El Esquema Nacional de Seguridad (III)

Habiendo recorrido en entradas anteriores (véase I y II) aspectos del Esquema Nacional de Seguridad como su origen, su ámbito, su finalidad y los actores involucrados, en esta tercera entrada relacionada con esta temática veremos, aunque de momento sea por encima, los contenidos prácticos del mismo.

Resumen de contenidos del Esquema Nacional de Seguridad

Los puntos destacados a continuación pretenden ser los conceptos más importantes que introduce, desde mi punto de vista, el Esquema Nacional de Seguridad. Incluimos los artículos donde se alude al concepto descrito, pero tengamos presente que alguna de estas ideas se recoge no solo en un artículo concreto, sino a lo largo de todo el documento.

  • Seguridad Integral. La seguridad es abordada como hemos comentado en este blog en más de una ocasión que debe ser abordada: de forma holística, bajo la premisa de que 1 + 1 pueden ser 3. Destacar además que el Esquema Nacional de Seguridad explicita que no se deben realizar actuaciones puntuales. Artículo 5.
  • Gestión de Riesgos. El Esquema Nacional de Seguridad obliga a que exista una gestión de los riesgos que puedan afectar a la organización, y a que dicha gestión esté permanentemente actualizada (una monitorización en tiempo real se impone de facto). Eso sí, bajo la premisa del criterio de proporcionalidad: no matemos moscas a cañonazos. Artículo 6.
  • Responsable de Seguridad. Esta es una figura crucial para el éxito del Esquema Nacional de Seguridad. Una obviedad que muchas veces se olvida: si una responsabilidad (o tarea) no tiene responsable, antes o después dejará de hacerse. En seguridad la habitual ausencia de responsable (más allá del responsable de seguridad de la LOPD, que es una cuestión diferente) llega a su fin con la aparición del Esquema Nacional de Seguridad, que define la figura del responsable de seguridad al mismo nivel que el responsable funcional de un servicio. Articulo 10, aunque no será la única aparición de esta figura a lo largo del texto del Esquema Nacional de Seguridad.
  • Política de Seguridad. Este punto podría entenderse como el pilar sobre el que descansa todo el Esquema Nacional de Seguridad. La política de seguridad deberá existir y contemplar todos los puntos que se estipulan en el Esquema Nacional de Seguridad. Artículos 11 a 26.

    Los factores a tener en cuenta en la definición de la Política de Seguridad son:

    • Organización e implantación del proceso de seguridad. Toda la organización debe estar involucrada.
    • Análisis y gestión de los riesgos. Proporcionalidad. Utilización de estándares.
    • Gestión de personal. Formación e información. Autenticidad y trazabilidad.
    • Profesionalidad. Personal de sistemas adecuadamente formado. Proveedores adecuadamente certificados.
    • Autorización y control de los accesos. Autenticidad, trazabilidad y permisos limitados a necesidades (políticas need-to-know).
    • Protección de las instalaciones. CPD deseable, sala dedicada, cerrada y controlada mínimo imprescindible.
    • Adquisición de productos. Valorar certificación en productos.
    • Seguridad por defecto. Minimizar funcionalidad para minimizar posibles agujeros de seguridad.
    • Integridad y actualización del sistema. Monitorización (¿en tiempo real?).
    • Protección de la información almacenada y en tránsito. Dispositivos móviles.
    • Prevención ante otros sistemas de información interconectados. Atención especial a la interconexión de redes (incluida Internet como red).
    • Registro de actividad. Trazabilidad de las acciones de los usuarios.
    • Incidentes de seguridad. Actuación ante incidentes preparada. Mejora continua.
    • Continuidad de la actividad. Copias de seguridad y Plan de Continuidad de Negocio.
    • Mejora continua del proceso de seguridad. Ciclo PDCA habitual en otros sistemas de gestión.
  • Auditoria de Seguridad. Periódicamente la organización deberá realizar auditorías de seguridad en las que se vele porque todo lo expuesto en el Esquema Nacional de Seguridad se cumple. Además el responsable de seguridad deberá firmar los informes que salgan de dichas auditorías, reforzando la necesidad de una figura que asuma responsabilidades en materia de seguridad. La periodicidad de estas auditorías será al menos bienal. Artículo 34 y Anexo III.
  • Sistema de Gestión de Seguridad de la Información. La propia auditoría deberá examinar que existe un SGSI bien montado y en funcionamiento. Anexo III.
  • Estos puntos son solo un resumen con lo más destacado del Esquema Nacional de Seguridad. Si les echamos un vistazo somero, podemos observar que estamos hablando efectivamente de Seguridad en mayúsculas, como decíamos en la primera entrada de la serie.

    Creo pues que este Esquema Nacional de Seguridad está muy bien concebido y, aunque seguro que alguno de sus puntos podría ser discutible (la perfección solo la encontramos en las matemáticas y después de Gödel… casi tampoco), por fin vemos una imposición legal en materia de seguridad que, a mi juicio, era imprescindible para la verdadera adopción de las tecnologías de la información como elemento dinamizador e introductor de eficiencia tanto en las AAPP como fuera de ellas.

    En futuras entradas de este blog iremos entrando más en profundidad en algunos de los puntos anteriores, así como en otros temas afines.

Comments

  1. BIEN