Hoy veremos el primer paso para implantar el ENS o Esquema Nacional de Seguridad en nuestra empresa:

PRINCIPIOS BÁSICOS ENS

Tal y como estipula el ENS, en  las  decisiones  en  materia  de  seguridad  deberán  tenerse  en cuenta los siguientes principios básicos:

  • Seguridad integral.
  • Gestión de riesgos.
  • Prevención, reacción y recuperación.
  • Líneas de defensa.
  • Reevaluación periódica.
  • Función diferenciada.

SEGURIDAD INTEGRAL

Para que sea efectiva, la gestión de la seguridad debe ser un proceso  integral,  es  decir,  que  hay  que  considerar  tanto  los  elementos técnicos, como los humanos, los materiales y los organizativos,  relacionados  con  el  sistema. 

En  el  Esquema  Nacional de Seguridad no se admiten actuaciones puntuales.

Parte fundamental en la consecución de una gestión integral de la seguridad es la formación de todo el personal que tenga alguna  responsabilidad  en  los  servicios  electrónicos  que  se  prestan.

Es  importante  recordar  que  los  sistemas  son  gestionados  y  operados  por  personas. 

Aunque  se  implantaran  todas  las  medidas técnicas aplicables, sería imposible evitar un error humano o un ataque deliberado.

La mejor manera de prevenir estos casos es mediante la concienciación y la formación.

Medidas Técnicas ENS

GESTIÓN DE RIESGOS

Un programa de seguridad tiene sentido en la medida en la que  responde  a  las  necesidades  de  reducción  de  riesgos  de  la entidad.

La  herramienta  básica  para  hacerlo  es  el  análisis  y  gestión  de riesgos.

El análisis de riesgos detectará los problemas de seguridad y los categorizará.

Con la gestión se reducirán  los  riesgos  a  un  nivel  aceptable  mediante  la  selección  e  implantación  de  medidas  de  seguridad

Como  las  circunstancias y los sistemas cambian, el análisis de riesgos debe mantenerse actualizado en todo momento.

PREVENCIÓN, REACCIÓN Y RECUPERACIÓN

No  todas  las  medidas  de  seguridad  están  enfocadas  a  los  mismos objetivos.

  • Las medidas de prevención tales como, por ejemplo, las medidas  de  protección  de  los  accesos  físicos,  tienen  como  fin  evitar que se produzcan eventos o incidentes.
  • Las  medidas  de  detección  (implantar  antivirus  por  ejemplo)  sirven  para  identificar  eventos  potencialmente  peligrosos. 
  • Deben  existir  medidas  de  reacción  (eliminación  de  virus  siguiendo con el ejemplo anterior) que atajen el evento, minimizando los daños que hayan podido ocurrir.
  • Las  medidas  de  recuperación  (entre  las  que  se  encuentra  la  realización  de  copias  de  seguridad)  son  las  que  permiten  restablecer  la  información  o  los  servicios  que  hayan  podido  resultar dañados por un incidente de seguridad.

La utilización de todos los tipos de medidas permitirá un enfoque  integral  de  la  seguridad  tal  y  como  exige  el  ENS,  evitando  incidencias  y  reduciendo  el  impacto  de  aquellas  que  finalmente ocurran.

Otro punto a considerar es la necesidad de conservar los datos en soporte electrónico así como la de mantener disponibles los servicios que los utilizan durante todo el ciclo de vida útil  de  dichos  datos. 

Esto  habitualmente  se  hará  mediante  procedimientos orientados a preservar el patrimonio digital.

LÍNEAS DE DEFENSA

El sistema debe contar con sucesivas capas de protección de manera  que  un  incidente  no  sea  capaz  de  desarrollar  todo  su potencial dañino en caso de que ocurra.

Para ello es necesario que encuentre distintos obstáculos que reduzcan su impacto total en forma de líneas de defensa.

De esta manera, si ocurre un incidente, las capas de medidas de seguridad deben permitir:

  • Ganar tiempo para reaccionar, conteniendo el incidente.
  • Reducir la amplitud del impacto, evitando que se difunda a todo el sistema.
  • Disminuir hasta donde sea posible el impacto total sobre el sistema.

Para  que  esto  sea  posible  deben  aplicarse  un  conjunto  de  medidas de carácter organizativo (como las políticas de uso aceptable), físicas (por ejemplo equipos antiincendios) y lógicas (tales como las segregación de redes).

Evaluación Periódica ENS

EVALUACIÓN PERIÓDICA

La evaluación de riesgos debe estar actualizada para que cumpla eficazmente con su función de detectar peligros potenciales para el sistema.

En  esa  dinámica  se  enmarca  asimismo  la  revisión  de  las  medidas  de  seguridad,  para  verificar  que  siguen  siendo  las  adecuadas a los riesgos detectados y que mantienen su eficacia protegiendo el sistema contra ellos.

Esta revisión puede llevar  a  la  conclusión  de  que  hay  que  añadir  más  controles,  mejorar los existentes o incluso reorganizar por completo el conjunto de controles aplicados.

FUNCIÓN DIFERENCIADA

En cualquier marco de trabajo de seguridad es crucial mantener  una  sana  separación  de  responsabilidades  que  evite conflictos  de  interés  que  puedan  ir  en  detrimento  de  la  seguridad.

El ENS estipula que las funciones de responsable de la información,  responsable  del  servicio  y  responsable  de  la  seguridad deben estar separadas.

  • El responsable de la información es quien conoce el uso que se le debe dar a dicha información por lo que es la persona más apropiada para definir los requisitos de seguridad de la información tratada.
  • El responsable del servicio es quien conoce la problemática de dicho servicio y las condiciones en la que se puede y debe prestar, por lo que es el indicado para determinar los requisitos de seguridad de los servicios prestados.
  • Por último, el responsable de seguridad es quien está al tanto de la visión general de los sistemas, datos y riesgos a los que  están  expuestos,  por  lo  que  es  la  personal  que  puede  tomar  con  más  conocimiento  de  causa  las  decisiones  para  satisfacer los requisitos de seguridad de la información y de los servicios.

De  esta  manera  se  asegura  que  los  distintos  requisitos  son  adecuadamente consensuados, optimizando los resultados.

Los roles y responsabilidades deben estar claramente definidos y documentados en la política de seguridad, así como los mecanismos para la resolución de conflictos.

Tras exponer los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, el próximo día veremos cuales son los requisitos mínimos de seguridad que deberían implantarse en nuestra empresa u organización.

logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/