Algunos puntos a tener en cuenta
Repaso al Esquema Nacional de Seguridad
«La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.»
Así reza el cuarto párrafo de la primera página del RD 3/2010 de 8 de Enero por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y donde a lo largo de 50 páginas se proponen una serie de medidas a adoptar por la organización en función de la naturaleza de la información, servicios y sistemas de forma que se garantice la seguridad del ciudadano al interactuar con la Administración Pública a través de mecanismos informáticos.
La redacción del mencionado Real Decreto se realiza bajo un entorno de principios básicos que se establecen como punto de referencia para la toma de decisiones, y que en el fondo son como la Estrella Polar cuando uno está perdido, mientras todo funciona correctamente es meramente decorativa pero cuando uno llega a una bifurcación hay que optar por la que se orienta correctamente.
Además de lo anterior, cuenta con unos Requisitos Mínimos que deben cumplirse siempre a través de las medidas de seguridad que se establecen en el Anexo II del ENS y para cuya selección han de seguirse los siguientes pasos:
- Identificar los tipos de activos presentes en la organización.
- Establecer cuáles son las dimensiones de seguridad relevantes sobre dichos activos: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad.
- Determinar la categoría del sistema en base a la valoración en cada una de sus dimensiones en Alto, Medio o Bajo.
De manera que las medidas que resultan aplicables se determinan en función de la categoría del mismo (punto 3) y de las dimensiones de seguridad relevantes (punto 2).
Si bien la seguridad es competencia de toda la organización, cabe destacar la importancia del factor humando dentro del ENS en tanto y cuanto los roles y responsabilidades deben estar claramente definidos y documentados en la política de seguridad.
En definitiva, el Esquema Nacional de Seguridad puede compararse con una ISO 27001 para la Administración Pública con un cierto aire ITIL convirtiéndose en una pieza clave para dotar a los sistemas informáticos de niveles concretos y adecuados de seguridad.
El #EsquemaNacionalSeguridad es como una mezcla entre una ISO 27001 para la AA.PP. y un toque de ITIL. Una pieza clave. Clic para tuitear
¡TU OPINIÓN ES VITAL!
Mejorando juntos
Social Links: