————————————————————————

Y aquí es donde entran en juego tres marcos clave que toda organización técnica debería conocer (y aplicar):
ENS, ISO/IEC 27001 y la Directiva NIS2.

————————————————————————

Vamos por partes:

ENS – Esquema Nacional de Seguridad

El ENS es el “reglamento de ciberseguridad” para las administraciones públicas en España (y para las empresas que trabajan con ellas). Establece los principios básicos, medidas y controles que deben aplicar los sistemas para proteger la información y los servicios digitales.

La última versión (RD 311/2022) va mucho más allá del papel: te pide que clasifiques tus sistemas según el riesgo (bajo, medio o alto) y apliques medidas concretas en función de eso. Hablamos de control de accesos, cifrado, trazabilidad, respuesta ante incidentes, continuidad del negocio, etc.

————————————————————————

¿Trabajas con la administración, haces software para ellos, o gestionas datos públicos? Entonces el ENS te aplica sí o sí.

————————————————————————

ISO/IEC 27001 – Seguridad de la información

Si el ENS es el reglamento local, ISO/IEC 27001 es el marco de referencia internacional para gestionar la seguridad de la información. Es una norma que te dice cómo montar un Sistema de Gestión de Seguridad de la Información (SGSI) desde cero: identificar activos, evaluar riesgos, aplicar controles, auditar, mejorar…

La ventaja es que sirve para cualquier tipo de organización, pública o privada. Y si además logras la certificación, puedes demostrar a clientes, socios y auditores que tu empresa sabe lo que hace en materia de seguridad.

Sus controles (los del famoso Anexo A) cubren todo: desde cómo se gestionan los accesos hasta cómo se planifica la recuperación ante desastres.

NIS2 – Nueva directiva europea

Y si aún no has oído hablar de NIS2, empieza a familiarizarte. Esta nueva directiva europea (publicada en 2022 y ya en proceso de transposición en España) pone el foco en sectores críticos: energía, transporte, salud, banca, agua, servicios digitales, y muchos más.

Pero atención: no solo aplica a “grandes empresas”. Si prestas servicios esenciales o tecnológicos a organizaciones de estos sectores (aunque seas una pyme), también te puede afectar.

NIS2 pide:

• Gestión activa del riesgo cibernético,
• Medidas técnicas concretas,
• Notificación de incidentes (en menos de 24-72h),
• Supervisión pública,
• Y sanciones, si no cumples.

En resumen: no es solo una sugerencia, es obligación legal.

¿Cómo se relacionan entre sí?

Aunque ENS, ISO 27001 y NIS2 vienen de sitios distintos (uno es español, otro internacional, otro europeo), todos comparten lo mismo en el fondo:

• identificar riesgos,
• aplicar controles adecuados,
• tener procedimientos claros,
• y revisarlo todo de forma continua.

La buena noticia es que se pueden integrar perfectamente.

Si ya tienes un SGSI basado en ISO 27001, puedes extenderlo para cubrir lo que te pide ENS (p. ej. clasificación de información, roles específicos, medidas ENS concretas).

Si además estás afectado por NIS2, puedes mapear sus exigencias (notificación de incidentes, seguridad en la cadena de suministro, gobernanza) dentro del mismo sistema.

¿Resultado? Un más eficiente, que evita duplicidades y te mantiene alineado con la ley y las mejores prácticas.

¿Por qué implantar las normas?

Cumplir con estas normativas no es solo una obligación legal. Es también una forma de:

• proteger tu negocio ante amenazas reales,
• dar garantías a tus clientes,
• evitar multas,
• y sobre todo, asegurar que tu operación puede seguir funcionando pase lo que pase.

Hoy en día, cumplir es competir.

¿Quieres ayuda para integrar estos marcos de forma realista en tu organización? Hablemos: info@sqs.es

Share this...

Facebook

Pinterest

Twitter

Linkedin

La entrada ¿Por qué cumplir con ENS, ISO 27001 y NIS2 no es opcional? se publicó primero en SQS.

Los objetivos que deben alcanzar en ambos casos pueden resumirse en:

1. Establecer los principios básicos y requisitos mínimos de protección.
2. Definir los roles y responsabilidades de las entidades en materia de seguridad.
3. Mitigar riesgos relacionados con amenazas cibernéticas y vulnerabilidades.

Para asegurar estos objetivos, los sistemas deben ser clasificados, basándose en el impacto que tiene la seguridad en los sistemas de información, previamente a la implantación del ENS.

La clasificación se calcula en función de la criticidad y el impacto de una posible vulnerabilidad sobre el sistema o sistemas de información. Esta clasificación se establece en tres posibles categorías para el sistema o sistemas: bajo, medio y alto.

Para la evaluación de esta categoría, se han de tener en cuenta como impactan en el sistema o sistemas bajo el alcance de ENS las siguientes dimensiones de seguridad:

• Confidencialidad
• Integridad
• Trazabilidad
• Disponibilidad
• Autenticidad

Confidencialidad, Integridad y Trazabilidad (CIT) son comunes con la ISO 27.001.

Para garantizar la seguridad del sistema o sistemas, y que estas cinco dimensiones se garantizan, se conseguirá con la implantación de 73 medidas de seguridad distribuidas de la siguiente forma:

1. Mediadas Organizativas: con 4 medidas aplicadas al marco organizativo global de la seguridad; medidas como la definición de políticas de seguridad, la gestión de incidentes o la designación de responsables de seguridad.
2. Medidas Operativas: 33 medidas aplicadas en el marco operacional para proteger la operación del sistema; la aplicación de medidas para garantizar el funcionamiento seguro de los sistemas, como la protección contra el acceso no autorizado y la correcta configuración de los sistemas.
3. Mediadas de Protección: 36 medidas de protección para activos concretos (instalaciones, equipos, comunicaciones,…); medidas para asegurar la confidencialidad, integridad y disponibilidad de la información, como el cifrado de datos, el control de accesos y la implementación de copias de seguridad.

Beneficios del ENS
La implantación de todas las medidas de seguridad, y por tanto, conformidad con el ENS nos reportará una serie de beneficios:

• Reducción de riesgos de ciberataques o fallos de seguridad.
• Mayor confianza en los servicios digitales ofrecidos por las administraciones.
• Cumplimiento normativo, tanto a nivel nacional como europeo, en cuanto a la protección de datos.
• Mejora de la eficiencia operativa y la gestión de la seguridad en las organizaciones públicas.

El ENS es una herramienta esencial para asegurar la protección de la información en las administraciones públicas de España, promoviendo un entorno digital más seguro y confiable.

Para más información visita implantación de ENS o consúltanos info@sqs.es

Share this...

Facebook

Pinterest

Twitter

Linkedin

La entrada Requisitos de seguridad del ENS se publicó primero en SQS.

¿Qué es la ISO 27001?

La ISO 27001 es un estándar internacionalmente reconocido que proporciona un marco para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI. Este sistema ayuda a las organizaciones a gestionar de manera sistemática los riesgos de seguridad de la información y a proteger la confidencialidad, integridad y disponibilidad de sus activos de información.

¿Por qué es importante la ISO 27001?

Existen numerosas razones por las que las organizaciones deberían considerar la implementación de la ISO 27001. Algunos de los beneficios más importantes incluyen:

• Protección contra violaciones de datos: La ISO 27001 ayuda a las organizaciones a identificar y mitigar los riesgos de seguridad de la información, lo que puede ayudar a prevenir violaciones de datos costosas y dañinas.
• Cumplimiento de regulaciones: Muchas industrias tienen regulaciones específicas de seguridad de la información, como el RGPD en la Unión Europea. La ISO 27001 puede ayudar a las organizaciones a cumplir con estas regulaciones y evitar multas y sanciones.
• Mejora de la confianza del cliente: Los clientes y socios comerciales son cada vez más conscientes de la importancia de la seguridad de la información. La obtención de la certificación ISO 27001 demuestra el compromiso de una organización con la protección de la información de sus clientes, lo que puede mejorar la confianza y lealtad.
• Ventaja competitiva: En un mercado cada vez más competitivo, la ISO 27001 puede dar a las organizaciones una ventaja sobre sus competidores al demostrar su compromiso con la seguridad y la protección de la información.
• Mejora la toma de decisiones: Un SGSI basado en ISO 27001 proporciona a las organizaciones un proceso estructurado para identificar, evaluar y gestionar los riesgos de seguridad de la información. Esto puede ayudar a mejorar la toma de decisiones y a reducir la probabilidad de incidentes de seguridad.
• Mejora la continuidad del negocio: Las interrupciones del negocio debido a incidentes de seguridad pueden tener un impacto significativo en las organizaciones. La ISO 27001 puede ayudar a las organizaciones a mejorar su capacidad para recuperarse de incidentes de seguridad y minimizar el impacto en su negocio.

¿Cómo implementar la ISO 27001?

La implementación de la ISO 27001 puede ser un proceso complejo, pero hay muchos recursos disponibles para ayudar a las organizaciones a comenzar. El primer paso es realizar una auditoría y un análisis de gaps, revisando el sistema de gestión de seguridad de la organización e identificando qué cumplimos y no cumplimos respecto a los requisitos de la norma ISO 27001. El siguiente paso será establecer un plan para implementar todos los cambios que nos permitan cumplir con los requisitos de esta norma.

La ISO 27001 no es una solución única para todas las organizaciones, y los requisitos específicos pueden variar. Sin embargo, los beneficios de implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en ISO 27001 son claros y significativos.

Si estás considerando implementar la ISO 27001 en tu organización, consulta con nuestros expertos en seguridad de la información para obtener más información y apoyo.

Share this...

Facebook

Pinterest

Twitter

Linkedin

La entrada ISO 27001: protege tu información en el mundo digital se publicó primero en SQS.