1.- Normativa de Ciberseguridad

• Selección de normativa sobre ciberseguridad (CNPIC)
• Ley 34/2002 (LSSI), en especial el artículo 12 bis.
• Estrategia Nacional
  • Orden PCI/161/2019, contra el Crimen Organizado y la Delincuencia Grave.
  • Orden PCI/179/2019, contra el Terrorismo 2019.
• Reglamento (UE) 2019/881 relativo a ENISA y a la certificación de la ciberseguridad (ver en BOE): Ver resumen.
• Real Decreto 43/2021, de seguridad de las redes y sistemas de información. Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza designados como operadores críticos, salvo las PYMEs, están obligados a:
  
  – Aprobar unas políticas de seguridad (incluye un apartado sobre el registro de la actividad de los usuarios)
  
  – Elaborar una Declaración de Aplicabilidad de medidas de seguridad adoptadas, con base en el ENS y otros.
  
  – Designar un responsable de la seguridad de la información y comunicarlo a la autoridad competente.
  
  – Notificar en 24h los incidentes a través del CSIRT. Este deber es independiente a la AEPD
  
  – Permitir que las autoridades supervisen el cumplimiento de obligaciones de seguridad
• Directiva NIS: Medidas para garantizar seguridad en redes y sistemas de información en la Unión.
  • Transposición: Real Decreto-ley 12/2018
    • Reglamento de desarrollo: Real Decreto 43/2021
• Directiva de Secretos Comerciales: Medidas para la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.
  • Transposición: Ley 1/2019 de Secretos Empresariales
• Circular 5/2019 sobre registro de dispositivos y equipos informáticos: ver resumen.

2.- Políticas de seguridad para la PYME (por INCIBE)

• Políticas para el empresario
• Políticas para el personal técnico
• Políticas para el empleado

3.- Cómo certificar el envío de un e-mail

• eGarante
• MailCertificado
• Lleida Net

4.- Contraseñas

Recomiendo seguir las recomendaciones de INCIBE dispuestas en su Política de Seguridad de Contraseñas y superar este listado.

A.- Gestor de contraseñas (mis 5 favoritos)

Con estos gestores no tendrás que volver a recordar una contraseña.

• Dashlane (este enlace de referido incluye 6 meses premium gratis para ti y otros 6 para mí)
• KeePass
• 1Password
• LastPass
• True Key

B.- Generador de contraseñas

Recuerda: siempre más de 8 caracteres y al menos una mayúscula, una minúscula, un número y un símbolo. No uses fechas ni nombres. Ayúdate con generadores.

• Dashlane (este enlace de referido incluye 6 meses premium gratis para ti y otros 6 para mí)
• Password .es
• Passwords Generator .net

5. Antivirus

Instala y configura correctamente un antivirus profesional. Estas son mis recomendaciones:

• ESET Internet Security (este enlace de referido incluye 2 meses gratis para ti, sin recompensa para mí)
• Panda
• Kaspersky
• Sophos

6.- Herramientas sencillas de cifrado

• Boxcryptor (este enlace de referido incluye 1 mes gratis para ti y otro para mí)
• Veracrypt
• Tresorit
• Cryptomator
• Truecrypt

7.- Certificado y firma electrónica

Solución de firma electrónica:

• Ivnosys – Firma y notificaciones (post: ¿Qué es la firma longeva y cuáles son los tipos?)
• Brandocs – Firma y repositorio
• XolidoSign – Firma y envío certificado

Validador de firma electrónica

• Comisión Europea – DSS Demonstration WebApp
• Gobierno de España – VALIDe

Resoluciones y sentencias de interés sobre firma electrónica

• SAP L 54/2021 (Nº de Recurso: 158/2020 y Nº de Resolución: 74/2021): La Audiencia Provincial de Lleida anula la validez de la firma de un contrato remitido por email utilizando la solución DocuSign, similar a Signaturit.

8.- Herramientas gratuitas de ciberseguridad

La ciberseguridad completa es un destino deseable e inalcanzable.

Soluciones ciber de analítica web: Estas páginas ayudan a saber qué es lo próximo que debes arreglar en tu web:

• SSL LABS – Test SSL para servidores.
• HTBridge – Test SSL para servidores.
• Observatorio, de Mozilla – Verifica la seguridad de un CMS.
• Security Headers – Escanea cabeceras de páginas web.
• CSP Validator – Comprueba las cabeceras CSP.
• CSP Evaluator – Evalúa la Content Security Policy (CSP) de las cabeceras de una página web.
• WordPress XML-RPC Validation Service – Comprueba el estado de la característica XML-RPC en el CMS WordPress.
• Escaner antimalware para sitios web:
  • Securi – Escanea el sitio web en busca de malware.
  • [aún sin revisar por mí, pero tiene buena pinta] 9 awesome tools
• Optimización:
  • WebHint: Analiza la web y ofrece consejos para su optimización.
  • Structured Data: Herramienta de prueba de datos estructurados.
• Cookies:
  • Ghostery: Extensión para el navegador que muestra los rastreadores activos en una página web
  • Cookieq (Baycloud): Escanea la página web y muestra cookies y pixels propios y de terceros.
  • Cookiemetrix: Escaneador online de cookies y banners.
  • Cookie Serve: Escaneador online de cookies.
  • Cookieviz: Escaneador online de cookies ofrecido por CNIL.

Herramientas ciber:

• La Oficina de Seguridad del Internauta (OSI) ofrece un listado de enlaces a sitios desde los que puedes acceder a herramientas de ciberseguridad gratuitas: Herramientas.
• Jigsaw: Test anti-phising de Google

9.- Manuales y formación en ciberseguridad

Manuales y formación gratuita online

• INCIBE:
  • Protege tu empresa
  • Glosario de términos de ciberseguridad
• AEPD
  • Infografías
  • Vídeos ‘Protege tus derechos’
• ISMS Forum y AGERS
  • Manuales sobre gestión del riesgo

Congresos de pago o gratuitos en España

• AsturConTech – https://asturcon.tech/
• C1b3r Wall – https://c1b3rwall.policia.es/
• CyberCamp – https://www.incibe.es/eventos/cybercamp
• Digital Enterprise Show – https://www.des-madrid.com/
• Euskalhack – https://securitycongress.euskalhack.org/
• Hack2Progress – http://www.hack2progress.com/
• Hackmeeting – https://es.hackmeeting.org/
• HackOn – https://hackon.es/
• Hackron https://hackron.com
• HoneyCON – https://www.honeycon.eu/
• MorterueloCON – https://www.morteruelo.net/
• Mundo Hacker Academy – https://mundohackeracademy.com/
• Mundo Hacker Day – https://mundohackerday.com/
• Nava Negra Conference – https://www.navajanegra.com/
• Osintomático – https://osintomatico.com/
• Rooted CON – https://www.rootedcon.com/
• Security Hell Conference – https://www.sh3llcon.es/
• SICUR CYBER – https://www.ifema.es/sicur
• T3chFEST UC3M – https://t3chfest.es/
• Tendencias SIC – https://revistasic.es/
• UCA Cybersecurity Day – https://esingenieria.uca.es/ucacybersecurityday/
• UAD 360 – https://uad360.es/
• ViCON – https://vicon.gal/
• X1RedMásSegura – http://www.x1redmassegura.com/
• Ver más en https://wiki.securiters.com/securiters-wiki/congresos-de-ciberseguridad