Cómo evaluar el Estado de Seguridad de un organismo e incluirlo en el Informe Nacional

  • Actualizada la Guía CCN-STIC 824 del Informe Nacional del Estado de Seguridad
  • El documento facilita una serie de medidas e indicadores para conocer el estado de seguridad de un sistema y sirve de guía tanto para el propio organismo, como para la elaboración del Informe Anual del Estado de Seguridad de la Administración Pública española elaborado por el Centro Criptológico Nacional, en colaboración con el Ministerio de Hacienda y Administraciones Públicas (MINHAP), a través de la herramienta INES.
  • Métricas como los niveles de madurez de un sistema o el nivel de impacto de un incidente e indicadores básicos que deben recopilarse para ser notificados anualmente como la organización de la seguridad, servicios subcontratados, gestión de incidentes o auditorías están plasmados en esta guía recientemente actualizada.

El CCN-CERT ha hecho pública la Guía CCN-STIC 824 ENS. Informe Nacional del Estado de Seguridad en donde se ofrecen los aspectos que debe tener en cuenta un organismo para evaluar regularmente el estado de seguridad de los sistemas de información de los que son propietarios (tal y como establece el Esquema Nacional de Seguridad –ENS-).

Asimismo, el documento muestra cómo incluir esta información en el Informe Nacional del Estado de Seguridad de la Administración Pública española que se elabora todos los años para observar el grado de cumplimiento con el ENS (todos los sistemas deben hacerlo antes de noviembre del año 2017), la evolución de nuestro país en la materia y la posición de cada organización respecto de la media nacional.

La guía, disponible en el portal del CCN-CERT, busca una estimación preventiva de la seguridad, en función del análisis del cumplimiento de determinados aspectos críticos para cualquier organismo, así como una estimación de la eficacia de las actividades llevadas a cabo y del esfuerzo humano y económico dedicado a la seguridad TIC.

ENS-INES

El Esquema Nacional de Seguridad (ENS) establece la obligación de las Administraciones Públicas de adecuarse a las medidas de seguridad previstas en él y evaluar regularmente el estado de la seguridad de sus sistemas con el fin de elaborar un perfil general de todas la Administración.

El Esquema señala al Centro Criptológico Nacional como el Organismo encargado de articular los procedimientos necesarios para la recogida y consolidación de la información.

Para llevar a cabo esta función, el CCN ha desarrollado el proyecto INES con el fin de facilitar la labor de todos los organismos. Este proyecto cuenta con una plataforma que proporciona a las distintas Administraciones Públicas un conocimiento más rápido e intuitivo de su nivel de adecuación al ENS y del estado de seguridad de sus sistemas.

De este modo, desde el año 2014 se viene recopilando la información anualmente de forma que al cabo de unos años pueda verse la evolución del país y que, cada Organismo, pueda cotejar su posición particular respecto de la media nacional.

El CCN se prepara para la elaboración del tercer Informe Nacional del Estado de Seguridad cuyos datos deberán de ser facilitados por las distintas administraciones a partir del 1 de septiembre. El plazo de entrega concluirá el 31 de enero de 2017.

CCN-CERT (21-07-2016)

Acceso a la Guía CCN-STIC 824 ENS. Informe Nacional del Estado de Seguridad

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT