ADMINISTRACIONES PÚBLICAS

NUEVO PARADIGMA DE LA
CIBERSEGURIDAD
PRÁCTICA SECURITY & PRIVACY

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

INDICE
• VIEWNEXT Y PRÁCTICA SECURITY &
PRIVACY

• PARADIGMA DE CUMPLIMIENTO
PARA LAS AAPP
Jose A. Felix de Sande Pedro J. López Madroñal
Solution & Service Manager
• Y TODO ESTO..¿EN QUÉ SE
Security & Privacy Practice Leader
Práctica Security & Privacy Práctica Security & Privacy

TRADUCE?

• ANTE UN RETO, UNA SOLUCIÓN

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 Reconocimiento
en la Industria
IDENTIFICAR RIESGOS
RECUPERACIÓN

VIEWNEXT agrupa toda la actividad de servicios IBM es líder global en

gestionados de aplicaciones e infraestructuras del grupo Servicios de Seguridad Gestionados
(MSSP)
mercantil IBM en España
+50% de las empresas del IBEX35
+ de 4.000 profesionales confían en VIEWNEXT

4% 5% 10%

13% PREVENIR
3% MITIGAR Y CIBERATAQUE
2%
CONTENER
42%
9%
3% DETECTAR
CIBERATAQUE
2% 4%
3%

1+11 3.000 20 billones

Centros de Operaciones Clientes en más de 130 Eventos de Seguridad
de Seguridad (SOC) países al día

VIEWNEXT es una pieza clave en la estrategia

de seguridad de IBM Europa
Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22
PRÁCTICA SECURITY & PRIVACY

Práctica Security & Privacy

MONITORING & CLOUD
PROTECTION RED TEAM
OPERATION SECURITY

Protect critical access
 Data security
 Encryption
 Data activity
monitoring
 Data loss prevention
 Email security
Safeguard infra
Stop advanced threats Ethical Hacking & Vuln.
 Security operations Assesment
 Manage detection and  Application Vulnerability
response (MDR) Assesments
 Endpoint Detection and  Application Ethical
response (EDR) Hacking
 Vulnerability  Infraestructure
management Vulnerability Scanning
 Pentesting
Secure Cloud
 Cloud sec strategy
 Cloud workload
protection ALINEAR
 Container security
 Cloud sec posture Consultoría & Servicios Gestionados
management (CSPM) PROTEGER & GESTIONAR
 Sec Access Services
Edge (SASE)

Infra + Cloud
Aplicaciones

Identidades
 Network security  Cloud Access Sec

Endpoints
 WAF & DDoS Broker (CASB)

Datos
REGULATION &
Govern users and identities
COMPLIANCE APPSEC / SDLC
 Identitity and Access EMERGING Detección & Respuesta
Management TECHNOLOGIES
 Customer identity and Risk & Compliance Application security
MODERNIZAR
access management Evaluation  DevSecOps Protect critical access Zero Trust &
 Priviliged access  ENS/ISO 2700X/  SDLC Emerging technologies (I+D+i) Desarrollo Seguro
management GDPR/PCI-DSS  SAMM Maturity  OT
 Risk Assesment Assesments  IoT
 Security Master Plan  Blockchain

OFICINA GOBIERNO & ESTRATEGIA

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

PRÁCTICA SECURITY & PRIVACY
La Oficina de Seguridad en un servicio de soporte integral al
cliente a través de un triple enfoque:
• Gobernanza. Desde la definición estratégica hasta el
desarrollo de políticas y normas de seguridad
OFICINA DE SEGURIDAD
Apoyo en la definición de la estrategia de seguridad así como de la gestión
integral del riesgo y de los servicios y proyectos de transición y transformación
asociados, garantizando el cumplimiento de los niveles de servicio y su evolución
efectiva.

• Gestión de Riesgos. Tratamiento estructurado e integral del

ciber-riesgo y adecuación normativa y Compliance.

• Análisis y mejora continua. Seguimiento de niveles de

servicio / proyectos con un enfoque de mejora continua.

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

RETOS DE LAS AAPP EN RELACIÓN A LA
SEGURIDAD
Paradigma de cumplimiento para las
administraciones públicas
DIRECTIVA NIS
Un poco de historia.
Primeras impresiones.
Dificultades de implantación.
Directiva NIS2.
ESQUEMA NACIONAL DE SEGURIDAD(ENS)
Visión General.
Panorama de cumplimiento.
Nuevo ENS.
DIRECTIVA NIS Y ENS: UNA SIMBIOSIS
PERFECTA

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22


PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS
DIRECTIVA NIS
OBJETIVO
“Establecer medidas para lograr un elevado
nivel común de seguridad en redes y
sistemas de información, dentro de la Unión
Europea”.
ÁMBITO DE APLICACIÓN
OPERADORES DE SERVICIOS ESENCIALES (OSE)
que, en España, se clasifican en la Ley 8/2011, por la
que se establecen medidas para la protección de las
infraestructuras críticas (LPIC)
PROVEEDORES DE SERVICIOS DIGITALES (PSD)
entidades que, sin ser PYME, prestan un servicio
digital; mercados online, motores de búsqueda o
computación en nube.
Ref: ${PROJECT_REF}
UN POCO DE HISTORIA
LA COMISIÓN EUROPEA
Consciente de la importancia de las redes y sistemas
de información en la sociedad, tiene como objetivo
reforzar la seguridad de éstas desarrolló la Directiva
conocida como la Directiva NIS
EVOLUCIÓN DE LOS SISTEMAS DE
INFORMACIÓN
Sin embargo, por la rápida y constante evolución que
experimentan esas redes y sistemas de información,
esta normativa ha quedado desfasada.
DIRECTIVA NIS 2
La Comisión Europea lleva a cabo un proceso de
actualización de las pautas normativas en
ciberseguridad, propuesta a través de la Directiva (UE)
medidas destinadas a garantizar un elevado nivel
común de ciberseguridad y por la que se deroga la
Directiva (UE) 2016/1148, bautizada como Directiva
NIS2.
© Copyright VIEWNEXT nov.-22
 PRIMERAS IMPRESIONES
PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS

82%
CONSULTA A LOS OPERADORES Y VALORACIÓN
SUMINISTRADORES POSITIVA

OBJETIVO De las entidades encuestadas

Dentro de la consulta, se circuló

un cuestionario de evaluación de los efectos
de la Directiva sobre los operadores y
suministradores
64,5% 33,1%
Área de GRC Continuidad de Negocio

48,6%
Seguridad de redes

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 DIFICULTADES DE IMPLANTACIÓN
PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS

CONSULTA A LOS OPERADORES Y DIFICULTADES EN LAS ENTIDADES ESPAÑOLAS

SUMINISTRADORES
OBJETIVO
51,2%
PRIORIDAD DE NORMAS COMO EL RGPD

FALTA DE CLARIDAD 32,6 %

Entre julio y octubre de 2020, la Comisión llevó a LIMITADO APOYO DE LAS AUT.
NACIONALES
27,9%

cabo una evaluación que tenía como objetivo OTRAS NORMAS NACIONALES
23,3 %

comprobar si la seguridad de las redes y sistemas FALTA DE RECURSOS 18,6 %

de información había mejorado o no. Los FALTA DE COORDINACIÓN

16,3 %

principales resultados fueron los siguientes: FALTA DE HABILIDADES

14 %

• Ámbito de aplicación reducido.

• Difícil identificación de los proveedores digitales.
• Falta de homogeneidad en la notificación de incidentes y
sanciones.
• Intercambio de información entre actores públicos y
privados sigue siendo muy bajo.
• Disparidad presupuestaria entre los distintos Estados.

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 DIRECTIVA NIS 2
PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS

Comparación de las Directivas

DIRECTIVA NIS 2
La propuesta de la Directiva NIS2 resalta la importancia que
tendrá esta regulación en la ciberseguridad, asegurando
coherencia entre los distintos marcos regulatorios. Por
ejemplo, la alineación de la Directiva NIS2 con el
Reglamento sobre la resiliencia operativa digital para el
sector financiero (DORA), así como con la Directiva sobre la
resiliencia de las entidades críticas (CER).

De no ser atendidas las disposiciones de la Directiva, las

entidades obligadas serán susceptibles de ser sancionadas –
con hasta 4 millones de euros o el 2% de los ingresos anuales
de la empresa

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS
ESQUEMA NACIONAL DE SEGURIDAD
OBJETIVOS
Seguridad como proceso
integral
Aplica a elementos técnicos,
humanos y organizativos
Gestión de la seguridad
basada en riesgos
Actualización permanente para
minimizar y mantener un nivel de
riesgo aceptable.
Prevención, detección,
respuesta y conservación.
Prevención ante amenazas,
detección temprana, definición
de estrategia y de conservación
Ref: ${PROJECT_REF}
Existencia de líneas de
defensa
Múltiples capas (perímetro,
dmz, servidores intermedios,
equipos personales , …) nivel
organizativo, físico y lógico
Función diferenciada
Múltiples capas (perímetro,
dmz, servidores intermedios,
equipos personales , …) nivel
organizativo, físico y lógico
Mejora continua
Auditorías periódicas
VISIÓN GENERAL
EN QUÉ CONSISTE
Marco integral de Seguridad de la Información para
las Administraciones Públicas, que incluye aspectos
técnicos, y organizativos. Afecta a todo tipo de
trámites, presenciales y/o telemáticos y a todas las
infraestructuras, físicas y lógicas.
A QUIÉN SE DIRIGE
Afecta a todos los servicios que se presentan a través
de medios electrónicos cuyos destinatarios sean
personales físicas, personas jurídicas o entes sin
personalidad que se relacionen o puedan relacionarse
con la Administración Pública..
OBJETIVO
Asegurar la disponibilidad, la integridad, la
autenticidad, la confidencialidad y la
trazabilidad de los datos, informaciones y
servicios que gestionen las Administraciones
Públicas en el ejercicio de sus competencias.
© Copyright VIEWNEXT nov.-22
 PANORAMA DE CUMPLIMIENTO
PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS

ESQUEMA NACIONAL DE SEGURIDAD TIPO DE ORGANISMO

Actual grado de cumplimiento

A través de la plataforma INES se ha 73% 65%
Universidades

hecho un estudio del índice de Administración General del Estado

cumplimiento de los distintos 72%

Comunidades Autónomas
62%
Entidades Locales

organismos públicos.
CUMPLIMIENTO POR NIVEL DE SISTEMA

BAJO

MEDIO
ALTO

55% 63% 75%

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22
 NUEVO ENS
PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS

ESQUEMA NACIONAL DE SEGURIDAD

ENS 2010 | ENS 2022
Diferencias y evolución de los
principios, requisitos y medidas del
ENS.

Se hace especial hincapié en la MEDIDAS

Detección y Respuesta de incidentes

de Seguridad

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22


PARADIGMA DE CUMPLIMIENTO PARA LAS
ADMINISTRACIONES PÚBLICAS
SINERGIAS ENTRE NORMATIVAS
ALINEAMIENTO
Principios
Es importante resaltar que ambas normativas
poseen unos principios y medidas comunes.
De modo que si una entidad pública se ve
aplicada por la Directiva NIS, y a su vez por el
ENS, llevando a cabo un enfoque único,
cubrirían el marco de cumplimiento aplicable.
Medidas
Ref: ${PROJECT_REF}
DIRECTIVA NIS Y ENS: UNA SIMBIOSIS PERFECTA
Directiva NIS 2
 SEGURIDAD INTEGRAL.
 GESTIÓN DE RIESGOS.
 PREVENCIÓN, RESPUESTA Y
RECUPERACIÓN.
 LÍNEAS DE DEFESA.
 REEVALUACIÓN PERIÓDICA.
 SEGREGACIÓN DE TAREAS
ANÁLISIS Y GESTIÓN DE RIESGOS.
GESTIÓN DE RIESGOS DE TERCEROS O
PROVEEDORES.
CATÁLOGO DE MEDIDAS DE SEGURIDAD,
ORGANIZATIVAS, TECNOLÓGICAS Y FÍSICAS.
GESTIÓN DE PERSONAL Y PROFESIONALIDAD.
ADQUISICIÓN DE PRODUCTOS O SERVICIOS DE
SEGURIDAD.
DETECCIÓN Y GESTIÓN DE INCIDENTES.
PLANES DE RECUPERACIÓN Y ASEGURAMIENTO
DE LA CONTINUADIAD DE OPERACIONES.
MEJORA CONTINUA
INTERCONEXIÓN DE SISTEMAS
RESGISTRO DE ACTIVIDAD DE LOS USUARIOS.
© Copyright VIEWNEXT nov.-22
ENS
 SEGURIDAD INTEGRAL.
 GESTIÓN DE RIESGOS.
 PREVENCIÓN, REACCIÓN Y RECUPERACIÓN.
 LÍNEAS DE DEFESA.
 REEVALUACIÓN PERIÓDICA.
 FUNCIÓN DIFERENCIADA.
ORGANIZACIÓN E IMPLANTACIÓN DEL PROCESO
DE SEGURIDAD.
ANÁLISIS Y GESTIÓN DE RIESGOS.
GESTIÓN DE PERSONAL.
PROFESIONALIDAD.
AUTORIZACIÓN Y CONTROL DE ACCESOS.
PROTECCIÓN DE LAS INSTALACIONES.
ADQUISICIÓN DE PRODUCTOS.
SEGURIDAD POR DEFECTO.
INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA.
PROTECCIÓN DE LA INFORMACIÓN
ALMACENADA Y EN TRÁNSITO
PREVENCIÓN ANTE OTROS SISTEMAS
INTERCONECTADOS.
REGISTRO DE LA ACTIVIDAD
INCIDENTES DE SEGURIDAD
CONTINUIDAD DE LA ACTIVIDAD
MEJORA CONTINUA DEL PROCESO DE
SEGURIDAD
Y TODO ESTO..¿EN QUÉ SE TRADUCE?

Principales medidas a acometer:

MARCO ORGANIZATIVO
Adecuación del ENS
Responsable de Seguridad
MARCO OPERACIONAL
Mayor número de Incidentes de
seguridad
MEDIDAS DE PROTECCIÓN
Digitalización de las AAPP

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 PLAN DE ADECUACIÓN
Y TODO ESTO..¿EN QUÉ SE TRADUCE?

MARCO ORGANIZATIVO IMPLANTACIÓN DEL ENS: Siguiendo las Guías del CCN-CERT

PLAN DE ADECUACIÓN
o Elaborar la Política de Seguridad de la
Información y la Normativa Interna
correspondiente.
o Identificación del Responsable de Seguridad.
o Identificar los servicios y categorizar los sistemas
de información (800 Guías Esquema Nacional ELABORACIÓN DE LA DOCUMENTACIÓN RESPONSABLE DE SEGURIDAD (CISO)
de Seguridad CCN-CERT) Business
Vision
o Determinación de la Declaración de Business
Aplicabilidad provisional. Strategy
Business
o Realizar el Análisis de Riesgos. Objectives

o Elaborar la Declaración de Aplicabilidad IT Strategy

definitiva. Security Policy, Standards,

Process

o Desarrollar un Plan de mejora de la seguridad en Security Metrics

base al informe de insuficiencias detectadas.

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 GESTIÓN DE INCIDENTES ENS
Y TODO ESTO..¿EN QUÉ SE TRADUCE?

MARCO OPERACIONAL Uno de los puntos más importantes que ha introducido el ENS es la implantación de
controles cuyo objetivo fundamental es la Respuesta ante Incidentes de Seguridad. Se
trata de un control que aplica a todas las categorías de los sistemas, incluyendo en la

MONITORIZACIÓN Y categoría Media y Alta la inclusión de nuevos refuerzos:

NOTIFICACIÓN
Haciendo foco en el control Op.exp.7, podemos inferir que el nuevo ENS hace especial
Establecimiento de un protocolos de actuación ante hincapié a aquellos servicios que se prestan desde un SOC:
ciberincidentes.
Notificación de incidentes de ciberseguridad Op.exp.7

GESTIÓN DE INCIDENTES

[op.exp.7.1] [op.exp.7.1]

La gestión de incidentes que Proceso integral para hacer

afecten a datos personales tendrá frente a los incidentes que
en cuenta lo dispuesto en el puedan tener un impacto en
Reglamento General de la seguridad del sistema.
Protección de Datos.
Refuerzo R2 Refuerzo R3
Refuerzo R1 Prevención y
Detección y
Notificación. Respuesta Automática.
Respuesta

Proveedor Organismo
Ejemplo complejo: incidente con origen en un proveedor que no sea organismo de
la admón. Y que tenga afectación en un servicio esencial con brecha de datos con
Ref:personal
carácter ${PROJECT_REF} © Copyright VIEWNEXT nov.-22
 DESARROLLO SEGURO
Y TODO ESTO..¿EN QUÉ SE TRADUCE?

MEDIDAS DE PROTECCIÓN Otro punto importante dentro del ENS y que cobra importancia por la mayor digitalización
de los servicios en la Administraciones Públicas, es el desarrollo de aplicaciones:

DESARROLLO SEGURO
Otro punto importante dentro del ENS y que
cobra importancia por la mayor digitalización Haciendo foco en el control Mp.sw.1, podemos inferir que el nuevo ENS hace especial
hincapié en la implantación de una Metodología de Desarrollo Seguro:
de los servicios en la Administraciones
Públicas, es el desarrollo de aplicaciones. Mp.sw.1

DESARROLLO DE APLICACIONES
[mp.sw.1.1] [op.exp.7.1]

El desarrollo de aplicaciones se realizará sobre un sistema diferente y

separado del de producción, no debiendo existir herramientas o datos de
desarrollo en el entorno de producción, ni datos de producción en el de
desarrollo.

Refuerzo R1 Refuerzo R2 Refuerzo R3 Refuerzo R4

Mínimo Metodología de Seguridad desde el Datos de pruebas.
privilegio. Desarrollo diseño.
seguro

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

ANTE UN RETO, UNA SOLUCIÓN

Con la habilitación de los siguientes

servicios abordamos las
principales medidas:
MARCO ORGANIZATIVO
Plan Director de Seguridad.
Virtual CISO.
MARCO OPERACIONAL
Monitorización y Respuesta ante
incidentes (SOC).
MEDIDAS DE PROTECCIÓN
Implantación del Modelo de Desarrollo
Seguro.
Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22
1 MARCO ORGANIZATIVO • MODELADO DE AMENAZAS
Consiste en la definición y priorización de un conjunto de
2 MARCO OPERACIONAL proyectos en materia de ciberseguridad con el objetivo de
3 MEDIDAS DE PROTECCIÓN reducir los riesgos a los que está expuesta la organización
hasta unos niveles aceptables a partir de un análisis de la
situación inicial.

Esto permitirá a la organización a determinar una hoja de

ruta para saber “por dónde empezar en esto de la
ciberseguridad”.

PLAN
VIEWNEXT mediante la ISO 27001 y el NIST, evaluamos el nivel de madurez DESCUBRIMIENTO
lo cual cual permite tomar decisiones tales cómo cuáles son los Sistemas de Determinar cuáles son los objetivos del negocio,
Información críticos a adecuar (ENS) identificando así los Sistemas de Información más críticos.

DIRECTOR EVALUACIÓN
Evaluación de la postura de seguridad y madurez teniendo
DE en cuenta los objetivos de negocio y marco de gobernanza

SEGURIDAD
ESTRATEGIA
En esta fase los consultores de seguridad se apoyarán en el
panel de expertos para definir la estrategia de seguridad

(PDS) que permita lograr los objetivos de negocio.

ROADMAP
Establecer el camino óptimo que se debe seguir para
implantar la estrategia de seguridad

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

1 MARCO ORGANIZATIVO
Tras aplicar la metodología de análisis y
2 MARCO OPERACIONAL observar los puntos fuertes y débiles de la
3 MEDIDAS DE PROTECCIÓN organización, esta se sitúa en un 53% de
madurez. A continuación puede verse de
modo gráfico los puntos fuertes y los
puntos de oportunidad de mejora.

Framework PDS Viewnext

Ejemplo caso real
Marco Básico Niveles
• Gobierno, debido a que se detecta la no
Gobierno 36% Nivel 1. Inicial existencia de un políticas y procedimientos de
seguridad debidamente documentadas y
formalizadas .
 Protección, debido a que se dispone de Protección 59% Nivel 3. Definido
• Respuesta y Vigilancia, dada la necesidad de
capacidades relativas a la gestión e implementación de capacidades de seguridad
identificación de amenazas de orientadas a la detención de incidencias y
seguridad. Respuesta 32% Nivel 1. Inicial
eventos de seguridad
 Resiliencia dado que se cuenta con un
Plan de Continuidad y DRP implantados Vigilancia 39% Nivel 1. Inicial

Resiliencia 63% Nivel 4. Administrado

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 PLAN DIRECTOR DE SEGURIDAD
Evaluación inicial Roadmap
Ejemplo caso real
Framework PDS Viewnext
Iniciativas
Marco Básico Niveles
Dimensión Acción Descripción Tipo de Acción Amenaza / Riesgo Asociado
Establecer un procedimiento formal de actualización de Elaboración

Gobierno 36% Nivel 1. Inicial

Identificar 01 - Inventario de Activos
02 - Descubrimiento nuevos
inventario para activos. Incluir información de contexto de
Elaborar un procedimiento para el descubrimiento de nuevos
documentación
Elaboración
Explotación de vulnerabilidades

Identificar activos activos y el control de software no autorizado, usando OCS documentación Explotación de vulnerabilidades
03 - Gestión de Establecer un procedimiento formal de gestión de Elaboración
Identificar vulnerabilidades vulnerabilidades documentación Explotación de vulnerabilidades
Establecer y mantener estándares (plantillas) de
Protección 59% Nivel 3. Definido Proteger 04 - Bastionado de equipos configuración para plataformar endpoints y servidores. Elaboración plantillas Errores de configuración
Configuración solución
Proteger 05 - Antimalware Unificar la solución antimalware corporativa. existente Malware
06 - Administración Centralizar la administración de los activos corporativos y Implantación nueva Errores de configuración
Proteger centralizada auditar el compliance implantando un AD DS o similar. solución Malware

Respuesta 32% Nivel 1. Inicial Proteger 07 - Medios extraíbles

Deshabilitar la ejecución automática y la reproducción
automática para medios extraíbles.
Implantación nueva
solución Malware
Migrar el servidor de correo de Postfix a una solución Implantación nueva
Proteger 08 - Correo Electrónico Office365 o similar más segura con un modelo de solución Phishing
Establecer un procedimiento de parcheado de SO y Elaboración
Proteger 09 - Parcheado aplicaciones. documentación Explotación de vulnerabilidades
Vigilancia 39% Nivel 1. Inicial Implantación solución EDR para la prevención contra Implantación nueva Ransomware
Proteger 10 - EDR Ransonware y ZeroDays. solución Errores de configuración
Zero Days
Gestionar los firewalls de forma centralizada usando Configuración solución Brecha de Datos
Proteger 11 - Administración Firewalls Forticloud o similar. existente
Establecer y mantener una arquitectura de red segura. Una Revisión de la Movimientos laterales
Resiliencia 63% Nivel 4. Administrado Proteger 12- Segmentación red arquitectura de red segura debe abordar la segmentación, los arquitectura de red
Habilitar en el firewall reglas de navegación segura y revisar Configuración solución
Explotación de vulnerabilidades
Ransomware
Proteger 13 - Reglas IPS las reglas de protección IPS. existente Zero Days
Unificar el acceso VPN en el firewall, usar doble factor de Configuración solución Robo de credenciales
Proteger 14 - Acceso VPN autenticación y evaluar la postura de seguridad para permitir existente Brecha de datos
Centralizar la gestión de cuentas de usuarios y el control de Implantación nueva Robo de credenciales

Fichas de proyectos
Proteger 15 - AAA acceso solución Brecha de datos
Definir una política de desarrollo seguro que incluya buenas Elaboración Brecha de datos
Proteger 16 - Desarrollo seguro prácticas, pruebas de seguridad y tiempos de remediación documentación DoS
Implantar fichas de perfil de riesgo para cualquier nuevo Elaboración Brecha de datos
Identificar 17 - Evaluación de riesgo desarrollo a través de un cuestionario para evaluar el nivel de documentación DoS
Controles nativos de seguridad en AWS API Gateway. Configuración solución Brecha de datos
Proteger 18 - Controles nativos cloud Configurar CloudTrail para cumplir con las políticas existente DoS
Realizar pruebas de ethical hacking, manuales, caja gris en Explotación de vulnerabilidades
Proteger 19 - Ethical hacking todas las aplicaciones/apis críticas internet-facing antes de Servicios profesionales Errores de configuración
Elaboración
Detectar 20 - Retención logs Elaborar una política común de retención de logs Compliance
documentación
ATP
Implantar un SOC para la gestión de alertas de seguridad y Amenazas Internas
Detectar 21 - SOC Servicios profesionales
recolección y retención de logs de forma centralizada. Brecha de datos
Explotación de vulnerabilidades
Elaborar nuevos procedimientos (playbooks) de respuesta Elaboración ATP
Responder 22 - Respuesta a Incidentes
para las principales amenazas documentación Amenazas Internas
Revisar el procedimiento de escalado de incidencias y el Elaboración ATP
Responder 23- Escalado de Incidentes
comité de crisis documentación Amenazas Internas
Soporte en la investigación de incidentes de seguridad y ATP
Responder 24 - Investigación incidentes Servicios profesionales
extracción de indicadores de compromiso Amenazas Internas
Implantar herramientas que permitan automatizar las Implantación nueva ATP
Responder 25 - Automatización respuesta primeras medidas de respuesta y faciliten la investigación, solución Amenazas Internas
Ransomware
Recuperar 26 - Incidentes Críticos Elaborar un plan de respuesta a incidentes críticos. Servicios profesionales Brecha de datos
Asesoramiento y coordinación para hacer frente a incidentes Ransomware
Recuperar 27 - CSIRT críticos Servicios profesionales Brecha de datos
Incorporar capacidades de análisis forense (análisis Malware
Recuperar 28 - DFIR postmorten) Servicios profesionales ATP

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

1 MARCO ORGANIZATIVO
Ante la necesidad de disponer de un
2 MARCO OPERACIONAL Responsable de Seguridad o CISO, y debido a
3 MEDIDAS DE PROTECCIÓN la dificultad de poder identificar uno,
VIEWNEXT propone para cubrir esta medida
un servicio de Virtual CISO.

VIRTUAL
CISO

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

1 MARCO ORGANIZATIVO

2 MARCO OPERACIONAL

3 MEDIDAS DE PROTECCIÓN
Monitorización Respuesta a
Amenazas Incidentes

MONITORIZA
CIÓN Y
RESPUESTA
DE
INCIDENTES
NIST SP 800-61 REV2

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

1 MARCO ORGANIZATIVO
Una rápida detención, contención y
2 MARCO OPERACIONAL
remediación de incidentes graves es
3 MEDIDAS DE PROTECCIÓN
esencial para proteger los activos más
críticos.
La contención, la investigación de la causa
raíz y la erradicación son los pasos para
minimizar el daño.

MONITORIZA
CIÓN Y
RESPUESTA
DE
INCIDENTES

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 1 MARCO ORGANIZATIVO • MODELADO DE AMENAZAS
Modelo de Desarrollo Seguro
2 MARCO OPERACIONAL
propio resultante del estudio del
3 MEDIDAS DE PROTECCIÓN estado del arte en cuanto a
metodologías y buenas prácticas
existentes como OWASP SAMM,
OWASP DSOMM o BSIMM,
identificando áreas comunes y
oportunidades de mejora.

METODOLOGÍA Para garantizar la correcta

implantación del Modelo, es
DESARROLLO necesario tener en cuenta 6
SEGURO factores claves.
Para ello, VIEWNEXT propone una
serie de actividades/servicios que
garantizan implantar con éxito
dicho modelo.

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

1 MARCO ORGANIZATIVO • MODELADO DE AMENAZAS
SAMM es el marco de la
2 MARCO OPERACIONAL
OWASP para ayudar a las
3 MEDIDAS DE PROTECCIÓN organizaciones a evaluar,
formular e implementar para la
seguridad del software que se
puede integrar en su actual
ciclo de vida de desarrollo de
software (SDLC).

Estructura OWASP SAMM METODOLOGÍA

METODOLOGÍ
A DE
DESARROLLO
SEGURO

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

 CONCLUSIÓN

La Directiva NIS 2 y el ENS han venido a

ayudar.
Establecen medidas de ciberseguridad para
la protección de los Sistemas más críticos.

PRINCIPALES MARCO ORGANIZATIVO

Adecuación del ENS
MARCO OPERACIONAL
Mayor número de
MEDIDAS DE
PROTECCIÓN
MEDIDAS Responsable de Seguridad Incidentes de seguridad Digitalización de las AAPP

PLAN MODELO DE
DIRECTOR DE VIRTUAL CISO CSIRTNEXT DESARROLLO
SEGURIDAD SEGURO

Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22

OFICINAS
Madrid – Barcelona – Valencia – Bilbao – Sevilla – Softinsa (Lisboa)

CENTROS DE INNOVACIÓN TECNOLÓGICA

Cáceres –Salamanca (Aldeatejada y Villamayor)– Ourense – Reus –
Almería – Málaga – Zaragoza – Portugal (Tomar)
Ref: ${PROJECT_REF} © Copyright VIEWNEXT nov.-22