El objetivo del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS), es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos, requisitos mínimos y medidas de seguridad que permitan una protección adecuada de la información.
La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios creando las condiciones necesarias para la confianza de su uso.
Es por eso por lo que las Administraciones Públicas y las empresas privadas que les presten servicios a estas, tienen la obligación de cumplir el ENS.
Así, ya podemos empezar a deducir los riesgos principales que presenta la no acreditación del cumplimiento del ENS; en primer lugar y en el caso de las empresas privadas, vemos como se limitaría el abanico de posibilidades a la hora de establecer relaciones contractuales de negocio, pudiendo afectar negativamente el crecimiento y la expansión de las organizaciones, y en segundo lugar, las organizaciones que pertenezcan o tengan relación con el sector público, podrían enfrentarse a sanciones legales y disciplinarias e indemnizaciones con un posible impacto económico, o incluso a un daño a la reputación y pérdida de confianza en la organización.
Sin embargo, estos no son los únicos riesgos que se presentan derivados del incumplimiento del ENS. Este incumplimiento puede conllevar además otros riesgos significativos puesto que los principios básicos, requisitos mínimos y medidas de seguridad establecidas por el ENS se encuentran diseñadas para proteger los activos de información y garantizar su integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad.
¿Y cuáles son estos riesgos?
Los riesgos se generan a partir de la ausencia de los requisitos y las medidas exigidas por el ENS:Para empezar, el ENS exige la aprobación de una Política de Seguridad que garantice la definición de los objetivos de la empresa, de los roles y seguridades, de la gestión documental y que tenga en cuenta el marco legal y regulatorio en el que se desarrollan las actividades a efectos de ciberseguridad, así como también exige una normativa de seguridad que regule el uso correcto de equipos y servicios e instalaciones.
Sin estas definiciones, junto con la ausencia de procedimientos de seguridad que permitan al personal conocer la manera de reportar incidentes que puedan suponer amenazas o determinar la forma en que se ha de tratar la información, se ve comprometida la alineación estratégica de la organización, y se da pie a la afectación de las operaciones, del material y de la gestión de la empresa, impidiendo además alcanzar una buena base relativa a la seguridad de la información tanto a corto como a largo plazo.
De la misma manera, si no hay un estándar que regule los controles de privilegio mediante un proceso formal de autorizaciones, se pueden producir accesos no autorizados a la información de la organización que podrían conllevar al robo o la pérdida de información confidencial.
Por otro lado, la falta de una adecuada gestión de riesgos abarcada por el ENS invita a la exposición a imprevistos y vulnerabilidades, que potencialmente podrían resultar en pérdidas financieras y reputacionales, incluso pudiendo llegar a impactar en la seguridad física de las personas.
Otro riesgo es la perforación de las líneas de defensa que solamente se puede prevenir mediante esquema de líneas de defensa, incluyendo puntos de interconexión con otros sistemas u otras redes (cortafuegos, zonas de desmilitarización (DMZ), etc.).
Después, la ineficaz gestión del dimensionamiento o la capacidad puede resultar en sistemas que no pueden manejar adecuadamente la carga de trabajo, así como la ausencia de una planificación adecuada de las necesidades de transmisión puede resultar en una infraestructura de red insuficiente, causando problemas de conectividad y dificultando la colaboración entre equipos.
Por otro lado, la falta de sistemas de identificación adecuados previstos en la normativa del ENS, puede comprometer la autenticidad y la seguridad, facilitando el acceso no autorizado a información sensible y aumentando el riesgo de ataques maliciosos y violaciones de seguridad.
También se da un peligro en no mantener un inventario actualizado de los activos de que la organización carezca de una visión general que ayude a la detección y respuesta ante incidentes de seguridad que recaigan sobre estos activos y al conocimiento de las vulnerabilidades que puedan afectarles.
El ENS además también requiere una gestión continua de la configuración de los componentes del sistema, para evitar que el sistema no reaccione ante vulnerabilidades conocidas o incidentes, y la protección de la criptografía que asegure el cifrado de los datos.
Otro factor importante de desprotección es el riesgo de no disponer de herramientas de detección o prevención de intrusiones mediante monitorización, puesto que la organización puede ser vulnerable a intrusiones y que encima estas no sean detectadas, con lo cual queden desamparadas y se usen como vía de escape de información.
Además, si tampoco se realiza un control de acceso físico a las instalaciones ni un control de las condiciones del espacio físico, se corre el riesgo de intrusiones no autorizadas y del daño de equipos respectivamente, con lo que supone el coste de reemplazamiento de estos, y el coste de la pérdida de información confidencial que puede suponer un gasto económico incluso mucho mayor.
También es importante implementar un estándar que regule la concienciación del personal en materia de seguridad para minimizar los incidentes causados desde la parte interna de la Organización, y detectar cuanto antes los que provienen desde fuera.
Para evitar la filtración de información o el robo de identidades y mantener la privacidad de la información, también es importante disponer de un sistema de protección perimetral y configurar redes privadas virtuales (VPN) cifradas cuando la comunicación discurra por redes fuera del propio dominio de seguridad, tal como ampara la normativa del ENS.
El ENS también está presente durante el desarrollo de aplicaciones, para integrar la seguridad de la información en su ciclo de vida, puesto que si antes de pasar al entorno de producción el servicio de la aplicación, no se comprueba el correcto funcionamiento de esta ni los requisitos en materia de seguridad, la organización se expone a vulnerabilidades como la exposición de credenciales, la exposición de información a través de parámetros de URL, el uso de algoritmos de cifrado débiles o la conexión insegura a bases de datos.
El ENS establece además una protección de los datos personales de carácter personal basada en los artículos 24 y 32 del Reglamento General de Protección de Datos (RGPD) el cual, si no se cumple, no solamente se pueden vulnerar los derechos de los interesados, sino que además se enfrentaría a posibles sanciones como por ejemplo multas e indemnizaciones de elevadas cuantías económicas.
Si tampoco se emplea ningún tipo de firma electrónica de las previstos en el vigente ordenamiento jurídico, entre ellos, los sistemas de código seguro de verificación vinculados a la Administración Pública, se corre el riesgo de que las transacciones y comunicaciones electrónicas carezcan de validez legal y protección, lo que puede resultar en la manipulación o falsificación de documentos, y de nuevo, posibles sanciones por incumplimiento normativo.
Por otro lado, el ENS también establece un proceso de limpieza de documentos, exigiendo la eliminación de campos ocultos o metadatos que, si no se realiza, se puede revelar información sensible a los destinatarios de la información, como detalles del autor del documento, datos geográficos, permisos y derechos, o información técnica como el software y el hardware utilizados para crear o editar el archivo.
Si, por otro lado, no se establece la realización de copias de seguridad, la disponibilidad de la información de la organización puede verse comprometida derivado de la materialización de ataques de malware como el ransomware o la sucesión de errores humanos o acciones intencionadas de borrado de información relevante. Por ello, es imprescindible mantener un respaldo de los datos tratados.
Además, el ENS también proporciona directrices para el uso del correo electrónico con tal de evitar ataques de phishing, que pueden derivar en la ejecución de código dañino, ataques troyanos (software malicioso que se hace pasar por una aplicación legítima para infiltrarse en un sistema), la intercepción de datos enviados, ataques de spoofing (suplantación de direcciones de correo electrónico), entre otros.
Y lo mismo sucede con el uso de los sistemas que prestan servicios web, donde se pueden producir ataques de manipulación de la URL (Uniform Resource Locator), ataques de manipulación de las cookies almacenadas del navegador, ataques de inyección de código (donde el atacante inyecta código fuente en la aplicación de forma que es interpretado y ejecutado), intentos de elevación de privilegios o ataques de cross site scripting (que permite a los atacantes inyectar código maliciosos en páginas web visitadas por otros usuarios).
Si la navegación web a su vez se encuentra desprotegida y desatendida de acuerdo con las medidas establecidas en el ENS, se incrementa la superficie de exposición del sistema con respecto a vectores de ataque de tipo ransomware o spyware (software malicioso diseñado para recopilar información personal de un usuario sin su consentimiento).
Finalmente, el ENS además exige que se llevan a cabo auditorías de seguridad para evaluar las posibles fallas de la gestión de la seguridad.
Vemos entonces como la acreditación del cumplimiento del ENS demuestra el compromiso de la organización con la seguridad de la información en el panorama actual, cada vez más digitalizado y con un componente de riesgos que se expande exponencialmente y de forma cada vez más sofisticada; en definitiva, la aplicación del Esquema Nacional de Seguridad resulta fundamental para salvaguardar los activos de información de la organización y protegerla del gran conjunto de amenazas cibernéticas.
Referencias
📑 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
📑 Guía de Seguridad de las TIC CCN-STIC 804 ENS. Guía de implantación.
