Procesia

la transformación digital es un proceso constante un cambio de mentalidad una necesidad para todo tipo de organizaciones

Términos

Cada día aparecen nuevos términos y conceptos en torno a la modernización y digitalización de las administraciones públicas en España. Otros en cambio caen en desuso. Por eso queremos compartir contigo este listado ‘vivo’ de términos, que actualizamos y enriquecemos constantemente en Procesia, con el fin de seguir aprendiendo y adaptándonos a un sector cada vez más cambiante.

Anonimización APT Big Data Blockchain Blue team CAdES Cartulario CAU Ciberguerra Ciberinteligencia Ciberseguridad Ciclo vida software Cloud Compliance Officer Criptografía Cyberinnovation challenge DLP DPD DPO Due diligence eAdministración eIDAS Endoso ENS Escrow Gap analysis GRC INES ISO Inteligencia Artificial Lexnet Magerit Machine Learning OTP PAdES RDLOPD Red team RGPD SaaS Scrum SedJude Seudonimización SGSI Sprint planning SSE-CMM Test de intrusión Timestamping Vulnerabilidades Web hacking XAdES

Anonimización

Disociación de datos personales, ruptura total de los datos a tratar con los datos identificativos de las personas.

APT

“Advanced Persistent Threat” o “Amenaza Avanzada Persistente”, es un tipo de ciberataque o ciberamenaza sofisticada y compleja de combatir.

Big Data

Mecanismos capaces de procesar y gestionar datos de fuentes iguales o no con el objetivo de buscar patrones repetitivos modelos predictivos o incluso relaciones entre ellos.

Blockchain

Estructura de datos, también conocida como “cadena de bloques”, cuya información se agrupa en bloques o nodos de una red a los que se les integran metainformaciones de otro bloque de la cadena anterior en una línea temporal. Así la información contenida en un bloque solo puede ser editada

Blue team

Práctica de defensa contra ciberataques, compuesto por un conjunto o capas de medidas, de manera que si falla una, otra reduce la exposición y mitiga el impacto.

CAdES

Siglas de “CMS Advanced Electronic Signatures”. Se trata de una serie de extensiones de datos firmados con sintaxis de mensajes criptográficos, que cumplen con todos los requisitos legales de la Directiva para firma electrónica avanzada. Este formato permite que los documentos firmados electrónicamente puedan seguir siendo válidos durante largos períodos.

Cartulario

Plataforma multiusuario, disponible en modalidad “cloud computing” o “nube TIC”, que permite una rápida puesta en marcha de las soluciones de confianza digital.

CAU

Centro de Atención al Usuario. Soporte equipado con personal, tecnología y procesos orientados a ayudar a los usuarios en su relación diaria con la tecnología.

Ciberguerra

También denominada “guerra informática” o “guerra digital”, es el conflicto o enfrentamiento cuyo campo de operaciones son los sistemas y tecnologías de comunicación e información.

Ciberinteligencia

Actividades de inteligencia en los procesos de ciberseguridad encargados del análisis, prevención, identificación, localización y atribución de ataques o amenazas a través del ciberespacio.

Ciberseguridad

También conocida como “seguridad digital” o “seguridad de la información”. Son medidas de protección para los sistemas y dispositivos de una organización -además de para todos los archivos de información que procesa, transporta y almacena- ante amenazas o ataques informáticos.

Ciclo vida software

Referido a las diferentes fases necesarias para validar un software respecto a la definición de requisitos del mismo asegurando que los métodos utilizados para ello son los apropiados, subyace de este término la diferentes metodologías o marcos comunes utilizados, cada una de estas metodologías contemplan sus diferentes fases e iteraciones. Entre los diferentes modelos destacan: Cascada, Espiral, Iterativo, Ágil etc.

Cloud

Paradigma que permite ofrecer servicios de computación alojados y/o a través de la una red (Internet), hay diversos fabricantes como Azure, Amazon o Google entre otros.

Compliance Officer

Figura de vigilancia y control encargada de asegurar el cumplimiento de las regulaciones normativas o de cualquier tipo de legislación relacionada con el sector de la organización a la que pertenece.

Criptografía

Técnica de protección de datos y documentos, basada en la utilización de cifras o códigos para escribir información secreta o confidencial.

Cyberinnovation challenge

Desafío formativo dirigido a usuarios interesados en áreas de tecnología e innovación.

DLP

Siglas de “Data Loss Prevention”, sistemas de prevención de pérdida de datos de una organización.

DPD

Delegado de Protección de Datos, también conocido como DPO en inglés, Data Protection Officer, encargado de la supervisión del cumplimiento de la normativa en materia de protección de datos personales en organizaciones y administraciones públicas.

DPO

Data Protection Officer” o “Delegado de Protección de Datos”, figura encargada de garantizar el cumplimiento de la normativa de protección de datos en una organización.

Due diligence

Investigación elaborada por auditores externos, que examinan las distintas áreas de una empresa para determinar si cumple con sus obligaciones y no existen riesgos legales derivados de su actividad.

eAdministración

Incorporación de las TIC (Tecnologías de la Información y la Comunicación) en las administraciones públicas.

eIDAS

Sistema europeo de reconocimiento de identidades electrónicas, “electronic IDentification, Authentication and trust Services”. Reglamento de la UE sobre normas para la identificación electrónica y servicios de confianza para transacciones electrónicas.

Endoso

Acto por el cual una persona transfiere a otra el poder de realizar un acto jurídico a su nombre o transferir la propiedad de un documento.

ENS

Esquema Nacional de Seguridad, en el ámbito de la Administración Electrónica.

Escrow

Cuenta o contrato de depósito que, en una compraventa, asegura el pago al vendedor y el bien o servicio al comprador. Este mecanismo es conocido también como fideicomiso.

Gap analysis

Estudio que determina la situación actual de una empresa y define las metas que se desean alcanzar en un futuro.

GRC

Abreviatura de “Governance, Risk&Compliance” -Gobierno corporativo, gestión de riesgos y cumplimiento-, nombre que agrupa a todas las medidas que garantizan un desarrollo sin incidentes, orientado a objetivos y conforme a la ley de todas las actividades de la organización.

INES

Informe Nacional del Estado de Seguridad. Proyecto que facilita la labor de evaluación del estado de seguridad de los sistemas por parte de las Administraciones Públicas. Cuenta con una plataforma telemática que proporciona a todas ellas un conocimiento más rápido de su nivel de adecuación al ENS y del estado de seguridad de sus sistemas.

ISO

Es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de normalización.

Inteligencia Artificial

Imitación de funciones cognitivas por una máquina, aunque el padre de esta disciplina fue Alan Turing, el término fue acuñado por John McCarthy que a su vez inventó el lenguaje de programación LISP.

Lexnet

Sistema de intercambio electrónico seguro de documentos legales, tales como notificaciones, escritos de trámite y escritos iniciadores de asunto, entre oficinas judiciales y operadores legales.

Magerit

Metodología elaborada por el Consejo Superior de Administración Electrónica del Gobierno de España para minimizar los posibles riesgos y vicisitudes de la implantación y uso de las TIC en las administraciones públicas.

Machine Learning

Subcampo de las ciencias de la computación, concretamente de la Inteligencia artificial, cuyo objetivo es desarrollar técnicas que permitan a las computadoras aprender.

OTP

One-Time Password”. Contraseña de un solo uso, válida únicamente para una autenticación.

PAdES

Formato de firma electrónica, PDF Advanced Electronic Signature, a través del cual el destinatario puede comprobar fácilmente tanto la firma como el documento firmado.

RDLOPD

Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos.

Red team

Ejercicio consistente en la simulación de un ciberataque dirigido a una organización, llevado a cabo por un grupo interno o externo a la misma, sin previo aviso, en el que se comprueba la posibilidad de acceso a los sistemas y el cómo comprometerlos.

RGPD

Reglamento General de Protección de Datos, marco jurídico aplicable en todos los estados miembros de la Unión Europea y que tiene prioridad sobre las legislaciones nacionales.

SaaS

Término referente a “software como servicio”. Es una solución de software integral, que permite a los usuarios utilizar las aplicaciones que necesiten a través de la nube, como correo electrónico, calendarios, ofimática, etc.

Scrum

Proceso en el que se aplican una serie de buenas prácticas de trabajo colaborativo, para equipos altamente productivos, con el fin de obtener el resultado óptimo de un proyecto.

SedJude

Siglas de la Sede Judicial Electrónica.

Seudonimización

Tratamiento de datos personales que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional. Esta debe figurar por separado y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a un sujeto físico identificado o identificable.

SGSI

Sistema de Gestión de Seguridad de la Información. Herramienta que permite a las organizaciones conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información.

Sprint planning

Reunión inicial, de planificación de tareas, según la guía de Scrum.

SSE-CMM

“System Security Engineering Capability Maturity Model”; modelo de evaluación de las características esenciales de los procesos que deben existir en una organización para asegurar una óptima seguridad de sistemas.

Test de intrusión

Conjunto de técnicas y métodos que permite simular un ataque real a los sistemas de información de una organización con el fin de determinar su nivel de fortaleza y seguridad. También se denomina como “pentest”.

Timestamping

Protocolo conocido como “sellado digital de tiempo”. Se trata de un mecanismo en línea, que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo.

Vulnerabilidades

Término que se utiliza en el contexto de la seguridad informática, en diferentes contextos. Normalmente son errores, problemas en el código o configuración de un software.

Web hacking

Detección y explotación de vulnerabilidades de seguridad en redes o sistemas.

XAdES

“XML Advanced Electronic Signatures”. Familia de firmas electrónicas avanzadas, basadas en formatos XML, que permiten el intercambio de información entre sistemas automatizados.

Formación

01

Introducción a la Gobernanza de Seguridad de la Información

La alta dirección es por tanto responsable de abordar estos temas, y hacer de la seguridad de la información una materia alineada con el gobierno de las TI y por tanto dentro del gobierno corporativo de la empresa.

El objetivo de este curso es dar a conocer los conceptos fundamentales que los responsables y directivos de las organizaciones deben de tener en cuenta para llevar a cabo la implantación de un plan de gobernanza, así mismo se presentan los pasos a seguir para el desarrollo de dicho plan.

Temario

  • El entorno actual de la seguridad de los sistemas de información
  • Conceptos fundamentales sobre la gobernanza de la seguridad de la información
  • Evolución del gobierno de la seguridad de la información
  • Modelo de madurez en el gobierno de la seguridad de la información
  • Componentes de la arquitectura de seguridad de los sistemas de información en una organización
  • Necesidad de la auditoría para el gobierno de seguridad de la información

Duración aproximada: 2 horas
Formación: in company / presencial

02

Auditoría de los Sistemas de Información: Auditoría del SGSI y de controles generales

A medida que las organizaciones privadas y públicas van extendiendo sus actividades al ciberespacio, crecen los incidentes de seguridad de la información, muchos de los cuales tienen graves consecuencias directas e indirectas para las organizaciones afectadas.

En la actualidad la seguridad de la información utilizada por cualquier organización se ha convertido en un objetivo estratégico, tanto más importante cuanto mayor sea el número y criticidad de las actividades que la organización lleva a cabo haciendo uso de Internet. Para dotarse de mayor seguridad, las organizaciones siguen distintas estrategias, como implantar un SGSI y mejorar permanentemente sus controles internos.

Sin embargo, no basta con estas implementaciones, pues es necesario verificar periódicamente que tanto el SGSI como los controles utilizados están funcionando correctamente y cumplen con las exigencias de seguridad previstas. La herramienta fundamental disponible para llevar a cabo dicha verificación es la auditoría.

La auditoría tiene como punto de partida el análisis de los riesgos, por lo que es un requisito previo que los asistentes a este curso tengan conocimientos generales del AGR.

Temario

  • La primera sesión tiene como objetivo general dar a conocer el proceso general de auditoría de los sistemas de gestión siguiendo los estándares de ISO y en particular la auditoria de certificación de un SGSI según el estándar ISO 27001
  • La segunda sesión tiene como objetivo mostrar los controles generales de seguridad más utilizados por las organizaciones que tienen implantado o desean mejorar el esquema de control interno.

Duración aproximada: 4 horas
Formación: in company / presencial

03

Análisis y Gestión de Riesgos de los Sistemas de Información

El análisis de riesgos no exige una formación específica dentro de las tecnologías de la información. Sin embargo, para llevarlo a cabo es necesario conocer con profundidad la problemática de los aspectos o áreas que vamos a analizar y la calidad del resultado del análisis dependerá sobre todo de la experiencia, conocimientos, técnicas utilizadas y capacidad analítica de las personas que realicen el trabajo.

Además de los aspectos técnicos de infraestructura, bases de datos, comunicaciones y otros, no hay que olvidar que es básico el conocimiento de los aspectos organizativos o de gestión, puesto que muchas veces es en éstos donde se presentan las vulnerabilidades más importantes.

Las técnicas o metodologías que se apliquen para la gestión de riesgos se deben basar en el conocimiento de las mismas, en fundamentos técnicos y la gestión de las tecnologías de la información. También hay que destacar que el análisis de riesgos es un trabajo, que por su propia naturaleza, es imprescindible desarrollar en equipo.

El curso no está enfocado a enseñar una metodología concreta y completa para el análisis de riesgos, sino que su principal objetivo es transmitir la necesidad de que es necesario gestionar los riesgos y de que esta gestión se debe realizar de una manera sistemática y continua, que permita alcanzar una situación aceptable, en cuanto a riesgo final, para los objetivos de la empresa.

Temario

  • Definiciones y conceptos relacionados con una visión global del AGR y los pasos para el análisis de riesgos
  • Necesidad de implantar una estructura de control en las organizaciones
  • Medición y evaluación del riesgo: magnitud y calidad de la gestión del riesgo
  • Metodología del AGR y el documento de análisis de riesgos
  • Los riesgos en el comercio electrónico y otros supuestos prácticos
  • Introducción de la metodología Magerit

Duración aproximada: 12 horas
Formación: in company / presencial

04

Blockchain

Aunque los sistemas de anotaciones en cuenta inspirados en la contabilidad de partida doble han dado respuesta a la desmaterialización de títulos valores desde hace bastantes años, recientemente el uso de tecnologías de tipo blockchain ha supuesto un revulsivo por la posibilidad de que los mecanismos de preservación de la información de endosos se pueda gestionar directamente por los usuarios de los sistemas sin requerir un repositorio central.

El conocimiento de las técnicas utilizadas y su posible uso en diferentes contextos permitirá explorar nuevas soluciones para resolver los retos de la digitalización de la Internet del valor.

Temario

  • Aspectos técnicos
  • Aspectos sociales y económicos
  • Posibles usos de blockchains

Duración aproximada: 3 / 6 horas
Formación: in company / presencial

05

Firma electrónica

La autenticidad de los documentos electrónicos se vincula a dos técnicas: la firma electrónica y los mecanismos de custodia. En ambas, cumple un papel relevante la criptografía, y en particular la criptografía de clave pública. El uso de la firma electrónica se ha generalizado, principalmente por el desarrollo de la eAdministración y más recientemente por la homogeinización regulatoria en Europa. Ciertos conocimientos de los aspectos técnicos y legales de la firma electrónica son necesarios para que se produzca de forma adecuada la prestación del consentimiento.

Temario

  • Documentos electrónicos y su autenticidad
  • Códigos Seguros de Verificación
  • Autenticación
  • Criptografía de clave pública
  • Conceptos básicos de Firma electrónica
  • Tipos de firmas avanzadas (CAdES, XAdES, PAdES)
  • Expedición de certificados. Prestadores de Servicios Electrónicos de Confianza
  • Tipos de certificados. DNI electrónico
  • Normativa europea y española en relación con los certificados
  • Estándares relativos a la firma electrónica y servicios de confianza
  • Resolución de dudas

Duración aproximada: 3 / 5 horas
Formación: in company / presencial / online

06

Factura electrónica

La Factura Electrónica se ha instaurado como un modelo de factura eficiente y segura que cada vez tiene una mayor aceptación y que es de uso obligatorio desde el 15 de enero de 2015 para las empresas que facturan a las Administraciones Públicas y para las de especial relevancia económica. La temática es de interés para ayuntamientos, diputaciones y otros organismos públicos, así como para sus empresas proveedoras de productos y servicios.

Temario

  • Aspectos técnicos
  • Aspectos legales y fiscales

Duración aproximada: 6 horas
Formación: in company / presencial

07

Medios de pago

Las tarjetas, los cajeros, los terminales punto de venta, los móviles son instrumentos esenciales de nuestra operativa financiera que se pueden utilizar mejor si se entiende su funcionamiento. Este seminario recorre desde los conceptos más básicos hasta los más avanzados, incluso los que pueden ser medios de pago del futuro.

Duración aproximada: 6 horas
Formación: in company / presencial

08

Novedades en eAdministración desde la Ley 39/2015 y el Reglamento UE 910/204 (EIDAS)

La Ley 11/2007 supuso un gran impulso para el desarrollo de la Administración electrónica en España y dio lugar al Esquema Nacional de Seguridad y al de Interoperabilidad. Aunque el grado de adopción de sus preceptos ha sido irregular, especialmente en el contexto de las Administraciones Locales, en 2015 se consideró que había llegado el momento de fusionarlos con los de la Ley 30/1992 para dar lugar a una normativa del sector público unificada en la que la gestión digital sea la norma y el uso del papel la excepción.

Curiosamente, la división de la normativa en dos leyes, una para regular las relaciones de los ciudadanos con la Administración (Ley 39/2015) y otra para determinar las reglas de interacción entre las Administraciones (Ley 40/2015), tiene paralelismos con la pareja formada por la Ley de 20 de julio de 1957 sobre régimen jurídico de la Administración del Estado y la Ley de 17 de julio de 1958 sobre Procedimiento administrativo.

Estas leyes, en el marco del reglamento UE 910/2014, plantean nuevos retos para su adopción, dada la especial premura de plazos que determinan y el contexto de dificultades económicas que España ha atravesado.

Duración aproximada: 6 horas
Formación: in company / presencial

09

Nueva Ley de Contratos del Sector Público

El ámbito de la contratación pública es un sector muy importante en nuestro país. Representa alrededor del 20% del PIB de España. La última modificación normativa se produjo el 9 de noviembre de 2017, con la publicación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014. Desde Procesia consideramos de gran importancia para cualquier organización conocer en profundidad el nuevo marco normativo.

Temario

  • Introducción a la contratación pública
  • Órganos de contratación
  • Tipos de expedientes y documentos integrantes de los expedientes de contratación
  • Procedimientos de adjudicación de los contratos (procedimiento abierto, restringido, con negociación, asociación para la innovación)
  • Racionalización técnica de la contratación
  • Efectos de los contratos
  • Novedades de la nueva Ley

Duración aproximada: 6 horas
Formación: in company / presencial

10

Concienciación y cultura de la privacidad sobre el Reglamento General Europeo de Protección de Datos

El nuevo Reglamento General de Protección de Datos (RGPD) reemplaza la Directiva de Protección de Datos 95/46 /CE y es exigible desde el 25 de mayo de 2018. El RGPD es directamente aplicable en todos los estados integrados en la UE y ha conllevado un mayor grado de armonización de la protección de datos en todas las naciones de la UE.

Aunque muchas empresas ya han adoptado procesos y procedimientos de privacidad coherentes con la Directiva, (o la LOPD y el RDLOD en el caso de España), el RGPD contiene una serie de nuevas protecciones para los ciudadanos de la UE e incluye multas y sanciones muy significativas a los responsables y encargados del tratamiento que no lo cumplan.

Con las obligaciones en materia de consentimiento, seudonimización, notificación de incumplimiento, transferencias de datos a países que no forman parte de la UE y nombramiento de delegados de protección de datos, por citar algunas, el RGPD requiere que las empresas y Administraciones Públicas que manejan los datos de los ciudadanos de la UE realicen importantes actuaciones.

Temario

  • Ciberseguridad de los datos y notificación de incumplimiento
  • El requisito obligatorio del oficial de protección de datos
  • Consentimiento
  • Transferencias internacionales de datos
  • Perfilado
  • Nuevos derechos de borrado y portabilidad de datos
  • Gestión de proveedores
  • Seudonimización
  • Códigos de conducta y certificaciones
  • Consecuencias de las infracciones del RGPD

Duración aproximada: 6 horas
Formación: in company / presencial