En el seminario web podrá ver los siguientes aspectos:

- Introducción a la ISO 27001

- Conceptos Básicos

- Sistema de Gestión de Seguridad de la Información (SGSI)

- Beneficios de la certificación

- Inventario de Activos

- Análisis de Riesgos

- Metodología y fases 

Juan Ramón Aramendía es especialista de S21sec en ciberseguridad en Redes de cajeros bancarios. S21sect es una empresa especializada en productos y servivicios para la Ciberseguridad que ofrece servicios y productos en todo el mundo.

En este webinar, el especialista, dio indicaciones, buenas prácticas y metodologías para proteger adecuadamente la seguridad de nuestros sistemas.

Durante la presentación Alejandro realizó varios ejercicios de ciberseguridad.

Publicamos un video en el que se incluyen los siguientes capítulos: 

- Deteccion de Fraude Cross-Channel 

- Detección de Malware 

- Detección de fraude en móvil 

- Detección de Pishing

El especialista  desarrolló nuevos conceptos y planteamientos al respecto y se realizó un resúmen de la situación en que se encuentran las grandes empresas en este tema frente a las ciberamenazas vigentes.

Este conjunto de acciones debe responder a planes a medio y largo plazo (la improvisación es el primer factor de riesgo en estos temas). 

Desde el punto de vista militar, en toda operación se planifican “cursos de acción” y sobre los mismos en la relación coste/beneficio se selecciona el definitivo (en un proceso de toma de decisiones).  Una vez adoptado este último, se diseña e implementa la “Estrategia a seguir”.

En el webinar veremos ese “mix” entre operaciones militares y seguridad en Internet.

Durante la presentación Alejandro hizo referencia a una serie de despliegues que son de utilidad en el trabajo de Ciberseguridad de nuestras redes. Muchos de estos despliegues pueden ser seleccionados como plataformas, infraestructuras, appliances, desarrollos de software e inclusive como un conjunto de medidas de seguridad. 

En el webinar realizan una evaluación de los principales ataques habidos en 2017 y sacan conclusiones de cómo afrontar el año 2018 en materia de ciberseguridad. 

2017 fue un año crítico en materia de Seguridad Informática. Ataques como WannaCry hicieron que miles de organizaciones alrededor del mundo se vieran afectadas por hackeos, violaciones de datos e, incluso, extorsiones. En 2018 la prioridad de las empresas estará en asegurar sus sistemas más que nunca.

SS7 es el sistema de señalización que emplean todos los carriers y operadoras de voz y datos en el mundo. Ya desde el 2010 oímos que este sistema de señalización, verdadero corazón de toda la red mundial de telecomunicaciones, presenta serios problemas de seguridad.

En este webinar presentamos una metodología para enfrentar este problema grave de señalización a nivel mundial y que necesariamente se extenderá al menos durante los próximos diez años. 

La explotación de estos "agujeros" abre un abanico a todo tipo de ataques que en la actualidad ya se están ejecutando en varias operadoras telefónicas, robando dinero de cuentas bancarias, interceptando llamadas telefónicas, localizando la posición de teléfonos móviles, realizando diferentes tipos de fraudes en voz y navegación, ejecutando negaciones de servicio, etc. 

El "análisis de tráfico" es la ÚNICA metodología que tenemos para poder comprender y evaluar este tipo de anomalías en nuestros flujos de señalización. Este trabajo se basa en las herramientas "Wireshark" y "Snort". 

En este webinar presentamos una metodología para enfrentar este problema grave de señalización a nivel mundial y que necesariamente se extenderá al menos durante los próximos diez años. 

La explotación de estos "agujeros" abre un abanico a todo tipo de ataques que en la actualidad ya se están ejecutando en varias operadoras telefónicas, robando dinero de cuentas bancarias, interceptando llamadas telefónicas, localizando la posición de teléfonos móviles, realizando diferentes tipos de fraudes en voz y navegación, ejecutando negaciones de servicio, etc. 

El "análisis de tráfico" es la ÚNICA metodología que tenemos para poder comprender y evaluar este tipo de anomalías en nuestros flujos de señalización. Este trabajo se basa en las herramientas "Wireshark" y "Snort". 

Celebramos 2 webinars que presentan esta metodología de trabajo eminentemente técnica que permite detectar, identificar y evaluar ataques en redes SS7/Sigtran por medio del “análisis de tráfico”.

Durante el Webinar Jorge da una serie de consejos sobre cómo afrontar los retos de la Ciberseguridad, qué tipos de estrategia deben seguirs y cuales son los principales problemas de este tipo a los que se está enfrentando su empresa en la actualidad.

Las redes de voz están orientadas a la conexión y al establecimiento de circuitos. Las redes de datos están orientadas a la flexibilidad de sus rutas y a la entrega de paquetes. 

Hoy en día todas las operadoras tienen su core como red de datos.

Al implantar definitivamente la "paquetización de voz" desde el acceso mismo (terminal móvil o teléfono fijo), es decir con VoLTE (Voz sobre LTE), en la red móvil y para los accesos por medio de fibra óptica en la red fija, estas conversaciones ingresan a la red ya como paquetes.

Una red de paquetes no tiene ninguna razón para mantener un flujo constante en ambos sentidos. Esto sí se viene realizando para las redes de voz convencionales desde hace más de 30 años con el sistema de señalización 7 (SS7) presentado en la última charla.

SS7 ya no se puede implementar en redes de paquetes y debemos reemplazarlo con el protocolo Signaling IP (SIP).

Resumiendo estos conceptos: cuando ingresamos por VoLTE o por fibra nuestra voz paquetizada, a la par de estos paquetes que contienen voz, también se generan paquetes SIP que son los responsables de "señalizar" estas conversaciones. El diálogo SIP fundamentalmente se realiza contra esta Infraestructura que se llama IMS.

Ahora bien, con los avances tecnológicos, hoy en día no solo nos importa la voz, sino varios tipos de diálogos más, que los englobamos en la categoría de "multimedia". IMS está diseñado para gestionar todo este tipo de "diálogos multimedia" en las sesiones de un usuario a otro(s) usuario(s), o de un usuario a un servicio.

Lo interesante de todo esto es que ahora, si logro ser "root" de mi teléfono móvil o del router de fibra óptica de mi casa, ya estoy siendo parte de esta comunicación directa hacia la infraestructura IMS... 

¿y la operadora lo tendrá bien o mal configurado/bastionado?... de esto hablaremos en este Webinar.

Ponente: Jorge Edo, Director de Mobiliza Consulting

En el ámbito de la Administración Electrónica española, el Esquema Nacional de Seguridad (ENS) tiene por objeto establecer lapolítica de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información a los ciudadanos. La aplicación de esta normativa es obligatoria desde Enero del 2014 y su ámbito se circunscribe tanto a las distintas administraciones públicas: ayuntamientos, comunidades autónomas o administración central del estado, como a las empresas privadas que prestan servicios de IT a las administraciones públicas.

En este webinar se dará una visión general de la implantación del Esquema Nacional de Seguridad en las empresas públicas y en las empresas privadas que prestan servicios en éstas. Los puntos que abordaremos serán los siguientes:

              · ENS: Legislación, objetivos y plazos.

              · ENS para empresas públicas y empresas privadas

              · Niveles del ENS

              · Visión general y etapas de implantación

              · Categorización de los sistemas

              · Mágerit como metodología de análisis de riesgos

              · Ejemplo práctico de declaración de aplicabilidad

              · ENS y GDPR

 Ponente:Jorge Edo

Según aparece indicado en el artículo 32 de la normativa UE RGPD se requiere que las empresas pongan en marcha las medidas organizativas y técnicas necesarias para asegurar un alto nivel de seguridad de la información.

Tanto en el RGPD como en la documentación del Grupo de Trabajo 29 se indican algunos ejemplos de controles y medidas de seguridad. Por desgracia el RGPD no proporciona una guía detallada de cómo cumplir con lo exigido por este artículo.

En este punto es donde el RGPD enlaza con la norma ISO 27001. ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

La versión más reciente de esta norma fue publicada en 2013 (ISO/IEC 27001:2013). La norma ISO 27001, entre otros describe los requisitos de las buenas prácticas para implantar un SGSI (Sistema de Gestión de Seguridad de la Información).

En este seminario abordaremos los siguientes puntos:

1.- Introducción a la ISO 27001

2.- El SGSI, el corazón de la ISO 27001

3.- ISO 27001 como herramienta de cumplimiento del GDPR

4.- Fases de un implantación de un proyecto de ISO 27001

5.- Caso Práctico: Gap Análisis. Herramienta para conocer el estado de la seguridad de tu empresa 

Ponentes: Antonio Ramos,Domingo Gaitero y Jorge Ramírez

 El Esquema Nacional de Seguridad (ENS) es una normativa que establece la política de seguridad que deben cumplir las Administraciones Públicas españolas y las empresas que colaboren con ellas en la prestación de servicios a los ciudadanos utilizando medios electrónicos.

El ENS fue creado en un proceso en el que intervinieron entre otras organizaciones el Consejo Superior de Administración Electrónica, el Centro Criptológico Nacional (CCN) y la Agencia Española de Protección de Datos (AEPD). Tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información a los ciudadanos.

La aplicación de esta normativa es obligatoria desde Enero del 2014 y su ámbito se circunscribe tanto a las distintas administraciones públicas: ayuntamientos, comunidades autónomas o administración central del estado, como a las empresas privadas que prestan servicios de IT a las administraciones públicas.

En este webinar explicaremos:

- ¿Qué es y quién está obligado a cumplirlo?

- Posibles estrategias para adecuarse y algunos consejos prácticos para las empresas y organizaciones que vayan a abordar este desafío

- Certificación del Software de Gestión Documental y Workflow R2 Docuo en el ENS

Habrá un turno de preguntas al final de la sesión.

Objetivo:

Presentar el tema por parte de especialistas tanto del ámbito militar como privado con la finalidad de obtener conclusiones que contribuyan en esta materia.

Trataremos de extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes combinando conceptos operacionales con herramientas técnicas.

Propuesta:

Llevar a la práctica una serie de 4 mesas redondas virtuales en las cuales participen militares cuya realidad presente o futura involucre asuntos referidos a la ciberdefensa, civiles que ejerzan funciones en el ámbito privado relacionadas con el área de TI, y alumnos (civiles y militares) del mundo académico cuyas líneas de estudio/investigación se orienten al ámbito cibernético.

La dinámica pretendida contempla el tratamiento de la ciberdefensa en los tres niveles de la conducción, abordada ésta tanto con una visión militar como privada, siendo cada sesión iniciada con una introducción al tema, seguida de una exposición referente a la ciberdefensa en el nivel considerado, primeramente, en el ámbito militar y posteriormente, en el ámbito privado, finalizando con un debate abierto, moderado y coordinado bajo la plataforma Webinar.

La intención orientadora de estos esfuerzos es extraer conclusiones de relevancia que contribuyan a entender las diferencias, semejanzas, necesidades existentes y posibilidades de mejoría en ambos sectores (militar y privado).

Objetivo:

Presentar el tema por parte de especialistas tanto del ámbito militar como privado con la finalidad de obtener conclusiones que contribuyan en esta materia.

Trataremos de extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes combinando conceptos operacionales con herramientas técnicas.

Propuesta:

Llevar a la práctica una serie de 4 mesas redondas virtuales en las cuales participen militares cuya realidad presente o futura involucre asuntos referidos a la ciberdefensa, civiles que ejerzan funciones en el ámbito privado relacionadas con el área de TI, y alumnos (civiles y militares) del mundo académico cuyas líneas de estudio/investigación se orienten al ámbito cibernético.

La dinámica pretendida contempla el tratamiento de la ciberdefensa en los tres niveles de la conducción, abordada ésta tanto con una visión militar como privada, siendo cada sesión iniciada con una introducción al tema, seguida de una exposición referente a la ciberdefensa en el nivel considerado, primeramente, en el ámbito militar y posteriormente, en el ámbito privado, finalizando con un debate abierto, moderado y coordinado bajo la plataforma Webinar.

La intención orientadora de estos esfuerzos es extraer conclusiones de relevancia que contribuyan a entender las diferencias, semejanzas, necesidades existentes y posibilidades de mejoría en ambos sectores (militar y privado).

Objetivo:

Presentar el tema por parte de especialistas tanto del ámbito militar como privado con la finalidad de obtener conclusiones que contribuyan en esta materia.

Trataremos de extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes combinando conceptos operacionales con herramientas técnicas.

Propuesta:

Llevar a la práctica una serie de 4 mesas redondas virtuales en las cuales participen militares cuya realidad presente o futura involucre asuntos referidos a la ciberdefensa, civiles que ejerzan funciones en el ámbito privado relacionadas con el área de TI, y alumnos (civiles y militares) del mundo académico cuyas líneas de estudio/investigación se orienten al ámbito cibernético.

La dinámica pretendida contempla el tratamiento de la ciberdefensa en los tres niveles de la conducción, abordada ésta tanto con una visión militar como privada, siendo cada sesión iniciada con una introducción al tema, seguida de una exposición referente a la ciberdefensa en el nivel considerado, primeramente, en el ámbito militar y posteriormente, en el ámbito privado, finalizando con un debate abierto, moderado y coordinado bajo la plataforma Webinar.

La intención orientadora de estos esfuerzos es extraer conclusiones de relevancia que contribuyan a entender las diferencias, semejanzas, necesidades existentes y posibilidades de mejoría en ambos sectores (

Durante la sesión se hace un repaso a lo que han sido estas 4 sesiones y un interesante repaso al funcionamiento de las telecomunicaciones de Internet: Cables submarinos y Aceleradores de Contenidos. 

Objetivo:

Presentar el tema por parte de especialistas tanto del ámbito militar como privado con la finalidad de obtener conclusiones que contribuyan en esta materia.

Trataremos de extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes combinando conceptos operacionales con herramientas técnicas.

Propuesta:

Llevar a la práctica una serie de 4 mesas redondas virtuales en las cuales participen militares cuya realidad presente o futura involucre asuntos referidos a la ciberdefensa, civiles que ejerzan funciones en el ámbito privado relacionadas con el área de TI, y alumnos (civiles y militares) del mundo académico cuyas líneas de estudio/investigación se orienten al ámbito cibernético.

La dinámica pretendida contempla el tratamiento de la ciberdefensa en los tres niveles de la conducción, abordada ésta tanto con una visión militar como privada, siendo cada sesión iniciada con una introducción al tema, seguida de una exposición referente a la ciberdefensa en el nivel considerado, primeramente, en el ámbito militar y posteriormente, en el ámbito privado, finalizando con un debate abierto, moderado y coordinado bajo la plataforma Webinar.

La intención orientadora de estos esfuerzos es extraer conclusiones de relevancia que contribuyan a en

Ponentes:Jorge edo

En este webminar repasaremos larelación entre la norma ISO 27001 y el ENS Esquema Nacional de Seguridad y los requisitos para adaptar un Sistema de Gestión de la seguridad de la Informacióna las medidas de seguridad obligatorias en el ENS .

Ponentes:Alejandro corletti

Los dispositivos de la familia Rasberry, nos ofrecen hoy una opción de muy bajo coste y altas prestaciones para cualquier actividad informática.  AL soportar hoy una amplia gama de sistemas operativos han ido mejorando día a día su uso cotidiano.  En esta charla, presentaremos de forma práctica y eminentemente técnica, como poder sacarle el máximo provecho para actividades de seguridad empleando la distribución de Kali sobre sistema operativo Debian.  Realizaremos varias prácticas y ejercicios con la Raspberryconectada a un ordenador portátil.

Ponentes:Alejandro Corletti,Verónica Martín Alonso y Gonzalo Martínez Ginesta

En esta sesión doble dos responsables de auditoría de Telefónica hablarán sobre dos asuntos que preocupan mucho a los responsables de "Ciberdensa": Privacidad de los datos y Fraude en Telecomunicaciones.

Ponentes:Jorge Edo

La nueva norma ISO/IEC 27701, que acaba de ver la luz en el pasado mes de agosto es una extensión para la gestión de la privacidad de la norma ISO/IEC 27001 (Gestión de la Seguridad de la Información).

Su principal objetivo es proporcionar una clara orientación sobre la protección de la privacidad, además de ayudar a demostrar el cumplimiento del RGPD.

Esta normativa surge como una necesidad cada vez más importante las empresas en certificar la privacidad de las organizaciones. Este estándar ha sido diseñado para ser utilizado tanto por Responsables como por Encargados de Tratamiento y es aplicable para todos los tipos y tamaños de las organizaciones. De igual forma y como no podía ser de otra forma se gestiona de igual manera que la ISO 27001, siguiendo un enfoque basado en la Gestión de los Riesgos.

- En este taller, responderemos a las siguientes cuestiones:

- Introducción a la familia ISO 27000

- Presentación de la norma ISO 27701

- Relación entre la norma ISO 27701 y la ISO 27001

- Como abordar un proyecto de implantación de la norma

- ISO 27701 y su relación con el GDPR    

Ponentes:Jorge Edo

La ISO 22301 es la norma internacional para la gestión de la continuidad de negocio (GCN). Proporciona una estructura práctica para establecer y gestionar de forma efectiva un sistema de gestión de continuidad de negocio. Esto tiene como objetivo proteger a dicho sistema de amenazas y alteraciones potenciales entre las que se incluyen las siguientes:

- Fallos tecnológicos

- Pérdida repentina de recursos esenciales

- Desastres naturales

- Ataques terroristas

- Otras situaciones de emergencia

Tras un proceso de revisión, a final de octubre del 2019 se ha publicado la nueva versión de la norma de requisitos para Sistemas de Gestión de Continuidad de Negocio ISO 22301:2019.

 Esta versión se centra en clarificar requisitos para facilitar el entendimiento y que más organizaciones implanten un Sistema de Gestión de Continuidad de Negocio.

 Aunque no hay requisitos nuevos, si se han aplicado algunos cambios como:

  - Actualización de la aplicación de requisitos ISO para los estándares del sistema de gestión (2012vs2019).

- Aclaraciones de los requisitos y actualización de términos.

- Los requisitos específicos de continuidad de negocio se recogen en la Clausula 8

En este webinar haremos una introducción a la norma ISO 22301, y veremos en detalle los principales cambios que aparecen en la nueva versión de la norma de Octubre del 2019.   

Ponentes:Jorge Edo

La normativa en los sistemas de control se ha centrado principalmente en aspectos propios del funcionamiento de los dispositivos o a la especificación de protocolos de comunicación. En los últimos años, el sector industrial ha empezado a demandar normativas específicas de seguridad para proteger sus instalaciones. De esta necesidad han surgido un gran grupo de normas y guías de seguridad, en este Webinar se recogen las características de algunas de las más importantes.

a) IEC 62443

La norma IEC 62443, elaborada por el grupo TC65 de la IEC, se compone de un total de 13 documentos, de los cuales algunos ya están publicados de forma oficial y el resto en estado de borrador. Los documentos se dividen en 5 informes técnicos, 1 especificación técnica y 7 guías, agrupadas en cuatro bloques según su contenido: General, Políticas y procedimientos, Sistema y Componentes.

b) IEC 62351

El ámbito de actuación de la norma IEC 62351 es la seguridad en las operaciones de control del sector energético. La norma IEC 62351se divide en 11 documentos independientes, siendo el primero la introducción a la norma, el segundo el glosario de términos y el resto el conjunto de medidas de seguridad, aplicadas por familias de protocolos.

c) IEEE 1686-2007

El estándar IEEE 1686-2007 define las funciones y características que deben ser proporcionadas por los IED (Intelligent Electronic Device) para acomodarse a los programas CIP (Critical Infrastructures Protection).

A estas tres normativas anteriores añadiremos normativas, no sólo específicas del sector industrial, sino del cualquier sector como la: ISO 27001, ISO 27032 y el ENS (Esquema Nacional de Seguridad).   

Ponentes: Jorge Edo

Se denominan infraestructuras críticas a aquellos sistemas y servicios que soportan infraestructuras esenciales para el desarrollo de la sociedad tal y como las conocemos actualmente, y que garantizan el normal funcionamiento de los servicios prestados por los estados. De acuerdo con esta definición, existen sectores que por sus características son especialmente sensibles, como, por ejemplo, el eléctrico, el agua, el gas, el transporte, el químico, las comunicaciones, el sistema financiero, el sanitario, etc.

Por este motivo, por la importancia de su preservación, existe un creciente interés a nivel mundial por desarrollar sistemas de seguridad efectivos que garanticen la continuidad. Con la proliferación de la IOT, el empleo de ciberataques como elemento desestabilizador de estas infraestructuras, se ha convertido en una realidad cada vez más frecuente.

El 28 de abril de 2011, se aprobó la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas. Está ley es conocida también por la LPIC (Ley de Protección de las Infraestructuras Críticas).

En este Webinar vamos a desarrollar las principales características de la LPIC, y como poder implantarla con éxito.

Ponentes:Jorge edoo

La norma IATF 16949 es la especificación técnica global y la norma de gestión de la calidad para el sector del automóvil. Está basada en la ISO 9001:2015.

La norma actual fue publicada en octubre de 2016. Esta norma está diseñada no para ser un SGC independiente sino, para ser utilizada junto con la norma ISO 9001:2015 y contiene requisitos complementarios específicos para la industria del automóvil. La norma IATF16949 ha sido desarrollada por la IATF (International Automotive Task Force), para fomentar la mejora en la cadena de suministro y el proceso de certificación.

Este webinar, está dirigido a profesionales que deseen implantar, mantener y/o mejorar el sistema de gestión de la calidad del sector automoción IATF 16949:2016 en una organización y quieran conocer en detalle los nuevos controles de ciberseguridad que van a tener que implantarse en la normativa en este año 2020.

 En este Webinar:

- Aprenderá los requisitos de ciberseguridad clave de la norma IATF 1694

- Identificará las estrategias de implantación de dichos controles IATF 16949  

Publicamos grabación del webinar grabado el día 05/05/2020

Ponentes:Jorge Edo

- TISAX en el sector del automóvil alemán  

 Ponentes:Jorge Edo

Interpol emitió  el pasado 5 de abril una alerta global a los cuerpos nacionales de policía de los 194 países miembros de la organización, tras un aumento significativo de intentos de ataques virtuales contra hospitales e instituciones clave en la lucha contra el coronavirus.

En su informe correspondiente, en el marco de la pandemia del COVID-19 en el que reconoce que los delincuentes, especialmente los cibercriminales, aprovechan la crisis para adaptar su forma de actuación y participar en nuevas actividades criminales, aumentando las campañas de phishing y ransomware.

Esto unido a que el Teletrabajo se realiza y se va a realizar preferentemente durante los próximos meses en los domicilios de los empleados, donde las medidas de seguridad existentes son muy escasas, provocará muchas facilidades para los ciberdelincuentes para que logren sus objetivos y la información de las organizaciones quede expuesta.

En este webminar pretendemos dar buenas recetas para securizar de forma adecuada los datos de la organización y disponerde una eficiente plataforma de Teletrabajo corporativa.

                 - Receta 1: Creación de una política de Teletrabajo.

                 - Receta 2: Realizar una gestión adecuada de los riesgos.

                 - Receta 3: Personalizar los controles de la ISO 27001 y ENS para nuestra organización

                 - Receta 4: Gestionar adecuadamente las incidencias.

                 - Receta 5: Proteger la privacidad de los datos y cumplir con la legislación

                 - Receta 6: Disponer de un "Plan o mini Plan de Continuidad de Negocio" 

 Ponentes: Jorge Edo

La norma ISO/IEC 29100  se ha convertido en la principal referencia de privacidad utilizada por otras normas ISO como la ISO 27001, en cuanto se requiera incluir controles relacionados con la privacidad de datos personales.

Este estándar internacional provee una estructura general para la protección de información de identificación personal, con el objetivo de ayudar a las organizaciones a definir los mecanismos de protección relacionados a la privacidad de datos.

Por otro lado la norma ISO 27001, es el principal marco de buenas prácticas utilizado en el mundo para la Gestión de la Seguridad de la Información.

En este webinar se abordaron los siguientes apartados:

- ISO 29100, principios básicos

- Relación con la ISO 29100 y el RGPD

- ISO 27001, introducción general

- Controles de privacidad en la ISO 27001

- Relación entre los marcos de privacidad ISO 29100 e ISO 27701

 Ponentes:Luis Vilanova Blanco

 La transformación digital está aumentando el uso de soluciones Cloud y App adelantando varios años la adopción de las tecnologías digitales por las empresas. Tanto las empresas que desarrollan software, como las empresas cliente de estos partners, deben cada día mas preocuparse por las medidas de seguridad e los sistemas de información propios y ajenos. La exposición de los sistemas en internet es un factor común en la práctica totalidad de empresas y ello conlleva riesgos.

Cada día más normas como la ISO27001 (y la ISO27017) son solicitados por clientes y proveedores para establecer relaciones comerciales entre sí. Por ejemplo, una empresa de fabricación de componentes del automóvil no podrá trabajar para un cliente importante si no demuestra su preocupación por las medidas de seguridad de la información. La ISO27001 es un estándar que asegura que la empresa cumple con las medidas de seguridad de la información que un tercero puede solicitar, desde contratos adecuadamente desarrollados, medidas antimalware y firewall, formación interna al empleado, procedimientos de trabajo seguros, copias de seguridad adecuadas, adecuada gestión del cambio de sus sistemas, correcta gestión de incidencias de seguridad de la información, etc

La norma ISO27001 es cada día más solicitada por clientes que quieren asegurar que su proveedor cumple y está concienciado por las medidas de seguridad que garanticen la confidencialidad, privacidad, cadena de custodia, trazabilidad de acciones, y sin el cual en ocasiones no se permite el contrato entre ambas partes. La norma puede implantarse sin necesidad de optar al sello de calidad, demostrando ya un cumplimiento a terceros. Los clientes pueden simplemente pedir a sus proveedores que les demuestren que tienen un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la ISO27001 sin obligar a que el proveedor tenga el de calidad o bien exigirlo.

La norma ISO27001 además no solo afecta a la seguridad de la información sino también en la mejora del trabajo de la empresa, al preocuparse por procesos como son gestión del cambio, gestión de incidencias, mejora continua, etc.

En esta ponencia además hemos visto  cómo mediante una herramienta de gestión de la ISO27001 podemos acelerar su implantación y tomar control de la seguridad de la información de nuestra empresa y de la relación con proveedores, clientes y terceros.

 Ponente:  Luis Vilanova Blanco

En la transformación digital la seguridad de la información es un elemento clave, tanto para proteger la Confidencialidad, Disponibilidad e Integridad de la información como para el cumplimiento normativo.

La ISO27001 cada día es más demandada por clientes a sus proveedores y para homologaciones y certificaciones en sectores muy variados de aplicaciones y de empresas.

En este Webinar veremos las ventajas de incorporar un modelo de gestión de la seguridad de la información, como afecta a aumentar la calidad de nuestros procesos de desarrollo y trabajo, así como otras múltiples ventajas que la empresa obtiene, bien si se adapta únicamente a la norma o bien si quiere obtener también el sello de calidad.

 Ponente: Jorge Edo

La GESTIÓN DE RIESGOS es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza a través de una secuencia de actividades que incluyen la identificación, el análisis y la evaluación de riesgo, para luego establecer las estrategias más adecuadas en función de la organización, para mitigar los riesgos anteriores.

 Ponente: Jorge Edo

Con este curso práctico obtendrás los conocimientos y habilidades necesarias para gestionar e implementar un SGSI, así como controlar las amenazas y riesgos TI en su organización.

 Ponente: Jorge Edo 

ISO 22301 es una norma internacional ISO que ayuda a las organizaciones en la implantación de un Sistema de Gestión de la Continuidad del Negocio (SGCN) para disminuir el riesgo de que el negocio sea interrumpido ante posibles amenazas.

La norma ISO 22301 establece una serie de requisitos para el establecimiento, planificación, mantenimiento, implementación o mejora continua de dicho sistema ante posibles incidentes. Dichos requisitos son genéricos y serán aplicados en función de la complejidad o el tamaño de cada organización.

En este taller, trataremos todos estos requisitos, así como su aplicación práctica a una organización, de modo que el participante obtenga todos los conocimientos necesarios para participar en la implementación y gestión del SGCN.

Objetivos

Entender la implementación de un Sistema de Gestión de Continuidad de Negocio según la norma ISO / IEC 22301.

Entender el funcionamiento y los requisitos de la implantación y gestión de un Sistema de Gestión de la Continuidad del Negocio: Incluyendo análisis del impacto, planes y pruebas de continuidad.

Temario:

·   Principios fundamentales de continuidad de negocio.

·   Introducción a los conceptos de Gestión de Continuidad de Negocio y el Sistema de Gestión de Continuidad del Negocio (SGCN).

·   Cláusulas de la ISO 22301.

·   Fases de Implantación de un proyecto de ISO 22301.

 Ponente: Evergisto de Vergara y Alejandro Corletti

El experto en Ciberseguridad Alejandro Corletti Estrada, colaborador desde hace años de it-latino.net, nos presenta en este webinar su cuarto libro titulado  "Manual de la Resiliencia. Una Guía práctica de Ciberresiliencia en Redes y Sistemas de TI".

Publicamos grabación del webinar grabado el día 9/12/2020

 Ponente: Evergisto de Vergara y Alejandro Corletti 

 Ponente: Jorge Edo

 El Esquema Nacional de Seguridad (ENS) proporciona al Sector Público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas, a la vez que facilita la cooperación y proporciona un conjunto de requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas.

El ENS se materializó mediante el «Real Decreto 3/2010, de 8 de enero, y se convirtió en obligatorio desde Enero del 2014. A fecha de hoy menos de 100 empresas públicas y 200 privadas se han certificado en el ENS. Recientemente las entidades buscan certificarse en el ENS al requerirse en muchos de los concursos públicos que están apareciendo últimamente.

En este webinar se dará una visión general de la implantación del Esquema Nacional de Seguridad. Los puntos que abordaremos serán los siguientes:

       ·  ENS: Legislación, objetivos y plazos.

·  Niveles del ENS

·  Visión general y etapas de implantación

·  Categorización de los sistemas

·  Mágerit como metodología de análisis de riesgos

·  Declaración de aplicabilidad

        ·  Integración entre el ENS y la ISO 27001

Ponentes:Jorge Edo

La implementación de un Programa de Compliance en una organización nos enfrenta a diferentes retos que debemos comprender y afrontar si queremos implantar y dar continuidad a un programa de estas características en una empresa.

Es por ello por lo que este breve curso introductorio pretende efectuar una primera incursión en esta materia, tan en auge, permitiendo una vista general de los puntos, normas, y pasos a dar a la hora de implementar un Programa de Compliance.

En este webinar se verá en detalle como plantear un programa de Compliance en una organización según el estándar ISO 37301. 

En este punto se tratarán varios temas, desde el cómo realizar un análisis datos, entender el concepto de ETL y el cómo se aplica en Power BI, así como también las ventajas que nos ofrece el lenguaje DAX y M, lenguajes propios de PowerBI así como también el cómo SQL se integra en estos trabajos de ETL. Abordaremos también temas de cómo armar un cuadro de mando y el cómo este aporta valor a la empresa.

Es una gran oportunidad para aprender y entender cómo Power BI nos ayuda desde el momento de extraer los datos hasta el cómo estos datos se transforman en información para posterior acción y toma de decisiones.