Novedades de la nueva versión del Esquema Nacional de Seguridad

Luis Augusto Acuña Falcón    9 diciembre, 2015

El pasado 11 de noviembre se llevó a cabo una jornada informativa, organizada por AMETIC y con la colaboración del Ministerio de Hacienda y Administraciones Públicas, sobre la nueva versión del Esquema Nacional de Seguridad (ENS), publicada el 4 de noviembre en el Real Decreto 951/2015 y vigente desde el día siguiente.

Esta versión 2 constituye un importante paso en el aseguramiento sistemático de la información de los ciudadanos y allana el camino para seguir equiparando los niveles de gestión de seguridad de la información del sector público con las prácticas cada vez más habituales del sector privado.

Las principales novedades de la nueva versión del ENS van orientadas a definir aspectos que quizá se antojaban ambiguos en la primera edición y a otorgarle el carácter propio de un Sistema de Gestión de Seguridad de Información al ENS, en detrimento de una primera versión más orientada a la implantación proporcionada de controles. Son las siguientes:

  • Se establece que las AA.PP. deben contar con una política de gestión de seguridad basada en un modelo de mejora continua. En esa misma línea, se exige la evaluación regular del estado de seguridad y la definición y mantenimiento de un sistema de métricas, y para facilitar su recogida y consolidación se ha desarrollado la herramienta “INES” disponible en el portal del CCN-CERT.
  • Ampliación del alcance a todos los sistemas de información de las AA.PP.: inicialmente el ámbito de aplicación del ENS se limitaba a la infraestructura tecnológica y a procesos que soportaban servicios directamente prestados al ciudadano.
  •  La nueva versión del ENS introduce un par de aspectos orientados a racionalizar los controles de seguridad que se deben implantar:
  1. Admisión justificada de controles compensatorios, para sustituir controles definidos en el ENS.
  2. Se introduce el requisito de elaborar un documento de “Declaración de aplicabilidad”, en el cual se justificará la necesidad de tener implantado, o no, cada uno de los controles que plantea el ENS.
  • Se definen medidas para mejorar y poner en común aspectos concernientes a las evaluaciones y declaraciones de conformidad de productos y servicios con respecto al ENS. Estas medidas serán desarrolladas en un par de instrucciones técnicas de seguridad: “Conformidad con el Esquema Nacional de Seguridad” y “Adquisición de productos de seguridad”.
  • Refuerzo de la gestión de incidentes de seguridad y su notificación, a la vez que se precisan los elementos necesarios para la investigación de los incidentes de seguridad. Se actualiza la guía “CCN-STIC-817 Gestión de Ciberincidentes”, para incorporar estas medidas.
  • Se introduce la noción de “profesionales cualificados”. De esta forma “las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados…”, tal como se expresa en el apartado 3 del artículo 15.
  •  Se incluye, de igual forma, el desarrollo de un conjunto de instrucciones técnicas de seguridad para señalar modos comunes de actuación en una serie de aspectos. El detalle de las instrucciones se recoge en la Disposición adicional cuarta “Desarrollo del Esquema Nacional de Seguridad”.  Aquí podeis consultar la serie CCN-STIC-800, referente a Guías del Esquema Nacional de Seguridad .

Con este conjunto de medidas, el Esquema Nacional de Seguridad evoluciona en alcance y fondo para consolidarse como un estándar orientado más hacia aspectos propios de un sistema de gestión de seguridad de información, que pone el énfasis sobre la gestión continuada de la seguridad y la evaluación regular del estado de la misma. De igual forma, es de agradecer el esfuerzo del equipo que desarrolla el Esquema por ofrecer mecanismos para sortear posibles obstáculos en los proyectos de adecuación y auditoría, mediante el desarrollo de instrucciones detalladas que estandaricen las formas de actuación, la racionalización de los controles y los esquemas para declarar la conformidad de servicios y productos con respecto al ENS.

 

Imagen: Perspecsys photos

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *