Durante la última semana se ha publicado el borrador del proyecto de real decreto por el que se regula el Esquema Nacional de Seguridad (ENS). Dicho decreto vendrá a sustituir el actual RD 3/2010 y viene siendo la piedra angular para garantizar un nivel de seguridad en los entornos y sistemas de información de la administración pública.
No obstante, desde su implantación como Real Decreto, la tecnología ha evolucionado y hay aspectos que en 2010 no se tenían en cuenta, ya que fue una ley adaptada para dicho momento, por lo que la actualización de 2015 (RD 951/2015) solo trajo un parche para el cumplimiento de ciertos controles, pero no abordó aspectos como los servicios en nube (aspecto que se introduce en el borrador publicado).
Tras 11 años, estamos ante lo que va a representar un cambio y principalmente, una adecuación a la tecnología, para proteger la información, no solo de las administraciones públicas, sino también de las empresas del sector privado que prestan servicios a administraciones públicas, de manera que se minimice el riesgo de violación o brechas de seguridad, a la cual estamos, tristemente, malacostumbrándonos con fallos que hay en los sistemas críticos de las organizaciones.
Como principales novedades, el proyecto trae una serie de cambios, tales como:
- La obligatoriedad de cumplimiento de ciertas instrucciones técnicas de seguridad que se publicarán mediante Resolución de la Secretaría de Estado Digitalización e Inteligencia Artificial.
- Se deberán diferenciar 4 roles:
- Responsable de información
- Responsable del servicio
- Responsable de la seguridad
- Responsable del sistema
- El responsable de seguridad será distinto del responsable del sistema (salvo en excepciones justificadas)
- Habrá una Instrucción Técnica que regule el Esquema de Certificación de Responsables de Seguridad, con las condiciones y requisitos de la figura.
- Aparece una nueva figura para servicios externalizados. El POC (Punto o Persona de Contacto) de Seguridad de la información. Dicho POC será el responsable de seguridad de la organización contratada, o formará parte del área o tendrá contacto directo con la misma, pero la responsabilidad final será de la entidad del sector público destinataria de los servicios.
- La metodología elegida para el Análisis de Riesgos deberá ser reconocida internacionalmente.
- Se supervisará al personal para verificar que cumplen con las normas y procedimientos, así como sus deberes y obligaciones.
- El personal que participe en materia de seguridad deberá estar cualificado, dedicado e instruido en todas las fases del ciclo de vida. Cuando se externalicen servicios, se podrá exigir dicha cualificación, no obstante, cada organización podrá determinar el diseño curricular y experiencia para cada puesto de trabajo.
- El POC del CCN determinará:
- Requisitos funcionales de seguridad y aseguramiento de la certificación
- Otras certificaciones adicionales que se requieran
- Criterio para cumplir si no hay productos o servicios certificados.
- Respecto a la continuidad de la actividad, se dispondrán de copias (ya estaba como control en el Anexo II) y garantizar la continuidad de las operaciones (anteriormente el control op.cont.2 y op.cont.3 solo aplicaba a nivel alto).
- El cumplimiento en materia de protección de datos se actualiza a la vigente ley de LOPDGDD y RGPD.
- El SOA se formalizará y deberá estar firmado por el Responsable de la Seguridad.
- Tras la auditoría, y en sistemas de nivel Alto, el responsable del sistema podrá suspender temporalmente el tratamiento de informaciones, prestación de servicios o la total operación hasta la subsanación o mitigación de aquellos hallazgos que puedan ser graves.
- El CCN-CERT coordinará la respuesta a incidentes de seguridad. Las AAPP notificarán al CCN-CERT los incidentes que tengan un impacto significativo. El CCN será el coordinador nacional de respuesta técnica a los equipos CSIRT.
- El CCN-CERT determinará si el sistema es seguro para interconectar de nuevo.
- El sector privado que preste servicios al sector público comunicará incidentes al INCIBE-CERT.
- La determinación de la categoría del sistema corresponderá al responsable de seguridad.
- El ENS aplicará a los terceros del sector privado que presten servicios o soluciones a administraciones públicas para el ejercicio de las competencias y potestades administrativas
- Se dispondrán de 24 meses para la adecuación de los sistemas que cumplían el ENS previo a la entrada del actual decreto desde el momento en que entre en vigor. Para los nuevos sistemas, deberán cumplir con el actual decreto.
Respecto de las medidas de seguridad del Anexo II, se producen los siguientes cambios:
- Aparece la definición de refuerzos para los controles que aportarán, entre otras, documentos específicos.
- Para todos los controles del Anexo II se han definido más requisitos, de manera que aclaren la interpretación de los controles.
- pl.5 – la aplicabilidad ahora es para sistemas Medios
- acc.1 – para sistemas Medios, hay requisitos adicionales respecto de los básicos
- acc.2 – para sistemas Altos, hay requisitos adicionales respecto de los Medios/básicos
- acc.3 — para sistemas Altos, hay requisitos adicionales respecto de los Medios
- NUEVO CONTROL Se renombran el op.acc.5 y op.acc.6 como autenticación de usuarios internos y externos. Desaparece la referencia a acceso local y remoto
- exp.2 – para sistemas Medios, hay requisitos adicionales respecto de los básicos
- exp.3 – aparecen requisitos para sistemas básicos, así como adicionales para nivel medio y adicionales para nivel alto.
- exp.4 – aparecen requisitos adicionales para sistemas de nivel medio y adicionales para nivel alto respectivamente.
- exp.5 – aparecen requisitos adicionales para sistemas de nivel alto
- exp.6 – aparecen requisitos adicionales para sistemas de nivel medio y adicionales para nivel alto respectivamente.
- exp.7 – aparecen requisitos para sistemas básicos
- exp.8 – ACTUALIZACIÓN se fusiona el anterior op.exp.10 con el control. Se disponen de requisitos adicionales según sube el nivel del sistema
- exp.9 – aplica por igual a todos los sistemas
- ext.2 – aplica a partir de sistemas de nivel medio
- ext.3 – NUEVO CONTROL, aplica solo a sistemas altos
- ext.4 – NUEVO CONTROL, aplica a partir de sistemas medios y con requisitos adicionales a sistemas altos
- DESAPARECE el control op.ext.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
- nub – NUEVO GRUPO DE CONTROL (op.nub.1) para servicios en la nube. Aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto.
- cont.4 – NUEVO CONTROL (alineación de todos los controles que se referían a medios alternativos) Aplica solo a sistemas de nivel alto
- mon.1 – aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
- mon.2 – ACTUALIZACIÓN, para sistemas de nivel alto, aplicarán los mismos requisitos que para nivel medio
- mon.3 – NUEVO CONTROL, aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
- DESAPARECE el control mp.if.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
- per.2 –requisitos adicionales para sistemas de nivel medio y alto
- DESAPARECE el control mp.per.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
- eq.3 – aparecen nuevos requisitos para sistemas de nivel medio. Hay requisitos adicionales para nivel alto.
- eq.4 – NUEVO CONTROL, aplicará desde nivel básico y con requisitos adicionales para nivel medio
- DESAPARECE el control mp.eq.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
- com.1 – aplicará desde nivel básico para todos los sistemas, independientemente de su nivel. No hay requisitos adicionales.
- com.2 – aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
- com.4 – ACTUALIZACIÓN del control, cambia el nombre y aplicará para sistemas de nivel medio, con requisitos adicionales para nivel alto
- DESAPARECE el control mp.com.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
- si.5 – aplicará a todos los sistemas, no hay requisitos adicionales para nivel medio (o alto)
- sw.2 – se eliminan los requisitos adicionales para nivel alto, son los mismos que para nivel medio.
- info.1 – se aplicarán requisitos adicionales para sistemas de nivel medio
- info.2 – aplicará para nivel medio y alto (sin requisitos adicionales)
- DESAPARECE mp.info.3
- info.9 – se aplicarán requisitos adicionales para sistemas de nivel alto respecto de los sistemas básicos o medios
- s.3 – NUEVO CONTROL, aplicará desde nivel básico y con requisitos adicionales para nivel alto
- DESAPARECE el control mp.s.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
Esperemos que esto ayude a mejorar a las organizaciones y que sea una columna vertebral de concienciación a todos los empleados, tanto del sector público, como privado.
Juan Tárrega
Equipo GRC