¿Qué es el Esquema Nacional de Seguridad?
En 2007 la Ley 11/07 estableció la necesidad de desarrollar un Esquema Nacional de Seguridad con el objeto de establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del acceso electrónico de los ciudadanos a los Servicios Públicos.
El Esquema Nacional de Seguridad (ENS) fue aprobado mediante Real Decreto 3/2010, de 8 de enero, estableciendo los principios básicos y requisitos mínimos que han permitido una protección adecuada de la información y los servicios, incluyendo el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas. Debe ser aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios.
¿Por qué se ha actualizado?
Es evidente que desde la publicación original del Esquema Nacional de Seguridad en 2010 ha habido importantes cambios en España y en la Unión Europea especialmente vinculados con la transformación digital de la sociedad y el incremento constante de los ciberataques. Las nuevas amenazas del ciberespacio se han unido a una mayor dependencia de las tecnologías de la información y a la necesidad de mantener la conformidad y alineamiento con otras normativas europeas y nacionales.
La aplicación del ENS ha sido desigual en la administración pública, pero en los últimos años ha tomado especial importancia al ir conociéndose serios problemas relacionados con la seguridad que han afectado a importantes servicios públicos.
El ENS ha ido mejorando continuamente, entre otros, a través del cuerpo de guías de seguridad CCN-STIC y de los servicios y herramientas proporcionados por la capacidad de respuesta a incidentes de seguridad de la información, el CCN-CERT, del Centro Criptológico Nacional (CCN). Este proceso de mejora y la necesidad de adecuación a los cambios, llevó a la administración a publicar el pasado 4 de mayo una actualización (Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad)
¿Aplica al sector privado?
El Esquema Nacional de Seguridad también se aplica a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio por éstas de sus competencias y potestades administrativas. Esta circunstancia ya hacía que cada vez sea más común en los pliegos de licitaciones públicas la obligación de disponer de certificaciones del ENS, en los productos y servicios que se solicitaran. Ahora se ha convertido en una obligación legal totalmente clara: «Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.«.
Todas las entidades que presten servicios a la administración pública deberían plantearse la alineación de sus sistemas con el ENS y en determinadas circunstancias la certificación.
Novedades del ENS
Para las organizaciones que llevamos años lidiando con el ENS, no nos ha sorprendido la publicación de esta actualización, y no se desvía demasiado del anterior ENS pero aún así se pueden resumir en:
- Nueva figura del perfil de cumplimiento: con la idea de adaptar el ENS a las circunstancias de cada organización y racionalizar los recursos requeridos, pudiendo suprimir medidas o incluir la aplicabilidad de otras, aumentar o disminuir la exigencia del nivel de su implantación o proponer medidas compensatorias o complementarias de vigilancia.
- Protocolo de actuación ante ciberincidentes: de modo que se articule la respuesta a los mismos y las condiciones de su comunicación al CCN-CERT, en concreto ante incidentes que tengan un impacto significativo. Por su parte el CCN-CERT participará determinando riesgos e indicando procedimientos a seguir.
- Nuevo sistema de codificación de los requisitos de seguridad: Requisitos base, posibles refuerzos (R+) entre los que se podrá elegir su aplicación de uno u otro.
Recursos de Interés
INFOGRAFÍAS DEL ENS
Además de las infografías presentadas en los puntos anteriores el CCN ha publicado
EVENS
El Entorno de Validación del ENS (EVENS) es una representación gráfica a modo de red neuronal donde navegando por los distintos nodos se puede encontrar multitud de recursos de interés en relación al Esquema Nacional de Seguridad, desde formaciones, guías, herramientas para la adecuación, etc.
Guías ENS
El ENS ha ido desarrollando guías de ayuda a la implantación del ENS y de las medidas de seguridad. Las más relevantes serían las guías de la serie 800 donde se disponen de más de 100 guías de configuración de sistemas, de perfiles de cumplimiento, uso de servicios en la nube, etc…
¿Quieres adecuarte al ENS?
Si estás interesado en adecuarte al ENS has de saber que no es un proceso trivial, por más que disponemos de muchos recursos. Si dispones de un SGSI adecuado a normas como ISO27001, tendrás bastante avanzado. El cualquier caso, los primeros pasos en este proceso serían;
1. Determinación del Alcance , mediante la identificación de los servicios prestados y los sistemas que les dan soporte.
2. Categorización del Sistema, atendiendo a la valoración de las dimensiones de seguridad de los servicios prestados y de la información que manejan (valorando en el proceso si incluyen datos de carácter personal)
3. Obtención de la Declaración de Aplicabilidad Provisional
4. Realización del Análisis de Riesgos, incluyendo la valoración de las medidas de seguridad definidas en el punto 3
5. Validación de la Declaración de Aplicabilidad definitiva o Perfil de Cumplimiento Específico, mediante la aceptación del Riesgo residual
6. Preparar y aprobar la Política de Seguridad, incluyendo la definición de roles, asignación de responsabilidades y creación del Comité de Seguridad.
