Esquema-Nacional-Seguridad-ISO

Esquema Nacional de Seguridad e ISO/IEC 27001

Vivimos en un mundo cada vez más conectado y en el que la tecnología avanza demasiado rápido, lo que da lugar a nuevos peligros que ponen en riesgo la información y los servicios de las organizaciones.

Una buena manera de prevenir y gestionar estos riesgos es implantar un SGSI, un Sistema de Gestión de la Seguridad de la Información conforme al Esquema Nacional de Seguridad o la ISO/IEC 27001, lo que nos ayudará principalmente a conocer, gestionar y minimizar riesgos.

¿Qué es el Esquema Nacional de Seguridad?

Se trata del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, en el ámbito de la Administración electrónica, que posteriormente fue modificado por el Real Decreto 951/2015 y a día de hoy, se espera una nueva actualización tras la publicación hace unos meses del Proyecto de Real decreto.

Se trata de una regulación que aplica de manera obligatoria a las Administraciones Públicas y a las empresas del sector privado que presten servicios a alguna administración pública y manejen información de esta.

Está formado por:

 

 

 

 

 

 

 

 

Estos principios básicos y requisitos mínimos sirven de base a las 75 medidas de seguridad. Para poder aplicar las medidas necesarias se debe categorizar el sistema en BAJO / MEDIO / ALTO, valorando la información y servicios en las cinco dimensiones de disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad.

 

¿De qué se trata la ISO/IEC 27001?

Se trata de una norma internacional emitida por la Organización Internacional de Normalización (ISO), que garantiza la confidencialidad, integridad y disponibilidad de la información, los datos y los sistemas que la procesan.

Esta norma internacional especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información en el contexto de la organización.

Se trata de una norma totalmente voluntaria y en su Anexo A, o lo que es lo mismo la ISO / IEC 27002, incluye 114 controles estructurados en 14 secciones:

 

Ventajas de implementar la ISO/IEC 27001 y el Esquema Nacional de Seguridad.

Su finalidad común es reducir el riesgo ofreciendo mayor control de la información, disminuyendo los daños potenciales, mejorando la productividad de los empleados y la fiabilidad de los sistemas.

Obviamente, aunque pongamos medidas, los hechos pueden suceder y suceden, pero debemos tener un buen plan para reducir los riesgos al mínimo posible e intentar saber cuándo y cómo seremos atacados.

La seguridad cero no existe, pero intentaremos reducir la probabilidad y así conseguir un nivel de seguridad aceptable.

 

Principales diferencias y relaciones que existen entre la ISO/IEC 27001 y el Esquema Nacional de Seguridad.

Mobile Lunch and Tech Spirit Barcelona

Este año la feria internacional Mobile World Congress (MWC), que lleva celebrándose ya varios años en la ciudad de Barcelona, se ha visto en la situación de tenerse que suspender por motivos de salud ciudadana. Una circunstancia que ha supuesto un golpe para todos aquellos amantes y profesionales de la tecnología que año tras año participan en esta feria internacional. Pero los ánimos no decayeron del todo, así que pese a todos los inconvenientes, gracias a las iniciativas y ponténcia del tejido emprendedor […]

Regtech vs. Legaltech

Con el aumento del uso y desarrollo de las tecnologías en la actualidad se han creado nuevas formas de actuación adaptadas en todos los ámbitos. Así, han nacido las regtech y las legaltech. Se trata de dos ámbitos de negocio que, aunque puedan confundirse, son vertientes distintas pero complementarias entre ambas. En concreto, se trata de dos tipos de startup que pretenden responder a las necesidades legales y regulatorias […]

Canal prioritario de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha creado recientemente el Canal prioritario cuya funcionalidad es ser la herramienta a través de la cual se pueda comunicar la difusión ilícita de contenido sensible. En concreto, se pretende poder ofrecer una respuesta rápida en situaciones excepcionalmente delicadas. Entre ellas, aquellas que incluyen la difusión de contenido sexual o violento que pueden llegar a suponer una humillación pública de las víctimas.  Aprovechando que […]

Anteproyecto de la Ley de Fomento del Ecosistema de Startups

El Gobierno Español actual tiene como uno de sus objetivos principales el fomento de una normativa que ayude a las startups a promorcionarse. Se trata de adaptar la legislación del país a la nueva realidad. El pasado 18 de diciembre de 2018, la Secretaría de Avance Digital del Ministerio de Economía y Empresa, publicó una Consulta Pública en su portal web, […]

¿Qué hago si se difunden imágenes mías sin consentimiento?

La publicación de imágenes sin el consentimiento de su titular es una práctica cada vez más habitual en el mundo digital. Ahora bien, que se haga no significa que sea legal. De manera que existen métodos de defensa en el caso de apoderamiento y difusión de imágenes, vídeos o archivos personales íntimos.    La Agencia Española de Protección de Datos (AEPD) ha […]

Los nuevos derechos digitales. Novedades normativas que traerán cambios a empresas y organizaciones

Introducción  Con la celebración el pasado 28 de enero del Día de Protección de Datos (Data Privacy Day). Y, además, con las recientes normativas en materia de protección de datos que han reforzado o regulado nuevos derechos, aprovechamos este post para profundizar un poco sobre los nuevos Derechos Digitales. Así pues, en el post vamos […]

La nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

El pasado 6 de diciembre fue publicada la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Su objetivo es adaptar el ordenamiento jurídico espanyol al Reglamento General de Protección de Datos (RGPD) y completar sus disposiciones. Recordemos que dicho reglamento fue de obligada aplicación el pasado 25 de mayo de […]

Real Decreto-ley: seguridad de las redes y sistemas de información

INTRODUCCIÓN  El pasado 6 de julio de 2016 se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión. Es la conocida Directiva NIS (network and information systems). Esta nueva normativa iba destinada a la […]

El nuevo RGPD y la videovigilancia de los trabajadores

INTRODUCCIÓN Introducir videovigilancia en las empresas es un buen método para controlar y evitar que se produzcan accidentes durante la jornada laboral. Sin embargo, también puede contraer problemas sobre todo en lo que se refiere a la privacidad del trabajador. Así pues, ¿el control del empresario a sus empleados es ilimitado? ¿Los trabajadores pueden reclamar […]

MÁSTER EN DERECHO DE LA SOCIEDAD DE LA INFORMACIÓN DE CAMPUS – ICAB – OCTAVA EDICIÓN

5 RAZONES PARA ELEGIR EL MÁSTER EN DERECHO DE LA SOCIEDAD DE LA INFORMACIÓN DE CAMPUS-ICAB – OCTAVA EDICIÓN 1. Porqué abarca todos los contenidos para ejercer la práctica jurídica como abogado especialista en derecho digital. En los distintos módulos del Máster abordamos las diferentes legislaciones aplicables a entornos virtuales y electrónicos, desde protección de […]

Big Data

CONCEPTO El Big Data es conocido en español por una gran variedad de nombres como grandes datos o macrodatos, entre otros. En definitiva, se trata de un concepto que hace referencia al almacenamiento y la gestión de una cantidad muy elevada de datos para distintos fines. No hay un número exacto de datos a través […]

E-commerce

CONCEPTO E-Commerce o comercio electrónico es otro concepto que esta muy de moda ya hace unos años. Su finalidad es ser un método de compra-venta de bienes, productos o servicios vía online. La principal forma de llevarlo a cabo es a través de Internet aunque también se hace a través de otras redes informáticas. Así […]

Accountability

CONCEPTO Accountability se trata de un concepto inglés que no tiene una traducción exacta en nuestro idioma. Sin embargo, intentando hacer una definición más o menos entendible podríamos explicarlo como la forma óptima de trabajar en una organización. Responsabilidad, proactividad y compromiso. En definitiva, se trata del buen hacer de una empresa intentando siempre sacar […]

Compliance

CONCEPTO Uno de los trending topic de los últimos tiempos en el mundo legal es sin duda el término Compliance. Sin embargo, su significado sigue siendo desconocido para muchos. Así pues… ¿qué es realmente el Compliance? En el intento de hacer una definición fácil de comprender, podríamos decir que se trata de un conjunto de […]