Recientemente se ha publicado la normativa que culmina la transposición de la conocida como Directiva NIS o Directiva de Ciberseguridad. Así, el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información regula de forma exhaustiva qué debe contener una política de seguridad de la información. Vamos a analizar las claves que se deben de tener en cuenta en su realización.

  1. ¿Quién tiene que tener una política de seguridad de redes y sistemas de información?
  2. ¿Quién debe elaborar la política de seguridad dentro de cada entidad?
  3. ¿Qué contenido debe tener ésta política de seguridad de redes y sistemas?
  4. ¿Qué principios hay que tener en cuenta para elaborar la política de redes y sistemas de información?
  5. ¿Hay que reflejar en ésta política alguna referencia a “protección de datos”?
  6. ¿Puedo tener en cuenta en su elaboración los criterios reflejados en el Esquema Nacional de Seguridad o el estándar ISO/IEC 27001?

¿Quién tiene que tener una política de seguridad de redes y sistemas de información?

Aquellas entidades que tengan la consideración de operadores de servicios esenciales.

¿Quién debe elaborar la política de seguridad dentro de cada entidad?

Deben ser elaboradas por el responsable de seguridad de la información que propondrá a la entidad su aprobación. Además, el responsable de seguridad de la información es el encargado de supervisar y desarrollar la aplicación de la política de seguridad.

(De este profesional ya te hablamos en otro post, puedes obtener mayor información aquí)

¿Qué contenido debe tener ésta política de seguridad de redes y sistemas?

La política de seguridad de redes y sistemas debe tener como mínimo el siguiente contenido:

  1. Análisis y gestión de riesgos.
  2. Gestión de riesgos de terceros o proveedores.
  3. Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
  4. Gestión del personal y profesionalidad.
  5. Adquisición de productos o servicios de seguridad.
  6. Detección y gestión de incidentes.
  7. Planes de recuperación y aseguramiento de la continuidad de las operaciones.
  8. Mejora continua.
  9. Interconexión de sistemas.
  10. Registro de la actividad de los usuarios

¿Qué principios hay que tener en cuenta para elaborar la política de redes y sistemas de información?

Deberá atenderse a los siguientes principios:

  1. Seguridad integral,
  2. Gestión de riesgos,
  3. Prevención, respuesta y recuperación,
  4. Líneas de defensa,
  5. Reevaluación periódica
  6. Segregación de tareas.

¿Hay que reflejar en ésta política alguna referencia a “protección de datos”?

Sí. Expresamente, la política de seguridad de redes y sistemas, debe tener en cuenta los riesgos relacionados con el tratamiento de datos de carácter personal. Además, la entidad debe tener en cuenta aquellas medidas adicionales de seguridad que sean necesarias para la protección de los datos de carácter personal establecidas en el marco de las obligaciones que impone el Reglamento General de Protección de Datos o la Ley Orgánica 3/2018 de Protección de Datos y Garantías de Derechos digitales,

¿Puedo tener en cuenta en su elaboración los criterios reflejados en el Esquema Nacional de Seguridad o el estándar ISO/IEC 27001?

Sí. La regulación favorece que sean tenidas en cuenta tanto los estándares reconocidos internacionalmente, como las medidas que derivan expresamente del Esquema Nacional de Seguridad.

Santiago Cruz Roldán, Abogado y Delegado de Protección de Datos. UBT Legal & Compliance.

AGENDAR LLAMADA