Sistemas de Control de Acceso para Microempresas y Residencias

By /

Los sistemas de control de acceso son esenciales para garantizar la seguridad y la gestión eficiente en diversos entornos, desde microempresas hasta residencias. Estos sistemas permiten restringir y supervisar el acceso a áreas específicas, protegiendo así los activos y la integridad de las personas.

Control de Acceso en Residencias

En las residencias, se puede controlar el acceso a las habitaciones de los residentes, mejorando la seguridad y la gestión del espacio. Gracias a las pulseras de proximidad, los usuarios de la residencia podrán acceder a sus habitaciones de una forma fácil y sin complicaciones.

Intesiscon recomienda el acceso con pulseras de proximidad en las residencias por la dificultad de perder una pulsera y por la facilidad de uso. Con el control de acceso a habitaciones en residencia tendrá en cada momento la información sobre la ocupación o no de la habitación por sus residentes.

Marco Legal y Normativo en Europa

En el ámbito europeo, con el objetivo de dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información, se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).

La transposición de la citada Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El Real Decreto-ley 12/2018, de 7 de septiembre, habilita al Gobierno, en su disposición final tercera, para su desarrollo reglamentario.

Lea también: Consultoría de Sistemas de Información

El real decreto, en su artículo 3, pormenoriza la designación de autoridades competentes en materia de seguridad de las redes y sistemas de información prevista en el artículo 9.1.a) 2.º del Real Decreto-ley 12/2018, de 7 de septiembre. Es oportuno mencionar, en relación con la seguridad en el sector de la alimentación, la participación de la Agencia Española de Seguridad Alimentaria y Nutrición, dependiente del Ministerio de Consumo.

Por otra parte, el artículo 6 de este real decreto desarrolla las previsiones del artículo 16.2 del Real Decreto-ley 12/2018, de 7 de septiembre, sobre las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales, que habrán de concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador, cuyas funciones también se desarrollan en el artículo 7 de este real decreto.

En las disposiciones adicionales de este real decreto se recoge, entre otras materias, el régimen jurídico aplicable al Banco de España teniendo en cuenta su especial configuración jurídica como entidad de Derecho público con personalidad jurídica propia y plena capacidad pública y privada, que en el desarrollo de su actividad y para el cumplimiento de sus fines actúa con autonomía respecto a la Administración General del Estado, y como parte integrante del Sistema Europeo de Bancos Centrales (SEBC) y del Mecanismo Único de Supervisión (MUS).

Este real decreto se adecúa a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Responde, en primer lugar, a los principios de necesidad y eficacia, en tanto que la norma es necesaria para llevar a cabo el desarrollo reglamentario del Real Decreto-ley 12/2018, de 7 de septiembre, que transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 y, en concreto, para establecer el marco estratégico e institucional de seguridad de las redes y sistemas de información, las obligaciones de seguridad y la gestión de incidentes, siendo el instrumento más idóneo para la consecución de este objetivo.

En segundo término, la norma cumple con el principio de proporcionalidad, al no existir otras medidas menos gravosas para los operadores de servicios esenciales y proveedores de servicios digitales destinadas a cumplir la obligación de adoptar medidas técnicas y de organización para gestionar los riesgos para la seguridad de sus redes y sistemas de información, así como de notificar los incidentes que tengan efectos perturbadores significativos en los servicios que prestan.

Lea también: Actividad de VASS Consultoría

Asimismo, este real decreto cumple con el principio de seguridad jurídica, resultando el proyecto conforme a la directiva europea de la que trae causa, así como con la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y su normativa de desarrollo, la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, y la normativa comunitaria y nacional en materia de protección de datos.

Se ha cumplido igualmente con el principio de transparencia, al haber sometido el proyecto de real decreto al trámite de audiencia, definiéndose claramente los objetivos de la iniciativa normativa y su justificación.

En la elaboración de este real decreto se ha solicitado informe de todos los departamentos ministeriales, así como de la Agencia Española de Protección de Datos, de la Comisión Nacional de los Mercados y de la Competencia, de la Comisión Nacional del Mercado de Valores, del Consejo de Seguridad Nuclear, y del Banco de España.

Obligaciones y Medidas de Seguridad

Los operadores de servicios esenciales establecidos en España deben cumplir con las obligaciones de seguridad establecidas en la normativa. El artículo 6 de este real decreto desarrolla las previsiones del artículo 16.2 del Real Decreto-ley 12/2018, de 7 de septiembre, sobre las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales, que habrán de concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador, cuyas funciones también se desarrollan en el artículo 7 de este real decreto.

La relación de medidas adoptadas se formalizará en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado conforme a lo previsto en el artículo siguiente y que se incluirá en la política de seguridad que apruebe la Dirección de la organización. Dicho documento, que deberá remitirse a la autoridad competente respectiva en el plazo de seis meses desde la designación del operador como operador de servicios esenciales, deberá revisarse, al menos, cada tres años.

Lea también: Definición de Consultoría de Sistemas de Calidad

Las medidas adoptadas podrán ser complementadas con otras, atendiendo a necesidades específicas, entre ellas, la posibilidad de exigir un documento de aplicabilidad de los sistemas afectados por esta normativa, en aquellos operadores con entornos de sistemas de información especialmente complejos.

En la elaboración de las políticas de seguridad de las redes y sistemas de información se tendrán en cuenta los riesgos que se derivan del tratamiento de los datos personales, de acuerdo con el artículo 24 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento general de protección de datos).

Gestión de Incidentes de Seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios.

Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos.

Se efectuarán las notificaciones intermedias que sean precisas para actualizar o completar la información incorporada a la notificación inicial, e informar sobre la evolución del incidente, mientras este no esté resuelto, y se realizará una notificación final del incidente tras su resolución, informando del detalle de la evolución del suceso, la valoración de la probabilidad de su repetición, y las medidas correctoras que eventualmente tenga previsto adoptar el operador.

Niveles de Peligrosidad e Impacto de Incidentes

Los incidentes se asociarán a uno de los niveles de peligrosidad e impacto establecidos en esta instrucción, teniendo en cuenta la obligatoriedad de notificación de todos aquellos que se categoricen con un nivel CRÍTICO, MUY ALTO o ALTO para todos aquellos sujetos obligados a los que les sea aplicable esta «Instrucción nacional de notificación y gestión de ciberincidentes».

El indicador de peligrosidad determina la potencial amenaza que supondría la materialización de un incidente en los sistemas de información o comunicación del ente afectado, así como para los servicios prestados o la continuidad de negocio en caso de haberla.

El indicador de impacto de un ciberincidente se determinará evaluando las consecuencias que tal ciberincidente ha tenido en las funciones y actividades de la organización afectada, en sus activos o en los individuos afectados.

Ejemplos de Incidentes

  • Correo electrónico masivo no solicitado.
  • Sistema infectado con malware.
  • Recurso usado para distribución de malware.
  • Envío de peticiones a un sistema para descubrir posibles debilidades.
  • Recopilación de información personal sin el uso de la tecnología.
  • Intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades.
  • Múltiples intentos de vulnerar credenciales.
  • Compromiso de una aplicación mediante la explotación de vulnerabilidades de software.
  • Intrusión física.
  • Ataque de denegación de servicio.
  • Ataque de denegación distribuida de servicio.
  • Configuración incorrecta del software que provoca problemas de disponibilidad en el servicio.
  • Sabotaje físico.
  • Interrupciones por causas ajenas.
  • Acceso no autorizado a información.
  • Modificación no autorizada de información.
  • Uso de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro.
  • Ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor.
  • Servicios accesibles públicamente que puedan presentar criptografía débil.
  • Servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS.
  • Acceso público a servicios en los que potencialmente pueda relevarse información sensible.
  • Sistema vulnerable.
  • Ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia.

tags: #sistemas #de #control #de #acceso #para

Publicaciones populares:

  • Desarrolla tu Espíritu Emprendedor
  • Ciberseguridad: El Rol del Mapa Mental Emprendedor
  • Presupuesto de Inbound Marketing
  • Optimización de la Tasa de Conversión
  • Ventajas y desventajas del seguro de vida para emprendedores