La Importancia de la información y los sistemas TI
En la actualidad, la información es una pieza clave e incluso vital para toda organización por ello hay que protegerla como un activo crítico para el desarrollo y la continuidad de la actividad empresarial. Es de vital importancia asegurar que la información esté disponible, actualizada, sea veraz y accesible para el personal autorizado siempre que se necesite. Un fallo en la seguridad que comprometa la información sensible de una empresa puede suponer graves perjuicios para esta y la seguridad de sus instalaciones.
Como ejemplo, pensemos en una instalación portuaria, la filtración de algo tan simple como un cuadrante de turnos de guardias de seguridad y relevos, o del posicionamiento o estado de las cámaras de videovigilancia, puede suponer una enorme brecha para la seguridad física de la instalación, ya que proporciona pistas a los delincuentes que facilitan la intrusión sin ser detectados.
Con la digitalización de la industria, y la evolución de las denominadas tecnologías de la información, los sistemas informáticos se han convertido en el motor que sustentan la gran mayoría de los servicios y cadenas de producción actuales y un fallo de disponibilidad en estos puede llegar a inutilizar la operativa de una gran organización e incluso hacerla colapsar.
En este caso, no tenemos que pensar en sistemas críticos y complejos de alta seguridad de los que nos muestran en películas de acción en las que un fallo informático genera el fin del mundo. Siguiendo con el ejemplo anterior, pensemos en la cantidad de vehículos que acceden a un puerto a lo largo del día, un simple fallo en la gestión de accesos de vehículos a una instalación portuaria, que dificulte la circulación del tráfico, puede suponer un colapso de las vías de comunicación, no sólo de la instalación sino incluso de toda la ciudad que la alberga.
A todo ello se suma el aumento exponencial de la ciberdelincuencia año tras año, y el desarrollo del cibercrimen y los ataques dirigidos a infraestructuras tanto públicas como privadas. Que además en los últimos meses se ha disparado en base al conflicto bélico entre Rusia y Ucrania, ya que las corporaciones organizadas del cibercrimen y los ciberdelincuentes aislado han utilizado la tesitura para enmascarar y aumentar en gran medida sus actividades delictivas.
Necesidad y obligatoriedad
En este contexto, la preocupación por los sistemas de información y la seguridad de los mismos es de vital importancia. En particular en el Sector Público y los organismos que lo componen como garante del bienestar de todos los españoles. En base a dicha preocupación, se hace necesaria una estandarización de los requisitos y pautas de seguridad para los sistemas de información y en virtud de ello una unificación normativa para la adecuación de este sector a unos adecuados niveles de seguridad.
Por ello, tal y como establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Esquema Nacional de Seguridad, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público.
Esta la constituyen los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada; y como finalidad, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos mediante la aplicación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.
Dicha Ley es de obligado cumplimiento para los organismos que conforman el Sector Público.
¿Cuáles son los organismos que conforman el sector público?
El artículo 2 de la mencionada Ley identifica los organismos que forman parte del sector público, entre los que se incluye el sector público institucional, según la cual, “tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público” …;y aquellas de derecho privado… “vinculados o dependientes de las Administraciones Públicas”. Por ello, con carácter genérico, a excepción de los casos con legislación específicas excluyente, toda entidad perteneciente al sector público y aquellas de derecho privado vinculadas o dependientes, bajo la aplicabilidad de la Ley 40/2015 tiene la obligación de adecuarse al ENS en base al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (mod. 04/11/2015).
Siguiendo con nuestro ejemplo, en el Sector Portuario, las 28 Autoridades Portuarias que gestionan los 46 puertos de interés general, pertenecientes al Sistema Portuario español de titularidad estatal, como entidades vinculadas al Organismo Público Puertos del Estado, el cual se rige por su normativa específica, por las disposiciones de la Ley General Presupuestaria que le sean de aplicación y, supletoriamente por la Ley 40/2015; tienen la obligatoriedad de adecuarse al ENS.
¿Qué aporta el ENS?
El ENS aporta un marco de gestión para la seguridad de la información a través de un enfoque integral y holístico, bajo la premisa de que la debilidad de un sistema la determina su punto más frágil.
La adecuación de las organizaciones a la implementación de las medidas de seguridad preconizadas en este proporciona un aumento de los niveles de seguridad de la información desde el primer momento y un marco de trabajo para la mejora continua de la misma.
Además, su certificación es una prueba de que la organización cumple con unos criterios mínimos de seguridad de la información y se adecúa a los requisitos legales, pudiendo ser, a parte de una mejora en el ámbito de la seguridad, una defensa ante posibles sanciones legales en caso de producirse incidentes de seguridad.
Por otra parte, su cumplimento y certificación, también aporta un aumento de la confianza de partners, proveedores y clientes en la organización y mejora la imagen corporativa.
La necesidad de proveer a las Administraciones Públicas de un Sistema de Gestión de la Seguridad de la Información estandarizado como lo es el ENS, viene determinada por el deber de la administración a con los ciudadanos y su seguridad, así como a la interoperabilidad de los sistemas y soluciones adaptadas por cada uno de sus componentes en sus relaciones entre si y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos.
El objetivo de estos debe ser el de garantizar la seguridad de la información, la protección de los datos de carácter personal y la disponibilidad y continuidad de los servicios prestados.
¿Cuáles son los principios básicos del ENS?
El ENS establece seis principios básicos a tener en cuenta en la toma de decisiones en materia de seguridad, La seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación ante incidentes, el establecimiento de la seguridad por capas en distintas líneas de defensa, la reevaluación periódica en virtud de la identificación de puntos de mejora; y la separación de funciones que permita ver la seguridad como una función diferenciada y respete el principio de independencia.
¿En que categorías o niveles se implementa el ENS?
La adecuación a los requisitos de seguridad del ENS se puede realizar en base a tres categorías, Básica, Media y Alta, en función del nivel de seguridad requerido por el Sistema de Información a proteger, las dos últimas son certificables y, por tanto, requieren de procesos de auditoría de certificación, mientras que, la categoría básica no requiere de certificación.
La Serie 800 de las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones, Del Centro Criptológico Nacional, proporcionan un marco de referencia para el correcto desarrollo y adecuación al ENS en cualquiera de sus categorías.
Consejos en la implementación de un Sistema de Gestión de Seguridad de la Información
A la hora de implementar un Sistema de Gestión basado en el ENS, cabe tener en cuenta algunas premisas de peso. El correcto desarrollo e implementación de un proyecto de adecuación al ENS en cualquier organización dependerá de la participación de todo su personal en la implementación y aceptación de los cambios operativos derivados del mismo. Por ello, la experiencia nos dice que es de vital importancia hacer partícipes del proyecto al personal en general informándoles y concienciándoles de la criticidad de este.
También es importante contar con el apoyo y la participación activa en el proyecto de los responsables y el equipo de sistemas ya que serán los encargados de implementar todas las medidas tecnológicas derivadas de la adecuación al ENS.
Debemos tener en cuenta que el éxito del proceso de implementación dependerá tanto de la implicación del personal implicado como del apoyo de la Dirección, pudiendo oscilar entre los tres y seis meses en el mejor de los casos.
En cuanto a los costes de implementación dependerán mucho del puto de partida del proyecto y de las condiciones en las que se encuentren los sistemas de información al inicio de los trabajos. Por ello, es recomendable realizar una auditoría previa de evaluación de conformidad, para valorar y priorizar las necesidades reales e identificar posibles gastos extraordinarios.
Global Technology ha participado en una infinidad de proyectos de adecuación al ENS de diversas organizaciones de múltiples sectores y tamaños, apoyándoles durante todo el proceso de diseño e implementación; y acompañándolos durante la certificación. Su equipo de profesionales cuenta con amplia experiencia en la gestión e implementación de proyectos de seguridad de la información basados tanto en el ENS como en muchas otras normativas de seguridad de la información de referencia nacional e internacionalmente reconocidas.
Global Technology pone a su disposición toda su experiencia de sus profesionales, para ofrecerle, de manera integral, los servicios necesarios para facilitar la adecuación de su organización al cumplimiento del Esquema Nacional de Seguridad en cualquiera de sus categorías, a través de proyectos a medida que priman la eficacia y eficiencia de los procesos, reduciendo de este modo los costes de implementación.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.