Buenas prácticas en seguridad de la información
La seguridad de la información es un tema crítico en la era digital actual. La información es uno de los activos más valiosos de una organización, y su protección es esencial para garantizar la continuidad del negocio y la confianza de los clientes.
En este artículo, se presentan las mejores prácticas en seguridad de la información que pueden ayudar a proteger los datos y sistemas de una organización.
Conceptos básicos de seguridad de la información
Como introducción a la seguridad de la información, podemos describirla como la disciplina encargada de preservar la confidencialidad, integridad y disponibilidad de la información vinculada a un sujeto y los sistemas asociados en una organización. Este campo se centra en tres aspectos fundamentales:
Confidencialidad: La confidencialidad evita la revelación de información a individuos, entidades o procesos no autorizados. Garantiza que el acceso a la información esté restringido a aquellos con la debida autorización, y su vulneración puede ocurrir de diversas maneras, como la visualización no autorizada en dispositivos o la divulgación a través de medios no seguros.
Integridad: La integridad busca mantener los datos sin alteraciones no autorizadas, preservando la exactitud de la información generada. Protege contra modificaciones no autorizadas que podrían comprometer la precisión y totalidad de los recursos. La violación de integridad se produce cuando los datos son modificados o eliminados sin autorización, ya sea por error o malicia.
Disponibilidad: La disponibilidad se refiere a la accesibilidad de la información para aquellos que tienen la autorización correspondiente, en el momento que lo necesiten. Implica que los sistemas y datos estén disponibles cuando sean requeridos por personas autorizadas, asegurando que la información esté a disposición de manera oportuna y eficiente.
En resumen, la ciberseguridad aborda estos tres pilares esenciales para garantizar que la información se maneje de manera segura, protegiendo su confidencialidad, preservando su integridad y asegurando su disponibilidad cuando sea necesario.
Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad (ENS) es una normativa que tiene por objetivo establecer la política de seguridad en la utilización de medios electrónicos relacionados con la administración pública. El ENS está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación.
Más información relacionada en nuestros artículos: Esquema Nacional de Seguridad, qué es el Esquema Nacional de Seguridad.
Principios básicos del ENS
Los principios del ENS son la seguridad integral, la gestión de la seguridad, la prevención, detección y corrección, la homogeneidad y la promoción de buenas prácticas. Estos principios se basan en la tríada “CIA”: confidencialidad, integridad y disponibilidad de los datos.
Principio 1: Establecer la seguridad de la información en toda la organización. El gobierno de la seguridad de la información debe abordarse de manera integral, asegurando que las actividades sean integrales e integradas en todas las áreas. La toma de decisiones debe considerar aspectos comerciales, seguridad de la información y otros factores relevantes.
Principio 2: Adoptar un enfoque basado en el riesgo. Las decisiones de seguridad de la información deben basarse en la evaluación de riesgos (conoce las técnicas de Magerit y Pilar: Magerit vs Pilar). La determinación del nivel de seguridad aceptable debe tener en cuenta el apetito de riesgo de la organización, considerando aspectos como la pérdida de ventajas competitivas, riesgos legales, interrupciones operativas, daños reputacionales y pérdidas financieras.
Principio 3: Establecer la dirección de las decisiones de inversión. El gobierno de la seguridad de la información debe definir una estrategia de inversión basada en los resultados organizativos, armonizando los requisitos de seguridad con los objetivos empresariales a corto y largo plazo. La integración de la seguridad de la información en los procesos organizativos existentes es esencial para optimizar las inversiones.
Principio 4: Asegurar la conformidad con los requisitos internos y externos. El gobierno de la seguridad de la información debe garantizar que las prácticas se ajusten a la legislación, regulaciones y compromisos contractuales. Se deben realizar auditorías independientes para asegurar el cumplimiento tanto interno como externo.
Principio 5: Fomentar un entorno positivo para la seguridad. El gobierno de la seguridad de la información debe considerar la conducta humana y coordinar los objetivos y recursos de todas las partes interesadas para evitar conflictos y garantizar la coherencia en la seguridad de la información. La creación de una cultura positiva de seguridad se promoverá mediante programas de educación y sensibilización.
Principio 6: Revisar el desempeño en relación con los resultados del negocio. El gobierno de la seguridad de la información debe asegurar que las medidas de seguridad sean efectivas y eficientes, proporcionando los niveles acordados de seguridad de la información. La evaluación del desempeño debe considerar su impacto en el negocio, no solo la eficacia de los controles de seguridad.
Decisiones en materia de seguridad
Las decisiones en materia de seguridad deben basarse en una evaluación de riesgos y en la identificación de los activos críticos de la organización.
Es importante establecer políticas y procedimientos claros para la gestión de la seguridad de la información, y asegurarse de que todos los empleados estén capacitados para cumplir con estas políticas.
Requisitos mínimos del ENS
Los requisitos mínimos del ENS incluyen medidas de seguridad técnicas y organizativas que deben adoptarse para garantizar la protección adecuada de la información. Estos requisitos se aplican a todos los sistemas de información que manejan información clasificada o sensible.
El RD 311/2022 establece que los requisitos mínimos que se deben incluir son:
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
ñ) Mejora continua del proceso de seguridad.
Obligaciones generales en la protección de datos
Las obligaciones generales en la protección de datos incluyen la necesidad de garantizar la confidencialidad, integridad y disponibilidad de los datos, y de cumplir con las leyes y regulaciones aplicables. Las organizaciones también deben establecer políticas claras para la gestión de la privacidad y la protección de los datos personales.
Certifícate en el ENS esquema nacional de seguridad con SEIFTI
Con Seifti y nuestro equipo de auditores le ayudará a llevar a cabo una auditoría interna para que pueda certificarse en el Esquema Nacional de Seguridad – ENS
¿Quieres incrementar tus posibilidades de acceso a la venta de tus servicios a la Administración Pública?
En Seifti contamos con un equipo experto para certificar a entidades en el ENS.
Nuestro equipo le asistirá en el uso, propósito y aplicación de esta certificación de seguridad de manera que cumpla con los requisitos del ENS, introduciendo a la terminología aplicable al ENS y ayudándoles a determinar el alcance del Sistema de Gestión de la Seguridad de la Información
No Comments