Que es el Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS), regulado actualmente por el Real Decreto 311/2022 de 3 de mayo, establece la politica de seguridad en la utilizacion de medios electronicos por parte del sector publico. Sustituye al anterior RD 3/2010 y es un tema fundamental en las oposiciones de Tecnico de Sistemas TI del SERGAS, ya que el SERGAS, como organismo publico, esta obligado a cumplirlo.
Ambito de aplicacion
El ENS es de aplicacion a todo el sector publico, que incluye:
- La Administracion General del Estado.
- Las Administraciones de las Comunidades Autonomas (incluyendo el SERGAS).
- Las Entidades Locales.
- Las entidades de derecho publico vinculadas o dependientes de las administraciones publicas.
- Las empresas privadas que presten servicios o provean soluciones tecnologicas a las entidades del sector publico, cuando manejen informacion publica o presten servicios informaticos.
Principios basicos del ENS
El ENS se fundamenta en los siguientes principios basicos:
- Seguridad como proceso integral: La seguridad no es un producto, sino un proceso continuo que abarca todos los elementos tecnicos, humanos, materiales y organizativos.
- Gestion de la seguridad basada en los riesgos: Las medidas de seguridad deben ser proporcionales a los riesgos identificados.
- Prevencion, deteccion, respuesta y conservacion: La seguridad del sistema debe contemplar acciones de prevencion, deteccion y respuesta ante incidentes, asi como la conservacion de los datos.
- Existencia de lineas de defensa: Estrategia de proteccion constituida por multiples capas de seguridad.
- Vigilancia continua y reevaluacion periodica: Monitorizacion permanente del estado de seguridad de los sistemas.
- Diferenciacion de responsabilidades: Se diferencia el responsable de la informacion, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
Dimensiones de seguridad
El ENS define cinco dimensiones de seguridad, frecuentemente conocidas por el acronimo DICAT:
- D - Disponibilidad: Garantizar que los servicios estan accesibles cuando se necesitan.
- I - Integridad: Asegurar que la informacion no ha sido alterada de forma no autorizada.
- C - Confidencialidad: Proteger la informacion contra accesos no autorizados.
- A - Autenticidad: Garantizar la identidad del origen de la informacion.
- T - Trazabilidad: Poder determinar quien ha hecho que y cuando.
Es importante conocer estas dimensiones, ya que la categorizacion de los sistemas depende de la valoracion que se haga de cada una de ellas. Para profundizar en como se protege la confidencialidad, consulta nuestro articulo sobre criptografia simetrica y asimetrica.
Categorias de los sistemas
El ENS clasifica los sistemas de informacion en tres categorias segun el impacto que tendria un incidente de seguridad:
| Categoria | Impacto | Ejemplos |
|---|---|---|
| BASICA | Limitado | Webs informativas, sistemas sin datos sensibles |
| MEDIA | Grave | Gestion de personal, tramites administrativos |
| ALTA | Muy grave | Historias clinicas, sistemas criticos hospitalarios |
Los sistemas sanitarios del SERGAS que manejan datos de salud (datos especialmente protegidos segun el RGPD) se clasifican normalmente como categoria ALTA.
Medidas de seguridad
El Anexo II del ENS establece las medidas de seguridad agrupadas en tres marcos:
Marco organizativo (org)
- org.1: Politica de seguridad.
- org.2: Normativa de seguridad.
- org.3: Procedimientos de seguridad.
- org.4: Proceso de autorizacion.
Marco operacional (op)
- op.pl: Planificacion (analisis de riesgos, arquitectura de seguridad).
- op.acc: Control de acceso (identificacion, mecanismos de autenticacion).
- op.exp: Explotacion (inventario de activos, gestion de configuraciones, gestion de cambios).
- op.ext: Servicios externos.
- op.nub: Servicios en la nube.
- op.cont: Continuidad del servicio.
- op.mon: Monitorizacion del sistema.
Medidas de proteccion (mp)
- mp.if: Proteccion de las instalaciones e infraestructuras.
- mp.per: Gestion del personal.
- mp.eq: Proteccion de los equipos.
- mp.com: Proteccion de las comunicaciones (uso de VPN, cifrado).
- mp.si: Proteccion de los soportes de informacion.
- mp.sw: Proteccion de las aplicaciones informaticas.
- mp.info: Proteccion de la informacion.
- mp.s: Proteccion de los servicios.
El Centro Criptologico Nacional (CCN)
El CCN (adscrito al CNI) es el organismo responsable de:
- Elaborar y difundir guias de seguridad (serie CCN-STIC).
- Gestionar incidentes de seguridad a traves del CCN-CERT.
- Desarrollar herramientas de seguridad (PILAR para analisis de riesgos, LUCIA para gestion de incidentes, CLARA para auditoria).
Auditorias y cumplimiento
Los sistemas de categoria MEDIA y ALTA deben someterse a una auditoria de seguridad al menos cada dos anos o cuando se produzcan cambios sustanciales. Los sistemas de categoria BASICA requieren una autoevaluacion periodica.
Para preparar este tema y otros de seguridad informatica, registrate gratis en oposergas.com y accede a tests especificos del Esquema Nacional de Seguridad.