Blog de Internet Security Auditors

Explorando el Esquema Nacional de Seguridad- Blog de Internet Security Auditors

Escrito por Marina Talló | Sep 5, 2023 12:19:16 PM

El origen del Esquema Nacional de Seguridad

Actualmente, el progreso tecnológico está llevando a la evolución de las amenazas, así como, la creación de nuevos vectores de ataque afectando así a la Ciberseguridad de las organizaciones. Asimismo, a medida que aumenta la tecnología en la sociedad, el desafío para la gestión de su seguridad es cada vez mayor. Para adaptarse a esta nueva realidad es necesario el desarrollo de nuevos mecanismos de respuesta alineándolos con las regulaciones europeas y nacionales que sean de aplicación.

Las características del mundo actual, cada vez más hiperconectado, hacen que implementar la ciberseguridad hoy en día sea una prioridad estratégica. Sin embargo, la magnitud de los riesgos que afectan a la seguridad cibernética es tan grande que las empresas del sector público o privado no pueden abordar por si solas.

Es por eso, que la Ley 11/2007 del 22 de junio y el Real Decreto 3/2010 del 8 de enero establecen algo llamado Esquema Nacional de Seguridad (ENS) en el ámbito de los servicios públicos electrónicos. Habiendo sufrido actualizaciones durante el paso de los años siendo una de las modificaciones importantes el Real Decreto 951/2015, de 23 de octubre, llegando a la última versión el Real Decreto 311/2022, de 3 de mayo.

Aplicabilidad del ENS

Deberían implementar el ENS las organizaciones del sector público, así como también las del sector privado que les presten servicios.

Para los ciudadanos, que son los usuarios finales del servicio público, esto significa que las instituciones públicas con las que interactúan cumplen con los requisitos de seguridad para proteger sus datos y derechos.

Objetivo

El marco de ciberseguridad del ENS desarrolla el derecho del ciudadano de poder acceder de forma telemática y segura a los servicios proporcionados por las administraciones públicas. Así pues, el ENS pretende:

  • Fomentar la confianza en el uso de medios electrónicos por parte de los ciudadanos al interactuar con las Administraciones Públicas.
  • Establecer estándares comunes de seguridad en tecnologías de la información para las entidades gubernamentales.
  • Unificar un lenguaje para facilitar la comunicación entre distintas Administraciones y transmitir requisitos de seguridad a la Industria.
  • Estimular la gestión constante de la seguridad.
  • Promover la anticipación, identificación y solución de problemas para fortalecer la capacidad de respuesta frente a amenazas y ataques cibernéticos.
  • Servir como un ejemplo de mejores prácticas.

Principios básicos

El principal objetivo cuando una organización decide tomar medidas para la protección de la seguridad de la información mediante la implantación del ENS es garantizar que ésta será capaz de cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información.

Deberán tenerse en cuenta los siguientes principios básicos:
  • Seguridad como proceso integral→ La Seguridad debe estar constituida por todos los elementos relacionados con el sistema de información. Además, la concienciación del personal es clave para evitar la materialización de riesgos.
  • Gestión de la seguridad basada en los riesgos→ Los riesgos deberán ser evaluados y actualizados constantemente. Así pues, se mantendrá controlado el entorno y se minimizaran los riesgos a niveles aceptables mediante la adecuada aplicación de medidas de seguridad.
  • Prevención, detección, respuesta y conservación→ Estos aspectos tienen como objetivo minimizar las vulnerabilidades y lograr que las amenazas no se materialicen o si ocurriese minimizar los impactos.
    • Medidas de prevención→ Disuaden o reducen la exposición y la posibilidad de ocurrencia de las amenazas.
    • Medidas de detección→ Encuentran la existencia de ciberincidentes.
    • Medidas de respuesta→ Restauran la información y servicios que hayan sufrido impacto durante un incidente.
    • Conservación→ El sistema de información debe garantizar la conservación de los datos e información sobre soporte electrónico.
  • Existencia de líneas de defensa→ La estrategia de protección debe disponer de múltiples capas de seguridad.
  • Vigilancia continua→ La vigilancia permitirá detectar anomalías y evaluar permanentemente el estado de seguridad identificando vulnerabilidades.
  • Reevaluación periódica→ Las medidas de seguridad deben evaluarse constantemente y estar actualizadas, para asegurar la disminución de riesgos.
  • Diferenciación de responsabilidades→ Se deben designar el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema definiendo sus funciones.

Política de Seguridad

El primer paso a la hora de iniciar la implementación será desarrollar las directrices básicas para la gestión y protección de la información y servicios de la organización, esto se hará en la política de seguridad. Ésta debe tener en cuenta:

  • Los objetivos o misión de la organización.
  • El marco regulatorio en el que se desarrollarán las actividades.
  • Los roles o funciones de seguridad.
  • La estructura y composición del comité o los comités para la gestión y coordinación de la seguridad.
  • Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
  • Los riesgos que se derivan del tratamiento de los datos personales.


Así como desarrollar los siguientes principios:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad.
  • Mínimo privilegio.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de la actividad y detección de código dañino.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Seguridad de los sistemas: auditoría y normas de conformidad, informe e incidentes de seguridad

Al menos cada dos años deberán ser auditados los sistemas de información que les aplique el ENS para comprobar su conformidad. Pudiendo obtener así la certificación.

Así como, se deberá entregar a la Comisión Sectorial de Administración Electrónica un informe que contenga la información relacionada con el estado de las principales variables de la seguridad en los sistemas de información de la organización. Estos informes serán utilizados por las autoridades para impulsar la mejora continua.

Además, cuando ocurra un incidente el Centro Criptológico Nacional (CCN) proveerá una estructura de denominada CCN-CSIRT (Computer Security Incident Response Team) para el soporte de respuesta a incidentes y el escalado en caso de necesidad de la participación de autoridades de defensa.

Actualización del Esquema Nacional de Seguridad

El ENS debe mantenerse actualizado constantemente, basándose en la mejora continua y evolucionando de la mano de los avances que afectan a la organización.

Categorías de seguridad de los sistemas de información

Con el objetivo de una buena protección el ENS se deben determinar la categoría de seguridad de los sistemas de información, según el impacto que tendría la materialización de un incidente que afectase a la seguridad de la información teniendo en cuenta las dimensiones de seguridad. Los niveles de seguridad resultantes son:

  • Bajo
  • Medio
  • Alto

La categorización de los sistemas se hará teniendo en cuenta las 5 dimensiones de seguridad. Siendo estas: Integridad, disponibilidad, confidencialidad, autenticidad y trazabilidad.

Medidas de Seguridad

El Esquema Nacional de Seguridad nos proporciona un seguido de medidas a aplicar que permite cumplir con los principios básicos y requisitos mínimos. Estos se deben aplicar teniendo en cuenta las dimensiones y categorías de seguridad determinados para los activos.

Tipos de Medidas de Seguridad

Existen tres tipos de medidas de seguridad:

  • Marco organizativo [org]. → Conjunto de medidas relacionadas con la organización global de la seguridad. Se compone de:
    • Política de Seguridad.
    • Normativa de Seguridad.
    • Procedimientos de Seguridad.
    • Proceso de Autorización.
  • Marco operacional [op]. → Medidas para proteger la operación del sistema como conjunto integral de componentes. Estas son la siguientes:
    • Planificación.
      • Análisis de riesgos.
      • Arquitectura de seguridad.
      • Adquisición de nuevos componentes.
      • Dimensionamiento/Gestión de la capacidad.
      • Componentes Certificados.
    • Control de Acceso
      • Identificación.
      • Requisitos de acceso.
      • Segregación de funciones y tareas.
      • Proceso de gestión de derechos de acceso.
      • Mecanismos de autentificación.
    • Explotación.
      • Inventario de activos.
      • Configuración de seguridad.
      • Gestión de la configuración de seguridad.
      • Mantenimiento y actualizaciones de seguridad.
      • Gestión de cambios.
      • Protección frente a código dañino.
      • Gestión de incidentes.
      • Registro de la actividad.
      • Registro de la gestión de incidentes.
      • Protección de claves criptográficas.
    • Recursos externos.
      • Contratación y acuerdos de nivel de servicio.
      • Gestión diaria.
      • Protección de la cadena de suministro.
      • Interconexión de sistemas.
    • Servicios en la nube.
      • Protección de servicios en la nube.
    • Continuidad del servicio.
      • Análisis de impacto.
      • Plan de continuidad.
      • Pruebas periódicas.
      • Medios alternativos.
    • Monitorización del sistema.
      • Detección de intrusión.
      • Sistema de métricas.
      • Vigilancia.
  • Medidas de protección [mp].→ Protección de activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. Estas son las siguientes:
    • Protección de las instalaciones e infraestructuras.
      • Áreas separadas y con control de acceso.
      • Identificación de las personas.
      • Acondicionamiento de los locales.
      • Energía eléctrica.
      • Protección frente a incendios.
      • Protección frente a inundaciones.
      • Registro de entrada y salida de equipamiento.
    • Gestión del personal
      • Caracterización del puesto de trabajo.
      • Deberes y obligaciones.
      • Concienciación.
      • Formación.
    • Protección de los equipos
      • Puesto de trabajo despejado.
      • Bloqueo de puesto de trabajo.
      • Protección de dispositivos portátiles.
      • Otros dispositivos conectados a la red.
    • Protección de las comunicaciones.
      • Perímetro seguro.
      • Protección de la confidencialidad.
      • Protección de la integridad y de la autenticidad.
      • Separación de flujos de información en la red.
    • Protección de los soportes de información.
      • Marcado de soportes.
      • Criptografía.
      • Custodia.
      • Transporte.
      • Borrado y destrucción.
    • Protección de la información.
      • Datos personales.
      • Calificación de la información.
      • Firma electrónica.
      • Sellos de tiempo.
      • Limpieza de documentos.
      • Copias de seguridad.
    • Protección de los servicios.
      • Protección del correo electrónico.
      • Protección de servicios y aplicaciones web.
      • Protección de la navegación web.

¿Cómo conseguir la mejor implantación posible?

Se recomienda implementar el Esquema Nacional de Seguridad (ENS) con una empresa especializada debido a dos razones cruciales: La experiencia en seguridad y el enfoque integral.
Una empresa especializada en seguridad tiene el conocimiento y experiencia para aplicar el ENS de manera efectiva. Dado que el ENS abarca diversos aspectos técnicos, legales y organizativos, contar con expertos en seguridad garantiza que se apliquen las mejores prácticas y se cumplan los estándares requeridos.

Por otro lado, la seguridad es un proceso integral que involucra múltiples dimensiones. Una empresa especializada puede abordar cada componente de manera coherente y holística, evitando soluciones puntuales o coyunturales. Esto asegura que la seguridad se integre de manera sólida en todos los niveles de la organización y en sus sistemas de información.

En resumen, la colaboración con una empresa especializada para implementar el ENS asegura un enfoque profesional y completo para garantizar la seguridad de la información, abordando tanto los aspectos técnicos como los humanos, y estableciendo una base sólida para la protección a largo plazo. 



Referencias

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Esquema Nacional de Seguridad - https://ens.ccn.cni.es/es/