Inicio Esquema Nacional de Seguridad
Artículo
Cancelar

Esquema Nacional de Seguridad

2024-03-12 Actualizado 2024-03-20 10 minutos lectura

Introducción

El ENS establece la política de seguridad para la protección adecuada de la información y los servicios prestados a por las administraciones públicas, así como los proveedores del sector privado que prestan servicio a las administraciones publicas. Estas políticas se estructuran en base a un planteamiento común de principios, requisitos, medidas de protección, mecanismos de conformidad y monitorización para todas las entidades en el alcance.

La última versión esta publicada  en el Real Decreto 311/2022, del 3 de mayo de 2022, y sustituye a la versión publicada en enero del 2010.

Objetivos del ENS:

  • Crear las condiciones necesarias de seguridad en el uso de los medio electrónicos.
  • Promover la gestión continuada de la seguridad.
  • Promover la prevención, detección y corrección.
  • Promover un tratamiento homogéneo de la seguridad.
  • Servir de modelo de buenas prácticas.

Implantación del esquema nacional de seguridad

A continuación se presentan las actividades que se han de llevar a cabo para implantar el ENS en una organización:

  • Preparar y aprobar la política de seguridad, incluyendo los objetivos o misión de la organización, el marco regulatorio de las actividades, la definición de roles de seguridad, la estructura y composición del comité para la gestión y coordinación de la seguridad, las directrices de estructuración de la documentación de la seguridad, y los riesgos derivados del tratamiento de datos personales.
  • Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.
  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
  • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.
  • Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.
  • Implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.
  • Auditar la seguridad para verificar el cumplimiento de los requisitos del ENS.
  • Obtener y publicitar la conformidad con el ENS.
  • Informar sobre el estado de la seguridad.

Estructura del ENS

El real decreto se estructura en cuarenta y un artículos distribuidos en siete capítulos, tres disposiciones adicionales, una disposición transitoria, una disposición derogatoria, tres disposiciones finales y cuatro anexos.

A continuación, vamos a repasar los elementos principales del ENS:

  • Capítulo 1 - Disposiciones generales
  • Capítulo 2 – Principios básicos
  • Capítulo 3 - Política de Seguridad
  • Capítulo 4 - Seguridad de sistemas
  • Capítulo 5 – Normas de conformidad
  • Capítulo 6 - Actualización del Esquema Nacional de Seguridad
  • Capítulo 7 - Categorización de los sistemas de información

Capítulo 1 - Disposiciones generales

Define el objeto de la norma, ámbito de aplicación, información, elementos y entidades dentro del alcance. Además, también considera elementos como el uso de tecnologías de comunicación 5G y la protección de datos de carácter personal.

Capítulo 2 – Principios básicos

Establece los principios básicos de la norma, enumerados en el artículo 5:

  1. La seguridad como proceso integral, formada por todos los elementos relacionados con los sistemas de información, tales como recursos humanos, materiales, técnicos, jurídicos y organizativos, siendo el despliegue del ENS un proceso integral y no un elemento atómico y parcial a la organización.
  2. Gestión de la seguridad basada en los riesgos, elaborando un análisis de riesgos como elemento de base para el esquema y evolucionándolo y actualizándolo a medida que se despliegan herramientas y controles.
  3. Prevención, detección, respuesta y conservación, con el objetivo de minimizar precisamente las vulnerabilidades que permitan materializar amenazas, o en su defecto, limitar sus daños.
  4. Existencia de líneas de defensa, constituyendo una estrategia que permita proteger a la organización en caso de que una capa de seguridad sea vulnerada existiendo capas de seguridad con más profundidad y de alcance acotado.
  5. Vigilancia continua, que implica la detección de actividades o comportamientos anómalos y la respuesta ante los mismos.
  6. Reevaluación periódica de las medidas de seguridad implementadas, adaptando su implementación a la evolución del nivel de riesgo de la organización.
  7. Diferenciación de responsabilidades entre el responsable de información, servicio, seguridad y sistema.

Capítulo 3 - Política de Seguridad

Establece la política de seguridad y requisitos mínimos para permitir una protección adecuada de la información y los servicios:

La política de seguridad se desarrollará cubriendo los siguientes contenidos mínimos:

  • Organización e implantación del proceso de seguridad: La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización.
  • Análisis y gestión de los riesgos: Cada organización deberá realizar su propia gestión de riesgos, consistente en un proceso de identificación, evaluación y tratamiento de los mismos.
  • Gestión de personal: El personal relacionado con los sistemas IT de la organización debe estar formado en sus deberes y responsabilidades en materia de ciberseguridad.
  • Profesionalidad: La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido.
  • Autorización y control de los accesos: El acceso controlado a los sistemas de información comprendidos en el ámbito de aplicación de este real decreto deberá estar limitado a los elementos autorizados.
  • Protección de las instalaciones: Los sistemas de información y su infraestructura de comunicaciones asociada deberán permanecer en áreas controladas y disponer de los mecanismos de acceso adecuados y proporcionales a su riesgo asociado.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad: Se utilizarán aquellos que tengan certificada la funcionalidad de seguridad para la que han sido adquiridos.
  • Mínimo privilegio: Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño.
  • Integridad y actualización del sistema: La inclusión o modificación de cualquier elemento en el inventario de activos, requerirá autorización formal previa.
  • Protección de la información almacenada y en tránsito: Se prestará especial atención a la seguridad de la información en reposo y en tránsito enviada a través de dispositivos portátiles. Además, se analizarán los soportes extraíbles de información, y las comunicaciones a través de redes abiertas, para protegerlas convenientemente.
  • Prevención ante otros sistemas de información interconectados: Se protegerá el perímetro del sistema de información, especialmente, si se conecta a redes públicas, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
  • Registro de la actividad y detección de código dañino: las actividades de los usuarios serán registradas, almacenando la información básica para monitorizar, analizar, investigar y documentar eventos no autorizados o actividades maliciosas.
  • Incidentes de seguridad: La organización deberá contar con procedimientos de gestión de incidencias. Asimismo, se dispondrá de mecanismos de detección, criterios de clasificación, procedimientos de análisis, resolución y comunicación.
  • Continuidad de la actividad: Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de disrupción.
  • Mejora continua del proceso de seguridad.

Logo ENS Logo ENS

El artículo 28 regula el cumplimiento de los requisitos mínimos, según las medidas del anexo II, que podrán no ser implementadas siempre y cuando se establezcan y justifique la implantación de otras medidas compensatorias.

El artículo 29 promueve la utilización de infraestructuras y servicios comunes a las administraciones públicas con el objetivo de fomentar la eficiencia y la compartición de información de ciberseguridad e inteligencia entre administraciones públicas.

El artículo 30 establece la posibilidad de implementar perfiles de cumplimiento específicos estableciendo una serie de medidas de seguridad en función del nivel de riesgos identificado.

Capítulo 4 - Seguridad de sistemas

Auditoría, informe e incidentes de seguridad, establece los requisitos de auditoría de seguridad de la organización, debiendo ejecutarse al menos una vez cada dos años siguiendo criterios y métodos de auditoria reconocidos.

Por su parte, el artículo 32, relativo al informe del estado de la seguridad, precisa que este deberá permitir elaborar un perfil general del estado de la seguridad en las entidades.

La prevención, detección y respuesta a incidentes de seguridad se define los artículos 33 y 34, indicando la necesidad de existencia de procesos de gestión de incidencias y designando al CCN-CERT como responsable de la coordinación de respuesta a incidencias en el ámbito de las administraciones y organizaciones dentro del alcance del ENS.

Capítulo 5 – Normas de conformidad

Establece las normas de conformidad que se concretan en cuatro:

  • Administración Digital.
  • Ciclo de vida de servicios y sistemas.
  • Mecanismos de control.
  • Procedimientos de determinación de la conformidad con el ENS.

Capítulo 6 - Actualización del Esquema Nacional de Seguridad

Establece la obligación de actualización de acuerdo con el marco jurídico, la evolución de la tecnología y los estándares en materia de seguridad, nuevas amenazas y vectores de ataque.

Capítulo 7 - Categorización de los sistemas de información

El artículo 40 establece la categorización de seguridad en función del impacto de un incidente en términos de disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, siguiendo para ello el procedimiento descrito en el anexo I;

El real decreto se complementa con cuatro anexos:

  • El anexo I regula las categorías de seguridad de los sistemas de información, detallando la secuencia de actuaciones para determinar la categoría de seguridad de un sistema.
  • El anexo II detalla las medidas de seguridad. En particular, este anexo detalla las medidas de seguridad estructuradas en tres grupos:
    1. El marco organizativo, constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
    2. El marco operacional, formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
    3. las medidas de protección, que se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
  • El anexo III se ocupa del objeto, niveles e interpretación de la auditoría de la seguridad.
  • El anexo IV incluye el glosario de términos y definiciones.

Además de la legislación vigente consultable en la web del BOE, el CCN ha habilitado una web específica para consultar las novedades del ENS con multitud de materiales e infografías. Web del ENS CCN-CERT Asimismo, el CCN, proporciona una serie de herramientas que dan soporte en el proceso de cumplimiento del ENS. Herramientas soporte ENS CCN

Normativa que regula el ENS

El Esquema Nacional de seguridad está regulado específicamente por la siguiente normativa:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas deInformación.
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas,por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional deSeguridad.
  • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
  • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
  • La relación de otra normativa relacionada con la ciberseguridad en España puede consultarse en el Código de Derecho de la Ciberseguridad editado por el BOE.

Bibliografía y contenidos adicionales

Ciberseguridad en Entornos de las Tecnologías de la Información, Normativa de Ciberseguridad
ciberseguridad en entornos de las tecnologías de la información normativa de ciberseguridad
Este artículo está licenciado bajo CC BY 4.0 por el autor.
Recientemente actualizado
Índice

Normativa nacional e internacional

Directiva NIS