Tema 6. Esquema Nacional de Seguridad (ENS) PDF
Document Details
Uploaded by ProtectiveThallium
UNIR
Tags
Summary
Este documento describe el Esquema Nacional de Seguridad (ENS) y sus objetivos, incluyendo la creación de confianza en el uso de medios electrónicos, la definición de una política de seguridad, la gestión continuada de la seguridad y la promoción de un tratamiento homogéneo de la seguridad para facilitar la cooperación en la prestación de servicios de administración electrónica.
Full Transcript
Tema 6. Esquema Nacional de Seguridad (ENS) 6.2. El esquema nacional de seguridad y sus objetivos Además de la Directiva NIS y su transposición, merece la pena destacar asimismo el Esq...
Tema 6. Esquema Nacional de Seguridad (ENS) 6.2. El esquema nacional de seguridad y sus objetivos Además de la Directiva NIS y su transposición, merece la pena destacar asimismo el Esquema Nacional de Seguridad (ENS), operado como hemos señalado por Real Decreto 3/201O, de 8 de enero, del que todos debemos sentirnos muy satisfechos, pues constituye uno de los mejores ejemplos europeos de tratamiento de la ciberseguridad, cuyo ámbito de aplicación comprende las entidades del sector público, trayendo causa de lo dispuesto en la Ley 40/2015, de Régimen Jurídico del Sector Público. El ENS persigue los siguientes objetivos: ► Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las AA.PP, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. ► Establecer la política de seguridad en la utilización de medios electrónicos constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información. ► Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia. ► Promover la prevención, detección y corrección. Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 1 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria. Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 2 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.3. Elementos del ENS Los elementos principales del ENS son: ► Los principios básicos a considerar en las decisiones en materia de seguridad. ► Los requisitos mínimos que permitan una protección adecuada de la información ► El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger. ► Las comunicaciones electrónicas. ► La auditoría de la seguridad. ► La respuesta ante incidentes de seguridad. ► La certificación de la seguridad y en particular el uso de componentes evaluados y certificados. ► La conformidad. ► La formación y la concienciación. Un aspecto esencial del ENS es, sin duda, que todos los órganos superiores de las AA.PP. deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente, que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos, según se expone a continuación. Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 3 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.4. Adecuación al ENS En la disposición transitoria del Real Decreto 3/201O se articulaba un mecanismo escalonado para su adecuación de manera que los sistemas de las AA.PP deberían estar adecuados a este Esquema en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo. El plazo de adecuación vencía el 30 de enero de 2014. Posteriormente, el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/201O, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica abrió un plazo de 24 meses para la adecuación a lo previsto en la modificación que finaliza el 5 de noviembre de 2017. La adecuación ordenada al ENS requiere el tratamiento de las siguientes cuestiones: ► Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información) ► Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados. (Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad) ► Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo-Pilar-) ► Preparar y aprobar la Declaración de aplicabilidad de las medidas de seguridad del Anexo 11 del ENS. (Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad) Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 4 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (Véase CCN- STIC 806 Plan de adecuación del Esquema Nacional de Seguridad) ► Implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (Véase serie CCN-STIC) ► Auditar la seguridad (Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad). ► Informar sobre el estado de la seguridad al órgano competente en la materia (Véase CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad). Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 5 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.5. Marco legal del ENS La Constitución Española de 1978, en su artículo 103.1, proclama: «La Administración Pública sirve con objetividad los intereses generales y actúa de acuerdo con los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación, con sometimiento pleno a la Ley y al Derecho». Así pues, y amparado genéricamente en el principio irrenunciable de la eficacia, el despliegue de los servicios que el Sector Público (Administraciones Públicas y Sector Público Institucional) debe prestar a los ciudadanos, especialmente cuando se usan las Tecnologías de la Información y la Comunicación (TIC), exige contar -para dar cumplida respuesta a aquella exigencia constitucional con los procedimientos administrativos, métodos y herramientas más adecuados que vengan a garantizar a todos sus destinatarios: ciudadanos y empresas, pero también el resto del Sector Público, la seguridad y confiabilidad de sus actos. Efectivamente, de poco serviría poseer unas magníficas tecnologías que posibilitaran el tratamiento y la comunicación de millones de datos si los actores implicados en la vida de los procedimientos administrativos no percibieran los sistemas de información en los que se sustenta su relación como infraestructuras seguras y tan confiables como la misma esencia de sus actividades requiere. No cabe duda -como así se ha afirmado-, que el mejor servicio al ciudadano constituye la razón de las reformas que, tras la aprobación de la Constitución, se han ido acometiendo en España para configurar una Administración moderna que haga de los principios de eficacia y eficiencia su razón última, y siempre con la mirada puesta en los ciudadanos y en los intereses generales. Tal interés constituyó la principal razón de ser de la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, en adelante), eje Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 6 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) vertebrador originario de la que se ha dado en llamar Administración electrónica, persiguiendo estar a la altura de nuestra época y del adecuado posicionamiento de nuestras Administraciones Públicas en el marco europeo e internacional. La publicación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP, en adelante) y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP, en adelante) que derogan la anterior, consolidan la primacía del uso de los medios electrónicos en el desenvolvimiento de las entidades públicas. Es en ese contexto en el que el Sector Público debe comprometerse con su época y ofrecer a sus ciudadanos las ventajas y posibilidades que la Sociedad de la Información tiene, asumiendo su responsabilidad de contribuir a hacer realidad tal paradigma. Los técnicos y los científicos han puesto en pie los instrumentos de esta sociedad, pero su generalización depende, en buena medida, del impulso que reciba de aquel sector. De todo ello se derivará, a la postre, la confianza y seguridad que sea capaz de generar en los ciudadanos y en la bondad de la prestación de los servicios ofrecidos. Como se ha dicho, el uso de las TIC acerca la Administración a los ciudadanos, empresas y profesionales. El tiempo y el espacio, en este nuevo paradigma, ya no constituyen elementos que puedan poner en peligro una comunicación adecuada -y eficaz- entre el administrado y su Administración. El uso eficiente de las TIC no sólo permite a los ciudadanos contemplar al Sector Público como una organización a su servicio y no como una burocracia pesada y exigente, sino que, además de esto, estas tecnologías facilitan el acceso a los servicios públicos a aquellas personas que antes tenían grandes dificultades para llegar a las dependencias oficiales, por motivos de localización geográfica, condiciones físicas de movilidad, etc., posibilitando la completa integración y accesibilidad de las personas y los grupos sociales. Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 7 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) El reconocimiento general de la relación electrónica con el Sector Público plantea varias cuestiones que es necesario contemplar: ► La progresiva utilización de medios electrónicos suscita la cuestión de la privacidad de los datos que se facilitan electrónicamente en relación con un expediente. ► Los legitimados tienen derecho de acceso al estado de tramitación del procedimiento administrativo, así como examinar los documentos de los que se compone. Lo mismo debe suceder, como mínimo, en un expediente iniciado electrónicamente o tramitado de esta forma. Dicho expediente debe poder permitir el acceso en línea a los interesados para verificar la situación del expediente, sin mengua de todas las garantías de la privacidad. ► En todo caso, la progresiva utilización de comunicaciones electrónicas, derivada del reconocimiento del derecho a comunicarse electrónicamente con la Administración, suscita la cuestión no ya de la adaptación de ésta -recursos humanos y materiales a una nueva forma de relacionarse con los ciudadanos, sino también la cuestión de la manera de adaptar sus formas de actuación y tramitación de los expedientes y en general racionalizar, simplificar y adaptar los procedimientos, aprovechando la nueva realidad que imponen las TIC. ► El hecho de reconocer el derecho (obligación, en algunos casos) de los ciudadanos a comunicarse electrónicamente con la Administración plantea, en primer lugar, la necesidad de definir claramente la sede administrativa electrónica con la que se establecen las relaciones, promoviendo un régimen de identificación, autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad. Son muchos los preceptos contenidos en nuestras leyes administrativas de referencia (Ley 39/2015 y Ley 40/2015) que insisten en la necesidad de que el desenvolvimiento de las entidades del Sector Público, tanto si obedece al desarrollo del procedimiento como si responde al ejercicio general de sus competencias, debe tener lugar en el marco de un entorno que contemple todas las medidas de seguridad Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 8 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) que sean precisas para garantizar a los administrados y a las propias entidades públicas, la integridad, confidencialidad, autenticidad y trazabilidad de la información tratada y la disponibilidad de los servicios prestados. La Ley 39/2015 recoge entre los derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo «a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas». Realiza, además, diversas menciones al cumplimiento de las garantías y medidas de seguridad al referirse a registros, archivo de documentos y copias. La Ley 40/2015, por su parte, recoge en su artículo 156 el Esquema Nacional de Seguridad, así mismo menciona la seguridad al referirse a las relaciones de las administraciones por medios electrónicos, la sede electrónica, el archivo electrónico de documentos, los intercambios electrónicos en entornos cerrados de comunicaciones y las transmisiones de datos entre Administraciones Públicas. Algunos ejemplos de preceptos contenidos en el citado ordenamiento que refuerzan la necesidad de "seguridad" se muestran seguidamente. «Artículo 13. Derechos de las personas en sus relaciones con las Administraciones Públicas. »h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas [... ] »Artículo 16. Registros. »[... ] Tanto el Registro Electrónico General de cada Administración como los registros electrónicos de cada Organismo cumplirán con las garantías y medidas de seguridad previstas en la legislación en materia de protección de datos de carácter personal [...] Programa Profesional en Ciberseguridad 21 Tema 6. Esquema Nacional de Seguridad (ENS) 9 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) »Artículo 17. Archivo de documentos. »3. Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad, que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos. [... ] »Artículo 27. Validez y eficacia de las copias realizadas por las Administraciones Públicas. » Las copias auténticas tendrán la misma validez y eficacia que los documentos originales. »3. Para garantizar la identidad y contenido de las copias electrónicas o en papel, y por tanto su carácter de copias auténticas, las Administraciones Públicas deberán ajustarse a lo previsto en el Esquema Nacional de lnteroperabilidad, el Esquema Nacional de Seguridad y sus normas técnicas de desarrollo [... ] [...] »Artículo 28. Documentos aportados por los interesados al procedimiento administrativo. » Se presumirá que esta consulta es autorizada por los interesados, salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso, debiendo, en ambos casos, ser informados previamente de sus derechos en materia de protección de datos de carácter personal. [...] »Artículo 31. Cómputo de plazos en los registros. »2. El registro electrónico de cada Administración u Organismo se regirá a efectos de cómputo de los plazos, por la fecha y hora oficial de la sede electrónica de acceso, que deberá contar con las medidas de seguridad necesarias para garantizar su integridad y figurar de modo accesible y visible. [...] Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) © Universidad Internacional de La Rioja (UNIR) o Tema 6. Esquema Nacional de Seguridad (ENS) »Artículo 40. Notificación. »5. Las Administraciones Públicas podrán adoptar las medidas que consideren necesarias para la protección de los datos personales que consten en las resoluciones y actos administrativos, cuando éstos tengan por destinatarios a más de un interesado [... ] »Disposición adicional segunda. Adhesión de las Comunidades Autónomas y Entidades Locales a las plataformas y registros de la Administración General del Estado. »[... ] opte por mantener su propio registro o plataforma, las citadas Administraciones deberán garantizar que éste cumple con los requisitos del Esquema Nacional de lnteroperabilidad, el Esquema Nacional de Seguridad, y sus normas técnicas de desarrollo [... ]» (Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas). El Esquema Nacional de seguridad está regulado en el Real Decreto 3/201O, de 8 de enero, y actualizado mediante Real Decreto 951/2015, de 23 de octubre, como hemos dicho y así se señala en el texto introductorio a la norma, en el ámbito de las Administraciones Públicas, la consagración del derecho a comunicarse con ellas a través de medios electrónicos comporta una obligación correlativa de las mismas, que tiene, como premisas, la promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remoción de los obstáculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una aplicación segura de estas tecnologías. A ello vino a dar respuesta, primero, el artículo 42.2 de la derogada LAECSP y, actualmente, el artículo 156.2 de la LRJSP, mediante la creación del ENS, cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información. Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 1 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Así, y por la parte que ahora nos interesa, el citado artículo 156, señala: «Artículo 156. Esquema Nacional de lnteroperabilidad y Esquema Nacional de Seguridad. [...] »2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada» (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.). Llegado este punto, hay que decir que el ENS define Política de Seguridad como: «Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos,, (Editor y Centro Criptológico Nacional, 2011). Y que la definición que hace de Sistema de Información es: «Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir,, (Editor y Centro Criptológico Nacional, 2011). El ENS, desarrollando el mandato del artículo 156.2 de la LRJSP (y, antes, del artículo 42.2 de la LAECSP), contiene los Principios Básicos y los Requisitos Mínimos para alcanzar la antedicha protección de la información. Tales Principios Básicos y Requisitos Mínimos serán aplicados obligatoriamente por todas las entidades del sector Público para asegurar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad, la trazabilidad y la conservación de los datos, informaciones y servicios que traten o manejen tales entidades. La finalidad del ENS es, por tanto, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 2 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) electrónicos, que permitan a los ciudadanos y a las entidades de las Administraciones públicas y el Sector Público Institucional el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. En definitiva, el ENS persigue fundamentar la confianza de que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas, desarrollándose y perfeccionándose en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan. Por otro lado, en la actualidad, los sistemas de información de las Administraciones Públicas no constituyen elementos aislados, sino que, por el contrario, suelen estar poderosamente interconectados, pudiéndose conectar también con otros sistemas pertenecientes al resto del sector público, el sector privado, ciudadanos, profesionales y empresas. Por tanto, ante la multiplicidad de amenazas que pueden poner en peligro las referidas relaciones electrónicas, se hace necesario dotar a las redes y a los sistemas de información de la necesaria Seguridad de la Información: La Ciberseguridad, a la que podemos definir como: «La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles» (Editor y Centro Criptológico Nacional, 2011). Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 3 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.6. Las instrucciones técnicas de seguridad Tal y como prescribe el artículo 29 del ENS, el Ministerio de Asuntos Económicos y Transformación Digital, a propuesta de la Comisión Sectorial de Administración Electrónica, y a iniciativa del Centro Criptológico Nacional (CCN), aprobará las Instrucciones Técnicas de Seguridad, de obligado cumplimiento, y se publicarán mediante resolución de la Secretaría de Estado de Función Pública, siendo esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el ENS. Así, estas Instrucciones Técnicas de Seguridad (ITS), que la Disposición Adicional cuarta del ENS recoge en una primera lista no exhaustiva, entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: ► Informe del Estado de la Seguridad; ► Notificación de Incidentes de Seguridad; ► Auditoría de la Seguridad; ► Conformidad con el ENS; ► Adquisición de Productos de Seguridad; ► Criptología de empleo en el ENS; Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 4 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Interconexión en el ENS y ► Requisitos de Seguridad en entornos externalizados; Sin perjuicio, como se indicaba, de las propuestas que pueda acordar la Comisión Sectorial de Administración Electrónica, según lo establecido en el citado artículo 292. Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 5 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.7. Ámbito de aplicación del ENS De manera análoga a lo que sucede con buena parte del ordenamiento jurídico, el ámbito de aplicación del ENS es doble, a saber: Ámbito subjetivo de aplicación El ENS será aplicado a los sistemas de información del Sector Público para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestione en el ejercicio de sus competencias. Tras la entrada en vigor de la LRJSP, el ámbito subjetivo de aplicación del ENS se determina atendiendo a lo recogido en el apartado segundo del artículo 156 de aquella norma, que señala: «2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada» (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.). Por su parte, el ámbito subjetivo de aplicación de la LRJSP está definido en su artículo 2, que señala: «Artículo 2. Ámbito Subjetivo »1. La presente Ley se aplica al sector público que comprende: »a) La Administración General del Estado. »b) Las Administraciones de las Comunidades Autónomas. »c) Las Entidades que integran la Administración Local. »d) El sector público institucional. »2. El sector público institucional se integra por: Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 6 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) »a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas. »b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas. »c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley. »3. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2» (Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.). Por otro lado, y como quiera que las medidas de seguridad contempladas en el ENS no son sólo exigibles a las relaciones ad-intra (relaciones entre entidades o Administraciones Públicas), sino que deben extenderse también a las relaciones ad extra (relaciones entre las Administraciones y los ciudadanos), este ámbito de aplicación debe completarse con el recogido en la Ley 39/2015, y que añade al anterior el siguiente párrafo: «4. Las Corporaciones de Derecho Público se regirán por su normativa específica en el ejercicio de las funciones públicas que les hayan sido atribuidas por Ley o delegadas por una Administración Pública, y supletoriamente por la presente Ley». (Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.). La figura siguiente muestra un esquema del ámbito subjetivo de aplicación del ENS, en base a los respectivos ámbitos de aplicación de la LPACAP y la LRJSP. Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 7 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Por todo lo anterior, el ENS es de aplicación a las entidades que conforman las denominadas Administraciones Públicas (AGE, CC.AA., EE.LL. y organismos públicos y entidades de derecho público vinculados o dependientes de las anteriores) y también a las entidades de derecho privado vinculadas o dependientes de ellas, cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta. Por su parte, el ENS será de aplicación a las entidades de derecho privado vinculadas o dependientes de la Administración de las Entidades Locales en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 8 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta. Asimismo, el ENS será de aplicación a las Universidades de forma supletoria, es decir, en todo aquello que su propia normativa no entre a regular. Además, el ENS será de aplicación a las Corporaciones de Derecho Público en el ejercicio de las funciones públicas que les hayan sido atribuidas por Ley o delegadas por una Administración Pública, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, en los términos establecidos por esta, de forma supletoria a su normativa específica. Finalmente, y por lo que respecta a las Fundaciones, están comprendidas dentro del sector público las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas. Las fundaciones, tanto las privadas como las del sector público estatal, tienen personalidad jurídica privada y, por tanto, también les resulta de aplicación en los mismos casos indicados en los apartados anteriores. Ámbito objetivo o material de aplicación La primera y más amplia referencia al ámbito de aplicación objetivo o material del ENS (sistemas de información a los que les es de aplicación) se encuentra en el número dos de su artículo 1, cuando señala: «2. El Esquema Nacional de Seguridad está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Será aplicado por las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, Programa Profesional en Ciberseguridad 22 Tema 6. Esquema Nacional de Seguridad (ENS) 9 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias» (Real Decreto 3/201O, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica). Finalmente, los servicios comprendidos dentro del ámbito objetivo de aplicación del ENS, cuando sean suministrados aprestados por terceros (organizaciones públicas o privadas), habrán de satisfacer igualmente las exigencias legales establecidas en el mismo. Por ello, las entidades a las que se destinan las soluciones o sean titulares de los servicios prestados, indicados en el epígrafe anterior, exigirán a tales terceros la conformidad con el ENS de sus servicios, en los términos establecidos en la Declaración o Certificación de Conformidad con el ENS. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) o © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.8. Los roles personales en el ENS En virtud de lo dispuesto en el ENS, y con el objetivo situado en garantizar la seguridad de la información tratada y los servicios prestados, aparecen distintas figuras, atendiendo a la responsabilidad que tienen en la especificación, supervisión y operación de la seguridad de la información de la entidad. Los actores principales son: el Responsable de la Información, el Responsable del Servicio, el Responsable de la Seguridad, el Responsable del Sistema, y cuyas funciones esenciales son la siguientes: ► El Responsable de la Información determinará los requisitos de la información tratada. ► El Responsable del Servicio determinará los requisitos de los servicios prestados, y ► El Responsable de Seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. ► El Responsable del Sistema es el encargado de la explotación tecnológica de la información tratada y los servicios prestados. Si el tamaño de la entidad lo permite, suele ser frecuente que, por encima de todos los actores citados, exista un Comité de Seguridad de la Información que aúne las responsabilidades sobre información y servicios. Este Comité se articulará y funcionará como un órgano colegiado de acuerdo con la normativa administrativa, facilitando la armonía de las diferentes partes de la organización y coordinando la seguridad de la información a nivel de organización. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 1 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Son funciones típicas del Comité de Seguridad de la Información: ► Atender las inquietudes de la Alta Dirección y de los diferentes departamentos. ► Informar regularmente del estado de la seguridad de la información a la Alta Dirección. ► Promover la mejora continua del sistema de gestión de la seguridad de la información. ► Elaborar la estrategia de evolución de la Organización en lo que respecta a seguridad de la información. ► Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades. ► Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por la Alta Dirección. ► Aprobar la normativa de seguridad de la información. ► Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información. ► Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos. ► Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información. ► Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 2 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Aprobar planes de mejora de la seguridad de la información de la Organización. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas. ► Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados. ► Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y ► apoyen un funcionamiento homogéneo de todos los sistemas TIC. ► Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 3 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.9. Las medidas de seguridad del ENS Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplicarán las medidas de seguridad indicadas en este anexo, las cuales serán proporcionales a: ► Las dimensiones de seguridad relevantes en el sistema a proteger. ► La categoría del sistema de información a proteger. Las medidas de seguridad del ENS se dividen en tres grupos: ► Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. ► Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. ► Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 4 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Están divididas del siguiente modo: Para la selección de las medidas de seguridad se seguirán los pasos siguientes: ► Identificación de los tipos de activos presentes. ► Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el Anexo I del ENS. ► Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el Anexo I del ENS. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 5 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Determinación de la categoría del sistema, según lo establecido en el Anexo I del ENS. ► Selección de las medidas de seguridad apropiadas de entre las contenidas en el Anexo 11 del ENS, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 6 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) 6.10. El procedimiento de adecuación al ENS La adecuación al ENS exige seguir un determinado recorrido que se examina seguidamente. Fase-1 : Elaboración del Plan de Adecuación Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 7 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Elaboración de una Política de Seguridad de la Información Este documento refleja el compromiso de la Administración en materia de seguridad. Por tanto, se trata de un documento de alto nivel que define lo que significa "seguridad de la información" en una entidad pública. Deberá ser aprobado por el Órgano Superior, promoviendo su difusión mediante su publicación en el correspondiente Boletín Oficial. Esta Política de Seguridad es un documento estratégico. Una vez aprobada y publicada, su principal objetivo es que se adquieren compromisos públicos. Como, por ejemplo, el establecimiento de planes anuales de concienciación para todo el personal (buen uso de los sistemas, riesgos en el uso de redes públicas, etc.), formación específica asociada al puesto de trabajo a desempeñar, la actualización del análisis de riesgos con periodicidad al menos anual, etc. Uno de los aspectos más importantes que se contemplan en la Política de Seguridad es la creación de un modelo para la organización de la seguridad, es decir, la atribución de un modelo basado en funciones y responsabilidades (Comité de Seguridad y roles) con una búsqueda de implicación en la organización. Para la elección de estos roles deberemos tener en cuenta el artículo 1O del Real Decreto 3/201O relativo al concepto de "La seguridad como función diferenciada": el Responsable de Seguridad deberá ser independiente del Responsable del Sistema. Aspecto bastante complicado en, por ejemplo, pequeños ayuntamientos. Una posible solución reside en las Diputaciones, pudiendo desempeñar parte del proceso de diferenciación, asumiendo la responsabilidad del sistema, de forma que mejor se cumpla esta función diferenciada. En la práctica y como norma general, los comités de seguridad deben de disponer un enfoque muy ejecutivo, lo que normalmente se traduce en estructuras muy reducidas de personas y presididas por un cargo político. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 8 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Identificación de la información y los servicios. Determinación de la categoría del sistema El siguiente paso será identificar la información y los servicios prestados, objeto de protección. Determinar el "nivel de importancia" que tienen para la entidad. Se valora el nivel crítico de diferentes características, a las que denominaremos dimensiones, pudiendo asignar diferentes valores a cada una de sus dimensiones. El inventario de la Información y los Servicios deberá estar relacionado con el actual modelo de protección de datos. Eso supone que deberá establecer la relación con el inventario de tratamientos que establecerá el Reglamento General de Protección de Datos. Con la entrada en vigor de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el marco de aplicación material deberá de extenderse a todos los elementos y en particular aquellos que contribuyen a desarrollar el procedimiento administrativo. Determinados los sistemas se identificarán los servicios e información soportados por cada uno de ellos, identificando aquella información que esté sujeta a la normativa vigente en materia de protección de datos de carácter personal. No todos estos sistemas requieren las mismas medidas de seguridad. Para determinar la categoría de los sistemas, se deberá proceder a valorar la información y los servicios en cada una de sus dimensiones de seguridad (Disponibilidad [D], Autenticidad [A], Confidencialidad [C], Integridad [I], Trazabilidad [T]). Se trata de establecer "niveles de importancia" sobre cada una de las dimensiones. Programa Profesional en Ciberseguridad 23 Tema 6. Esquema Nacional de Seguridad (ENS) 9 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Pero en realidad, ¿qué significa cada una de estas dimensiones? Veamos algunos ejemplos: ► La disponibilidad actúa sobre la no interrupción del servicio (p.ej. La Web corporativa, perfil de contratante o algunos trámites electrónicos en la sede dejan de funcionar y no están accesible a través de internet.) ► La autenticidad protege el aseguramiento de la identidad (p.ej. La identidad de la persona que ha firmado un documento, quién se ha conectado a través de una red WIFI, etc.) ► La confidencialidad previene la filtración de información (p.ej. Gestionar el acceso a determinado tipo de información.) ► La integridad previene manipulaciones de la información (p.ej. Disponer de documentos que han sido firmados de forma electrónica, asegurar la fecha de publicación de un documento en la sede electrónica, etc.) ► La trazabilidad permite conocer posibles rastros en accesos (p.ej. sistema de registro de accesos por parte de usuario, análisis de posibles fugas de datos, intrusión a sistemas de ataques externos, etc.) En la Política de Seguridad se definen los roles y responsabilidades: ► La información y los servicios (Bajo, Medio y Alto) deberían ser valorados, como norma general, por parte de los responsables de las áreas, utilizando criterios homogéneos de valoración, definidos con anterioridad. ► La Categoría del Sistema que soportan los servicios y la información (Básica, Media y Alta) y con ello la determinación de las medidas de seguridad mínimas que será necesario aplicar, deberá ser determinada por el Responsable del mismo, pudiéndose recabar propuesta del Responsable de Seguridad, teniendo en cuenta las valoraciones indicadas en el punto anterior, conforme a las instrucciones del anexo I del Real Decreto ENS. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) o © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Análisis de riesgos El siguiente paso consiste en analizar la confianza de los sistemas de información con los que trabajamos, pues cada vez es mayor nuestro grado de dependencia. La confianza depende no sólo de los fallos del propio sistema, sino de posibles errores humanos del personal interno, fallos de proveedores, catástrofes naturales, posibles ataques de seguridad de terceros, etc. Es por ello por lo que los sistemas no sólo deben prevenir, sino reaccionar frente a incidentes que se puedan materializar. En este punto, lo recomendable es hacer simulaciones frente a posibles incidentes de seguridad que, en cierto modo, consistirían en hacernos preguntas tales como: ► ¿Qué consecuencias podría tener en mi entidad la pérdida de información motivada por la entrada de un virus que cifra la información? ► ¿Cómo podría afectar un desastre natural sobre la información de la entidad? Por ejemplo ¿y si se produce un incendio en las dependencias? ► ¿Cómo afecta que alguien suplante la identidad, en una red social, de un funcionario de la entidad? ► ¿Qué efectos puede producir que se manipule el sistema de control de tráfico de la ciudad? ¿Y la página web de la entidad? Este proceso de análisis de situaciones es lo que se conoce como análisis de riesgos. Para que los sistemas funcionen deberemos conocer el mapa de dependencias con los equipos y comunicaciones. Es lo que se denominan activos, entre los cuales debemos identificar incluso a las propias personas, ya que los errores humanos muchas veces son más frecuentes que los propios fallos del sistema. Identificados los activos, el siguiente paso es conocer las amenazas a las que están expuestos. Serán diferentes para cada tipo de activo. No es lo mismo una amenaza Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 1 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) de fuego -que afecta a activos físicos- que de un virus -con mayor impacto en la información-. En este sentido, se debe analizar tanto el potencial impacto (consecuencia que tiene en la entidad) como el riesgo (la probabilidad de que ocurra el incidente). Con ello, la entidad puede priorizar su estrategia en aquellos ámbitos de actuación con mayores consecuencias o donde la frecuencia es muy recurrente. En definitiva, se trata de tener una herramienta que permita medir variables clave y adoptar decisiones con criterio y rigor. La categoría del sistema, fijada con anterioridad, nos determinará el nivel de detalle que deberá tener el análisis de riesgos. En la categoría Básica, será suficiente un análisis informal realizado en un lenguaje natural o semi-informal. En la categoría Media se usará un lenguaje específico y en la Alta, un lenguaje específico con fundamento matemático. Para su realización, podemos utilizar cualquier herramienta que utilice una metodología contrastada y reconocida. Como Administración Pública tenemos a nuestra disposición la herramienta PILAR, y que utiliza la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) que Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 2 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ha sido elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información y que está enfocada a las Administraciones Públicas. Este análisis determinará las medidas complementarias que será necesario aplicar. Por último, el análisis de riesgos deberá ser revisando periódicamente, al menos anualmente, ya que el riesgo no sólo depende de los cambios del sistema, sino de los del entorno, como pueden ser la frecuencia de ataques externos o incluso cambios reguladores como las nuevas Leyes 39 y 40 de 2015 o el Reglamento Europeo de Protección de Datos. En definitiva, necesitamos identificar activos esenciales, conocer qué amenazas existen, los efectos que producirían si se materializan y qué medidas de seguridad deben ser aplicadas, o bien reforzadas, para conseguir un nivel de riesgo aceptable para la entidad. La Declaración de Aplicabilidad En este punto, estaremos en condiciones de realizar la Declaración de Aplicabilidad, que consiste en la elaboración de un documento que recoge 1) las medidas de seguridad que son de aplicación a nuestro/s Sistema/s (Categoría Básica, Media o Alta); 2) otras medidas resultantes de la realización del análisis de riesgos y 3) aquellas otras que pudieran ser de aplicación a la Administración, como por ejemplo las establecidas por la normativa de protección de datos, sistemas de pago en cajeros (PCI DSS), etc. En esta declaración se motivará de manera precisa la adecuación de los controles, su exclusión o ampliación. Es importante destacar que el modelo no es rígido, ya que tenemos la posibilidad de elegir alternativas de seguridad, siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos afectados. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 3 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) El informe de insuficiencias (gap analysis) Las desviaciones al cumplimiento de las medidas de seguridad deberán recogerse en un documento, denominado informe de insuficiencias del sistema. Este informe, simplemente recoge la situación de cumplimiento de las medidas de seguridad (estado ideal vs situación actual.) Este informe deberá de ser aprobado por los Responsables de la Información y de los Servicios. El Plan de Mejora de la seguridad (plan de tratamiento del riesgo) Para finalizar, se definirán las tareas necesarias para subsanar las insuficiencias detectadas, indicando plazos, recursos asignados para su ejecución y se plasmarán en un documento denominado Plan de Mejora de la Seguridad. Es conveniente que el Plan de Mejora, sea aprobado formalmente por la Administración, primeramente por el Comité de Seguridad de la Información, y posteriormente por parte del Alcalde / Presidente de la Administración Local, según sea el caso. De este modo conseguimos un compromiso formal por parte de la Administración. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 4 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Fase-2: Implementación del Plan de Adecuación Para llevar a cabo la implementación del ENS, se llevarán a cabo las acciones recogidas en el Plan de Mejora de la Seguridad, supervisando la ejecución de las tareas en los tiempos establecidos. Igualmente, se irá desarrollando el fondo documental que dará soporte a la gestión de la seguridad de la información. Inicialmente, parece lógico llevar a cabo el proceso de implantación siguiendo el orden que presentan las medidas de seguridad recogidas en el anexo II del Real Decreto ENS, cimentando las normas implantando las medidas del "marco organizativo", para seguir con las medidas de seguridad que garantizan las operaciones sobre el sistema para continuar con las medidas de protección de los activos. A continuación, se analizan cada grupo brevemente. Marco Organizativo Definición de una normativa de seguridad: Se deberá regular el uso de los medios tecnológicos que pone a disposición la entidad al personal para el desarrollo de sus funciones. Básicamente, consiste en una serie de documentos que regulan el uso correcto de equipos, servicios e instalaciones, detallando lo que se considera uso indebido, y la responsabilidad del incumplimiento o violación de estas normas. El siguiente paso será el desarrollo de Procedimientos de Seguridad. Es de vital importancia que las principales tareas sobre el sistema de información se encuentren documentadas, con una asignación precisa de responsabilidades. El principal objetivo de esta medida es evitar que el "conocimiento" solo resida en las cabezas de las personas (internas o externas), algo que por desgracia es muy habitual. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 5 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Por último, se deberá regular un Proceso de Autorización que nos permita gestionar de forma correcta la entrada de nuevos elementos en el sistema, como puede ser la entrada de equipos y/o aplicaciones en producción, la utilización de medios de comunicación, la utilización de soportes de información y de equipos móviles o la utilización de servicios de terceros bajo, contrato o convenio. Marco Operacional El siguiente grupo de medidas busca garantizar las operaciones del sistema mediante el establecimiento de medidas de seguridad que las protejan: Medidas de planificación: Encaminadas a planificar el sistema, consistentes en la gestión de los riesgos. Se trata fundamentalmente de: ► Realización e interpretación del Análisis de riesgos. ► Documentación y la gestión de la Arquitectura de Seguridad. ► Implantación de un proceso formal para la Adquisición de Nuevos Componentes y Dimensionamiento/Gestión de capacidades, evaluando las necesidades de procesamiento, almacenamiento de información, comunicación, personal, así como de instalaciones antes de la puesta en explotación. ► En caso de disponer de sistemas de categoría ALTA, los productos de seguridad que se adquieran (no las soluciones software de gestión) requerirán la denominada certificación de producto (Componentes Certificados). Por ejemplo, la utilización de un sistema de impresión que utilice un software de borrado seguro de los documentos que almacena en su cola de impresión. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 6 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Control de acceso: Conjunto de medidas encaminadas a garantizar un correcto acceso a los recursos por parte de los usuarios o procesos acorde a las políticas de la Administración y que se encuentren previamente autorizados por los responsables correspondientes. ► Establecer mecanismos de identificación y autenticación. Esto implica tener identificado de forma unívoca todos los accesos al sistema, evitando utilizar cuentas comunes compartiendo las contraseñas. ► Realización de una adecuada gestión de contraseñas (complejidad mínima, cambio periódico, etc.) ► Establecer roles para definir quién puede acceder a determinados recursos ► Regular el acceso remoto, utilizando equipos y conexiones de confianza. Explotación: Conjunto de medidas encaminadas a la protección de los activos. Para ello se precisa de: ► Hacer un Inventario de activos del sistema y la asignación de propietarios de los mismos. Se deberá disponer de un control de que servidores, equipos portátiles, teléfonos móviles, etc. que existen en la entidad. ► Los equipos deben de estar correctamente configurados. Es lo que se denomina regular la Configuración de seguridad, asegurando la configuración de los componentes del sistema manteniendo las reglas de "funcionalidad mínima", "seguridad por defecto". Por ejemplo, el personal no informático no puedan ser administradores locales de sus máquinas, los navegadores no deberán almacenar las contraseñas de los accesos, se deberán cambiar las contraseñas que vienen por defecto al adquirir componentes, etc. ► Proteger los activos frente a amenazas, como por ejemplo sistemas de antivirus, o protección frente a código dañino, etc. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 7 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Gestionar los efectos que se produjeran sobre los mismos la materialización de estas amenazas "aprendiendo" de ellas. Para ello se precisa registrar las incidencias. ► Analizar la actividad de los usuarios sobre el sistema (Registro de la actividad de los usuarios) protegiendo estos registros de manipulaciones no autorizadas (Protección de los registros de actividad). ► Protección de las claves criptográficas (contraseñas) durante todo su ciclo de vida, generación, transporte, custodia, archivo y destrucción, como por ejemplo la utilización de aplicaciones adecuadas para almacenar las contraseñas. Como norma general la clave es personal e intransferible, no debiendo ser conocida por nadie. Servicios externos: Antes de la utilización de recursos externos, servicios, equipos, instalaciones o personal, se deben establecer entre los requisitos contractual es. Se trata fundamentalmente de seguir el modelo "in eligiendo in vigilando". ► In Eligiendo: Previo al proceso de contratación se exigirán garantías de cumplimiento, solicitar certificación de conformidad ENS al prestador del servicio, acordando los denominados acuerdos de nivel de servicio (ANS) ► In Vigilando: Una vez se han contratado los servicios se deberán implementar mecanismos que permitan medir el cumplimiento de las obligaciones establecidas en los contratos. En el caso de que la disponibilidad [D] del sistema alcance el nivel alto, tendremos que garantizar la provisión del servicio por Medios Alternativos Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 8 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Continuidad: Conjunto de medidas conducentes a garantizar la continuidad de los servicios. ► Si la categoría de nuestro sistema es de nivel media, nos bastará con realizar un Análisis de Impacto (Business lmpact Analysis o BIA), que identifica las necesidades en términos de recuperación, centrándose en aquellas que son indispensables. Analiza cómo impacta (daño reputacional, incumplimiento normativo, financiero... ) así como un tiempo de recuperación objetivo (Recovery Time Objective o RTO). Así se identifican los elementos críticos para la prestación de cada servicio. ► Si la disponibilidad [D] de nuestro sistema alcanza un nivel alto, tendremos que desarrollar un proceso más formal, a través de un Plan de Continuidad, que establezca las acciones a realizar en caso de interrupción de los servicios, así como Pruebas Periódicas. Monitorización: Conjunto de medidas, conducentes a evaluar la eficacia del sistema mediante la medición de su actividad: ► Se precisa disponer de herramientas de detección o prevención de intrusión (Detección de Intrusión). ► Recopilar los datos necesarios (Sistema de métricas). ► Recopilar datos sobre el número de incidentes tratados y el tiempo empleado para su resolución. Programa Profesional en Ciberseguridad 24 Tema 6. Esquema Nacional de Seguridad (ENS) 9 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► La Instrucción Técnica, obliga a las entidades a la comunicación de datos que permita conocer las principales variables de la seguridad de la información de los sistemas comprendidos en el ámbito del ENS, para poder confeccionar un perfil general del estado de la ciberseguridad en las Administraciones públicas. Para este fin el Centro Criptológico Nacional (CCN) ha desarrollado la herramienta INES (Informe Nacional del Estado de Seguridad) en donde todos los organismos públicos deben introducir sus datos de forma periódica (la herramienta está disponible en el portal del CCNCERT. ► Para sistemas de categoría Alta se recopilará además datos para conocer la eficiencia del sistema de seguridad. Medidas de Protección Por último, se presenta el conjunto de medidas que tienen como finalidad la protección de los activos concretos: Protección de instalaciones: Los equipos que gestionan la información, normalmente ubicados en una sala de acceso restringido, deberán de disponer de las adecuadas medidas de seguridad (Protección frente a incendios, energía eléctrica, control de acceso, etc.) En el caso de entidades pequeñas o cuando se externalice el servicio, se deberá exigir a los proveedores que al menos cumplan las siguientes medidas de seguridad. Gestión del personal: Medidas conducentes a garantizar la seguridad de la información mediante una adecuada gestión del personal: ► Definir las responsabilidades, en materia de seguridad, de cada puesto de trabajo mediante la Caracterización del puesto de trabajo. ► Informar a cada persona que trabaje en el sistema de sus Deberes y obligaciones. Programa Profesional en Ciberseguridad 25 Tema 6. Esquema Nacional de Seguridad (ENS) o © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Sensibilizar al personal respecto de su responsabilidad para la seguridad de los sistemas mediante la planificación de acciones de Concienciación para todo el personal y de Formación regular al personal en aquellas materias que requieran para el desempeño de sus funciones. ► En este caso, si la categoría de nuestro sistema sea ALTA también deberemos garantizar la existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual mediante la provisión de Personal alternativo. Protección de los equipos: Conjunto de medidas que contribuyen a garantizar la seguridad de la información soportada por los equipos de los usuarios y la "depositada" en los puestos de trabajo estableciéndose normas para evitar que la información sea visionada o pueda ser sustraída por personal no autorizado como pueden ser la necesidad de mantener: ► Puesto de trabajo despejado, que implica que las mesas de trabajo deban estar despejadas de información al finalizar la jornada laboral, evitando que terceras personas no autorizadas puedan visualizar información, como por ejemplo el caso de empresas de limpieza. Esta medida es muy importante en zonas de acceso al público, como por ejemplo los servicios de atención ciudadana, donde un tercero no pueda llegar a ver información. ► Bloqueo del puesto de trabajo, preferiblemente de forma automática por el sistema superado un periodo razonable de actividad. ► Implementar medidas de seguridad que aseguren la Protección de portátiles que impidan, por ejemplo, que en caso de pérdida o robo no se acceda a la información que contiene en su interior. ► Disponer de Medios alternativos para el tratamiento de la información, debidamente configurados para su puesta en uso inmediato en caso de que fallen los habituales. Programa Profesional en Ciberseguridad 25 Tema 6. Esquema Nacional de Seguridad (ENS) 1 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Protección comunicaciones: Conjunto de medidas que garantizan la seguridad de la información en las comunicaciones fuera del propio dominio de seguridad: ► Utilización de un sistema de cortafuegos (Perímetro seguro) que separe la red interna de la exterior. ► Para la Protección de la confidencialidad y de la Protección de la autenticidad y de la integridad, deberán emplearse redes privadas virtuales (VPN) y se emplearán algoritmos de cifrado acreditados por Centro Criptológico Nacional (CCN). ► En caso de que el sistema alcance categoría ALTA, el sistema de cortafuegos deberá disponer de dos o más equipos redundados, en cascada y de diferente fabricante. ► Además, será necesario implementar medidas para acotar el acceso a la información y evitar la propagación de incidentes de seguridad mediante la Segregación de redes (Por ejemplo, a través de una VLAN) y disponer de Medios alternativos de comunicación que garanticen un tiempo máximo de entrada en funcionamiento. Protección de los soportes de información: Conjunto de medidas con el objetivo de proteger los soportes de información: ► Etiquetado de soportes, indicando el nivel de seguridad de mayor calificación de la información que contienen, aplicando a los dispositivos removibles (CD, DVD, discos USB o similares). ► Garantizar la debida Custodia de estos soportes implementando medidas de control de acceso físicas y las relativas al mantenimiento (temperatura, humedad, etc.) especificadas por el fabricante. ► En cuanto al Transporte de estos soportes deberá mantenerse un registro de entrada y salida, así como mecanismos de criptografía, en caso de que información contenida así lo requiera. Programa Profesional en Ciberseguridad 25 Tema 6. Esquema Nacional de Seguridad (ENS) 2 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Cuando los soportes vayan a ser reutilizados o eliminados se aplicarán medidas de Borrado y destrucción segura. ► Si la información que contienen alcanza un nivel alto en Confidencialidad ([C]) o Integridad ([I], se emplearán mecanismos de criptográficos acreditados por el CCN y se emplearán Productos Certificados en los mecanismos de Criptografía. Protección de las aplicaciones informáticas: Conjunto de medidas para la utilización de aplicaciones que aseguren la protección de la información. Esta medida está orientada a las entidades o empresas del sector privado que desarrollan aplicaciones, garantizando que las herramientas resultantes disponen de las correspondientes medidas de seguridad que permitan cumplir con el ENS: ► Implementar una metodología segura para el Desarrollo de aplicaciones, que también contemple como parte integral de su diseño medidas conducentes a garantizar la protección de la información: necesidad de implementar mecanismos de identificación y autenticación, qué mecanismos se deben implementar para proteger la información y las necesidades de logs (pistas de auditoría) y su tratamiento. ► Antes de la puesta en producción de las aplicaciones será necesario comprobar su correcto funcionamiento (Aceptación y puesta en servicio), mediante la realización de pruebas de seguridad, análisis de vulnerabilidades y pruebas de penetración. ► En caso de que el sistema alcance la categoría alta, también será necesario realizar un análisis de coherencia en la integración de los procesos y auditoría de código fuente. ► En los procesos de licitación se deberá solicitar a las empresas que suministran o desarrollan aplicaciones la certificación de conformidad ENS en el ámbito del desarrollo seguro. Programa Profesional en Ciberseguridad 25 Tema 6. Esquema Nacional de Seguridad (ENS) 3 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) Protección de la información: Conjunto de medidas para proteger la información independientemente del soporte en el que se encuentre. ► Cumplimiento en materia de protección de datos. ► Proceder a una Calificación de la información, redactándose los procedimientos que describan la forma en la cual se deberá etiquetar, el control de acceso requerido, su almacenamiento, copias de seguridad, etc. Si en la dimensión de Confidencialidad [C] se alcanza nivel alto, se deberán implementar mecanismos de Cifrado de la información. ► La Firma electrónica, deberá ser acorde a legislación vigente, los sistemas de firma electrónica avanzada estarán basados en certificados cualificados acreditados por el CCN, garantizándose la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa. En caso de que el nivel alcanzado para las dimensiones de Integridad [I] y Confidencialidad [I] sea alto, se usará una firma electrónica cualificada, se emplearán productos certificados, y se utilizarán Sellos de tiempo, para prevenir la posibilidad de repudio posterior. ► Los documentos deberán pasar también por un proceso de retirada de la información adicional contenida en campos ocultos, meta-datos, comentarios, revisiones, etc. especialmente cuando estos se vayan a difundir ampliamente (Limpieza de documentos). El estado ideal reside en que en los procesos de publicación en la página web las herramientas hagan una limpieza automática de metadatos. Protección de los servicios: Medidas para la protección de los servicios prestados: ► La Protección del correo electrónico (e-mail) de las amenazas que le son propias. Se trata de regular su uso mediante el establecimiento de normas, y crear una cultura de uso seguro a través de la formación y la concienciación. Programa Profesional en Ciberseguridad 25 Tema 6. Esquema Nacional de Seguridad (ENS) 4 © Universidad Internacional de La Rioja (UNIR) Tema 6. Esquema Nacional de Seguridad (ENS) ► Medidas de Protección de servicios y aplicaciones web de las amenazas que le son propias, se utilizarán además "certificación de autenticación de sitio web" acordes a la normativa europea en la materia, implementando medidas preventivas y reactivas frente a ataques de denegación de servicio. ► En caso de que el nivel alcanzado para la dimensión de disponibilidad [D] sea alto además será necesario implementar un sistema de detección de este tipo de ataques y garantizar la existencia y disponibilidad de Medios alternativos, para prestar los servicios en el caso de que fallen los medios habituales. Fase-3: Conformidad con el ENS El objetivo de esta fase es obtener el distintivo que verifique la conformidad de
