Normativa Internacional de Ciberseguretat
Introducció
La ciberseguretat no opera en el buit legal. Les organitzacions estan subjectes a un conjunt complex de normatives internacionals, europees i nacionals que estableixen requisits de seguretat, notificació d'incidents i responsabilitats. Conèixer aquest marc normatiu és imprescindible per a qualsevol professional de la ciberseguretat.
mindmap
root((Marc Normatiu))
Internacional
ISO 27001 SGSI
ISO 27002 Controls
ISO 31000 Riscos
NIST CSF
SOC 2 Type II
Europeu
RGPD 2016/679
Directiva NIS2 2022/2555
Llei IA 2024/1689
DORA Financera
eIDAS 2
Nacional espanyol
LOPDGDD 3/2018
ENS RD 311/2022
Codi Penal Arts 197-264
Llei 7/2022 seguretat xarxes
ISO/IEC 27001 - Sistema de Gestió de la Seguretat de la Informació
Estructura de la norma
L'ISO 27001 és el referent internacional per a establir, implementar, mantenir i millorar contínuament un SGSI (Sistema de Gestió de la Seguretat de la Informació):
Estructura ISO 27001:2022 (Annex SL):
Clàusula 4: Context de l'organització
4.1 Entendre l'organització i el seu context
4.2 Entendre les necessitats i expectatives de les parts interessades
4.3 Determinar l'abast del SGSI
Clàusula 5: Lideratge
5.1 Lideratge i compromís de l'alta direcció
5.2 Política de seguretat de la informació
Clàusula 6: Planificació
6.1 Accions per a abordar riscos i oportunitats
6.1.2 Avaluació de riscos de seguretat de la informació
6.1.3 Tractament de riscos
Clàusula 7: Suport
7.2 Competència
7.3 Conscienciació
7.5 Informació documentada
Clàusula 8: Operació
8.2 Avaluació de riscos (periòdica)
8.3 Tractament de riscos
Clàusula 9: Avaluació del rendiment
9.1 Seguiment, mesura, anàlisi i avaluació
9.2 Auditoria interna
Clàusula 10: Millora
10.1 No conformitats i accions correctores
10.2 Millora contínua
Cicle PDCA (Plan-Do-Check-Act)
flowchart LR
P[PLAN\nEstablir el SGSI\nPolítica, riscos, controls] --> D
D[DO\nImplementar i operar\nel SGSI] --> C
C[CHECK\nMonitorar i revisar\nauditories internes] --> A
A[ACT\nMillorar contínuament\naccions correctives] --> P
style P fill:#2196F3
style D fill:#4CAF50
style C fill:#FF9800
style A fill:#F44336
Annex A - Controls de Seguretat (ISO 27002:2022)
ISO 27001:2022 inclou 93 controls en 4 categories:
| Categoria | Nombre de controls | Exemples |
|---|---|---|
| Organitzacionals | 37 | Polítiques, rols, gestió d'incidents |
| Persones | 8 | Formació, teletreballs, acords de confidencialitat |
| Físics | 14 | Control d'accés físic, paper shredding, CCTV |
| Tecnològics | 34 | Gestió d'identitats, criptografia, seguretat xarxes |
## Exemples de controls tecnològics (ISO 27002:2022)
A.8.2 - Gestió d'identitats privilegiades
→ Principi de mínims privilegis, revisió periòdica d'accesos
A.8.7 - Protecció contra malware
→ Antivirus, EDR, control d'aplicacions
A.8.9 - Gestió de la configuració
→ Hardening, baseline de configuració
A.8.12 - Prevenció de pèrdua de dades (DLP)
→ Classificació d'informació, control d'USB
A.8.16 - Activitats de monitoratge
→ SIEM, revisió de logs
A.8.24 - Ús de criptografia
→ TLS, xifratge de discos, gestió de claus
Directiva NIS2 (2022/2555)
La Directiva NIS2 (Network and Information Security 2) actualitza la primera directiva NIS (2016) i amplia significativament el seu abast:
Qui ha de complir NIS2?
flowchart TD
ORG[Organització] --> Q1{Sector\nessencial?}
Q1 -->|Energia, Transport, Banca\nSalut, Infraestructura digital| ESSENTIAL[Entitat essencial]
Q1 -->|Postal, Gestió residus\nFabricació, Alimentació| IMPORTANT[Entitat important]
Q1 -->|Cap dels anteriors| NOTAPPLIES[No aplica NIS2]
ESSENTIAL --> STRICTOBLIG[Obligacions estrictes\nSupervisió proactiva\nMultes fins 10M€ o 2% facturació]
IMPORTANT --> OBLIG[Obligacions NIS2\nSupervisió reactiva\nMultes fins 7M€ o 1.4% facturació]
Obligacions NIS2
## Mesures mínimes (Art. 21 NIS2)
a) Polítiques de seguretat i gestió de riscos
b) Gestió d'incidents (prevenció, detecció, resposta)
c) Continuïtat del negoci (backup, DR, gestió de crisis)
d) Seguretat de la cadena de subministrament
e) Adquisició, desenvolupament i manteniment segurs
f) Avaluació de l'eficàcia de les mesures (auditing)
g) Ciberhigiene bàsica i formació
h) Criptografia i xifrat
i) Gestió de recursos humans i control d'accés
j) Autenticació multifactor (MFA)
## Notificació d'incidents (Art. 23 NIS2)
T+24h: Alerta prèvia a l'autoritat competent
T+72h: Notificació de l'incident
T+1 mes: Informe final
Esquema Nacional de Seguretat (ENS)
El ENS (Reial Decret 311/2022) és el marc de referència obligatori per a l'Administració Pública espanyola i els seus proveïdors:
Categories de seguretat ENS
Categoria ALTA: Greu dany en interessos nacionals, ordre públic, etc.
→ Controls molt estrictes, auditoria obligatòria
Categoria MEDIA: Dany significatiu en funcionament de l'organisme
→ Controls estrictes, autoevaluació
Categoria BÁSICA: Dany limitat en funcionament de l'organisme
→ Controls bàsics, autoevaluació simplificada
Dimensions de seguretat ENS (ACID)
A - Disponibilitat (Availability): El servei ha d'estar accessible
C - Confidencialitat (Confidentiality): Accés únicament als autoritzats
I - Integritat (Integrity): Dades correctes i no manipulades
D - Autenticitat (Authenticity): Verificació d'identitat
T - Traçabilitat (Traceability): Registre d'accions (no és ACID, és a part)
NIST Cybersecurity Framework (CSF 2.0)
El NIST CSF és el marc de referència de ciberseguretat dels EUA, adoptat àmpliament a tot el món per al sector privat:
flowchart LR
GOVERN[GOVERN\nEstratègia, polítiques\nriscos de tota l'org] --> ID
ID[IDENTIFICAR\nActius, riscos\nvulnerabilitats] --> PROTECT
PROTECT[PROTEGIR\nControls tècnics\ni organitzacionals] --> DETECT
DETECT[DETECTAR\nMonitoratge, SIEM\nalertament] --> RESPOND
RESPOND[RESPONDRE\nPlans de resposta\na incidents] --> RECOVER
RECOVER[RECUPERAR\nResiliència\ncontinuïtat] --> GOVERN
style GOVERN fill:#9C27B0
style ID fill:#2196F3
style PROTECT fill:#4CAF50
style DETECT fill:#FF9800
style RESPOND fill:#F44336
style RECOVER fill:#607D8B
Novetat CSF 2.0 (2024): Incorpora la funció "GOVERN" al centre, destacant que la ciberseguretat és una responsabilitat de tota l'organització, no sols del departament de TI.
SOC 2 Type II
SOC 2 (Service Organization Control 2) és l'auditoria de confiança per a empreses SaaS i proveïdors cloud:
5 Principis de Confiança (Trust Service Criteria):
1. Seguretat (Security) - OBLIGATORI
→ Controls per a prevenir accés no autoritzat
2. Disponibilitat (Availability)
→ SLAs, monitoratge, plans de recuperació
3. Integritat del processament
→ Dades processades correctament, sense errors
4. Confidencialitat
→ Protecció de dades confidencials
5. Privacitat
→ Gestió de dades personals (alineació amb RGPD)
Type I: Comprovació que els controls existeixen en un moment donat. Type II: Comprovació que els controls han funcionat correctament durant un perióde (mínims 6 mesos). Molt més valuós i demandat pels clients.
Miniactivitat
Una startup SaaS de facturació electrònica vol: - Vendre a empreses privades espanyoles → No necessita ENS - Vendre a ajuntaments i administracions → Necessita ENS - Vendre a empreses nord-americanes → Clients demanen SOC 2 Type II
Per a cada escenari, identifica quines normatives s'apliquen i quines 3 mesures tècniques concretes caldria implementar per a cada certificació.
Mapa de Normatives per Sector
| Sector | Normatives aplicables |
|---|---|
| Sanitat | RGPD + LOPDGDD + NIS2 (essencial) + ENS (si pública) |
| Banca/Fintech | RGPD + NIS2 + DORA + PCI-DSS |
| E-commerce | RGPD + PCI-DSS |
| Administració pública | RGPD + LOPDGDD + ENS + NIS2 |
| Telco/Internet | RGPD + NIS2 (essencial) + Llei 7/2022 |
| Empresa industrial | RGPD + NIS2 (si sector crític) |
| Startup SaaS | RGPD + SOC 2 (si clients EUA) |
Exercici pràctic
Analitza el cas d'un hospital públic de 500 llits:
- Identifica totes les normatives de ciberseguretat que li apliquen
- Per a cada normativa, indica els 3 requisits més importants
- Disenya un pla de compliment prioritzat per als propers 12 mesos (q1-q4)
- Identifica quins recursos (humans, tècnics, econòmics) serien necessaris
Lliura l'anàlisi en el document normativa_hospital_NOMCOGNOM.md.