ens-com-saplic

L’ENS és un marc normatiu en el que estableix unes normes per les quals s’ha de regir un SGSI (Sistema de Gestió de la Seguretat de la Informació).

I què es un SGSI? Es un model de gestió continuat de la seguretat de la informació, basat en el clàssic i conegut PDCA (Plan-Do-Check-Act) per als que esteu habituats a altres marcs normatius com ISO 9001, 27001, 14001, etc…

Implantar l’ENS o qualsevol SGSI significa dissenyar, implementar i mantenir un conjunt de processos que permeten gestionar de forma eficient les 5 dimensions de la seguretat de la informació (Disponibilitat, Integritat, Confidencialitat, Traçabilitat i Autenticitat) segons els estàndards que marca el framework d’aquesta norma (o qualsevol altra com ISO/IEC 27001:2013, NIST, COBIT…

L’ENS centra la gestió sobre les 4 bases del cicle PDCA:

Imatge001

 

Però que hem de considerar abans d’endinsar-nos en aquest projecte?

Patrocini i recolzament de l’Alta Directivaen

Considero que es de vital importància disposar d’un bon patrocinador dins de la direcció de l’empresa, doncs implantar un SGSI  implicarà una sèrie de despeses, afectarà a tots els usuaris de l’organisme i canvis en com treballar o realitzar algunes tasques per molts ja tan quotidianes que estan “viciades”, i seran difícils de corregir sense un recolzament “des de d’alt” (per dir-ho suaument).

Com això de tenir a la nostra organització un directiu que ja està conscienciat en seguretat informàtica i li sorgeixi per voluntat pròpia millorar la seguretat informàtica, caldrà fer-ho a la inversa. S’haurà de buscar algun aliat en la direcció que comprengui el que els del gremi informàtic ja sabem: que sense la informàtica, ningú treballa, ja que cada cop mes, tots els processos del negoci depenen de les TIC.

L’ENS (i la ISO/IEC 27001:2013) vol un clar compromís de l’alta direcció en la gestió de la seguretat de la informació, i alhora de realitzar les auditories d’adequació/certificació, voldrà veure evidències clares d’això.

Estructura per a prendre decisions

L’Alta Directiva  ha d’anomenar / crear un grup interdisciplinari encarregat de gestionar la seguretat de la informació. Aquest grup se’l coneixerà com a Comitè de Seguretat de la Informació (Comitè STIC/Comitè SI) i ha de prendre totes les decisions transcendentals en matèria de Seguretat i que reporti regularment a la direcció l’estat de la seguretat. Aquest Comitè no cal que sigui tècnic, sinó que involucri als responsables dels principals departaments de l’organisme:

Imatge002

Finances: cal que algun responsable de Finances estigui involucrat en el Comitè STIC, ja que al final ells aprovaran les despeses necessàries per a dur a terme els projectes que el SGSI plantegi. Candidat: Interventor o Tresorer.

RRHH: moltes mesures de control estan enfocades al personal de l’organització (formacions, normatives de seguretat, etc) per tant cal tenir recolzament d’aquest departament. Candidat: Responsable RRHH.

Jurídic: constantment sorgiran dubtes sobre la legislació i marc legal en el que s’afronta el SGSI, i cal que algú que conegui molt be els aspectes jurídics de l’organització assessori correctament al Comitè STIC. Candidat: Secretari.

Alta Directiva / Gerència: com a màxims responsables de l’organització davant qualsevol incident, l’objectiu  es integrar a membres de la direcció (inclús l’Alcalde en ajuntaments) dins del Comitè, proporcionant visió del negoci a les decisions que haurà de prendre el Comitè, alineant-les així amb els objectius estratègics del negoci o de l’organisme. La seva presencia dins del comitè alhora mostra aquest “Compromís Formal” en matèria de seguretat i involucrant-la com a un procés vital en les activitats de l’organisme. Candidat: Alcaldia / Presidència / Gerència.

Informàtica: Com a Departament responsable de la gestió de la infraestructura IT disponible en l’0rganisme, cal que hi hagi un responsable Informàtic en el Comitè STIC. Candidat: Cap d’Informàtica.

Rols i Responsabilitats

El comitè STIC realitzarà una sèrie d’assignacions de diferents Rols i responsabilitats en la seguretat de la Informació. En concret, l’ENS desitja que es disposin de mínim els següents rols:

Imatge003

Responsable de Sistemes: Determina els requisits (de seguretat) dels serveis prestats segons els paràmetres de l’ENS. Valorarà les conseqüències d’un impacte negatiu sobre la seguretat dels serveis disponibles.

Responsable de la informació: Determina els requisits (de seguretat) de la informació tractada segons els paràmetres de l’ENS. Valorarà les conseqüències d’un impacte negatiu sobre la seguretat de la informació disponible.

NOTA: el Responsable de Sistemes i Responsable de la Informació convergir en la mateixa persona, convertint-se així en el Responsable de la Informació i Sistemes. En alguns casos, aquesta Responsabilitat pot caure directament sobre un organisme sencer com per exemple el propi Comitè STIC.

Responsable de Seguretat: serà l’encarregat de categoritzar el sistema, elaborar la política de seguretat, realitzar l’Anàlisi de Riscos, elaborar el document d’aplicabilitat de l’ENS, establir les mesures de seguretat i elaborar tota la documentació amb procediments, polítiques, normes d’us que seran aprovades pel Comitè i per la direcció.  També serà l’encarregat de revisar la posada en marxa de tots els controls de seguretat i diferents procediments en l’operació de la gestió de la seguretat. Finalment s’encarregarà d’elaborar els plans de millora de la seguretat.

Responsable del Sistema: serà la mà executora d’implementar controls establerts pel responsable de seguretat, així com la posada en marxa dels plans de continuïtat, gestió de controls d’accessos a la informació com supervisar les instal·lacions de maquinari i programari vetllant per a que la seguretat no estigui compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.

NOTA: L’ENS deixa en manifest que els responsables de la Informació i els Responsables de la Seguretat, no poden ser la mateixa persona.

L’ENS contempla que en estructures molt petites, mínim hi hagin dues persones en els quals tindrà els rols de:

Direcció: integrant les següents funcions:

  • Responsable de la informació i Serveis
  • Responsable de Seguretat

Operació: reportant a direcció i integrant la funció de:

  • Responsable del sistema

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Aquest lloc utilitza Akismet per reduir els comentaris brossa. Apreneu com es processen les dades dels comentaris.