Esquema Nacional de Seguretat (ENS) – Com s’aplica?

L’ENS és un marc normatiu en el qual estableix unes normes per les quals s’ha de regir un SGSI (Sistema de Gestió de la Seguretat de la Informació).
I què és un SGSI? És un model de gestió continuat de la seguretat de la informació, basat en el clàssic i conegut PDCA (Plan-Do-Check-Act) per als que esteu habituats a altres marcs normatius com ISO 9001, 27001, 14001, etc.
Implantar l’ENS o qualsevol SGSI significa dissenyar, implementar i mantenir un conjunt de processos que permeten gestionar de forma eficient les 5 dimensions de la seguretat de la informació (Disponibilitat, Integritat, Confidencialitat, Traçabilitat i Autenticitat) segons els estàndards que marca el framework d’aquesta norma (o qualsevol altra com ISO/IEC 27001:2013, NIST, COBIT…
L’ENS centra la gestió sobre les 4 bases del cicle PDCA:
Imatge001

Però que hem de considerar abans d’endinsar-nos en aquest projecte?

Patrocini i suport de l’Alta Directiva

Considero que és de vital importància disposar d’un bon patrocinador dins de la direcció de l’empresa, perquè implantar un SGSI  implicarà una sèrie de despeses, afectarà a tots els usuaris de l’organisme i canvis en com treballar o realitzar algunes tasques per molts ja tan quotidianes que estan “viciades”, i seran difícils de corregir sense un suport “des de dalt” (per dir-ho suaument).
Com això de tenir a la nostra organització un directiu que ja està conscienciat en seguretat informàtica i li sorgeixi per voluntat pròpia millorar la seguretat informàtica, caldrà fer-ho a la inversa. S’haurà de buscar algun aliat en la direcció que comprengui el que els del gremi informàtic ja sabem: que sense la informàtica, ningú treballa, ja que cada cop més, tots els processos del negoci depenen de les TIC.
L’ENS (i l’ISO/IEC 27001:2013) vol un clar compromís de l’alta direcció en la gestió de la seguretat de la informació, i a l’hora de realitzar les auditories d’adequació/certificació, voldrà veure evidències clares d’això.

Estructura per a prendre decisions

L’Alta Directiva  ha d’anomenar / crear un grup interdisciplinari encarregat de gestionar la seguretat de la informació. Aquest grup se’l coneixerà com a Comitè de Seguretat de la Informació (Comitè STIC/Comitè SI) i ha de prendre totes les decisions transcendentals en matèria de Seguretat i que reporti regularment a la direcció l’estat de la seguretat. Aquest Comitè no cal que sigui tècnic, sinó que involucri als responsables dels principals departaments de l’organisme:
Imatge002
Finances: cal que algun responsable de Finances estigui involucrat en el Comitè STIC, ja que al final ells aprovaran les despeses necessàries per a dur a terme els projectes que el SGSI plantegi. Candidat: Interventor o Tresorer.
RRHH: moltes mesures de control estan enfocades al personal de l’organització (formacions, normatives de seguretat, etc.) per tant cal tenir suport d’aquest departament. Candidat: Responsable RRHH.
Jurídic: constantment sorgiran dubtes sobre la legislació i marc legal en el qual s’afronta el SGSI, i cal que algú que conegui molt bé els aspectes jurídics de l’organització assessori correctament al Comitè STIC. Candidat: Secretari.
Alta Directiva / Gerència: com a màxims responsables de l’organització davant qualsevol incident, l’objectiu  és integrar a membres de la direcció (inclús l’Alcalde en ajuntaments) dins del Comitè, proporcionant visió del negoci a les decisions que haurà de prendre el Comitè, alineant-les així amb els objectius estratègics del negoci o de l’organisme. La seva presència dins del comitè alhora mostra aquest “Compromís Formal” en matèria de seguretat i involucrant-la com a un procés vital en les activitats de l’organisme. Candidat: Alcaldia / Presidència / Gerència.
Informàtica: Com a Departament responsable de la gestió de la infraestructura IT disponible en l’organisme, cal que hi hagi un responsable Informàtic en el Comitè STIC. Candidat: Cap d’Informàtica.

Rols i Responsabilitats

El comitè STIC realitzarà una sèrie d’assignacions de diferents Rols i responsabilitats en la seguretat de la Informació. En concret, l’ENS desitja que es disposin de mínim els següents rols:
Imatge003
Responsable de Sistemes: Determina els requisits (de seguretat) dels serveis prestats segons els paràmetres de l’ENS. Valorarà les conseqüències d’un impacte negatiu sobre la seguretat dels serveis disponibles.
Responsable de la informació: Determina els requisits (de seguretat) de la informació tractada segons els paràmetres de l’ENS. Valorarà les conseqüències d’un impacte negatiu sobre la seguretat de la informació disponible.
NOTA: el Responsable de Sistemes i Responsable de la Informació convergir en la mateixa persona, convertint-se així en el Responsable de la Informació i Sistemes. En alguns casos, aquesta Responsabilitat pot caure directament sobre un organisme sencer com per exemple el mateix Comitè STIC.
Responsable de Seguretat: serà l’encarregat de categoritzar el sistema, elaborar la política de seguretat, realitzar l’Anàlisi de Riscos, elaborar el document d’aplicabilitat de l’ENS, establir les mesures de seguretat i elaborar tota la documentació amb procediments, polítiques, normes d’ús que seran aprovades pel Comitè i per la direcció.  També serà l’encarregat de revisar la posada en marxa de tots els controls de seguretat i diferents procediments en l’operació de la gestió de la seguretat. Finalment s’encarregarà d’elaborar els plans de millora de la seguretat.
Responsable del Sistema: serà la mà executora d’implementar controls establerts pel responsable de seguretat, així com la posada en marxa dels plans de continuïtat, gestió de controls d’accessos a la informació com supervisar les instal·lacions de maquinari i programari vetllant perquè la seguretat no estigui compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
NOTA: L’ENS deixa en manifest que els responsables de la Informació i els Responsables de la Seguretat, no poden ser la mateixa persona.
L’ENS contempla que en estructures molt petites, mínim hi hagi dues persones en els quals tindrà els rols de:
Direcció: integrant les següents funcions:

  • Responsable de la informació i Serveis
  • Responsable de Seguretat

Operació: reportant a direcció i integrant la funció de:

  • Responsable del sistema
Infordisa

Infordisa

Departament de Marketing

Deixa un comentari

La vostra adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

Escriu un comentari

Aquest lloc utilitza Akismet per reduir els comentaris brossa. Apreneu com es processen les dades dels comentaris.

/ Newsletter

Rep les noves publicacions d'aquest blog per email.
Subscriu-te per estar informat.

Altres temes que et poden interessar

Publicacions relacionades:

Publicacions SOC.infordisa

Últimes publicacions del Blog:

Últims feeds al Instagram: