Suscríbase y conozca cada mes novedades de GESCONSULTOR y mejores prácticas para
sus proyectos de Sistemas de Gestión. Consulte y acepte la Política de Privacidad

Medidas del ENS a implantar y su Guía de Implementación (CCN-STIC-804)

En el Anexo II del ENS se enumeran y describen las 75 medidas que comprende este Marco. En la Guía CCN-STIC 804 cada una de estas medidas se  desglosa en una serie de acciones que llevan a su implementación efectiva, con lo que se ofrece una visión al máximo nivel de detalle de las actividades a desarrollar para lograr el pleno alineamiento de las mismas con el cumplimiento de los requerimientos del ENS en este aspecto.

Las acciones especificadas en la Guía 804 están directamente relacionadas con la categorización de los Sistemas de Información donde se aplican, en base a los criterios del Anexo I del ENS. Por tanto, la implementación de las medidas aplica el principio de proporcionalidad que preside el ENS y, con ello, las acciones a implantar y controlar serán las adecuadas en función de la categoría mencionada.

GesConsultor GRC incorpora un sistema de categorización automática basado en asistentes que permite obtener las valoraciones aplicando los criterios de la Guía CCN-STIC 803, con lo que, una vez establecidas las mismas, la base para la aplicación de las acciones proporcionales a la categoría quedan establecidas.

GesConsultor GRC contempla todas y cada una de las acciones especificada en la Guía CCN-STIC 804, con lo que el nivel de control y gestión de la implementación del ENS es máximo. En estas acciones se identifica el estado de implementación inicial, actual y el objetivo, así como su responsable, previsiones de plazos y costes, comparación con plazos y costes reales, hallazgos y evidencias en las auditorías / análisis realizados y tareas a generar para conseguir los objetivos.

Este nivel de detalle no supone una alta carga de trabajo dado que GesConsultor GRC controla la aplicabilidad de las medidas y acciones y, con ello, únicamente se introducen datos en los activos donde aplican las medidas concretas y, adicionalmente, pueden seleccionarse medidas y acciones que apliquen a grupos o a todos los activos, evitando su duplicidad.

Con este enfoque, el máximo nivel de detalle y calidad en la implementación y control de las acciones se obtiene con una mínima carga de trabajo interna, optimizando estas tareas y obteniendo de las mismas la base automatizada del Análisis Diferencial – Insuficiencias del Sistema, Declaración de Aplicabilidad – Fuentes de Requisitos y Plan de Mejora de la Seguridad, donde aparecen las acciones cuyo grado de cumplimiento sea diferente al grado objetivo cuando se emiten estos informes, generados automáticamente por GesConsultor GRC.

  1. Análisis Diferencial: Permite un examen exhaustivo sobre el estado de cumplimiento real de la Organización respecto a las medidas que le son de aplicación, es decir, comprueba todos los elementos de que debería disponer, permitiendo así mismo la realización de auditorías sobre los Sistemas.
  2. Insuficiencias del Sistema: Este documento, que forma parte del Plan de Adecuación, parte del Análisis Diferencial descrito anteriormente. En él constan para cada una de las medidas a implantar, cuáles están ya implantadas y cuáles no, existiendo así mismo la posibilidad de indicar un grado de cumplimiento y la visualización gráfica de los resultados obtenidos.
  3. Declaración de Aplicabilidad: Esta fase, que se incluye en el Plan de Adecuación, permite identificar la aplicabilidad o no de las medidas incluidas en el Anexo II del ENS. Dicha aplicabilidad puede venir dada bien por las condiciones y ámbito de negocio de la Organización, o por la necesidad de su implantación como medida para mitigar en lo posible los riesgos detectados en el Análisis de Riesgos.
  4. Gestor de Proyectos: Permite la planificación de las acciones necesarias para la implantación de las medidas, existiendo la posibilidad de asignarles fechas de inicio y fin propuestas y reales, presupuestos estimados, responsabilidades, etc.
ENS - Análisis Diferencial y Cumplimiento ENS, LOPD

ENS – Análisis Diferencial y Cumplimiento ENS, LOPD

ENS - Gestor de Proyectos

ENS – Gestor de Proyectos – acciones derivadas de tratamientos

Declaración de Aplicabilidad conforme a ENS

Declaración de Aplicabilidad conforme a ENS