La evolución de las amenazas, las nuevas vías de ataque, el desarrollo de mecanismos de respuesta y la necesidad de mantener la conformidad y el alineamiento con las regulaciones europeas y nacionales exigen adaptar las medidas de seguridad a esta nueva realidad. Por ello, surge el Esquema Nacional de Seguridad (ENS) configurándose cómo un marco normativo de obligado cumplimiento para todo el sector público, que incluye aspectos técnicos y organizativos que tiene por objeto asegurar la disponibilidad, integridad, autenticidad, confidencialidad y trazabilidad de la información. En este artículo veremos los aspectos básicos del Esquema Nacional de Seguridad.
El ENS establece una serie de medidas de seguridad que están condicionadas por una valoración inicial y periódica de sus dimensiones, evaluaciones de impacto y análisis de riesgo, entre otros. En todo caso, las medidas de seguridad constituyen un mínimo que se debe implementar o justificar los motivos por los cuales son se implementan o se sustituyen por otras medidas de seguridad que alcancen los mismos efectos protectores sobre la información y los servicios.
¿Cuáles son los principios básicos del ENS?
Entre los aspectos básicos del Esquema Nacional de Seguridad podemos encontrar:
- Seguridad integral: directamente relacionado con todos los elementos técnicos, humanos, materiales y organizativos, relacionados con todos los sistemas.
- Gestión de riesgos: parte esencial del proceso de seguridad y deberá mantenerse actualizado, ello permite el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.
- Prevención, reacción y recuperación: tiene como objetivo conseguir que las amenazas sobre los sistemas y activos no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.
- Líneas de defensa: permiten la existencia de múltiples capas de seguridad. Como la seguridad perimetral, seguridad física, seguridad lógica, etc.
- Monitorización periódica: todo ha de ser reevaluado y actualizado periódicamente.
- Diferenciación: todas las responsabilidades han de estar definidas. Así, se habrán de asignar
¿Qué roles se deben definir según el ENS?
De acuerdo con lo establecido en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, si se pretende implantar el Esquema Nacional de Seguridad, se habrán de incluir, como mínimo, los siguientes roles:
- Responsable de la información: Esta persona se encargará de establecer los requisitos de la información en materia de seguridad, así como de determinar los niveles de seguridad de la información.
- Responsable del servicio: Se encargará de establecer los requisitos de los servicios en materia de seguridad y determinar los niveles de seguridad de los servicios.
- Responsable de seguridad: Mantiene la seguridad de la información y de los servicios, realiza o promueve la realización de auditorías periódicas, verifica las medidas de seguridad, apoya y supervisa la investigación de los incidentes de seguridad, etc.
¿Cuáles son las principales categorías del sistema de información del ENS?
En el contexto de los aspectos básicos del Esquema Nacional de Seguridad se establecen una serie de medidas de seguridad que están condicionadas a la valoración del nivel de seguridad en cada dimensión, y a la categoría del sistema de información de que se trate.
Estas medidas de seguridad se organizan en tres categorías:
-
Marco organizativo
Aquel que incluye medidas genéricas que definen las políticas, normativas internas y procedimientos esenciales para la gestión de la seguridad de la información. Está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, incluyendo elementos, tales como:
- Políticas de seguridad: que deberán incluir los objetivos y la misión de la organización, el marco legal y regulatorio en que se desarrollen las actividades, los roles o funciones de seguridad, la estructura del comité para a gestión y coordinación de la seguridad y las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
- Normativa de seguridad: que detallará el uso correcto de equipos, servicios e instalaciones, definirá lo que se considera uso indebido y la responsabilidad del personal con respecto al cumplimiento o violación de estas normas.
- Procedimientos de seguridad: que detallarán de forma clara y precisa cómo se llevarán a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos.
- Proceso de autorización: que incluirá un procedimiento formal de autorizaciones que cubra todos los elementos del sistema de información.
-
Marco operacional
Dentro de os aspectos básicos del Esquema Nacional de Seguridad, el marco operacional es aquel que incluye medidas para la protección de la operación del sistema como conjunto integral de componentes para un fin. Se constituyen con el objetivo de proteger la operativa del sistema desde una perspectiva global, así como individualmente respecto de sus componentes. El marco operacional se encuentra constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin: planificación, control de acceso, explotación, servicios externos…
-
Medidas de protección
Son medidas cuyo objetivo fundamental es la salvaguarda de los activos de la organización. Frente a las medidas recogidas en los marcos anteriores, estas ostentan un carácter más específico. Las medidas de protección se centrarán en la protección de activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.
Si su organización se encuentra comprendida en el ámbito de aplicación del ENS, debe cumplir con lo establecido en el Real Decreto 311/2022. Para ello, debe comenzar el proceso de adecuación al ENS y, como primer paso, deberá acometer la aprobación de la Política de Seguridad de la Información (PSI) de la organización, asignando los roles que determina el ENS.
Si necesita asesoramiento en este proceso no dude en ponerse en contacto con nosotros a través del siguiente enlace.