Hoy veremos el primer paso para implantar el ENS o Esquema Nacional de Seguridad en nuestra empresa:
PRINCIPIOS BÁSICOS ENS
Tal y como estipula el ENS, en las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
- Seguridad integral.
- Gestión de riesgos.
- Prevención, reacción y recuperación.
- Líneas de defensa.
- Reevaluación periódica.
- Función diferenciada.
SEGURIDAD INTEGRAL
Para que sea efectiva, la gestión de la seguridad debe ser un proceso integral, es decir, que hay que considerar tanto los elementos técnicos, como los humanos, los materiales y los organizativos, relacionados con el sistema.
En el Esquema Nacional de Seguridad no se admiten actuaciones puntuales.
Parte fundamental en la consecución de una gestión integral de la seguridad es la formación de todo el personal que tenga alguna responsabilidad en los servicios electrónicos que se prestan.
Es importante recordar que los sistemas son gestionados y operados por personas.
Aunque se implantaran todas las medidas técnicas aplicables, sería imposible evitar un error humano o un ataque deliberado.
La mejor manera de prevenir estos casos es mediante la concienciación y la formación.
GESTIÓN DE RIESGOS
Un programa de seguridad tiene sentido en la medida en la que responde a las necesidades de reducción de riesgos de la entidad.
La herramienta básica para hacerlo es el análisis y gestión de riesgos.
El análisis de riesgos detectará los problemas de seguridad y los categorizará.
Con la gestión se reducirán los riesgos a un nivel aceptable mediante la selección e implantación de medidas de seguridad.
Como las circunstancias y los sistemas cambian, el análisis de riesgos debe mantenerse actualizado en todo momento.
PREVENCIÓN, REACCIÓN Y RECUPERACIÓN
No todas las medidas de seguridad están enfocadas a los mismos objetivos.
- Las medidas de prevención tales como, por ejemplo, las medidas de protección de los accesos físicos, tienen como fin evitar que se produzcan eventos o incidentes.
- Las medidas de detección (implantar antivirus por ejemplo) sirven para identificar eventos potencialmente peligrosos.
- Deben existir medidas de reacción (eliminación de virus siguiendo con el ejemplo anterior) que atajen el evento, minimizando los daños que hayan podido ocurrir.
- Las medidas de recuperación (entre las que se encuentra la realización de copias de seguridad) son las que permiten restablecer la información o los servicios que hayan podido resultar dañados por un incidente de seguridad.
La utilización de todos los tipos de medidas permitirá un enfoque integral de la seguridad tal y como exige el ENS, evitando incidencias y reduciendo el impacto de aquellas que finalmente ocurran.
Otro punto a considerar es la necesidad de conservar los datos en soporte electrónico así como la de mantener disponibles los servicios que los utilizan durante todo el ciclo de vida útil de dichos datos.
Esto habitualmente se hará mediante procedimientos orientados a preservar el patrimonio digital.
LÍNEAS DE DEFENSA
El sistema debe contar con sucesivas capas de protección de manera que un incidente no sea capaz de desarrollar todo su potencial dañino en caso de que ocurra.
Para ello es necesario que encuentre distintos obstáculos que reduzcan su impacto total en forma de líneas de defensa.
De esta manera, si ocurre un incidente, las capas de medidas de seguridad deben permitir:
- Ganar tiempo para reaccionar, conteniendo el incidente.
- Reducir la amplitud del impacto, evitando que se difunda a todo el sistema.
- Disminuir hasta donde sea posible el impacto total sobre el sistema.
Para que esto sea posible deben aplicarse un conjunto de medidas de carácter organizativo (como las políticas de uso aceptable), físicas (por ejemplo equipos antiincendios) y lógicas (tales como las segregación de redes).
EVALUACIÓN PERIÓDICA
La evaluación de riesgos debe estar actualizada para que cumpla eficazmente con su función de detectar peligros potenciales para el sistema.
En esa dinámica se enmarca asimismo la revisión de las medidas de seguridad, para verificar que siguen siendo las adecuadas a los riesgos detectados y que mantienen su eficacia protegiendo el sistema contra ellos.
Esta revisión puede llevar a la conclusión de que hay que añadir más controles, mejorar los existentes o incluso reorganizar por completo el conjunto de controles aplicados.
FUNCIÓN DIFERENCIADA
En cualquier marco de trabajo de seguridad es crucial mantener una sana separación de responsabilidades que evite conflictos de interés que puedan ir en detrimento de la seguridad.
El ENS estipula que las funciones de responsable de la información, responsable del servicio y responsable de la seguridad deben estar separadas.
- El responsable de la información es quien conoce el uso que se le debe dar a dicha información por lo que es la persona más apropiada para definir los requisitos de seguridad de la información tratada.
- El responsable del servicio es quien conoce la problemática de dicho servicio y las condiciones en la que se puede y debe prestar, por lo que es el indicado para determinar los requisitos de seguridad de los servicios prestados.
- Por último, el responsable de seguridad es quien está al tanto de la visión general de los sistemas, datos y riesgos a los que están expuestos, por lo que es la personal que puede tomar con más conocimiento de causa las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
De esta manera se asegura que los distintos requisitos son adecuadamente consensuados, optimizando los resultados.
Los roles y responsabilidades deben estar claramente definidos y documentados en la política de seguridad, así como los mecanismos para la resolución de conflictos.
Tras exponer los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, el próximo día veremos cuales son los requisitos mínimos de seguridad que deberían implantarse en nuestra empresa u organización.
