Te damos toda la información sobre el Esquema Nacional de Seguridad ENS, para trabajar con la Administración Pública. Encuentra información adicional en ingerte.com
2. 2
Índice
1. Introducción
2. Aplicación
3. Tipos de Servicios Afectados
4. ¿Son equivalentes el ENS e ISO 27001?
5. ¿Son necesarias las auditorías
externas en el ENS?
6. Resumen de Requisitos
7. Implantación del ENS
8. Ventajas de Ingertec
9. Equipo de Trabajo
10. Referencias
3. 3
1. Introducción
El Esquema Nacional de Seguridad (ENS) fue creado para defnir los
requisitos de seguridad de la información en el contexto de la
Administración electrónica.
El ENS defne los requisitos mínimos para establecer una política de
seguridad en el uso de medios electrónicos y así conseguir una
protección adecuada de la información.
El objetivo del ENS no es otro que conseguir la confanza de los
usuarios y de las organizaciones ante el uso de medios
electrónicos. Para ello se establecen medidas específcas para la
seguridad de:
●
Sistemas (Medios electrónicos)
●
Datos
●
Comunicaciones
●
Servicios Electrónicos
4. 4
2. Aplicación
El ENS aplica a:
●
La Administración General del Estado, Administraciones de las
Comunidades Autónomas y las Entidades que integran la
Administración Local, así como las entidades de derecho público
vinculadas o dependientes de las mismas.
●
Los ciudadanos en sus relaciones con las Administraciones
Públicas.
●
Las relaciones entre las distintas Administraciones Públicas.
¿El ENS también afecta a los proveedores?
El ENS es una norma de obligado cumplimiento para todos los
Sistemas de Información de las Administraciones Públicas,
independientemente de su ubicación. Siguiendo este concepto, las
actividades de los Sistemas de Información que tienen lugar fuera de
las dependencias de la administración pública o están subcontratadas
con empresas externas se debe tener en cuenta que se les puede
exigir el cumplimiento del ENS.
Lo anterior, es válido no sólo para los Sistemas de Información que
estén operados por personal propio y/o en dependencias de las
administraciones públicas, sino también a aquellos otros que, estando
operados por terceros en dependencias propias o externas afecten a
funciones, misiones, cometidos o servicios para las AA.PP.
5. 5
3. Tipos de servicios afectados
●
Sedes electrónicas.
●
Registros electrónicos.
●
Sistemas de Información accesibles electrónicamente por los
ciudadanos.
●
Sistemas de Información para el ejercicio de derechos.
●
Sistemas de Información para el cumplimiento de deberes.
●
Sistemas de Información para recabar información y estado del
procedimiento administrativo.
6. 6
4. ¿Son equivalentes el ENS y la ISO 27001?
Los controles sobre la seguridad recogidos en el anexo ISO 27002 son
comunes a muchas de las medidas de seguridad indicadas en el anexo
II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la
protección y la norma ISO 27001 es un sistema de gestión que contiene
los requisitos para la construcción de un sistema de gestión de la
seguridad.
Es por lo anterior, que las empresas certifcadas en ISO 27001 tienen
buena parte del camino recorrido para lograr su conformidad con el
ENS.
Por otro lado, el ENS está enfocado en la “protección” de la información
y los servicios exigiendo además la gestión continuada de la seguridad,
para lo cual no descabellado pensar en implantar un sistema de
gestión. En este sentido, podemos considerar que ISO 27001 puede ser
un importante apoyo para todas las organizaciones ya sean públicas o
privadas para entender y aplicar un proceso de mejora continua.
7. 7
4. ¿Son equivalentes el ENS y la ISO 27001?
Los controles sobre la seguridad recogidos en el anexo ISO 27002 son
comunes a muchas de las medidas de seguridad indicadas en el anexo
II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la
protección y la norma ISO 27001 es un sistema de gestión que contiene
los requisitos para la construcción de un sistema de gestión de la
seguridad.
Es por lo anterior, que las empresas certifcadas en ISO 27001 tienen
buena parte del camino recorrido para lograr su conformidad con el
ENS.
Por otro lado, el ENS está enfocado en la “protección” de la información
y los servicios exigiendo además la gestión continuada de la seguridad,
para lo cual no descabellado pensar en implantar un sistema de
gestión. En este sentido, podemos considerar que ISO 27001 puede ser
un importante apoyo para todas las organizaciones ya sean públicas o
privadas para entender y aplicar un proceso de mejora continua.
8. 8
5. ¿Son necesarias las auditorías externas en el
ENS?
En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o
ALTO, ENS impone la necesidad de pasar una auditoría bienal,
realizada por personal cualifcado, independiente del servicio/sistema
que esté auditando.
Además se aclara que las personas que han tomado parte en el diseño,
desarrollo, explotación, etc., del sistema o servicio de que se trate, no
gozan de las aconsejables garantías de imparcialidad que requiere una
auditoría.
Esta exigencia se rebaja cuando se están evaluando sistemas
categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe
ninguna auditoría, sino una auto-evaluación.
10. 10
6. Resumen de Requisitos
El esfuerzo por la Seguridad según el espíritu del ENS es una tarea
colectiva que atañe a toda la organización y está basada en dos pilares
fundamentales:
●
La designación de responsabilidades
●
La comunicación y difusión de la política a toda la organización.
Se trata de conseguir la implicación de todos los que forman parte de
una entidad para aunar esfuerzos en la tarea de la Seguridad, por
tanto la responsabilidad de los órganos de dirección no solo esta en
elaborar la Política de Seguridad, sino en difundirla y hacerla cumplir.
6.1. Organización e implantación del proceso de seguridad
Cada organización realizara su propio análisis y gestión de riesgos
basados en:
●
Metodologías Internacionalmente reconocidas
●
Adopción de medidas proporcionadas a la gravedad del riesgo, es
decir el coste de las medidas no debe ser mayor que el daño
causado por el riesgo que se quiere evitar.
6.2. Análisis y gestión de los riesgos
11. 11
6. Resumen de Requisitos
Las tareas y deberes de la seguridad son responsabilidad de todo el
personal, por lo que será fundamental tener previstas tareas de:
●
Concienciación y sensibilización
●
Comunicación y divulgación
●
Actividades formativas
●
Verifcación del seguimiento de las obligaciones de seguridad.
6.3. Gestión del Personal
En este punto se nos habla de:
●
La necesaria cualifcación del personal dedicado a la atender,
revisar y auditar los sistemas de seguridad
●
La necesaria formación específca en seguridad para poder atender
los sistemas de información necesarios para el servicio.
●
La necesidad de exigir a los proveedores externos los mismos
niveles de seguridad que se exijan internamente.
6.4. Profesionalidad
12. 12
6. Resumen de Requisitos
La protección de la seguridad de los Sistemas pasa por restringir el
acceso a las aplicaciones y procesos que sean necesarios para la
realización de una tarea evitando aquellos equipos y aplicaciones que
no necesitan ni deben estar al alcance de determinados usuarios.
6.5. Autorización y Control de Accesos
Las instalaciones deberán protegerse contra los daños que se puedan
causar a los sistemas que albergan mediante
●
Sistemas de control de acceso
●
Salas cerradas y con control de llaves
6.6. Protección de las Instalaciones
13. 13
6. Resumen de Requisitos
Los productos y servicios a contratar por la administración serán
evaluados tanto en sus prestaciones como en sus niveles de seguridad.
6.7. Adquisición de productos de seguridad
Pautas para garantizar la seguridad por defecto de los sistemas:
●
Evitar funcionalidades innecesarias en el diseño
●
Restringir el acceso por personas, emplazamientos, equipos y
horarios
●
Activación y desactivación de funciones confgurable por el sistema
de explotación
●
El sistema ha de ser sencillo y seguro de utilizar, de forma que para
que ocurra un incidente de seguridad sea necesario que el usuario
lo haga de manera consciente.
6.8. Seguridad por defecto
14. 14
6. Resumen de Requisitos
Pautas para garantizar la integridad del sistema:
●
Cualquier cambio debe ser autorizado mediante procedimientos
formales
●
Se deberá conocer en todo momento el estado de seguridad de los
sistemas, en relación a las especifcaciones de los fabricantes, a las
vulnerabilidades y a las actualizaciones que les afecten
6.9. Integridad y actualización del sistema
Se considera información almacenada o en tránsito a:
●
El ENS establece que se debe instalar un sistema de detección y
reacción frente a código dañino (virus, gusanos, troyanos, etc.).
6.10. Protección de información almacenada y en tránsito.
15. 15
6. Resumen de Requisitos
Las conexiones con otras redes, especialmente redes públicas como
Internet, conllevan riesgos que deben ser evaluados antes de proceder
a autorizar dichas conexiones.
6.11. Prevención ante otros sistemas de información
interconectados
Se registrarán las actividades de los usuarios, reteniendo la
información necesaria para monitorizar, analizar, investigar y
documentar actividades indebidas o no autorizadas, permitiendo
identifcar en cada momento a la persona que actúa, siembre con el
debido respeto a las leyes sobre protección de datos, de la intimidad
de las personas e imagen y toda la legislación aplicable al respecto.
6.12. Registro de actividad
16. 16
6. Resumen de Requisitos
El ENS establece que se debe instalar un sistema de detección y
reacción frente a código dañino (virus, gusanos, troyanos, etc.).
El objeto de esta medida es poder realizar una gestión de incidentes:
●
Tomar acciones correctivas
●
Documentar y realizar estudios
●
Tomar medidas preventivas para evitar que vuelvan a suceder.
6.13. Incidentes de Seguridad
Los sistemas dispondrán de copias de seguridad y establecerán los
mecanismos necesarios para garantizar la continuidad de las
operaciones, en caso de pérdida de los medios habituales de trabajo.
6.14. Continuidad de la Actividad
17. 17
6. Resumen de Requisitos
El proceso integral de seguridad implantado deberá ser actualizado y
mejorado de forma continua. Para ello, se aplicarán los criterios y
métodos reconocidos en la práctica nacional e internacional relativos a
gestión de las tecnologías de la información.
6.15. Mejora continua del proceso de seguridad
Para dar cumplimiento a los requisitos mínimos establecidos en el
presente real decreto, las Administraciones públicas aplicarán las
medidas de seguridad indicadas en el Anexo II, teniendo en cuenta:
●
Los activos que constituyen el sistema.
●
La categoría del sistema, según lo previsto en el Artículo 43.
●
Las decisiones que se adopten para gestionar los riesgos
identifcados..
●
Los dispuesto en la LOPD ley de protección de datos personales
6.16. Cumplimiento de requisitos mínimos
18. 18
7. Implantación del ENS
Para llevar a cabo el desarrollo e implementación del Esquema
Nacional de Seguridad se tendrán en cuenta las siguientes
actividades:
●
Defnición y elaboración de la Política de Seguridad
●
Defnir el conjunto de recursos técnicos, organizativos, humanos y
procedimentales sujetos al ENS
●
Identifcación y valoración de activos de información, incluido los
tratamientos de datos de carácter personal.
●
Catalogación de los tipos de información según su criticidad
(estructura de tipos y niveles).
●
Realizar el análisis y gestión de los riesgos del sistema y
mantenerlo actualizado.
●
Seleccionar las medidas de protección en función de los tipos y
niveles de la información
20. 20
7. Implantación del ENS
Antes de comenzar cualquier proyecto de implantación es necesario
realizar un enfoque metodológico de las actividades a desarrollar:
●
Identifcar los interlocutores clave
●
Establecer la planifcación de las diferentes fases del proyecto
●
Realizar una presentación al Equipo Directivo para que conozcan:
●
Relevancia de la implantación del ENS en la organización
●
Introducción a las amenazas de la seguridad de la información
●
Marco metodológico del proyecto
●
Planifcación de los trabajos
●
Funciones de la alta dirección en el proyecto
7.0. Tareas de Inicio y Planifcación
21. 21
7. Implantación del ENS
Esta tarea consiste en la elaboración y aprobación de un documento
de alto nivel que defna la Política de Seguridad de la Información en el
que se especifque:
●
Los objetivos o misión de la organización
●
El alcance de la política de seguridad
●
El marco legal y regulatorio en el que se desarrollen las actividades
●
La organización de la seguridad: comités, roles y funciones de
seguridad.
●
La estructura del comité para la gestión y coordinación de la
seguridad.
●
Concienciación y formación en materia de seguridad.
●
Compromiso y deber de los responsables del sistema en la gestión
de riesgos.
●
Proceso de aprobación y revisión de la política.
●
Directrices para la estructuración de la documentación, su gestión
y acceso.
7.1. Política de Seguridad
Guías “CNN-STIC 805 Política de Seguridad de la Información” y
“CNN-STIC-801 Responsabilidades y Funciones”
RESULTADOS
ESPERADOS:
Política de
Seguridad de la
Organización
22. 22
7. Implantación del ENS
Identifcación y categorización de los sistemas según el Anexo I del ENS
y atendiendo a la valoración de la información manejada y de los
servicios prestados.
Esta tarea determinará el impacto que tendría sobre la organización un
incidente que afectara a la seguridad de la información o de los
sistemas mediante el establecimiento de una categoría en la que se
tiene en cuenta las siguientes dimensiones de seguridad:
disponibilidad, confdencialidad, integridad, autenticidad y trazabilidad.
Además es necesario:
●
Determinar y categorizar los activos esenciales o de negocio
(información, servicios, tratamiento de datos de carácter personal)
●
Identifcar y categorizar los servicios, aplicaciones y activos
tecnológicos que dan soporte a los activos esenciales.
7.2. Identifcación y valoración de activos
Guía “CNN-STIC 803 Valoración de sistemas en el Esquema
Nacional de Seguridad”
23. 23
7. Implantación del ENS
Tareas a desarrollar:
●
Extraer de la CMDB, si existiera, el inventario de aplicaciones
actualmente desplegadas en producción.
●
Acordar con la dirección del proyecto los criterios de clasifcación
de información que se aplicarán posteriormente.
●
Realizar una primera propuesta de clasifcación de activos de la
información
●
Compartir la primera propuesta inicial de la clasifcación de los
activos de la información a los principales interlocutores y recopilar
posibles modifcaciones.
●
Convocar una reunión para formalizar la aprobación del inventario
y clasifcación de activos.
7.2. Identifcación y valoración de activos
RESULTADOS ESPERADOS:
Inventario preliminar de activos de la información clasifcados según las
dimensiones de seguridad del ENS
24. 24
7. Implantación del ENS
Se realizará un análisis de riesgos en base a la identifcación de los
activos a proteger y al criterio de categorización establecido, según lo
cual se analizarán las amenazas, los posibles daños y su impacto.
El análisis de riesgos tiene en cuenta las medidas de seguridad ya
implantadas.
El análisis de riesgos se realizará según lo descrito en el Anexo II del
ENS mediante la metodología MAGERIT v.3. - Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información.
7.3. Análisis de Riesgos
RESULTADOS ESPERADOS:
Informe de auditoría del estado de seguridad de
la información que incluye una valoración del
nivel de exposición al que se encuentran los
activos de información , cuantifcado como GAP
existente entre el nivel objetivo de seguridad
que debería aplicarse sobre dichos activos de
acuerdo a su nivel de clasifcación y nivel actual
de seguridad aplicado.
25. 25
7. Implantación del ENS
En función de las exigencias derivadas de la valoración de los activos se
elaborará una relación de las medidas de seguridad que sean de
aplicación a los sistemas y que conformarán la Declaración de
Aplicabilidad o SOA.
Como referencia se tomarán las medidas de seguridad especifcadas
en el Anexo II del ENS.
El SOA incluirá las medidas ya implantadas y aquellas que se
seleccionarán para minimizar el riesgo de los activos cruciales para
cumplir con el nivel de seguridad deseado. En caso de que las medidas
no puedan implantarse por razones operativas o presupuestarias,
estas se documentarán y justifcarán proponiendo medidas
compensatorias con el objetivo de:
●
Dar , por lo menos, cumplida respuesta al propósito de la medida
de seguridad del Anexo II del ENS que compensa, en toda su
extensión y rigurosidad.
●
Proporcionar, por lo menos, un nivel de protección similar al de la
medida de seguridad que compensa.
7.4. Declaración de Aplicabilidad
26. 26
7. Implantación del ENS
Se elaborará un Plan de Mejora de la Seguridad que defna las acciones
a llevar a cabo en el sistema en función de su categorización para
subsanar las insufciencias detectadas en el cumplimiento del ENS y su
normativa de desarrollo.
Cada acción prevista incluirá la relación entre la acción propuesta, las
insufciencias que subsana y las medidas de seguridad del Anexo II
relacionadas.
Entre las acciones incluidas en este plan, se propone la manera más
adecuada de implementar cada una de las medidas de seguridad
recogidas en la Declaración de Aplicabilidad, atendiendo a las
particularidades propias, y asistir a los responsables en la
implementación de dichas medidas.
7.5. Plan de Mejora de la Seguridad
Guía “CNN-STIC 804 Medidas e implantación del
Esquema Nacional de Seguridad”
RESULTADOS
ESPERADOS:
Inventario de
proyectos
necesarios para
elaborar el nivel
de seguridad
actual hasta el
deseado.
Preparar un
plan detallado
de proyectos
que compondrá
el Plan de
Gestión de
Riesgos,
incluyendo:
alcance, detalle
de las tareas,
plazos de
ejecución,
estimación de
recursos / costes
necesarios
27. 27
7. Implantación del ENS
Se dejará la documentación necesaria en la organización para poder
realizar el seguimiento del plan de mejora de seguridad, evaluar el
grado de implementación de las medidas recogidas en la Declaración
de Aplicabilidad y del resto de las acciones propuestas.
7.6. Seguimiento y Difusión del Plan de Mejora
28. 28
7. Implantación del ENS
Se prepara el informe sobre el estado de seguridad para incluir en la
herramienta INES aportada por el Centro Criptológico Nacional.
Esta evaluación es previa a la certifcación de la organización y
solo aplicable para las Administraciones Públicas.
7.7. Informe del Estado de Seguridad
Guía “CNN-STIC 815 Métricas e Indicadores en el Esquema
Nacional de Seguridad” y “CNN-STIC 824 Informe del Estado
de Seguridad”
29. 29
7. Implantación del ENS
7.8. Autoevaluación / Certifcación Externa
Aquellas que dispongan de sistemas de categoría media o alta están
obligadas a disponer de un Certifcado de Conformidad con las disposiciones
del ENS.
Declaración de
conformidad - se
realiza por
autoevaluación
Certifcación de Conformidad - requiere una auditoría formal, siendo
obligatorio para las categorías MEDIA y ALTA
30. 30
7. Implantación del ENS
Durante todo el proceso, el consultor de Ingertec resolverá, en su caso, las dudas
del personal de la empresa relativas al sistema de gestión.
ASESORAMIENTO CONTINUO
31. 31
7. Implantación del ENS
Para ser efcientes, la implantación del ENS debe realizarse pensando en la
integración con las obligaciones del RGPD.
Es importante tener en cuenta que la Agencia Española de Protección de Datos
ha dejado claro que el cumplimiento del ENS se tendrá en cuenta como parte del
cumplimiento del artículo 32 RGPD; la realización de la evaluación de riesgos del
ENS y la aplicación de las correspondientes medidas de seguridad será tenido
como cumplimiento del RGPD.
Está claro que para debe cumplirse a la vez con las dos normas en relación a la
auditoria y el cumplimiento proactivo, la notifcación de brechas de seguridad,
entre otros puntos de confuencia.
En caso de que su organización no se encuentre adaptado al RGPD necesitará
adaptarse para cumplir con los requisitos.
CUMPLIMIENTO RGPD
32. 32
7. Implantación del ENS
El plazo estándar de implantación del ENS es de aproximadamente 4 meses.
Contando con la colaboración de la organización y ajustando los plazos, puede
llegar a implementarse en 1 mes.
En Ingertec no limitamos las horas ni las visitas de consultoría dedicadas al
proyecto.
En una implantación estándar las reuniones suelen ser entre 6 y 15 y las horas
del proyecto de nuestros consultores unas 100-120.
PLAZOS DE IMPLANTACIÓN
33. 33
7. Implantación del ENS
Ingertec se compromete a no revelar ante terceros ninguna
información ni documentación propiedad de cada empresa a
la que pudiera tener acceso durante el desarrollo o como
consecuencia de la realización de los trabajos contemplados
en esta oferta.
CONFIDENCIALIDAD
34. 34
7. Implantación del ENS
SEGUIMIENTO CONTINUO
TELÉFONOS
Consultor, atención al
cliente, director de
proyecto
CORREOS
ELECTRÓNICOS
Consultor, atención al
cliente, director de
proyecto
CONSULTOR
Consultor especialista y
único por proyecto
DIRECTOR DE
PROYECTO
Ingertec pone a su disposición todos los medios de
contacto para el desarrollo de su proyecto
35. 35
8. Ventajas de Ingertec
Los consultores de Ingertec han participado en cientos
de proyectos, lo que nos aporta conocimiento de:
●
Criterios de los auditores externos.
●
Mejores prácticas en empresas, tanto de su sector,
como en general.
●
Multitud de enfoques con los cuáles abordar los
requisitos “teóricos” que suponen un inconveniente
para las empresas.
●
Aspectos a mejorar
CONSULTORES
ESPECIALISTAS
Consultores especialistas en
cada sector
EXPERIENCIA
Más de 20 años de
experiencia en el sector
COSTE
Importes ajustados y
cerrados (todos los gastos
incluidos)
SEGURIDAD
100% clientes certifcados
36. 36
9. Equipo de Trabajo
+ 12
AÑOS
+ 8
AÑOS
+ 200
Experiencia como
consultor
Experiencia como
auditor para entidades
de certifcación
acreditadas por ENAC
Empresas asesoradas
CONSULTOR
Perfl mínimo de consultor
37. 37
9. Equipo de Trabajo
+ 16
AÑOS
+ 10
AÑOS
+ 400
Experiencia como
consultor
Experiencia como
auditor para entidades
de certifcación
acreditadas por ENAC
Empresas asesoradas
DIRECTOR DE
PROYECTOS
Perfl mínimo de Director de Proyectos
38. 38
10. Referencias
El 100% de clientes se han certifcado con el nivel de
seguridad que les aplica en el Esquema Nacional de
Seguridad