924 43 65 10 - 633 73 14 27

alzza@alzza.es

Consultoría Empresarial

SEGURIDAD DE LA INFORMACIÓN

ENS (ESQUEMA NACIONAL DE SEGURIDAD)

Esquema Nacional de Seguridad: cumplimiento de los requisitos de protección de los sistemas de información de la Administración Pública.

El origen del ENS es el artículo 42 de la Ley 11/2007, pero se concretó su necesidad en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Este Real Decreto fue modificado por el Real Decreto 951/2015, para actualizarlo en base al conocimiento adquirido y la situación actual, incluido un nuevo escenario de ciber amenazas.

El ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de os sistemas de información.

El objetivo del Esquema Nacional de Seguridad no es otro que conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específicas para la seguridad de:

  • Sistemas (Medios electrónicos).
  • Datos.
  • Comunicaciones.
  • Servicios Electrónicos.

¿Quién debe cumplir con los requisitos del Esquema Nacional de Seguridad?

  • La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • Los ciudadanos en sus relaciones con las Administraciones Públicas.
  • Las relaciones entre las distintas Administraciones Públicas.

Beneficios de Certificarse en ENS

  • Garantía de productos certificados y de calidad.
  • Cumplimiento con los requisitos legales para las AA.PP.
  • Logra mayor confianza entre los usuarios en el uso de medios electrónicos.
  • Establecimiento de un lenguaje común de peligrosidad.
  • Utilización de guías e instrumentos para la Seguridad de la Información.

¿Qué tipo de servicios ESTÁN AFECTADOS?

  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo.

ISO 27001

¿Qué es ISO 27001 y para qué sirve?

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

A continuación, encontrarás los elementos más comunes para aplicar un proyecto SGSI:


Realizar un análisis de deficiencias

Un análisis de deficiencias determina las imperfecciones entre los procesos de seguridad de la información actuales y los requisitos de la norma. Además, identifica los recursos y las capacidades que se necesitan para reducir las diferencias.


Alcance del SGSI

Para definir el alcance es necesario tomar una decisión acerca de qué recursos informativos se van a delimitar y proteger, algo que puede llegar a ser complejo en las grandes organizaciones. De hecho, si el alcance no está definido correctamente, el proyecto puede dejar a la organización vulnerable a los riesgos que no se han tenido en cuenta.

Para determinar el contexto de la empresa es necesario revisar aspectos tales como la cultura y la tolerancia al riesgo de la misma. De este modo, se garantiza que el SGSI está diseñado adaptándose siempre a las necesidades de la compañía.


Desarrollar la política de la seguridad de la información

La política debe reflejar el punto de vista de la seguridad de la información de la organización y debe estar de acuerdo la junta.


Realizar una evaluación de riesgos

La evaluación de riesgos se encuentra en el núcleo de cualquier SGSI. Un asesor especializado en la materia identificará los riesgos a los que se enfrenta la compañía y realizará una estimación y evaluación de los mismos. A menudo, esto se centra en la evaluación de riesgos de los recursos, la cual ayudará a identificar si los controles son necesarios y asequibles para la organización.


Seleccionar los controles

Los controles deben aplicarse para gestionar o reducir los riesgos reales una vez que finalizada la evaluación de riesgos. La norma ISO 27001 requiere que se comparen los controles contra su propia lista de controles de buenas prácticas enumerados en el Anexo A.


Crear una declaración de aplicabilidad (SoA)

La SoA establece una lista de todos los controles del Anexo A de la norma ISO/IEC 27001:2013, junto con una declaración de si se ha aplicado el control o no y la justificación de su inclusión o exclusión.


Establecer un plan de tratamiento de riesgos (PTR)

El PTR describe los pasos que se tienen que dar para tratar cada riesgo identificado en la evaluación de riesgos.


Crear la documentación adecuada

La documentación tiene que desarrollarse para apoyar cada control planificado y cada componente del SGSI. Esto sirve para establecer un punto de referencia que garantice una aplicación consistente y mejora continua.

Recapitular y crear la documentación es la parte que lleva más tiempo a la hora de aplicar un SGSI.


Ampliar un programa de sensibilización del personal

Todo el personal debe recibir formación regular para aumentar su concienciación acerca de los problemas de la seguridad de la información y el objetivo del SGSI.


Realizar pruebas regulares

La norma ISO 27001 requiere auditorías internas del SGSI en intervalos planificados para determinar si los controles funcionan como deberían. Además, deben realizarse pruebas regulares para garantizar que los planes de respuesta ante incidentes funcionan con eficacia.


Obtener una certificación acreditada

Es importante asegurarse de que el organismo de certificación elegido está acreditado correctamente por un organismo de acreditación nacional reconocido que sea miembro del IAF, como el UKAS (Servicio de Acreditación del Reino Unido).

El organismo de certificación revisará la documentación del sistema de gestión y comprobará que se han aplicado los controles adecuados. Además, realizará una auditoría in situ para verificar que los procedimientos se han llevado a la práctica.

Utilizamos cookies propias y de terceros para mejorar nuestros servicios, realizar analisis de las conexiones y mostrarle publicidad relacionada con sus preferencias mediante el analisis de sus habitos de navegacion. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuracion u obtener mas informacion Aqui.

  Acepto las cookies de este sitio.