Uno de los primeros pasos para implantar el Esquema Nacional de Seguridad es la categorización del sistema.
Ésta dependerá de medidas tanto del marco operacional como del de seguridad.
Fundamentos para la determinación de la categoría de un sistema
La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría en la organización algún incidente relacionado con la seguridad de la información o de los sistemas con repercusión en las siguientes capacidades organizativas:
- Alcanzar sus objetivos.
- Proteger los activos a su cargo.
- Cumplir con las obligaciones diarias de su servicio.
- Respetar la legalidad vigente.
- Respetar los derechos de las personas.
Además, esta determinación deberá regirse por lo especificado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, para la prestación de los servicios de la Administración Electrónica y soporte del procedimiento administrativo general.
Dimensiones de seguridad
Tenemos que valorar el impacto que tendría un incidente de seguridad de la información.
Para valorar estos impactos, debemos tener en cuenta las siguientes dimensiones de seguridad: Disponibilidad (D), Integridad (I), Confidencialidad (C), Autenticidad (A) y Trazabilidad (T).
Determinación de un nivel requerido en una dimensión de seguridad
El impacto de un incidente que puede ocurrir en cada servicio puede afectar a uno o más dimensiones de seguridad. Para aplicar las medidas necesarias se deben de establecer los siguientes niveles de impacto:
- Bajo: Se utilizará cuando las dimensiones de seguridad supongan un riesgo limitado sobre la organización, los activos o sobre los individuos afectados.
Un perjuicio limitado se podría entender como:
· La limitación que tendría una organización para atender sus obligaciones corrientes a pesar de que se sigan desempeñando.
· Un daño menor dentro de los activos de la organización.
· El incumplimiento de alguna ley de carácter remediable.
· Causar algún daño menor a algún individuo, a pesar de que esto pueda ser reparable y se siga cometiendo.
· Otros de naturaleza análoga.
- Medio: Este nivel se utilizará cuando las dimensiones de seguridad supongan un peligro grave sobre las funciones de una organización, los activos o sobre individuos afectados.
Un perjuicio grave se podría entender como:
· Reducción significativa de la capacidad de la organización para atender a las obligaciones fundamentales a pesar de que estas se sigan desempeñando.
· Daño significativo de los activos dentro de la organización
· El incumplimiento de alguna ley que no se pueda reparar.
· Causar un daño significativo a un individuo que no se pueda reparar.
· Otros de naturaleza análoga.
- Alto: Se utilizará cuando las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, de los activos y de los individuos afectados.
Se entenderá por perjuicio muy grave:
· La supresión de las capacidades de la organización para atender sus obligaciones, aunque estas se sigan desempeñando
· Que los activos de la organización sufran un daño muy grave.
· Causarle a un individuo un daño de difícil o imposible reparación.
· Otros de naturaleza análoga.
Cuando se manejen distintos tipos de información y presten distintos servicios, el nivel de cada dimensión será Alto para cada información y para cada servicio ofrecido.
En la siguiente Noticia sobre el Esquema Nacional de Seguridad trataremos los principios básicos que nos ayudarán a entender mejor el sistema.