Esquema Nacional de Seguridad

Todos los organismos, empresas y entidades que manejen información personal tienen la obligación de protegerla frente a pérdidas, robos o accesos indebidos.

En una sociedad totalmente digitalizada, la mayoría de la información se almacena en sistemas digitales a los que deben aplicarse unas medidas de seguridad para garantizar que esa información está protegida. Las medidas de seguridad de la información para las entidades públicas se recogen en el Esquema Nacional de Seguridad.

Vamos a analizar en qué consiste el Esquema Nacional de Seguridad (ENS), su ámbito de aplicación y cómo implementarlo.

¿Qué es el Esquema Nacional de Seguridad?

Podemos definir el Esquema Nacional de Seguridad como el documento donde se recoge la política de seguridad en el uso de medios electrónicos. En él se incluyen los requisitos mínimos y los principios esenciales para garantizar la correcta protección de la información.

Esas normas técnicas de seguridad son de cumplimiento obligatorio y resultan esenciales para asegurar una homogénea y adecuada aplicación de las medidas incluidas en el ENS. Con ellas también se establece una manera uniforme de actuar ante supuestos concretos.

Este Esquema Nacional de Seguridad fue elaborado teniendo en cuenta las referencias en materia de seguridad de la información existentes en la Unión Europea, en la OCDE o los sistemas de normalización nacionales e internacionales.

Existió una actuación coordinada entre el Ministerio de Política Territorial y función Pública y el Centro Criptológico Nacional para elaborar el ENS. Además contaron con la participaron de los órganos competentes en materia de administración digital de las distintas Administraciones públicas. Y se tuvo en cuenta la opinión de la industria del sector TIC.

Regulación

El ENS se regula en las siguientes normas:

  • Real Decreto 951/2015, de 23 de octubre, de modificación del R.D. 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Normas técnicas de seguridad
  • Guías CCNN-STIC de Seguridad de los Sistemas de Información y Comunicaciones.

Objetivos

Los objetivos del ENS son:

  1. Instaurar las condiciones de seguridad adecuadas en la utilización de medios electrónicos. Para ello se establecen medidas que garantizan la seguridad de los datos, los sistemas, los servicios electrónicos y las comunicaciones en el cumplimiento de obligaciones y ejercicio de derechos.
  2. Impulsar la continuada gestión de la seguridad.
  3. Fomentar la prevención, localización y solución de ataques informáticos y ciberamenazas.
  4. Crear un tratamiento uniforme de la seguridad que permita una cooperación en la prestación de servicios digitales entre distintas administraciones. Se facilitan unas actuaciones comunes que deben seguir las entidades públicas en materia de seguridad de la información. Además se establece un lenguaje común para hacer más sencilla la comunicación a la industria de los requisitos de seguridad.
  5. Ser usado como modelo de buenas prácticas en materia de seguridad de la información.
  6. Garantizar la confidencialidad, integridad, autenticidad, disponibilidad, trazabilidad, acceso y conservación de la información.

La seguridad, dentro del ENS, se entiende como una actividad integral donde no sirven las acciones puntuales. Normalmente la debilidad de un sistema está determinada por la coordinación de medidas que son correctas individualmente pero que están mal enlazadas.

Ámbito de aplicación

El ENS es aplicable a:

  • Administración General del Estado
  • Administraciones de las CCAA
  • Administración local
  • Entidades de derecho público vinculadas a esas administraciones
  • Ciudadanos en sus relaciones con las Administraciones públicas
  • Relaciones entre las diferentes administraciones

Están excluidos del ámbito de aplicación del ENS aquellos sistemas que recogen información clasificada, regulados en la Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo.

Principales elementos del ENS

Los elementos que integran el Esquema Nacional de Seguridad son:

  • Principios esenciales que deben aplicarse a la hora de tomar decisiones en materia de seguridad de la información
  • Requisitos mínimos para asegurar una adecuada protección de la información
  • Clasificar los sistemas en nivel alto, medio o bajo para poder adoptar medidas de seguridad adecuadas según el tipo de servicio o información tratada y los riesgos detectados.
  • Medidas de seguridad clasificadas según un marco Organizativo, un marco Operacional y Medidas de protección
  • Auditoría de seguridad para demostrar que el ENS se cumple

Vamos a analizar cada uno de ellos.

Principios esenciales

Como principios esenciales el ENS recoge los siguientes:

  1. Seguridad integral: la seguridad es considerada como un procedimiento integral que incluya todos los aspectos humanos, técnicos, organizativos y materiales que forman el sistema. Es necesaria la formación y concienciación de todos los intervinientes en el sistema para evitar riesgos.
  2. Gestión de riesgos: en el procedimiento de seguridad es fundamental el análisis y la gestión de riesgos para controlar y reducir los posibles riesgos. Debe existir un equilibrio entre los tratamientos realizados, el tipo de datos, los riesgos a los que están expuestos y las medidas de seguridad aplicadas.
  3. Prevención, reacción y recuperación: con esto se pretende que las amenazas no lleguen a materializarse poniendo en peligro la información. Como medidas de prevención está la limitación de la exposición y la disuasión. Las medidas de reacción pretenden atajar rápidamente los incidentes de seguridad que se produzcan. Y con las medidas de recuperación se restaurarán cuanto antes los servicios e información afectados por el incidente.
  4. Líneas de defensa: la estrategia de protección de un sistema debe estar formada por diversas capas de seguridad. Como líneas de defensa se incluyen medidas lógicas, físicas y organizativas.
  5. Reevaluación periódica: los riesgos y amenazas están evolucionando constantemente por lo que las medidas de seguridad deben actualizarse periódicamente para garantizar su eficacia.
  6. Función diferenciada: debe distinguirse en los sistemas de información entre el responsable de la información (establece los requisitos de la información que se maneja), el responsable del servicio (establece los requisitos del servicio prestado) y el responsable de seguridad (adopta las medidas de seguridad de los servicios y la información).

Requisitos mínimos

Todas las Administraciones públicas deberán aprobar una política de seguridad que deberá aplicarse teniendo en cuenta los siguientes requisitos mínimos:

1. Organización e implantación del proceso de seguridad

La política de seguridad de la entidad debe establecer los responsables de que la misma se cumpla y debe difundirse a todos los miembros de esa entidad.

2. Análisis y gestión de riesgos

La organización debe analizar los riesgos que puedan producirse en el sistema y adoptar las medidas necesarias para evitarlos o reducirlos.

3. Gestión de personal

Es fundamental que todo el personal que se encargue de los sistemas y la información sea informado sobre sus obligaciones en materia de seguridad y se controlarán sus acciones para comprobar que siguen las normas establecidas.

4. Profesionalidad

El personal encargado de la seguridad debe estar cualificado para ello por lo que debe recibir la formación necesaria para garantizar que aplican los procesos de seguridad correctamente.

5. Autorización y control de accesos

Únicamente podrán acceder a los sistemas de información los usuarios debidamente autorizados.

6. Protección de las instalaciones

Las zonas donde se almacena la información deben disponer de controles de acceso y, como mínimo, deben estar cerradas con llave.

7. Adquisición de productos de seguridad

A la hora de adquirir productos de seguridad de la información debe tenerse en cuenta que estos estén certificados según normas internacionales.

8. Seguridad por defecto

El diseño de los sistemas debe realizarse garantizando la seguridad por defecto.

9. Integridad y actualización del sistema

Para instalar cualquier elemento en el sistema será necesaria una autorización y deben realizarse todas las actualizaciones necesarias para evitar vulnerabilidades.

10. Protección de la información almacenada y en tránsito

Debe garantizarse la seguridad de la información guardada o transmitida a través de dispositivos portátiles, PDAs, USB o redes abiertas o con cifrado débil.

11. Prevención ante otros sistemas de información interconectados

Se protegerá la información cuando se utilice una conexión a través de una red pública.

12. Registro de actividad

Se registrarán las actuaciones de los usuarios para evitar actos no autorizados o indebidos.

13. Incidentes de seguridad

Las entidades dispondrán de un sistema para detectar y gestionar incidentes de seguridad. Esos incidentes y las actuaciones realizas para gestionarlos deben registrarse.

14. Continuidad de la actividad

Se establecerá un sistema de copias de seguridad y mecanismos que garanticen la continuidad de la actividad.

15. Mejora continua del proceso de seguridad

Debe actualizarse y mejorarse continuamente el proceso de seguridad aplicando los métodos sobre gestión de las tecnologías de la información establecidos nacional e internacionalmente.

Auditoría de seguridad

Cada dos años debe realizarse una auditoría en los sistemas de información que garantice el cumplimiento del ENS. También se realizará la auditoría cuando se introduzcan cambios importantes en el sistema de información que afecten a las medidas de seguridad necesarias.

En el informe de auditoría se especificará el nivel de cumplimiento de la norma, las deficiencias detectadas, las medidas correctoras que se consideren necesarias y las oportunas recomendaciones. Esos informes serán comunicados al responsable del sistema de información y al responsable de seguridad.

Medidas de seguridad

Según se establece en el ENS, las medidas de seguridad que se adopten deben ser proporcionales a la clase de información tratada y al tipo de sistema que deba protegerse, teniendo en cuenta los riesgos que pueden surgir.

En total se establecen 75 medidas de seguridad divididas en organizativas, operacionales y de protección.

Marco organizativo

Aquí se incluyen las medidas referidas a la organización global de la seguridad.  Estas medidas son:

  • Política de seguridad
  • Normativa de seguridad
  • Procedimientos de seguridad
  • Proceso de autorización

Marco operacional

Se refiere a las medidas para proteger el funcionamiento del sistema considerado como un conjunto integral de componentes para conseguir un fin.

Son las siguientes:

  • Planificación
  • Análisis de riesgos
  • Arquitectura de seguridad
  • Adquisición de nuevos componentes
  • Dimensionamiento / Gestión de capacidades
  • Componentes certificados
  • Control de acceso
  • Identificación
  • Requisitos de acceso
  • Segregación de funciones y tareas
  • Proceso de gestión de derechos de acceso
  • Mecanismo de autenticación
  • Acceso local
  • Acceso remoto
  • Inventario de activos
  • Configuración de seguridad
  • Gestión de la configuración
  • Mantenimiento
  • Gestión de cambios
  • Protección frente a código dañino
  • Gestión de incidencias
  • Registro de la actividad de los usuarios
  • Registro de la gestión de incidencias
  • Protección de los registros de actividad
  • Protección de claves criptográficas
  • Servicios externos
  • Contratación y acuerdos de nivel de servicio
  • Gestión diaria
  • Medios alternativos
  • Continuidad del servicio
  • Análisis de impacto
  • Plan de continuidad
  • Pruebas periódicas
  • Detección de intrusión
  • Sistema de métricas

Medidas de protección

Estas medidas pretenden proteger los activos concretos según su naturaleza y la calidad que se requiera según el nivel de seguridad de las dimensiones afectadas.

Las medidas de protección son:

  • Protección de las instalaciones e infraestructuras
  • Áreas separadas y con control de acceso
  • Identificación de las personas
  • Acondicionamiento de los locales
  • Energía eléctrica
  • Protección frente a incendios
  • Protección frente a inundaciones
  • Registro de entrada y salida de equipamiento
  • Instalaciones alternativas
  • Gestión del personal
  • Caracterización del puesto de trabajo
  • Deberes y obligaciones
  • Concienciación
  • Formación
  • Personal alternativo
  • Protección de los equipos
  • Puesto de trabajo despejado
  • Bloqueo de puesto de trabajo
  • Protección de equipos portátiles
  • Medios alternativos
  • Protección de las comunicaciones
  • Perímetro seguro
  • Protección de la confidencialidad
  • Protección de la autenticidad y de la integridad
  • Segregación de redes
  • Medios alternativos
  • Protección de los soportes de información
  • Etiquetado
  • Criptografía
  • Custodia
  • Transporte
  • Borrado y destrucción
  • Protección de las aplicaciones informáticas
  • Desarrollo
  • Aceptación y puesta en servicio
  • Protección de la información
  • Datos de carácter personal
  • Calificación de la información
  • Cifrado
  • Firma electrónica
  • Sellos de tiempo
  • Limpieza de documentos
  • Copias de seguridad (backup)
  • Seguridad de los servicios
  • Protección del correo electrónico
  • Seguridad de servicios y aplicaciones web
  • Protección frente a la denegación de servicio
  • Medios alternativos

Adecuación al ENS

Las Administraciones públicas, para adaptarse a los requisitos del ENS, deben realizar las siguientes actuaciones:

  • Elaborar y aprobar una política de seguridad donde se recojan las obligaciones de los distintos responsables en materia de seguridad.
  • Clasificar los sistemas de información según el valor de la información tratada y de los servicios prestados.
  • Efectuar un análisis de riesgos y decidir las medidas de seguridad a implantar.
  • Establecer y aprobar la Declaración de aplicabilidad de las medidas de seguridad indicadas en el ENS.
  • Preparar un plan de actuación para mejorar la seguridad, según las deficiencias localizadas, y establecer el plazo para ejecutarlo.
  • Aplicar, poner en funcionamiento y monitorizar las medidas de seguridad.
  • Realizar auditorías de seguridad para verificar el cumplimiento del ENS.
  • Conseguir y hacer pública la certificación de conformidad con el ENS.
  • Facilitar información sobre el estado de la seguridad en la entidad.