Author archives:

SAYME obtiene los certificados de conformidad con el Esquema Nacional de Seguridad, categoría Media, así como con los requisitos de las Normas de Calidad, Medioambiente y Ciberseguridad Empresarial

17 marzo 2023 amio_mx Noticias

Amio Ingenieros ha sido la consultora elegida por SAYME para llevar a cabo la consultoría para el diseño del sistema de seguridad de la información que cumpla los requisitos de seguridad, conforme con las exigencias del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica.

Igualmente, ha llevado a cabo el proyecto de diseño e implantación de los Sistemas de Gestión del Medioambiente (ISO 14001:2015 ) y Ciberseguridad Empresarial (ISO 27001:2013).

El alcance de la certificación obtenida por SAYME en cada uno de los casos ha sido:

Esquema Nacional de Seguridad:

Los sistemas de información que sustentan los servicios gestionados de:

  • Diseño, Desarrollo, Instalación, Gestión, Operación, Administración, Monitorización, Auditoría, Asistencia técnica y Soporte de Soluciones loT para el Sector Público y la Industria Privada.

1906-ENS Certificado_ENS_Esquema_Nacional_de_Seguridad_firmado

ISO 27001:2013

El Sistema de Gestión de Seguridad de la Información que da soporte a:

  • Diseño, desarrollo, instalación, gestión, operación, administración, monitorización, auditoría, asistencia técnica y soporte de soluciones IoT para el sector público e industria, según la declaración de aplicabilidad en vigor a fecha de emisión del certificado.
1906 1C0 Certificado_ISO27001_Ciberseguridad_firmado

ISO 14001:2015

El Sistema de Gestión de Medioambiente aplicado a:

  • Diseño, desarrollo, instalación, gestión, operación, administración, monitorización, auditoría, asistencia técnica y soporte de soluciones IoT para el sector público y privado.
1906 1C0 Certificado_ISO14001_Medioambiente_firmado

 

Las diferentes auditorias de certificación han sido realizadas por la Entidad Certificadora KIWA – IVAC, acreditada por ENAC.

Talento Transformación Digital obtiene el certificado de conformidad con el Esquema Nacional de Seguridad, categoría Media

19 abril 2022 amio_mx Noticias

Amio Ingenieros ha sido la consultora elegida por Talento Transformación digital para llevar a cabo la consultoría para el diseño del sistema de seguridad de la información que cumpla los requisitos de seguridad, conforme con las exigencias del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica.

El alcance de la certificación obtenida por Talento Transformación digital ha sido:

Los sistemas de información que sustentan los servicios gestionados de:

  • Servicios de desarrollo, instalación y soporte y mantenimiento de aulas de formación online.
  • Servicios de diseño, desarrollo a medida, instalación, soporte y mantenimiento de software para soluciones web en entornos WordPress, portales de formación online en entornos Moodle, aplicaciones para dispositivos móviles en lenguaje de programación Ruby, así como en el desarrollo de portales Web.
  • Consultoría e implantación de herramientas de Analítica Web.
  • Consultoría e implantación de estrategias de marketing online.

Conforme a la declaración de aplicabilidad vigente.

La auditoria de certificación ha sido realizada por el Instituto Valenciano de Acreditación – IVAC.

Certificado de Conformidad TALENTO TRANSFORMACIÓN DIGITAL

Seguridad de la Información: las ventajas de implantar las medidas de seguridad del Esquema Nacional de Seguridad en nuestras empresas.

11 marzo 2022 amio_mx Noticias

Fuente: Influyentes Cantabria.

H La vigilancia de la seguridad de la información que manejamos por medios electrónicos en nuestras empresas se ha convertido en un proceso crítico. Están a la orden del día los ciberataques, por los que se accede, de forma remota y fraudulenta, a la información electrónica que almacenamos en nuestros sistemas de información. Establecer protocolos de seguridad, que nos permitan diseñar y ejecutar acciones preventivas ante estos ataques, debe ser entendido como una inversión necesaria, no como un gasto prescindible. Hoy el consultor Héctor Traspuesto Gil intenta desgranar los puntos más relevantes del Esquema Nacional de Seguridad y sus medidas, para que las empresas puedan valorar su eficacia para la mejora de la Seguridad de la Información que manejamos día a día en nuestras empresas.

Marco normativo regulatorio del ENS

El origen del ENS se fundamenta en el establecimiento de un entorno común de seguridad, con el objetivo primario de lograr la protección de la información que es manejada por las AAPP para la prestación de los diferentes servicios a la ciudadanía. De esta forma, entre otros, se unifican los requisitos a cumplir por la industria en el ámbito de la seguridad de la información que se intercambian con las AAPP.

Las bases del ENS se establecen en el RD 3/2010, de 8 de enero, Real Decreto que se encarga de la regulación del ENS en el ámbito de la administración electrónica de la información que intercambian las AAPP (entre ellas mismas, o con entidades privadas). No obstante, el origen primario del ENS había sido documentado en el artículo 42 de la Ley 11/2007, de 22 de junio sobre el Acceso Electrónico de los Ciudadanos a los servicios públicos.

El ENS está formado por Principios Básicos y por Requisitos mínimos, definidos todos ellos con el objetivo primario de lograr la protección efectiva de la información que intercambiamos con las AAPP.

Objetivos del ENS

Dos son los objetivos fundamentales que se persiguen con la implementación del ENS:

  • Crear las condiciones necesarias para la confianza en el uso de los medios electrónicos. A través de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, permitiendo el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de la información.

Teniendo en cuenta que debemos trabajar para lograr el cumplimiento de estos objetivos fundamentales, más adelante en este artículo definiremos las ventajas que, tanto desde el punto de vista de las AAPP, como desde el punto de vista de las empresas privadas, lograremos con la implementación de las medidas de seguridad del ENS.

Obligación de implementar el ENS

Desde noviembre de 2017, las AAPP tienen la obligación de cumplir los requisitos establecidos por el ENS. Más concretamente, la normativa dispone que el ENS será de obligado cumplimiento para:

  • Administración General del Estado.
  • Administraciones de las Comunidades Autónomas.
  • Entidades que integran la Administración Local.
  • Fundaciones (públicas).
  • Universidades Públicas.
  • Hospitales públicos.
  • Cámaras de Comercio.
  • Empresas Públicas.
  • Colegios Profesionales

¿Y qué ocurre con el sector privado? La respuesta es sencilla. Las empresas privadas que prestan servicios a Entidades Públicas que implique intercambio electrónico de información, deben cumplir con la implementación de los requisitos del ENS.

ENS: 75 medidas de seguridad para construir un sistema de información seguro

El ENS ha identificado 75 medidas de seguridad con el objetivo fundamental de lograr la protección de los datos y de la información que manejan e intercambian las AAPP, tanto entre ellas, como con las empresas privadas que prestan servicios para ellas. Las podemos clasificar en tres grandes grupos:

Marco organizativo: formado por un conjunto de medidas relacionadas con la organización global de la seguridad en nuestra organización. Comprende 4 medidas de seguridad, clasificadas en:

  • Política de Seguridad.
  • Normativa de Seguridad.
  • Procedimiento de Seguridad.
  • Proceso de Autorización.

Marco operacional: formado por un conjunto de medidas que se deben implementar para proteger la operación del sistema como un conjunto integral de componentes diseñados para un mismo fin. Comprende 31 medidas, clasificadas en 6 grandes grupos:

  • Planificación.
  • Control de Acceso.
  • Explotación.
  • Servicios Externos.
  • Continuidad del Servicio.
  • Monitorización del Sistema.

Medidas de protección:  formado por un conjunto de medidas que se han diseñado para proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.  Comprende 40 medidas, clasificadas en 8 grupos:

  • Instalaciones e infraestructuras.
  • Gestión del Personal.
  • Protección de los Equipos.
  • Protección de las Comunicaciones.
  • Protección de los Soportes de Información.
  • Protección de Aplicaciones Informáticas.
  • Protección de la Información.
  • Protección de los Servicios.

Ventajas de implementar el ENS en la empresa

El primer paso para lograr los objetivos mediante la implementación del ENS en la empresa es plantearlo como una mejora y como un valor añadido en la empresa, no como una norma de obligación de cumplimiento.

De forma genérica, las ventajas de implementar el ENS en nuestra empresa se pueden resumir en:

  • Ganaremos en seguridad respecto de capacidad de nuestras redes y sistemas de información para enfrentar, de forma positiva y con un alto nivel de confianza, ataques externos y cualquier tipo de acción no regulada en contra de la autenticidad, integridad, confidencialidad y trazabilidad de nuestros datos, almacenados o intercambiados, así como de los servicios que ofrecemos a clientes a través de nuestras redes y sistemas de información.
  • Obtendremos un valor añadido muy relevante respecto a la confianza que nuestros sistemas electrónicos de manejo e intercambio de información transmiten a nuestros clientes.
  • Conoceremos a fondo los riesgos, a través de un análisis en profundidad de los mismos, basado en la identificación de amenazas y vulnerabilidades, así como su impacto en nuestra actividad.
  • Seremos capaces de, a través de los datos obtenidos en el análisis de riesgos y amenazas, de definir y ejecutar medidas de seguridad efectivas, que nos ayuden a mantener la integridad de nuestro sistema de información.
  • Optimizaremos el uso y la gestión de nuestros medios tecnológicos.
  • Identificaremos, y haremos un seguimiento adecuado, de las métricas e indicadores de proceso relacionados con la seguridad de nuestro sistema de información.
KAWARU CONSULTING y AMIO firman un Acuerdo de Colaboracion, municipios inteligentes, ciudades inteligentes, amio, kawaru, participacion ciudadana, TIC, dti, ciudades inteligentes, 2

KAWARU CONSULTING y AMIO INGENIEROS firman un Acuerdo de Colaboración.

21 septiembre 2021 amio_mx Noticias

El martes, 21 de septiembre, Amio Ingenieros y Kawaru Consulting han firmado un acuerdo de colaboración entre ambas empresas. De esta forma poder ofrecer sus servicios y productos a sus clientes.

Barcelona, 21 de septiembre de 2021 – Las empresas fueron representadas por Héctor Traspuesto, CEO de Amio Ingenieros y por Jordi Ribalta CEO de Kawaru Consulting.

Amio Ingenieros es una empresa especializada en desarrollo proyectos en los que se integran las nuevas tecnologías, siempre desde una perspectiva de generación de valor a los procesos de negocio. En el ámbito público, son los desarrolladores del Programa Municipios Inteligentes, diseñado para que municipios pequeños, de menos de 50.000 habitantes, puedan acceder a las soluciones tecnológicas que típicamente se aplican en grandes núcleos urbanos, haciendo posible que sus ciudadanos se beneficien de una mejora de calidad de los servicios municipales. Ha desarrollado proyectos en España y Latam, principalmente en México. Son también referentes en lo que a la implementación de Normativa específica de Ciberseguridad, ISO 27001:2013 y Esquema Nacional de Seguridad – ENS – se refiere

Kawaru Consulting es una consultora especializada en la implementación y expansión de soluciones digitales para ayudar a empresas en el desarrollo de sus productos, su expansión comercial y su consolidación en diferentes mercados. Con un enfoque práctico para conseguir resultados inmediatos, ofreciendo un servicio 360 que se adapta a cada proyecto y garantiza la mejor y más innovadora estrategia para ayudar a las empresas.  En la actualidad, son referentes en ámbitos como acompañar a startups en consolidar sus proyectos, colaboraciones con Aceleradoras, así como en la Dirección de Proyectos de Participación Ciudadana.

“Para Amio Ingenieros es imprescindible estar al día de los proyectos innovadores basados en neuvas tecnologías, sobre todo en lo referente a su aplicación en la mejora de los servicios públicos a la ciudadanía. En este sentido, unirnos y colaborar con Kawaru Consulting nos proporcionará un posicionamiento estratégico clave para poder ofrecer a nuestros clientes una perspectiva diferente, basada en la experiencia de tantos años de su equipo” declara Héctor Traspuesto CEO de Amio Ingenieros.

«En Kawaru Consulting tenemos como objetivo cuidar a nuestros clientes y personalizar al máximo nuestro trabajo de forma que no seamos una empresa externa si no un socio, uno más del equipo. En este sentido Amio Ingenieros nos aporta una clara complementariedad en nuestro trabajo y nos ayuda a dar un valor añadido y diferencial a nuestros clientes.», explica Jordi Ribalta CEO de Kawaru Consulting.

Ambas compañías inaugurarán su colaboración en el proyecto del Centro de Investigación y Desarrollo de Soluciones basadas en Tecnologías para la Mejora de la Gestión de los Servicios Municipales, que Amio Ingenieros desarrolla, junto con el Ayuntamiento de Santillana del Mar, en la Villa Medieval, situada en Cantabria (España).

KAWARU-CONSULTING-y-AMIO-firman-un-Acuerdo-de-Colaboracion-municipios-inteligentes-ciudades-inteligentes-amio-kawaru-participacion-ciudadana-TIC-dti-ciudades-inteligente

KAWARU CONSULTING y AMIO firman un Acuerdo de Colaboracion, municipios inteligentes, ciudades inteligentes, amio, kawaru, participacion ciudadana, TIC, dti, ciudades inteligentes

Buenas practicas y casos de exito transformacion digital en cantabria, consultores initier, amio ingenieros, programa municipios inteligentes, santillana del mar municipio inteligente

AMIO Ingenieros participa con dos artículos en el Libro «Buenas prácticas y casos de éxito en la transformación digital en Cantabria»

1 agosto 2021 amio_mx Noticias

El pasado 9 de julio, en la Cámara de Comercio de Cantabria, tuvo lugar la presentación del libro «Buenas prácticas y casos de éxito en la transformación digital en Cantabria», editado por Carlos Barroso, de Consultores Initier.

En la publicación, se hace un repaso de los proyectos e innovaciones tecnológicas que están siendo desarrolladas por alguna de las principales empresas de base tecnológica de Cantabria. Nuestro CEO, Héctor Traspuesto, escribió dos artículos, que han sido incluidos en las secciones:

  • INSTITUCIONES; «El Caso excepcional de Santillana del Mar» (Página 37), en el que se resume el proyecto Santillana del Mar Municipio Inteligente, su planteamiento y las acciones, planificadas y ejecutadas, de su Plan Director.
  • CASOS DE ÉXITO: «El Modelo Municipio Inteligente» (Página 233), en el que se resume el Concepto que dio lugar al Programa de Municipios Inteligentes, desarrollado por Amio Ingenieros.

La mesa presidencial del acto de presentación de la publicación contó, además de con el autor, con Jorge Muyo, Director General de Innovación, Desarrollo Tecnológico y Emprendimiento Industrial del Gobierno de Cantabria; Miriam Díaz, Concejala de Turismo, Comercio, Mercados y Relaciones Institucionales del Excmo. Ayto. de Santander; Mario Mañana, Vicerrector de Campus, Sostenibilidad y Transformación Digital de la Universidad de Cantabria; y Modesto Piñeiro, Presidente de la Cámara de Comercio de Cantabria.

Agradecemos a Carlos Barroso, de Consultores Initier, el interés mostrado por nuestra actividad en pro de la innovación y el uso de la tecnología de una forma razonable en proyectos de tipo público y privado, así como la invitación para poder formar parte de este proyecto, tan importante para la difusión del potencial innovador de nuestra región.

Os dejamos el acceso a la publicación:

transformaciondigital

Nuestro CEO, Héctor Traspuesto, colabora con Influyentes Cantabria en un artículo sobre la Gestión del Riesgo y la Ciberseguridad, temas de actualidad.

11 mayo 2021 amio_mx Noticias

Fuente: Influyentes Cantabria

¿Sabes a qué ataques informáticos se enfrenta tu empresa? ¿Sabrías identificar qué puedes perder y cuantificar los daños? Hoy en Influyentes te ayudamos a prevenir de la mano de Héctor Traspuesto, CEO de AMIO INGENIEROS, ingeniería especializada en el desarrollo de municipios y destinos inteligentes, consultor y auditor en Sistemas de Gestión de la Seguridad de la Información y Esquema Nacional de Seguridad.

Recuerda que puedes descargarte este artículo en formato podcast y escucharlo cuando quieras.

Uno de los puntos críticos en un Sistema de Gestión de la Seguridad de la Información es la gestión del riesgo

El primer paso debe ser el llevar a cabo un completo análisis de riesgos y amenazas a los que se enfrenta nuestra organización. Para poder definir una estrategia de defensa, primeros debemos conocer en detalle cuáles son los ataques que podemos recibir. Pero antes de seguir, debemos conocer una mínima terminología asociada al Análisis y Gestión del Riesgo en el entorno de un Sistema de Gestión de la Seguridad de la Información:

  • Activos: Elementos del sistema de información que aportan valor a la organización.
  • Riesgo: Cuando una amenaza explota la vulnerabilidad de un activo, se compromete este último. Este compromiso puede afectar a la confidencialidad, la integridad o la disponibilidad del activo y generar la pérdida de valor parcial o total del mismo. El término “riesgo” se utiliza para describir la posibilidad o la probabilidad de ocurrencia de este compromiso.
  • Análisis de riesgos: Utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos.
  • Evaluación/Apreciación de riesgos: El proceso general de análisis y valoración/calificación del riesgo.
  • Riesgo Residual: Riesgo remanente que existe después de que se hayan tomado las medidas de seguridad.
  • Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
  • Aceptación del riesgo: La decisión de aceptar un riesgo y asumir las consecuencias de su materialización.
  • Tratamiento de riesgos: El proceso de selección e implementación de las medidas encaminadas a modificar el riesgo.

Para realizar el Análisis de Riesgos existen varias metodologías que resultan validas, como por ejemplo, la Metodología MAGERIT – Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información;. La metodología MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC), como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión, y cubre las actividades de análisis y tratamiento de riesgos facilitando una gestión de riesgos informada.

De forma más concreta:

  • El análisis de riesgos permite conocer detalladamente el sistema: sus activos, su valor, y las amenazas a las que está expuesto.
  • El tratamiento de riesgos se centra en seleccionar medidas de seguridad para controlar las amenazas.
  • La gestión de riesgos es el proceso integral de tratamiento de los riesgos descubiertos durante el análisis.
  • La organización debe aprobar el valor del riesgo aceptable y realizar la aceptación del riesgo residual.
importancia_de_proteger_la_informacion_sgsi_iso27001_ENS

La importancia de proteger la información en la empresa actual; Sistemas de Gestión de La Información y el Esquema Nacional de Seguridad.

6 abril 2021 amio_mx Uncategorized

En las últimas semanas todos hemos sido testigos de la oleada de Ciberataques a importantes entidades públicas en nuestro país, que han visto sus sistemas de información comprometidos de forma crítica. Los casos más «sonados» han sido:

    • SEPE – Servicio Público de Empleo Estatal.
    • AMB Barcelona – Área Metropolitana de Barcelona.
    • IDAE – Instituto para la Diversificación y el Ahorro Energético.

Sólo en el caso del ataque al SEPE, a través de un Ransonware (explicado de forma sencilla, se trata de un Software malicioso que es capaz de bloquear un sistema informático y «secuestrarlo», con el objetivo de obtener un beneficio económico, sin el que no se libera el sistema atacado, y por tanto, la información en él almacenada) la actividad de las 710 oficinas del organismo público que prestan atención presencial se vieron totalmente paralizadas durante tres días, en los que ninguna gestión pudo realizarse (tampoco telemáticamente), siendo las gestiones relacionadas con los ERTEs y las prestaciones por desempleo las más aferctadas.

La CIBERSEGURIDAD se ha convertido en una elemento crítico en el actual Modelo de Gestión Empresarial; proteger la información que intercambiamos de forma electrónica con cliente, proveedores y resto de partes interesadas durante la ejecución de nuestras actividades profesionales ha de ser una prioridad en nuestras empresas, las cuales deben estar adecuadamente preparadas para responder a estos ataques.

Uno de los errores que comúnmente se cometen es considerar los ciberataques como algo exclusivo del mundo digital, ya que un porcentaje muy considerable de los ataques se producen en un entorno absolutamente físico, aprovechando vulnerabilidades físicas de nuestra organización para tener éxito en su pretensión de acceder, manipular y(o robar la información que manejamos o intercambiamos a diario.

Desde hace unos años, existen unos Modelos de Gestión, perfectamente normalizados, que proporcionan a las empresas una serie de criterios, denominados Controles, que permiten establecer una metodología para la Gestión de la Seguridad de la Información, la cual es universalmente válida, independientemente de la actividad empresarial que llevemos a cabo. Se trata de las Normas:

    • ISO 27001:2013: Sistemas de Gestión de la Seguridad de la Información.
    • ISO 27002-2013: Código de Prácticas para los Controles de Seguridad de la Información

Por otra parte, en el caso concreto de España, desde el Año 2007, se regula  el acceso e intercambio de información por medios electrónicos entre las entidades Públicas y los Ciudadanos a través del Esquema Nacional de Seguridad – ENS.

Entorno Normativo del ENS – Esquema Nacional de Seguridad.

  • La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad.
  • Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
  • Real Decreto 951/2015, de 23 de octubre, Modificación del Esquema Nacional de Seguridad, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

¿Quiénes tiene la OBLIGACIÓN de implantar el ENS?

    1. La Administración General del Estado.
    2. Las Administraciones de las Comunidades Autónomas.
    3. Las Entidades que integran la Administración Local.
    4. El sector público institucional.
    5. Toda empresa PRIVADA que colabore o proporcione servicios a las Administraciones Pública dentro del ámbito del ENS.

Lo explicamos de una forma sencilla…

En AMIO INGENIEROS ponemos a disposición de llas Entidades (Públicas y Privadas), un equipo especializado en el Diseño e Implantación de Sistemas de Gestión de la Seguridad de la Información – SGSI – conforme a la Norma ISO 27001:2013, así como en el Esquema Nacional de Seguridad