SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
Un sistema de información es un conjunto de procedimientos ordenados, cuyo objetivo prioritario es proporcionar la información necesaria que facilite la toma de decisiones. Se puede diseñar a medida, en Aubay lo hemos hecho, adaptándolo plenamente a las necesidades de la empresa, con la finalidad de una correcta administración de los datos y la información, para que puedan ser procesados con facilidad y rapidez.
La seguridad informática, son medidas encaminadas a proteger el hardware, el software y las comunicaciones de los equipos informáticos. Mientras que la seguridad de la información son medidas encaminadas a proteger la información con independencia del soporte en el que se encuentre contra cualquier amenaza, de tal manera que se pueda asegurar la continuidad de las actividades de la empresa, minimizando el perjuicio que se pudiera causar. Se caracterizan por garantizar como mínimo: Confidencialidad, Integridad y Disponibilidad.
Un sistema de gestión de seguridad de la información (SGSI) está diseñado para garantizar el cumplimiento de los controles de seguridad, que desarrollan los estándares de seguridad de la información, con la finalidad de proteger los activos de información de una organización.
DIFERENTES NORMAS Y CERTIFICACIONES DE UN SGSI
En octubre de 2022 se ha publicado la nueva versión de la Norma ISO 27001, que es la norma internacional para la seguridad de la información aplicable a cualquier organización con independencia del tamaño de la misma. Un certificado de conformidad expedido por un organismo reconocido oficialmente permite a la empresa demostrar de cara a todas las partes interesadas, que hay un compromiso organizacional, se manifiesta conformidad en el cumplimiento de los requisitos legales, se desarrolla una adecuada gestión de los riesgos (punto clave de la norma) lo que genera credibilidad y confianza. En definitiva, es una herramienta voluntaria, que permite un reconocimiento público de unas prácticas bien hechas.
El Esquema Nacional de Seguridad (ENS) es la respuesta a la gestión de la seguridad de la información en el ámbito de la Administración Electrónica española. Tiene como objetivo establecer los principios básicos y requisitos mínimos de seguridad que deben de cumplir las administraciones en la prestación de servicios por medios electrónicos. Es de obligado cumplimiento para las empresas que prestan servicios que son necesarios para la administración electrónica de los servicios públicos. Se indica encuentra regulado en el RD 311/2022. Se establecerán medidas de seguridad en función de la categorización en los niveles: bajo, medio o alto, y está pilotado por el CNI.
Por último, a nivel europeo acaba de llegar la Directiva NIS2 que especifica los requisitos que deben implementar las empresas de la Unión Europea que son consideradas infraestructuras críticas para mantener un nivel común de ciberseguridad. Para ello establece las obligaciones de ciberseguridad para los Estados Miembros, medidas para la gestión de riesgos; obligaciones de notificación, etc. La clave en el momento actual de la trasposición de esta Directiva a España es la identificación de las empresas afectadas en función del sector de alta criticidad; las que se consideren esenciales y el impacto en las sean importantes.
AUBAY, CERTIFICACIÓN E IMPLANTACIÓN DE SISTEMAS DE SEGURIDAD
En Aubay hemos recorrido con éxito el camino hacia la certificación ISO 27001:2022 y hemos alcanzado el nivel medio de certificación del Esquema Nacional de Seguridad (ENS). Gracias a esta experiencia, nos sentimos preparados para cumplir con los futuros requisitos que pueda plantear la Directiva NIS2, especialmente aquellos que provengan de nuestros clientes.
En base a nuestra experiencia, iniciar la implementación con la norma ISO 27001 permitiría establecer una base sólida de seguridad. Esto facilitaría posteriormente el cumplimiento de los requisitos más estrictos del ENS y, por último, la adaptación a los futuros requerimientos de la Directiva NIS2 cuando se definan.
En Aubay, diseñamos sistemas de información a medida, adaptados a las necesidades específicas de cada empresa, lo que permite gestionar datos e información de forma eficiente y segura para un procesamiento ágil y efectivo.
.
