Somos una de las primeras empresas en certificarnos en el nuevo Esquema Nacional de Seguridad en Andalucía. Ha sido un trabajo de varios meses, pero que al final nos aporta un importante salto de calidad en la gestión de la Seguridad de la Información. En este post intentaremos describir el proceso, la obligatoriedad o no de la certificación y daremos algunos consejos.
Seguridad de la Información
Es un conjunto de procedimientos que nos ayuda a proteger mejor la información de las organizaciones, frente a accesos indebidos, interrupciones del servicio y la propia destrucción, entre otros males.
Dentro de la Seguridad de la Información encontramos dos grandes certificaciones:
- ISO 27001: es a nivel internacional, renovación periódica y no es obligatoria aunque si recomendada. Más información.
- Esquema Nacional de Seguridad (ENS): es una normativa de aplicación a todo el Sector Público de España, así como a los diferentes proveedores que colaboran con el mismo. Nace en 2010 y se actualiza en 2022. Es renovable cada dos años y diferencia 3 niveles: Básico, Medio y Alto. El CCN-CERT es el organismo creador de esta certificación.
Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad nace en 2010, creado por el CCN-CERT, y se evoluciona en el año 2022.
Como se puede ver, se desglosa en tres grupos de medidas: Marco Organizativo, Marco Operacional y Medidas de Protección. Para conocer con más detalle las medidas que nos son aplicables, se puede consultar el siguiente recurso del portal de Gobernanza. Ya que no todas las organizaciones tendrán que cumplir el mismo número de medidas, en función de su actividad, sus activos y el nivel de certificación al que aspire.
Seguridad por Diseño, Seguridad por Defecto
Se trata de uno de los principales preceptos cuando hablamos de Seguridad, sin duda, a la hora de aspirar a la certificación de un Sistema de Información.
Arquitectura de Seguridad
Es una de las bases sobre la que estructuraremos nuestro Sistema de Seguridad de la Información. Se trata del proceso de evaluar los controles de seguridad de la información e implementar el proceso y las herramientas correctos en los sistemas de TI para proteger los datos que utiliza y almacena una organización.
Política de Seguridad
Es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta, y se establecerá de acuerdo con los principios básicos y se desarrollará aplicando los requisitos mínimos, en proporción a los riesgos identificados en cada sistema.
Pentesting y Análisis de Vulnerabilidades
Esta es otra de nuestra especialidades, puedes obtener más información en el siguiente enlace. Sin duda es más que necesario hacer una evaluación profesional de la seguridad de los servicios de su organización. Para ello, nos ponemos el traje de maluto y aplicamos las principales técnicas de ataque de los ciberdelincuentes.
Guía STIC
Tenemos un gran aliado con el catálogo de Guía CCN-STIC: https://www.ccn-cert.cni.es/es/guias?format=html
Disponen de amplia documentación del proceso, y conforman la base sobre la que transcurrirá la auditoría.
Proceso de Certificación
En base a nuestra experiencia con nuestra propia certificación y con la consultoría de certificación en más de 10 organizaciónes certificadas en Esquema Nacional de Seguridad en Andalucía, resumimos los principales pasos:
- Organización del SGSI
- Designación y reparto de Roles
- Desarrollo de la Política de Seguridad
- Creación del Comité de Seguridad
- Desarrollo de la Arquitectura de Seguridad.
Durante todo el proceso estará asesorado por nuestro expertos. Contamos con personal acreditado y amplia experiencia en la materia. Una gran diferencia de la ISO 27001 y el Esquema Nacional de Seguridad, es que en la primera, la certificación la otorga la propia empresa auditora; en ENS sin embargo, la empresa auditora hace una mera transmisión de la documentación al CCN y en caso de ser favorable, éste emite la certificación a través de ENAC.