Red Seguridad 097

54 red seguridad segundo trimestre 2022 opinión gún aplique en categorías crecientes. Es decir, una misma medida que aplica en categoría básica y media puede requerir que se incrementen los requisitos para dicha categoría media. En segundo término, flexibilizar la ma- nera en la que estos incrementos de exi- gencia son requeridos, ya que, en algu- nos casos, nos encontraremos con que el responsable de seguridad podrá elegir entre varios refuerzos para satisfacer ese incremento de exigencia. Y por último, la tercera necesidad es recoger la exigencia aún mayor ne- cesaria para cubrir un nuevo alcance del ENS: la protección de información clasificada. Este mismo objetivo se po- dría haber solventado de manera más “elegante” identificando una categoría especial para este alcance, pero en cualquier caso el resultado no cambia. Existen ciertas medidas de refuerzo que “voluntariamente” se puede decidir im- plementar (o no). Finalmente, la última diferencia (y como no podía ser de otra manera), es la revisión de los principios básicos, los requisitos mínimos y las medidas de se- guridad, generando, sin lugar a dudas, un marco más exigente. De las 73 medidas actuales (9 han sido eliminadas para incorporarse en otras o agruparse), un 33 por ciento ha aumentado su grado de requerimiento, 10 (un 14% del total) han incrementado significativamente su nivel de exigencia, 14 (un 19%) lo han aumentado ligera- mente y siete (un 10%) se han añadido nuevas. Pero, eso sí, seis medidas se han simplificado (o lo que es lo mismo, un 8%). Consideraciones adicionales Tras el análisis realizado, añadiríamos tres consideraciones adicionales: Inclusión de los grados de cumpli- miento para identificar hasta qué punto se están cumpliendo las me- didas de seguridad. Este elemento conlleva la identificación, para cada medida, de aquellos aspectos que obligatoriamente deben estar imple- mentados para considerar que la me- dida está, al menos, en proceso de implementación. Refuerzo del peso de utilización de productos certificados por el CCN- CERT y del uso de las guías CCN-STIC para la configuración segura de los sistemas. Las 35 medidas que no han visto cambiado su grado de exigencia no significa que no hayan sido revisadas. Todas ellas han sido revisitadas y los requisitos específicos para que dichas medidas se consideren implementa- das han sido modificados. También hemos seleccionado las me- didas a las que prestar atención, que se muestran en la tabla superior. Este tex- to, debido a limitaciones de espacio, no es más que un somero análisis. Así que si está interesado en el detalle de estos cambios, en un análisis más profundo de las modificaciones y en le cómo afectan, contacte con su empresa cer- tificadora.