,

ENS e ISO 27001

ens-iso27001-infordisa

Recientemente el BOE ha publicado el RD 43/2021 de seguridad de las redes y sistemas de información indicando así a las empresas esenciales la obligatoriedad de tener un Responsable de la Seguridad de la Información (RSI), también conocida como Chief Information Security Office (CISO), como la persona experta en la protección de los sistemas de información de las empresas, tendrá las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas a implantar en la organización.

Así pues, las empresas esenciales deben implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) y es el Responsable de la Seguridad de la Información el encargado de operarlo y gestionarlo.

Actualmente existen diferentes normativas o marcos reconocidos que regulan un SGSI, como es la ISO / IEC 27001 o el Esquema Nacional de Seguridad (ENS) en el que certifican estas políticas y medidas técnicas y organizativas.

Para que haya una implantación de un SGSI garantizando la seguridad de la información de nuestros datos recomendamos:

  • Sponsors internos: es importante el apoyo total de la junta directiva que impulse todas las políticas y normas que deberán aplicarse, y sobre todo los costes que puede implicar aventurarse en un proyecto como este.
  • ¿A quién involucramos en el Comité de Seguridad TIC? Cómo será el encargado de tomar las decisiones trascendentales en materia de seguridad a la organización que afectarán a todo el organismo, es recomendable que sea un comité interdisciplinario con las diferentes áreas responsables de área haciendo énfasis con los departamentos legales, financieros, operación / producción, RRHH, seguridad física y obviamente, Informática.
  • Elaborar una política de seguridad y normas de seguridad que sean personalizadas a la organización:
    • Seguridad por Defecto: Los sistemas se configurarán para proporcionar las funcionalidades mínimas requeridas para qué la persona y la organización alcancen sus objetivos.
    • Zero Trust o Confianza cero: Todo elemento del sistema que no haya sido configurado y esté configurado para nosotros, deberá ser tratado como una amenaza.
    • Mínimos privilegios: los usuarios y sistemas dispondrán de los mínimos privilegios y accesos para la operativa diaria, y se implementarán los procesos de autorización necesarios para tareas fuera de los habituales.
  • GAP Analisys, análisis de insuficiencias iniciales, tenemos que ser muy objetivos en este punto para evitar desviaciones y posibles sobrecostes. Con este análisis tendremos una serie tareas y proyectos a implementar y asignar correctamente a la persona adecuada.
  • Definir una matriz RACI y establecer sesiones de controles trimestrales para el seguimiento de los proyectos identificados.
    Elegir un buen software y metodología de Gestión de Riesgos y formarse muy bien en este, pues la estrategia a elegir para proteger nuestros sistemas, deben estar basadas en los riesgos obtenidos.
  • Seguridad integral a toda la organización: un SGSI se apoya en la comprensión y la aceptación de las diferentes políticas y normas de seguridad por parte de toda la organización y trabajadores. Comunicarlas y hacerlas llegar de la forma adecuada a todos los usuarios será la clave del éxito de este proyecto.
  • Definir un buen calendario de auditorías técnicas y normativas para garantizar que las diferentes medidas y controles que se habrán ido implementando según el Plan, se mantienen y están en el grado de madurez requerido.
A Infordisa disponemos de un departamento especializado en la implementación de Sistemas de Gestión de la Seguridad certificables por la ISO / IEC 21001 y el Esquema Nacional de Seguridad (ENS).

¿Quieres más información de nuestros servicios en ciberseguridad?

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.