Certificación. El ecosistema digital de AENOR

Modelo de Ciberseguridad y Privacidad

Atendiendo a las nuevas necesidades de ciberseguridad y privacidad,

AENOR ha elaborado, dentro del Ecosistema Digital, el Modelo de Ciberseguridad y Privacidad, que pretende ser el aliado de los Chief Information Security Officer (CISO) y de los profesionales de TIC.

Soluciones AENOR a los nuevos riesgos y amenazas a los que se enfrentan las organizaciones

La generalización y el uso extensivo de la conectividad móvil, redes sociales, Big Data, etc. ha supuesto un despliegue de las tecnologías conocidas como SMAC (Social-Mobility-Analytics-Cloud) que, junto con el desarrollo de la llamada Industria 4.0., implica nuevos riesgos y amenazas. Por ello, es fundamental dotar de ciberseguridad a las nuevas tecnologías implicadas en la transformación digital.

AENOR ha diseñado un “Modelo de Ciberseguridad y Privacidad”, que ofrece soluciones a los nuevos riesgos y amenazas a los que se enfrentan las organizaciones públicas o privadas a la hora de afrontar su transformación digital; utilizando para ello la implantación y posterior certificación de los siguientes referenciales.

El Modelo de Ciberseguridad y Privacidad es compatible e integrable con el Modelo de Gobierno y Gestión de las TIC.

La clave de seguridad para su sistema de información

Seguridad de la información.

La certificación según la Norma ISO/IEC 27001 de sistemas de gestión de seguridad de la información ya se considera como una commodity para las organizaciones. Esta certificación es la base del ecosistema, ya que implanta la Ciberseguridad/Seguridad orientada a los procesos y objetivos del negocio. Se basa en el análisis de Riesgos de TIC considerando la confidencialidad, integridad y disponibilidad de los sistemas de información, aplicando los controles de las ISO/IEC 27002 y fundamentándose en la mejora continua.

Más información

La clave de seguridad para su sistema de información

Ciberseguridad en cloud (seguridad y privacidad).

Tomando como base el sistema de gestión de seguridad de la información que describe la ISO/IEC 27001 se pueden aplicar las extensiones de controles que propone para entornos cloud en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service SaaS-Software as a Service), y obtener junto con la ISO 27001 un certificado de conformidad ISO/IEC 27017-ISO/IEC 27018 adicional.

Más información

Para una máxima protección de los sistemas de información

Esquema Nacional de Seguridad.

El Real Decreto 3/2010 establece la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Aplica a las administraciones públicas y a aquellas organizaciones privadas que proveen servicios o soluciones tecnológicas a las AA.PP.

Más información

Información complementaria

AENOR ha sido la primera entidad en ser acreditada por ENAC para esta certificación, estando así mismo acreditada para certificar de forma conjunta ENS e ISO/IEC 27001.

Reglamento eIDAS-PSC (Prestadores de Servicios cualificados de Confianza) – UE 910/2014.

El Reglamento de la UE 910/2014 relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (eIDAS) tiene como objetivo establecer los criterios para los servicios de confianza.

Igualmente, determina un marco jurídico para los servicios cualificados como firma electrónica, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.

Más información en web ministerio

Acreditación ENAC

AENOR es la primera entidad acreditada por ENAC para la certificación del Reglamento eIDAS en España.

Reglamento General de Protección de Datos (RGPD) - UE 2016/679.

El Reglamento General de Protección de Datos (RGPD) UE 2016/679, de obligado cumplimiento desde el mes de mayo, establece un nuevo marco jurídico sobre la protección de los datos personales y sobre la libre circulación de los mismos. Su objetivo es ofrecer más control a los ciudadanos sobre su información personal en el entorno SMAC y la transformación digital.

El Reglamento incluye varios aspectos que se tratan de forma similar en normas/estándares anteriores como la ISO 27001 o el ENS.

MÁS INFORMACIÓN: Certificación de Personas– Delegado de Protección de Datos

Información complementaria (AEPD)

Ciberseguridad del Dato.

El dato, junto con las personas, es el activo principal en las organizaciones. Y para que un conjunto de datos (bases de datos, Big Data, Data Lake, u otros almacenes de datos) cumpla con las características relacionadas con la ciberseguridad, según las características de ISO/IEC 25012, es necesario que un laboratorio acreditado por ENAC (como puede ser AQCLAB, laboratorio partner de AENOR) las evalúe, para posteriormente poder certificar la Calidad de los Datos.

Más información

Información complementaria (AQLAB)

Ciberseguridad Industrial.

Los ciberataques a los sistemas industriales (centrales térmicas, fábricas de automóviles/textiles/alimentarias, laboratorios químicos/farmacéuticos, etc.) y concretamente a sus sistemas de control y supervisión de procesos (SCADA, por sus siglas en inglés), constituyen hoy día una amenaza real.

En este escenario y tomando como base el sistema de gestión de seguridad de la información descrito en la ISO/IEC 27001, y de acuerdo al análisis de riesgos sobre los procesos industriales (OT), se aplican controles propios para estos entornos industriales como son la familia de normas ISA 99 o IEC 62443.