CANAL RED FEMP POR LA TRANSPARENCIA Y LA PARTICIPACIÓN

El Equipo de Formación del CCN-CERT recuerda que el periodo de inscripción para los Cursos STIC del segundo semestre del año 2023 permanecerá abierto hasta las 23:59 h. del próximo miércoles 14 de junio de 2023.

Mediante la Resolución de 25 de mayo de 2023 del Instituto Nacional de Administración Pública (INAP) se convocan acciones formativas en materia de seguridad de las tecnologías de la información y las comunicaciones (STIC).

El Encuentro tendrá lugar el próximo 29 de junio en modalidad presencial en la Fábrica Nacional de Moneda y Timbre de Madrid. Además, el programa del evento se retransmitirá en directo de forma online.

El programa del V Encuentro del ENS se puede consultar en la página web de los Encuentros CCN.

El Equipo de Formación del Centro Criptológico Nacional le invita a participar en un nuevo webinar este jueves, 1 de junio, a las 10:00 horas. Este seminario, titulado Gobernanza-µCeENS, tendrá una duración de 90 minutos aproximadamente y en él se dará a conocer la metodología µCeENS.

El objetivo es explicar cómo la metodología µCeENS posibilita que los sistemas de información de organizaciones con limitaciones para abordar por sí solas el proceso de adecuación, puedan obtener la Certificación de Conformidad en el Esquema Nacional de Seguridad (ENS) en base a un Perfil de Cumplimiento Específico (PCE).

El plazo de solicitud finalizará el miércoles 31 de mayo.

Enlace al formulario de inscripción: https://angeles-privado.ccn-cert.cni.es/registro-cursos/webinar-gobernanza-microceens

Los profesionales de la ciberseguridad, que estén interesados en participar como ponentes en el V Encuentro del ENS, podrán enviar hasta este jueves 1 de junio su propuesta de ponencia a través del formulario habilitado en la web del evento.

Los Encuentros CCN acogerán la celebración en exclusiva del V Encuentro del Esquema Nacional de Seguridad (ENS), en modalidad presencial y con retransmisión online.

Ya está disponible, en el canal de YouTube del CCN-CERT, todo el material videográfico de las ponencias y talleres de las III Jornadas STIC Capítulo República Dominicana, celebradas en Punta Cana del 19 al 21 de abril.

El Centro Criptológico Nacional (CCN) ha publicado en su canal oficial de YouTube el material audiovisual de las III Jornadas STIC Capítulo República Dominicana, que se celebraron en Punta Cana del 19 al 21 de abril.

Bajo el lema “Un ciberescudo único para Iberoamérica. El intercambio es la clave”, las Jornadas #STICPUNTACANA contaron con la participación de 72 ponentes, de 14 países y lograron reunir a más de 450 profesionales del sector de la ciberseguridad de forma presencial y a una audiencia en remoto superior a los 1.000 usuarios únicos procedentes de 32 países.

Ya está disponible en el portal del CCN-CERT el nuevo BP/14 con las recomendaciones para definir y elaborar la Declaración de Aplicabilidad de acuerdo con el Perfil de Cumplimiento Específico.

El Centro Criptológico Nacional (CCN) ha publicado el nuevo informe de Buenas Prácticas “BP/14: Declaración de Aplicabilidad en el ENS” en castellano, inglés y francés con el objetivo de ayudar a los organismos públicos a definir y a categorizar su Declaración de Aplicabilidad (DdA). Esta práctica representa el paso previo a la elaboración del plan de adecuación a la normativa y a la implementación de las medidas de seguridad, por lo que resulta esencial para proteger los activos y reducir los costes futuros de cualquier organización.

Este año, los Encuentros CCN acogerán la celebración exclusiva del V Encuentro del ENS, que se celebrará en modalidad presencial y con retransmisión online.

Los profesionales de la ciberseguridad interesados en participar como ponentes en este evento pueden enviar, hasta el 01 de junio, su propuesta de ponencia.

El formulario de registro para asistir al evento se habilitará a partir del 05 de junio en la web oficial.

El Equipo de Formación del Centro Criptológico Nacional le invita a participar en un nuevo webinar el próximo jueves 18 de mayo a las 10:00 horas. En esta ocasión, el tema principal tratará sobre “La amenaza interna, cómo detectarla a tiempo y protegerse”.

En el transcurso de la sesión, un experto analizará las crecientes amenazas internas desde su origen —ya sea por acciones conscientes del propio empleado, como por descuidos o suplantaciones de identidad— y ofrecerá las claves para detectarlas y protegerse ante ellas.

El plazo de solicitud finalizará el miércoles 17 de mayo.

Enlace al formulario de inscripción: https://angeles-privado.ccn-cert.cni.es/registro-cursos/webinar-amenaza-interna

El principal objetivo del ENS, desde su primer desarrollo en 2010, ha sido mejorar la ciberseguridad del sector público español.

Toda la información de este Esquema puede encontrarse en el portal del ENS, recientemente actualizado.

El 4 de mayo de 2022, hace un año, el Boletín Oficial del Estado publicaba el Real Decreto 311/2022 por el que se regulaba el Esquema Nacional de Seguridad, ENS. Este RD venía a actualizar por segunda vez el ENS (desarrollado en 2010) y se enmarcaba en el paquete de actuaciones urgentes, adoptado el 25 de mayo de 2021, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.

Publicada la Guía CCN-STIC 105 con la actualización del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación.

El CCN-CERT, del Centro Criptológico Nacional, anuncia la actualización de la la guía CCN-STIC 105, correspondiente al Catálogo de Productos y Servicios STIC (CPSTIC), que recoge un listado de productos aprobados para el manejo de información clasificada y de productos y servicios cualificados para el manejo de información sensible bajo el alcance del ENS.

Más información:

Guía CCN-STIC 105: “Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación”

Fecha de publicación: 27/04/2023

En las últimas semanas, el CCN-CERT ha tenido conocimiento de varios incidentes con el ransomware Blackcat en los que el vector de entrada a la red de la víctima ha sido un acceso remoto en el que los atacantes han usado credenciales legítimas de proveedores de servicios de TI, previamente comprometidas. En algunos casos, dichas credenciales otorgaban a los atacantes privilegios de administración, lo que les facilita el movimiento lateral y el despliegue de sus herramientas.

Tras el acceso inicial, los atacantes extraen información de las redes de las víctimas y despliegan código dañino de tipo ransomware, sometiendo a continuación a las entidades afectadas a una doble extorsión tras amenazarles con publicar la información robada.

La nueva página mejora la accesibilidad de la versión web del Catálogo para agilizar la consulta de productos y servicios incluidos en el CPSTIC, que ofrecen unas garantías de seguridad contrastadas por procesos de evaluación y/o certificación.

Además de recoger de forma detallada el procedimiento a seguir por parte de las empresas para incorporar nuevos productos y/o servicios al Catálogo, la nueva web cuenta con nuevas secciones para promover el empleo del CPSTIC en la Administración.

Técnicos del Centro Criptológico Nacional exponen el planteamiento común de seguridad para hacer frente a estas amenazas.
La Diputación de Soria, en colaboración con el Centro Criptológico Nacional y la FEMP, ha organizado el curso de formación ‘Esquema Nacional de Seguridad (ENS) para responsables de ciberseguridad de las entidades locales’.
A lo largo de tres jornadas de formación, los técnicos de los ayuntamientos de la provincia se forman sobre cuestiones relacionadas con la seguridad en los sistemas informáticos de tratamientos de datos de los ayuntamientos y sobre el ENS, que proporciona al sector público un marco de acción común para actuar frente a las amenazas tecnológicas.

La vicepresidenta segunda y consejera del área de Presidencia, Hacienda y Modernización, Berta Pérez, puso en valor los trabajos realizados durante el mandato para hacer del Cabildo una administración del siglo XXI encaminada a mejorar la calidad de la atención que se presta a la ciudadanía y promover la modernización de las administraciones locales.
El Cabildo es una de las cuatro administraciones españolas de su mismo nivel que dispone de la certificación del Centro Criptológico Nacional, dependiente del CNI. Además, Tenerife cuenta con 11 de los 30 ayuntamientos de todo el país que tiene esta misma certificación gracias al proyecto impulsado por la Corporación insular.

Durante el acto, el Centro Criptológico Nacional entregó la certificación del Esquema Nacional de Seguridad al Cabildo de Tenerife,  así como a los ayuntamientos de El Rosario, El Sauzal, Garachico, La Matanza, San Juan de la Rambla y Tegueste, que se unen  a otros cinco ayuntamientos de menos de 20.000 habitantes acreditados el año pasado gracias al apoyo de la Corporación insular.

El Centro Nacional de Inteligencia y Centro Criptológico Nacional (CNI-CCN), adscrito al Ministerio de Defensa, y Amazon Web Services (AWS) han firmado un acuerdo de colaboración estratégica para impulsar de forma conjunta la ciberseguridad y la innovación del sector público a través de la tecnología en la nube de AWS.
En el marco de esta alianza, AWS ayudará al CNI-CCN a definir la hoja de ruta de seguridad de las administraciones públicas, con distintos niveles de madurez, y a cumplir sus requisitos de seguridad y el Esquema Nacional de Seguridad, según ha informado la multinacional tecnológica este jueves en una nota de prensa.

Ya está disponible en el portal del CCN-CERT, el nuevo informe de Buenas Prácticas BP/29 sobre Gestión de crisis para incidentes de ciberseguridad en entidades locales para complementar las capacidades desarrolladas por la entidad en materia de prevención de riesgos, seguridad y continuidad de los servicios.
El Centro Criptológico Nacional (CCN) ha publicado el nuevo informe de Buenas Prácticas BP/29 Gestión de crisis para ciberincidentes en entidades locales con el objetivo de diseñar, desarrollar e implantar un modelo de gestión de crisis que complemente las capacidades que haya desarrollado la entidad local en prevención de riesgos, en seguridad en la continuidad de los servicios.
Una entidad local resiliente debe contemplar todo el ciclo: prevención, preparación, detección, respuesta, recuperación y aprendizaje. Esta Guía muestra un método para la gestión de las crisis cuando éstas ocurren. Se centra en la respuesta y para ello presta especial atención a los elementos clave que deben prepararse con antelación y que configuran las capacidades para responder adecuadamente a un incidente de alto impacto.

Once organismos públicos participan en un nuevo proyecto piloto de la Red Nacional de SOC para impulsar el intercambio de información sobre ciberincidentes
Este proyecto tiene como objetivo mejorar las capacidades de detección y respuesta dentro de la RNS mediante la integración de nuevas herramientas a la plataforma.
El Centro Criptológico Nacional ha puesto en marcha una iniciativa para consolidar el despliegue de la Red Nacional de Centros de Operaciones de Ciberseguridad. En este nuevo proyecto piloto participan once organismos públicos para impulsar el intercambio de información relativa a incidentes.
Esta iniciativa tendrá como objetivo mejorar las capacidades de detección y respuesta dentro de la Red Nacional de SOC, integrando nuevas herramientas a la plataforma para la incorporación de información de eventos e incidentes de seguridad, así como de vulnerabilidades obtenidas de las herramientas SIEM y de gestión de vulnerabilidades.

El Secretario General de la FEMP y la Secretaria de Estado Directora del Centro Nacional de Inteligencia, Esperanza Casteleiro, han inaugurado en la Federación la Jornada sobre Ciberseguridad en Entidades Locales.
En el marco del encuentro se ha presentado la Guía para la Gestión de Crisis para Ciberincidentes en las Entidades Locales, un documento abierto destinado a facilitar a los responsables las herramientas que refuercen la ciberseguridad en la Administración Local.

Prevención y capacidad de reacción ante los ciberataques son las herramientas con las que cuentan tanto los Gobiernos Locales como el resto de las Administraciones a la hora de garantizar la prestación de servicios públicos y confiables para la ciudadanía. Así lo han asegurado el Secretario General de la FEMP, Carlos Daniel Casares, y la Secretaria de Estado, Directora del Centro Nacional de Inteligencia, CNI, Esperanza Casteleiro, en sus intervenciones de apertura de la Jornada sobre Ciberseguridad en Entidades Locales, organizada por ambas organizaciones. En el marco de este encuentro se ha presentado la “Guía para para la Gestión de Crisis para Ciberincidentes en las Entidades Locales”.
En su intervención, el Secretario General de la FEMP ha destacado los logros de la colaboración mantenida desde 2008 entre la Federación y el Centro Nacional de Inteligencia, CNI, y el Centro Criptológico Nacional, CCN. Y, según ha explicado, la importancia de esta relación a día de hoy, cuando “se suceden los ataques cibernéticos” en una Administración Local en la que la tecnología está cada día más presente tanto en su funcionamiento como en la prestación de servicios a la ciudadanía, está en “disponer de un escudo permanente tanto para la prevención como para la resolución de incidentes”. “Poder contar con la colaboración del CNI supone “la mejor garantía en el diseño y la implementación de las políticas de seguridad telemática”.

En los últimos años los Ayuntamientos, las Diputaciones Provinciales, los Cabildos Insulares, etc . , han implementado medidas para que cada vez más servicios públicos estén disponibles digitalmente, se depende de internet para las interacciones y transacciones cotidianas, se dispone de un mayor número de elementos tecnológicos, desde aplicaciones móviles y servicios en la nube, así como de una gran diversidad de dispositivos electrónicos, el personal desarrolla una buena parte de sus actividades telemáticamente...
El incremento del uso de los medios electrónicos por parte de nuestras entidades locales hace imprescindible garantizar la protección de sus capacidades tecnológicas, la información tratada y los servicios prestados, los cuales, por su proximidad a la ciudadanía, es imprescindible que
mantengan su plena operatividad.
Las entidades locales son susceptibles de sufrir un ciberataque, no es cuestión de preguntarse si ocurrirá, sino de cuándo y de si, para entonces, estaremos suficientemente preparados para responder adecuada y organizadamente.

La ciberseguridad es imprescindible, pero la adecuada gestión de una cibercrisis es también vital para que la ciudadanía confíe en sus ayuntamientos: todos deben revisar, actualizar y reforzar continuamente su
ciberseguridad, pero también deben desarrollar sus capacidades para gestionar una cibercrisis.
Este documento va dirigido especialmente a los cargos y órganos directivos de las entidades locales, ya sean cargos electos o de función pública (Alcalde/sa, Presidente/a de Diputación, Tenientes de Alcalde, Junta de Gobierno Local, Concejales/as, Responsable de comunicación, Secretarios/as, Interventores/as y Tesoreros/as).

• Descarga la Guía.

6 de marzo de 2023. 10:00 h.
Se retransmitirá por streaming en el canal de youtube de la FEMP:
10:00- 10:45. Inauguración Oficial: El convenio CCN-FEMP herramienta de colaboración para la mejora de la ciberseguridad de las Entidades Locales
.• Dña. Esperanza Casteleiro, Secretaria de Estado Directora del Centro Nacional de Inteligencia
• D. Carlos Daniel Casares, Secretario General de la Federación Española de Municipios y Provincias.
10.50 - 11:30. Presentación de la Guía para la gestión de crisis para ciberincidentes en las Entidades Locales.
• D. Pablo López, Jefe Área Normativa y Servicios de Ciberseguridad del CCN
• D. José Luis Garrote. Subdirector de Modernización Administrativa de la FEMP.
11:30- 12:30 Mesa redonda. La necesidad de reforzar la ciberseguridad en las Entidades Locales
Intervienen:
• D. Javier de la Villa, Jefe de Explotación del Servicio TIC - Responsable de Seguridad de la Información de la Diputación Provincial de León.
• Dña. Virginia Moreno, Directora General Nuevas Tecnologías e Innovación del Ayuntamiento de Leganés.
• D. Javier Candau, Jefe de Departamento en Centro Criptológico Nacional
Modera: D. Pablo Bárcenas, Secretario de la Comisión de Sociedad de la Información, Innovación Tecnológica y Agenda Digital de la FEMP
12:30 Clausura de la jornada

Ya está disponible en el portal del CCN-CERT, la última versión de la guía de seguridad de las TIC 852 sobre el perfil de cumplimiento específico de organismos pagadores en el marco del Esquema Nacional de Seguridad.
El Centro Criptológico Nacional (CCN) ha actualizado la guía de seguridad de las TIC 852 sobre el perfil de cumplimiento específico de organismos pagadores para facilitar la conformidad con el Esquema Nacional de Seguridad (ENS).
Esta guía es el resultado de la aplicación del artículo 30 del Real Decreto 311/2022, de 3 de mayo, en base a lo cual y conforme a los principios de proporcionalidad y eficiencia y eficacia, se presenta el Perfil de Cumplimiento Especifico de Organismos Pagadores y de Coordinación, particularizando y adaptando determinados requisitos del Esquema Nacional de Seguridad para estos sujetos.

La Deputación da Coruña y el Centro Criptológico Nacional están proporcionando formación a ayuntamientos de la provincia para hacer frente a los ciberataques. Según ha señalado la institución en un comunicado, el objetivo del curso es la capacitación de los asistentes para la adopción del Esquema Nacional de Seguridad como herramienta facilitadora de la seguridad de sus sistemas informáticos.
Este curso está compuesto de tres jornadas de formación en la que técnicos de los ayuntamientos de la provincia se formarán para proporcionar al sector público un marco de acción común para hacer frente a las ciberameazas.

A partir del próximo viernes 3 de marzo estará disponible una nueva versión de la solución de Automatización y Normalización de Auditorías, ANA, en la que se incluyen nuevos módulos, funcionalidades y mejoras, tanto para ANA Central como para ANA On-Premise. La instalación de las actualizaciones se realizará durante los días 1 y 2 de marzo, de forma que esta nueva versión estará disponible a partir del próximo viernes 3 de marzo. Como consecuencia de esta actualización, es posible que se produzcan cortes en el servicio en las fechas previstas para la actualización.
Entre las mejoras de esta nueva versión, se ha incluido en el módulo de Automatización, la opción de utilizar OpenVAS como herramienta para el diagnóstico de seguridad de la infraestructura de la organización, permitiendo su ejecución periódica y automatizada desde ANA, donde se mostrarán los resultados del análisis de forma consolidada junto al resto de análisis realizados mediante el uso de otras herramientas.

Ya está disponible en el portal del CCN-CERT un nuevo Abstract sobre lecciones aprendidas y recomendaciones para el desarrollo seguro de aplicaciones que cubre todo su ciclo de vida
El Centro Criptológico Nacional (CCN) ha publicado el nuevo Abstract “Lecciones aprendidas y recomendaciones de seguridad en el desarrollo de aplicaciones” para aplicar ciberseguridad en todo el ciclo de vida de las mismas.
La ciberseguridad consiste en la protección de sistemas, redes y datos contra el acceso no autorizado, el uso indebido y/o disrupción de servicios y otros tipos de amenazas. Su objetivo es no solo aplicar diferentes sistemas de seguridad a fin de prevenir y contrarrestar dichos ataques, sino también educar y capacitar a los usuarios sobre cómo evitar riesgos innecesarios.