RRHH TECNOLOGÍA
Compártelo
Implementación del Esquema Nacional de Seguridad

Implementación del Esquema Nacional de Seguridad

La implantación del Esquema Nacional de Seguridad sigue un esquema muy marcado, donde se trasladan una serie de elementos mínimos que deben estar presentes.

Política de seguridad de la información

Además de los elementos ya comentados anteriormente se debe especificar quién o quiénes asumirán los siguientes roles:

  1. Responsable de la información: responsable de los tratamientos y finalidades de la información almacenada y tratada, estableciendo los requisitos de seguridad que deben existir.
  2. Responsable del servicio: responsable de establecer los requisitos de seguridad de los servicios, sobre todo en lo referente a la dimensión de disponibilidad.
  3. Responsable de seguridad: responsable de la gestión de la seguridad de la información en la organización.
  4. Responsable del sistema: responsable del mantenimiento y operación de los sistemas de información de la organización.
  5. Administrador de seguridad del sistema: encargado de la parte técnica de la implantación y mantenimiento de las medidas de seguridad.

Categorización de los sistemas

Se debe valorar la importancia de la información y servicios que estén dentro del alcance identificado. Para llegar a tal valoración, se deben identificar los impactos que se producirían si hubiese algún problema en materia de confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad.

Una vez hecha esa valoración, se atendería a lo dispuesto en las guías de seguridad del Centro Criptológico Nacional para saber qué medidas de seguridad deben ser implantadas para, al menos, cumplir con los requisitos de confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad identificados.

Análisis de riesgos

Si nos atenemos a lo dispuesto en el anexo II del Esquema Nacional de Seguridad, el análisis de riesgos que se realice debe contar con los siguientes elementos en función de la categorización del sistema:

  1. Categoría básica: al menos se debe llevar a cabo un análisis informal, donde se identifiquen los activos del sistema más importantes, las amenazas que se pueden producir con mayor probabilidad, los controles de seguridad que se corresponderían con tales amenazas y cuáles serían los riesgos residuales que quedarían en el sistema.
  2. Categoría media: al menos se debe llevar a cabo un análisis semiformal, donde además de identificar los activos más importantes, amenazas, controles y el riesgo residual resultante, se deben valorar y cuantificar cada uno de tales elementos.
  3. Categoría alta: se debe llevar a cabo un análisis formal, donde además de los elementos comentados en la categoría media, se deben identificar las vulnerabilidades existentes en el contexto concreto de la organización que harían que pudiesen tener lugar las amenazas identificadas.

Declaración de aplicabilidad

Una vez se tenga claro la categoría del sistema, se deben identificar los controles de seguridad a implantar, debiendo tener muy presentes las dimensiones de seguridad comentadas y las necesidades que pueden existir en cada una de ellas. En el anexo II del Esquema Nacional de Seguridad, se encuentran las tablas con los controles de seguridad, a fin de identificar cuáles deben ser implantados.

Insuficiencias del sistema

Una vez identificadas las medidas de seguridad que deben implantarse, se procederá a realizar una evaluación sobre el grado de cumplimiento de tales medidas. Con tal resultado, se podrá diseñar el plan de adecuación a la normativa.

Plan de mejora de seguridad

Con la entrada del punto anterior, se podrá proceder a diseñar el Plan de Mejora que corrija las deficiencias detectadas en el sistema.

Así, la información que deberá constar en tal plan es la siguiente:

  1. Acciones a llevar a cabo.
  2. Responsables de la ejecución de las mismas.
  3. Responsables de la supervisión.
  4. Plazos de implantación.
  5. Costes estimados de las acciones.

Finalmente, cabe destacar que el Esquema Nacional de Seguridad sufrió una modificación en 2015, estando la misma descrita en el Real Decreto 951/2015, de 23 de octubre, de modificación del ENS.

Entre otras actualizaciones, están las siguientes:

  1. Gestión continua de la seguridad como aspecto clave, necesitando de la misma las 24 horas al día.
  2. Formalización de las medidas de seguridad a implantar en un Documento de Declaración de Aplicabilidad.
  3. Introducción de las Instrucciones Técnicas de Seguridad, que regularán requisitos de seguridad específicos que deban ser contemplados por las Administraciones públicas.
  4. Investigación de los incidentes de seguridad con las evidencias que sean necesarias para ello.

Artículo Anterior Aspectos legales en los recursos humanos
Artículo Siguiente ¿Qué es la comunicación comercial?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 17 Mayo 2022
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Qué es una Filial? Características y ejemplos
Las empresas filiales son entidades que están bajo la dirección de otras organizaciones llamadas matrices. Y a pesar de pertenecer a una entidad mayor...
Cómo usar la caja registradora: instrucciones para el cajero
Una caja en línea debe estar presente en cada punto de venta. Al mismo tiempo, también han cambiado las reglas de uso de la caja registradora, lo que ...
Características de una empresa: ¿Cuáles son?
Una empresa es una organización, cuyo objetivo esencial es cubrir una demanda, ofreciendo ciertos productos y/o servicios y percibir ganancias por ell...
Pequeña empresa: Qué es, ventajas y desventajas
Las pequeñas empresas, clasificadas de acuerdo a su tamaño, son las segundas entidades con menor magnitud empresarial, solo ubicadas por delante de la...

MARKETING

Cómo convertirse en un influencer en 5 pasos + consejos
El marketing de influencia (también conocido como marketing de influencers) está eclipsando rápidamente otros tipos de promoción de bienes y servicios...
Publicidad: Qué es, elementos e importancia
La publicidad es una técnica de comunicación para conseguir un objetivo en concreto. Representa una de las herramientas más importantes de las empresa...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS