Que es el Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS), regulado actualmente por el Real Decreto 311/2022 de 3 de mayo, establece la politica de seguridad en la utilizacion de medios electronicos por parte del sector público. Sustituye al anterior RD 3/2010 y es un tema fundamental en las oposiciones de Técnico de Sistemas TI del SERGAS, ya que el SERGAS, como organismo público, esta obligado a cumplirlo.
Ambito de aplicacion
El ENS es de aplicacion a todo el sector público, que incluye:
- La Administración General del Estado.
- Las Administraciónes de las Comunidades Autonomas (incluyendo el SERGAS).
- Las Entidades Locales.
- Las entidades de derecho público vinculadas o dependientes de las administraciones publicas.
- Las empresas privadas que presten servicios o provean soluciones tecnologicas a las entidades del sector público, cuando manejen información publica o presten servicios informaticos.
Principios básicos del ENS
El ENS se fundamenta en los siguientes principios básicos:
- Seguridad como proceso integral: La seguridad no es un producto, sino un proceso continuo que abarca todos los elementos tecnicos, humanos, materiales y organizativos.
- Gestión de la seguridad basada en los riesgos: Las medidas de seguridad deben ser proporcionales a los riesgos identificados.
- Prevencion, deteccion, respuesta y conservacion: La seguridad del sistema debe contemplar acciones de prevencion, deteccion y respuesta ante incidentes, asi como la conservacion de los datos.
- Existencia de lineas de defensa: Estrategia de protección constituida por múltiples capas de seguridad.
- Vigilancia continua y reevaluación periodica: Monitorizacion permanente del estado de seguridad de los sistemas.
- Diferenciacion de responsabilidades: Se diferencia el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
Dimensiones de seguridad
El ENS define cinco dimensiones de seguridad, frecuentemente conocidas por el acronimo DICAT:
- D - Disponibilidad: Garantizar que los servicios estan accesibles cuando se necesitan.
- I - Integridad: Asegurar que la información no ha sido alterada de forma no autorizada.
- C - Confidencialidad: Proteger la información contra accesos no autorizados.
- A - Autenticidad: Garantizar la identidad del origen de la información.
- T - Trazabilidad: Poder determinar quien ha hecho que y cuando.
Es importante conocer estas dimensiones, ya que la categorizacion de los sistemas depende de la valoracion que se haga de cada una de ellas. Para profundizar en como se protege la confidencialidad, consulta nuestro artículo sobre criptografia simetrica y asimetrica.
Categorias de los sistemas
El ENS clasifica los sistemas de información en tres categorias segun el impacto que tendria un incidente de seguridad:
| Categoria | Impacto | Ejemplos |
|---|---|---|
| BASICA | Limitado | Webs informativas, sistemas sin datos sensibles |
| MEDIA | Grave | Gestión de personal, tramites administrativos |
| ALTA | Muy grave | Historias clínicas, sistemas criticos hospitalarios |
Los sistemas sanitarios del SERGAS que manejan datos de salud (datos especialmente protegidos segun el RGPD) se clasifican normalmente como categoria ALTA.
Medidas de seguridad
El Anexo II del ENS establece las medidas de seguridad agrupadas en tres marcos:
Marco organizativo (org)
- org.1: Politica de seguridad.
- org.2: Normativa de seguridad.
- org.3: Procedimientos de seguridad.
- org.4: Proceso de autorizacion.
Marco operacional (op)
- op.pl: Planificacion (analisis de riesgos, arquitectura de seguridad).
- op.acc: Control de acceso (identificacion, mecanismos de autenticacion).
- op.exp: Explotacion (inventario de activos, gestión de configuraciones, gestión de cambios).
- op.ext: Servicios externos.
- op.nub: Servicios en la nube.
- op.cont: Continuidad del servicio.
- op.mon: Monitorizacion del sistema.
Medidas de protección (mp)
- mp.if: Proteccion de las instalaciones e infraestructuras.
- mp.per: Gestión del personal.
- mp.eq: Proteccion de los equipos.
- mp.com: Proteccion de las comunicaciónes (uso de VPN, cifrado).
- mp.si: Proteccion de los soportes de información.
- mp.sw: Proteccion de las aplicaciones informaticas.
- mp.info: Proteccion de la información.
- mp.s: Proteccion de los servicios.
El Centro Criptologico Nacional (CCN)
El CCN (adscrito al CNI) es el organismo responsable de:
- Elaborar y difundir guias de seguridad (serie CCN-STIC).
- Gestiónar incidentes de seguridad a traves del CCN-CERT.
- Desarrollar herramientas de seguridad (PILAR para analisis de riesgos, LUCIA para gestión de incidentes, CLARA para auditoria).
Auditorias y cumplimiento
Los sistemas de categoria MEDIA y ALTA deben someterse a una auditoria de seguridad al menos cada dos años o cuando se produzcan cambios sustanciales. Los sistemas de categoria BASICA requieren una autoevaluación periodica.
Para preparar este tema y otros de seguridad informatica, registrate gratis en oposergas.com y accede a tests específicos del Esquema Nacional de Seguridad.