¿Cómo certificarse en el ENS y no morir en el intento?

¡Buenos días, Certificanautas!

En los últimos años la seguridad informática se ha ido convirtiendo en una prioridad empresarial, no solo n el apartado técnico, sino también en lo relacionado con la organización y el apartado humano de la empresa. La ciberseguridad no consiste en un constante parcheo de problemas técnicos que van surgiendo, sino que el secreto radica en planificar e implementar las responsabilidades y medidas técnicas/organizativas de forma eficaz y efectiva. ¡La pregunta del millón radica en responder a dicho orden y gestión!

Para dar con la respuesta tenemos diferentes marcos de certificación establecido: para calidad, la ISO 9001, para la conciencia medioambiental, la ISO 14001, para continuidad de negocio, la ISO22301, la ISO 27001 para los asuntos de seguridad de la información o el Esquema Nacional de Seguridad para la certificación de los mínimos de seguridad de la Administración Pública. Todos estos frameworks se centran en aspectos distintos de la organización de la empresa, pero se basan en principios de seguridad y fiabilidad para el cliente similares.

En los próximos artículos iremos desgranando los aspectos técnicos más relevantes de cada uno de los marcos de seguridad. Pero en este caso trataremos los puntos más relevantes del Esquema Nacional de Seguridad. Se trata de una certificación que busca la protección de los datos y los sistemas durante todo el ciclo, incluyendo a los usuarios, monitorización y registro de los apartados generales, graduándose en 3 niveles diferentes, dependiendo de la criticidad de los sistemas certificados.

Pero más allá de un simple estudio analítico de los requisitos, establecidos en la página 29 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, en este caso hablaremos de los puntos más relevantes a abordar si queremos certificarnos cómoda y ágilmente (aunque nunca tan es tan fácil que con nuestros servicios):

1. Establecer el ámbito de aplicación: desarrollar un inventario de la infraestructura, equipos y personas de la empresa es esencial a la hora de emprender este camino cetificador, y, además, siendo aspectos internos, resulta relativamente sencillo comenzar por este punto.

2. Establecer y definir roles claros en la organización: se han de procedimentar los perfiles de seguridad de datos de carácter personal, así como el listado de funciones de los mismos. Os incluimos la guía válida (CCN-STIC-801) por el Centro Criptológico Nacional para servir de ayuda para definir las funciones de cada perfil relevante.

3. Realizar un análisis de riesgos: tanto con nuestra plantilla básica definida por el CCN, como con la metodología MAGERIT , hay que valorar los riesgos de los activos establecidos en el inventario detallado previamente, siguiendo tres simples preguntas: ¿Qué riesgos concretos puede tener el listado de activos definidos? ¿Cuán accesibles son los activos para los ciberataques? ¿Cuánto daño puede causar un ataque en dichos activos?

4. Reunir el cuerpo normativo interno preexistente: se ha de conocer cual es el marco normativo actual y procesos de la empresa, así como conocer cuales son los procesos de seguridad sobre los que realizar mejorar, o redactar directamente.

5. Atacamos a los requisitos del ENS: Teniendo claro todo lo anterior, procedemos a revisar los requisitos del framework, revisando el cumplimiento de los mismos, así como las evidencias que lo justifican. Si no conocemos forma de realizar esta tarea, en Phoenix contamos con los especialistas y servicios que mejor se adaptan a tí.

6. Conociendo la situación de la empresa, debemos emprender las mejoras necesarias, tanto a nivel técnico, normativo y humano.

7. Auditoría interna: una vez finalizadas las mejoras, se ha de revisar todo el conjunto de activos y normativas para asegurar el cumplimiento de requisitos, así como de la recolección de evidencias y medidores.

La preparación resulta esencial en estos procesos, así como la formación y protección de los sistemas, desde una perspectiva integral. Todo ello, además de los puntos anteriormente nombrados, podemos tenerlo de forma ágil con nuestros servicios, incluso en menos de 72 horas. ¿quieres poder certificarte de forma fiable? ¡cuenta con nosotros!

Sé parte de la nueva era de la consultoría ¡infórmate sin compromiso!