Procesia

la transformació digital és un procés constant un canvi de mentalitat una necessitat per tot tipus d'organitzacions

Productos_KeepArmor

 KeeparmorNuevo

Herramienta digital innovadora que automatiza el bastionado de los activos tecnológicos tanto de entornos generales como clasificados. KeepArmor facilita la seguridad y el cumplimiento normativo de toda clase de organizaciones para cualquier sistema operativo. La herramienta implementa y monitoriza en tiempo real las medidas del Esquema Nacional de Seguridad (ENS). Próximamente estará además adaptado a la nueva Directiva NIS2.

Productos_Informantes

 Informantes

Sistema de información de infracciones que cumple con todas las certificaciones y normativas exigidas a las empresas de más de 50 trabajadores. Con la máxima garantía de confidencialidad y anonimato, da la capacidad a cada empleado de elevar cualquier tipo de irregularidad con margen de previsión suficiente como para la entidad pueda evitar un hipotético problema.

Termes

Cada día aparecen nuevos términos y conceptos en torno a la modernización y digitalización de las administraciones públicas en España. Otros en cambio caen en desuso. Por eso queremos compartir contigo este listado ‘vivo’ de términos, que actualizamos y enriquecemos constantemente en Procesia, con el fin de seguir aprendiendo y adaptándonos a un sector cada vez más cambiante.

Anonimización APT Big Data Blockchain Blue team CAdES Cartulario CAU Ciberguerra Ciberinteligencia Ciberseguridad Ciclo vida software Cloud Compliance Officer Cyberinnovation challenge DLP DPD DPO Due diligence eAdministración eIDAS Endoso ENS Escrow Gap analysis GRC INES ISO Inteligencia Artificial Lexnet Magerit Machine Learning OTP PAdES RDLOPD Red team RGPD SaaS Scrum SedJude Seudonimización SGSI Sprint planning SSE-CMM Test de intrusión Timestamping Vulnerabilidades Web hacking XAdES

Anonimización

Disociación de datos personales, ruptura total de los datos a tratar con los datos identificativos de las personas.

APT

“Advanced Persistent Threat” o “Amenaza Avanzada Persistente”, es un tipo de ciberataque o ciberamenaza sofisticada y compleja de combatir.

Big Data

Mecanismos capaces de procesar y gestionar datos de fuentes iguales o no con el objetivo de buscar patrones repetitivos modelos predictivos o incluso relaciones entre ellos.

Blockchain

Estructura de datos, también conocida como “cadena de bloques”, cuya información se agrupa en bloques o nodos de una red a los que se les integran metainformaciones de otro bloque de la cadena anterior en una línea temporal. Así la información contenida en un bloque solo puede ser editada

Blue team

Práctica de defensa contra ciberataques, compuesto por un conjunto o capas de medidas, de manera que si falla una, otra reduce la exposición y mitiga el impacto.

CAdES

Cartulario

Plataforma multiusuario, disponible en modalidad “cloud computing” o “nube TIC”, que permite una rápida puesta en marcha de las soluciones de confianza digital.

CAU

Centro de Atención al Usuario. Soporte equipado con personal, tecnología y procesos orientados a ayudar a los usuarios en su relación diaria con la tecnología.

Ciberguerra

También denominada “guerra informática” o “guerra digital”, es el conflicto o enfrentamiento cuyo campo de operaciones son los sistemas y tecnologías de comunicación e información.

Ciberinteligencia

Actividades de inteligencia en los procesos de ciberseguridad encargados del análisis, prevención, identificación, localización y atribución de ataques o amenazas a través del ciberespacio.

Ciberseguridad

También conocida como “seguridad digital” o “seguridad de la información”. Son medidas de protección para los sistemas y dispositivos de una organización -además de para todos los archivos de información que procesa, transporta y almacena- ante amenazas o ataques informáticos.

Ciclo vida software

Referido a las diferentes fases necesarias para validar un software respecto a la definición de requisitos del mismo asegurando que los métodos utilizados para ello son los apropiados, subyace de este término la diferentes metodologías o marcos comunes utilizados, cada una de estas metodologías contemplan sus diferentes fases e iteraciones. Entre los diferentes modelos destacan: Cascada, Espiral, Iterativo, Ágil etc.

Cloud

Paradigma que permite ofrecer servicios de computación alojados y/o a través de la una red (Internet), hay diversos fabricantes como Azure, Amazon o Google entre otros.

Compliance Officer

Figura de vigilancia y control encargada de asegurar el cumplimiento de las regulaciones normativas o de cualquier tipo de legislación relacionada con el sector de la organización a la que pertenece.

Cyberinnovation challenge

Desafío formativo dirigido a usuarios interesados en áreas de tecnología e innovación.

DLP

Siglas de “Data Loss Prevention”, sistemas de prevención de pérdida de datos de una organización.

DPD

Delegado de Protección de Datos, también conocido como DPO en inglés, Data Protection Officer, encargado de la supervisión del cumplimiento de la normativa en materia de protección de datos personales en organizaciones y administraciones públicas.

DPO

Data Protection Officer” o “Delegado de Protección de Datos”, figura encargada de garantizar el cumplimiento de la normativa de protección de datos en una organización.

Due diligence

Investigación elaborada por auditores externos, que examinan las distintas áreas de una empresa para determinar si cumple con sus obligaciones y no existen riesgos legales derivados de su actividad.

eAdministración

Incorporación de las TIC (Tecnologías de la Información y la Comunicación) en las administraciones públicas.

eIDAS

Sistema europeo de reconocimiento de identidades electrónicas, “electronic IDentification, Authentication and trust Services”. Reglamento de la UE sobre normas para la identificación electrónica y servicios de confianza para transacciones electrónicas.

Endoso

Acto por el cual una persona transfiere a otra el poder de realizar un acto jurídico a su nombre o transferir la propiedad de un documento.

ENS

Esquema Nacional de Seguridad, en el ámbito de la Administración Electrónica.

Escrow

Cuenta o contrato de depósito que, en una compraventa, asegura el pago al vendedor y el bien o servicio al comprador. Este mecanismo es conocido también como fideicomiso.

Gap analysis

Estudio que determina la situación actual de una empresa y define las metas que se desean alcanzar en un futuro.

GRC

Abreviatura de “Governance, Risk&Compliance” -Gobierno corporativo, gestión de riesgos y cumplimiento-, nombre que agrupa a todas las medidas que garantizan un desarrollo sin incidentes, orientado a objetivos y conforme a la ley de todas las actividades de la organización.

INES

Informe Nacional del Estado de Seguridad. Proyecto que facilita la labor de evaluación del estado de seguridad de los sistemas por parte de las Administraciones Públicas. Cuenta con una plataforma telemática que proporciona a todas ellas un conocimiento más rápido de su nivel de adecuación al ENS y del estado de seguridad de sus sistemas.

ISO

Es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de normalización.

Inteligencia Artificial

Imitación de funciones cognitivas por una máquina, aunque el padre de esta disciplina fue Alan Turing, el término fue acuñado por John McCarthy que a su vez inventó el lenguaje de programación LISP.

Lexnet

Sistema de intercambio electrónico seguro de documentos legales, tales como notificaciones, escritos de trámite y escritos iniciadores de asunto, entre oficinas judiciales y operadores legales.

Magerit

Metodología elaborada por el Consejo Superior de Administración Electrónica del Gobierno de España para minimizar los posibles riesgos y vicisitudes de la implantación y uso de las TIC en las administraciones públicas.

Machine Learning

Subcampo de las ciencias de la computación, concretamente de la Inteligencia artificial, cuyo objetivo es desarrollar técnicas que permitan a las computadoras aprender.

OTP

One-Time Password”. Contraseña de un solo uso, válida únicamente para una autenticación.

PAdES

Formato de firma electrónica, PDF Advanced Electronic Signature, a través del cual el destinatario puede comprobar fácilmente tanto la firma como el documento firmado.

RDLOPD

Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos.

Red team

Ejercicio consistente en la simulación de un ciberataque dirigido a una organización, llevado a cabo por un grupo interno o externo a la misma, sin previo aviso, en el que se comprueba la posibilidad de acceso a los sistemas y el cómo comprometerlos.

RGPD

Reglamento General de Protección de Datos, marco jurídico aplicable en todos los estados miembros de la Unión Europea y que tiene prioridad sobre las legislaciones nacionales.

SaaS

Término referente a “software como servicio”. Es una solución de software integral, que permite a los usuarios utilizar las aplicaciones que necesiten a través de la nube, como correo electrónico, calendarios, ofimática, etc.

Scrum

Proceso en el que se aplican una serie de buenas prácticas de trabajo colaborativo, para equipos altamente productivos, con el fin de obtener el resultado óptimo de un proyecto.

SedJude

Siglas de la Sede Judicial Electrónica.

Seudonimización

Tratamiento de datos personales que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional. Esta debe figurar por separado y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a un sujeto físico identificado o identificable.

SGSI

Sistema de Gestión de Seguridad de la Información. Herramienta que permite a las organizaciones conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información.

Sprint planning

Reunión inicial, de planificación de tareas, según la guía de Scrum.

SSE-CMM

“System Security Engineering Capability Maturity Model”; modelo de evaluación de las características esenciales de los procesos que deben existir en una organización para asegurar una óptima seguridad de sistemas.

Test de intrusión

Conjunto de técnicas y métodos que permite simular un ataque real a los sistemas de información de una organización con el fin de determinar su nivel de fortaleza y seguridad. También se denomina como “pentest”.

Timestamping

Protocolo conocido como “sellado digital de tiempo”. Se trata de un mecanismo en línea, que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo.

Vulnerabilidades

Término que se utiliza en el contexto de la seguridad informática, en diferentes contextos. Normalmente son errores, problemas en el código o configuración de un software.

Web hacking

Detección y explotación de vulnerabilidades de seguridad en redes o sistemas.

XAdES

“XML Advanced Electronic Signatures”. Familia de firmas electrónicas avanzadas, basadas en formatos XML, que permiten el intercambio de información entre sistemas automatizados.

Formació

01

Introducció a la governança de seguretat de la informació

L’alta direcció és responsable d’abordar aquests temes i fer de la seguretat de la informació una matèria alineada amb el govern de les TI i per tant dins del govern corporatiu de l’empresa.

L’objectiu d’aquest curs és donar a conèixer els conceptes fonamentals que els responsables i directius de les organitzacions han de tenir en compte per a dur a terme la implantació d’un pla de governança; així mateix, es presenten els passos a seguir per al desenvolupament d’aquest pla.

Temari

  • L’entorn actual de la seguretat dels sistemes d’informació
  • Conceptes fonamentals sobre la governança de la seguretat de la informació
  • Evolució del govern de la seguretat de la informació
  • Model de maduresa en el govern de la seguretat de la informació
  • Components de l’arquitectura de seguretat dels sistemes d’informació en una organització
  • Necessitat de l’auditoria per al govern de seguretat de la informació

Duració: 2 hores
Formació: in company / presencial

02

Auditoria de sistemes d’informació: SGSI i controls generals

A mesura que les organitzacions privades i públiques van estenent les seves activitats al ciberespai, s’observa un gran creixement dels incidents de seguretat de la informació, molts dels quals tenen greus conseqüències directes i indirectes per a les organitzacions afectades.

En l’actualitat la seguretat de la informació de qualsevol organització s’ha convertit en un objectiu estratègic, més important com més gran sigui el número i criticitat de les activitats que l’organització duu a terme fent ús d’Internet. Per a dotar-se de major seguretat, les organitzacions segueixen diferents estratègies, com implantar un SGSI i millorar permanentment els seus controls interns.

No obstant això, no n’hi ha prou amb aquestes mesures, perquè és necessari verificar periòdicament que tant l’SGSI com els controls utilitzats estan funcionant correctament i compleixen amb les exigències de seguretat previstes. L’eina fonamental disponible per a dur a terme aquesta verificació és l’auditoria.

L’auditoria té com a punt de partida l’anàlisi dels riscos, per la qual cosa és un requisit previ que els assistents a aquest curs tinguin coneixements generals de l’AGR.

Temari

  • La primera sessió té com a objectiu general donar a conèixer el procés general d’auditoria dels sistemes de gestió seguint els estàndards d’ISO i en particular l’auditoria de certificació d’un SGSI segons l’estàndard ISO 27001
  • La segona sessió té com a objectiu mostrar els controls generals de seguretat més utilitzats per les organitzacions que tenen implantat o desitgen millorar l’esquema de control intern.

Duració: 4 hores
Formació: in company / presencial

03

Anàlisi i gestió de riscos de sistemes d’informació

L’anàlisi de riscos no exigeix una formació específica dins de les tecnologies de la informació. No obstant això, per a dur-ho a terme és necessari conèixer amb profunditat la problemàtica dels aspectes o àrees que analitzarem i la qualitat del resultat de l’anàlisi dependrà sobretot de l’experiència, coneixements, tècniques utilitzades i capacitat analítica de les persones que facin el treball.

A més dels aspectes tècnics d’infraestructura, bases de dades, comunicacions i altres, cal no oblidar que és bàsic el coneixement dels aspectes organitzatius o de gestió, ja que moltes vegades és en aquests on es presenten les vulnerabilitats més importants.

Les tècniques o metodologies que s’apliquin per a la gestió de riscos s’han de basar en el coneixement d’aquestes, en fonaments tècnics i la gestió de les tecnologies de la informació. També cal destacar que l’anàlisi de riscos és un treball, que per la seva pròpia naturalesa, és imprescindible desenvolupar en equip.

El curs no està enfocat a ensenyar una metodologia concreta i completa per a l’anàlisi de riscos sinó que el seu principal objectiu és transmetre la necessitat de que és necessari gestionar els riscos i que aquesta gestió s’ha de realitzar d’una manera sistemàtica i contínua, que permeti aconseguir una situació acceptable, quant a risc final, per als objectius de l’empresa.

Temari

  • Definicions i conceptes relacionats amb una visió global de l’AGR i els passos per a l’anàlisi de riscos
  • Necessitat d’implantar una estructura de control en les organitzacions
  • Mesura i avaluació del risc: magnitud i qualitat de la gestió del risc
  • Metodologia de l’AGR i el document d’anàlisi de riscos
  • Els riscos en el comerç electrònic i altres supòsits pràctics
  • Introducció de la metodologia Magerit

Duració: 12 hores
Formació: in company / presencial

04

Blockchain

Tot i que els sistemes d’anotacions en compte inspirats en la comptabilitat de partida doble han donat resposta a la desmaterialització de títols valor des de fa bastants anys, recentment l’ús de tecnologies de tipus blockchain ha suposat un revulsiu per la possibilitat que els mecanismes de preservació de la informació d’endossos es pugui gestionar directament pels usuaris dels sistemes sense requerir un repositori central.

El coneixement de les tècniques utilitzades i el seu possible ús en diferents contextos permetrà explorar noves solucions per a resoldre els reptes de la digitalització de la Internet del valor.

Temari

  • Aspectes tècnics
  • Aspectes socials i econòmics
  • Possibles usos de blockchains

Duració: 3 / 6 hores
Formació: in company / presencial

05

Factura electrònica

La Factura Electrònica s’ha instaurat com un model de factura eficient i segura que cada vegada té una major acceptació i que és d’ús obligatori des del 15 de gener de 2015 per a les empreses que facturen a les administracions públiques i per a les d’especial rellevància econòmica. La temàtica és d’interès per a ajuntaments, diputacions i altres organismes públics, així com per a les seves empreses proveïdores de productes i serveis.

Temari

  • Aspectes tècnics
  • Aspectes legals i fiscals

Duració: 6 hores
Formació: in company / presencial

06

Mitjans de pagament

Les targetes, els caixers, els terminals punt de venda, els mòbils,… són instruments essencials de la nostra operativa financera que es poden utilitzar millor si s’entén el seu funcionament. Aquest seminari recorre des dels conceptes més bàsics fins als més avançats, fins i tot els que poden ser mitjans de pagament del futur.

Duració: 6 hores
Formació: in company / presencial

07

Novetats en eAdministració des de la Llei 39/2015 i reglament UE 910/204 (EIDAS)

La Llei 11/2007 va suposar un gran impuls al desenvolupament de l’Administració Electrònica a Espanya i va donar lloc a l’Esquema Nacional de Seguretat i al d’Interoperabilitat. Encara que el grau d’adopció dels seus preceptes ha estat irregular, especialment en el context de les administracions locals, en 2015 es va considerar que havia arribat el moment de fusionar-los amb els de la Llei 30/1992 per a donar lloc a una normativa del sector públic unificada en la qual la gestió digital sigui la norma i l’ús del paper l’excepció.

Curiosament, la divisió de la normativa en dues lleis, una per a regular les relacions dels ciutadans amb l’Administració (Llei 39/2015) i una altra per a determinar les regles d’interacció entre les administracions (Llei 40/2015), té paral·lelismes amb la parella formada per la Llei de 20 de juliol de 1957 sobre règim jurídic de l’Administració de l’Estat i la Llei de 17 de juliol de 1958 sobre Procediment Administratiu.

Aquestes lleis, en el marc del reglament UE 910/2014, plantegen nous reptes per a la seva adopció, donada l’especial brevetat dels terminis que determinen i el context de dificultats econòmiques dels últims anys.

Duració: 6 hores
Formació: in company / presencial

08

Nova Llei de contractes del sector públic

L’àmbit de la contractació pública és un sector molt important a Espanya, on representa al voltant del 20% del PIB. L’última modificació normativa es va produir el 9 de novembre de 2017, amb la publicació de la Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic, per la qual es transposen a l’ordenament jurídic espanyol les Directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014. Des de Procesia considerem de gran importància per a qualsevol organització conèixer en profunditat el nou marc normatiu.

Temari

  • Introducció a la contractació pública
  • Òrgans de contractació
  • Tipus d’expedients i documents integrants dels expedients de contractació
  • Procediments d’adjudicació dels contractes (procediment obert, restringit, amb negociació, associació per a la innovació)
  • Racionalització tècnica de la contractació
  • Efectes dels contractes
  • Novetats de la nova Llei

Durada: 6 hores
Formació: in company / presencial

09

Conscienciació i cultura de la privacitat sobre RGPG

El Reglament General de Protecció de Dades (RGPD) reemplaça la Directiva de Protecció de Dades 95/46 /CE i és exigible des del 25 de maig de 2018. L’RGPD és directament aplicable en tots els estats integrats a la UE i ha comportat un major grau d’harmonització de la protecció de dades en totes les nacions europees.

Tot i que moltes empreses ja han adoptat processos i procediments de privacitat coherents amb la Directiva, (o la LOPD i el RDLOD en el cas d’Espanya), l’RGPD conté una sèrie de noves proteccions per als ciutadans de la UE i inclou multes i sancions molt significatives per als responsables i encarregats del tractament que no el compleixin.

Amb noves obligacions en matèria de consentiment, pseudonimització, notificació d’incompliment, transferències de dades a països que no formen part de la UE i nomenament de delegats de protecció de dades, per citar algunes, l’RGPD requereix que les empreses i administracions públiques que gestionen les dades dels ciutadans de la UE realitzin importants actuacions.

Temari

  • Ciberseguretat de les dades i notificació d’incompliment
  • El requisit obligatori de l’oficial de protecció de dades
  • Consentiment
  • Transferències internacionals de dades
  • Perfilat
  • Nous drets d’esborrat i portabilitat de dades
  • Gestió de proveïdors
  • Pseudonimització
  • Codis de conducta i certificacions
  • Conseqüències de les infraccions de l’RGPD

Durada: 6 hores
Formació: in company / presencial