Compártelo
Esquema Nacional de Seguridad
TECNOLOGÍA

Esquema Nacional de Seguridad

Al igual que la ISO 27001 es la norma madre que define cómo implantar un Sistema de Gestión de Seguridad de la Información en el ámbito privado, sobre todo, y en aquellas entidades públicas que puedan estar interesadas, el Esquema Nacional de Seguridad hace lo propio en el ámbito de la administración electrónica.


Para dar forma a tal norma se identificaron las mejores prácticas internacionales existentes en la materia, siendo, por tanto, un marco que tuvo como base normativa de probada utilidad y eficacia. Por otro lado, el alcance de esta norma queda supeditado a los servicios electrónicos, datos, información, comunicaciones y otros elementos que participen en la prestación de servicios electrónicos por parte de las Administraciones públicas.

Además, otra de las particularidades del Esquema Nacional de Seguridad es la obligatoriedad de su cumplimiento por parte de las Administraciones públicas. Cuestión que dista mucho de las normas ISO, las cuales son de aplicación voluntaria.

Principios

Los principios básicos que quedan definidos en el Esquema Nacional de Seguridad son los siguientes:

  1. Seguridad integral: la seguridad no puede ser una acción aislada, sino un enfoque integral que aglutine a todas las áreas de negocio de la organización y a todos los campos que forman parte de la seguridad (física, software, hardware, comunicaciones, etc.).
  2. Gestión de riesgos: para tomar decisiones informadas en materia de seguridad, es necesario seguir el ciclo de análisis y gestión de riesgos, identificando los activos implicados, amenazas que pueden producirse y controles que aporten valor.
  3. Líneas de defensa: deben existir distintos niveles de protección en la organización, evitando así que una falla de seguridad, o la ineficacia de un control implantado, haga que toda la seguridad se venga abajo. En este caso, hablaremos de medidas de seguridad física, control de acceso lógico, sistemas de gestión de contraseñas, etc.
  4. Prevención, reacción y recuperación: en relación con el punto anterior, e integrado en la visión de alcanzar una visión integral, se deben contar con medidas de seguridad de distinta tipología.

Además, medidas preventivas que reduzcan de forma notable los posibles riesgos, como, por ejemplo, la instalación de software antivirus en los sistemas; por otro lado, medidas reactivas para detectar incidentes que se puedan producir, como sistemas de monitorización; y, finalmente, medidas de recuperación para mitigar el riesgo generado por las amenazas, como puedan ser los sistemas de copias de respaldo.

  1. Roles: la gestión de la seguridad de la información debe estar liderada y contar con una serie de roles que identifiquen las necesidades a implantar y velen por su cumplimiento. Así, hablamos del responsable de la información, del servicio y de la seguridad.
  2. Evaluación periódica: la seguridad debe ser revisada y evaluada con una frecuencia definida, a fin de detectar posibles mejoras, áreas de mejora, etc.

Requisitos mínimos

Los requisitos mínimos que deben estar contemplados en la política de seguridad de la información son los siguientes:

  1. Organización de la seguridad: roles como el de responsable de la información, servicios y seguridad deben ser asignados de forma oportuna, al igual que las funciones y composición del Comité de Seguridad de la Información. De igual modo, la política donde se establezca esta información debe ser aprobada y comunicada formalmente, a fin de que todos los usuarios tengan conocimiento de la misma.
  2. Análisis y gestión de riesgos: se debe indicar cómo se llevarán a cabo el análisis y la gestión de riesgos. En el caso de la Administración pública española, la metodología MAGERIT, junto con la herramienta PILAR, son las herramientas empleadas en este caso.
  3. Protección de instalaciones: los lugares donde se encuentren físicamente los sistemas de información deben protegerse contra todo tipo de amenazas, desde fuegos hasta inundaciones o intentos de acceso no autorizados.
  4. Control de accesos: los usuarios solo podrán acceder a aquella información que precisen para su puesto de trabajo, debiendo contar con algún sistema que permita revisar de forma periódica los privilegios de acceso emitidos.
  5. Personal: cada usuario tendrá una serie de responsabilidades a cumplir en función de las necesidades específicas de su puesto de trabajo. Para cumplir de la forma más oportuna con tales responsabilidades, será necesario disponer de programas de formación y concienciación. Además, se tendrá que auditar y verificar el cumplimiento de lo dispuesto en las diferentes normas y procedimientos que existan en la organización. Finalmente, el personal implicado en la gestión de la seguridad de la información deberá estar pertinentemente cualificado y tener acceso a acciones para actualizar su conocimiento.
  6. Seguridad por defecto: los sistemas deben diseñarse y configurarse de tal forma que su uso cuente con la máxima seguridad posible.
  7. Actualización de los sistemas: se deberá llevar un seguimiento sobre las actualizaciones que publiquen los fabricantes, implantando todos los cambios que sean aprobados.
  8. Adquisición de productos: en el momento en que se vayan a adquirir nuevos productos, se debe considerar, y ponderar positivamente, el hecho de que cumplan con diversas normativas en materia de seguridad.
  9. Registro de actividad: se deben poder identificar los accesos no autorizados al sistema, así como los intentos de acceso no autorizados que no pudieran tener lugar. De igual modo, se deben implantar las medidas que sean oportunas para evitar tales hechos y sancionar tales infracciones.
  10. Protección de la información almacenada y en tránsito: se debe contar con medidas que permitan proteger la información durante todo su ciclo de vida, especialmente en las fases de almacenamiento y tránsito. Esto conlleva evitar acciones como la comunicación de información confidencial sobre redes abiertas, no emplear métodos de cifrado o el almacenamiento de dicha información en medios portátiles que no han sido debidamente asegurados.
  11. Incidencias de seguridad: debe existir una gestión de incidentes que permita tomar soluciones ante los eventos que ocurran, así como extraer conclusiones para evitar que se vuelvan a repetir.

Maestría en
Videojuegos para e-Sports

TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
16 meses - 75 créditos
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas mensuales sin intereses
CEUPE, escuela premiada por ofrecer la mejor forma...
CEUPE Centro Europeo de Postgrado recibe el recono...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Viernes, 13 Diciembre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

El pasado mes de octubre, CEUPE llevó a cabo una nueva edición de la Semana Internacional en la vibrante ciudad de Madrid. Este evento es mucho más que un simple encuentro; es una oportunidad única pa...
CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...

EMPRESAS

En el vertiginoso mundo laboral actual, establecer metas claras y efectivas es fundamental para crecer profesionalmente y alcanzar el éxito. Sin objet...
La gestión de proyectos sigue evolucionando rápidamente, y 2025 será un año clave para consolidar nuevas prácticas y tecnologías. Este artículo analiz...
En un mundo cada vez más digitalizado, la factura electrónica se ha convertido en una herramienta esencial para empresas y profesionales. Este sistema...
Marketing, ventas, finanzas, recursos humanos, operaciones… Son diversas las áreas funcionales que componen el total de departamentos de una empresa. ...

MARKETING

En un mundo empresarial cada vez más competitivo, la obtención y análisis de información de mercados se han convertido en pilares fundamentales para t...
En el mundo empresarial, la competencia es inevitable. Sin embargo, no todos los competidores son iguales, y entender qué hace un competidor "bueno" p...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python