Servicios de Auditoria y Asesoría
Somos especialistas en la adecuación al ENS de los sistemas de información tanto de las administraciones públicas y locales como de organizaciones empresariales mediante la aplicación de las diferentes herramientas y guías operativas definidas por el CCN-CERT.
Es por ello que disponemos de los siguientes servicios ENS:
Asesoría ENS
El Real Decreto 951/2015, de 23 de octubre, establece que los sistemas de información deberán adecuarse a lo dispuesto en un plazo que es como máximo de veinticuatro meses (5 de noviembre de 2017).
Es por ello la enorme importancia de la adecuación al ENS, sobre todo en las administraciones públicas y locales, requeriendo el tratamiento de diversas cuestiones para su adecuación ordenada:
-
Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información)
-
Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados. (Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad)
-
Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo –Pilar- )
-
Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. (Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad)
-
Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad)
-
Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (Véase serie CCN-STIC)
-
Auditar la seguridad (Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad)
-
Informar sobre el estado de la seguridad (Véase CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad)
Auditoria ENS
La auditoria se realiza siguiendo lo establecido en la guía CCN-STIC 802 Guía de Auditoría ENS y en la verificación del cumplimiento de las medidas del Esquema Nacional de Seguridad definidas en la guía CCN-STIC 802.
Para la auditoria de Servicios Web se hace conforme a las siguientes guías:
-
CCN-STIC 812 Seguridad en entornos y aplicaciones Web (412 / 413)
-
CCN-STIC 671 Seguridad en Servidores Web Apache
-
CCN-STIC 661 Seguridad Firewall aplicación (WAF)—MOD SECURITY
-
CCN-STIC 460 Seguridad en WordPress / Joomla / Drupal
Se utilizan las siguientes herramientas:
Conformidad con el ENS
Consciente de la necesidad de dar publicidad a las garantías adoptadas en el desenvolvimiento de las Administraciones Públicas y el desarrollo del procedimiento administrativo prestado por medios electrónicos, el artículo 41 del ENS señala:
Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.
Según la categoría del sistema se distingue entre Declaración de conformidad y Certificación de conformidad, recogidos en la Guía 809 (Declaración y Certificación de Conformidad con el ENS):
-
Declaración de Conformidad: de aplicación a sistemas de información de categoría Básica. Podrá representarse mediante Sello o Distintivo de Declaración de Conformidad generado por la entidad bajo cuya responsabilidad esté el sistema.
-
Certificación de Conformidad: de aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en el caso de sistemas de información de categoría Básica.