- CCN-CERT
- Gestió d'Incidents
- Red Nacional de SOC
- Formació
- Guies
- Index de Guies
- Sèries completas
- Guies sense suport
- 900 Informes Técnicos
- 800 Guía Esquema Nacional de Seguridad
- 600 Guías de otros entornos
- 500 Guías de entornos Windows
- 400 Guías generales
- 300 Instrucciones técnicas
- 2000 Organismo de Certificación
- 200 Normas
- 1000 Procedimientos de empleo seguro
- 100 Procedimientos
- 000 Políticas
- Guías de Acceso Público
- Glossari de termes (CCN-STIC 401)
- Sèrie 800 (ENS)
- Últimes guies CCN-STIC
- Informes
- Solucions
- ENS
- Seguretat al dia
- Comunicació
- Comunicats CCN-CERT
- Jornades STIC
- Vídeo resum XI Jornades
- Vídeo resum X Jornades
- X Jornadas STIC CCN-CERT
- IX JORNADES DE SEGURETAT TIC DEL CCN-CERT
- I JORNADE STIC CCN-CERT
- II JORNADES DE SEGURETAT TIC DEL CCN-CERT
- III JORNADES DE SEGURETAT TIC DEL CNN-CERT
- IV JORNADE DE SEGURETAT TIC DEL CCN-CERT
- V JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VI JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VIII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- Vídeos
- Capacitats del CCN 2018-2019
- Aproximació espanyola a la ciberseguretat. CCN
- Vídeo compartir amenaces
- Vídeo desè aniversari
- Vídeo detecció i intercanvi
- Video presentació
- Centre Criptològic Nacional: 15 anys enfortint la ciberseguretat nacional
- Claus de el Centre Criptològic Nacional per a l'any 2020 en matèria de ciberseguretat
- Encuentro Sector Salud
- Informe d'Activitat del CCN
- Articles i reportatges
- Decàleg de Ciberseguretat
- Mes Europeo de la Ciberseguridad
- Registre
CURSOS CCN-STIC
I Hoja de Ruta en Ciberseguridad
Del 9 de enero al 30 de junio (Fase asíncrona: 120 h. - Fase síncrona: 60 h.)
XX Curso de Seguridad de las Tecnologías de la Información y las Comunicaciones (STIC)
Del 16 al 27 de enero (Fase asíncrona: 50 h.)
Del 30 de enero al 3 de febrero (Fase presencial: 25 h.)
Del 6 al 10 de febrero (Fase síncrona: 25 h.)
SÈRIES CCN-STIC
INFORMES
Informes de Codi maliciós (ID)
CCN-CERT ID-12/22 Quantum RansomwareInformes d'Amenaces (IA)
CCN-CERT IA-13/21 Ciberamenazas y Tendencias. Edición 2021Informes de Bones Pràctiques (BP)
CCN-CERT BP/28 Recomendaciones sobre Desarrollo SeguroAVISOS I ALERTES
VULNERABILITATS
Vulnerabilidad:
CCN-CERT-2303-34105
Drupal core - Moderately critical - Information Di...
EMPRESES
Catàleg de serveis
Sistema de Alerta Temprana, SAT de Internet
Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet
Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.
Guies SCADA
Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...
Inici
La AEPD aprueba las primeras normas corporativas vinculantes en el marco del RGPD
La Agencia Española de Protección de Datos ha aprobado las primeras normas corporativas vinculantes (BCR, por sus siglas en inglés) en el marco del Reglamento general de protección de datos (RGPD), siendo también una de las primeras que se aprueban a nivel europeo. En la tramitación de estas BCR la Agencia ha actuado como autoridad líder y ha contado con el informe favorable del Comité Europeo de Protección de Datos.
Las normas corporativas vinculantes son las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
El RGPD recoge, en su considerando 110, que “todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal”. Además, el RGPD dispone que la autoridad de control competente aprobará las BCR de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD cuando estas sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados; confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y cumplan los requisitos establecidos en el artículo 47.2 del RGPD.
AEPD (16/03/2020)
Publicado el Informe REINA 2019
- Se ha publicado el Informe REINA 2019, que presenta el análisis de los indicadores más significativos del sector TIC del año 2018 en la Administración General del Estado.
Ya está disponible para su consulta el informe REINA 2019 con el análisis de los indicadores más representativos de la situación y uso de los sistemas y tecnologías de la Información y Comunicaciones en la AGE, así como del personal TIC empleado. La información se ha actualizado a 31 de mayo de 2018, debido a que la aplicación del REINA sólo puede trabajar con una estructura ministerial y el 6 de junio se publicó el Real Decreto 355/2018, por el que se reestructuran los departamentos ministeriales.
La Comisión de Estrategia TIC (creada por Real Decreto 806/2014, de 26 de septiembre) tiene entre sus funciones "actuar como Observatorio de la Administración Electrónica y Transformación Digital" y es el responsable de la elaboración de éste Informe. REINA se viene publicando con periodicidad anual desde 1988.
Al igual que el año pasado esta edición de REINA 2019 no incluye el informe IRIA, ya que dicho estudio ha sido actualizado con objeto de contemplar las nuevas tendencias en Administración electrónica, y se publica por separado.
El informe se ha realizado en base a los datos que proporcionan las organizaciones de la Administración General del Estado, Organismos Autónomos, Entidades Gestoras y Servicios Comunes de la Seguridad Social, Agencias Estatales, Entidades Públicas Empresariales y otros Organismos Públicos participantes, en la aplicación REINA. En él se analizan diferentes aspectos relacionados con los gastos e inversiones TIC, el parque informático actualizado de la AGE, software utilizado y el personal efectivo destinado a competencias TIC.
Respecto a los resultados, durante el ejercicio 2018 en la Administración General del Estado, los gastos TIC alcanzaron los 1.415 millones de euros, cifra que representa un decremento del 1,74% frente a los 1.440 de 2017. Sigue de este modo la tendencia a la baja del año anterior, situándose por debajo de la cifra de 2013 que marca el punto más bajo de los últimos ocho años.
El volumen total de gastos informáticos fue de 1.133 millones de euros un 4,23% inferior al pasado año 2017. Los gastos en telecomunicaciones fueron de 282 millones de euros un 9,73% más que en 2017.
Un dato de interés es conocer cuánto del presupuesto total de los Ministerios se ha destinado a los gastos TIC. El indicador global se sitúa en un 3,28 %, lo que supone un descenso de casi seis décimas porcentuales con respecto al año 2017.
Cabe señalar, que la partida de "personal" disminuye, respecto al año anterior, en prácticamente todos los Ministerios, a excepción del Ministerio de Interior; alcanzando casi los 233 millones de euros, al contrario que la partida de "servicios" que aumenta la partida en el 78% de los Ministerios, hasta casi los 585 millones de euros. En 11 de los 13 Ministerios esta es la partida con más porcentaje dentro de los gastos informáticos.
El esfuerzo presupuestario que los Departamentos hacen en gastos informáticos, se muestra en la relación entre este gasto y la suma de los capítulos 1, 2 y 6 de los Presupuestos Generales del Estado. En este año 2018 el indicador global se sitúa en el 2,63% notablemente menor que el 3,12% de 2017.
Las cifras recogidas en el informe REINA se publican también en los formatos procesables XLSX y ODS que forman parte de nuestra política RISP. El informe completo puede descargarse en el Observatorio de Administración Electrónica.
Más información:
Portal de Administración Electrónica (06/03/2020)
ENISA publica una guía de contratación de ciberseguridad para hospitales
- En este informe, en cuya elaboración y desarrollo ha participado el Centro Criptológico Nacional, se ofrecen directrices y buenas prácticas para los hospitales a la hora de adquirir servicios, productos e infraestructuras.
ENISA, la agencia europea de ciberseguridad, ha publicado una nueva guía de buenas prácticas para hospitales (Cybersecurity Procurement Guide for Hospitals), en cuya elaboración y desarrollo ha participado el Centro Criptológico Nacional (CCN). En este documento, la agencia ofrece una serie de directrices para la adquisición segura de servicios, productos, material e infraestructuras en el entorno sanitario.
Todas las buenas prácticas están vinculadas a los tipos de adquisición para los que son pertinentes y a las amenazas que pueden mitigar, proporcionando un conjunto de prácticas fáciles de filtrar para los hospitales que deseen centrarse en aspectos concretos.
A medida que la ciberseguridad se convierte en una prioridad para los hospitales, es esencial que se integre de forma holística en los diferentes procesos, componentes y etapas que influyen en el ecosistema de las TIC sanitarias.
La adquisición de servicios, productos, etc. es un proceso clave que configura el entorno de las Tecnologías de la Información y la Comunicación (TIC) de los hospitales modernos y, como tal, debe estar en primera línea cuando se trata de cumplir los objetivos de la ciberseguridad.
Más información:
Varios sitios infectados por MageCart Group
- Un grupo de investigadores han encontrado código JavaScript dañino en 9 páginas web de compras online, cuyo objetivo era robar datos de tarjetas de crédito.
Un grupo de investigadores de RiskIQ han descubierto un total de 9 páginas web infectadas con un JavaScript dañino que robaba los datos de las tarjetas de crédito de los clientes que realizaban compras. Algunas incluso han sido infectadas en más de una ocasión pese a los esfuerzos de los investigadores por comunicarles el problema que les afectaba.
Todo se debe a la actuación de MageCart Group 12, un grupo de ciberdelincuentes que están evolucionando sus tácticas según salen a la luz sus métodos de actuación. La actividad de este grupo ya había sido descubierta a finales del mes de enero, afectando a dos vendedores de entradas afectados por esta brecha de seguridad o card skimming code como se le conoce en inglés.
Los responsables de detectar las 9 webs infectadas se dieron prisa en avisar a los afectados, pero ninguno de ellos les contestó. De hecho, se ha constatado que sólo uno de los afectados limpió la web de código malicioso y que este sigue vigente en los otros 8. Sorprende la pasividad de las webs que no ha atendido a la alerta de seguridad pese a que el comercio online es su actividad principal.
Más información: Bleeping Computer
Mapa web
© 2023 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
