Requisitos mínimos para la implantación del ENS (1ª parte)

En este artículo vamos a continuar con nuestra introducción al Esquema Nacional de seguridad. Para ello, vamos a profundizar un poco más en el contenido y centrarnos en los requisitos mínimos a cumplir en el caso de querer llevar a cabo la implantación.

Según el artículo 11 de este Real Decreto, se deberá disponer formalmente de una política de seguridad que nos permita articular la gestión continuada de la seguridad y que se desarrollará aplicando los requisitos mínimos que pasaremos a exponer a continuación.

a) Organización e implantación del proceso de seguridad.

Como en todo objetivo que se propone una organización y el cual quiere alcanzar satisfactoriamente, la seguridad deberá comprometer a todos los miembros de la organización. Además, la política de seguridad de la organización deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

b) Análisis y gestión de los riesgos.

Es requisito indispensable llevar a cabo un análisis y gestión de los riesgos sobre todos los sistemas para el tratamiento de la información y las comunicaciones. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema, los cuales serán identificados previamente.

Para que esto tenga validez, se debe utilizar alguna metodología reconocida internacionalmente y las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificados.

c) Gestión de personal.

Para una satisfactoria implantación del ENS, todo el personal relacionado con la información y los sistemas deben estar formados y al tanto de sus deberes y obligaciones en materia de seguridad, de forma que puedan desempeñar sus roles con garantías, aunque sin descuidar que sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.

Para ello, el significado y alcance del uso seguro del sistema se definirá y redactará en unas normas de seguridad.

d) Profesionalidad.

Las personas implicadas en el ENS debe estar cualificada para atender, revisar y auditar la seguridad de los sistemas. Además de que deben estar implicados en todas las fases de vida de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.

e) Autorización y control de los accesos.

El acceso al sistema de información no puede ser libre, se deberá llevar un control sobre el mismo y establecer limitaciones a los usuarios mediante perfiles o técnicas similares, así como, a los procesos, dispositivos y otros sistemas de información que puedan interactuar y que hayan sido debidamente autorizados.

f) Protección de las instalaciones.

Los sistemas se ubicarán en zonas independientes, que cuenten con un procedimiento de control de acceso. Como mínimo, las salas deben estar cerradas y disponer de un control de llaves.

g) Adquisición de productos.

A la hora de adquirir productos de seguridad de las tecnologías de la información y comunicaciones, que vayan a ser empleadas por la organización, siempre se hará de forma proporcionada a la sensibilidad de los datos tratados y al nivel de seguridad que se ha determinado. Además, se intentará escoger aquellos que posean certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, siempre y cuando las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.

Ir a la segunda parte del artículo

Compartir:

Te podría interesar:

Contacto rápido
Archivos
Scroll al inicio