ENS Requisitos Mínimos - Ingertec
LlamarPresupuesto

ENS Requisitos Mínimos

ENS Requisitos Mínimos
 
 
 

Requisitos míninos de la Seguridad en el ENS

Para desarrollar la política de seguridad Obligatoria en el ENS debemos tener en cuenta:

  • Principios Básicos
  • Cumplir con los Requisitos mínimos de Seguridad

En este artículo desarrollaremos los Requisitos Mínimos, pero antes aclaremos algunas cosas:

¿Quién debe desarrollar la política de Seguridad?

Los órganos superiores o responsables directos de la ejecución de la acción del gobierno tanto:

  • Central
  • Autonómico
  • Local
  • De un sector de actividad específico

expertos en ENS

Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u Órgano representativo.

Organización e implantación del proceso de seguridad

El esfuerzo por la Seguridad según el espíritu del ENS es una tarea colectiva que atañe a toda la organización y está basada en dos pilares fundamentales:

  • La designación de responsabilidades
  • La comunicación y difusión de la política a toda la organización.

Se trata de conseguir la implicación de todos los que forman parte de una entidad para aunar esfuerzos en la tarea de la Seguridad, por tanto la responsabilidad de los órganos de dirección no solo esta en elaborar la Política de Seguridad, sino en difundirla y hacerla cumplir.

[bctt tweet=»Según el ENS cada uno es responsables de la seguridad en las tareas que realiza.»]


Análisis y gestión de los riesgos

Cada organización realizara su propio análisis y gestión de riesgos basados en:

  • Metodologías Internacionalmente reconocidas (Ver Listado)
  • Adopción de medidas proporcionadas a la gravedad del riesgo, es decir el coste de las medidas no debe ser mayor que el daño causado por el riesgo que se quiere evitar.

[bctt tweet=»Al análisis de riesgos en el ENS debe ser realizado con metodologías internacionalmente reconocidas»]


Gestión de personal

Las tareas y deberes de la seguridad son responsabilidad de todo el personal, por lo que será fundamental tener previstas tareas de:

  • Concienciación y sensibilización
  • Comunicación y divulgación
  • Actividades formativas
  • Verificación del seguimiento de las obligaciones de seguridad

[bctt tweet=»ENS: Las obligaciones de Seguridad deben ser comunicadas, informadas y verificado su cumplimiento»]


Profesionalidad

En este punto se nos habla de

  • La necesaria cualificación del personal dedicado a la atender, revisar y auditar los sistemas de seguridad
  • La necesaria formación específica en seguridad para poder atender los sistemas de información necesarios para el servicio.
  • La necesidad de exigir a los proveedores externos los mismos niveles de seguridad que se exijan internamente.
Puede interesarte...  ISCC Certificado de Biocombustibles Sustentables

[bctt tweet=»ENS: Se debe exigir a los proveedores externos los mismos niveles de seguridad establecidos internamente»]


Autorización y control de los accesos

La protección de la seguridad de los Sistemas pasa por restringir el acceso a las aplicaciones y procesos que sean necesarios para la realización de una tarea evitando aquellos equipos y aplicaciones que no necesitan ni deben estar al alcance de determinados usuarios

[bctt tweet=»ENS el acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos …»]

Protección de las instalaciones

Las instalaciones deberán protegerse contra los daños que se puedan causar a los sistemas que albergan mediante

  • Sistemas de control de acceso
  • Salas cerradas y con control de llaves

[bctt tweet=»ENS Las instalaciones deberán protegerse con controles de accesos y salas cerradas con control de llaves …»]

Adquisición de productos de seguridad

Los productos y servicios a contratar por la  administración serán evaluados tanto en sus prestaciones como en sus niveles de seguridad

[bctt tweet=»ENS se valorará aquellos productos y servicios externos que tengan certificada la su seguridad»]

Seguridad por defecto

Pautas para garantizar la seguridad por defecto de los sistemas

  • Evitar funcionalidades innecesarias en el diseño
  • Restringir el acceso por personas, emplazamientos, equipos y horarios
  • Activación y desactivación de funciones configurable por el sistema de explotación
  • El sistema ha de ser sencillo y seguro de utilizar, de forma que para que ocurra un incidente de seguridad sea necesario que el usuario lo haga de manera consciente.

[bctt tweet=»ENS el diseño de sistemas debe garantizar la seguridad por defecto»]

Integridad y actualización del sistema

Pautas para garantizar la integridad del sistema:

  • Cualquier cambio debe ser autorizado mediante procedimientos formales
  • Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten

[bctt tweet=»ENS conocer en todo momento el estado de seguridad de los sistemas y especificaciones de fabricantes»]

Protección de información almacenada y en tránsito.

Se considera información almacenada o en tránsito a:

Puede interesarte...  Certificado ISO 9001 Guía práctica (2) Liderazgo

El ENS establece que se debe instalar un sistema de detección
y reacción frente a código dañino (virus, gusanos, troyanos,
etc.).

Se aplicarán las medidas que al resto del sistema y que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de los mismos.

[bctt tweet=»ENS: especiales medidas de seguridad para entornos de riesgo, equipos portátiles y otros soportes»]

Prevención ante otros sistemas de información interconectados

Las conexiones con otras redes. especialmente redes públicas como Internet, conllevan riesgos que deben ser evaluados antes de proceder a autorizar dichas conexiones.

[bctt tweet=»ENS: Se deben evaluar convenientemente los riesgos de conexión a redes como internet»]


Registro de actividad

Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa, siembre con el debido respeto a las leyes sobre protección de datos, de la intimidad de las personas e imagen y toda la legislación aplicable al respecto.

[bctt tweet=»ENS: Registrar la actividad de los usuarios con el respeto debido a la protección de datos personales»]


Incidentes de seguridad

El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.).

El objeto de esta medida es poder realizar una gestión de incidentes:

  • Tomar acciones correctivas
  • Documentar y realizar estudios
  • Tomar medidas preventivas para evitar que vuelvan a suceder

[bctt tweet=»ENS: se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.)»]


Continuidad de la actividad

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

[bctt tweet=»ENS: se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones»]


Mejora continua del proceso de seguridad

El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

[bctt tweet=»ENS: se establecerá un proceso de mejora continua de la seguridad p. ej. un SGSI basado en ISO 27001″]

Cumplimiento de requisitos mínimos

Para dar cumplimiento a los requisitos mínimos establecidos en el presente real decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta:

Puede interesarte...  Sistemas ISO 27001 adaptados al ENS

  • Los activos que constituyen el sistema.
  • La categoría del sistema, según lo previsto en el Artículo 43.
  • Las decisiones que se adopten para gestionar los riesgos identificados..
  • Los dispuesto en la LOPD ley de protección de datos personales

Estas medidas podrán ser ampliados teniendo en cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.

[bctt tweet=»ENS: Para cumplir los requisitos mínimos, se aplicarán las medidas de seguridad del Anexo II»]

Infraestructuras y servicios comunes

La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos por el ENS.

Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración como por ejemplo:

  • Interconexión entre Administraciones
  • Firma Electrónica
  • Tramitación electrónica.
  • Servicios integrales.
  • Información y difusión.
  • Herramientas de apoyo.
  • Gestión de Recursos Humanos en la Administración General del Estado.



Guías de seguridad

El Centro Criptológico Nacional, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y las comunicaciones.

Descarga el indice de guías en PDF

Sistemas de información no afectados

Puede darse el caso de sistemas de información a los que no les sea de aplicación el ENS por ser sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio..


¿Por qué elegir a INGERTEC?

En INGERTEC tenemos 100% de empresas certificadas, todas las empresas que han pasado la auditoría de certificación con INGERTEC se han certificado.

Nos adaptamos al cliente, a su necesidad, a su tiempo para conseguir el éxito de la certificación de manera rápida y eficaz.

 

Información sobre ISO 25000

Compruébelo, llámenos al 900 897 931 o escríbanos a info@ingertec.com

 

Así mismo usted puede saber el precio de una consultoría para la implantación de su sistema de manera inmediata y sin compromiso ninguno por su parte, realizando un Autopresupuesto On Line

 

Deja un comentario