LlamarPresupuesto
Obtenga su Presupuesto Normas ISO en 1 Minuto AQUIObtenga su Presupuesto Normas ISO en 1 Minuto AQUI

ENS Requisitos Mínimos

ENS Requisitos Mínimos

Requisitos míninos de la Seguridad en el ENS

Para desarrollar la política de seguridad Obligatoria en el ENS debemos tener en cuenta:

  • Principios Básicos
  • Cumplir con los Requisitos mínimos de Seguridad

En este artículo desarrollaremos los Requisitos Mínimos, pero antes aclaremos algunas cosas:

¿Quién debe desarrollar la política de Seguridad?

Los órganos superiores o responsables directos de la ejecución de la acción del gobierno tanto:

  • Central
  • Autonómico
  • Local
  • De un sector de actividad específico

Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u Órgano representativo.

Organización e implantación del proceso de seguridad
El esfuerzo por la Seguridad según el espíritu del ENS es una tarea colectiva que atañe a toda la organización y está basada en dos pilares fundamentales:

  • La designación de responsabilidades
  • La comunicación y difusión de la política a toda la organización.

Se trata de conseguir la implicación de todos los que forman parte de una entidad para aunar esfuerzos en la tarea de la Seguridad, por tanto la responsabilidad de los órganos de dirección no solo esta en elaborar la Política de Seguridad, sino en difundirla y hacerla cumplir.

Según el ENS cada uno es responsables de la seguridad en las tareas que realiza. Clic para tuitear

Análisis y gestión de los riesgos

Cada organización realizara su propio análisis y gestión de riesgos basados en:

  • Metodologías Internacionalmente reconocidas (Ver Listado)
  • Adopción de medidas proporcionadas a la gravedad del riesgo, es decir el coste de las medidas no debe ser mayor que el daño causado por el riesgo que se quiere evitar.

Al análisis de riesgos en el ENS debe ser realizado con metodologías internacionalmente reconocidas Clic para tuitear

Gestión de personal

Las tareas y deberes de la seguridad son responsabilidad de todo el personal, por lo que será fundamental tener previstas tareas de:

  • Concienciación y sensibilización
  • Comunicación y divulgación
  • Actividades formativas
  • Verificación del seguimiento de las obligaciones de seguridad

ENS: Las obligaciones de Seguridad deben ser comunicadas, informadas y verificado su cumplimiento Clic para tuitear

Profesionalidad
En este punto se nos habla de
  • La necesaria cualificación del personal dedicado a la atender, revisar y auditar los sistemas de seguridad
  • La necesaria formación específica en seguridad para poder atender los sistemas de información necesarios para el servicio.
  • La necesidad de exigir a los proveedores externos los mismos niveles de seguridad que se exijan internamente.

ENS: Se debe exigir a los proveedores externos los mismos niveles de seguridad establecidos internamente Clic para tuitear

Autorización y control de los accesos

La protección de la seguridad de los Sistemas pasa por restringir el acceso a las aplicaciones y procesos que sean necesarios para la realización de una tarea evitando aquellos equipos y aplicaciones que no necesitan ni deben estar al alcance de determinados usuarios

ENS el acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos ... Clic para tuitear

Protección de las instalaciones

Las instalaciones deberán protegerse contra los daños que se puedan causar a los sistemas que albergan mediante

  • Sistemas de control de acceso
  • Salas cerradas y con control de llaves

ENS Las instalaciones deberán protegerse con controles de accesos y salas cerradas con control de llaves ... Clic para tuitear

Adquisición de productos de seguridad

Los productos y servicios a contratar por la  administración serán evaluados tanto en sus prestaciones como en sus niveles de seguridad

ENS se valorará aquellos productos y servicios externos que tengan certificada la su seguridad Clic para tuitear

Seguridad por defecto

Pautas para garantizar la seguridad por defecto de los sistemas

  • Evitar funcionalidades innecesarias en el diseño
  • Restringir el acceso por personas, emplazamientos, equipos y horarios
  • Activación y desactivación de funciones configurable por el sistema de explotación
  • El sistema ha de ser sencillo y seguro de utilizar, de forma que para que ocurra un incidente de seguridad sea necesario que el usuario lo haga de manera consciente.

ENS el diseño de sistemas debe garantizar la seguridad por defecto Clic para tuitear

Integridad y actualización del sistema

Pautas para garantizar la integridad del sistema:

  • Cualquier cambio debe ser autorizado mediante procedimientos formales
  • Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten

ENS conocer en todo momento el estado de seguridad de los sistemas y especificaciones de fabricantes Clic para tuitear

Protección de información almacenada y en tránsito.

Se considera información almacenada o en tránsito a:

El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.).

Se aplicarán las medidas que al resto del sistema y que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de los mismos.

ENS: especiales medidas de seguridad para entornos de riesgo, equipos portátiles y otros soportes Clic para tuitear

Prevención ante otros sistemas de información interconectados

Las conexiones con otras redes. especialmente redes públicas como Internet, conllevan riesgos que deben ser evaluados antes de proceder a autorizar dichas conexiones.

ENS: Se deben evaluar convenientemente los riesgos de conexión a redes como internet Clic para tuitear

Registro de actividad

Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa, siembre con el debido respeto a las leyes sobre protección de datos, de la intimidad de las personas e imagen y toda la legislación aplicable al respecto.

ENS: Registrar la actividad de los usuarios con el respeto debido a la protección de datos personales Clic para tuitear

Incidentes de seguridad

El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.).

El objeto de esta medida es poder realizar una gestión de incidentes:

  • Tomar acciones correctivas
  • Documentar y realizar estudios
  • Tomar medidas preventivas para evitar que vuelvan a suceder

ENS: se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.) Clic para tuitear

Continuidad de la actividad

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

ENS: se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones Clic para tuitear

Mejora continua del proceso de seguridad
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. ENS: se establecerá un proceso de mejora continua de la seguridad p. ej. un SGSI basado en ISO 27001 Clic para tuitear
Cumplimiento de requisitos mínimos

Para dar cumplimiento a los requisitos mínimos establecidos en el presente real decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta:

  • Los activos que constituyen el sistema.
  • La categoría del sistema, según lo previsto en el Artículo 43.
  • Las decisiones que se adopten para gestionar los riesgos identificados..
  • Los dispuesto en la LOPD ley de protección de datos personales

Estas medidas podrán ser ampliados teniendo en cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.

ENS: Para cumplir los requisitos mínimos, se aplicarán las medidas de seguridad del Anexo II Clic para tuitear

Infraestructuras y servicios comunes

La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos por el ENS.

Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración como por ejemplo:

  • Interconexión entre Administraciones
  • Firma Electrónica
  • Tramitación electrónica.
  • Servicios integrales.
  • Información y difusión.
  • Herramientas de apoyo.
  • Gestión de Recursos Humanos en la Administración General del Estado.
Guías de seguridad

El Centro Criptológico Nacional, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y las comunicaciones.

Descarga el indice de guías en PDF
Sistemas de información no afectados
Puede darse el caso de sistemas de información a los que no les sea de aplicación el ENS por ser sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio..

Artículos relacionados

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Referencias Sector TIC

Referencias INGERTEC Sector Tic - Garantía de un trabajo bien hecho

Contacte con nosotros

  •   Acepto la Política de privacidad

Donde estamos

DELEGACION CENTRO
[Tel.91 748 23 38]
Madrid
Paseo de la Castellana 259
Torre de Cristal
DELEGACION NOROESTE
[Tel.93 550 08 94]
Barcelona
Edif. Este, Moll de Barcelona, s/n DELEGACION SUR
[Tel.957 41 04 27]
Sevilla
Córdoba
Avda. Torrecilla s/n, Centro
Industrial La Torre nave 38
DELEGACION NORTE
Navarra [Tel.:948 985 753]
C/ Mayor Nº 15
Burlada
Logroño
[Tel.:946 545 010]
General Vara de Rey 64
DELEGACION NOROESTE
[Teléfono 881 242 869]
A Coruña
Calle Rua de Amio 114
Llamada gratuita 900 897 931
[easy2map id=1 ]

Autopresupuesto sin compromiso

Rellene este formulario y recibirá automáticamente el presupuesto en su email



Sector Servicios
Sector Fabricación
Otros

Si
No