TECNOLOGÍA
Compártelo
Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

Al igual que la ISO 27001 es la norma madre que define cómo implantar un Sistema de Gestión de Seguridad de la Información en el ámbito privado, sobre todo, y en aquellas entidades públicas que puedan estar interesadas, el Esquema Nacional de Seguridad hace lo propio en el ámbito de la administración electrónica.

Para dar forma a tal norma se identificaron las mejores prácticas internacionales existentes en la materia, siendo, por tanto, un marco que tuvo como base normativa de probada utilidad y eficacia. Por otro lado, el alcance de esta norma queda supeditado a los servicios electrónicos, datos, información, comunicaciones y otros elementos que participen en la prestación de servicios electrónicos por parte de las Administraciones públicas.

Además, otra de las particularidades del Esquema Nacional de Seguridad es la obligatoriedad de su cumplimiento por parte de las Administraciones públicas. Cuestión que dista mucho de las normas ISO, las cuales son de aplicación voluntaria.

Principios

Los principios básicos que quedan definidos en el Esquema Nacional de Seguridad son los siguientes:

  1. Seguridad integral: la seguridad no puede ser una acción aislada, sino un enfoque integral que aglutine a todas las áreas de negocio de la organización y a todos los campos que forman parte de la seguridad (física, software, hardware, comunicaciones, etc.).
  2. Gestión de riesgos: para tomar decisiones informadas en materia de seguridad, es necesario seguir el ciclo de análisis y gestión de riesgos, identificando los activos implicados, amenazas que pueden producirse y controles que aporten valor.
  3. Líneas de defensa: deben existir distintos niveles de protección en la organización, evitando así que una falla de seguridad, o la ineficacia de un control implantado, haga que toda la seguridad se venga abajo. En este caso, hablaremos de medidas de seguridad física, control de acceso lógico, sistemas de gestión de contraseñas, etc.
  4. Prevención, reacción y recuperación: en relación con el punto anterior, e integrado en la visión de alcanzar una visión integral, se deben contar con medidas de seguridad de distinta tipología.

Además, medidas preventivas que reduzcan de forma notable los posibles riesgos, como, por ejemplo, la instalación de software antivirus en los sistemas; por otro lado, medidas reactivas para detectar incidentes que se puedan producir, como sistemas de monitorización; y, finalmente, medidas de recuperación para mitigar el riesgo generado por las amenazas, como puedan ser los sistemas de copias de respaldo.

  1. Roles: la gestión de la seguridad de la información debe estar liderada y contar con una serie de roles que identifiquen las necesidades a implantar y velen por su cumplimiento. Así, hablamos del responsable de la información, del servicio y de la seguridad.
  2. Evaluación periódica: la seguridad debe ser revisada y evaluada con una frecuencia definida, a fin de detectar posibles mejoras, áreas de mejora, etc.

Requisitos mínimos

Los requisitos mínimos que deben estar contemplados en la política de seguridad de la información son los siguientes:

  1. Organización de la seguridad: roles como el de responsable de la información, servicios y seguridad deben ser asignados de forma oportuna, al igual que las funciones y composición del Comité de Seguridad de la Información. De igual modo, la política donde se establezca esta información debe ser aprobada y comunicada formalmente, a fin de que todos los usuarios tengan conocimiento de la misma.
  2. Análisis y gestión de riesgos: se debe indicar cómo se llevarán a cabo el análisis y la gestión de riesgos. En el caso de la Administración pública española, la metodología MAGERIT, junto con la herramienta PILAR, son las herramientas empleadas en este caso.
  3. Protección de instalaciones: los lugares donde se encuentren físicamente los sistemas de información deben protegerse contra todo tipo de amenazas, desde fuegos hasta inundaciones o intentos de acceso no autorizados.
  4. Control de accesos: los usuarios solo podrán acceder a aquella información que precisen para su puesto de trabajo, debiendo contar con algún sistema que permita revisar de forma periódica los privilegios de acceso emitidos.
  5. Personal: cada usuario tendrá una serie de responsabilidades a cumplir en función de las necesidades específicas de su puesto de trabajo. Para cumplir de la forma más oportuna con tales responsabilidades, será necesario disponer de programas de formación y concienciación. Además, se tendrá que auditar y verificar el cumplimiento de lo dispuesto en las diferentes normas y procedimientos que existan en la organización. Finalmente, el personal implicado en la gestión de la seguridad de la información deberá estar pertinentemente cualificado y tener acceso a acciones para actualizar su conocimiento.
  6. Seguridad por defecto: los sistemas deben diseñarse y configurarse de tal forma que su uso cuente con la máxima seguridad posible.
  7. Actualización de los sistemas: se deberá llevar un seguimiento sobre las actualizaciones que publiquen los fabricantes, implantando todos los cambios que sean aprobados.
  8. Adquisición de productos: en el momento en que se vayan a adquirir nuevos productos, se debe considerar, y ponderar positivamente, el hecho de que cumplan con diversas normativas en materia de seguridad.
  9. Registro de actividad: se deben poder identificar los accesos no autorizados al sistema, así como los intentos de acceso no autorizados que no pudieran tener lugar. De igual modo, se deben implantar las medidas que sean oportunas para evitar tales hechos y sancionar tales infracciones.
  10. Protección de la información almacenada y en tránsito: se debe contar con medidas que permitan proteger la información durante todo su ciclo de vida, especialmente en las fases de almacenamiento y tránsito. Esto conlleva evitar acciones como la comunicación de información confidencial sobre redes abiertas, no emplear métodos de cifrado o el almacenamiento de dicha información en medios portátiles que no han sido debidamente asegurados.
  11. Incidencias de seguridad: debe existir una gestión de incidentes que permita tomar soluciones ante los eventos que ocurran, así como extraer conclusiones para evitar que se vuelvan a repetir.

Artículo Anterior Las novedades del RGPD
Artículo Siguiente Nuevo paradigma turístico
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Lunes, 27 Septiembre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...
5 Errores frecuentes al crear una estructura organizativa❌
Error 1. Una empresa crece, pero su estructura se mantiene igual Con frecuencia, los directivos, cuando se centran en la resolución de problemas y/o e...
Clasificación del comportamiento organizativo👨‍💼
El término comportamiento organizativo se originó por la necesidad de referirse a la variedad de respuestas conductuales de un individuo (grupo) a las...
6 elementos básicos de la estructura organizativa de una empresa 👩‍💼
El rendimiento de una empresa está directamente relacionado con una adecuada elección y construcción de una estructura organizativa. Es preciso defini...

MARKETING

Principios básicos de la gestión de ventas🛒
Los principios básicos de la gestión de ventas son el principio de optimización y el principio de dirección y en este post te explicaremos de qué trat...
¿Por qué etapas pasa la negociación?🤝
Resulta absurdo considerar que incluso los mejores negociadores no se preparan para las reuniones o que no planifiquen cuidadosamente cada paso que da...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS