Esquema Nacional de Seguridad: Seguridad obligatoria en la Administración Pública

Esquema Nacional de Seguridad: Seguridad obligatoria en la Administración Pública

Este último semestre del año ha visto como nacía, con la participación de todas las Administraciones Públicas, el primer borrador del Esquema Nacional de Seguridad (en adelante, ENS). Lo ha hecho en forma de proyecto de Real Decreto, que será aprobado probablemente durante 2010, y cuya entrada en vigor supondrá la aparición definitiva de una normativa de obligatorio cumplimiento para todas las Administraciones Públicas en el ámbito de la Seguridad de la Información.

El Real Decreto nacerá para dar respuesta al artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, mediante el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información. Cabe destacar que el ENS está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.

Respecto a su contenido, en el fondo no plantea novedades sustanciales, ya que su elaboración se ha realizado atendiendo a normativa nacional (Administración Electrónica, Protección de Datos de Carácter Personal, Firma Electrónica, Centro Criptológico Nacional, Sociedad de la Información), así como a la regulación de diferentes Instrumentos y Servicios de la Administración, las Directrices y Guías de la OCDE y disposiciones nacionales e internacionales sobre normalización.

Uno de los puntos más destacados del ENS es que obliga a abordar la seguridad de la información de una manera integral, en detrimento de acciones puntuales o coyunturales. Esta idea, defendida por otros estándares, como el ampliamente conocido y extendido ISO/IEC 27001, debe ser la base del cumplimiento del ENS. Tal y como podrá observar el lector conocedor de la materia, veremos durante este artículo bastantes similitudes entre este esquema y los empleados para implantar Sistemas de Gestión de Seguridad de la Información (SGSI) basados en las normas ISO/IEC 27001 e ISO/IEC 27002. Otro aspecto importante que introduce el ENS desde el punto de vista organizativo y que seguro planteará diversas dudas y discusiones en la Administraciones, será la necesidad de diferenciar las funciones “responsable del servicio” y “responsable de seguridad”, así como la formalización de un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, que será aprobado por el responsable del servicio.

El ENS está formado por cinco principios básicos:

– Seguridad Integral: La seguridad deberá tratarse como un proceso, teniendo en cuenta los recursos técnicos, humanos y organizativos, y donde se deberá hacer hincapié en la importancia de la concienciación de todos los intervinientes, tanto usuarios como responsables a todos los niveles.

– Gestión de Riesgos: El Análisis y Gestión de los Riesgos como tarea principal para el control de los mismos a través de la implantación de medidas eficaces y acordes a la naturaleza de los datos y los riesgos a los estén expuestos.

– Prevención, reacción y recuperación: Las medidas seleccionadas para tratar los riesgos, deben basarse en una combinación de medidas preventivas, detectivas y correctivas que disminuyan la posibilidad de que se materialicen las amenazas y/o minimicen los impactos una vez acontecido un incidente. Las medidas de recuperación estarán orientadas a la restauración de los servicios y la información asociada.

– Líneas de defensa: Las medidas de seguridad deben ser de naturaleza organizativa, física y lógica, lo que permitirá reforzar la seguridad para proteger cada activo.

– Reevaluación periódica: Será obligatoria la revisión de las medidas de seguridad implantadas así como su eficacia al menos con carácter bianual. Dicha revisión deberá incluir la evaluación de los riesgos.

– Función diferenciada: Se deberá garantizar la diferenciación entre el responsable del servicio y la responsabilidad de garantizar la seguridad de los sistemas de información, debiendo pertenecer a instancias separadas.

Implantación del ENS (Ciclo de Mejora Continua)

Lo primero que toda Administración deberá realizar, será la redacción de una Política de Seguridad (aprobada por el titular del órgano superior correspondiente) que contenga los cinco principios básicos, así como el compromiso de abordar la seguridad mediante al menos los siguientes requisitos mínimos:

– Organización e implantación del proceso de seguridad

Análisis y gestión de los riesgos

– Gestión de personal

– Profesionalidad

– Autorización y control de los accesos

– Protección de las instalaciones

– Adquisición de productos

– Seguridad por defecto

– Integridad y actualización del sistema

– Protección de la información almacenada y en tránsito

– Prevención ante otros sistemas de información interconectados

– Registro de actividad

– Incidentes de seguridad

– Continuidad de la actividad

– Mejora continua del proceso de seguridad

Asimismo, cada Administración deberá justificar la aplicación o no de dichas medidas, en función de los riesgos detectados en la fase de análisis de riesgos posterior.

A continuación se deberá clasificar la información contenida en los distintos procesos administrativos, lo que permitirá establecer los criterios de clasificación y tratamiento adecuados. La clasificación de la información administrativa según el esquema es la siguiente:

– Información de Nivel Alto: Cuando el perjuicio causado sea muy grave o catastrófico.

– Información de Nivel Medio: Cuando el perjuicio ocasionado sea grave.

– Información de No Divulgable: En esta categoría se encuentra la información que no es clasificada, de nivel alto y medio, pero que tiene limitada su publicidad por disposición legal.

– Información Pública: Información transparente para todas las partes interesadas. Constituida por toda la información que no sea clasificada, dato de carácter personal o información administrativa,

A la información de carácter personal le será de aplicación, además de los requisitos según la legislación vigente, aquellos mínimos establecidos por el ENS según su clasificación administrativa.

El siguiente paso consistirá en la elaboración de un Análisis de Riesgos, teniendo en cuenta que se deberá emplear alguna metodología reconocida internacionalmente. Aunque dicha metodología en principio queda abierta, se puede comprobar que es claro el alineamiento de las medidas de seguridad (incluidas en el Anexo II) y de las dimensiones de seguridad aplicables, con las Metodologías MAGERIT / UNE 71504:2008, lo que hará que esta metodología ampliamente utilizada en la Administración Pública sea la seleccionada por la mayoría para el cumplimiento de este esquema.

Una vez evaluados los riesgos, se deberán seleccionar las medidas que los mitiguen de forma proporcionada. Para cada riesgo detectado se actuará de la siguiente forma:

– Se identificará el/los tipos de activos presentes.

– Se identificará la información manejada, su tipo y nivel.

– Se determinarán las dimensiones de seguridad relevantes (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad), según el Anexo I del ENS.

– Se determinará el nivel correspondiente a cada dimensión de seguridad según el Anexo I del ENS.

– Se determinará la categoría del sistema, como el máximo nivel de sus dimensiones de seguridad aplicables.

– Finalmente, se seleccionarán las medidas de seguridad apropiadas, según el Anexo II del ENS, que contiene el conjunto de medidas aplicables según las categorías afectadas y los niveles de seguridad de cada dimensión.

– La relación de las medidas seleccionadas se formalizará en un documento denominado “Declaración de Aplicabilidad”, que deberá ser firmado por el Responsable de Seguridad.

Las medidas de seguridad incluidas en el Anexo II del ENS están organizadas en tres grupos principales, donde cada una puede a su vez estar dividida en otras medidas más específicas:

Una vez justificadas y aplicadas las medidas de seguridad según el resultado de la evaluación de riesgos, se deberá auditar la seguridad de los sistemas de información, al menos cada dos años y comprobando los siguientes aspectos:

– Existencia de un Responsable de Seguridad con autoridad.

– Realización del Análisis de Riesgos, con su correspondiente revisión al menos anual.

– Cumplimiento de las medidas de seguridad recogidas en el Anexo II, según la Declaración de Aplicabilidad

– La existencia de un SGSI documentado y aprobado por la Dirección

La auditoría se realizará atendiendo a la categoría de cada sistema de información:

– Categoría BÁSICA: Será suficiente una autoevaluación propia o de terceros

– Categoría MEDIA o ALTA: Será necesaria la realización de una auditoría formal sobre los controles previstos en el ENS, identificando las deficiencias y proponiendo medias correctoras o complementarias necesarias. Las conclusiones del informe deberán estar basadas en hechos, datos y observaciones que deberán quedar debidamente documentados en el informe.

No cabe duda que este Real Decreto debe suponer el impulso definitivo para que las Administraciones Públicas, y por extensión Organizaciones tanto públicas como privadas, se tomen en serio la seguridad y la protección de la información, en una sociedad cada vez más dependiente de ésta y de los sistemas de información que la soportan. Es por ello que el éxito del ENS dependerá en gran parte de la exigencia y rigor que la propia Administración sea capaz de imponerse.

Antonio Martínez

Responsable Seguridad Tic

Áudea Seguridad de la Información

www.audea.com