====== Esquema Nacional de Seguridad ====== El esquema nacional de defensa tiene como objetivo la prevención, defensa, detección y respuesta frente a ciberamenazas. ===== Objetivos ===== * Crear condiciones necesarias para la confianza en el uso de medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. * Introudcir elementos comunes que han de guiar las actuaciones de las adminsitraciones públicas en manera de seguridad de las tecnologías de la información. ===== Plan de Adecuación: Política de seguridad de la información ===== El primer paso del ENS es elaborar la política de seguridad de la información. Deben desarrollarse los principios mínimos establecidos en el ENS. - Organización e implantación del proceso de seguridad - Análisis y gestión de los riesgos - Gestión de personal - Profesionalidad - Autorización y control de los accesos. - Protección de las instalaciones - Adquisición de productos - Seguridad pord efecto - Integridad y actualización del sistema - Protección de la información almacenada y en tránsito - Prevención ante otros sistemas de información interconectados - Registro de actividad - Incidentes de seguridad - Continuidad de la actividad - Mejora continua del proceso de seguridad Roles del marco organizativo: * Responsable de la información (RINFO): El cargo más alto de la organización * Responsable del servicio (RSERV): Decide sobre los requisitos de seguridad del servicio * Responsable de la seguridad (CISO): Gestiona la seguridad de la información y los servicios * Responsable del sistema (RSIS): Encargado de desarrollar, operar y mantener el sistema * Administradores de la seguridad del sistema (ASS): Se encargan de la parte técnica de la implementación, gestión y mantenimiento de las medidas de seguridad. ===== Plan de Adecuación: Categorización de los sistemas ===== - Identificación de los servicios y de la infomración - Valoración de los servicos e información ===== Plan de Adecuación: Análisis de riesgos ===== Se usan varias herramientas: * MAGERIT: Metodología de análisis de riesgos para IT * Pilar: Herramienta de análisis de riesgos de propósito general ===== Plan de Adecuación: Declaración de aplicabildiad ===== Este documento e suna relación de las 75 medidas de seguridad privastas indicando si cada una de estas debe aplicarse o no. Para seleccionar las medidas de seguridad a aplciar se siguien los siguientes pasos: - Identificar tipos de activos presentes - Determinar las dimensiones de seguridad relevantes - Determianr el nivel correspondiente a cada dimensión de seguridad - Determinar la categoría del sistema. - Seleccionar las medidas de seguridad apropiadas ===== Plan de Adecuación: Insuficiencias del sistema ===== Una vez establecidos los requisitos mínimos para adecuar la organización al ENS, se debe ejecutar una evaluación del grado de cumplimiento de las medidas previstas para identificar puntos a corregir o menjorar. ===== Plan de Adecuación: Plan de mejora de seguridad ===== Es el paso final para la planioficación de la adecuación al ENS. Se elabora un plan de mejora que contemple las acciones para subsanar las insuficiencias de la organización detectadas anteriormente.