EN EL SECTOR PRIVADO

Hasta la aprobación del nuevo Reglamento de Protección de Datos, había sido relativamente fácil conocer las medidas de seguridad que cualquier entidad debía aplicar en su organización.

Esto venía determinado por la sensibilidad de los datos tratados, que podían ser de nivel básico, medio o alto, y dependiendo del sistema utilizado para su gestión (automatizada, manual, o mixta).

Esto cambió radicalmente con el Reglamento Europeo de Protección de Datos (RGPD), ya que no se valora únicamente la sensibilidad del dato, sino que se consideran otras variables y se introducen las “categorías especiales de datos”, donde se consideran entre otros, el volumen de los datos tratados, los tratamientos automatizados que se van a realizar, la existencia de datos de menores, etc.

Asimismo, se introduce el término “Accountability” que tendría su traducción en Responsabilidad proactiva. 

En este sentido, el RGPD no facilita un listado de medidas de seguridad, sino que delega esta directriz al Responsable del Tratamiento, el cual, en conocimiento de su organización y basándose en la gestión del riesgo, determinará las medidas de seguridad más adecuadas que deberá adoptar su organización.

Esto también significa que las medidas de seguridad que se están aplicando sobre los sistemas de información, pueden ser suficientes (o no, dependiendo del resultado de la evaluación de impacto en la privacidad), pero en cualquier caso, se va a tener que justificar la elección de dichas medidas, argumentando de forma justificada cómo su aplicación repercute en la gestión del riesgo identificado.

EN EL SECTOR PÚBLICO. ENS

En el caso del sector público, este análisis se simplifica relativamente:

El Esquema Nacional de Seguridad (ENS) incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter personal, para evitar su perdida, alteración o acceso no autorizado, adaptando los criterios de denominación del riesgo, en el tratamiento de los datos, a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

Con ello se viene a decir que el sector público ya tiene un listado, previamente autorizado, de las medidas de seguridad que tiene que aplicar para proteger los datos de carácter personal: aquellas medidas de seguridad que le son de aplicación son las del Real Decreto 3/2010Vista previa del enlace añadida por la extensión vLex , de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad (ENS) y se dividen en tres marcos: organizativo, operacional y medidas de protección.

Las medidas de seguridad indicadas son acumulativas, de manera que para los sistemas de información catalogados de nivel bajo, serán de aplicación 40 medidas, para los sistemas de información catalogados de nivel medio, le aplicarán 60, mientras que para los sistemas de información catalogados de nivel alto, le serán de aplicación la totalidad de las medidas, es decir, las 75.

MEDIDAS QUE DEBE APLICAR EL SECTOR PÚBLICO

El Esquema Nacional de Seguridad recoge las medidas que debe aplicar el sector público para cumplir con los requisitos del RGPD en este ámbito

• El CCN-CERT y la AEPD establecen un mecanismo de colaboración para ofrecer a las Administraciones Públicas una referencia de cumplimiento normativo en materia de protección de datos y seguridad.
• El Reglamento General de Protección de Datos (RGPD) establece nuevos requisitos de cumplimiento.
• La herramienta PILAR para las Administraciones Públicas (AAPP) incluye un módulo para facilitar el cumplimiento.
• La obligatoriedad de contar con un registro de actividades de tratamiento, designar un Delegado de Protección de Datos o notificar las quiebras de seguridad en caso de producirse, son algunos de los aspectos recogidos en este módulo.
• La AEPD ha publicado un documento en el que pone de manifiesto que las medidas de seguridad −en el caso de las AAPP− estarán marcadas por los criterios establecidos en el Esquema Nacional de Seguridad.

MEDIDAS APLICABLES EN EL SECTOR PRIVADO

Proveedores externos que proporcionen servicios informáticos a las AA.PP.  Por  ejemplo:  servicios  de  alojamiento  de  servidores,  servicios cloud computing, etc.

¿deben cumplir con  el  ENS?

Las medidas de seguridad que deben adoptar los proveedores de servicios no las fija el  propio  proveedor,  sino  que  serán  las  determinadas  por  la  Administración  contratante,  en virtud de la naturaleza de los servicios prestados.

Es  responsabilidad  de  la  Administración  contratante  la suscripción  del  correspondiente contrato  de  prestación  del  servicio (incluyendo,  en  su  caso, los  Acuerdos  de  Nivel  de  Servicio  a  los  que  hubiere  lugar), que  deberá  contener  todas  las estipulaciones  necesarias  para  dar  cumplimiento  a  lo  dispuesto  en  el  ENS,  en  virtud  de  la naturaleza del servicio prestado.

Los productos   de   software   destinados   al   tratamiento   automatizado   de   datos personales  deberán  incluir  en  su descripción  técnica  el  nivel  de  seguridad.

¿Es necesario que esté certificado o auditado por algún auditor independiente?

Sólo se exige  que  en  las  normas  técnicas  del  producto  en  cuestión  aparezca  la mención del nivel de seguridad que es capaz de alcanzar el software en cuestión.

No prescribe, por tanto, ninguna auditoría.

Sin  embargo,  existen  productos que se han  sometido  (o  se están sometiendo)  al  análisis  de auditores externos y/o independientes, con la idea de exhibir el resultado de tal auditoría,  no sólo en las normas técnicas del producto, sino también en sus páginas web, etc.

DERECHOS ARCOPL (ACCESO, RECTIFICACIÓN, CANCELACIÓN, OPOSICIÓN, PORTABILIDAD Y LIMITACIÓN DEL TRATAMIENTO) 

¿Se   consideran   estos derechos como pertenecientes al ENS?, ¿tienen que estar estos documentos en la Sede, o simplemente pueden estar en una página web de información?

El  ejercicio  de  los  derechos  ARCOPL  es,  como  su  propio  nombre  indica,  un  derecho  de  los ciudadanos.

Por tanto, el ejercicio de tales derechos debe ser objeto del ENS.

Para el ejercicio de los mismos, las  AA.PP.  suelen  usar  formularios  en formato  PDF,  en  los  que  se  explica  cual  es  el  procedimiento  que  deben  seguir los ciudadanos   para   el   ejercicio   de   tales   derechos.

Obsérvese  que  las  medidas  de  seguridad  que  serán  de  aplicación  a  cada  sistema/servicio deben estar ponderadas respecto de los riesgos que la organización asume.

En este caso, toda vez que se trata de una mera información al usuario (información que podrá encontrarse en la Sede Electrónica, como expresión del ejercicio de un derecho) las cautelas que deben tomarse parecen simples:

• asegurar la disponibilidad de la información
• su integridad
• y su autenticidad

Estás  dos  últimas  dimensiones  pueden satisfacerse  firmando  electrónicamente  los  PDF  o incorporándoles  un  CSV  (Código  Seguro  de  Verificación) mediante  el  cual  los  interesados puedan verificar su autenticidad mediante la consulta a la página web del organismo.

¿El Responsable de Seguridad del ENS puede ser la misma persona que el Responsable de Seguridad de la LOPDyGDD?

Formalmente nada lo impide.

Debemos   hacer   constar   que   ambos   perfiles   requieren   una   formación   muy   específica   y diferenciada.

Por  ejemplo,  el  Responsable  de  Seguridad  ENS  es  un  perfil  eminentemente tecnológico,   mientras   que   el   Responsable   de  Seguridad   LOPDyGDD   debe  poseer, además,   el conocimiento  jurídico  pertinente). 

Por  tanto,  dándose  la  circunstancia  de  que  la  persona designada    goce    de    la    formación    adecuada    en    ambas    responsabilidades,    no existe inconveniente en que sea la misma persona.

Independientemente  de  lo  anterior,  sobre  todo  en  organizaciones  de  tamaño  significativo, debe  entenderse  como  más  conveniente  que  ambos  responsables  (en  el  caso  de  personas físicas)  sean  distintos,  pudiendo  formar  parte,  eso  sí,  de  un  Comité  de  Seguridad  de  amplio espectro y cuyo titular será el Responsable formal de ambas funciones.

La entrada ENS VIII. PROTECCIÓN DE DATOS se publicó primero en Gestiona Abogados.

¿Se   puede   hacer   un   Plan   de   Adecuación   sin   incluir   la Política   de Seguridad?

Rotundamente, no.

La  redacción y  aprobación de  la  Política  de  Seguridad  de  la  organización  es  una  condición previa  e  indispensable para  abordar  un proceso de  conformidad  legal  al ENS  coherente  y  con garantías de éxito.

¿Se puede aprobar una Política de Seguridad sin contemplar la Estructura de Seguridad de la Organización?

No tendría sentido.

Obsérvese que una Política de Seguridad contiene, necesariamente, la estructura organizativa encargada de dirigir y materializar su implantación, y velar por su cumplimiento.

Esto  no  significa  que  la  antedicha  Estructura  de  Seguridad  deba  ser  rígida  o  estar  totalmente dimensionada desde un principio.

Suele suceder con frecuencia que, tras el preceptivo Análisis de  Riesgos  y  la  ulterior  Declaración  de  Aplicabilidad,  se  llegue  a  la  conclusión  de  que  la adopción   coherente   de   determinadas   medidas   de   seguridad requiere   el   concurso   de elementos  nuevos  en  la  Estructura  de  Seguridad  de  la  organización,  no  contemplados  en  un primer momento.

¿Debe publicarse en la Sede Electrónica del organismo en cuestión el Plan de Adecuación al ENS?

La  Disposición  Transitoria Primera  (Adecuación  de  sistemas  y  servicios)  del  ENS,  señala  la obligación de contar con el  preceptivo  Plan  de  Adecuación  de  los sistemas y  servicios  que sean  objeto  del  ENS.

Nada  prescribe  la  norma,  sin  embargo,  en relación con la publicación del citado Plan de Adecuación, que sí debe  ser aprobado por los órganos superiores del organismo.

Obsérvese,  además,  que la  publicación  del  Plan  de  Adecuación  en  la  Sede  Electrónica  del organismo sería claramente contraproducente desde el punto de vista de la seguridad, toda vez que se estarían dando «pistas urbi et orbi» respecto del nivel de seguridad de los sistemas de  información  del  organismo, cuestión  nada  deseable  y  que  vendría  a  introducir  riesgos adicionales.

¿Cuál es la relación entre el ENS y la norma UNE-ISO/IEC 27002:2009?

La norma UNE-ISO/IEC 27002:2009 es un conjunto de controles de seguridad para sistemas de información genéricos.

Aunque  muchas  de  las medidas  de  seguridad indicadas  en  el  anexo  II del  ENS  coinciden  con controles  de UNE-ISO/IEC  27002:2009,  el ENS  es  más preciso  y  establece  un  sistema  de protección   proporcionado   a   la información   y   servicios   a   proteger   para   racionalizar   la implantación de medidas de seguridad y reducir la discrecionalidad.

La  norma UNE-ISO/IEC  27002:2009 carece  de  esta  proporcionalidad,  quedando  a  la  mejor opinión del auditor que certifica, la conformidad con la norma UNE ISO/IEC 27001:2007

Por  otra  parte,  el  ENS  contempla  diversos  aspectos de especial  interés  en  relación  con  la protección  de  la  información  y  los  servicios  de  administración  electrónica (por  ejemplo, aquellos relativos a la firma electrónica) no recogidos en la norma UNE-ISO/IEC 27002:2009.

Teniendo  mi  Servicio/Sistema  certificado  contra la  norma UNE  ISO/IEC 27001:2007, ¿debo entender que ya estoy cumpliendo con el ENS?

Rotundamente, no.

El  Esquema  Nacional  de  Seguridad  y  la norma UNE  ISO/IEC  27001:2007 difieren  en  su  naturaleza,  en  su  ámbito  de  aplicación,  en  su obligatoriedad y en los objetivos que persiguen.

El ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos, de aplicación obligatoria a todas las Administraciones Públicas, y que trata la ‘protección’ de la información y los servicios.

El ISO 27001 es una norma de gestión que indica cómo llegar a tener un   Sistema   de   Gestión   de   Seguridad   de   la   Información   (para   ello   se   apoya   en   las recomendaciones de ISO 27002).

La norma UNE ISO/IEC 27001:2007 es de carácter voluntario,  es una norma de ‘gestión’ que contiene los requisitos para la construcción  de  un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad.

Sin embargo, cabe precisar que quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2007 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del Real Decreto 3/2010.

La entrada ENS VII. OTRAS CUESTIONES se publicó primero en Gestiona Abogados.

EL PLAN DE ADECUACIÓN

El  ENS  especifica  que  si  no  es  posible,  en  plazo  y  forma,  la  adecuación  al  mismo,  la  entidad  deberá  contar  con  un  plan  de  adecuación. 

Los  detalles  de  cómo  desarrollarlo  se  recogen  en  la  GUÍA  DE  SEGURIDAD  (CCN-STIC-806)  ESQUEMA  NACIONAL DE SEGURIDAD – PLAN DE ADECUACIÓN.

Este plan de adecuación contendrá la siguiente información:

• 1. La política de seguridad.
• 2. Información que se maneja, con su valoración.
• 3. Servicios que se prestan, con su valoración.
• 4. Datos de carácter personal.
• 5. Categoría del sistema.
• 6. Declaración de aplicabilidad de las medidas del Anexo II del ENS.
• 7. Análisis de riesgos.
• 8. Insuficiencias del sistema.
• 9. Plan de mejora seguridad, incluyendo plazos estimados de ejecución.

El Plan de Adecuación lo desarrollará el Responsable de Seguridad, cuando lo haya, o la persona a la que se asigne esta función de forma temporal.

1 LA POLÍTICA DE SEGURIDAD

Idealmente, el organismo dispondrá de una política de seguridad  conforme  a  lo  que  se  pide  en  el  Anexo  II  del  ENS,  por  lo que sólo será necesario identificarla y anexarla al plan de adecuación.

Pero si no es así, el plan tendrá que recoger la planificación  de  la  modificación  de  la  política  de  seguridad  existente, o el desarrollo de una nueva política, que cumpla con todos los requisitos.

2 VALORACIÓN DE LA INFORMACIÓN QUE SE MANEJA

Hay que detallar la información que se maneja, y valorarla según se establece en el ENS.

En  una  entidad  en  la  que  no  haya  una  política  de  seguridad  clara  y  definida,  puede  resultar  problemático  llevar  a  cabo,  tanto el inventario de toda la información utilizada en la prestación de los servicios, como posteriormente valorarla, ya que no  habrá  criterios  definidos  para  hacerlo  y  faltarán  algunos  propietarios. 

Si  fuera  así,  el  Responsable  de  Seguridad, o  la  persona  designada  para  llevar  a  cabo  sus  funciones,  tendrá  que realizar esta valoración según su leal saber y entender, dejando constancia de los motivos y razonamientos para determinar las valoraciones documentadas.

Esta  valoración  es  meramente  provisional  para  los  efectos  del plan, y deberá realizarse una valoración formal en un plazo adecuado, documentándose dichas tareas en el plan.

3 VALORACIÓN DE LOS SERVICIOS QUE SE PRESTAN

De manera análoga a lo indicado en la sección anterior para la información, debe realizarse la valoración de los servicios.

Para ello, deben enumerarse los servicios que se prestan, y valorarlos.

Cuando no hay política de seguridad por la que regirse para hacer esta valoración, faltan responsables de los servicios. o la valoración de la información no está aprobada formalmente,  se  realizará  una  valoración  provisional,  especificando  su  plazo de validez, pasado el cual deberá haberse realizado una valoración formal.

4 DATOS DE CARÁCTER PERSONAL

Cuando el sistema maneja datos de carácter personal, deberá incluirse la relación detallada de dichos datos en el plan de adecuación.

Para ello es suficiente hacer referencia al Documento de Seguridad requerido por el RGPDD y la LOPDgdd de Protección de Datos de Carácter Personal existente en la entidad.

5 CATEGORÍA DEL SISTEMA

Con las valoraciones disponibles de la información y los servicios,  el  Responsable  de  Seguridad debe  establecer  la  categoría  del  sistema,  siguiendo  los  criterios  y  pasos  recogidos  en  el  Anexo I del ENS.

Una estrategia eficaz para reducir la utilización de recursos es segregar los sistemas en sub-sistemas, si es posible.

De esta manera se aplicarán las medidas de seguridad, exigidas para niveles altos, específicamente a aquellos segmentos del sistema  que  lo  requieran,  y  no  al  sistema  completo,  que  requeriría mucho más esfuerzo.

6 DECLARACIÓN DE APLICABILIDAD

El Responsable de Seguridad, a la vista del nivel del sistema y de los requisitos planteados para la protección de los datos de  carácter  personal,  documentará  la  lista  de  las  medidas  aplicables al sistema.

7 ANÁLISIS DE RIESGOS

Otro  de  los  puntos  a  incluir  en  el  Plan  de  Adecuación  es  un  análisis de riesgos, según lo descrito en el Anexo II del ENS para la categoría establecida, para el sistema.

En este análisis de riesgos se valorarán las salvaguardas presentes en la fecha de aprobación del plan de adecuación, de manera que se cuente con un mapa de riesgos actuales.

8 INSUFICIENCIAS DEL SISTEMA

Hay  que  identificar  y  documentar  las  carencias  en  el  actual  sistema de gestión de seguridad de la información, que pueden detectarse en varios aspectos:

• Desviaciones de lo exigido en el Anexo II para valorar el sistema y seleccionar medidas de seguridad.
• Existencia de riesgos que no son aceptables por el organismo.

Los riesgos residuales (los que quedan tras la aplicación de las medidas de seguridad seleccionadas) deben ser aceptados por los responsables de la información y servicios afectados.

Puede darse el caso de que no todos los responsables estén designados o que la aceptación del riesgo no sea formal,  por lo que el  Responsable  de  Seguridad  tomará  la  decisión  a  su  mejor  criterio,  indicando  por  qué  y  cómo  ha  llegado  a  esas  decisiones de aceptación, o no, del riesgo residual.

9 PLAN DE MEJORA DE LA SEGURIDAD

Partiendo de la información recopilada, y teniendo en cuenta las carencias detectadas, se elaborará un plan de mejora de la  seguridad  que  detallará  las  acciones  que  se  van  a  tomar  para subsanarlas.

Además,   para  cada  una  de  las  acciones  que  se  tomarán,   se  documentará:

• Las insuficiencias que subsana.
• El plazo previsto de ejecución, indicando fecha de inicio y fecha de terminación.
• Los principales hitos del proyecto.
• Una estimación del coste que supondrá.

Con el Plan de Adecuación que hemos expuesto hoy, los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, como primer paso, así como los requisitos mínimos de seguridad, como segundo paso, y las comunicaciones electrónicas, como tercer paso, ya hemos finalizado con el Esquema que cualquier empresa que tenga proyectos en vigor, o desee participar en ofertas y licitaciones con algún Organismo Oficial debe contar, lo que le supondrá una diferencia competitiva importante, y en breve, es probable que sea una cláusula obligatoria para participar en una licitación.

La entrada ENS VI. PLAN DE ADECUACIÓN. se publicó primero en Gestiona Abogados.

COMUNICACIONES ELECTRÓNICAS

1 CONDICIONES TÉCNICAS DE SEGURIDAD DE LAS COMUNICACIONES ELECTRÓNICAS.

Las  comunicaciones  electrónicas  son  un  punto  sensible  en  cuanto a seguridad, por su vulnerabilidad a ataques de diversa índole.

El ENS determina que deben controlarse las condiciones técnicas de seguridad de las comunicaciones electrónicas en lo relativo a la constancia de la transmisión y recepción, de sus fechas, del contenido integro de las comunicaciones y la identificación fidedigna del remitente y destinatario de las mismas, según lo establecido en la Ley 11/2007, de 22 de junioE.

Las  medidas  de  seguridad  adoptadas  serán  implementadas  de acuerdo con lo establecido en el ENS.

Debe  tenerse  en  cuenta  que  las  comunicaciones  tendrán  el  valor  y  la  eficacia  jurídica  que  corresponda  a  su  naturaleza,  según la legislación aplicable.

2 REQUERIMIENTOS TÉCNICOS DE NOTIFICACIONES Y PUBLICACIONES ELECTRÓNICAS.

Las notificaciones y publicaciones electrónicas de resoluciones y actos administrativos, por su impacto en los ciudadanos, deben protegerse cuidadosamente.

El ENS exige que:

• Se  asegure  la  autenticidad  del  organismo  que  lo  publique.
• Se asegure la integridad de la información publicada.
• Quede constancia de la fecha y hora de la puesta a disposición del interesado de la resolución, o acto, objeto de publicación o notificación, así como del acceso a su contenido.
• Se asegure la autenticidad del destinatario de la publicación, o notificación.

3 FIRMA ELECTRÓNICA.

La firma electrónica es una medida de seguridad muy valiosa para proteger la autenticidad de quien emite una comunicación electrónica.

El uso de la firma electrónica debe documentarse en una política de firma electrónica, así como debe existir una política de certificados, que regulen los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas.

La  firma  electrónica  se  aplicará  según  lo  estipulado  en  el  Anexo II del ENS y el Esquema Nacional de Interoperabilidad.

4 AUDITORIA DE SEGURIDAD.

El  ENS  requiere  que  se  lleve  a  cabo  una  auditoría  cada  dos  años como mínimo, o antes, si hay cambios importantes en el sistema de información, que puedan afectar a las medidas de seguridad requeridas.

La  auditoría  se  llevará  a  cabo  siguiendo  las  pautas  de  las  guías CCN-STIC-802 Guía de Auditoría y CCN-STIC-808 Verificación del Cumplimiento de las Medidas.

Los informes de auditoría detectarán las deficiencias y desviaciones del sistema de seguridad respecto a lo establecido en el ENS y deberán ser analizados para tomar acciones que corrijan esta situación.

5 ESTADO DE SEGURIDAD DE LOS SISTEMAS.

Regularmente, el Comité Sectorial de administración electrónica,  elaborará  un  informe  en  el  que  se  recogerán  las  principales  variables  de  la  seguridad  en  los  sistemas  de  información  a  los  que  se  refiere  el  ENS,  de  forma  que  permita  elaborar un perfil general del estado de la seguridad en las Administraciones públicas.

6 RESPUESTA A INCIDENTES DE SEGURIDAD

6.1 Capacidad de respuesta.

El Centro Criptológico Nacional (CCN) articulará la respuesta a los incidentes de seguridad en torno a la estructura denominada  CCN-CERT  (Centro  Criptológico  Nacional-Computer  Emergency  Reaction  Team). 

Se  denomina  CERT  a  un  grupo  de trabajo responsable de desarrollar medidas de prevención y de reacción ante incidentes de seguridad en los sistemas de información.

Este grupo actuará sin perjuicio de las capacidades  de  respuesta  a  incidentes  de  seguridad  que  pueda  tener cada administración pública, y de la función de coordinación a nivel nacional e internacional del CCN.

6.2 Prestación de servicios de respuesta a incidentes de seguridad.

El CCN-CERT mencionado en el punto anterior prestará a las Administraciones Públicas los siguientes servicios:

• Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad.
• Investigación y divulgación de las mejores prácticas sobre seguridad de la información. En este contexto se han desarrollado las series de documentos CCN-STIC (Centro  Criptológico  Nacional-Seguridad  de  las  Tecnologías  de  Información  y  Comunicaciones),  elaboradas  por  el  Centro Criptológico Nacional y que se pueden consultar en su sitio web www.ccn-cert.cni.es
• Formación  destinada  al  personal  de  la  administración,  especialista en el campo de la seguridad, de las tecnologías de la información.
• Información  sobre  vulnerabilidades,  alertas  y  avisos  de  nuevas amenazas.

El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que  las  Administraciones  Públicas  puedan  desarrollar  sus  propias capacidades de respuesta a incidentes de seguridad, y en el que aquél, será coordinador a nivel público estatal.

7 NORMAS DE CONFORMIDAD.

7.1 Sedes y registros electrónicos.

Las  sedes  y  registros  electrónicos  son  el  primer  punto  de  contacto del ciudadano con la administración electrónica.

De ahí que sea fundamental garantizar su seguridad y la del acceso electrónico de los ciudadanos a las mismas.

Son servicios críticos que se protegerán de acuerdo con los requisitos del ENS.

7.2 Ciclo de vida de servicios y sistemas.

Para que la seguridad sea verdaderamente integral debe estar presente en todo el ciclo de vida de servicios y sistemas, por lo que las especificaciones de seguridad deben incluirse con  el  resto  de  especificaciones  funcionales,  organizativas,  etc. cuando se decida planificar un nuevo servicio o sistema.

7.3 Mecanismos de control

Sin  un  mecanismo  de  control  que  monitorice  y  verifique  el  correcto  seguimiento  de  las  directrices  de  seguridad  no  es  posible tener un sistema de seguridad que funcione correctamente.

Deben establecerse puntos y elementos de control para realizar esta tarea.

7.4 Publicación de conformidad.

Las entidades sujetas al ENS deben hacer públicas, en las correspondientes sedes electrónicas, las declaraciones de conformidad con el ENS, y cualquier otro distintivo de seguridad que posean.

8 ACTUALIZACIÓN

8.1 Actualización permanente.

Ya se ha mencionado, y se vuelve a insistir aquí,  en  la  importancia  de  mantener  actualizado  el  sistema  de  seguridad,  mejorándolo  con  el  tiempo  para  responder  a  los  cambios  en  los  servicios  de  administración  electrónica,  la evolución tecnológica y nuevos estándares internacionales sobre seguridad y auditoría en los sistemas, y tecnologías de la información.

8.2 Categorías.

Los sistemas se adscribirán a una categoría, en función de la gravedad del impacto que tendría un incidente, que afectara a la seguridad de la información o de los servicios.

Esta categoría es la que da la medida de hasta qué punto hay que  dedicar  esfuerzos  en  seguridad,  para proteger  ese  sistema  de los riesgos a los que está expuesto.

Las  consecuencias  de  un  impacto  negativo,  sobre  la  seguridad de la información y de los servicios, se valora en función de su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad, y los derechos de los ciudadanos.

8.3 Facultades

El responsable de cada información o servicio es quien debe realizar las valoraciones mencionadas en el punto anterior y mantenerlas actualizadas.

El responsable del sistema es quien debe asignar la categoría al mismo.

Ya hemos expuesto hasta aquí, los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, como primer paso, así como los requisitos mínimos de seguridad, como segundo paso. Con el tercer paso de hoy, las comunicaciones electrónicas, sólo nos restará por ver el Plan de Adecuación del ENS, que veremos el próximo día.

La entrada ENS V. COMUNICACIONES ELECTRONICAS. se publicó primero en Gestiona Abogados.

REQUISITOS MÍNIMOS DE SEGURIDAD

Todos los organismos que estén sujetos al cumplimiento del ENS deben contar con una política de seguridad formal, aprobada por el titular del órgano superior correspondiente.

Esta política de seguridad, se establecerá en base a los principios básicos indicados en el post anterior, y se desarrollará aplicando los siguientes requisitos mínimos:

• Organización e implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos.
• Seguridad por defecto.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito.
• Prevención  ante  otros  sistemas  de  información  interconectados.
• Registro de actividad.
• Incidentes de seguridad.
• Continuidad de la actividad.
• Mejora continua del proceso de seguridad.

1 Organización e implantación del proceso de seguridad.

El  proceso  de  seguridad,  aunque  tenga  personas  responsables de ciertos aspectos formales o de gestión, es competencia de todo el personal de una entidad.

No es posible hacer un esfuerzo integral, como demanda el ENS, sin involucrar a todo el mundo, ya que cada uno es responsable de la seguridad en las tareas que realiza.

La política de seguridad recogerá los responsables de definir y  hacer  cumplir  la  política,  así  como  las  líneas  a  seguir  en  la entidad, por lo debe ser difundida a toda la organización y conocida por todos.

2 Análisis y gestión de los riesgos.

Cada organización debe realizar su propio análisis y gestión de riesgos para sus sistemas de información.

El ENS no prescribe ninguna metodología de análisis de riesgos,  estableciendo  únicamente  que  debe  utilizarse  una  que  esté internacionalmente reconocida.

A efectos prácticos esto significa  que  cualquier  metodología  que  reconozca  el  European  Network  and  Information  Security  Agency  (ENISA)  http://www.enisa.europa.eu/act/rm/cr/risk-manage- en  su Inventario de Metodologías sería válida en este contexto.

Dado que Magerit se encuentra en este Inventario así como la herramienta asociada Pilar en el Inventario de Herramientas, y la alta difusión de esa metodología en el ámbito de las Administraciones Públicas, es la candidata más apropiada para ser utilizada en la implantación del ENS.

En la gestión de riesgos es importante escoger y aplicar medidas  de  seguridad  proporcionales  al  riesgo  detectado. 

Es  decir, el coste y esfuerzo de las medidas puede ser tan alto como el riesgo que se pretende mitigar, pero no debería ser mayor.

3 Gestión de personal.

Como  se  ha  comentado  anteriormente,  un  factor  crítico  de  éxito para los esfuerzos en seguridad es la participación del personal.

Todos  deben  ser  concienciados,  formados,  e  informados  de  sus deberes y obligaciones en materia de seguridad.

Esto permitirá tomar acciones encaminadas a corregir comportamientos poco adecuados, e incluso exigir responsabilidades  a  aquellas  personas  que  no  cumplan  con  lo  establecido.

Para esto es necesario también, que los usuarios estén identificados de manera única en el sistema, para poder seguir sus acciones.

Tras la formación, deben realizarse acciones que verifiquen si se  siguen  las  normas  de  seguridad  establecidas  de  manera  sistemática.

4 Profesionalidad.

El personal que esté dedicado a las tareas de seguridad debe estar  cualificado  de  manera  apropiada,  dada  la  sensibilidad  y  complejidad  de  algunas  de  esas  tareas. 

Esto  es  aplicable  a todas las fases del ciclo de vida del proceso de seguridad: instalación,  mantenimiento,  gestión  de  incidencias  y  desmantelamiento.

Para ello, todo el personal recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios sujetos al ENS.

Lógicamente,   los  mismos  requisitos  que  se  exigen  internamente,   deben  ser  exigidos  a  cualquier  proveedor  que  preste  algún  servicio  relacionado  con  seguridad. 

Los  proveedores  deberán contar con un nivel de seguridad similar al requerido por la entidad.

5 Autorización y control de los accesos.

El  primer  paso, para  asegurar  que  la  información  y  los  sistemas  están  protegidos,  es  limitar  el  acceso  a  los  mismos. 

Debe definirse quienes y en qué medida tendrán acceso a los recursos, de manera que cada uno tenga el acceso necesario para  realizar  sus  tareas,  pero  no  a  equipos  o  datos  que  no  deben estar a su alcance.

Además, debe contar con mecanismos de autorización para permitir el acceso, y denegarlo y revocarlo cuando sea necesario.

6 Protección de las instalaciones

Las instalaciones deben protegerse contra daños que puedan afectar a los sistemas que albergan, y contra accesos de personas no autorizadas.

En  caso  de  instalaciones  en  las  que  se  ubiquen  sistemas,  el  control  de  acceso  deberá  ser, como  mínimo,  mediante  salas  cerradas y con control de llaves.

7 Adquisición de productos

Los  productos  de  seguridad  que  se  adquieran,  deberán  ser  idealmente certificados en seguridad, según alguna norma o estándar reconocido internacionalmente.

En este contexto, lo habitual será la certificación en Common Criteria.

En cualquier caso, la compra de cualquier producto o servicio relacionado  con  la  administración  electrónica,  debe  hacerse  tras un completo análisis de los requisitos, no solo funcionales, sino también de seguridad, que debe cumplir.

8 Seguridad por defecto.

Los  sistemas  deben  diseñarse  y  configurarse  de  forma  que  garanticen  la  seguridad  por  defecto. 

Para  conseguirlo,  las  pautas a seguir son:

• No proporcionar más funcionalidad que la requerida por las necesidades y objetivos de la entidad.
• En línea con lo anterior, deben eliminarse las funciones que no sean necesarias para el correcto funcionamiento del sistema, o para la consecución de los objetivos.
• Los  privilegios  de  operadores,  administradores  y  usuarios deberán ser los mínimos necesarios para que cumpla con sus obligaciones.
• Los  accesos  deben  estar  restringidos  al  personal  autorizado, los horarios establecidos. y los puntos de accesos aprobados.
• El sistema ha de ser sencillo y seguro de utilizar, de forma  que  para  que  ocurra  un  incidente  de  seguridad,  sea  necesario que el usuario lo haga de manera consciente.

9 Integridad y actualización del sistema.

Para garantizar la integridad del sistema en todo momento, cualquier cambio, tanto físico como lógico, debe ser realizado solamente tras su aprobación formal y mediante un procedimiento formal.

Se deben llevar a cabo las actualizaciones de los sistemas de una manera controlada y en función del estado de seguridad requerido en cada momento.

Los cambios en las especificaciones de los fabricantes, la aparición de nuevas vulnerabilidades, la emisión de actualizaciones y parches que afecten a los  sistemas  deben  ser  analizados  para  tomar  las  medidas necesarias para que no se degraden los sistemas ni su nivel de seguridad, gestionando asimismo los riesgos que introducen los cambios que se realizarán.

10 Protección de la información almacenada y en tránsito.

Una parte significativa del ciclo de vida de la información corresponde a su almacenamiento y a su transporte.

La  información  debe  estar  protegida  en  todo  momento.

Es  crítico  tener  en  cuenta  los  riesgos  que  conllevan  esas fases, especialmente con el uso de medios como ordenadores portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones sobre redes  abiertas  o  con  cifrado  débil.

Estos  dispositivos  y  medios  presentan  más  riesgo  de  pérdidas  o  robos  que  los  tradicionales, por lo que se debe tener más cuidado en su uso y manipulación.

Otro aspecto importante es que la información esté correctamente almacenada y conservada, de manera que pueda ser recuperada cuando sea necesario.

Para ello es necesario desarrollar  procedimientos  adecuados,  que  cubran  tanto  a  la  información  en  soporte  electrónico  como  en  papel,  si  es  el  origen o la consecuencia directa de la información electrónica a la que se refiere el ENS.

11 Prevención ante otros sistemas de información interconectados.

Actualmente,  es  más  habitual  encontrarse  con  sistemas  conectados con otros sistemas mediante redes privadas o públicas,  que  sistemas  independientes. 

Conectarse  con  otros  sistemas, en particular a redes públicas de comunicaciones (por ejemplo Internet), conlleva unos riesgos que deben ser evaluados y mitigados antes de llevar adelante la conexión.

12 Registro de actividad.

Registrar  las  actividades  de  los  usuarios,  recogiendo  la  información  necesaria  para  monitorizar,  analizar,  investigar  y  documentar actividades indebidas o no autorizadas, permite identificar a la persona que las ha realizado y tomar medidas al respecto, según la gravedad de los hechos.

Esto debe realizarse únicamente en la medida en que sea necesario para cumplir con los requisitos del ENS, y sin incurrir en incumplimientos de la Ley de Protección de Datos de Carácter Personal, o en otras leyes y regulaciones relacionadas.

13 Incidentes de seguridad.

El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.).

Gestionar  los  incidentes  de  seguridad  tiene  como  objetivo  asegurarse  de  que  los  eventos  y  los  puntos  débiles  de  la  seguridad  de  la  información,  asociados  con  los  sistemas  de  información, se comunican de forma que sea posible emprender acciones correctivas, se registran, se escalan y se resuelven de la manera más eficaz posible.

Documentando los incidentes y las acciones tomadas para su resolución  es  posible  evaluarlos  para  identificar  incidentes  recurrentes  o  de  relevancia. 

Con  esta  información  se  puede  estudiar  mejorar  o  añadir  controles,  en  definitiva,  se  puede  mejorar el sistema.

14 Continuidad de la actividad.

Reaccionar a la interrupción de las actividades, y proteger los sistemas de información, de los efectos de desastres o de fallos importantes, así como garantizar su oportuna reanudación, es el objetivo de implantar medidas como las copias de seguridad y mecanismos para asegurar la continuidad como los planes de continuidad.

Estos  planes  aseguran  que  la  disponibilidad  de  la  información  y  los  servicios  se  mantienen  en  un  nivel  y  en  un  plazo  temporal establecidos incluso después de una interrupción o un fallo de los procesos críticos de negocio.

15 Mejora continua del proceso de seguridad.

La mejora continua es uno de los requisitos del ENS, que requiere  que  el  proceso  integral  de  seguridad  implantado  se  actualice y mejore de manera continua, dejando a criterio de los implantadores los métodos para realizarlo, ya que no especifica un método determinado para realizarlo, simplemente que sea un método reconocido internacionalmente.

16 Cumplimiento de requisitos mínimos.

Para  dar  cumplimiento  a  los  requisitos mínimos, se aplicarán las medidas de seguridad, teniendo en cuenta los siguientes criterios:

• Los activos que constituyen el sistema y su valoración.
• La categoría del sistema.
• Las decisiones que se adopten para gestionar los riesgos identificados.
• Los  requisitos  que  se apliquen  en  cuestión  de  materia  de  protección de datos de carácter personal.

Se pueden ampliar estos mínimos, a criterio del responsable de seguridad, teniendo en cuenta:

• El estado de la tecnología.
• La naturaleza de los servicios prestados y la información manejada.
• El resultado del análisis de riesgos.

17 Infraestructuras y servicios comunes.

Para facilitar el cumplimiento de lo requerido por el ENS, se utilizarán  las  infraestructuras  y  servicios  comunes, en  la  medida  de  lo  posible y de acuerdo con las necesidades de cada entidad.

Estos servicios comunes, desarrollados para cualquier administración, se agrupan en las siguientes materias:

• Interconexión entre Administraciones (por ejemplo la red SARA)
• Firma Electrónica (por ejemplo @firma, la plataforma de validación  de  certificados  y  firmas  del  Ministerio  de  la  Presidencia).
• Tramitación electrónica.
• Normativa, Regulación y Recomendaciones.
• Servicios integrales.
• Información y difusión.
• Herramientas de apoyo.
• Gestión de Recursos Humanos en la Administración General del Estado.

18 Guías de seguridad.

El Centro Criptológico Nacional, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y las comunicaciones para facilitar la implantación del ENS.

El  listado  completo  de  estas  guías puedes verlo pinchando en el siguiente enlace:

https://www.ccn-cert.cni.es/guias/indice-de-guias.html

19 Sistemas de información no afectados.

Como el alcance del ENS es la administración electrónica, se dará el caso de que habrá sistemas de información a los que no les sea de aplicación el ENS, por ser sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos, ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento  administrativo,  de  acuerdo  con  lo  previsto  en  la  Ley  11/2007, de 22 de junio.

Cada entidad deberá determinar cuáles son estos sistemas.

Tras exponer los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, así como los requisitos mínimos de seguridad, el próximo día estudiaremos como deben ser las comunicaciones electrónicas de nuestra empresa u organización.

La entrada ENS IV-REQUISITOS MÍNIMOS DE SEGURIDAD se publicó primero en Gestiona Abogados.

PRINCIPIOS BÁSICOS ENS

Tal y como estipula el ENS, en  las  decisiones  en  materia  de  seguridad  deberán  tenerse  en cuenta los siguientes principios básicos:

• Seguridad integral.
• Gestión de riesgos.
• Prevención, reacción y recuperación.
• Líneas de defensa.
• Reevaluación periódica.
• Función diferenciada.

SEGURIDAD INTEGRAL

Para que sea efectiva, la gestión de la seguridad debe ser un proceso  integral,  es  decir,  que  hay  que  considerar  tanto  los  elementos técnicos, como los humanos, los materiales y los organizativos,  relacionados  con  el  sistema. 

En  el  Esquema  Nacional de Seguridad no se admiten actuaciones puntuales.

Parte fundamental en la consecución de una gestión integral de la seguridad es la formación de todo el personal que tenga alguna  responsabilidad  en  los  servicios  electrónicos  que  se  prestan.

Es  importante  recordar  que  los  sistemas  son  gestionados  y  operados  por  personas. 

Aunque  se  implantaran  todas  las  medidas técnicas aplicables, sería imposible evitar un error humano o un ataque deliberado.

La mejor manera de prevenir estos casos es mediante la concienciación y la formación.

GESTIÓN DE RIESGOS

Un programa de seguridad tiene sentido en la medida en la que  responde  a  las  necesidades  de  reducción  de  riesgos  de  la entidad.

La  herramienta  básica  para  hacerlo  es  el  análisis  y  gestión  de riesgos.

El análisis de riesgos detectará los problemas de seguridad y los categorizará.

Con la gestión se reducirán  los  riesgos  a  un  nivel  aceptable  mediante  la  selección  e  implantación  de  medidas  de  seguridad. 

Como  las  circunstancias y los sistemas cambian, el análisis de riesgos debe mantenerse actualizado en todo momento.

PREVENCIÓN, REACCIÓN Y RECUPERACIÓN

No  todas  las  medidas  de  seguridad  están  enfocadas  a  los  mismos objetivos.

• Las medidas de prevención tales como, por ejemplo, las medidas  de  protección  de  los  accesos  físicos,  tienen  como  fin  evitar que se produzcan eventos o incidentes.
• Las  medidas  de  detección  (implantar  antivirus  por  ejemplo)  sirven  para  identificar  eventos  potencialmente  peligrosos. 
• Deben  existir  medidas  de  reacción  (eliminación  de  virus  siguiendo con el ejemplo anterior) que atajen el evento, minimizando los daños que hayan podido ocurrir.
• Las  medidas  de  recuperación  (entre  las  que  se  encuentra  la  realización  de  copias  de  seguridad)  son  las  que  permiten  restablecer  la  información  o  los  servicios  que  hayan  podido  resultar dañados por un incidente de seguridad.

La utilización de todos los tipos de medidas permitirá un enfoque  integral  de  la  seguridad  tal  y  como  exige  el  ENS,  evitando  incidencias  y  reduciendo  el  impacto  de  aquellas  que  finalmente ocurran.

Otro punto a considerar es la necesidad de conservar los datos en soporte electrónico así como la de mantener disponibles los servicios que los utilizan durante todo el ciclo de vida útil  de  dichos  datos. 

Esto  habitualmente  se  hará  mediante  procedimientos orientados a preservar el patrimonio digital.

LÍNEAS DE DEFENSA

El sistema debe contar con sucesivas capas de protección de manera  que  un  incidente  no  sea  capaz  de  desarrollar  todo  su potencial dañino en caso de que ocurra.

Para ello es necesario que encuentre distintos obstáculos que reduzcan su impacto total en forma de líneas de defensa.

De esta manera, si ocurre un incidente, las capas de medidas de seguridad deben permitir:

• Ganar tiempo para reaccionar, conteniendo el incidente.
• Reducir la amplitud del impacto, evitando que se difunda a todo el sistema.
• Disminuir hasta donde sea posible el impacto total sobre el sistema.

Para  que  esto  sea  posible  deben  aplicarse  un  conjunto  de  medidas de carácter organizativo (como las políticas de uso aceptable), físicas (por ejemplo equipos antiincendios) y lógicas (tales como las segregación de redes).

EVALUACIÓN PERIÓDICA

La evaluación de riesgos debe estar actualizada para que cumpla eficazmente con su función de detectar peligros potenciales para el sistema.

En  esa  dinámica  se  enmarca  asimismo  la  revisión  de  las  medidas  de  seguridad,  para  verificar  que  siguen  siendo  las  adecuadas a los riesgos detectados y que mantienen su eficacia protegiendo el sistema contra ellos.

Esta revisión puede llevar  a  la  conclusión  de  que  hay  que  añadir  más  controles,  mejorar los existentes o incluso reorganizar por completo el conjunto de controles aplicados.

FUNCIÓN DIFERENCIADA

En cualquier marco de trabajo de seguridad es crucial mantener  una  sana  separación  de  responsabilidades  que  evite conflictos  de  interés  que  puedan  ir  en  detrimento  de  la  seguridad.

El ENS estipula que las funciones de responsable de la información,  responsable  del  servicio  y  responsable  de  la  seguridad deben estar separadas.

• El responsable de la información es quien conoce el uso que se le debe dar a dicha información por lo que es la persona más apropiada para definir los requisitos de seguridad de la información tratada.
• El responsable del servicio es quien conoce la problemática de dicho servicio y las condiciones en la que se puede y debe prestar, por lo que es el indicado para determinar los requisitos de seguridad de los servicios prestados.
• Por último, el responsable de seguridad es quien está al tanto de la visión general de los sistemas, datos y riesgos a los que  están  expuestos,  por  lo  que  es  la  personal  que  puede  tomar  con  más  conocimiento  de  causa  las  decisiones  para  satisfacer los requisitos de seguridad de la información y de los servicios.

De  esta  manera  se  asegura  que  los  distintos  requisitos  son  adecuadamente consensuados, optimizando los resultados.

Los roles y responsabilidades deben estar claramente definidos y documentados en la política de seguridad, así como los mecanismos para la resolución de conflictos.

Tras exponer los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, el próximo día veremos cuales son los requisitos mínimos de seguridad que deberían implantarse en nuestra empresa u organización.

La entrada ENS III-PRINCIPIOS BÁSICOS se publicó primero en Gestiona Abogados.

Cualquier empresa que tenga proyectos en vigor, o más aún, desee participar en ofertas y licitaciones con algún Organismo Oficial, debe contar como mínimo con la certificación ISO 27001, y con el ENS, o Esquema Nacional de Seguridad, lo que le supondrá una diferencia competitiva importante, y en breve, es probable que sea una cláusula obligatoria para participar en una licitación.

1.¿Cuál es la certificación que necesito?

El Anexo I del ENS define tres categorías: Básica, Media o Alta. 

En su punto 1. “Fundamentos para la determinación de la categoría de un sistema”, esa categorización se basa en la valoración del impacto que tendría un incidente de seguridad sobre la organización.

En el punto 2 del mismo Anexo, continúa definiendo las “Dimensiones de la seguridad” y a fin de poder determinar este impacto, se tendrán en cuenta las siguientes dimensiones: Autenticidad, Confidencialidad, Integridad, Disponibilidad, Accounting/Trazabilidad.

El punto 3, “Determinación del nivel requerido en una dimensión de seguridad” establece que si las consecuencias de un incidente de seguridad, afectan a alguna de las dimensiones de seguridad y suponen un determinado perjuicio sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados se clasificarán como:

Por último, el punto 4. “Determinación de la categoría de un sistema de información”, hace referencia a que el máximo nivel de un sistema de información determinará su categoría.

Nos hemos detenido especialmente en estos conceptos, ya que, para determinar el tipo de certificación que necesitamos, dependeremos estrictamente de la “Categoría” que le hayamos asignado a nuestros sistemas de información.

Guía CCN-STIC 809

Comencemos con la guía que nos atañe en este punto: La guía CCN-STIC 809» Declaración y Certificación de conformidad con el ENS y distintivos de cumplimiento».

Lo primero que vemos en esta guía es una referencia al ENS en su Artículo 41.

 “Publicación de conformidad.” “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”.

En su punto 2.2.

«Procedimiento de determinación de la conformidad» , que se desprende del Anexo I (del ENS) mencionado, se establece que la conformidad con la norma pasa necesariamente por adoptar y manifestar la implantación de las medidas de seguridad requeridas para tal sistema, atendiendo a su categoría (básica, media o alta).

En consecuencia, nos queda aclarar cómo se obtiene esta conformidad, lo cual, es bastante claro y sencillo y también se desprende del ENS, esta vez, en su Anexo III:

En el punto del párrafo anterior. “Publicidad de la conformidad”, también nos aclara que cuando se trate de sistemas de información de categoría media o alta, el CCN y la Entidad Nacional de Acreditación (ENAC), atendiendo a un procedimiento regulado, participarán en la acreditación de las Entidades de Certificación del ENS.

Certificación de Conformidad

La Certificación de Conformidad con el ENS a la que se refiere el punto anterior, deberá́ ser expedida por una Entidad Certificadora.

El CCN (Centro Criptológico Nacional) mantiene en su sede electrónica una relación actualizada de las Entidades de Certificación, las cuales al día de hoy son:

La Certificación de Conformidad con el ENS podrá representarse mediante un Distintivo de Certificación de Conformidad.

Por lo tanto, cuando la provisión de las soluciones o la prestación de los servicios sujetos al cumplimiento del ENS sean realizados por organizaciones del sector privado, estas, utilizarán los mismos modelos documentales utilizados para las Declaraciones, las Certificaciones o los Distintivos de Conformidad recogidos en la presente guía.

Del mismo modo, los Distintivos de Conformidad cuando se exhiban por parte de dichos operadores privados, deberán enlazar con las correspondientes Declaraciones o Certificaciones de Conformidad, que permanecerán siempre accesibles en la página web del operador.

El Centro Criptológico Nacional mantiene en su página web una relación de las entidades públicas o privadas que han obtenido Certificaciones de Conformidad. Ver listado actualizado aquí.

2.¿Cómo debe adecuarse mi empresa ?

El CCN se describe con máximo detalle la adecuación ordenada al ENS, la cual requiere el tratamiento de diversas cuestiones:

• Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (CCN-STIC 805 Política de seguridad de la información)

• Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.(CCN-STIC 803 Valoración de sistemas en el Esquema Nacional deSeguridad)

• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Magerit versión 3 y programas de apoyo –Pilar- )

• Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. (CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad)

• Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (CCN-STIC 806 Plan deadecuación del Esquema Nacional de Seguridad)

• Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (serie CCN-STIC)

• Auditar la seguridad (CCN-STIC 802 Auditoría del Esquema Nacional deSeguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el EsquemaNacional de Seguridad)

• Informar sobre el estado de la seguridad (CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad). Para ejecutar esta adecuación nos presenta el siguiente esquema.

3.¿Cómo obtengo la certificación?

Lo más importante como punto de partida y metodología concreta a seguir para obtener esta certificación es, nuevamente, recurrir al CCN y considerar los “Instrumentos para la adecuación” que ponen a nuestra disposición en el siguiente enlace.

Desde los siguientes enlaces podremos descargar todas las guías que necesitamos para completar este punto:

• CCN-STIC 802 Guía de Auditoría 
• CCN-STIC 804 Guía de Implantación 
• CCN-STIC 808 Verificación cumplimiento medidas del ENS.
• CCN-STIC 815 Métricas e Indicadores.
• CCN-STIC 809 Declaración y Certificación Conformidad ENS. DistintivosCumplimiento.
• CCN-STIC 824 Informe Estado Seguridad.
• CCN-STIC 844 INES.
• CCN-STIC 47X Manual de uso PILAR .

4.¿Me sirve o no el ISO-27001?

Nada mejor que utilizar la guía CCN-STIC 825 “Esquema Nacional de Seguridad – Certificaciones 27001” para contestar a este punto:

Punto 2. “Objeto” de esta guía, nos indica claramente: b “Nótese que la correspondencia no es una relación matemática de equivalencia. Lo que se busca en esta guía es, en primer lugar, explicar la utilización de una certificación 27001 como soporte de cumplimiento del ENS y, en segundo lugar, determinar qué controles de la norma 27002 son necesarios para el cumplimiento de cada medida del Anexo II y, en su caso, qué elementos adicionales son requeridos”.

El punto 5. “Cumplimiento del ENS a través de una Certificación 27001” es de sumo interés para nosotros pues nos da una premisa fundamental: 

El primer requisito para poder utilizar una certificación 27001 como soporte de cumplimiento del ENS es que el alcance de la certificación 27001 cubra lo exigido por la Ley 40/2015, tanto desde el punto de vista de los activos esenciales (Anexo I) como del equipamiento empleado. 

Por lo tanto es fundamental considerar el “Alcance” que definiremos para nuestro SGSI (Sistema de Gestión de la Seguridad de la Información), para que, desde el inicio, podamos tener una analogía entre ambos.

En el Anexo II del ENS se definen cada uno de los requisitos, en función de la categoría del sistema de información.

Un ejemplo claro de ello es la imagen que aparece a continuación:

En el punto 5.1. de esta misma guía 825, “Cuadro resumen”, se presenta una tabla que resume las diferencias presentes entre una certificación 27001 y el cumplimiento del ENS y cuya utilización, resulta ser una excelente aportación para tener claro este punto tal y como podemos observar en la imagen inferior, en la que apreciamos justamente algunos de los requisitos del ENS respecto al grado de cobertura o esfuerzo (1, 2, 3…) para asociarlo con los controles de ISO-27001.

Como resumen final de este apartado, podemos afirmar que una certificación ISO 27001 cubre bastante más necesidades que el ENS.

Si tenemos la opción de adecuar nuestra organización a ambos certificados en paralelo es el camino ideal. 

Si por el contrario, ya dispones del ISO-27001, tendrás gran parte del camino recorrido y sólo quedará analizar en detalle el ámbito y “ajustar” los indicadores que se nos indican en esta tabla.

5.¿Puedo obtener ambas certificaciones?

Por supuesto que sí.

Si está a nuestro alcance lanzar ambos en paralelo, nos ahorraremos mucho trabajo, y en definitiva nuestro SGSI será bastante más sólido.

Un importante consejo es preparar ambos de forma “sincrónica” para poder solicitar las dos certificaciones al unísono, y de ser posible, con la misma entidad de certificación.

Si lo logramos, todo será más sencillo, tanto para nuestra empresa como para los auditores externos.

6.¿Qué pasos debo seguir?

Los pasos que propone el CCN-CERT son los siguientes:

Marcados en verde podemos ver los pasos que iremos desarrollando en este punto, así como el orden que creemos más práctico para abordarlos:

• Paso 1: Definir roles y asignar personas. (Tomaremos como referencia la guía CCN_STIC 801 ).
• Paso 2: Preparar y aprobar la política de seguridad.(tomaremos como referencia la guía CCN_STIC 805).
• Paso 3: Valorar/Categorizar el sistema. (Guía CCN_STIC 803).
• Paso 4: Realizar el análisis de riesgo.  Podemos utilizar UNE 71504, CRAMM, EBIOS, OCTAVE,  Magerit (Metodología de Anális y Gestión de Riesgos de los Sistemas de Información).  Utilizar una herramienta reconocida de análisis de riesgos (p. ej.: PILAR, CRAMM, EBIOS, etc.).
• Paso 5: Preparar y aprobar la Declaración de Aplicabilidad. (emplearemos la guía  de implantación CCN_STIC804).
• Paso 6: Implantar, operar y monitorizar el sistema (utilizaremos la guía Criptología de empleo en el Esquema Nacional de Seguridad CCN_STIC 807).

Fuente: ElevenPaths, unidad de Ciberseguridad de Telefónica.

En los siguientes post, veremos paso a paso, como implantar el Esquema Nacional de Seguridad, según la siguiente guía:

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/2404-ccn-stic-808-anexo-iii-verificacion-del-cumplimiento-del-ens.html.

La entrada ¿DEBO IMPLANTAR EN MI EMPRESA EL ENS? (II) se publicó primero en Gestiona Abogados.

Activo.

Componente o funcionalidad de un sistema de información  susceptible  de  ser  atacado  deliberada  o  accidentalmente  con  consecuencias  para  la  organización.  Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),  comunicaciones,  recursos  administrativos,  recursos físicos y recursos humanos.

Análisis de riesgos.

Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.

Auditoría  de  la  seguridad.

Revisión  y  examen  independientes  de  los  registros  y  actividades  del  sistema  para  verificar  la  idoneidad  de  los  controles  del  sistema,  asegurar  que  se  cumplen la política de seguridad y los procedimientos operativos  establecidos,  detectar  las  infracciones  de  la  seguridad  y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos.

Autenticidad.

Propiedad  o  característica  consistente  en  que  una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Categoría  de  un  sistema.

Es  un  nivel,  dentro  de  la  escala  Básica-Media-Alta,  con  el  que  se  adjetiva  un  sistema  a  fin  de seleccionar las medidas de seguridad necesarias para el mismo.

La categoría del sistema recoge la visión holística del conjunto  de  activos  como  un  todo  armónico,  orientado  a  la  prestación de unos servicios.

Confidencialidad.

Propiedad  o  característica  consistente  en  que  la  información  ni  se  pone  a  disposición,  ni  se  revela  a  individuos, entidades o procesos no autorizados.

Disponibilidad.

Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

Firma  electrónica.

Conjunto  de  datos  en  forma  electrónica,  consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Gestión de incidentes.

Plan de acción para atender a las incidencias que se den.

Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.

Gestión  de  riesgos.

 Actividades  coordinadas  para  dirigir  y  controlar una organización con respecto a los riesgos.

Incidente de seguridad.

Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.

Integridad.

Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.

Medidas de seguridad.

Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información,  con  el  fin  de  asegurar  sus  objetivos  de  seguridad.

Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.

Política de firma electrónica.

 Conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se  generan,  verifican  y  gestionan  firmas  electrónicas,  incluyendo las características exigibles a los certificados de firma.

Política de seguridad.

Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que se consideran críticos.

Principios  básicos  de  seguridad.

Fundamentos  que  deben  regir  toda  acción  orientada  a  asegurar  la  información  y  los  servicios.

Proceso.

Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.

Proceso de seguridad.

Método que se sigue para alcanzar los objetivos de seguridad de la organización.

El proceso se diseña para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.

Requisitos  mínimos  de  seguridad.

Exigencias  necesarias  para asegurar la información y los servicios.

Riesgo.

Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Seguridad de las redes y de la información

Es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas  o  malintencionadas  que  comprometan  la  disponibilidad,  autenticidad,  integridad  y  confidencialidad  de  los  datos  almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Servicios  acreditados.

Servicios  prestados  por  un  sistema  con  autorización  concedida  por  la  autoridad  responsable,  para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación.

Sistema de gestión de la seguridad de la información (SGSI).

Sistema de gestión que, basado en el estudio de los riesgos, se  establece  para  crear,  implementar,  hacer  funcionar,  supervisar,  revisar,  mantener  y  mejorar  la  seguridad  de  la  información. 

El  sistema  de  gestión  incluye  la  estructura  organizativa,  las  políticas,  las  actividades  de  planificación,  las  responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Sistema  de  información.

Conjunto  organizado  de  recursos  para  que  la  información  se  pueda  recoger,  almacenar,  procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Trazabilidad.

Propiedad  o  característica  consistente  en  que  las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

Vulnerabilidad.

Una  debilidad  que  puede  ser  aprovechada  por una amenaza

NORMATIVA APLICABLE

La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones:

• Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información)
• Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.( Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad )
• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo –Pilar -)
• Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. ( Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad )
• Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. ( Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad )
• Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. ( Véase serie CCN-STIC )
• Auditar la seguridad ( Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad ).
• Informar sobre el estado de la seguridad (Véase CCN-STIC Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC Informe del Estado de Seguridad )
• Informar sobre el estado de la seguridad (Véase CCN-STIC Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC Informe del Estado de Seguridad )

Guías CCN-STIC .

• Magerit – v.3 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información .
• CCN-CERT, Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN).
• Infraestructuras y servicios comunes .
• Productos certificados
• Adecuación al ENS y Seguimiento del Progreso

Estado

• Real Decreto 3/2010
  DECRETO 3/2010, de 14 de enero, por el que se encomienda a las Oficinas de Distrito Hipotecario a cargo de Registradores de la Propiedad Funciones de Gestión de los Impuestos sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados y sobre Sucesiones y Donaciones.

  Abrir en vLexAbrir en boe.es
  Vista previa del enlace añadida por la extensión vLex  , de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
• Corrección de errores del Real Decreto 3/2010
  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

  Abrir en vLexAbrir en boe.es
  Vista previa del enlace añadida por la extensión vLex  , de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE de 11 de marzo).
• Texto refundido  Real Decreto 3/2010
  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

  Abrir en vLexAbrir en go.vlex.com
  Vista previa del enlace añadida por la extensión vLex  , de 8 de enero. (Incluye corrección de errores publicada el día 11 de marzo).

El ENS

• Se ha elaborado a la luz del estado del arte y de los principales referentes en materia de seguridad de la información provenientes de la Unión Europea, OCDE, normalización nacional e internacional, actuaciones similares en otros países, etc.
• Es el resultado de un trabajo coordinado por el Ministerio de la Presidencia, asumido posteriormente por el Ministerio de Hacienda y Administraciones Públicas, con el apoyo del Centro Criptológico Nacional (CCN) y la participación de todas las AA.PP., a través de los órganos colegiados con competencias en materia de administración electrónica.
• También se ha tenido presente la opinión de las asociaciones de la Industria del sector TIC. Real Decreto 951/2015, de 23 de octubreVista previa del enlace añadida por la extensión vLex, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

La entrada DEFINICIONES Y NORMATIVA ENS (I). se publicó primero en Gestiona Abogados.

El ENS o Esquema Nacional de Seguridad es la forma de aplicar la responsabilidad proactiva en el Sector Público.

La Seguridad de la Información es una realidad, y algo que todas las organizaciones  deben tener integrado en todos los niveles de su estructura, y principalmente en su dirección, si  no  quieren  quedarse  atrás  en  las  medidas  de  actuación,  dentro del hipersector TIC.

Para  la  administración  pública  española, este  proceso de  obligado  cumplimiento,  implica  la  aceptación  del  Esquema  Nacional de Seguridad (ENS)

El  ENS  ayudará  a  que  los  ciudadanos  puedan  desarrollar,  a  través  de  medios  digitales,  gestiones  relacionadas  con  la  eAdministración  con  mayor  seguridad  y  confianza  en  todos  los  procesos  relacionados  con  sistemas,  datos  y  comunicaciones electrónicas.

Los  Esquemas  Nacionales  de  Seguridad  e  Interoperabilidad  son  la  respuesta  a  la  pregunta  que  cualquier  ciudadano  se  hará  al  enfrentarse  al  uso  de  la  administración  electrónica: 

¿la tramitación que voy a realizar desde mi casa y mi ordenador va a ser igual que si lo hiciera en una ventanilla convencional, va a valer lo mismo?.

Ni el RGPD ni la LOPDgdd facilitan un listado de medidas de seguridad a implantar en cada organización, sino que delega esta directriz al Responsable del Tratamiento, el cual,

“en conocimiento de su organización y basándose en la gestión del riesgo, determinará las medidas de seguridad más adecuadas que deberá adoptar su organización”.

En el caso del sector público, este análisis se simplifica relativamente, ya que tiene un listado previamente autorizado de las medidas de seguridad que tiene que aplicar para proteger los datos de carácter personal.

Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad (ENS) y se dividen en tres marcos: 

• organizativo
• operacional
• medidas de protección.

Las medidas de seguridad indicadas son acumulativas, de manera que según el sistemas de información catalogado, será de aplicación un listado de medidas:

• de nivel bajo, serán de aplicación 40 medidas
• de nivel medio, le aplicarán 60
• de nivel alto, le serán de aplicación la totalidad de las medidas, es decir, las 75.

¿QUE ES EL ESQUEMA NACIONAL DE SEGURIDAD?

Los ciudadanos confían en que los servicios disponibles por medios electrónicos, se presten en unas condiciones de seguridad equivalentes a las que se encuentran, cuando se acercan personalmente a las oficinas de la Administración.

Además, buena parte de la información contenida en los sistemas de información de las Administraciones Públicas, y los servicios que prestan, constituyen activos nacionales estratégicos.

La información y los servicios prestados están sometidos a:

• amenazas y riesgos provenientes de acciones malintencionadas o ilícitas
• errores o fallos
• accidentes o desastres.

El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información.

Por tanto el ENS o Esquema Nacional de Seguridad será aplicado por las Administraciones Públicas para asegurar:

• el acceso
• integridad
• disponibilidad
• autenticidad
• confidencialidad
• trazabilidad
• y conservación de los datos, informaciones y servicios, utilizados en medios electrónicos, que gestionen en el ejercicio de sus competencias.

¿A QUIÉN SE APLICA EL ENS?

El ámbito de aplicación del Esquema Nacional de Seguridad es:

• el de las Administraciones Públicas
• los ciudadanos en sus relaciones con las Administraciones Públicas
• las relaciones entre las Administraciones Públicas

Por tanto, el  Esquema  Nacional  de  Seguridad  (ENS),  es  de  obligado  cumplimiento para el conjunto de la administración española, entendiendo por tal:

• la Administración General del Estado
• las  Administraciones  de  las  Comunidades  Autónomas
• las  Entidades que integran la Administración Local
• las entidades  de  derecho  público  vinculadas  o  dependientes  de  las anteriores.

Esto  incluye,  además  de  ministerios,  consejerías  autonómicas y corporaciones municipales, otras entidades tales como:

• Las Universidades, organismos autónomos de la administración.
• Autoridades Portuarias y aeroportuarias.
• Entidades  públicas  tipo  Institutos  de  Desarrollo  Económico, Servicios de Salud, etc.

¿A QUIEN NO SE APLICA?

El ENS no  es  obligatorio para aquellas  administraciones  que  realicen  sus actividades en régimen de derecho privado.

La  Administración  de  Justicia tampoco está obligada.

Sin  embargo,   cuentan  con  un  programa  de  actuación,  denominado  Esquema  Judicial de Interoperabilidad y Seguridad (EJIS), suscrito por las Instituciones con responsabilidades en la Administración de Justicia (Ministerio de Justicia, el Consejo General del Poder Judicial,  la  Fiscalía  General  del  Estado  y  las  Comunidades  Autónomas  con  competencias  transferidas). 

El  EJIS  es  un  marco  de  colaboración  para  colegiar  esfuerzos  y  cuyos  objetivos  fundamentales  son  la  prestación  de  los  servicios  de  Administración de Justicia bajo el paradigma de la interoperabilidad, accesibilidad, reusabilidad y seguridad.

También estarán excluidos del ámbito de aplicación del ENS, los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abrilE, de Secretos Oficiales y sus normas de desarrollo de la Agencia Española de Protección de Datos y del Consejo de Estado.

¿A QUE SE APLICA EL ENS?

Esta  norma  aplica  a  los:

• sistemas
• datos
• comunicaciones
• servicios electrónicos

¿CUÁLES SON LOS OBJETIVOS?

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:

• Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 39/2015, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
• Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
• Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
• Facilitar un tratamiento continuado de la seguridad.

¿CUÁLES SON LOS PRINCIPIOS BÁSICOS?

El objeto último de la seguridad de la información es asegurar  que  una  organización  podrá  cumplir  sus  objetivos  utilizando sistemas de información.

Tal y como estipula el ENS, en  las  decisiones  en  materia  de  seguridad  deberán  tenerse  en cuenta los siguientes principios básicos:

• Seguridad integral.
• Gestión de riesgos.
• Prevención, reacción y recuperación.
• Líneas de defensa.
• Reevaluación periódica.
• Función diferenciada.

¿CUÁL ES LA FINALIDAD?

Los elementos principales del ENS son los siguientes:

• Los principios básicos a considerar en las decisiones en materia de seguridad.
• Los requisitos mínimos que permitan una protección adecuada de la información.
• El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
• Las comunicaciones electrónicas.
• La auditoría de la seguridad.
• La respuesta ante incidentes de seguridad.
• La certificación de la seguridad.
• La conformidad.

El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las Administraciones Públicas (AA.PP.) deberán disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Igualmente, cualquier empresa que tenga proyectos en vigor, o más aún, desee participar en ofertas y licitaciones con algún Organismo Oficial, deberá cumplir con el ENS o Esquema Nacional de Seguridad.

Todo ello lo veremos durante los próximos días.

La entrada ENS O ESQUEMA NACIONAL DE SEGURIDAD se publicó primero en Gestiona Abogados.