Desde Aixa Corpore traemos la segunda parte de los aspectos básicos del Esquema Nacional de Seguridad. La evolución de las amenazas, las nuevas vías de ataque, el desarrollo de mecanismos de respuesta y la necesidad de mantener la conformidad y el alineamiento con las regulaciones europeas y nacionales exigen adaptar las medidas de seguridad a esta nueva realidad. Por ello, surge el Esquema Nacional de Seguridad (ENS) configurándose cómo un marco normativo de obligado cumplimiento para todo el sector público, que incluye aspectos técnicos y organizativos que tiene por objeto asegurar la disponibilidad, integridad, autenticidad, confidencialidad y trazabilidad de la información.
En la primera parte de los aspectos básicos del Esquema Nacional de Seguridad presentamos una visión general del ENS y su relevancia en el contexto de la ciberseguridad, abordando los roles y principios de este. En esta segunda parte, continuaremos con algunas de las cuestiones más relevantes de la aplicación del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
¿Qué debe hacer si su organización se encuentra comprendida en el marco de aplicación del ENS?
Si su organización se encuentra comprendida en el ámbito de aplicación del ENS, deberá cumplir con aquellas disposiciones recogidas en la norma reguladora de éste (RD 311/2022), empezando por los aspectos básicos del Esquema Nacional de Seguridad. Para ello, el paso principal es comenzar con el proceso de implementación siguiendo un riguroso Plan de adecuación que permita a su entidad la efectiva certificación a dicho standard.
¿Qué es el Plan de adecuación?
Dentro de los aspectos básicos del Esquema Nacional de Seguridad el Plan de Adecuación es un conjunto ordenado de pasos tendentes a satisfacer lo exigido por el ENS. Este Plan deberá incluir, como mínimo, las siguientes fases:
Preparar y aprobar la Política de Seguridad de la Información (PSI) y la Normativa Interna de Seguridad, incluyendo una ficha de roles que contenta la asignación de responsabilidades.
Analizar y categorizar los sistemas de información, atendiendo a la valoración de la información manejada, teniendo en cuenta si incluye datos de carácter personal y la valoración de los servicios prestados.
Preparar la declaración de aplicabilidad inicial de las medidas del ANEXO II del RD 311/2022 atendiendo a determinado Perfil de Cumplimiento al que pueda adscribirse el sistema de información.
Desarrollar un Análisis de Riesgos a fin de verificar que las medidas de seguridad derivadas de la Declaración de Aplicabilidad Inicial son adecuadas y suficientes.
Obtener la Declaración de Aplicabilidad definitiva.
Iniciar las acciones tendentes a la implantación del resto de las medidas exigidas para el nivel de seguridad y la categoría de seguridad definidas.
¿Qué es una Política de Seguridad de la Información?
Esta Política, otro de los aspectos básicos del Esquema Nacional de Seguridad, se trata de un documento de alto nivel que muestra el compromiso de una organización con la seguridad de la información y determina el conjunto de directrices que rigen la gestión y la seguridad de la información que trata, así como los servicios que presta.
La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 del ENS, deberá ser conocida por todas las personas que formen parte de la organización. Y definir de forma inequívoca a los roles responsables de velar por su cumplimiento. Una práctica adicional común consiste en que se encuentre accesible desde la página Web, portal o sede electrónica de la organización. Y para determinados organismos públicos, publicarla en el Boletín Oficial del Estado (BOE), Boletín de la Comunidad Autónoma, o Boletín Oficial de la Provincia (BOP), según corresponda.
La Política de Seguridad deberá ser aprobada por la Alta dirección y se plasmará de forma clara y concisa, como mínimo, lo siguientes aspectos:
Los objetivos de la organización.
El marco regulatorio en el cual se desarrollarán las actividades.
Fichas de rol y responsabilidades en materia de seguridad con definición para cada uno de los deberes y responsabilidades del cargo, así como el procedimiento de designación y renovación.
La estructura del comité para la gestión y coordinación de la seguridad.
Las directrices de estructuración de la documentación de seguridad, su gestión y su acceso.
¿Qué requisitos establece el ENS para ser designado como Responsable de Seguridad?
A través de lo establecido en el RD 311/2022 no se desprende la obligatoriedad de cumplir ningún requisito para ser designado como Responsable de Seguridad en el seno de una organización, más allá de la debida competencia para el desempeño de las funciones encomendadas. Ni si quiera se desprende de los aspectos básicos del Esquema Nacional de Seguridad. Sin embargo, en el marco del Foro Nacional de Ciberseguridad se ha definido el Esquema Nacional de Responsables de Seguridad. Si bien puede consultarse a través de este enlace, no se ha promulgado oficialmente.
¿Por qué es necesario realizar un análisis de riesgos de los sistemas?
El análisis de riesgos comprende un procedimiento que permite estimar la magnitud de los riesgos a que están expuestos los sistemas de información de una organización. En todo caso, el nivel de exigencia en la gestión de riesgos dependerá de la categoría del sistema. Así, para la categoría BAJA bastaría con un análisis informal.
Generalmente, el proceso de análisis de riesgos comienza mediante la fase de identificación en la cual se determinan los activos más relevantes del sistema. Para cada uno de ellos, se exponen las amenazas posibles. En segundo lugar, se obtiene el valor de riesgo para cada binomio de “activo – amenaza” en función de los parámetros de probabilidad e impacto. A continuación, se evaluarán aquellos riesgos inherentes catalogados como inaceptables, que deberán ser tratados.
Existen diversas formar de tratar los riesgos evaluados como inaceptables:
Evitando las circunstancias que lo provocan.
Reduciendo las posibilidades de que ocurran.
Acotando sus consecuencias.
Transfiriéndolo o compartiéndolo con otra entidad.
Aceptando que pueda ocurrir y previendo recursos para actuar en caso de ser necesario.
Para el seguimiento de las acciones de tratamiento o mitigación, se suele establecer un Plan de Acción. Contiene el estado de cada acción, el responsable, la fecha prevista de inicio y final, recursos, etc.
¿Qué metodología hay que seguir para la realización de análisis de riesgos en el ENS?
Los aspectos básicos del Esquema Nacional de Seguridad no imponen ninguna metodología específica para la realización de análisis de riesgos, más allá de la utilización de una metodología reconocida. La metodología de análisis MAGERIT está muy evolucionada y extendida en el sector público. Existen otras metodologías y normas genéricas como puede ser la ISO 37000:2018 sobre directrices para la gestión del riesgo, que no se contradicen, sino que más bien se complementan.
¿Qué es la Declaración de Aplicabilidad?
Continuando con los aspectos básicos del Esquema Nacional de Seguridad, se trata del documento en el que se formaliza la relación de medidas de seguridad recogidas en el Anexo II del Real Decreto 311/2022. Resultan de aplicación al sistema de información de que se trate, conforme a su categoría. Tal y como se señala en el artículo 28.2 del ENS, las medidas de seguridad tasadas en función de la categoría del sistema. Concretadas mediante requisitos base y refuerzos obligatorios, podrán ser complementadas con refuerzos obligatorios para una categoría superior. O con refuerzos opcionales, si así se requiere para tratar riesgos concretos evaluados como inaceptables en la organización. Asimismo, se podrán incluir medidas de seguridad establecidas únicamente para categorías superiores. En ese caso se reflejarán asimismo en la Declaración de Aplicabilidad.
Determinadas medidas de seguridad establecidas para la categoría del sistema podrán obviarse si se evidencia que no tienen aplicación en el sistema de información. Como es el caso, por ejemplo, de los sellos de tiempo para categoría ALTA que no se utilizan en todas las organizaciones. Deberá justificarse en la Declaración de Aplicabilidad.
Asimismo, las medidas de seguridad referenciadas en el anexo II del ENS podrán ser reemplazadas por otras compensatorias, siempre y cuando se justifique documentalmente que protegen, igual o mejor, del riesgo sobre los activos. Se harán constar en la Declaración de Aplicabilidad, vinculando el estudio elaborado según se determina en la guía CCN-STIC 819 sobre medidas compensatorias.
Por último, se podrán establecer medidas complementarias de vigilancia, durante un limitado período temporal necesario en ocasiones para implementar completamente una medida de seguridad. Dichas medidas complementarias consiguen compensar la situación provisional de la medida. Deben reflejarse también en la Declaración de Aplicabilidad.
Si su organización se encuentra comprendida en el ámbito de aplicación del ENS, debe cumplir con lo establecido en el Real Decreto 311/2022. Para ello, debe comenzar el proceso de adecuación al ENS y, como primer paso, deberá acometer la aprobación de la Política de Seguridad de la Información (PSI) de la organización, asignando los roles que determina el ENS.
Si necesita asesoramiento en este proceso no dude en ponerse en contacto con nosotros a través del siguiente enlace.
