Seleccionar página

ENS IV-REQUISITOS MÍNIMOS DE SEGURIDAD

por | Abr 2, 2019 | blog, ENS | 0 Comentarios

Medidas de Seguridad ENS

Hoy veremos el segundo paso para implantar el ENS o Esquema Nacional de Seguridad en nuestra empresa:

REQUISITOS MÍNIMOS DE SEGURIDAD

Todos los organismos que estén sujetos al cumplimiento del ENS deben contar con una política de seguridad formal, aprobada por el titular del órgano superior correspondiente.

Esta política de seguridad, se establecerá en base a los principios básicos indicados en el post anterior, y se desarrollará aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención  ante  otros  sistemas  de  información  interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

1 Organización e implantación del proceso de seguridad.

El  proceso  de  seguridad,  aunque  tenga  personas  responsables de ciertos aspectos formales o de gestión, es competencia de todo el personal de una entidad.

No es posible hacer un esfuerzo integral, como demanda el ENS, sin involucrar a todo el mundo, ya que cada uno es responsable de la seguridad en las tareas que realiza.

La política de seguridad recogerá los responsables de definir y  hacer  cumplir  la  política,  así  como  las  líneas  a  seguir  en  la entidad, por lo debe ser difundida a toda la organización y conocida por todos.

2 Análisis y gestión de los riesgos.

Cada organización debe realizar su propio análisis y gestión de riesgos para sus sistemas de información.

El ENS no prescribe ninguna metodología de análisis de riesgos,  estableciendo  únicamente  que  debe  utilizarse  una  que  esté internacionalmente reconocida.

A efectos prácticos esto significa  que  cualquier  metodología  que  reconozca  el  European  Network  and  Information  Security  Agency  (ENISA)  http://www.enisa.europa.eu/act/rm/cr/risk-manage- en  su Inventario de Metodologías sería válida en este contexto.

Dado que Magerit se encuentra en este Inventario así como la herramienta asociada Pilar en el Inventario de Herramientas, y la alta difusión de esa metodología en el ámbito de las Administraciones Públicas, es la candidata más apropiada para ser utilizada en la implantación del ENS.

En la gestión de riesgos es importante escoger y aplicar medidas  de  seguridad  proporcionales  al  riesgo  detectado. 

Es  decir, el coste y esfuerzo de las medidas puede ser tan alto como el riesgo que se pretende mitigar, pero no debería ser mayor.

3 Gestión de personal.

Como  se  ha  comentado  anteriormente,  un  factor  crítico  de  éxito para los esfuerzos en seguridad es la participación del personal.

Todos  deben  ser  concienciados,  formados,  e  informados  de  sus deberes y obligaciones en materia de seguridad.

Esto permitirá tomar acciones encaminadas a corregir comportamientos poco adecuados, e incluso exigir responsabilidades  a  aquellas  personas  que  no  cumplan  con  lo  establecido.

Para esto es necesario también, que los usuarios estén identificados de manera única en el sistema, para poder seguir sus acciones.

Tras la formación, deben realizarse acciones que verifiquen si se  siguen  las  normas  de  seguridad  establecidas  de  manera  sistemática.

4 Profesionalidad.

El personal que esté dedicado a las tareas de seguridad debe estar  cualificado  de  manera  apropiada,  dada  la  sensibilidad  y  complejidad  de  algunas  de  esas  tareas. 

Esto  es  aplicable  a todas las fases del ciclo de vida del proceso de seguridad: instalación,  mantenimiento,  gestión  de  incidencias  y  desmantelamiento.

Para ello, todo el personal recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios sujetos al ENS.

Lógicamente,   los  mismos  requisitos  que  se  exigen  internamente,   deben  ser  exigidos  a  cualquier  proveedor  que  preste  algún  servicio  relacionado  con  seguridad. 

Los  proveedores  deberán contar con un nivel de seguridad similar al requerido por la entidad.

5 Autorización y control de los accesos.

El  primer  paso, para  asegurar  que  la  información  y  los  sistemas  están  protegidos,  es  limitar  el  acceso  a  los  mismos. 

Debe definirse quienes y en qué medida tendrán acceso a los recursos, de manera que cada uno tenga el acceso necesario para  realizar  sus  tareas,  pero  no  a  equipos  o  datos  que  no  deben estar a su alcance.

Además, debe contar con mecanismos de autorización para permitir el acceso, y denegarlo y revocarlo cuando sea necesario.

6 Protección de las instalaciones

Las instalaciones deben protegerse contra daños que puedan afectar a los sistemas que albergan, y contra accesos de personas no autorizadas.

En  caso  de  instalaciones  en  las  que  se  ubiquen  sistemas,  el  control  de  acceso  deberá  ser, como  mínimo,  mediante  salas  cerradas y con control de llaves.

7 Adquisición de productos

Los  productos  de  seguridad  que  se  adquieran,  deberán  ser  idealmente certificados en seguridad, según alguna norma o estándar reconocido internacionalmente.

En este contexto, lo habitual será la certificación en Common Criteria.

En cualquier caso, la compra de cualquier producto o servicio relacionado  con  la  administración  electrónica,  debe  hacerse  tras un completo análisis de los requisitos, no solo funcionales, sino también de seguridad, que debe cumplir.

8 Seguridad por defecto.

Los  sistemas  deben  diseñarse  y  configurarse  de  forma  que  garanticen  la  seguridad  por  defecto. 

Para  conseguirlo,  las  pautas a seguir son:

  • No proporcionar más funcionalidad que la requerida por las necesidades y objetivos de la entidad.
  • En línea con lo anterior, deben eliminarse las funciones que no sean necesarias para el correcto funcionamiento del sistema, o para la consecución de los objetivos.
  • Los  privilegios  de  operadores,  administradores  y  usuarios deberán ser los mínimos necesarios para que cumpla con sus obligaciones.
  • Los  accesos  deben  estar  restringidos  al  personal  autorizado, los horarios establecidos. y los puntos de accesos aprobados.
  • El sistema ha de ser sencillo y seguro de utilizar, de forma  que  para  que  ocurra  un  incidente  de  seguridad,  sea  necesario que el usuario lo haga de manera consciente.

9 Integridad y actualización del sistema.

Para garantizar la integridad del sistema en todo momento, cualquier cambio, tanto físico como lógico, debe ser realizado solamente tras su aprobación formal y mediante un procedimiento formal.

Se deben llevar a cabo las actualizaciones de los sistemas de una manera controlada y en función del estado de seguridad requerido en cada momento.

Los cambios en las especificaciones de los fabricantes, la aparición de nuevas vulnerabilidades, la emisión de actualizaciones y parches que afecten a los  sistemas  deben  ser  analizados  para  tomar  las  medidas necesarias para que no se degraden los sistemas ni su nivel de seguridad, gestionando asimismo los riesgos que introducen los cambios que se realizarán.

10 Protección de la información almacenada y en tránsito.

Una parte significativa del ciclo de vida de la información corresponde a su almacenamiento y a su transporte.

La  información  debe  estar  protegida  en  todo  momento.

Es  crítico  tener  en  cuenta  los  riesgos  que  conllevan  esas fases, especialmente con el uso de medios como ordenadores portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones sobre redes  abiertas  o  con  cifrado  débil.

Estos  dispositivos  y  medios  presentan  más  riesgo  de  pérdidas  o  robos  que  los  tradicionales, por lo que se debe tener más cuidado en su uso y manipulación.

Otro aspecto importante es que la información esté correctamente almacenada y conservada, de manera que pueda ser recuperada cuando sea necesario.

Para ello es necesario desarrollar  procedimientos  adecuados,  que  cubran  tanto  a  la  información  en  soporte  electrónico  como  en  papel,  si  es  el  origen o la consecuencia directa de la información electrónica a la que se refiere el ENS.

11 Prevención ante otros sistemas de información interconectados.

Actualmente,  es  más  habitual  encontrarse  con  sistemas  conectados con otros sistemas mediante redes privadas o públicas,  que  sistemas  independientes. 

Conectarse  con  otros  sistemas, en particular a redes públicas de comunicaciones (por ejemplo Internet), conlleva unos riesgos que deben ser evaluados y mitigados antes de llevar adelante la conexión.

12 Registro de actividad.

Registrar  las  actividades  de  los  usuarios,  recogiendo  la  información  necesaria  para  monitorizar,  analizar,  investigar  y  documentar actividades indebidas o no autorizadas, permite identificar a la persona que las ha realizado y tomar medidas al respecto, según la gravedad de los hechos.

Esto debe realizarse únicamente en la medida en que sea necesario para cumplir con los requisitos del ENS, y sin incurrir en incumplimientos de la Ley de Protección de Datos de Carácter Personal, o en otras leyes y regulaciones relacionadas.

13 Incidentes de seguridad.

El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.).

Gestionar  los  incidentes  de  seguridad  tiene  como  objetivo  asegurarse  de  que  los  eventos  y  los  puntos  débiles  de  la  seguridad  de  la  información,  asociados  con  los  sistemas  de  información, se comunican de forma que sea posible emprender acciones correctivas, se registran, se escalan y se resuelven de la manera más eficaz posible.

Documentando los incidentes y las acciones tomadas para su resolución  es  posible  evaluarlos  para  identificar  incidentes  recurrentes  o  de  relevancia. 

Con  esta  información  se  puede  estudiar  mejorar  o  añadir  controles,  en  definitiva,  se  puede  mejorar el sistema.

14 Continuidad de la actividad.

Reaccionar a la interrupción de las actividades, y proteger los sistemas de información, de los efectos de desastres o de fallos importantes, así como garantizar su oportuna reanudación, es el objetivo de implantar medidas como las copias de seguridad y mecanismos para asegurar la continuidad como los planes de continuidad.

Estos  planes  aseguran  que  la  disponibilidad  de  la  información  y  los  servicios  se  mantienen  en  un  nivel  y  en  un  plazo  temporal establecidos incluso después de una interrupción o un fallo de los procesos críticos de negocio.

15 Mejora continua del proceso de seguridad.

La mejora continua es uno de los requisitos del ENS, que requiere  que  el  proceso  integral  de  seguridad  implantado  se  actualice y mejore de manera continua, dejando a criterio de los implantadores los métodos para realizarlo, ya que no especifica un método determinado para realizarlo, simplemente que sea un método reconocido internacionalmente.

16 Cumplimiento de requisitos mínimos.

Para  dar  cumplimiento  a  los  requisitos mínimos, se aplicarán las medidas de seguridad, teniendo en cuenta los siguientes criterios:

  • Los activos que constituyen el sistema y su valoración.
  • La categoría del sistema.
  • Las decisiones que se adopten para gestionar los riesgos identificados.
  • Los  requisitos  que  se apliquen  en  cuestión  de  materia  de  protección de datos de carácter personal.

Se pueden ampliar estos mínimos, a criterio del responsable de seguridad, teniendo en cuenta:

  • El estado de la tecnología.
  • La naturaleza de los servicios prestados y la información manejada.
  • El resultado del análisis de riesgos.

17 Infraestructuras y servicios comunes.

Para facilitar el cumplimiento de lo requerido por el ENS, se utilizarán  las  infraestructuras  y  servicios  comunes, en  la  medida  de  lo  posible y de acuerdo con las necesidades de cada entidad.

Estos servicios comunes, desarrollados para cualquier administración, se agrupan en las siguientes materias:

  • Interconexión entre Administraciones (por ejemplo la red SARA)
  • Firma Electrónica (por ejemplo @firma, la plataforma de validación  de  certificados  y  firmas  del  Ministerio  de  la  Presidencia).
  • Tramitación electrónica.
  • Normativa, Regulación y Recomendaciones.
  • Servicios integrales.
  • Información y difusión.
  • Herramientas de apoyo.
  • Gestión de Recursos Humanos en la Administración General del Estado.

18 Guías de seguridad.

El Centro Criptológico Nacional, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y las comunicaciones para facilitar la implantación del ENS.

El  listado  completo  de  estas  guías puedes verlo pinchando en el siguiente enlace:

https://www.ccn-cert.cni.es/guias/indice-de-guias.html

19 Sistemas de información no afectados.

Como el alcance del ENS es la administración electrónica, se dará el caso de que habrá sistemas de información a los que no les sea de aplicación el ENS, por ser sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos, ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento  administrativo,  de  acuerdo  con  lo  previsto  en  la  Ley  11/2007, de 22 de junio.

Cada entidad deberá determinar cuáles son estos sistemas.

Tras exponer los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, así como los requisitos mínimos de seguridad, el próximo día estudiaremos como deben ser las comunicaciones electrónicas de nuestra empresa u organización.

logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *