Seguridad informática en la Ley de Seguridad Privada

Territorio no explorado

(CC) Rob, “Magenta [Confini]”, https://www.flickr.com/photos/ro_buk/11433308563/

(CC) Fernando, “¿Todo?”, https://www.flickr.com/photos/ro_buk/11433308563/

(CC) Dan Paluska, “All you need is love, and accountability”, https://www.flickr.com/photos/sixmilliondollardan/3675896785/

(CC) Álvaro Millán, “Europe flags at comission”, https://www.flickr.com/photos/soroll/2952431988/

(CC) Urleske, “Cyber Police”, https://www.flickr.com/photos/urlesque/5136877222/

SeguridadFísica = Informática

(CC) Antonio Rull, “AVE”, https://www.flickr.com/photos/arull/3119128732/

Actitud “ágil” - Abrazar el cambio

Artículo 6.6

A las empresas […] que se dediquen a las actividades de seguridad informática […] por su

incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán

imponer reglamentariamente requisitos específicos para garantizar la calidad de los

servicios que presten.

¿Qué servicios?

¿Qué medidas?

Medidas para

asegurar calidad

Certificación equipos

Publicación parches

(fabricantes)

Clausulas confidencialidad

Auditoría independienteOperación 24 x 7

Acuerdos de Nivel de Servicio

…

(Opción) Verificación por sector privado

Supervisor

Evaluador

Proveedor de

servicios

Usuario Homologa

Paga

Consume

Envía eva

luaciones

Normativas (requisitos) Publica

Consulta

Cumple

Repositorio evaluaciones

Publica

Consulta

Cumple

Monitoriza

Evalúa

Y, por supuesto, no olvidemos pedir medidas de seguridad informática al resto de empresas de seguridad privada.

¿Café para todos?

Riesgo

¿Cómo las verificamos?

Auditoría

Certificación

Calificación

Security labelling

Ventajas de la calificación:Cada servicio/usuario, su nivel de riesgo

Riesgo

Precio

Nivel de riesgo del servicio

Necesidades de los usuarios

Usuarios que contratan el

servicio

Sin calificación

Riesgo

Precio

Servicio riesgo medio

Servicio riesgo alto

Usuarios que contratan el

servicio

Servicio riesgo bajo

Con calificación

Artículo 47.3

Cuando los servicios se refirieran al análisis y monitorización de eventos de seguridad de la

información y las comunicaciones, estarán sujetos a las especificaciones que […] se

determinen. Las señales de alarma […] deberán ser puestas, cuando corresponda, en

conocimiento del órgano competente […].

(CC) Bernat Gascón Cabestany, “Sirena sense cua”, https://www.flickr.com/photos/bgcabestany/3990020965/

Notificar intrusiones (con independencia de las consecuencias)…

(CC) Roberto García Padón, “Corriendo…”, https://www.flickr.com/photos/rgarcia/3068415969/

… ¿para qué? ¿Vendrán las FFCCSE a ayudarme?

(CC) Andrew Menage, “Sync 9550”, :https://www.flickr.com/photos/amenage/7475336684/

Si no, mejor near-misses, incluyendo intentos de ataques que no han tenido éxito

Policía Nacional

Mossos d’esquadra

Guardia Civil

Ertzaintza

CNPIC/Inteco

CCN-CERT

(CC) Chris Blakeley, “one way”, https://www.flickr.com/photos/csb13/38789359/

¿Qué tal una ventanilla única de notificaciones?

Artículo 16.1

El Ministerio del Interior o, en su caso, el órgano autonómico competente adoptará las medidas

organizativas que resulten adecuadas para asegurar la coordinación de los servicios de seguridad privada con los de las Fuerzas y

Cuerpos de Seguridad.

(CC) Andrew Becraft, “Standoff!”, https://www.flickr.com/photos/dunechaser/2937238712/

¿Hasta qué punto puede contraatacar un servicio privado de seguridad?

Los equipos de respuesta a emergencias informáticas (CSIRT/CERT) ya han resuelto hace tiempo el asunto de la colaboración…

Artículo 52

1. A los exclusivos efectos de esta ley, se podrán adoptar los siguientes tipos de medidas de

seguridad […]c) De seguridad informática[…].

2. Las características, elementos y finalidades de las medidas de seguridad de cualquier tipo,

quien quiera que los utilice, se regularán reglamentariamente […], en cuanto a sus

grados y características […].

Riesgo

Con carácter general

Situación anterior

Cualificados (PSSI, grandes empresas…)

Especiales (críticas, interés nacional…)

(CC) Alfredo Miguel Romero, “Mariposa”, https://www.flickr.com/photos/22963627@N05/4521235765/

Todo está conectado…

(CC) Dan Paluska, “All you need is love, and accountability”, https://www.flickr.com/photos/sixmilliondollardan/3675896785/

Artículo 29.b)

Para los jefes y directores de seguridad, en la obtención bien de un título universitario oficial

de grado en el ámbito de la seguridad que acredite la adquisición de las competencias que

se determinen, o bien del título del curso de dirección de seguridad, reconocido por el

Ministerio del Interior.

24%

33%

25%

18%

Áreas de conocimiento

Gobierno de Seguridad de la InformaciónGestión de Riesgos de la In-formación y CumplimientoDesarrollo y Gestión de un Programa de Seguridad de la InformaciónGestión de Incidentes de Seguridad de la Información

+25.000 certificados en el mundo

+500 certificados en España

SeguridadFísica = Informática

(CC) uberof202 ff, “Business professional’s handshake”, https://www.flickr.com/photos/117693452@N04/12547460034/

43

Muchas gracias…

… ¿preguntas?