Datalia en la Jornada "Certificación del Esquema Nacional de Seguridad"
Esta mañana Datalia ha participado en la jornada "Certificación del Esquema Nacional de Seguridad" organizada por Aenor en colaboración con el Gobierno de Navarra y Adhoc Security, y cuya apertura ha sido realizada por Isabel Elizalde, Consejera del Departamento de Desarrollo Rural, Medio Ambiente y Administración Local del Gobierno de Navarra.
A lo largo de las diferentes ponencias se ha abordado el Esquema Nacional de Seguridad (ENS) desde diferentes ámbitos, como la auditoría, la metodología para evaluar el grado de cumplimiento, el proceso de adecuación y certificación, y se ha finalizado con la experiencia de la certificación ENS obtenida recientemente en el seno del Departamento de Desarrollo Rural, Medio Ambiente y Administración Local del Gobierno de Navarra.
El ENS (Real Decreto 3/2010, por el que se regula el esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, modificado por el Real Decreto 951/2015) es una legislación de obligado cumplimiento orientada a proporcionar seguridad a los sistemas de información del sector público empleados por la administración en el ejercicio de sus competencias de cara a ofrecer unos servicios que proporcionen confianza a los ciudadanos.
El proceso de implantación incluye una serie de pasos:
- Política de seguridad, como mecanismo para sentar las bases de la seguridad en la organización y transmitir su importancia desde la dirección al conjunto del personal.
- Roles y responsabilidades, de cara a asegurar que se tomen debidamente las acciones de seguridad que se puedan requerir en cada caso.
- Categorización del sistema, estableciendo una clasificación de la información que permita adecuar las medidas a la sensibilidad de la información manejada.
- Análisis de riesgos, que nos permite adaptar la seguridad a nuestra organización y conocer los riesgos a los que nos enfrentamos en función de nuestra situación particular. De este análisis se derivan los planes de tratamiento mediante los que afrontaremos los riesgos y amenazas sobre nuestra organización.
- Declaración de aplicabilidad, que nos permitirá conocer la diferencia entre el nivel de madurez objetivo y real de las medidas de seguridad recogidas en el ENS.
- Implantación de las medidas, a partir del diagnóstico realizado en el análisis de riesgos y declaración de aplicabilidad. Esta implantación nos permitirá aumentar el nivel de seguridad de la organización.
- Auditoría, como mecanismo para detectar puntos débiles y mejorar la seguridad.
En el proceso de implantación la implicación de la dirección y del personal clave es fundamental, así como disponer de una adecuada organización en todo el proceso. El proyecto de implantación se aligera notablemente con apoyo externo para la formalización y adaptación a la estructura determinada por la legislación. Por otro lado, aquellas organizaciones que dispongan de una certificación de un Sistema de Gestión de Seguridad de la Información según ISO 27001 tienen gran parte del camino recorrido.
Su cumplimiento debe considerarse no sólo como mero requisito legal, sino como mecanismo para poder mejorar el servicio prestado (estando disponible cuando el ciudadano lo necesita, sin errores, manteniendo protegida la información confidencial, etc.), proporcionando con ello seguridad y confianza a los ciudadanos y empresas con las que se relaciona la administración.