Unas breves notas sobre el proyecto de Real Decreto.
La primera apreciación del lector es que la nueva norma está escrita con un leguaje más técnico, preciso y claro.
Vamos a centrarnos en el personal adscrito a las actividades de ciberseguridad.
Profesionalidad: El personal estará cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición,
construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
Las organizaciones determinarán el diseño curricular y experiencias necesarias del personal para el desarrollo de cada puesto de trabajo.
Roles en las organizaciones:
La norma distingue cuatro roles bien diferenciadsos:
Responsable de información.
Responsable del servicio.
Responsable de la seguridad.
Responsable del sistema.
Responsable de Seguridad distinto del Responsable del
Sistema (salvo excepciones que deberán ser justificadas).
Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsabilidad de la Seguridad que recogerá las condiciones
y requisitos para este rol.
El CCN-STIC publiará normas, intrucciones técnicas, guías de seguridad de las tecnologías de la información y la comunicación; así como recomendaciones para aplicar el ENS.
También aparece un nuevo papel aparece en aquellas empresas que ofrezcan servicios externalizados.
Se trata de la Persona de Contacto, POC, "Point of Contact", de seguridad de la información.
- Será el Responsable de la Seguridad de la Información o pertenecerá a esta área.
- La responsabilidad última será de la entidad del sector público beneviciaria del servicio.
Otros puntos de interés recogidos a vuelapluma:
Un buen ejemplo de los cambios lo encontramos en el glosario.
Aparecen 14 nuevos conceptos que no se recogen en la norma actual. Dos amplian la definición existente.
El Análisis de Riesgo y el Incidente de Seguridad tienen explicaciones más detalladas y completas.
Las medidas de seguridad se considerarán procesos y la valoración de la implantación de dichas medidas será en base a la adopción del modelo CMM.
Notas sobre el Anexo II:
Los niveles de seguridad se han incrementado, aquellos que eran básicos y no necesitaban aplicar medidas de seguridad, en la nueva normativa
se exige que tengan implementaciones mínimas.Esta normativa incluye el concepto de Refuerzo de Seguridad. Los niveles medios y altos se incrementan con medidas de refuerzo denominadas R1, R2 o R3. Estos refuerzos han de estar convenientemente documentados.
L. F. Real
