Resumen de las novedades de la actualización del ENS

Resumen de las novedades de la actualización del ENS

El 4 de mayo llegó el día, por fin se ha publicado la ansiada actualización del Esquema Nacional de Seguridad (ENS). Dicho decreto substituye el actual RD 3/2010 y viene siendo la piedra angular para garantizar un nivel de seguridad en los entornos y sistemas de información de la administración pública.

Desde su implantación como Real Decreto, la tecnología ha evolucionado y hay aspectos que en 2010 no se tenían en cuenta, ya que fue una ley adaptada para dicho momento, por lo que la actualización de 2015 (RD 951/2015) solo trajo un parche para el cumplimiento de ciertos controles, pero no abordó aspectos como los servicios en nube (aspecto que se introduce en el borrador publicado).

Tras 12 años, llega este nuevo RD con las principales novedades:

  • Se incluye como aplicabilidad a las empresas del sector privado que de acuerdo con la normativa aplicable y en virtud de la relación contractual, presten servicios o provean soluciones a las entidades del sector público el ejercicio por estas de sus competencias y potestades administrativas.

Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos

Esto ya era algo que todos sabíamos, pero ahora se indica expresamente en su artículo 2.

  • Aparece el principio de Vigilancia Continua (más adelante veremos que hay un control en el Anexo II correspondiente a esta vigilancia continua), y la respuesta dentro de los principios básicos de prevención, detección, respuesta (new) y conservación.
  • La vigilancia continua se alinea con la reevaluación periódica y se incluyen 2 directrices adicionales donde se hablaba de las medidas de seguridad que debían reevaluarse y actualizarse periódicamente, como sigue:
  1. La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.
  2. La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
  • Política de seguridad y requisitos mínimos de seguridad. Se define como artículo la política, con los requisitos que recogía el anterior control org.1 así como la guía 805 del CCN, pero con la importancia de que ahora es un artículo del actual RD.
  • Organización e implantación del proceso de seguridad, recoge aspectos que se definieron en la guía 803 del CCN, pero, al igual que el anterior, incluido como artículo del RD.

Se deberán diferenciar 4 roles:

    • Responsable de información
    • Responsable del servicio
    • Responsable de la seguridad
    • Responsable del sistema

Esto no sería un cambio con respecto al anterior RD, pero sí el hecho de que el responsable de seguridad será distinto del responsable del sistema (salvo en excepciones justificadas)

Habrá una Instrucción Técnica que regule el Esquema de Certificación de Responsables de Seguridad, con las condiciones y requisitos de la figura.

Aparece una nueva figura para servicios externalizados. El POC (Punto o Persona de Contacto) de Seguridad de la información. Dicho POC será el responsable de seguridad de la organización contratada, o formará parte del área o tendrá contacto directo con la misma, pero la responsabilidad final será de la entidad del sector público destinataria de los servicios.

  • La metodología elegida para el Análisis de Riesgos deberá ser reconocida internacionalmente, independientemente de lo indicado en el control correspondiente del Anexo II.
  • Se supervisará al personal para verificar que cumplen con las normas y procedimientos, así como sus deberes y obligaciones.
  • El personal que participe en materia de seguridad deberá estar cualificado, dedicado e instruido en todas las fases del ciclo de vida. Cuando se externalicen servicios, se podrá exigir dicha cualificación, no obstante, cada organización podrá determinar el diseño curricular y experiencia para cada puesto de trabajo.
  • El OC del CCN determinará:
    • Requisitos funcionales de seguridad y aseguramiento de la certificación
    • Otras certificaciones adicionales que se requieran
    • Criterio para cumplir si no hay productos o servicios certificados.
  • Se actualiza el artículo referente a la seguridad por defecto por mínimo privilegio, se indica que se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas, además de todo lo anterior que se mantiene.
  • Al registro de la actividad se le añade la detección de código dañino, incluyendo un apartado tal y como sigue, que siempre bajo lo indicado en la RGPD, en el principio de limitación de la finalidad, minimización de los datos y limitación de los plazos, de acuerdo con el artículo 2, se podrán analizar las comunicaciones entrantes o salientes con fines de seguridad de la información, impidiendo el acceso no autorizado a las redes de los Sistemas de Información.

Cualquier usuario que acceda deberá estar identificado de forma unida de manera que se sepa quien es y sus permisos de acceso, así como identificar quién ha hecho qué.

  • Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras. Este artículo aparece y determinará que se podrán crear perfiles de cumplimiento, de manera que puedan ser acreditados y validadas dichas personas que garanticen la seguridad de ciertas soluciones o plataformas. El CCN será quien valide y publique los perfiles de cumplimiento.
  • El informe INES será elaborado por entidades titulares de los sistemas de información comprendidos en el ámbito de aplicación del artículo 2. El CCN indicará los procedimientos necesarios para la recogida y consolidación de la información.
  • El CCN-CERT coordinará la respuesta a incidentes de seguridad. Las AAPP notificarán al CCN-CERT los incidentes que tengan un impacto significativo. El CCN será el coordinador nacional de respuesta técnica a los equipos CSIRT. Si el afectado trata información que afecte a la defensa nacional, el CSIRT también lo pondrá a disposición del ESPDEF-CERT.

El CCN-CERT determinará si el sistema es seguro para interconectar de nuevo.

El sector privado que preste servicios al sector público comunicará incidentes al INCIBE-CERT.

  • El SOA se formalizará y deberá estar firmado por el Responsable de la Seguridad.
  • Tras la auditoría, y en sistemas de nivel Alto, el responsable del sistema podrá suspender temporalmente el tratamiento de informaciones, prestación de servicios o la total operación hasta la subsanación o mitigación de aquellos hallazgos que puedan ser graves.
  • La determinación de la categoría del sistema corresponderá al responsable de seguridad.
  • Se dispondrán de 24 meses para la adecuación de los sistemas que cumplían el ENS previo a la entrada del actual decreto desde el momento en que entre en vigor.

Respecto de las medidas de seguridad del Anexo II, se producen los siguientes cambios:

  • Aparece la definición de refuerzos para los controles que aportarán, entre otras, documentos específicos.
  • Para todos los controles del Anexo II se han definido más requisitos, de manera que aclaren la interpretación de los controles.
  • pl.4 – la aplicabilidad ahora es para sistemas Básicos con refuerzos para nivel Medio
  • pl.5 – la aplicabilidad ahora es para sistemas Medios
  • acc.1 – para sistemas Medios, hay requisitos adicionales respecto de los básicos
  • acc.2 – para sistemas Altos, hay requisitos adicionales respecto de los Medios/Básicos
  • acc.3 — para sistemas Altos, hay requisitos adicionales respecto de los Medios
  • NUEVO CONTROL Se renombran el op.acc.5 y op.acc.6 como autenticación de usuarios internos y externos. Desaparece la referencia a acceso local y remoto y se aplican refuerzos, entre los que están el famoso doble factor de autenticación, el cual no será obligatorio, aunque si opcional (desde nivel Básico en ambos controles), aunque para los usuarios externos, para todos los niveles, es obligatorio el refuerzo R8 que obliga a MFA desde o a través de zonas no controladas.
  • El acceso remoto se reestructura en el Refuerzo R9, obligatorio para todos los niveles.
  • exp.3 – aplica para nivel Básico y aparecen requisitos para sistemas medios (R1) y para altos (R1, R2, R3). Los refuerzos son aspectos nuevos con respecto al control anterior.
  • exp.4 – aparecen requisitos adicionales para sistemas de nivel medio y adicionales para nivel alto respectivamente.
  • exp.5 – aparecen requisitos adicionales para sistemas de nivel alto
  • exp.6 – aparecen requisitos adicionales para sistemas de nivel medio y adicionales para nivel alto respectivamente.
  • exp.7 – aparecen requisitos para sistemas básicos, con refuerzos para nivel Medio y otro adicional para nivel Alto
  • exp.8 – ACTUALIZACIÓN se fusiona el anterior op.exp.10 con el control. Se disponen de requisitos adicionales según sube el nivel del sistema
  • exp.9 – aplica por igual a todos los sistemas
  • exp.10 – renombrado del anterior control op.exp.11. Cambia el nivel de aplicabilidad, todos los niveles tienen los mismos requisitos.
  • ext.3 – NUEVO CONTROL, aplica solo a sistemas altos
  • ext.4 – NUEVO CONTROL, aplica a partir de sistemas medios y con requisitos adicionales a sistemas altos
  • DESAPARECE el control op.ext.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
  • nub – NUEVO GRUPO DE CONTROL (op.nub.1) para servicios en la nube. Aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto.
  • cont.4 – NUEVO CONTROL (alineación de todos los controles que se referían a medios alternativos) Aplica solo a sistemas de nivel alto
  • mon.1 – aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
  • mon.2 – ACTUALIZACIÓN, para sistemas de nivel alto, aplicarán los mismos requisitos que para nivel medio
  • mon.3 – NUEVO CONTROL, aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
  • DESAPARECE el control mp.if.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
  • per.2 –requisitos adicionales para sistemas de nivel medio y alto
  • DESAPARECE el control mp.per.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
  • eq.4 – NUEVO CONTROL, aplicará desde nivel básico y con requisitos adicionales para nivel medio
  • DESAPARECE el control mp.eq.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
  • com.1 – aplicará desde nivel básico para todos los sistemas, independientemente de su nivel. No hay requisitos adicionales.
  • com.2 – aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
  • com.4 – ACTUALIZACIÓN del control, cambia el nombre y aplicará para sistemas de nivel medio, con requisitos adicionales para nivel alto
  • DESAPARECE el control mp.com.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)
  • si.1 – ACTUALIZACIÓN del control, cambia la aplicabilidad, ya no aplica a nivel Básico, solo nivel Medio y Alto.
  • sw.2 – se eliminan los requisitos adicionales para nivel alto, son los mismos que para nivel medio.
  • info.1 – se aplicarán requisitos adicionales para sistemas de nivel medio
  • info.2 – ACTUALIZACIÓN del control, aplicará solo para nivel medio y alto (sin requisitos adicionales)
  • DESAPARECE mp.info.3 y se renombra el resto. El de copias pasa de llamarse mp.info.9 a mp.info.6.
  • info.6 – (anterior mp.info.9) se aplicarán requisitos adicionales para sistemas de nivel medio y otros adicionales a nivel alto.
  • s.3 – NUEVO CONTROL, aplicará desde nivel básico y con requisitos adicionales para nivel alto
  • s.4 – Cambia el nombre del código. Es el anterior mp.s.8
  • DESAPARECE el control mp.s.9 (se alinean todos los medios alternativos en el control de continuidad op.cont.4)

Equipo GRC