Continuando con el anterior artículo sobre los requisitos mínimos para la implantación del Esquema Nacional de seguridad (ENS), seguiremos enumerando dichos requisitos a tener en cuenta durante la implantación del sistema:
h) Seguridad por defecto.
Se debe tener en cuenta, durante el diseño del sistema, que se garanticen los siguiente puntos:
- Proporcionar la mínima funcionalidad requerida para alcanzar los objetivos de la organización.
- Controlar las funciones de operación, administración y registro de actividad para que sean las mínimas necesarias y únicamente accesibles por las personas autorizadas.
- Desactivar o eliminar las funciones innecesarias de los sistemas de explotación.
- Uso sencillo y seguro de los sistemas.
i) Integridad y actualización del sistema.
Antes de instalar cualquier elemento, sea físico o lógico, se solicitará una autorización formal. También será necesario conocer el estado de seguridad de los sistemas en todo momento, esto es conocer las especificaciones del fabricante, vulnerabilidades y actualizaciones que afecten a dichos sistemas.
j) Protección de la información almacenada y en tránsito.
- Se tendrá consideración de entorno inseguro los equipos portátiles, agendas electrónicas, periféricos, soportes externos y comunicaciones sobre redes abiertas o con cifrado débil. Se prestará especial atención a la información que viaja en estos sistemas.
- Redacción de procedimientos de recuperación y conservación a largo plazo de los documentos electrónicos producidos.
- Proteger la información en soportes no electrónicos, con las mismas medidas de seguridad correspondientes al soporte en que se encuentren, que haya sido causa o consecuencia directa de la información electrónica a la que se refiere en el real decreto.
k) Prevención ante otros sistemas de información interconectados.
El sistema ha de proteger el entorno, en particular, si se conecta a redes públicas. En cualquier caso se analizarán los riesgos de los puntos de acceso a través de redes con otros sistemas.
l) Registro de actividad.
Se deben registrar las actividades de los usuarios, almacenando la información necesaria para monitorizar, analizar, investigar y documentar cualquier actividad que sospechemos fraudulenta o no autorizada para, de esta manera, identificar a la persona implicada en dicha actividad.
m) Incidentes de seguridad.
Establecer un sistema de detección y reacción frente al código dañino para los sistemas de la empresa. También se deben registrar los incidentes de seguridad que se produzcan y las acciones de los tratamientos que se sigan, de esta manera se podrá llevar una mejora continua en la seguridad del sistema.
n) Continuidad de la actividad.
Diseñar copias de seguridad eficientes y mecanismos que garanticen la continuidad de las operaciones frente a pérdidas de los medios habituales de trabajo.
o) Mejora continua del proceso de seguridad.
Todo el proceso de seguridad que se ha implantado debe estar en constante actualización y mejora aplicando criterios y métodos que sean conocidos como útiles en la práctica nacional e internacional en relación a las tecnologías de la información.
