Quartz 4

Introducción:

3 min read

Introducción:

Relacionado: Alcance.

La ENS establece requisitos mínimos que debe cumplir la seguridad de una organización pública Estos requisitos los compararemos con los de TESLA.

Estructura

La ENS establece la siguiente estructura

  • Objetivos o misión de la organización
    • Se cumple tiene puntos dedicados a los objetivos ,alcance y planificación
  • Marco regulatorio en el se desarrollarán las actividades
    • Se cumple tienen un punto para el marco legal
  • los roles o funciones de seguridad definiendo para cada uno , sus deberes y responsabilidades, así como el procedimiento para su designación y renovación
    • También se cumple tiene un punto dedicado al control de acceso
  • la estructura y composición de los comités para gestion y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de organización
    • Tiene un punto dedicado a ello que es la responsabilidad asociadas activos
  • las directrices para estructuración de la documentación de seguridad del sistema su gestion y acceso
    • Tambien ya que tiene un punto dedicado a la implementación
  • los riesgos que se de derivan del tratamiento de los datos personales
    • Tiene un punto dedicado a como tratar gestion de comunicaciones y con datos sensibles

Requisitos:

  • Organización e implantación del proceso de seguridad:
    • Se cumple ya que el documento de Tesla se establecen roles y responsabilidades, e incluye el papel de RSI Responsable de seguridad de la información
  • Análisis y gestión de los riesgos
    • Lo cumple ya que hace evaluaciones periódicas con el fin de mitigar posibles amenazas
  • Gestión de personal
    • Lo incluye de una forma vaga como la responsabilidad y el control de acceso pero no habla del tema de la concienciación
  • Profesionalidad
    • Lo que hemos dicho en el punto anterior ya que como no aborda temas de concienciación el tema de certificar a empleados para el puesto no lo menciona
  • Autorización y control de los accesos
    • Si que se cumple ya que habla la asignación de roles y la asignación a usuarios
  • Protección de las instalaciones
    • No se menciona
  • Adquisición de productos de seguridad y contratación de servicios de seguridad
    • No se se menciona
  • Minimo-privilegio
    • Si que lo cumple ya que implementa roles y permisos según la necesidad del usuario
  • Integridad y actualización del sistema
    • Lo mencionan que es importante pero no lo detallan.
  • Protección de la información almacenada y en tránsito
    • Si lo cumple en el documento hablan que cifran los datos con el AES256
  • Prevención ante otros sistemas de información interconectados
    • No lo mencionan el documento
  • Registro de la actividad y detección de código dañino
    • Si esto lo cumple ya que el documento menciona que tiene procedimientos de revisión de código
  • Incidentes de seguridad
    • También lo menciona que tienen un sistema en el cual tiene un sistema de gestión de incidencias y notificaciones al RSI y un sistema para documentar dichas incidencias.
  • Continuidad de la actividad
    • Lo menciona que tienen un plan para poder continuar en el caso de que halla una emergencia
  • Mejora continua del proceso de seguridad
    • Lo cumple ya que tiene políticas de revisiones anuales lo que refleja un compromiso de mejora

Conclusión

Por los puntos mencionados anteriormente se cumple en casi todos los puntos y se ajusta a lo comentado en clase, lo cual me parece curioso ya que es una empresa americana y no tendría porque ajustarse tan bien ya que no tiene porque cumplir lo que dice la ENS.

Graph View

Backlinks