QUÉ ES EL ESQUEMA NACIONAL DE SEGURIDAD?


El Real Decreto 3/2010, en cumplimiento de lo que dispuso en su momento la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios públicos (LAECSP) y de lo que ha recogido el texto de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), regula una de las piezas fundamentales que vertebran lo que se ha dado en llamar la Administración Electrónica: la seguridad de los sistemas de información del Sector Público. Este Real Decreto es una norma de obligado cumplimiento tanto para el sector público como para organizaciones privadas suministradoras o prestadoras de servicios al sector pública.

FASES DEL PROYECTO


1. Política de Seguridad de la Información


La Política de Seguridad de la Información es un documento de alto nivel que define lo que significa ‘seguridad de la información’ en una organización. El documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Conviene que sea breve, dejando los detalles técnicos para otros documentos normativos.

2. Identificar los servicios y categorizar los sistemas de información.


El siguiente paso es identificar los servicios prestados por la entidad, sujetos al cumplimiento del ENS, para después comenzar la valoración por los activos de tipo información utilizados por tales servicios, valorando, en este orden: confidencialidad, integridad, trazabilidad, autenticidad y, si fuera relevante, disponibilidad. Es frecuente que la disponibilidad no sea un atributo relevante de la información y quede sin adscribir a ningún nivel.

3. Análisis de Riesgos


El Análisis de Riesgos nos permitirá conocer el estado de la seguridad de los servicios e información, identificados y categorizados en una organización. El objetivo es:

  • Identificar sus activos dependientes. Hasta ahora hemos identificado los servicios y la información, ahora tenemos que ver qué activos soportan estos servicios, es decir, qué aplicaciones, qué hardware, qué personas, en qué instalaciones. Esta relación de activos quedaría materializada en un “inventario de activos”.
  • Identificar a las amenazas a las que están expuestos estos activos (inundaciones, usuarios maliciosos, etc.), a efectos de determinar qué impacto tendría la materialización de estas amenazas sobre los activos previamente identificados.
  • Analizar qué salvaguardas o contramedidas tiene implantada la CFIOT para mitigar estos estos riesgos.
  • Analizar el riesgo de una organización concreta. Es decir, conocer cuál es la situación real y actual y a partir de este punto establecer nuevas medidas o contramedidas.

Para realizar este proceso generalmente se utiliza la metodología MAGERIT, elaborada por el Consejo Superior de Administración Electrónica. Con MAGERIT se persigue disponer de una metodología concreta que no deje lugar a la improvisación, ni dependa de la arbitrariedad. La solución PILAR es una herramienta de Entorno de Análisis de Riesgos (EAR), que soporta el análisis y la gestión de riesgos de un sistema de información siguiendo la metodología MAGERIT.

La herramienta PILAR se puede descargar a través de https://www.pilar-tools.com/es/tools/pilar_rm/v20211/down.html

El Manual de Usuario de la herramienta PILAR lo encontramos en: https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/400-guias-generales/2133-ccn-stic-470-h1-manual-de-la-herramienta-de-analisis-de-riesgos-pilar-6-2/file.html

4. Declaración de Aplicabilidad


La relación de las medidas aplicables a la organización deberá formalizarse en un documento denominado Declaración de Aplicabilidad. Dentro de las medidas descritas en el Anexo II del Real Decreto 951/2015 por el que se regula el ENS, la organización deberá determinar cuáles son aplicables, teniendo en cuenta las características de la organización y la categoría de los sistemas identificados en el ámbito del alcance del ENS, que han resultado ser de categoría básica.

Si se utiliza la herramienta PILAR esta declaración de aplicabilidad se obtendrá a través de esta herramienta.

5.Gap Analysis


En esta fase y tras la realización del Análisis de Riesgos, se estudia la situación real de la Entidad, de acuerdo con las medidas establecidas para los servicios e información de categorización básica establecidas en el Anexo II de medidas de seguridad del Real Decreto 951/2015.

Este documento recogerá el estado de cumplimiento de las medidas de seguridad, reflejando el nivel actual de madurez de las medidas de la declaración de aplicabilidad.

Para calcular los niveles de madurez se utiliza la escala CMM que van desde los valores LO a L5.

6. Plan de Mejora de la Seguridad.


El Plan de Mejora de la Seguridad, identificará las tareas a realizar para subsanar las deficiencias identificadas en el Gap Analysis. El Plan de Mejora estará integrado por diferentes proyectos que pueden agruparse en tres categorías:

  • P01: Elaboración de la documentación.
  • P02: Actuaciones técnicas.
  • P03: Actuaciones organizativas.

7. Declaración de conformidad para los sistemas de nivel básico.


Los sistemas categorizados como de nivel básico están sujetos al procedimiento de Evaluación del cumplimiento ENS denominado autoevaluación, la cual se manifiesta a través de una Declaración de Conformidad

La autoevaluación es realizada por el mismo personal que administra el sistema de información o aquel otro en quién hubiere delegado. Es decir, no es necesario realizar una auditoría formal, con las garantías metodológicas y de independencia, profesionalidad y adecuación requeridas. No obstante, nada impide que los sistemas de categoría básica puedan ser objeto de una Auditoría formal de Declaración de Conformidad, que de acuerdo con lo establecido en la Guía CCN-STIC 809 es la opción deseable.

La Declaración de Conformidad con el ENS se expresará en un documento electrónico, en formato no editable, firmado electrónicamente por la propia entidad bajo cuya responsabilidad se encuentre el sistema de información en cuestión o por quién en esta hubiere delegado. Podrá representarse mediante un Distintivo de Declaración de Conformidad, cuyo modelo podemos descargarnos en la página web del CCN-CERT, https://ens.ccn.cni.es/es/conformidad-y-cumplimiento/distintivos-de-conformidad

8. Certificación para los sistemas de nivel medio o alto.


Los sistemas categorizados de nivel medio o alto deben superar una Auditoría de Conformidad. La Certificación de Conformidad con el ENS se expresará en un documento electrónico, en formato no editable, firmado electrónicamente por la Entidad Certificadora. Es decir, es facilitado por la Entidad Certificadora.

Las entidades acreditadas por ENAC (Entidad Nacional de Acreditación) pueden encontrarse en el siguiente link: https://ens.ccn.cni.es/es/certificacion/entidades-de-certificacion

9. Mejora continua


El Sistema ENS no es un hecho puntual en el tiempo y por tanto debe ser objeto de un proceso de mejora continua.

Contáctanos

Dirección:
Pº de la Castellana 40, 8ª Planta
Madrid 28046
Teléfono:

911 528 859

Correo electrónico:

info@applicalia.com

Información Básica sobre Protección de Datos

Responsable
Applicalia Gestión de la Seguridad S.L. Más info
Finalidades principales
Gestión de su solicitud. Más info
Base legal
Consentimiento del interesado. Más info
Destinatarios
No se ceden datos a terceros, salvo obligación legal. Más info
Derechos
Acceder, rectificar y suprimir los datos, así como otros derechos, tal y como explicamos en la información adicional. Más info
Información adicional
Puede consultar información adicional y detallada sobre Protección de Datos en nuestra página web pulsando aquí
Formulario de contacto

Su mensaje ha sido enviado. Gracias!