Salta el contingut

Normativa Internacional de Ciberseguretat

Introducció

La ciberseguretat no opera en el buit legal. Les organitzacions estan subjectes a un conjunt complex de normatives internacionals, europees i nacionals que estableixen requisits de seguretat, notificació d'incidents i responsabilitats. Conèixer aquest marc normatiu és imprescindible per a qualsevol professional de la ciberseguretat.

mindmap
  root((Marc Normatiu))
    Internacional
      ISO 27001 SGSI
      ISO 27002 Controls
      ISO 31000 Riscos
      NIST CSF
      SOC 2 Type II
    Europeu
      RGPD 2016/679
      Directiva NIS2 2022/2555
      Llei IA 2024/1689
      DORA Financera
      eIDAS 2
    Nacional espanyol
      LOPDGDD 3/2018
      ENS RD 311/2022
      Codi Penal Arts 197-264
      Llei 7/2022 seguretat xarxes

ISO/IEC 27001 - Sistema de Gestió de la Seguretat de la Informació

Estructura de la norma

L'ISO 27001 és el referent internacional per a establir, implementar, mantenir i millorar contínuament un SGSI (Sistema de Gestió de la Seguretat de la Informació):

Estructura ISO 27001:2022 (Annex SL):

Clàusula 4: Context de l'organització
  4.1 Entendre l'organització i el seu context
  4.2 Entendre les necessitats i expectatives de les parts interessades
  4.3 Determinar l'abast del SGSI

Clàusula 5: Lideratge
  5.1 Lideratge i compromís de l'alta direcció
  5.2 Política de seguretat de la informació

Clàusula 6: Planificació
  6.1 Accions per a abordar riscos i oportunitats
  6.1.2 Avaluació de riscos de seguretat de la informació
  6.1.3 Tractament de riscos

Clàusula 7: Suport
  7.2 Competència
  7.3 Conscienciació
  7.5 Informació documentada

Clàusula 8: Operació
  8.2 Avaluació de riscos (periòdica)
  8.3 Tractament de riscos

Clàusula 9: Avaluació del rendiment
  9.1 Seguiment, mesura, anàlisi i avaluació
  9.2 Auditoria interna

Clàusula 10: Millora
  10.1 No conformitats i accions correctores
  10.2 Millora contínua

Cicle PDCA (Plan-Do-Check-Act)

flowchart LR
    P[PLAN\nEstablir el SGSI\nPolítica, riscos, controls] --> D
    D[DO\nImplementar i operar\nel SGSI] --> C
    C[CHECK\nMonitorar i revisar\nauditories internes] --> A
    A[ACT\nMillorar contínuament\naccions correctives] --> P

    style P fill:#2196F3
    style D fill:#4CAF50
    style C fill:#FF9800
    style A fill:#F44336

Annex A - Controls de Seguretat (ISO 27002:2022)

ISO 27001:2022 inclou 93 controls en 4 categories:

Categoria Nombre de controls Exemples
Organitzacionals 37 Polítiques, rols, gestió d'incidents
Persones 8 Formació, teletreballs, acords de confidencialitat
Físics 14 Control d'accés físic, paper shredding, CCTV
Tecnològics 34 Gestió d'identitats, criptografia, seguretat xarxes
## Exemples de controls tecnològics (ISO 27002:2022)

A.8.2 - Gestió d'identitats privilegiades
  → Principi de mínims privilegis, revisió periòdica d'accesos

A.8.7 - Protecció contra malware
  → Antivirus, EDR, control d'aplicacions

A.8.9 - Gestió de la configuració
  → Hardening, baseline de configuració

A.8.12 - Prevenció de pèrdua de dades (DLP)
  → Classificació d'informació, control d'USB

A.8.16 - Activitats de monitoratge
  → SIEM, revisió de logs

A.8.24 - Ús de criptografia
  → TLS, xifratge de discos, gestió de claus

Directiva NIS2 (2022/2555)

La Directiva NIS2 (Network and Information Security 2) actualitza la primera directiva NIS (2016) i amplia significativament el seu abast:

Qui ha de complir NIS2?

flowchart TD
    ORG[Organització] --> Q1{Sector\nessencial?}
    Q1 -->|Energia, Transport, Banca\nSalut, Infraestructura digital| ESSENTIAL[Entitat essencial]
    Q1 -->|Postal, Gestió residus\nFabricació, Alimentació| IMPORTANT[Entitat important]
    Q1 -->|Cap dels anteriors| NOTAPPLIES[No aplica NIS2]
    ESSENTIAL --> STRICTOBLIG[Obligacions estrictes\nSupervisió proactiva\nMultes fins 10M€ o 2% facturació]
    IMPORTANT --> OBLIG[Obligacions NIS2\nSupervisió reactiva\nMultes fins 7M€ o 1.4% facturació]

Obligacions NIS2

## Mesures mínimes (Art. 21 NIS2)

a) Polítiques de seguretat i gestió de riscos
b) Gestió d'incidents (prevenció, detecció, resposta)
c) Continuïtat del negoci (backup, DR, gestió de crisis)
d) Seguretat de la cadena de subministrament
e) Adquisició, desenvolupament i manteniment segurs
f) Avaluació de l'eficàcia de les mesures (auditing)
g) Ciberhigiene bàsica i formació
h) Criptografia i xifrat
i) Gestió de recursos humans i control d'accés
j) Autenticació multifactor (MFA)

## Notificació d'incidents (Art. 23 NIS2)

T+24h: Alerta prèvia a l'autoritat competent
T+72h: Notificació de l'incident
T+1 mes: Informe final

Esquema Nacional de Seguretat (ENS)

El ENS (Reial Decret 311/2022) és el marc de referència obligatori per a l'Administració Pública espanyola i els seus proveïdors:

Categories de seguretat ENS

Categoria ALTA: Greu dany en interessos nacionals, ordre públic, etc.
  → Controls molt estrictes, auditoria obligatòria

Categoria MEDIA: Dany significatiu en funcionament de l'organisme
  → Controls estrictes, autoevaluació

Categoria BÁSICA: Dany limitat en funcionament de l'organisme
  → Controls bàsics, autoevaluació simplificada

Dimensions de seguretat ENS (ACID)

A - Disponibilitat (Availability): El servei ha d'estar accessible
C - Confidencialitat (Confidentiality): Accés únicament als autoritzats
I - Integritat (Integrity): Dades correctes i no manipulades
D - Autenticitat (Authenticity): Verificació d'identitat
T - Traçabilitat (Traceability): Registre d'accions (no és ACID, és a part)

NIST Cybersecurity Framework (CSF 2.0)

El NIST CSF és el marc de referència de ciberseguretat dels EUA, adoptat àmpliament a tot el món per al sector privat:

flowchart LR
    GOVERN[GOVERN\nEstratègia, polítiques\nriscos de tota l'org] --> ID
    ID[IDENTIFICAR\nActius, riscos\nvulnerabilitats] --> PROTECT
    PROTECT[PROTEGIR\nControls tècnics\ni organitzacionals] --> DETECT
    DETECT[DETECTAR\nMonitoratge, SIEM\nalertament] --> RESPOND
    RESPOND[RESPONDRE\nPlans de resposta\na incidents] --> RECOVER
    RECOVER[RECUPERAR\nResiliència\ncontinuïtat] --> GOVERN

    style GOVERN fill:#9C27B0
    style ID fill:#2196F3
    style PROTECT fill:#4CAF50
    style DETECT fill:#FF9800
    style RESPOND fill:#F44336
    style RECOVER fill:#607D8B

Novetat CSF 2.0 (2024): Incorpora la funció "GOVERN" al centre, destacant que la ciberseguretat és una responsabilitat de tota l'organització, no sols del departament de TI.

SOC 2 Type II

SOC 2 (Service Organization Control 2) és l'auditoria de confiança per a empreses SaaS i proveïdors cloud:

5 Principis de Confiança (Trust Service Criteria):

1. Seguretat (Security) - OBLIGATORI
   → Controls per a prevenir accés no autoritzat

2. Disponibilitat (Availability)
   → SLAs, monitoratge, plans de recuperació

3. Integritat del processament
   → Dades processades correctament, sense errors

4. Confidencialitat
   → Protecció de dades confidencials

5. Privacitat
   → Gestió de dades personals (alineació amb RGPD)

Type I: Comprovació que els controls existeixen en un moment donat. Type II: Comprovació que els controls han funcionat correctament durant un perióde (mínims 6 mesos). Molt més valuós i demandat pels clients.

Miniactivitat

Una startup SaaS de facturació electrònica vol: - Vendre a empreses privades espanyoles → No necessita ENS - Vendre a ajuntaments i administracions → Necessita ENS - Vendre a empreses nord-americanes → Clients demanen SOC 2 Type II

Per a cada escenari, identifica quines normatives s'apliquen i quines 3 mesures tècniques concretes caldria implementar per a cada certificació.

Mapa de Normatives per Sector

Sector Normatives aplicables
Sanitat RGPD + LOPDGDD + NIS2 (essencial) + ENS (si pública)
Banca/Fintech RGPD + NIS2 + DORA + PCI-DSS
E-commerce RGPD + PCI-DSS
Administració pública RGPD + LOPDGDD + ENS + NIS2
Telco/Internet RGPD + NIS2 (essencial) + Llei 7/2022
Empresa industrial RGPD + NIS2 (si sector crític)
Startup SaaS RGPD + SOC 2 (si clients EUA)

Exercici pràctic

Analitza el cas d'un hospital públic de 500 llits:

  1. Identifica totes les normatives de ciberseguretat que li apliquen
  2. Per a cada normativa, indica els 3 requisits més importants
  3. Disenya un pla de compliment prioritzat per als propers 12 mesos (q1-q4)
  4. Identifica quins recursos (humans, tècnics, econòmics) serien necessaris

Lliura l'anàlisi en el document normativa_hospital_NOMCOGNOM.md.