Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NUEVO PARADIGMA DE LA
CIBERSEGURIDAD
PRÁCTICA SECURITY & PRIVACY
• PARADIGMA DE CUMPLIMIENTO
PARA LAS AAPP
Jose A. Felix de Sande Pedro J. López Madroñal
Solution & Service Manager
• Y TODO ESTO..¿EN QUÉ SE
Security & Privacy Practice Leader
Práctica Security & Privacy Práctica Security & Privacy
TRADUCE?
4% 5% 10%
13% PREVENIR
3% MITIGAR Y CIBERATAQUE
2%
CONTENER
42%
9%
3% DETECTAR
CIBERATAQUE
2% 4%
3%
Protect critical access Stop advanced threats Ethical Hacking & Vuln. Secure Cloud
Data security Security operations Assesment Cloud sec strategy
Encryption Manage detection and Application Vulnerability Cloud workload
Data activity response (MDR) Assesments protection ALINEAR
monitoring Endpoint Detection and Application Ethical Container security
Data loss prevention response (EDR) Hacking Cloud sec posture Consultoría & Servicios Gestionados
Email security Vulnerability Infraestructure management (CSPM) PROTEGER & GESTIONAR
management Vulnerability Scanning Sec Access Services
Safeguard infra Pentesting Edge (SASE)
Infra + Cloud
Aplicaciones
Identidades
Network security Cloud Access Sec
Endpoints
WAF & DDoS Broker (CASB)
Datos
REGULATION &
Govern users and identities
COMPLIANCE APPSEC / SDLC
Identitity and Access EMERGING Detección & Respuesta
Management TECHNOLOGIES
Customer identity and Risk & Compliance Application security
MODERNIZAR
access management Evaluation DevSecOps Protect critical access Zero Trust &
Priviliged access ENS/ISO 2700X/ SDLC Emerging technologies (I+D+i) Desarrollo Seguro
management GDPR/PCI-DSS SAMM Maturity OT
Risk Assesment Assesments IoT
Security Master Plan Blockchain
82%
CONSULTA A LOS OPERADORES Y VALORACIÓN
SUMINISTRADORES POSITIVA
48,6%
Seguridad de redes
SUMINISTRADORES
OBJETIVO
51,2%
PRIORIDAD DE NORMAS COMO EL RGPD
Entre julio y octubre de 2020, la Comisión llevó a LIMITADO APOYO DE LAS AUT.
NACIONALES
27,9%
cabo una evaluación que tenía como objetivo OTRAS NORMAS NACIONALES
23,3 %
organismos públicos.
CUMPLIMIENTO POR NIVEL DE SISTEMA
BAJO
MEDIO
ALTO
ALINEAMIENTO
GESTIÓN DE RIESGOS. GESTIÓN DE RIESGOS.
Principios
PREVENCIÓN, RESPUESTA Y PREVENCIÓN, REACCIÓN Y RECUPERACIÓN.
RECUPERACIÓN.
FUNCIÓN DIFERENCIADA.
SEGREGACIÓN DE TAREAS
Medidas
ADQUISICIÓN DE PRODUCTOS O SERVICIOS DE
ADQUISICIÓN DE PRODUCTOS.
SEGURIDAD.
DETECCIÓN Y GESTIÓN DE INCIDENTES. SEGURIDAD POR DEFECTO.
INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA.
PLANES DE RECUPERACIÓN Y ASEGURAMIENTO
DE LA CONTINUADIAD DE OPERACIONES. PROTECCIÓN DE LA INFORMACIÓN
ALMACENADA Y EN TRÁNSITO
MEJORA CONTINUA PREVENCIÓN ANTE OTROS SISTEMAS
INTERCONECTADOS.
INTERCONEXIÓN DE SISTEMAS
REGISTRO DE LA ACTIVIDAD
RESGISTRO DE ACTIVIDAD DE LOS USUARIOS.
INCIDENTES DE SEGURIDAD
CONTINUIDAD DE LA ACTIVIDAD
MEJORA CONTINUA DEL PROCESO DE
Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22 SEGURIDAD
Y TODO ESTO..¿EN QUÉ SE TRADUCE?
MARCO ORGANIZATIVO
Adecuación del ENS
Responsable de Seguridad
MARCO OPERACIONAL
Mayor número de Incidentes de
seguridad
MEDIDAS DE PROTECCIÓN
Digitalización de las AAPP
MARCO ORGANIZATIVO IMPLANTACIÓN DEL ENS: Siguiendo las Guías del CCN-CERT
PLAN DE ADECUACIÓN
o Elaborar la Política de Seguridad de la
Información y la Normativa Interna
correspondiente.
o Identificación del Responsable de Seguridad.
o Identificar los servicios y categorizar los sistemas
de información (800 Guías Esquema Nacional ELABORACIÓN DE LA DOCUMENTACIÓN RESPONSABLE DE SEGURIDAD (CISO)
de Seguridad CCN-CERT) Business
Vision
o Determinación de la Declaración de Business
Aplicabilidad provisional. Strategy
Business
o Realizar el Análisis de Riesgos. Objectives
MARCO OPERACIONAL Uno de los puntos más importantes que ha introducido el ENS es la implantación de
controles cuyo objetivo fundamental es la Respuesta ante Incidentes de Seguridad. Se
trata de un control que aplica a todas las categorías de los sistemas, incluyendo en la
NOTIFICACIÓN
Haciendo foco en el control Op.exp.7, podemos inferir que el nuevo ENS hace especial
Establecimiento de un protocolos de actuación ante hincapié a aquellos servicios que se prestan desde un SOC:
ciberincidentes.
Notificación de incidentes de ciberseguridad Op.exp.7
GESTIÓN DE INCIDENTES
[op.exp.7.1] [op.exp.7.1]
Proveedor Organismo
Ejemplo complejo: incidente con origen en un proveedor que no sea organismo de
la admón. Y que tenga afectación en un servicio esencial con brecha de datos con
Ref:personal
carácter ${PROJECT_REF} © Copyright VIEWNEXT nov.-22
DESARROLLO SEGURO
Y TODO ESTO..¿EN QUÉ SE TRADUCE?
MEDIDAS DE PROTECCIÓN Otro punto importante dentro del ENS y que cobra importancia por la mayor digitalización
de los servicios en la Administraciones Públicas, es el desarrollo de aplicaciones:
DESARROLLO SEGURO
Otro punto importante dentro del ENS y que
cobra importancia por la mayor digitalización Haciendo foco en el control Mp.sw.1, podemos inferir que el nuevo ENS hace especial
hincapié en la implantación de una Metodología de Desarrollo Seguro:
de los servicios en la Administraciones
Públicas, es el desarrollo de aplicaciones. Mp.sw.1
DESARROLLO DE APLICACIONES
[mp.sw.1.1] [op.exp.7.1]
PLAN
VIEWNEXT mediante la ISO 27001 y el NIST, evaluamos el nivel de madurez DESCUBRIMIENTO
lo cual cual permite tomar decisiones tales cómo cuáles son los Sistemas de Determinar cuáles son los objetivos del negocio,
Información críticos a adecuar (ENS) identificando así los Sistemas de Información más críticos.
DIRECTOR EVALUACIÓN
Evaluación de la postura de seguridad y madurez teniendo
DE en cuenta los objetivos de negocio y marco de gobernanza
SEGURIDAD
ESTRATEGIA
En esta fase los consultores de seguridad se apoyarán en el
panel de expertos para definir la estrategia de seguridad
ROADMAP
Establecer el camino óptimo que se debe seguir para
implantar la estrategia de seguridad
Identificar activos activos y el control de software no autorizado, usando OCS documentación Explotación de vulnerabilidades
03 - Gestión de Establecer un procedimiento formal de gestión de Elaboración
Identificar vulnerabilidades vulnerabilidades documentación Explotación de vulnerabilidades
Establecer y mantener estándares (plantillas) de
Protección 59% Nivel 3. Definido Proteger 04 - Bastionado de equipos configuración para plataformar endpoints y servidores. Elaboración plantillas Errores de configuración
Configuración solución
Proteger 05 - Antimalware Unificar la solución antimalware corporativa. existente Malware
06 - Administración Centralizar la administración de los activos corporativos y Implantación nueva Errores de configuración
Proteger centralizada auditar el compliance implantando un AD DS o similar. solución Malware
Fichas de proyectos
Proteger 15 - AAA acceso solución Brecha de datos
Definir una política de desarrollo seguro que incluya buenas Elaboración Brecha de datos
Proteger 16 - Desarrollo seguro prácticas, pruebas de seguridad y tiempos de remediación documentación DoS
Implantar fichas de perfil de riesgo para cualquier nuevo Elaboración Brecha de datos
Identificar 17 - Evaluación de riesgo desarrollo a través de un cuestionario para evaluar el nivel de documentación DoS
Controles nativos de seguridad en AWS API Gateway. Configuración solución Brecha de datos
Proteger 18 - Controles nativos cloud Configurar CloudTrail para cumplir con las políticas existente DoS
Realizar pruebas de ethical hacking, manuales, caja gris en Explotación de vulnerabilidades
Proteger 19 - Ethical hacking todas las aplicaciones/apis críticas internet-facing antes de Servicios profesionales Errores de configuración
Elaboración
Detectar 20 - Retención logs Elaborar una política común de retención de logs Compliance
documentación
ATP
Implantar un SOC para la gestión de alertas de seguridad y Amenazas Internas
Detectar 21 - SOC Servicios profesionales
recolección y retención de logs de forma centralizada. Brecha de datos
Explotación de vulnerabilidades
Elaborar nuevos procedimientos (playbooks) de respuesta Elaboración ATP
Responder 22 - Respuesta a Incidentes
para las principales amenazas documentación Amenazas Internas
Revisar el procedimiento de escalado de incidencias y el Elaboración ATP
Responder 23- Escalado de Incidentes
comité de crisis documentación Amenazas Internas
Soporte en la investigación de incidentes de seguridad y ATP
Responder 24 - Investigación incidentes Servicios profesionales
extracción de indicadores de compromiso Amenazas Internas
Implantar herramientas que permitan automatizar las Implantación nueva ATP
Responder 25 - Automatización respuesta primeras medidas de respuesta y faciliten la investigación, solución Amenazas Internas
Ransomware
Recuperar 26 - Incidentes Críticos Elaborar un plan de respuesta a incidentes críticos. Servicios profesionales Brecha de datos
Asesoramiento y coordinación para hacer frente a incidentes Ransomware
Recuperar 27 - CSIRT críticos Servicios profesionales Brecha de datos
Incorporar capacidades de análisis forense (análisis Malware
Recuperar 28 - DFIR postmorten) Servicios profesionales ATP
VIRTUAL
CISO
2 MARCO OPERACIONAL
3 MEDIDAS DE PROTECCIÓN
Monitorización Respuesta a
Amenazas Incidentes
MONITORIZA
CIÓN Y
RESPUESTA
DE
INCIDENTES
NIST SP 800-61 REV2
MONITORIZA
CIÓN Y
RESPUESTA
DE
INCIDENTES
PLAN MODELO DE
DIRECTOR DE VIRTUAL CISO CSIRTNEXT DESARROLLO
SEGURIDAD SEGURO