Esquema Nacional de Seguridad (ENS) Definición y fases

En este artículo vamos a explicar en qué consiste el Esquema Nacional de Seguridad, una herramienta creada para garantizar la seguridad de la información en el sector público, peor que también puede afectar al privado cuando se trata de contrataciones o subcontrataciones con la Administración.

¿Qué es el esquema nacional de seguridad o ENS?

El Esquema Nacional de Seguridad o ENS es una normativa que tiene como objetivo establecer los principios que regulan y aseguran el acceso, integridad, disponibilidad y veracidad de la información empleada en medios electrónicos en o relacionados con las Administraciones Públicas (estatales, autonómicas y locales).

Recogido en el Real Decreto 3/2010, el ENS se crea con la necesidad de establecer aspectos y metodologías comunes relativas a la segurita en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, con el fin de crear las condiciones de confianza necesarias para que los ciudadanos usen estos medios en el cumplimiento y ejercicio de sus deberes y derechos.

El ENS surgió como el resultado del trabajo coordinado por Ministerio de la Presidencia y posteriormente por el Ministerio de Política Territorial y Administración Pública, contando con el apoyo del Centro Criptológico Nacional (CNN) y la participación de todas las Administraciones Públicas, incluidas universidades públicas y los órganos colegiados con competencias en materia de administración electrónica.

Objetivos del ENS

El Esquema Nacional de Seguridad de España tiene seis objetivos principales:

• Crear las condiciones necesarias de confianza para el uso de los medios electrónicos por parte de los ciudadanos en su relación con las Administraciones Públicas.
• Introducir elementos y metodologías comunes en materia de seguridad de las tecnologías de la información para las Administraciones Públicas.
• Aportar un lenguaje común para facilitar la interacción entre las diferentes Administraciones, así como la comunicación de los requisitos de seguridad de la información a la Industria.
• Promover la gestión continua de la seguridad.
• Promover la prevención, detección y corrección para mejorar la resiliencia ante ciberamenazas y ciberataques.
• Servir como modelo de buenas prácticas.

Principios del Esquema ENS

Para lograr los objetivos el Esquema ENS se basa en una serie de principios básicos que se deben de tener en cuenta a la hora de tomar decisiones relacionadas con la seguridad de la información. Estos principios básicos, que se recogen en el artículo 4 del RD 3/2010 y se desarrollan en los artículos del 5 al 10, son:

• Seguridad integral: La seguridad debe entenderse como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Además, se debe poner especial interés a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que no se conviertan ellos en un riesgo para la seguridad.
• Gestión de riesgos: Se debe llevar a cabo un análisis y gestión de riesgos como parte del proceso de seguridad y mantenerlo permanentemente actualizado. Esta gestión de los riesgos debe permitir una reducción de los mismos hasta un nivel aceptable.
• Prevención, reacción y recuperación: La seguridad del sistema debe tener como objetivo que las amenazas no se materialicen, no afecten a la información que manejan o los servicios que prestan. Además, el sistema debe garantizar la conservación de los datos e información en soporte electrónico y el mantenimiento de los servicios durante todo el ciclo vital de la información digital.
  • Las medidas de prevención deben eliminar o reducir la posibilidad de recibir un ataque. Deben contemplar la disuasión y la reducción de la exposición.
  • Las medidas de detección deben permitir detectar los ataques a tiempo.
  • Las medidas de recuperación deben permitir la restauración de la información y los servicios.
• Líneas de defensa: El sistema debe contar con varias capas de seguridad que garanticen la protección del mismo y permitan:
  • Ganar tiempo para reaccionar ante un ataque que no se ha evitado.
  • Reducir la posibilidad de que se comprometa el sistema en su conjunto.
  • Minimizar el impacto final.
• Revaluación periódica: Se debe llevar a cabo una evaluación y actualización periódica de las medidas de seguridad para comprobar su eficacia y adecuarlas a la evolución o aparición de nuevos riesgos. Para ello se puede recurrir a la auditoría de seguridad.
• Función diferenciada: Se debe diferenciar entre el responsables de la información, el responsable del servicio y el responsable de la seguridad.

Real decreto 3/2010

Como decíamos, el Esquema Nacional de Seguridad está recogido en el Real Decreto 3/2010, que desarrolla lo previsto en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos. El RD 3/2010 fue modificado a su vez por el Real Decreto 951/2015, hasta ofrecer el texto consolidado actual, que podemos leer en la publicación electrónica del BOE.

Requisitos del Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad establece unos requisitos mínimos que todo sistema de seguridad de la información debe cumplir y que el RD 3/2010 agrupa de la siguiente manera en su artículo 11 (para desarrollarlos posteriormente en los artículos 12 a 26):

• Organización en implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de accesos.
• Protección de las instalaciones.
• Adquisición de productos.
• Seguridad por defecto.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito.
• Prevención ante otros sistemas de información interconectados.
• Registro de actividad.
• Incidentes de seguridad.
• Continuidad de la actividad.
• Mejora continua del proceso de seguridad.

El ENS y la protección de datos

Aunque el ENS y RGPD contemplan la misma denominación para los riesgos para los datos e información manejados, es decir, clasifican en bajo, medio o alto, no tienen el mismo significado para estas normativas.

Para el RGPD, los niveles de seguridad se determinan en función de a qué categoría concreta pertenezca un dato, mientras que para el ENS la clasificación se hace en base al impacto que un incidente de seguridad puede tener en relación con la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio y el respeto a la legalidad y a los derechos de los ciudadanos.

Así que, cumplir con la normativa recogida en el Esquema Nacional de Seguridad no exime de cumplir a la Administración Pública con la protección de datos, especialmente cuando trata datos personales de los ciudadanos.

¿Qué organizaciones, públicas o privadas, están obligadas a cumplir con este Esquema?

Están obligadas a cumplir con el Esquema Nacional de Seguridad la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y las entidades de derecho público vinculadas o dependientes de las mismas (universidades, hospitales, órganos colegiados…).

Así mismo, también deben contemplar el cumplimiento del ENS aquellas empresas que contraten o subcontraten con las AA.PP. para la prestación de servicios relacionados con el ámbito de aplicación de la normativa, es decir, todo lo relacionado con el ejercicio o cumplimiento de los derechos y deberes de los cuidadnos a través de medios electrónicos o el acceso a la información a través de ellos.

Fases para implantar un esquema nacional de seguridad

Implementar el ENS debe seguir una serie fases, que vemos a continuación:

Definir una política de seguridad

En una primera fase se debe definir la política de seguridad de la administración pública o empresa que con la que haya contratado o subcontratado un servicio. Esta política debe ser aprobada por el órgano superior correspondiente (los responsables directos de la ejecución de la acción del gobierno central, autonómico o local).

La política de seguridad debe cubrir los requisitos que vimos más arriba.

Definir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS

La política de seguridad también debe definir cuáles de sus recursos técnicos, organizativos, humanos y procedimentales estarán sujetos al ENS. Para ello se recogerá información sobre los recursos técnicos, la infraestructura y controles de seguridad existentes, las normas de seguridad ya implementadas, las responsabilidades asignadas, etc.

Catalogación de los tipos de información según tipos y niveles

La siguiente fase se dedicará a hacer una catalogación de información según tipos y niveles. Esta catalogación se debe basar en la valoración del impacto que tendría sobre la entidad un incidente sobre la seguridad de la información o de los sistemas, atendiendo a:

• Los objetivos del servicio o sistema de información.
• La protección de los activos implicados.
• El cumplimiento de las obligaciones del servicio.
• El cumplimiento de la legalidad vigente.
• El respeto a los derechos de las personas implicadas.

Además, para determinar el impacto en la seguridad de la información, los parámetros empleados deben tener en cuenta cada una de las dimensiones en la seguridad de la información:

• Disponibilidad.
• Integridad.
• Confidencialidad.
• Autenticidad.
• Trazabilidad.

Finalmente, el ENS establece tres niveles de impacto:

• Nivel Bajo: Los daños y perjuicios sobre las funciones de la entidad, sus activos o las personas afectadas son limitados.
• Nivel Medio: Los daños y perjuicios son graves para las funciones de la entidad, sus activos o las personas afectadas.
• Nivel Alto: Los daños o perjuicios que sufrirán las funciones, activos de la entidad o personas afectadas son muy graves. Hablamos aquí de un daño catastrófico.

Definir y asignar responsables de velar por el cumplimiento de la política de seguridad de la organización

También contemplado en la política de seguridad, se asignarán a los responsables de seguridad que se encargarán de asegurar el cumplimiento de las medidas de seguridad que se implanten en la entidad.

Estos responsables, como el resto del personal relacionado con la información y los sistemas deben estar formados e informados de sus deberes y obligaciones en materia de seguridad.

Evaluar la eficacia de las medidas adoptadas

La siguiente fase se dedicará a realizar un análisis de riesgos, incluida una evaluación de las medidas de seguridad ya implementadas, teniendo en cuenta los niveles de impacto que vimos más arriba. Las medidas de seguridad afectarán a:

• Medidas en el nivel de la organización del sistema de seguridad:
  • Política de seguridad
  • Normativa de seguridad
  • Procedimientos de seguridad
  • Procesos de autorización
• Medidas de protección a nivel operacional del sistema de información:
  • Planificación
  • Control de acceso
  • Servicios externos
  • Continuidad del servicio
  • Monitorización del sistema
• Medidas para proteger activos concretos de información:
  • Protección de las instalaciones e infraestructuras
  • Gestión del personal
  • Protección de los equipos
  • Protección de las comunicaciones
  • Protección de los soportes de la información
  • Protección de las aplicaciones informáticas
  • Protección de la información
  • Protección de los servicios

Mantener el sistema actualizado

Se debe elaborar una plan de adecuación para mejorar la seguridad, de manera que se realicen actualizaciones periódicas del sistema, que aseguren la minimización de riesgos y la respuesta ante amenazas y ataques.

Realización de una Auditoría bienal de Seguridad que revise la política de seguridad y el sistema de seguridad establecidos

El ENS establece que para los sistemas de información categorizados como medios o altos, será obligatorio realizar una auditoría cada dos años o cuando se produzcan modificaciones importantes en el sistema de información que puedan afectar a la seguridad, de manera similar a que exigía la auditoría LOPD en materia de protección de datos.

La auditoría puede llevarse a cabo tanto por personal interno como por un servicio externo. Aunque en el caso del personal interno, este debe ser independiente, es decir, no ser uno de los encargados o responsables del sistema de información.

El informe de la auditoria deberá contemplar estos elementos:

• Alcance y objetivo de la auditoría.
• Criterios metodológicos empleados.
• Datos, hechos y observaciones en los que se basen las conclusiones del informe.
• Identificar las deficiencias del sistema.
• Grado de cumplimiento del ENS.
• Sugerir medidas correctoras o complementarias para subsanar las deficiencias.
• Recomendaciones.

El informe de auditoría será revisado por el responsable de seguridad del sistema, que deberá:

• Adoptar las medidas de seguridad necesarias.
• Comunicarlo al responsable de la entidad.
• Facilitárselo al Centro Criptológico Nacional.
• Determinar si es necesario adoptar medidas de seguridad extraordinarias.

Resumen

En resumen, el Esquema Nacional de Seguridad establece los principios básicos y los requisitos mínimos para que las Administraciones Públicas protejan de manera adecuada la información, las comunicaciones y los servicios electrónicos que emplean los ciudadanos para ejercer o cumplir con sus derechos y deberes. Además, el ENS también debe contemplarse por aquellas empresas privadas que contraten o subcontraten con las AA.PP. la prestación de sus servicios, cuando estos están relacionados con los sistemas de información.

Además, el ENS, que cumple 10 años en 2020, se ha convertido en una de las principales herramientas con las que mejorar la ciberseguridad de las AA.PP., gracias a la cual se han podido homogeneizar metodologías y medidas de seguridad en ellas.