Vivimos en un mundo cada vez más conectado y en el que la tecnología avanza demasiado rápido, lo que da lugar a nuevos peligros que ponen en riesgo la información y los servicios de las organizaciones.
Una buena manera de prevenir y gestionar estos riesgos es implantar un SGSI, un Sistema de Gestión de la Seguridad de la Información conforme al Esquema Nacional de Seguridad o la ISO/IEC 27001, lo que nos ayudará principalmente a conocer, gestionar y minimizar riesgos.
¿Qué es el Esquema Nacional de Seguridad?
Se trata del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, en el ámbito de la Administración electrónica, que posteriormente fue modificado por el Real Decreto 951/2015 y a día de hoy, se espera una nueva actualización tras la publicación hace unos meses del Proyecto de Real decreto.
Se trata de una regulación que aplica de manera obligatoria a las Administraciones Públicas y a las empresas del sector privado que presten servicios a alguna administración pública y manejen información de esta.
Está formado por:
Estos principios básicos y requisitos mínimos sirven de base a las 75 medidas de seguridad. Para poder aplicar las medidas necesarias se debe categorizar el sistema en BAJO / MEDIO / ALTO, valorando la información y servicios en las cinco dimensiones de disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad.
¿De qué se trata la ISO/IEC 27001?
Se trata de una norma internacional emitida por la Organización Internacional de Normalización (ISO), que garantiza la confidencialidad, integridad y disponibilidad de la información, los datos y los sistemas que la procesan.
Esta norma internacional especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información en el contexto de la organización.
Se trata de una norma totalmente voluntaria y en su Anexo A, o lo que es lo mismo la ISO / IEC 27002, incluye 114 controles estructurados en 14 secciones:
Ventajas de implementar la ISO/IEC 27001 y el Esquema Nacional de Seguridad.
Su finalidad común es reducir el riesgo ofreciendo mayor control de la información, disminuyendo los daños potenciales, mejorando la productividad de los empleados y la fiabilidad de los sistemas.
Obviamente, aunque pongamos medidas, los hechos pueden suceder y suceden, pero debemos tener un buen plan para reducir los riesgos al mínimo posible e intentar saber cuándo y cómo seremos atacados.
La seguridad cero no existe, pero intentaremos reducir la probabilidad y así conseguir un nivel de seguridad aceptable.
Principales diferencias y relaciones que existen entre la ISO/IEC 27001 y el Esquema Nacional de Seguridad.
