De un tiempo a esta parte y sobre todo las personas que de un modo u otro tienen relación con servicios TI de la administración pública, están empezando a escuchar (y cada vez irá a mas) del Esquema Nacional de Seguridad (en adelante ENS). Bueno y esto del ENS, ¿qué es?
Puesta en contexto:
Las personas cada vez se sienten más cómodos con el uso de las nuevas tecnologías y las van incorporando a su forma de vida, consultamos la cartelera del cine desde el móvil, pagamos los recibos de la guardaría en la Banca electrónica, etc., todo tiende a ser más flexible y “fácil”, con oficinas que no cierran y están disponibles en cualquier punto del planeta con conexión a Internet. Evidentemente, solo era cuestión de tiempo que las personas, en su rol de ciudadanos con obligaciones y derechos, demandarán a las administraciones pública este tipo de relación/servicio, fruto de la cual nació la Ley 11/2007, que reconoce el derecho de los ciudadanos a relacionarse con las administraciones públicas electrónicamente y la obligación de las mismas de garantizar este derecho.
La finalidad del ENS es crear las condiciones necesarias para que se puedan usar medios electrónicos en la comunicación de los ciudadanos con la administración pública, todo ello por supuesto cumpliendo las garantías necesarias. Se trata por tanto de garantizar a los ciudadanos que su información se custodiara y usará adecuadamente, vigilando que no pueda ser modificada fuera de control o que llegue a manos de personal no autorizado.
Para regular y dotar de marco legal a ENS surgió el Real Decreto 3/2010, de 8 de Enero.
Principios Básicos del ENS (art. 4):
Citando textualmente el art. 4, “El objeto último de la seguridad de la información es asegurar que una organización administrativa, podrá cumplir sus objetivos utilizando sistemas de información”, para ello en la toma de decisiones que afecten a la seguridad, se deberán contemplar los siguientes principios básicos:
- Seguridad integral: La seguridad debe cubrir todos los aspectos y actividades de una organización.
- Gestión de riesgos: Es imprescindible conocer los riesgos a los que están expuestos los sistemas y gestionarlos.
- Prevención, reacción y recuperación: Hay que estar preparado para lo peor y cuando esto ocurra reaccionar adecuadamente y ser capaces de recuperarnos.
- Lineas de defensa: Si observamos detenidamente cualquier fortaleza (castillo), veremos que este concepto no lo inventamos nosotros y es tan sencillo de explicar como, “no apostarlo todo a una carta”, si tenemos varias lineas de defensa, en caso de que caiga una, el daño será contenido y sobre todo no nos veremos comprometidos en la totalidad.
- Reevaluación periodica: La seguridad es un proceso continua, por lo que periódicamente deberemos reevaluar los riesgos que nos afectan y nuestra preparación en general.
- Función diferenciada: Los roles y responsabilidades deben estar claras. Cada persona, grupo u organización debe tener claro que papel le corresponde y responsabilidades se derivan de el.
Requisitos mínimos (art. 11):
Una de las cosas más interesantes que introduce el ENS, es la obligatoriedad de que todos los órganos superiores de las Administraciones Públicas, cuenten con una Política de Seguridad, la cual debe cubrir como mínimo los siguientes aspectos básicos:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos.
- Gestión del personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos.
- Seguridad por defecto.
- Integridad y actualización del Sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de actividad.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad.
El ENS en acción:
El ENS establece una categorización de los sistemas en base a la información que manejan y a los riesgos a que esta expuesto (podemos encontrar información a este respecto en la guía CCN-STIC-803). Así como los requisitos que debe cumplir cada sistema, en función de su categorización para cumplir el ENS.
Todo gira en torno al análisis de riesgos y la auditoría de los mismos. Esta es una labor compleja para la que nos podemos ayudar de un consultor experto y de herramientas informáticas, por ejemplo la Herramienta Pilar de Centro Criptológico Nacional (CCN) es gratuita, o si deseamos algo con más funcionalidades (y también basado en Pilar), existe una herramienta desarrollada por la empresa Ingenia llamada Pulpo que esta dando buenos resultados.
Para finalizar comentar que el CCN esta haciendo un esfuerzo bastante importante para facilitar la labor a las organizaciones, generando una buena cantidad de documentación de excelente nivel técnico, las cuales podemos encontrar agrupadas en las llamadas guías 800.
Fuentes:
CCN – Centro Criptológico Nacional
Real Decreto 2/2010 de 8 de enero.
