Recientemente el Centro Criptológico Nacional (CCN-CERT) ha publicado la Declaración de Aplicabilidad en el ámbito del Esquema Nacional de Seguridad (ENS). Esta Declaración es el documento en el que se formaliza la relación de medidas de seguridad que resultan de aplicación al sistema de información de que se trate, conforme a su categoría. Asimismo, el CCN nos facilita el trabajo adjuntando un simulador (anexo a la Guía) para hacerlo de forma automática, introduciendo los niveles de seguridad para cada una de las dimensiones del activo.

La Declaración incluye la categorización y la determinación de los niveles de seguridad por dimensión, la categoría y las medidas de aplicación. El tercer capítulo incluye un ejemplo de categorización y de determinación de aplicabilidad. Seguidamente, se incluye un apartado con que define el Perfil de Cumplimiento Específico (PCE).

Finalmente, se incluyen el siguiente decálogo de recomendaciones para la declaración de aplicabilidad en el Esquema Nacional de Seguridad.

Decálogo de recomendaciones para la Declaración de Aplicabilidad (ENS)
1Valorar, en primer lugar, los activos esenciales (de los tipos “Información” y “Servicio”).
2Para valorar los activos, determinar el nivel de seguridad por cada una de las dimensiones: confidencialidad [C], integridad [I], disponibilidad [D], autenticidad [A] y trazabilidad [T]. Dicho nivel se determinará en función de las consecuencias de un incidente de seguridad sobre alguna de las dimensiones.
3Si el activo esencial es del tipo “Servicio”, se recomienda valorar en primer lugar la dimensión de disponibilidad [D], pues los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir heredados por la valoración de los activos del tipo “Información”.
4Establecer la categoría del sistema (BÁSICA, MEDIA o ALTA) en función de los niveles de seguridad asignados a las distintas dimensiones, teniendo en cuenta que la asignación de una categoría al sistema requiere fijar un grado de implementación de las medidas que resulten de aplicación y que la categoría del sistema será el mayor de los niveles de seguridad asignados.
5Seleccionar las medidas que aplican al sistema en función de su categoría, de un total de 45 medidas.
6Seleccionar las medidas que aplican al sistema en función de sus niveles de seguridad, de un total de 28 medidas.
7Emplear el simulador elaborado por el CCN-CERT, que ayuda a determinar la Declaración de Aplicabilidad de forma automática, introduciendo los niveles de seguridad para cada una de las dimensiones del activo.
8Indicar de forma detallada la correspondencia entre las medidas compensatorias implementadas y las medidas del Anexo II que compensan; análogamente respecto a las posibles medidas complementarias de vigilancia. El conjunto será objeto de la aprobación formal por parte del responsable de Seguridad.
9En caso de que en la Declaración de Aplicabilidad se incluya alguna medida compensatoria, detallar, por cada una de ellas, los siguientes parámetros: ámbito de aplicación, limitaciones o restricciones, objetivo, riesgo identificado, definición de la compensatoria, validación de la medida compensatoria y mantenimiento. El contenido de dichos parámetros es recogido en la Guía CCN-STIC-819 Medidas Compensatorias.
10Para la redacción del documento de Declaración de Aplicabilidad, hacer uso de un documento de elaboración propia, o de la plantilla elaborada por el CCN-CERT, debiendo tener en cuenta los perfiles de cumplimiento validados por el CCN en las correspondientes guías CCN-STIC.
VIACentro Criptológico Nacional (CCN-CERT)
Artículo anteriorAyudas fiscales por instalar placas solares en Meco
Artículo siguienteResume documentos con ChatPDF, o que lea él por ti
Enrique Pampliega
Desde hace más de 30 años ha estado ligado y promoviendo actividades relacionando la geología y geociencias con los recursos electrónicos, internet y las redes sociales y científicas. Jefe de administración del Ilustre Colegio Oficial de Geólogos (ICOG) desde el año 1990. En 1991-1996 Relaciones públicas y posteriormente responsable de marketing de la revista Tierra y Tecnología del ICOG. En 1993-1996 dirigió la publicación “El Geólogo” y en 1997 fundó “El Geólogo Electrónico”. Coordinador de las ediciones I a III del GEA-CD (recopilación y difusión de software para docentes y profesionales de las ciencias de la tierra y el medio ambiente en formato CD-ROM) entre los años 1996 a 1998. Colabora con la ONG Geólogos del Mundo creando su intranet y poniendo en marcha su página web institucional. Desde el año 2000 es responsable de calidad del ICOG (ISO 9001). Ha sido ponente en distintos eventos organizados por Unión Profesional y Unión Interprofesional de la Comunidad de Madrid, sobre la calidad aplicada al sector colegial. Asimismo, ha impartido charlas sobre búsqueda de empleo y redes sociales en el ICOG, Unión Profesional y Universidad Complutense. En 2005 implanta el visado electrónico de proyectos en el ICOG. En el ámbito de las webs y redes científicas, es Community manager del ICOG. Webmaster de la revista Tierra y Tecnología, de la página institucional del ICOG, de la Escuela de Geología Profesional, de la Red Española de Planetología y Astrobiología y de la International Association for Geoethics. Delegado de protección de datos del ICOG desde el año 2018. Experto en digitalización del sector de colegios profesionales ha sido ponente en el taller virtual sobre la "Transformación Digital del Sistema Colegial", organizado por Unión Profesional y Wolters Kluwer en 2020. Ha sido distinguido como Geólogo de Honor por la Asamblea General del ICOG el 15 de abril de 2023. En 2003 crea el “Blog de epampliega” un espacio personal que pasaría en 2008 a llamarse “Un Mundo Complejo” donde trata temas de: economía, redes sociales, innovación, sociedad, etc.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí