Esquema Nacional de Seguridad (ENS) - Cómo se aplica?

El ENS es un marco normativo en el que establece unas normas por las que se debe regir un SGSI (Sistema de Gestión de la Seguridad de la Información).
¿Y qué es un SGSI? Es un modelo de gestión continuado de la seguridad de la información, basado en el clásico y conocido PDCA (Plan-Do-Check-Act) para los que está habituado a otros marcos normativos como ISO 9001, 27001, 14001, etc.
Implantar el ENS o cualquier SGSI significa diseñar, implementar y mantener un conjunto de procesos que permiten gestionar de forma eficiente las 5 dimensiones de la seguridad de la información (Disponibilidad, Integridad, Confidencialidad, Trazabilidad y Autenticidad) según los estándares que marca el framework de esta norma (o cualquier otra como ISO/IEC 27001:2013, NIST, COBIDO…
El ENS centra la gestión sobre las 4 bases del ciclo PDCA:
Imagen001
 
Pero, ¿qué debemos considerar antes de adentrarnos en este proyecto?

Patrocinio y soporte de la Alta Directiva

Considero que es de vital importancia disponer de un buen patrocinador dentro de la dirección de la empresa, porque implantar un SGSI implicará una serie de gastos, afectará a todos los usuarios del organismo y cambios en cómo trabajar o realizar algunas tareas para muchos ya tan cotidianos que están “viciados”, y serán difíciles de corregir sin un apoyo “desde arriba” (por decirlo suavemente).
Como tener en nuestra organización un directivo que ya está concienciado en seguridad informática y le surja por voluntad propia mejorar la seguridad informática, habrá que hacerlo a la inversa. Habrá que buscar algún aliado en la dirección que comprenda lo que los del gremio informático ya sabemos: que sin la informática, nadie trabaja, ya que cada vez más, todos los procesos del negocio dependen de las TIC.
El ENS (y el ISO/IEC 27001:2013) quiere un claro compromiso de la alta dirección en la gestión de la seguridad de la información, ya la hora de realizar las auditorías de adecuación/certificación, querrá ver evidencias claras de esto.

Estructura para tomar decisiones

La Alta Directiva debe nombrar/crear un grupo interdisciplinario encargado de gestionar la seguridad de la información. Este grupo se le conocerá como Comité de Seguridad de la Información (Comité STIC/Comité SI) y debe tomar todas las decisiones trascendentales en materia de Seguridad y que reporte regularmente a la dirección el estado de la seguridad. Este Comité no hace falta que sea técnico, sino que involucre a los responsables de los principales departamentos del organismo:
Imagen002
Finanzas: es necesario que algún responsable de Finanzas esté involucrado en el Comité STIC, ya que al final ellos aprobarán los gastos necesarios para llevar a cabo los proyectos que el SGSI plantee. Candidato: Interventor o Tesorero.
RRHH: muchas medidas de control están enfocadas al personal de la organización (formaciones, normativas de seguridad, etc.) por tanto es necesario tener apoyo de este departamento. Candidato: Responsable RRHH.
Jurídico: constantemente surgirán dudas sobre la legislación y marco legal en el que se afronta el SGSI, y es necesario que alguien que conozca muy bien los aspectos jurídicos de la organización asesore correctamente al Comité STIC. Candidato: Secretario.
Alta Directiva / Gerencia: como máximos responsables de la organización ante cualquier incidente, el objetivo es integrar a miembros de la dirección (incluso el Alcalde en ayuntamientos) dentro del Comité, proporcionando visión del negocio a las decisiones que deberá tomar el Comité, alineándolo así con los objetivos estratégicos del negocio o del organismo. Su presencia dentro del comité a la vez muestra este “Compromiso Formal” en materia de seguridad e involucrándola como un proceso vital en las actividades del organismo. Candidato: Alcaldía / Presidencia / Gerencia.
Informática: Como Departamento responsable de la gestión de la infraestructura IT disponible en el organismo, es necesario que exista un responsable Informático en el Comité STIC. Candidato: Jefe de Informática.

Roles y Responsabilidades

El comité STIC realizará una serie de asignaciones de distintos Roles y responsabilidades en la seguridad de la Información. En concreto, el ENS desea que se dispongan de mínimo los siguientes roles:
Imagen003
Responsable de Sistemas: Determina los requisitos (de seguridad) de los servicios prestados según los parámetros del ENS. Valorará las consecuencias de un impacto negativo sobre la seguridad de los servicios disponibles.
Responsable de la información: Determina los requisitos (de seguridad) de la información tratada según los parámetros del ENS. Valorará las consecuencias de un impacto negativo sobre la seguridad de la información disponible.
NOTA: el Responsable de Sistemas y Responsable de la Información converge en la misma persona, convirtiéndose así en el Responsable de la Información y Sistemas. En algunos casos, esta Responsabilidad puede caer directamente sobre un organismo entero como por ejemplo el propio Comité STIC.
Responsable de Seguridad: será el encargado de categorizar el sistema, elaborar la política de seguridad, realizar el Análisis de Riesgos, elaborar el documento de aplicabilidad del ENS, establecer las medidas de seguridad y elaborar toda la documentación con procedimientos, políticas, normas de uso que serán aprobadas por el Comité y por la dirección. También será el encargado de revisar la puesta en marcha de todos los controles de seguridad y distintos procedimientos en la operación de la gestión de la seguridad. Por último se encargará de elaborar los planes de mejora de la seguridad.
Responsable del Sistema: será la mano ejecutora de implementar controles establecidos por el responsable de seguridad, así como la puesta en marcha de los planes de continuidad, gestión de controles de accesos a la información como supervisar las instalaciones de hardware y software velando por que la seguridad no esté comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
NOTA: El ENS deja en manifiesto que los responsables de la Información y los Responsables de la Seguridad, no pueden ser la misma persona.
El ENS contempla que en estructuras muy pequeñas, mínimo haya dos personas en las que tendrá los roles de:
Dirección: integrando las siguientes funciones:

  • Responsable de la información y Servicios
  • Responsable de Seguridad

Operación: reportando a dirección e integrando la función de:

  • Responsable del sistema
Infordisa

Infordisa

Departamento de Marketing

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.