1. ENS “Esquema nacional de seguridad”
Normativas ISO a tener en cuenta.
ISO 27001 e ISO 27002 (Sistemas de gestión de seguridad de la información)
ISO 15504 SPICE (Calidad y desarrollo de SOFTWARE). Es una norma más sencilla de
aplicar que los sistemas CMMI (Capability Maturity Model Integration) y que además está
pensada para pequeños grupos de desarrollo.
ISO 22301 Gestión de la Continuidad del Negocio. Es importante no olvidar que el BCP
“Business Continuity Plan” contiene dentro de si mismo al DRP “Disaster Recovery Plan”.
Es decir, el DRP forma parte de un BCP que es algo más amplio.
Legislación a tener en cuenta
Real Decreto 3/2010 que regula el ENS en el ámbito de la Administración Electrónica
Real Decreto 951/2015 de modificación del Real Decreto 3/2010.
También hay que tener en cuenta las guías del Centro Criptológico Nacional CCN-STIC.
Concretamente aquellas de la serie 800:
CCN-STIC 805 Política de Seguridad de la información.
CCN-STIC 801 Responsabilidades y funciones.
CCN-STIC 803 Valoración de los sistemas. 1
2. Gestión de riesgos
El ENS basa su gestión de riesgos en el estándar MAGERIT V3 y en la guía CCN-STIC 808
“Verificación del cumplimiento de las medidas del ENS.”
Aplicabilidad
CCN-STIC 806: Plan de adecuación en donde se debería seleccionar sobre el catálogo de
controles los que se requieran. Se puede hacer una conversión desde los controles de la
ISO 27001 a los del ENS. Aunque los controles de ENS son más restrictivos.
Conviene para las empresas que ya están certificadas en ISO 27001 revisar el contenido
de la guía CCN-STIC 825: “ENS y certificaciones ISO 27001”.
GUIAS para normas y procedimientos
CCN-STIC 821 Normas de Seguridad del ENS con sus 7 anexos.
CCN-STIC 822 Procedimientos de Seguridad con sus 3 anexos.
Deberán de ser aprobadas tanto las normas como los procedimientos y se exige capacitar
al personal afectado y demostrar que existe concienciación entre el personal de la
organización.
2
3. Mejora Continua (PDCA = Plan-Do-Check-Act)
Se deberán tener en cuenta las siguientes guías.
CCN-STIC 802 Auditorias del ENS.
CCN-STIC 815 Indicadores y Métricas del ENS.
CCN-STIC 824 Informe sobre el estado de seguridad.
Diferencias principales entre ISO 27001 y ENS
ISO 27001 ENS
Carácter voluntario. Obligación Legal.
Aplica a toda aquella información que queramos
proteger.
Aplica a toda aquella información necesaria para prestar
servicios.
Se realiza un análisis de riesgos. Requiere una categorización de sistemas y después un
análisis de riesgos.
Confidencialidad
Disponibilidad
Integridad
Confidencialidad
Disponibilidad
Integridad
Autenticidad
Trazabilidad
Se aplica el nivel de seguridad que necesite la
organización.
Se establecen unos mínimos de seguridad para sistemas
con Impacto de seguridad Básico, Medio o Alto.
114 Controles 75 Medidas de seguridad
3