Como bien es sabido, la seguridad de la información no podía depender únicamente de la buena voluntad (y competencia) de los responsables de sistemas a la hora de aplicar medidas de seguridad, que a menudo ni se documentaban, ni se medía su eficacia de forma periódica. Con el fin de evitar esta dependencia, en 2010 se publicó el Esquema Nacional de Seguridad, más conocido como ENS (RD 3/2010) que establecía las bases para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) normalizando qué medidas deberían aplicar en base a un análisis de riesgos de manera continuada.
Durante estos 12 años mucho han cambiado las cosas, más aún en ciberseguridad, para justificar una actualización del ENS, atendiendo al estado de las nuevas tecnologías (p.e. el uso creciente de servicios en la nube), las actualizaciones en normativa tanto europea como estatal y, especialmente, por el incremento exponencial en el número de ciberamenzas.
Por ello, el 5 de mayo de 2022 ha tenido lugar la entrada en vigor del RD 311/2022, el cual deroga el antiguo ENS (RD 3/2010) que, si bien conserva algunos elementos clave en su estructura como son los Principios básicos, Requisitos mínimos y Medidas de seguridad, sí que ha procedido a realizar una revisión profunda del mismo,atendiendo a las actualizaciones mencionadas, así como a la redacción, más sencilla ahora, o la inclusión de nuevos términos o modificación de algunos y, especialmente relevante, la revisión de los controles del Anexo II que determinan qué medidas debemos aplicar.
Es importante destacar que, como ya ocurría anteriormente, el ENS está alineado con la Estrategia Nacional de Ciberseguridad orientada a mejorar la seguridad y resiliencia de las redes y sistemas de información en las Administraciones Públicas (AAPP).
¿Quién debe actualizarse al nuevo ENS?
El nuevo ENS es de aplicación a todo el sector público según establece la Ley 40/2015, igualmente a aquellos que traten información clasificada, sin perjuicio de la aplicación de la Ley 9/1968 de Secretos Oficiales y otra normativa especial y, no menos importante, a las entidades privadas que presten servicios o provean soluciones al sector público.
¿Qué novedades nos encontramos con el nuevo ENS?
Empezando por los Principios básicos, el nuevo ENS introduce el concepto de vigilancia continua, concepto que supone la recolección automática de eventos de seguridad (por ejemplo mediante el uso de un SIEM) y, dado el caso, la reevaluación y actualización de las medidas de seguridad en función del riesgo en cada momento.
Continuando los Requisitos Mínimos, se modifica el término “seguridad por defecto” por “mínimo privilegio”, lo que supone que los sistemas de información se diseñen y configuren otorgando los mínimos privilegios necesarios para su correcto desempeño. También, como punto a destacar en los Requisitos Mínimos, se incorpora la definición de la figura de un POC (Punto o Persona de Contacto) para los servicios externos, definición que servirá para identificar a una persona de contacto sobre materia de seguridad de la información en el supuesto que una AAPP contrate un servicio externo.
En lo que respecta a las medidas de seguridad, se realizan modificaciones con el objeto de dar una mayor flexibilidad en la aplicación de los controles definidos. Esta modificación se basa en la incorporación de dos nuevos conceptos: Requisito Base, haciendo que en cada control se cumplan las medidas de seguridad definidas; y Refuerzo de Seguridad, permitiendo conseguir dicha flexibilidad, pues, para determinados casos, se añaden como medidas complementarias (opcionales u obligatorias), consiguiendo una mejoría en la robustez del control.
Además del cambio conceptual identificado, se conservan los 3 grandes bloques que se diferenciaban en el antiguo ENS (Marco Organizativo, Operacional y medidas de protección). Comparando ambos decretos, se han eliminado 9 medidas de seguridad (p.e. las relativas a las instalaciones alternativas o la protección del registro de actividad).
Por otro lado, se han modificado 26 medidas, destacando una mayor exigencia en 20 controles (p.e. Identificación, Protección frente al código dañino o el de Protección de datos de carácter personal) y una simplificación en los otros 6 (p.e. Segregación de funciones o Calificación de la información). Por último, se han incorporado 6 nuevos controles, destacándose el de Interconexión de sistemas, Vigilancia y el de Servicios en la nube. Por lo que, en total, a diferencia del antiguo ENS, se han pasado de 75 controles de seguridad a 73.
El CCN sigue siendo un pilar esencial para las AAPP en el cumplimiento del ENS asumiendo para ello cuatro roles principales como son la promoción de las acciones de concienciación y formación al personal de las AAPP junto con INAP, la coordinación a nivel estatal de la respuesta a incidentes de seguridad, el desarrollo de guías y avisos de seguridad y la validación y publicación de perfiles de cumplimiento. Este último, es especialmente importante dado que facilita la adecuación a las entidades cuyo perfil es de aplicación, ayudando a la identificación de activos esenciales, valoración de los mismos, así como los controles que deben aplicarse.
Cabe mencionar que actualmente ya existe un perfil de cumplimiento para universidades actualizado al nuevo ENS, y se espera que el CCN publique gradualmente nuevos perfiles de cumplimiento de otros ámbitos.
Por último, y no por ello menos importante, el nuevo ENS quiere reflejar su compromiso con el medio ambienteintroduciendo el concepto “Do no Significant Harm”, definido para dejar claro que toda acción realizada para llegar al cumplimiento del ENS debe respetar el principio de «no causar un perjuicio significativo» al medioambiente y las condiciones del etiquetado climático y digital (p.e. reducir el consumo de papel u optimizar la eficiencia energética).
¿Qué plazo hay para adecuarse al nuevo ENS?
La disposición transitoria única establece un plazo de 24 meses para adecuarse a los sistemas de información preexistentes por lo que la fecha límite sería el 5 de mayo de 2024. Sin embargo, para los sistemas desarrollados e implantados posteriormente a la entrada en vigor del nuevo ENS tendrán que cumplir el mismo desde su concepción.
Oesía tiene amplia experiencia en adecuación de organizaciones tanto públicas como privadas al ENS y a la norma ISO 27001 en todo el territorio nacional. Siendo uno de los principales proveedores de servicios de ciberseguridad de España con más de 100 profesionales altamente cualificados con las certificaciones más valoradas del sector (CISA, CISM, CISSP…). Administraciones como el Ministerio de Justicia, el Servicio de Salud de la Comunidad de Madrid, la Junta de Andalucía o la Xunta de Galicia, entre otras muchas, han confiado en Oesía para sus procesos de adecuación al ENS.
José García, Alberto Ibiza