Carlos Boto Coto
Gerente de Seguridad GestionadaQué es el ENS
El Esquema Nacional de Seguridad (ENS) establece la política de seguridad en la utilización de medios electrónicos para las Administraciones Públicas. Esta política de seguridad establece los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. El ENS está regulado en el Real Decreto 3/2010, de 8 de enero.
Ámbito
El ámbito de aplicación del ENS es el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
Objetivos
· Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
· Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007.
· Introducir los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
· Aportar un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
Estructura del ENS
El Esquema Nacional de Seguridad está estructurado en:
· Principios básicos que deben ser tenidos en cuenta en las decisiones en materia de seguridad.
· Requisitos mínimos de seguridad que permitan una protección adecuada de la información.
· La categorización de los sistemas para la adopción de medidas de seguridad.
· Medidas de seguridad para proteger la información, los sistemas y los servicios de los riesgos a los que están expuestos.
· Auditoría de seguridad que verifique el cumplimiento del ENS.
Principios básicos
En las decisiones en materia de seguridad deben tenerse en cuenta los siguientes principios:
· Seguridad integral. La seguridad debe ser considerada como un proceso integral constituida por todos los elementos técnicos, humanos, materiales y organizativos.
· La gestión de riesgos. El análisis y la gestión del riesgo será parte esencial del proceso y deberá mantenerse permanentemente actualizado. La gestión del riesgo permitirá seleccionar medidas determinadas que minimizarán el riesgo hasta niveles aceptables.
· La prevención, reacción y recuperación. La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección para conseguir que las amenazas sobre el mismo no se materialicen.
o Las medidas de prevención deben reducir la posibilidad de que las amenazas lleguen a materializarse.
o Las medidas de detección estarán acompañadas de medidas de reacción, de forma que los incidentes de seguridad se atajen a tiempo.
o Las medidas de recuperación permitirán la restauración de la información y los servicios.
o Asimismo, el sistema tendrá que garantizar la conservación de los datos e información en soporte electrónicos, y garantizar la disponibilidad de los servicios durante todo el ciclo vital de la información digital.
· Las líneas de defensas. El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad (constituidas por medidas de naturaleza organizativa, física y lógica) de forma que cuando una de las capas falle, permita:
o Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
o Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
o Minimizar el impacto final sobre el mismo.
· La reevaluación periódica. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistema de protección.
· La seguridad como función diferenciada. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de seguridad.
Requisitos mínimos
Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad. Esta política de seguridad, se establecerá en base a los principios básicos anteriormente indicados y se desarrollará aplicando los siguientes requisitos mínimos:
· Organización e implantación del proceso de seguridad. La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad deberá identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
· Análisis y gestión de los riesgos. Cada organización que desarrolle e implante sistema para el tratamiento de información y las comunicaciones realizará su propia gestión de riesgos. Las medidas adoptadas para mitigar o suprimir riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
· Gestión de personal. Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos. Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la información debe estar identificado de forma única.
· Profesionalidad.
o La seguridad de los sistemas estará atendida, revisada y auditada por el personal cualificado.
o El personal de las Administraciones Públicas recibirá formación específica necesaria para garantizar la seguridad de las tecnologías de la información.
o Las Administraciones Públicas exigirán que las organizaciones que les presentes servicios de seguridad cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados.
· Autorización y control de los accesos. El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
· Protección de las instalaciones. Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Como mínimo, las salas deben estar cerradas y disponer de un control de llaves.
· Adquisición de productos. Se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
· Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen, al menos, unos mínimos de seguridad por defecto.
· Integridad y actualización del sistema.
o Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema.
o Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
· Protección de la información almacenada y en tránsito. Se debe prestar especial atención a los entornos inseguros como los equipos portátiles, PDAs, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
· Prevención ante otros sistemas de información interconectados. Se ha de proteger el perímetro, en particular, si se conecta a redes públicas como Internet.
· Registro de actividad. Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
· Incidentes de seguridad.
o Se establecerá un sistema de detección y reacción frente a código dañino.
o Se registrarán los incidentes de seguridad que se produzcan y las acciones de
o tratamiento que se sigan. Estos registros se emplearán para la mejora continua de la seguridad del sistema.
· Continuidad de la actividad, Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
· Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
Categorización de los sistemas
En este apartado el ENS establece un criterio de clasificación de los sistemas y será de aplicación a todos los sistemas empleados para la prestación de los servicios de la Administración electrónica y soporte del procedimiento administrativo general.
La categorización de los sistemas será un paso clave a la hora de una posterior selección y adopción de medidas concretas de seguridad.
La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, con repercusión en la capacidad organizativa para:
· Alcanzar sus objetivos.
· Proteger los activos a su cargo.
· Cumplir sus obligaciones diarias de servicio.
· Respetar la legalidad vigente.
· Respetar los derechos de las personas.
El método de clasificación y la valoración de impacto definida en el ENS recuerda al método utilizado por MAGERIT. Se definen tres categorías: BÁSICA, MEDIA y ALTA.
· Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad) alcanza el nivel ALTO.
· Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
· Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
La secuencia de actuaciones para determinar la categoría de un sistema:
1. Identificación del nivel correspondiente a cada información y servicio, en función de las dimensiones de seguridad.
2. Determinación de la categoría del sistema, según lo establecido en el párrafo anterior.
Medidas de seguridad
Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplicarán las medidas de seguridad, las cuales serán proporcionales a:
· Las dimensiones de seguridad relevantes en el sistema a proteger.
· La categoría del sistema de información a proteger.
Las medidas de seguridad se dividen en tres grupos:
· Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
o Política de Seguridad.
o Normativa de seguridad.
o Procedimientos de seguridad.
o Proceso de autorización.
· Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
o Planificación.
o Control de Acceso.
o Explotación.
o Servicios externos.
o Continuidad del servicio.
o Monitorización del sistema.
· Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
o Protección de las instalaciones e infraestructuras.
o Gestión del personal.
o Protección de los equipos.
o Protección de las comunicaciones.
o Protección de los soportes de información.
o Protección de las aplicaciones informáticas.
o Protección de información.
o Protección de los servicios.
Auditorías de seguridad
· Los sistemas de información serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad.
· Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
· La auditoría se realizará en función de la categoría del sistema.
· La auditoría profundizará en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la auditoría.
· En la realización de esta auditoría se utilizarán los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información.
· El informe de auditoría deberá dictaminar sobre el grado de cumplimiento del ENS, identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, así como las recomendaciones que se consideren oportunas. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.
· Los informes de auditoría serán presentados al responsable del sistema y al responsable de seguridad competentes. Estos informes serán analizados por este último que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
· En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.
· Los informes de auditoría podrán ser requeridos por los responsables de cada organización con competencias sobre seguridad de las tecnologías de la información.
No hay comentarios:
Publicar un comentario