Esquema Nacional de Seguridad (ENS) - Cómo se aplica?

L’ENS és un marc normatiu en el qual estableix unes normes per les quals s’ha de regir un SGSI (Sistema de Gestió de la Seguretat de la Informació).
I què és un SGSI? És un model de gestió continuat de la seguretat de la informació, basat en el clàssic i conegut PDCA (Plan-Do-Check-Act) per als que esteu habituats a altres marcs normatius com ISO 9001, 27001, 14001, etc.
Implantar l’ENS o qualsevol SGSI significa dissenyar, implementar i mantenir un conjunt de processos que permeten gestionar de forma eficient les 5 dimensions de la seguretat de la informació (Disponibilitat, Integritat, Confidencialitat, Traçabilitat i Autenticitat) segons els estàndards que marca el framework d’aquesta norma (o qualsevol altra com ISO/IEC 27001:2013, NIST, COBIT…
L’ENS centra la gestió sobre les 4 bases del cicle PDCA:
Imatge001
 
Però que hem de considerar abans d’endinsar-nos en aquest projecte?

Patrocini i suport de l’Alta Directiva

Considero que és de vital importància disposar d’un bon patrocinador dins de la direcció de l’empresa, perquè implantar un SGSI  implicarà una sèrie de despeses, afectarà a tots els usuaris de l’organisme i canvis en com treballar o realitzar algunes tasques per molts ja tan quotidianes que estan “viciades”, i seran difícils de corregir sense un suport “des de dalt” (per dir-ho suaument).
Com això de tenir a la nostra organització un directiu que ja està conscienciat en seguretat informàtica i li sorgeixi per voluntat pròpia millorar la seguretat informàtica, caldrà fer-ho a la inversa. S’haurà de buscar algun aliat en la direcció que comprengui el que els del gremi informàtic ja sabem: que sense la informàtica, ningú treballa, ja que cada cop més, tots els processos del negoci depenen de les TIC.
L’ENS (i l’ISO/IEC 27001:2013) vol un clar compromís de l’alta direcció en la gestió de la seguretat de la informació, i a l’hora de realitzar les auditories d’adequació/certificació, voldrà veure evidències clares d’això.

Estructura per a prendre decisions

L’Alta Directiva  ha d’anomenar / crear un grup interdisciplinari encarregat de gestionar la seguretat de la informació. Aquest grup se’l coneixerà com a Comitè de Seguretat de la Informació (Comitè STIC/Comitè SI) i ha de prendre totes les decisions transcendentals en matèria de Seguretat i que reporti regularment a la direcció l’estat de la seguretat. Aquest Comitè no cal que sigui tècnic, sinó que involucri als responsables dels principals departaments de l’organisme:
Imatge002
Finanzas: cal que algun responsable de Finances estigui involucrat en el Comitè STIC, ja que al final ells aprovaran les despeses necessàries per a dur a terme els projectes que el SGSI plantegi. Candidat: Interventor o Tresorer.
RRHH: moltes mesures de control estan enfocades al personal de l’organització (formacions, normatives de seguretat, etc.) per tant cal tenir suport d’aquest departament. Candidat: Responsable RRHH.
Jurídic: constantment sorgiran dubtes sobre la legislació i marc legal en el qual s’afronta el SGSI, i cal que algú que conegui molt bé els aspectes jurídics de l’organització assessori correctament al Comitè STIC. Candidat: Secretari.
Alta Directiva / Gerència: com a màxims responsables de l’organització davant qualsevol incident, l’objectiu  és integrar a membres de la direcció (inclús l’Alcalde en ajuntaments) dins del Comitè, proporcionant visió del negoci a les decisions que haurà de prendre el Comitè, alineant-les així amb els objectius estratègics del negoci o de l’organisme. La seva presència dins del comitè alhora mostra aquest “Compromís Formal” en matèria de seguretat i involucrant-la com a un procés vital en les activitats de l’organisme. Candidat: Alcaldia / Presidència / Gerència.
Informática: Com a Departament responsable de la gestió de la infraestructura IT disponible en l’organisme, cal que hi hagi un responsable Informàtic en el Comitè STIC. Candidat: Cap d’Informàtica.

Rols i Responsabilitats

El comitè STIC realitzarà una sèrie d’assignacions de diferents Rols i responsabilitats en la seguretat de la Informació. En concret, l’ENS desitja que es disposin de mínim els següents rols:
Imatge003
Responsable de Sistemes: Determina els requisits (de seguretat) dels serveis prestats segons els paràmetres de l’ENS. Valorarà les conseqüències d’un impacte negatiu sobre la seguretat dels serveis disponibles.
Responsable de la informació: Determina els requisits (de seguretat) de la informació tractada segons els paràmetres de l’ENS. Valorarà les conseqüències d’un impacte negatiu sobre la seguretat de la informació disponible.
NOTA: el Responsable de Sistemes i Responsable de la Informació convergir en la mateixa persona, convertint-se així en el Responsable de la Informació i Sistemes. En alguns casos, aquesta Responsabilitat pot caure directament sobre un organisme sencer com per exemple el mateix Comitè STIC.
Responsable de Seguretat: serà l’encarregat de categoritzar el sistema, elaborar la política de seguretat, realitzar l’Anàlisi de Riscos, elaborar el document d’aplicabilitat de l’ENS, establir les mesures de seguretat i elaborar tota la documentació amb procediments, polítiques, normes d’ús que seran aprovades pel Comitè i per la direcció.  També serà l’encarregat de revisar la posada en marxa de tots els controls de seguretat i diferents procediments en l’operació de la gestió de la seguretat. Finalment s’encarregarà d’elaborar els plans de millora de la seguretat.
Responsable del Sistema: serà la mà executora d’implementar controls establerts pel responsable de seguretat, així com la posada en marxa dels plans de continuïtat, gestió de controls d’accessos a la informació com supervisar les instal·lacions de maquinari i programari vetllant perquè la seguretat no estigui compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
NOTA: L’ENS deixa en manifest que els responsables de la Informació i els Responsables de la Seguretat, no poden ser la mateixa persona.
L’ENS contempla que en estructures molt petites, mínim hi hagi dues persones en els quals tindrà els rols de:
Direcció: integrant les següents funcions:

  • Responsable de la informació i Serveis
  • Responsable de Seguretat

Operació: reportant a direcció i integrant la funció de:

  • Responsable del sistema
Compartir en twitter
Compartir en linkedin
Compartir en facebook
Compartir en telegram
Compartir en whatsapp
Compartir en email
Infordisa

Infordisa

Departamento de Marketing

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Últimas publicaciones:
Publicaciones relacionadas: