El ENS, nació en 2010 con el objetivo de establecer una política de seguridad adecuada en la gestión de medios y transacciones electrónicas en las administraciones públicas, y cubre principios y requisitos mínimos de seguridad para permitir una protección adecuada de la información en dichas entidades. Así pues, vemos que el objetivo del esquema es proteger la información de los ciudadanos compartida con estas administraciones, consiguiendo que sus entornos sean menos vulnerables ante ciberamenaza. Hay que tener en cuenta además, que el ENS es de obligado cumplimiento por todas las administraciones públicas del estado.
Así pues, y después de 5 años de convivencia con dicho estándar, ha surgido la necesidad de llevar a cabo su actualización, adecuando así este esquema a la realidad del panorama de la ciberseguridad actual. Además, con dicha actualización, la normativa se adapta al actual contexto internacional y europeo, concretamente a lo previsto en un Reglamento comunitario de 2014, que trata sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas del mercado interior.
Vemos entonces las novedades más destacables introducidas en la reciente actualización del ENS:
- En el artículo 11, se introduce la necesidad de disponer de una gestión continuada de la seguridad en los servicios disponibles a través de medios electrónicos, de veinticuatro horas al día.
- El artículo 15, indica que las administraciones públicas deberán exigir a sus proveedores que éstos cuenten con profesionales cualificados para el desempeño de los servicios, y que los servicios prestados dispongan de un adecuado nivel de madurez.
- En el artículo 18, se especifica la necesidad de que las administraciones públicas, en las contrataciones o adquisiciones de productos de seguridad, utilicen solo productos certificados, en base a la categoría y nivel de seguridad del sistema afectado por dichas soluciones. En aquellos casos en que los riesgos resultantes no justifiquen su uso, siempre que sea de manera justificada, se podrá omitir dicho aspecto.
- El artículo 24, detalla que a partir de ahora, va a ser necesaria la implantación de un correcto procedimiento de gestión de incidentes de seguridad, que cubra los procedimientos de detección, clasificación, análisis, notificación y resolución de incidentes en las administraciones. Además, se introduce la necesidad de actualizar dicho procedimiento de manera continua, en base a las nuevas prácticas de la industria, así como en base a las conclusiones sacadas de los incidentes de seguridad sufridos anteriormente.
- El artículo 27, establece la definición de un documento llamado Declaración de Aplicabilidad, que deberá ser firmado formalmente por el responsable de seguridad, y en el que se deberán detallar las medidas de seguridad del Anexo II seleccionadas para la protección de los activos en el entorno de la administración. Además, se introduce la opción de reemplazar alguna de las medidas de seguridad contenidas en el Anexo II por otras medidas compensatorias, siempre que éstas garanticen de manera justificada un nivel de seguridad resultante igual o mayor sobre los activos relacionados. La Declaración de Aplicabilidad también deberá tener en cuenta las medidas compensatorias aplicadas en el entorno concreto.
- El artículo 29, establece que las guías de seguridad elaboradas y difundidas de manera continua por el Centro Criptológico Nacional, siempre que sean aprobadas por el Ministerio de Hacienda y Administraciones Públicas, serán de obligada aplicación por las administraciones públicas. Estas guías de obligado cumplimiento se publicarán mediante resoluciones de la Secretaría de Estado de Administraciones Públicas.
- En el artículo 36, se añade la necesidad por parte de las administraciones públicas de notificar al Centro Criptológico Nacional aquellos incidentes sufridos, que tengan un impacto significativo en la información tratada por dichas administraciones.
Recordemos por último, que todos los cambios introducidos son de obligatorio cumplimiento por todas las administraciones públicas. Dichas entidades disponen ahora de un periodo de 24 meses para adaptarse a la nueva versión del ENS.
Referencias:
http://administracionelectronica.gob.es/pae_Home/pae_Actualidad/pae_Noticias/Anio2015/Octubre/Noticia-2015-10-23-Aprobada-actualizacion-del-Esquema-Nacional-de-Seguridad.html
www.boe.es/diario_boe/txt.php?id=BOE-A-2007-12352
Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.
