Esquema Nacional de Seguridad: qué es y cómo afrontarlo

La transformación digital de las Administraciones Públicas, el aumento de ciberataques y por ello, la pérdida de confianza paulatina de los usuarios en las operaciones mediante canales online hace encender las alarmas y tomar medidas de legaltech para solucionarlo, poniendo en el foco la ciberseguridad.

Ese marco es el que ha motivado que el legislador haya regulado la necesidad de dotar a las Administraciones Públicas de unos estándares de seguridad, surgiendo con ello la necesaria implantación del Esquema Nacional de Seguridad (ENS) como símbolo de ciberseguridad en el ámbito de la Administración Electrónica, necesario además en algunos casos para ciertas empresas privadas, sobre todo si se relacionan con la Administración Pública.

Tabla de contenido

• ¿Qué es el Esquema Nacional de Seguridad (ENS)?
• ¿Quién debe cumplir los requisitos del ENS?
  • ¿Qué ocurre con las empresas del sector privado?
• ¿Cuáles son los principios básicos del Esquema Nacional de Seguridad?
• Requisitos mínimos de seguridad del ENS
• ¿Deben los sistemas pasar por auditoría de seguridad?
• Medidas de seguridad a efectos del Esquema Nacional de Seguridad
  • Marco organizativo
  • Marco operacional
• Medidas de protección

¿Qué es el Esquema Nacional de Seguridad (ENS)?

Como consecuencia de la entrada en vigor de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos, surge la necesidad de hacer seguro este canal, motivo por el que aprueba el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Esta normativa está constituida por los principios básicos y requisitos mínimos requeridos del legaltech, para alcanzar un adecuado cumplimiento en materia de derechos digitales y ciberseguridad.

¿Quién debe cumplir los requisitos del Esquema Nacional de Seguridad?

La normativa ENS está orientada a su obligatorio cumplimiento por las Administraciones Públicas, estableciendo unas políticas de ciberseguridad que se deben aplicar sobre los medios electrónicos empleados por los organismos públicos:

• La Administración General del Estado.
• Las Administraciones de las Comunidades Autónomas y Entidades de la Administración Local.
• Fundaciones del sector público.
• Universidades Públicas.
• Grupos políticos de las Cortes Generales y de Corporaciones Locales.
• Colegios profesionales en las tareas que realizan para la administración.
• Cámaras de comercio.
• Hospitales públicos.
• Federaciones deportivas.
• Empresas públicas.

Además, desde 2018 el sector público debe adaptar al ENS el cumplimiento de las normativas de protección de datos (RGPD y LOPDGDD).

¿Qué ocurre con las empresas del sector privado?

En cuanto a las empresas del sector privado que deben de cumplir con los requerimientos del ENS.

Por el momento la normativa no es de obligado cumplimiento para todas las empresas, pero sí lo es para aquellas que presten servicios u ofrezcan productos para los sistemas de información de los entes públicos obligados a cumplir con el ENS. Las más vinculadas al cumplimiento son:

• Empresas de servicios.
• Empresas tecnológicas.

Sin embargo, por recomendaciones del Centro Criptológico Nacional, se debe realizar un análisis concreto para cada tipo de servicio e información que se trata.

¿Cuáles son los principios básicos del Esquema Nacional de Seguridad?

Líneas de defensa

El sistema ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita:

a) Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.

Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.

Seguridad integral

Como principal objetivo del ENS se encuentra generar la confianza por medio de dicha certificación, garantizando los derechos digitales de los usuarios.

Gestión de riesgos

Se establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de ciberseguridad.

Prevención, reacción y recuperación

Aplicando medidas de prevención, para reducir la posibilidad de amenazas de ciberataques que ocasionen perjuicios para el sistema.

En caso de que estos ciberataques hayan conseguido instalar algún malware o similar en el dispositivo, reaccionar a tiempo poniendo en práctica medidas que permitan atajar a tiempo las posibles consecuencias.

Cuando esto último no haya sido posible, deberán tomarse medidas para hacer posible la recuperación de la información y los servicios, tratando de conseguir que los dispositivos no queden inhabilitados.

Reevaluación periódica

Llevar a cabo actualizaciones en materia de ciberseguridad de forma periódica, para adecuar su eficacia a la constante evolución de los riesgos.

Función diferenciada

Se tomará posesión de funciones, diferenciando el papel de responsable de la información, el responsable del servicio y el responsable de la ciberseguridad.

Requisitos mínimos de seguridad del Esquema Nacional de Seguridad

Se deberá disponer de una política de seguridad (establecida de acuerdo a los principios básicos, indicados con anterioridad) que gestione de manera continuada dicha seguridad, aprobada por el titular del órgano superior correspondiente.

Entre los requisitos más importantes podemos destacar los siguientes:

Organización e implantación del proceso de seguridad. Gestión de personal y profesionalidad.

La ciberseguridad deberá comprometer a todos los miembros de la organización, delegando en personal cualificado en materia de ciberseguridad para realizar revisiones periódicas.

Además, todo el personal relacionado y en contacto con la información y los sistemas deberá ser formado sobre medidas de ciberseguridad.

Análisis y gestión de los riesgos.

Los organismos deberán proceder a un análisis y tratamiento de los riesgos a los que está expuesto el sistema, para no dañar los derechos digitales de los usuarios.

Protección de las instalaciones, autorización de los accesos, de la información almacenada y en tránsito.

El acceso al sistema de información deberá ser controlado y limitado a los usuarios autorizados, restringiendo el acceso a las funciones permitidas.

Los sistemas se instalarán en áreas dotadas de un sistema de control para su acceso.

Se prestará especial atención a la información almacenada o en tránsito, considerando como entornos inseguros los equipos portátiles, asistentes personales (PDA), dispositivos periféricos y redes abiertas o con cifrado débil.

Adquisición de tecnologías de la información.

Estos deben tener certificada la funcionalidad de seguridad, de acuerdo con las normas y estándares de mayor reconocimiento internacional.

Seguridad por defecto. Integridad y actualización del sistema.

Los sistemas deben diseñarse y configurarse de forma que garanticen un adecuado nivel de ciberseguridad.

Además, se deberá dar a conocer en todo momento el estado de seguridad de los sistemas, sus vulnerabilidades y las actualizaciones que les afecten.

Registro de actividad.

Se registran las actividades de los usuarios, reteniendo información para monitorear e investigar actividades indebidas o no autorizadas, con la finalidad de lograr el cumplimiento de determinados niveles de ciberseguridad.

Incidentes de seguridad y continuidad de la actividad.

Se establecerá un sistema de detección y gestión de incidentes de seguridad detectados.

Además, los sistemas dispondrán de copias de seguridad y mecanismos necesarios para garantizar la continuidad en caso de pérdida de información habitual de trabajo.

Mejora continua del proceso de seguridad.

El proceso integral en materia de seguridad deberá ser actualizado de forma continua, con el objetivo de mejorar la ciberseguridad de los sistemas y proteger los derechos digitales de los usuarios.

¿Deben los sistemas pasar por una auditoría de seguridad?

Los sistemas de información serán objeto de una auditoría regular ordinaria, cada dos años, con la finalidad de verificar el cumplimiento de los requisitos anteriormente mencionados.

Sin embargo, se deberá realizar con carácter extraordinario una auditoría cuando se produzcan modificaciones sustanciales en el sistema de información que puedan repercutir en su ciberseguridad. Esta auditoría extraordinaria determinará la fecha para el cálculo de los dos años que se establece para la realización de la siguiente auditoría regular ordinaria.

El informe generado por la auditoría deberá especificar:

• El grado de cumplimiento de los requisitos.
• Deficiencias identificadas.
• Posibles medidas correctoras.
• Recomendaciones que se consideren oportunas.

Los informes de auditoría serán presentados al responsable del sistema y al responsable de seguridad competentes, siendo este último quien lo analizará y presentará sus conclusiones al responsable del sistema para adoptar las medidas correctoras adecuadas.

Medidas de seguridad a efectos del Esquema Nacional de Seguridad

Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplicarán una serie de medidas de seguridad que se dividen en tres grupos:

1) Marco organizativo

Son medidas relacionadas con la organización global de la seguridad:

Política de seguridad

Será aprobada por el órgano superior competente que corresponda, debiendo formalizarse en un documento escrito en el que figure información relacionada a la organización.

Normativa de seguridad

Se dispone de una serie de documentos, en los que figura:

o Correcto uso de los equipos y sistemas
o Consideraciones de usos indebidos
o Responsabilidad del personal en función al cumplimiento de las normas.

Procedimientos de seguridad

Se dispone de una serie de documentos en los que figura:

o Procedimiento de las tareas habituales.
o Roles para la ejecución de esas tareas.
o Procedimiento de identificación de comportamientos anómalos.

Proceso de autorización

Se establecerá un proceso formal de autorizaciones que cubra todos los elementos del sistema de información.

2) Marco operacional

Son medidas para proteger la operación del sistema como conjunto integral de componentes para un fin:

• Planificación: por medio de análisis de riesgos, conformar una arquitectura de seguridad, establecer una programación de la adquisición de nuevos componentes y la gestión de capacidades.
• Control de acceso: Punto de equilibrio entre la comodidad de uso y la protección de la información otorgada por la implantación de medidas como:
  • Claves de identificación propias para cada usuario
  • Segregación de tareas
  • Limitación del acceso a información
  • Acceso local, desde puestos de trabajo dentro de las instalaciones de la organización
  • Acceso remoto cuando proceda por medio de redes de terceros
• Explotación: procediendo a una debida actualización de los sistemas, configurando los máximos niveles de ciberseguridad y protegiendo a los usuarios de posibles atentados contra sus derechos digitales.
• Servicios externos: la limitación y control de funciones en caso de requerir recursos externos a la organización.
• Continuidad del servicio: se llevarán a cabo planes de continuidad y pruebas periódicas que garanticen los niveles de ciberseguridad óptimos.
• Monitorización del sistema: los sistemas estarán sujetos a un exigente seguimiento de su actividad y controles de ciberseguridad, para detectar posibles anomalías.

Medidas de protección

Son medidas para proteger activos concretos según su naturaleza y la calidad exigida por el nivel de ciberseguridad de las dimensiones afectadas.

• Protección de las instalaciones e infraestructuras: se llevarán a cabo acciones de ciberseguridad, tales como:
  • Áreas separadas y con control de acceso
  • Identificación de las personas y registro de entrada y salida de equipamiento
  • Garantizar niveles de suministros eléctricos
  • Protección frente a incendio e inundaciones
  • Instalaciones alternativas
• Gestión del personal: se deben definir responsabilidades con cada puesto de trabajo, así como sus obligaciones. Además, es de suma relevancia formar al personal en materia de ciberseguridad para concienciar a los mismos de la importancia que cobra en el derecho digital.
• Protección de los equipos, soportes de información y de las comunicaciones: se llevarán a cabo controles de identificación, comunicaciones desde redes privadas, revisión de los sistemas empleados y destrucción de contenido para garantizar niveles de ciberseguridad.
• Protección de la información: en base al principal objetivo, la protección de los usuarios y el derecho digital, se toman medidas orientadas al legaltech para combatir amenazas:
  • Aplicación de normas sobre datos de carácter personal en la protección de información.
  • La información con un nivel alto en confidencialidad deberá ser cifrada.
  • Empleo de la firma electrónica como un instrumento capaz de permitir la comprobación de la autenticidad.
  • Se emplearán sellos de tiempo para aquella información que sea susceptible de ser utilizada como evidencia electrónica en el futuro.
  • Limpieza de documentos y realización de copias de seguridad.
• Protección de los servicios: medidas para la protección del correo electrónico, de servicios y aplicaciones web y frente a la denegación de servicios.

Las medidas seleccionadas se formalizarán en la Declaración de Aplicabilidad, documento que debe ser firmado por el responsable de la seguridad del sistema.

Expertos en Legaltech y en Sistemas, LEASBA cuenta con profesionales capaces de acometer este tipo de proyectos y de adaptar las mejores medidas encaminadas a conseguir altos niveles de ciberseguridad y confianza que los usuarios demandan al navegar por entornos online.

Cuenta con nosotros para dar ese salto legaltech en materia de ciberseguridad.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.