Continuando con el marco organizativo, dentro del Esquema Nacional de Seguridad (ENS), lo definimos por el conjunto de medidas establecidas relacionadas con la organización global de la seguridad de la entidad. En este marco se definen las funciones, responsabilidades y canales de coordinación que, del punto de vista de la seguridad de la información, permiten la gestión de actividades diarias y la resolución sistemática de incidentes.
Dentro del marco organizativo se distinguen:
Política de seguridad
Trata de establecer las pautas de carácter general de la organización donde se plasmará, al menos, lo siguiente:
- Objetivos y misión de la organización
- Roles y funciones de seguridad, definiendo los deberes y responsabilidades de los cargos, así como procedimientos de asignación y renovación
- Marco legal y regulatorio en el que se desarrollarán las actividades
- La estructura del comité para la gestión y coordinación de la seguridad, detallando las responsabilidades
- Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
Este documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible, sin profundizar en detalles técnicos.
Normativa de seguridad
Es un conjunto de documentos en los que se establece la forma de afrontar temas relativos a la seguridad, se define la posición del organismo en aspectos concretos y se indica la forma de actuar en circunstancias para las cuales no existe un procedimiento específico. Estos documentos definirán:
- El uso correcto de equipos, servicios e instalaciones
- Lo que se considerará uso indebido
- Responsabilidades del personal respecto al cumplimiento o violación de las normas establecidas
Procedimientos de seguridad
Es un conjunto de documentos que describen paso a paso como realizar una cierta actividad. Al meno se deberá incluir en estos documentos la siguiente información:
- La manera de llevar a cabo las tareas habituales
- Encargado de realizar cada tarea
- Como indentificar y reportar los comportamientos anómalos
Proceso de autorización
Protege la confianza en el sistema definiendo una serie de elementos que permiten la admisión y el control de un elemento ajeno a la organización, sea este un componente o una actuación. Este sistema de control deberá cubrir los siguientes elementos:
- Utilización de instalaciones, tanto las habituales como las alternativas
- Entradas de equipo de producción, poniendo especial atención a los que impliquen criptografía
- Entrada de aplicaciones en producción
- Enlaces de comunicaciones con otros sistemas
- Utilización de medios de comunicación, tanto habituales como alternativos
- Utilización de los soportes de información
- Utilización de equipos móviles
- Servicios de terceros, por contrato o convenio