Conceptos básicos

La necesaria generalización de la sociedad de la información es subsidiaria, en gran medida, de la confianza que genere en los ciudadanos la relación a través de medios electrónicos.

El derecho a comunicarse con las Administraciones públicas, a través de medios electrónicos comporta una obligación correlativa de las mismas, que debe contemplar las condiciones para que la libertad y la igualdad sean reales y efectivas, a través de tecnologías seguras.

Para regular tal acceso de los ciudadanos a los servicios públicos, se creó el Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

Tanto desde sectores privados como desde la propia Administración Pública, la seguridad de la información plantea un reto que va más allá del aseguramiento individual de cada sistema. Cada sistema debe tener claro su perímetro y los responsables de cada dominio de seguridad deben coordinarse efectivamente para evitar «tierras de nadie» y fracturas que pudieran dañar a la información o a los servicios prestados.

En este contexto se entiende por seguridad de las redes y de la información, la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Añadiendo a ello la trazabilidad de tales datos.

Antecedentes

El primer documento oficial regulador fue el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Con posterioridad, se redactó un segundo Real Decreto de modificación:

Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Cuyo objetivo principal era y sigue siendo la actualización de la normativa derivada del RD 3/2010, cuyo alcance y contenido se orienta a precisar, profundizar y contribuir al mejor cumplimiento de los mandatos normativos, clarifica el papel del Centro Criptológico Nacional y del CCN-CERT, explicita y relaciona las instrucciones técnicas de seguridad, y la Declaración de Aplicabilidad, actualiza el Anexo II referido a las medidas de seguridad y simplifica y concreta el anexo III, referido a la auditoría de seguridad, modifica el Glosario de términos recogido en el anexo IV, modifica la redacción de la cláusula administrativa particular contenida en el anexo V y finaliza estableciendo mediante disposición transitoria un plazo de veinticuatro meses contados a partir de la entrada en vigor para la adecuación de los sistemas a lo dispuesto en la modificación.

A considerar, a título de ejemplo, que ya desde el principio, se redactan artículos como:

El apartado 3 del artículo 15 queda redactado como sigue:

«3. Las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.»

Tres. Se modifica el artículo 18, cuyo título pasa a ser «Adquisición de productos de seguridad y contratación de servicios de seguridad» y sus apartados 1 y 4 quedan redactados como sigue:

«1. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.»

«4. Para la contratación de servicios de seguridad se estará a lo dispuesto en los apartados anteriores y en el artículo 15.»

En otras palabras, pues, que las Administraciones Públicas disponen de una herramienta para requerir a sus proveedores de productos y servicios relativos a la seguridad de la información, que estén certificados con el esquema ENS si su intención es interaccionar con dichas Administraciones Públicas.

Estado actual operacional

Actualmente, buena parte de las Administraciones Públicas ya han adaptado o están adaptando sus estructuras de seguridad de los datos al ENS, con sistemas de seguridad que persiguen una respuesta segura y resiliente a las posibles vulneraciones derivadas de ataques a su sistema. Una apuesta orientada a la ciberseguridad.

Pero es que, además, en los concursos o licitaciones públicas que elaboran, ya se exige que las organizaciones que quieran presentarse deben acreditar sistemas de seguridad que cumplan con el ENS y que estén certificados por entidades acreditadas por tal organismo.

Y es en este sentido que las organizaciones privadas, deben atender, en la medida que les afecte o pueda afectar, los requisitos de garantizar (y certificar por organización independiente tercera), el cumplimiento de estos, manteniendo i actualizando de forma continua sus sistemas de seguridad de datos.

Glosario bàsico (no exhaustivo)

Activo. Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

Análisis de riesgos. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.

Auditoría de la seguridad. Revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, hay que asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos.

Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Categoría de un sistema. Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.

Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.

Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

Gestión de riesgos. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.

Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.

Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.

Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.

Política de seguridad. Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.

Riesgo. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Seguridad de las redes y de la información, es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Sistema de gestión de la seguridad de la información (SGSI). Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Sistema de información. Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza.

 

No se trata de un esquema sencillo pero que, con apoyo especializado, puede abordarse en un corto espacio de tiempo, siempre que la estructura y la infraestructura de los activos, del personal y de la capacidad y recursos de la organización privada que quiera certificarse, se alineen con los requisitos de Seguridad requeridos.

En próximos posts ampliaremos información al respecto del ENS y la metodología de implantación, auditoria y certificación.

Nuestra organización está preparada para asesorar técnica y organizativamente a las organizaciones cliente que confíen en nuestra experiencia.

Para más información, contacte aquí

Share This Story, Choose Your Platform!