El esquema nacional de seguridad, nuevo estándar certificable de ciberseguridad

El Esquema Nacional de Seguridad (ENS) promueven un conjunto de políticas y medidas de seguridad en la utilización de medios electrónicos para alcanzar unos principios básicos y requisitos mínimos para proteger la información y los sistemas que prestan el servicio a los ciudadanos.

Emana de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y en su artículo 42.2 define el Esquema Nacional de Seguridad que queda regulado mediante el Real Decreto 3/2010, de 8 de enero, modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre.

El ENS está promoviendo y mejorando la seguridad del conjunto de la Administración Pública Española y de los proveedores de sistemas de información que le prestan servicios, siendo actualmente de plena aplicación y obligado cumplimiento para ambos. Se ha convertido en el estándar de seguridad de la Administración Pública y es un estándar de referencia para el sector privado, así como un estándar de ciberseguridad muy valorado a nivel europeo.

Servicios Esquema Nacional de Seguridad

Siendo un estándar de seguridad que es certificable a categoría baja, media y alta por empresas que estén acreditadas por la Entidad Nacional de Acreditación (ENAC) según se indica en la Guía CCN-STIC 809 Declaración y Certificación de Conformidad con el ENS.

Las entidades públicas como sus proveedores de servicios tecnológicos deberían abordar el Esquema Nacional de Seguridad aprovechando la obligación del cumplimiento normativo que les brinda el ENS, para conseguir un objetivo superior que es la oportunidad de mejora para la entidad tanto en sus procesos operativos como especialmente en sus niveles de seguridad. Partiendo de las infraestructuras, procesos, clientes y la creación de valor, para buscar la excelencia operativa, una buena gestión del riesgo, el cumplimiento normativo y la generación de confianza, se obtendrá una Administración Pública moderna, es decir: simple, ágil, próxima y transparente.

Factores clave a considerar en una entidad respecto al Esquema de Seguridad son:

• El primero de ellos es entender la seguridad como un aspecto que afecta globalmente a la entidad, y que se basa en unos principios y requerimientos que tienen que estar enmarcada en una política de seguridad, con el soporte y aprobación del órgano de mayor nivel. Una parte importante de los aspectos a implementar son de índole técnica, pero en muchos de ellos, sin realizar cambios sustanciales en los procesos organizativos no se alcanzan las verdaderas ventajas de implementar el ENS.
• Teniendo como base una buena política, con sus normas y procedimientos, hay que realizar un análisis de riesgos que indique de forma clara cuales son los riesgos de cada uno de los sistemas de información, para poder establecer un plan de acción priorizado con el objetivo de mitigar los riesgos según las directrices establecidas. Es importante que el análisis de riesgos contemple los diferentes activos y amenazas de aplicación, que sirva como herramienta para fundamentar las medidas a adoptar y que sea sencillo de elaborar, comprender y mantener, en caso contrario puede no ser un instrumento adecuado para la gestión de riesgos.
• Uno de los aspectos a tomar en consideración es la creciente externalización de los servicios que se está realizando: centro de procesamiento de datos, desarrollo de aplicaciones, servicios de seguridad, servicio de atención al usuario, servicios Cloud, etc. Es por ello que se debe trasladar a los proveedores que prestan los servicios, los requerimientos de cumplimiento de las exigencias del Esquema, una matriz RACI (matriz de responsabilidades) y establecer los mecanismos oportunos para asegurarnos de su cumplimiento.
• Los mecanismos para implantar una continuidad del servicio acostumbran a tener un coste elevado, por este motivo, es fundamental realizar un análisis de impacto que ayude a establecer los servicios esenciales, para focalizarnos en ellos y buscar alternativas para la continuidad que sean económicamente viables.
• Un aspecto a tener en cuenta es la metodología de gestión de proyectos para una gestión y priorización eficiente de la demanda, una planificación adecuada de los recursos, un control de tiempos y costes, para evitar la pérdida de conocimiento o para conseguir la satisfacción de las áreas usuarias.
• En cuanto a la gestión del personal, destacar que es fundamental disponer de personal cualificado y que sus capacidades mejoren con un sistema de formación continua. Además, un buen conocimiento de las políticas, normas y procedimientos, y la concienciación en sus funciones y obligaciones es parte fundamental para la correcta implementación del ENS.
• La protección y reutilización de la información es un punto clave del ENS. Hay que identificar quiénes son sus propietarios, clasificar la información, normalizarla y aplicar las medidas de seguridad en función de su clasificación. Parte de la problemática actual es que la información está distribuida en diferentes sistemas, tanto internos como externos, y su acceso se produce desde múltiples dispositivos algunos sobre los que tenemos el control y otros no. La protección de la información se tiene que aplicar en el origen (sistemas, base de datos, etc.), en las comunicaciones y en la medida de lo posible, en el destino (en los diferentes dispositivos). Disponer de un repositorio centralizado de la información en el que la información no se transfiera a otros sistemas, sino que únicamente se trabaje sobre éste, facilita el control y la aplicación de medidas de seguridad.
• La ciberseguridad cada vez es más relevante en las entidades, ya que los ciberataques son más frecuentes y causan mayores daños reputaciones. Se tienen que reforzar todos los posibles vectores de ataques externos como por ejemplo: segurizar adecuadamente las Webs ante inyección de código, denegaciones de servicio, etc., disponer de dos firewalls en cascada de doble fabricante, sistemas de detección de intrusos, etc.

Por último, nos gustaría destacar que para que las entidades puedan gestionar y mejorar de manera continua la seguridad es necesario que de forma recurrente, al menos cada dos años, realicen Auditorías del Esquema Nacional de Seguridad como se indica en la Guía de Auditoría CCN-STIC 802.

Para que una entidad obtenga la certificación de conformidad con el ENS, deberá de superar la Auditoría adecuadamente y la tiene que realizar con una Entidad de certificación acreditada, como es BDO Auditores, S.L.P.

Valentín Faura

• By BDO
• 19/07/2018
• Auditoría, ciberseguridad, Auditorías del Esquema Nacional de Seguridad, ENS, Esquema Nacional de Seguridad, Servicios Públicos, acceso electrónico, Guía de Auditoría CCN-STIC 802, Entidad Nacional de Acreditación, Guía CCN-STIC 809