Per a equips d'IT

Compliment sense trepitjar el teu terreny.

Tu coneixes els teus sistemes. Nosaltres, el mapa normatiu. Treballem amb tu, no per sobre teu.

El que la llei li demana a la teva àrea

RGPD, NIS2, ENS, ISO 27001… noms diferents, exigències semblants. Això és el que toquen del teu terreny:

tria MFA i accessos Còpies Logs Xifratge Vulnerabilitats Proveïdors Incidents Evidències
MFA i control d'accésSSO on es pugui, MFA on toca i comptes admin separats de l'ús diari.
Còpies i recuperació3-2-1 amb còpia immutable. Un backup sense test de restore és una hipòtesi.
Registre i monitoratgeLogs centralitzats del que és crític, retenció definida i alertes que algú mira.
XifratgeEn repòs i en trànsit, amb gestió de claus. "El proveïdor xifra" no és una resposta.
Gestió de vulnerabilitatsPegats prioritzats per explotabilitat real, no per ordre d'arribada del CVSS.
Seguretat de proveïdorsQui accedeix a què, amb quines garanties contractuals i què passa si els ataquen a ells.
Resposta a incidentsDetecció, classificació i els terminis de NIS2: alerta en 24 h, notificació en 72 h.
Evidències de tot l'anteriorSi no ho pots demostrar, per a l'auditor no existeix.

De la norma al control

L'articulat no diu "FIDO2" — però l'auditor sí que l'espera. Així traduïm la lletra de la llei a controls verificables i a l'evidència que et demanaran:

Norma / articleControl tècnic esperatEvidència que demana un auditor
NIS2 art. 21.2(j)Autenticació multifactor MFA resistent al phishing —FIDO2/WebAuthn, passkeys— en accessos privilegiats i remots. OTP per app com a mínim acceptable a la resta; SMS, no. Política de control d'accés + export de configuració de l'IdP (Entra ID, Okta, Google Workspace) mostrant l'enforcement per grup.
NIS2 art. 21.2(c)Continuïtat i còpies Backups 3-2-1 amb almenys una còpia immutable (object lock / WORM) o offline, i proves de restauració periòdiques contra RTO/RPO definits. Informe de test de restore datat, amb temps mesurats respecte a l'objectiu i qui el va executar.
RGPD art. 32Seguretat del tractament Xifratge en trànsit (TLS 1.2+, idealment 1.3) i en repòs (AES-256); discos de portàtils amb FileVault/BitLocker gestionat centralment. Inventari de xifratge per sistema + procediment de gestió de claus (qui les custodia i com roten).
ENS op.accControl d'accés Mínim privilegi: comptes d'administració separats, revisió periòdica de permisos i PAM quan hi ha escala. Baixes d'usuari el mateix dia. Matriu de rols i permisos revisada, amb data, responsable i resultat de l'última revisió.
NIS2 art. 23Notificació d'incidents Capacitat de detectar i classificar incidents significatius: alerta primerenca en 24 h i notificació en 72 h al CSIRT de referència (INCIBE-CERT / CCN-CERT). Runbook de resposta amb rols i terminis + registre d'incidents, encara que sigui a zero.
NIS2 art. 21.2(e)Gestió de vulnerabilitats Pegats prioritzats per explotabilitat real: CVSS com a base, corregit amb EPSS i el catàleg KEV de CISA. SLA per severitat. Informe mensual de vulnerabilitats amb SLAs complerts i excepcions justificades per escrit.
CorreuNIS2 art. 21.2 · higiene bàsica SPF + DKIM + DMARC en p=reject, passant abans per p=none i p=quarantine mentre es monitoren els informes agregats. Registres DNS publicats + informes DMARC (rua) de l'últim trimestre.
NIS2 art. 21.2(d)Cadena de subministrament Avaluació TPRM de proveïdors amb accés a dades o sistemes, clàusules de seguretat al contracte i encàrrec de tractament (RGPD art. 28) on toqui. Registre de proveïdors avaluats amb criticitat, data i resultat de l'última revisió.
ENS op.exp.8Registre d'activitat Logs centralitzats de sistemes crítics, retenció definida, rellotges sincronitzats per NTP i accés restringit al mateix log. Política de logging + evidència de retenció i de qui pot llegir (i no esborrar) els registres.

Mostra representativa, no el mapa complet. El Gap Analysis creua el teu abast real —actius, dades, sector, mida— amb l'articulat que de debò t'aplica.

Amb quins frameworks treballem

Prioritzar sense un marc de referència és opinar. Aquests són els nostres — i per a què fem servir cadascun:

Priorització CIS Controls v8

La nostra base per ordenar la feina. Comencem per IG1 —la higiene essencial, 56 salvaguardes— i pugem a IG2 segons mida i exposició. Cada recomanació es traça fins a una salvaguarda concreta, no a un "best practice" genèric.

Compliment ISO 27002:2022 + ENS

Mapem cada control CIS als 93 controls d'ISO 27002:2022 i a les mesures de l'ENS (categoria bàsica o mitjana, segons el cas). Implementes una vegada i cobreixes diversos marcs — sense feina duplicada.

Aplicacions web OWASP ASVS

Per al que exposes al web: ASVS com a llista de requisits verificables, nivell L1 o L2 segons la criticitat de l'aplicació. Requisits concrets i testejables, no un top-10 de titulars.

Com encaixem amb tu

Ni auditors que arriben per suspendre't, ni consultors que t'envien un PDF i desapareixen.

1

El teu stack és teu.

Recomanem de manera agnòstica: criteris i opcions, no marques. Tu tries l'eina — o mantens la que ja tens, si compleix el requisit. No cobrem comissió de ningú.

2

Propostes concretes.

Cada troballa arriba amb severitat, esforç estimat i una alternativa econòmica quan existeix. Res de "hauries de reforçar la seguretat": què canviar, en quin ordre i per què.

3

Nosaltres documentem.

Tu implementes; les polítiques, les evidències i les respostes als auditors les preparem nosaltres amb la plataforma. La paperassa del compliment deixa de ser el teu problema.

Parlem del teu stack?

Explica'ns què tens muntat i et tornem el mapa: què et demana la norma, què tens ja cobert i quina evidència falta. De tècnic a tècnic, sense fum.

hola@tria.consulting

Prefereixes començar pel teu compte? Fes la revisió gratuïta (castellà) →