podrán adoptar los siguientes tipos de medidas de
seguridad […]c) De seguridad informática[…].
2. Las características, elementos y finalidades de las medidas de seguridad de cualquier tipo,
quien quiera que los utilice, se regularán reglamentariamente […], en cuanto a sus
grados y características […].
Riesgo
Con carácter general
Situación anterior
Cualificados (PSSI, grandes empresas…)
Especiales (críticas, interés nacional…)
(CC) Alfredo Miguel Romero, “Mariposa”, https://www.flickr.com/photos/22963627@N05/4521235765/
Todo está conectado…
(CC) Dan Paluska, “All you need is love, and accountability”, https://www.flickr.com/photos/sixmilliondollardan/3675896785/
Artículo 29.b)
Para los jefes y directores de seguridad, en la obtención bien de un título universitario oficial
de grado en el ámbito de la seguridad que acredite la adquisición de las competencias que
se determinen, o bien del título del curso de dirección de seguridad, reconocido por el
Ministerio del Interior.
24%
33%
25%
18%
Áreas de conocimiento
Gobierno de Seguridad de la InformaciónGestión de Riesgos de la In-formación y CumplimientoDesarrollo y Gestión de un Programa de Seguridad de la InformaciónGestión de Incidentes de Seguridad de la Información
+25.000 certificados en el mundo
+500 certificados en España
SeguridadFísica = Informática
(CC) uberof202 ff, “Business professional’s handshake”, https://www.flickr.com/photos/117693452@N04/12547460034/
43
Muchas gracias…
… ¿preguntas?