TFM NC 2024

Implantación del Esquema Nacional de Seguridad en la Empresa Valencia Ingeniería SL.

TFM

Autor/a: Carrillo Nataly Tutor: Balbastre Francisco Fecha Julio 2024

ÍNDICE

01. Introducción

04. Metodología

05. Resultados

02. Objetivos

06. Conclusiones

03. Marco Teórico

01. Introducción

SEGURIDAD DE LA INFORMACIÓN

• Importancia creciente de la gestión de la seguridad de la información.
• Necesidad de protección ante ciberataques, fugas de datos y manipulación maliciosa
• Requisitos normativos en España y competitividad en licitaciones públicas.
• Alineación con la misión y visión de Valencia Ingeniería SL.

LEER MAS

02. Objetivos

General

Específicos

• Evaluar el marco normativo que rige el ENS y su modo de aplicación.
• Analizar los requisitos para el cumplimiento del ENS.
• Revisar las guías de apoyo del Centro criptológico Nacional y el Sistema de Tecnologías de la Información y Comunicaciones Guías CCN STIC 800.
• Analizar la situación actual de la empresa en relación con la seguridad de la información.
• Creación del plan para la implantación del ENS.

Dotar a la empresa de las herramientas necesarias para iniciar su proceso de certificación en el ENS, y desarrollar las primeras etapas de su implementación, integrándolo dentro de su sistema de gestión para cumplir con el objetivo estratégico planteado.

03.Marco Teórico

Para lograr una adecuada implementación del ENS, es importante entender los principios y normas que rigen la gestión de la calidad y la seguridad de la información

SISTEMAS DE GESTIÓN DE CALIDAD

Un sistema de calidad es un mecanismo de regulación de la gestión de las organizaciones:Los SGC están basados en dos principios fundamentales: 1. Programar previamente las actividades a realizar 2. Controlar el cumplimiento de la programación

Leer más

03.Marco Teórico

ESQUEMA NACIONAL DE SEGURIDAD

El ENS es un conjunto de medidas y principios básicos establecidos por el gobierno de España con el objetivo de garantizar la protección adecuada de la información gestionada por las administraciones públicas y entidades del sector privado que interactúan con ellas

Leer más

3. MARCO TEÓRICO

Adecuación al ENS

04.metodología

05. RESULTADOS

La Empresa Valencia Ingeniería SL.

ISO 9001-2015

Valencia Ingeniería es una empresa independiente fundada hace más de 25 años con amplia experiencia en el desarrollo de proyectos, públicos y privados, en los ámbitos del transporte, agua y desarrollo urbano, desde su concepción hasta su puesta en servicio y explotación que se encuentra ubicada en la comunidad valenciana.

ISO 14001-2015

ISO 45001-2018

UNE 166002-2021

ENS

05. resultados

PRIMER PASO: Preparar y aprobar la política de seguridad (CCN-STIC 805)

Misión del organismo, Marco normativo, Organización de la seguridad, Concienciación y formación, Gestión de riesgos y proceso de aprobación y revisión

05. resultados

SEGUNDO PASO: Definir roles y asignar personas (CCN-STIC 801)

El responsable de la información estará en el nivel 1. (Órganos de Gobierno) El responsable de la seguridad estará en el nivel 2 (Dirección Ejecutiva) El responsable del sistema estará en el nivel 3. (Operacional)

Responsables de seguridad de la información

05. RESULTADOS

TERCER PASO: Valorar/categorizar el sistema: información/servicios (CCN-STIC 803)

Procedimiento de alcance, categorización y declaración de aplicabilidad del esquema nacional de seguridad

El servicio:

“Diseño y redacción de proyectos, estudios y dictámenes, direcciones de obras y asistencias técnicas en los siguientes campos de la ingeniería: carreteras, redes de abastecimiento, saneamiento y depuración de agua, obras hidráulicas, hidrología, ordenación y distribución de riegos, planeamiento urbanístico, urbanización instalaciones eléctricas (en baja y media tensión y centros de transformación). La elaboración de estudios y planes de seguridad y salud en obra civil y estudios de impacto ambiental”.

05. RESULTADOS

Categorización del Sistema

Disponibilidad, confidencialidad, Integridad,autenticidad y trazabilidad

05. RESULTADOS

Categorización del Sistema

En el anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS se observan todas las medidas de seguridad. Para el caso en estudio se aplican las medidas del nivel medio.

5. resultados

REGISTROS desarrollados

Procedimientos desarrollados

• Manual de políticas y normas de uso de las TIC.
• Procedimiento de adquisiciones componentes y servicios externos.
• Procedimiento de Bastionado de los Sistemas.
• Procedimiento De Gestión De Incidencias De Seguridad y registro de incidencias.
• Procedimiento de gestión de usuarios.

• Contratos de personal y contratos con terceros.
• Registro de cumplimiento legal.
• Formulario solicitud de autorización.
• Definición de funciones y responsabilidades del personal
• Gestión de usuarios, incorporaciones y bajas de trabajadores y personal externo.
• Seguridad física.
• Seguridad lógica.

06. CONCLUSIONES

El objetivo planteado ha sido alcanzado.

• Amplíación de mi horizonte profesional hacía la seguridad de la información.
• En cuanto a las limitaciones del trabajo, la más destacable está relacionada con el tiempo para lograr la implementación, el cual resultó corto.
• Los pasos a seguir serían terminar de desarrollar la documentación y los procesos necesarios para la implementación, hasta llegar a poder solicitar la certificación a uno de los entes certificadores disponibles.
• A futuro, otra línea de desarrollo interesante sería la implementación de la norma ISO 27001 Sistemas de Gestión de la Seguridad de la Información

La adaptación al ENS presenta ciertas similitudes con la implementación de SGC como la ISO 9001, especialmente en lo que respecta a la necesidad de una estructura organizada, la documentación adecuada y la mejora continua. Para la empresa, este proyecto marca el inicio de una transición hacia una gestión más robusta y segura de la información, alineada con las normativas nacionales.

MUCHAS GRACIAS

ÍNDICE

01. Introducción

04. Metodología

05. Resultados

02. Objetivos

06. Conclusiones

03. Marco Teórico

CCN

Organismo responsable de garantizar la seguridad las tecnologías de la información y la comunicación

PRINCIPIOS BÁSICOS

1. Seguridad integral 2. Gestión basada en riesgos 3. Prevención, detección, respuesta y recuperación 4. Líneas de defensa 5. Vigilancia continua 6. Reevaluación periódica 7. Diferenciación de responsabilidades

Real Decreto 311/2022 del 03 de mayo POR EL QUE SE REGULA EL ESQUEMA NACIONAL DE SEGURIDAD

Implantación de sistemas de calidad principios fundamentales

1. Compromiso de la dirección. 2. Formación y sensibilización. 3. Evaluación de la situación actual. 4. Planificación de la implementación. 5. Documentación del SGC.

6. Implementación de los procesos. 7. Auditoría interna. 8. Revisión por la dirección. 9. Certificación.