El RGPD y la LOPDGDD requieren una serie de actividades similares a las que se deben realizar en la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI en adelante) pero, en la práctica, no es habitual su integración. ESCENARIO NORMATIVO Los requerimientos en materia de seguridad de la información están…
Leer más
Los marcos normativos, normas y estándares contienen requerimientos y guías de implementación para los Sistemas de Gestión de Seguridad de la Información (SGSI), pero no llegan a un alto nivel de detalle. En este artículo exponemos fuentes de conocimiento y criterio relevantes para materializar el SGSI. DI LO QUE HACES + HAZ LO QUE DICES…
Leer más
Las normas ISO/IEC 27001:2022 e ISO/IEC 27002:2022 (ISO 27001 o ISO 27002 en adelante) y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS en adelante) tienen objetivos comunes, pero su implementación y certificación difieren en aspectos sustanciales. FONDO COMÚN Sistema de Gestión de la…
Leer más
Las normas de seguridad son generalistas, pero algunos sectores y temáticas disponen de normas específicas diseñadas para contemplar su ecosistema concreto. Este es el caso de la norma ISO/IEC 27701:2019, contemplando el amplio universo y casuística asociada a “la privacidad”. En adelante, omitiré los sufijos “2013” para ISO/IEC 27001-27002 y “2019” para ISO/IEC 27701. ACLARACIONES…
Leer más
Dijo Murphy: “Si algo puede salir mal, saldrá mal”. Añado aquello de “Todo objeto inanimado, por definición, es hostil”. No era consciente de mi dependencia de los servicios TIC hasta que los perdí. Los servicios TIC constituyen una base en cualquier organización para el desarrollo de sus actividades, y su pérdida puede comprometer seriamente el…
Leer más
¿Sequía? Llueven normas y revisiones de la familia ISO 27XXX Este año 2022 está siendo altamente productivo en cuanto a la publicación de normas y estándares relacionados con el amplio concepto de “seguridad de la información. En este artículo el protagonismo es para la norma certificable ISO/IEC 27001:2022 y el conjunto de normas asociadas y/o…
Leer más
Causas de la “no certificación” del ENS en el sector público. En la edición de octubre de TySC expuse el poco ejemplarizante número de entidades del sector público certificadas en el ENS, muy especialmente en la Administración Local. En esta edición expongo los que, en mi opinión y muy resumidos, son los motivos que nos…
Leer más
Luces y sombras en un proceso de certificación obligatorio La situación actual del proceso de certificación del sector público y privado sobre el Esquema Nacional de Seguridad (ENS en adelante) expone un escenario preocupante y que incide seriamente en la acreditación de los niveles de ciberseguridad en ambos sectores, justamente cuando los ciberataques alcanzan frecuencias…
Leer más
Este artículo inicia la sección “Marcos y Normas”, una ilusionante etapa de colaboración con Tecnología y Sentido Común, y en esta publicación inicial expongo los