como_esp

L’ENS es un marco normativo en el que establece unas normas para los que se debe regir un SGSI (Sistema de Gestión de la Seguridad de la Información).

¿Qué es un SGSI? Es un modelo de gestión continuado de la seguridad de la información, Basado en el clásico y Conocido PDCA (Plan-Do-Check-Act) para los que está usando habituados a otros marcos normativos como ISO 9001, 27001, 14001, etc…

Implantar la ENS o cualquier SGSI significa diseñar, implementar y mantener un conjunto de procesos que permiten gestionar de forma eficiente los 5 dimensiones de la seguridad de la información (Disponibilidad, Integridad, Confidencialidad, Trazabilidad y Autenticidad) según a los estándares que marca el framework de esta norma (o cualquier otra como ISO / IEC 27001: 2013, NIST, COBIT…

La ENS centra la gestión sobre las 4 bases del ciclo PDCA:

ens001 esp

 

Pero que debemos considerar antes de adentrarnos en este proyecto? 

Patrocinio y apoyo de las Altas directivas 

Considero que es de vital importancia disponer de un buen patrocinador dentro de la dirección de la empresa, pues implantar un SGSI implicará una serie de gastos, afectará a todos los usuarios del organismo y cambios en cómo trabajar o realizar algunas tareas para muchos ya tan cotidianas que están «viciadas», y serán difíciles de corregir sin un apoyo «desde arriba» (por decirlo suavemente).

Como eso de tener a nuestra organización un directivo que ya está concienciado en seguridad informática y le surja por voluntad propia mejorar la seguridad informática, habrá que hacerlo a la inversa. Se deberá buscar algún aliado en la dirección que comprenda lo que los del gremio informático ya sabemos: que sin la informática, nadie trabaja, ya que cada vez más, todos los procesos del negocio dependen de las TIC.

La ENS (y la ISO / IEC 27001: 2013) quiere un claro compromiso de la alta dirección en la gestión de la seguridad de la información, al tiempo de realizar las auditorías de adecuación / certificación, querrá ver evidencias claras de esto. 

Estructura para tomar decisiones 

La Alta Directiva debe llamar / crear un grupo interdisciplinario encargado de gestionar la seguridad de la información. Este grupo se le conocerá como Comité de Seguridad de la Información (Comité STIC / Comité SI) y debe tomar todas las decisiones trascendentales en materia de Seguridad y que reporte regularmente la dirección del estado de la seguridad. Este Comité no debe ser técnico, sino que involucre a los responsables de los principales departamentos del organismo:
ens002 esp

Finanzas: es necesario que algún responsable de Finanzas esté involucrado en el Comité STIC, ya que al final ellos aprobarán los gastos necesarios para llevar a cabo los proyectos que el SGSI plantee. Candidato: Interventor o Tesorero.

RRHH: muchas medidas de control están enfocadas al personal de la organización (formaciones, normativas de seguridad, etc) por lo tanto hay que tener apoyo de este departamento. Candidato: Responsable RRHH.

Jurídico: constantemente surgirán dudas sobre la legislación y marco legal en el que se afronta el SGSI, y es necesario que alguien que conozca muy bien los aspectos jurídicos de la organización asesore correctamente al Comité STIC. Candidato: Secretario.

Alta Directiva / Gerencia: como máximos responsables de la organización ante cualquier incidente, el objetivo es integrar a miembros de la dirección (incluido el Alcalde en ayuntamientos) dentro del Comité, proporcionando visión del negocio a las decisiones que deberá tomar el Comité, alineándose así con los objetivos estratégicos del negocio o del organismo. Su presencia dentro del comité vez muestra este «Compromiso Formal» en materia de seguridad y involucrándola como un proceso vital en las actividades del organismo. Candidato: Alcaldía / Presidencia / Gerencia.

Informática: Como Departamento responsable de la gestión de la infraestructura IT disponible en el organismo, es necesario que haya un responsable Informático en el Comité STIC. Candidato: Jefe de Informática.

Roles y Responsabilidades

El comité STIC realizará una serie de asignaciones de diferentes Roles y responsabilidades en la seguridad de la Información. En concreto, la ENS desea que se dispongan de mínimo los siguientes roles:

ens003 esp
Responsable de Sistemas: Determina los requisitos (de seguridad) de los servicios prestados según los parámetros de la ENS. Valorará las consecuencias de un impacto negativo sobre la seguridad de los servicios disponibles. Responsable de la información: Determina los requisitos (de seguridad) de la información tratada según los parámetros de la ENS. Valorará las consecuencias de un impacto negativo sobre la seguridad de la información disponible. NOTA: el Responsable de Sistemas y Responsable de la Información converger en la misma persona, convirtiéndose así en el Responsable de la Información y Sistemas. En algunos casos, esta Responsabilidad puede caer directamente sobre un organismo entero como el propio Comité STIC. Responsable de Seguridad: será el encargado de categorizar el sistema, elaborar la política de seguridad, realizar el Análisis de Riesgos, elaborar el documento de aplicabilidad de la ENS, establecer las medidas de seguridad y elaborar toda la documentación con procedimientos, políticas, normas de uso que serán aprobadas por el Comité y por la dirección. También será el encargado de revisar la puesta en marcha de todos los controles de seguridad y diferentes procedimientos en la operación de la gestión de la seguridad. Finalmente se encargará de elaborar los planes de mejora de la seguridad. Responsable del Sistema: será la mano ejecutora de implementar controles establecidos por el responsable de seguridad, así como la puesta en marcha de los planes de continuidad, gestión de controles de accesos a la información como supervisar las instalaciones de hardware y software velando por a que la seguridad no esté comprometida y que en todo momento se ajustan a las autorizaciones pertinentes. NOTA: La ENS deja en manifiesto que los responsables de la Información y los responsables de la Seguridad, no pueden ser la misma persona.

El ENS contempla que en estructuras muy pequeñas, mínimo tanto, dos personas en los que tendrá los roles de dirección integrando las siguientes funciones:

  • Responsable de la información y servicios
  • Responsable de Seguridad

Operación reportando a dirección e integrando la función de:

  • Responsable del sistema

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.